Configurazione dell’agente Amazon EKS Pod Identity - Amazon EKS
ConsiderazioniCreazione di Amazon EKS Pod Identity Agent

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Configurazione dell’agente Amazon EKS Pod Identity

Le associazioni Amazon EKS Pod Identity offrono la possibilità di gestire le credenziali per le applicazioni, in modo simile a come i profili di istanza di Amazon EC2 forniscono le credenziali alle istanze Amazon EC2.

Amazon EKS Pod Identity fornisce le credenziali per i tuoi carichi di lavoro con un'API EKS Auth aggiuntiva e un pod di agenti che viene eseguito su ogni nodo.

Suggerimento

Non è necessario installare l’agente EKS Pod Identity sui cluster in modalità automatica EKS. Questa funzionalità è integrata in modalità automatica EKS.

Considerazioni

  • Per impostazione predefinita, l’agente EKS Pod Identity è preinstallato sui cluster in modalità automatica EKS. Per ulteriori informazioni, consulta Automate cluster infrastructure with EKS Auto Mode.

  • Per impostazione predefinita, l’agente EKS Pod Identity ascolta su un indirizzo IPv4 e sull’indirizzo IPv6 perché i pod richiedano le credenziali. L’agente utilizza l’indirizzo IP di loopback (localhost) 169.254.170.23 per IPv4 e l’indirizzo IP localhost [fd00:ec2::23] per IPv6.

  • Se disabiliti gli indirizzi IPv6 o impedisci in altro modo gli indirizzi IP IPv6 localhost, l’agente non può avviarsi. Per avviare l’agente su nodi che non possono utilizzare IPv6, segui i passaggi indicati in Disabilitazione di IPv6 nell’agente EKS Pod Identity per disabilitare la configurazione IPv6.

Creazione di Amazon EKS Pod Identity Agent

Prerequisiti dell'agente

  • Un cluster Amazon EKS esistente. Per implementarne uno, consulta Nozioni di base su Amazon EKS. La versione del cluster e la versione della piattaforma devono essere uguali o successive alle versioni elencate nelle versioni del cluster EKS Pod Identity.

  • Il ruolo del nodo dispone delle autorizzazioni per consentire all'agente di eseguire l'azione AssumeRoleForPodIdentity nell'API EKS Auth. È possibile utilizzare la policy gestita da AWS: AmazonEKSWorkerNodePolicy o aggiungere una policy personalizzata simile alla seguente:

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks-auth:AssumeRoleForPodIdentity"
            ],
            "Resource": "*"
        }
    ]
}

    Questa azione può essere limitata dai tag per ridurre i ruoli che possono essere assunti dai pod che utilizzano l'agente.

  • I nodi possono raggiungere e scaricare immagini da Amazon ECR. L’immagine del container per il componente aggiuntivo si trova nei registri elencati in Visualizza registri delle immagini del container Amazon per i componenti aggiuntivi Amazon EKS.

    Tieni presente che è possibile modificare la posizione dell’immagine e fornire imagePullSecrets per i componenti aggiuntivi EKS nelle Impostazioni di configurazione facoltative in Console di gestione AWS e in --configuration-values in AWS CLI.

  • I nodi possono raggiungere l'API Amazon EKS Auth. Per i cluster privati, è necessario l’endpoint eks-auth in AWS PrivateLink.

Configurazione dell’agente con la console AWS

  1. Aprire la Console Amazon EKS.

  2. Nel riquadro di navigazione a sinistra, seleziona Cluster, quindi scegli il nome del cluster per cui configurare il componente aggiuntivo di EKS Pod Identity Agent.

  3. Seleziona la scheda Componenti aggiuntivi.

  4. Scegli Ottieni altri componenti aggiuntivi.

  5. Seleziona la casella nella parte superiore destra di quella del componente aggiuntivo relativo a EKS Pod Identity Agent e scegli Avanti.

  6. Nella pagina Configura le impostazioni dei componenti aggiuntivi selezionati, seleziona una versione qualsiasi nell'elenco a discesa Versione.

  7. (Facoltativo) Espandi Impostazioni di configurazione facoltative per inserire una configurazione aggiuntiva. Ad esempio, puoi fornire una posizione alternativa per l'immagine del container e ImagePullSecrets. Lo Schema JSON con le chiavi accettate sono mostrate in Schema di configurazione del componente aggiuntivo.

    Inserisci le chiavi e i valori di configurazione in Valori di configurazione.

  8. Scegli Next (Successivo).

  9. Verifica che i pod di EKS Pod Identity Agent siano in esecuzione sul cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Di seguito viene riportato un output di esempio:

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Ora puoi utilizzare le associazioni EKS Pod Identity nel cluster. Per ulteriori informazioni, consulta Assegnazione di un ruolo IAM a un account di servizio Kubernetes.

Configurare l’agente con AWS CLI

  1. Esegui il seguente comando AWS CLI. Sostituisci my-cluster con il nome del cluster.

    aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1
    Nota

    L’agente EKS Pod Identity non utilizza service-account-role-arn per ruoli IAM per account di servizio. È necessario fornire a EKS Pod Identity Agent le autorizzazioni nel ruolo del nodo.

  2. Verifica che i pod di EKS Pod Identity Agent siano in esecuzione sul cluster.

    kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'

    Di seguito viene riportato un output di esempio:

    eks-pod-identity-agent-gmqp7                                          1/1     Running   1 (24h ago)   24h
eks-pod-identity-agent-prnsh                                          1/1     Running   1 (24h ago)   24h

    Ora puoi utilizzare le associazioni EKS Pod Identity nel cluster. Per ulteriori informazioni, consulta Assegnazione di un ruolo IAM a un account di servizio Kubernetes.