Contribuisci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Visualizza le risorse Kubernetes nel Console di gestione AWS
Puoi visualizzare le risorse Kubernetes implementate nel cluster utilizzando la Console di gestione AWS, Non puoi visualizzare le risorse Kubernetes con la CLI o AWS eksctl.
Nota
Per visualizzare la scheda Risorse e la sezione Nodi nella scheda Compute Console di gestione AWS, il principale IAM che stai utilizzando deve disporre di autorizzazioni IAM e Kubernetes specifiche. Per ulteriori informazioni, consulta Autorizzazioni richieste.
-
Aprire la Console Amazon EKS
. -
Nell'elenco Cluster, seleziona il cluster contenente le risorse Kubernetes da visualizzare.
-
Selezionare la scheda Risorse.
-
Seleziona un gruppo Resource type (Tipi di risorse) per il quale desideri visualizzare le risorse, ad esempio Workloads (Carichi di lavoro). Viene visualizzato un elenco dei tipi di risorse in tale gruppo.
-
Seleziona un tipo di risorsa, ad esempio Deployments (Implementazioni), nel gruppo Workloads (Carichi di lavoro). Viene visualizzata una descrizione del tipo di risorsa, un collegamento alla documentazione Kubernetes per ulteriori informazioni sul tipo di risorsa e un elenco di risorse simili implementate nel cluster. Se l'elenco è vuoto, nel cluster non sono presenti risorse appartenenti a quel tipo specifico.
-
Per visualizzare ulteriori informazioni su una risorsa, selezionarla. Prova gli esempi seguenti:
-
Seleziona il gruppo Workloads (Carichi di lavoro), scegli il tipo di risorsa Deployments (Implementazioni), quindi seleziona la risorsa coredns. Per impostazione predefinita, la selezione di una risorsa avviene in una Visualizzazione strutturata. Per alcuni tipi di risorse, nella Visualizzazione strutturata è presente una sezione Pod, Questa sezione elenca i pod gestiti dal carico di lavoro. È possibile selezionare qualsiasi pod presente in elenco per visualizzarne le informazioni. Non tutti i tipi di risorse visualizzano le informazioni nella Visualizzazione strutturata. Selezionando Raw view (Visualizzazione non elaborata) nell'angolo in alto a destra della pagina della risorsa, viene visualizzata la risposta JSON completa dall'API Kubernetes per la risorsa.
-
Seleziona il gruppo Cluster, quindi il tipo di risorsa Nodes (Nodi). Viene visualizzato un elenco di tutti i nodi del cluster. I nodi possono appartenere a qualsiasi tipo di nodo di Amazon EKS. Si tratta dello stesso elenco visualizzato nella sezione Nodes (Nodi) quando si seleziona la scheda Compute (Calcolo) del cluster. Seleziona una risorsa di nodo dall'elenco. Nella Vista strutturata è presente anche la sezione Pod Questa sezione mostra tutti i pod in esecuzione sul nodo.
-
Autorizzazioni richieste
Per visualizzare la scheda Risorse e la sezione Nodi nella scheda Compute Console di gestione AWS, il principale IAM che stai utilizzando deve disporre di autorizzazioni IAM e Kubernetes minime specifiche. È necessario che le autorizzazioni IAM e Kubernetes RBAC siano configurate correttamente. Completa i passaggi seguenti per assegnare le autorizzazioni richieste ai principali IAM.
-
Assicurati che
eks:AccessKubernetesApie le altre autorizzazioni IAM necessarie per visualizzare le risorse Kubernetes siano assegnati al principale IAM che stai utilizzando. Per ulteriori informazioni su come modificare le autorizzazioni per un principale IAM, consulta Controllo dell'accesso per i principali IAM nella Guida per l'utente di IAM. Per ulteriori informazioni su come modificare le autorizzazioni per un ruolo, consulta Modifica di una policy di autorizzazioni del ruolo (console) nella Guida per l'utente IAM.La seguente policy esemplificativa include le autorizzazioni necessarie affinché un principale possa visualizzare le risorse Kubernetes per tutti i cluster dell’account. Sostituiscilo con l'ID del tuo account.
111122223333AWS{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks:ListFargateProfiles", "eks:DescribeNodegroup", "eks:ListNodegroups", "eks:ListUpdates", "eks:AccessKubernetesApi", "eks:ListAddons", "eks:DescribeCluster", "eks:DescribeAddonVersions", "eks:ListClusters", "eks:ListIdentityProviderConfigs", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:GetParameter", "Resource": "arn:aws:ssm:*:111122223333:parameter/*" } ] }Per visualizzare i nodi in cluster connessi, il ruolo IAM del connettore Amazon EKS dovrebbe essere in grado di rappresentare il principale nel cluster. Ciò consente ad Amazon EKS Connector di mappare il principale IAM a un utilizzatore Kubernetes.
-
Configura le autorizzazioni RBAC di Kubernetes utilizzando le voci di accesso EKS.
Cosa sono gli EKS Access Entries?
Le voci di accesso EKS sono un modo semplificato per concedere ai principali IAM (utenti e ruoli) l'accesso al tuo cluster Kubernetes. Invece di gestire manualmente le risorse RBAC di Kubernetes e le
aws-authConfigMap, le voci di accesso gestiscono automaticamente la mappatura tra le autorizzazioni IAM e Kubernetes utilizzando le politiche gestite fornite da. AWS Per informazioni dettagliate Concedere agli utenti IAM l’accesso a Kubernetes con le voci di accesso EKS sulle voci di accesso, consulta. Per informazioni sui criteri di accesso disponibili e sulle relative autorizzazioni, vedere Autorizzazioni dei criteri di accesso.Puoi allegare le autorizzazioni Kubernetes per accedere alle voci in due modi:
-
Usa una politica di accesso: le politiche di accesso sono modelli di autorizzazioni Kubernetes predefiniti gestiti da. AWS Questi forniscono set di autorizzazioni standardizzati per casi d'uso comuni.
-
Fai riferimento a un gruppo Kubernetes: se associ un'identità IAM a un gruppo Kubernetes, puoi creare risorse Kubernetes che concedono le autorizzazioni al gruppo. Per ulteriori informazioni, consulta Using RBAC Authorization
nella documentazione di Kubernetes. -
Crea una voce di accesso per il tuo principale IAM utilizzando la AWS CLI. Sostituisci
my-clustercon il nome del cluster. Sostituisci111122223333con l'ID del tuo account.aws eks create-access-entry \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-roleDi seguito viene riportato un output di esempio.
{ "accessEntry": { "clusterName": "my-cluster", "principalArn": "arn:aws: iam::111122223333:role/my-console-viewer-role", "kubernetesGroups": [], "accessEntryArn": "arn:aws: eks:region-code:111122223333:access-entry/my-cluster/role/111122223333/my-console-viewer-role/abc12345-1234-1234-1234-123456789012", "createdAt": "2024-03-15T10:30:45.123000-07:00", "modifiedAt": "2024-03-15T10:30:45.123000-07:00", "tags": {}, "username": "arn:aws: iam::111122223333:role/my-console-viewer-role", "type": "STANDARD" } } -
Associa una policy alla voce di accesso. Per visualizzare le risorse Kubernetes, utilizza:
AmazonEKSViewPolicyaws eks associate-access-policy \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role \ --policy-arn arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy \ --access-scope type=clusterDi seguito viene riportato un output di esempio.
{ "clusterName": "my-cluster", "principalArn": "arn:aws: iam::111122223333:role/my-console-viewer-role", "associatedAt": "2024-03-15T10:31:15.456000-07:00" }Per un accesso specifico allo spazio dei nomi, puoi estendere la policy a namespace specifici:
aws eks associate-access-policy \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role \ --policy-arn arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy \ --access-scope type=namespace,namespaces=default,kube-system -
Verifica che la voce di accesso sia stata creata correttamente:
aws eks describe-access-entry \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role -
Elenca le politiche associate per confermare l'associazione delle politiche:
aws eks list-associated-access-policies \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-roleDi seguito viene riportato un output di esempio.
{ "associatedAccessPolicies": [ { "policyArn": "arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy", "accessScope": { "type": "cluster" }, "associatedAt": "2024-03-15T10:31:15.456000-07:00", "modifiedAt": "2024-03-15T10:31:15.456000-07:00" } ] }
-
-
CloudTrail visibilità
Durante la visualizzazione delle risorse Kubernetes, nei log verrà visualizzato il seguente nome dell'operazione: CloudTrail
-
AccessKubernetesApi- Durante la lettura o la visualizzazione di risorse
Questo CloudTrail evento fornisce una traccia di controllo dell'accesso in lettura alle risorse Kubernetes.
Nota
Questo nome dell'operazione viene visualizzato nei CloudTrail log solo a scopo di controllo. Non è un'azione IAM e non può essere utilizzata nelle dichiarazioni delle politiche IAM. Per controllare l'accesso in lettura alle risorse Kubernetes tramite le policy IAM, utilizza l'eks:AccessKubernetesApiautorizzazione come mostrato nella sezione. Autorizzazioni richieste
