Installa ASCP per Amazon EKS - AWS Systems Manager
PrerequisitiIstalla e configura l'ASCPVerifica le installazioniRisoluzione dei problemiRisorse aggiuntive

• non AWS Systems ManagerChange Manager è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, vedere Modifica della AWS Systems ManagerChange Manager disponibilità.

 

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Installa ASCP per Amazon EKS

Questa sezione spiega come installare AWS Secrets and Configuration Provider per Amazon EKS. Con ASCP, puoi montare parametri di Parameter Store e segreti di Gestione dei segreti AWS come file in Amazon EKS Pods.

Prerequisiti

  • Cluster Amazon EKS

    • Versione 1.24 o successiva per Pod Identity

    • Versione 1.17 o successiva per IRSA

  • Installazione e configurazione di AWS CLI.

  • kubectl installato e configurato per il cluster Amazon EKS

  • Helm (versione 3.0 o successiva)

Istalla e configura l'ASCP

ASCP è disponibile su GitHub nella secrets-store-csi-provider-aws repository. Il repository contiene anche file YAML di esempio per la creazione e il montaggio di un segreto tramite la modifica del valore objectType da secretsmanager a ssmparameter.

Durante l'installazione, puoi configurare l'ASCP per utilizzare un endpoint FIPS. Per un elenco degli endpoint di Systems Manager, consulta gli endpoint del servizio di Systems Manager nella Riferimenti generali di Amazon Web Services.

Installazione dell'ASCP con l'utilizzo di Helm

  1. Per assicurarti che il repository punti al grafico più recente, utilizza helm repo update.

  2. Aggiungi il grafico dei driver CSI di Secrets Store. 

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts

  3. Installare il grafico. Per configurare la limitazione (della larghezza di banda della rete), aggiungi il seguente flag: --set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'

    helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver

  4. Aggiungi il grafico ASCP.

    helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws

  5. Installare il grafico. Per utilizzare un endpoint FIPS, aggiungi il seguente flag: --set useFipsEndpoint=true

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
Installazione utilizzando lo YAML nel repository

  • Utilizza i seguenti comandi:

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

Verifica le installazioni

Per verificare le installazioni del cluster EKS, del driver CSI di Secrets Store e del plug-in ASCP, procedi nel seguente modo:

  1. Verifica il cluster EKS:

    eksctl get cluster --name clusterName

    Questo comando deve restituire informazioni sul cluster.

  2. Verifica l'installazione del driver CSI di Secrets Store:

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    Dovresti vedere dei pod in esecuzione con nomi come csi-secrets-store-secrets-store-csi-driver-xxx.

  3. Verifica l'installazione del plugin ASCP:

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    Output di esempio:

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    Output di esempio:

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    Dovresti vedere dei pod nello stato Running.

Dopo aver eseguito questi comandi, se tutto è impostato correttamente, dovresti vedere tutti i componenti in esecuzione senza errori. In caso di problemi, potrebbe essere necessario risolverli controllando i log dei pod specifici che presentano problemi.

Risoluzione dei problemi

  1. Per controllare i log del provider ASCP, esegui:

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. Controlla lo stato di tutti i pod nel namespace kube-system.

    Sostituisci il testo segnaposto predefinito con l'ID del tuo pod:

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/pod-id

    Tutti i pod relativi al driver CSI e all'ASCP devono essere nello stato "In esecuzione".

  3. Controlla la versione del driver CSI:

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    Questo comando deve restituire informazioni sul driver CSI installato.

Risorse aggiuntive

Per ulteriori informazioni su come utilizzare ASCP con Amazon EKS, consulta le seguenti risorse: