Domande frequenti su Amazon EKS AWS Fargate attivo in AWS Managed Services

Usa AMS SSP per effettuare il provisioning di Amazon EKS AWS Fargate nel tuo account AMS

Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere ad Amazon EKS sulle AWS Fargate funzionalità direttamente nel tuo account gestito AMS. AWS Fargate è una tecnologia che fornisce capacità di calcolo on-demand e della giusta dimensione per i container (per informazioni sui contenitori, consulta Cosa sono i contenitori? ). Con AWS Fargate, non è più necessario effettuare il provisioning, configurare o ridimensionare gruppi di macchine virtuali per eseguire i contenitori. Viene anche eliminata la necessità di scegliere i tipi di server, di decidere quando dimensionare i gruppi di nodi o ottimizzare il packing dei cluster.

Amazon Elastic Kubernetes Service (Amazon EKS) integra Kubernetes con AWS Fargate Kubernetes utilizzando controller AWS creati utilizzando il modello upstream ed estensibile fornito da Kubernetes. Questi controller funzionano come parte del piano di controllo Kubernetes gestito da Amazon EKS e sono responsabili della pianificazione dei pod Kubernetes nativi su Fargate. I controller Fargate includono un nuovo pianificazione che viene eseguito insieme al pianificatore di default di Kubernetes, oltre a diversi controller di ammissione mutanti e convalidanti. Quando si avvia un pod che soddisfa i criteri per l'esecuzione su Fargate, i controller Fargate in esecuzione nel cluster riconoscono, aggiornano e programmano il pod su Fargate.

Per ulteriori informazioni, consulta Amazon EKS on AWS Fargate Now Generally Available e Amazon EKS Best Practices Guide for Security (include «Consigli» come «Rivedi e revoca accessi anonimi non necessari» e altro).

Suggerimento

AMS ha un tipo di modifica, Deployment | Advanced stack components | Identity and Access Managment (IAM) | Create un provider OpenID Connect (ct-30ecvfi3tq4k3), che puoi usare con Amazon EKS. Per un esempio, consulta Identity and Access Management (IAM) | Create OpenID Connect Provider.

Domande frequenti su Amazon EKS AWS Fargate attivo in AWS Managed Services

D: Come posso richiedere l'accesso ad Amazon EKS su Fargate nel mio account AMS?

Richiedi l'accesso inviando un Management | AWS service | Self-provisioned service | Aggiungi (revisione richiesta) (ct-3qe6io8t6jtny) tipo di modifica. Questa RFC fornisce il seguente ruolo IAM al tuo account.

customer_eks_fargate_console_role.

Dopo averlo inserito nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
Questi ruoli di servizio consentono ad Amazon EKS on Fargate di chiamare altri AWS servizi per tuo conto:
- customer_eks_pod_execution_role
- customer_eks_cluster_service_role

D: Quali sono le restrizioni all'uso di Amazon EKS su Fargate nel mio account AMS?

La creazione di EC2 gruppi di nodi gestiti o autogestiti non è supportata in AMS. Se hai l'esigenza di utilizzare i EC2 nodi di lavoro, contatta il tuo AMS Cloud Service Delivery Manager (CSDM) o Cloud Architect (CA).
AMS non include Trend Micro o componenti di sicurezza di rete preconfigurati per le immagini dei container. È necessario gestire i propri servizi di scansione delle immagini per rilevare immagini dannose dei container prima della distribuzione.
EKSCTL non è supportato a causa di interdipendenze. CloudFormation
Durante la creazione del cluster, si dispone delle autorizzazioni per disabilitare la registrazione del piano di controllo del cluster. Per ulteriori informazioni, consulta Amazon EKS control plane logging (Registrazione del piano di controllo di Amazon EKS). Ti consigliamo di abilitare tutte le principali funzionalità di registrazione delle API, dell'autenticazione e dell'audit durante la creazione del cluster.
Durante la creazione del cluster, l'accesso agli endpoint del cluster per i cluster Amazon EKS è di default pubblico; per ulteriori informazioni, consulta Amazon EKS Cluster Endpoint Access Control. Consigliamo di impostare gli endpoint Amazon EKS come privati. Se gli endpoint sono necessari per l'accesso pubblico, è consigliabile impostarli come pubblici solo per intervalli CIDR specifici.
AMS non dispone di un metodo per forzare e limitare le immagini utilizzate per la distribuzione nei container su Amazon EKS Fargate. Puoi distribuire immagini da Amazon ECR, Docker Hub o qualsiasi altro archivio di immagini privato. Pertanto, esiste il rischio di distribuire un'immagine pubblica che potrebbe eseguire attività dannose sull'account.
La distribuzione di cluster EKS tramite il cloud development kit (CDK) o CloudFormation Ingest non è supportata in AMS.
È necessario creare il gruppo di sicurezza richiesto utilizzando ct-3pc215bnwb6p7 Deployment | Advanced stack components | Security group | Crea e fai riferimento nel file manifest per la creazione degli ingress. Questo perché il ruolo non è autorizzato a creare gruppi di sicurezza. customer-eks-alb-ingress-controller-role

D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon EKS su Fargate nel mio account AMS?

Per utilizzare il servizio, è necessario configurare le seguenti dipendenze:

Per l'autenticazione con il servizio, è aws-iam-authenticator necessario installare sia KUBECTL che KUBECTL; per ulteriori informazioni, vedere Gestione dell'autenticazione del cluster.
Kubernetes si basa su un concetto chiamato «account di servizio». Per utilizzare la funzionalità degli account di servizio all'interno di un cluster Kubernetes su EKS, è necessario un RFC Management | Other | Other | Update con i seguenti input:
- [Obbligatorio] Nome del cluster Amazon EKS
- [Obbligatorio] Spazio dei nomi del cluster Amazon EKS in cui verrà distribuito l'account di servizio (SA).
- [Obbligatorio] Nome Amazon EKS Cluster SA.
- [Obbligatorio] Nome e nome della policy IAM permissions/document da associare.
- [Obbligatorio] Nome del ruolo IAM richiesto.
- [Opzionale] URL del provider OpenID Connect. Per ulteriori informazioni, consulta
  - Abilitazione dei ruoli IAM per gli account di servizio sul cluster
  - Presentazione dei ruoli IAM dettagliati per gli account di servizio
Si consiglia di configurare e monitorare le regole di Config
- Endpoint del cluster pubblico
- Registrazione API disabilitata
È tua responsabilità monitorare e correggere queste regole di Config.

Se desideri implementare un controller ALB Ingress, invia un RFC Management | Other | Other Update per fornire il ruolo IAM necessario da utilizzare con il pod ALB Ingress Controller. I seguenti input sono necessari per creare risorse IAM da associare a ALB Ingress Controller (includili nella tua RFC):

[Obbligatorio] Nome del cluster Amazon EKS
[Opzionale] URL del provider OpenID Connect
[Opzionale] Spazio dei nomi Amazon EKS Cluster in cui verrà distribuito il servizio di controller di ingresso ALB (Application Load Balancer). [impostazione predefinita: kube-system]
[Facoltativo] Nome dell'account del servizio Amazon EKS Cluster (SA). [impostazione predefinita: aws-load-balancer-controller]

Se desideri abilitare la crittografia degli envelope secret nel tuo cluster (opzione consigliata), fornisci la chiave IDs KMS che intendi utilizzare nel campo della descrizione della RFC per aggiungere il servizio (Management | service | Self-provisioned AWS service | Add (ct-1w8z66n899dct). Per ulteriori informazioni sulla crittografia delle buste, consulta Amazon EKS aggiunge la crittografia delle buste per i segreti con AWS KMS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Amazon ECS su AWS Fargate

Amazon EMR