Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa AWS Secrets and Configuration Provider CSI con IAM Roles for Service Accounts (IRSA)
Argomenti
Prerequisiti
-
Cluster Amazon EKS (versione 1.17 o successiva)
-
Accesso AWS CLI e cluster Amazon EKS tramite
kubectl
Configurazione del controllo degli accessi
L'ASCP recupera l'identità del pod Amazon EKS e la scambia con un ruolo IAM. Hai impostato le autorizzazioni in una policy IAM per quel ruolo IAM. Quando l'ASCP assume il ruolo IAM, ottiene l'accesso ai parametri che hai autorizzato. Altri container non possono accedere ai parametri a meno che non vengano associati anche al ruolo IAM.
Per concedere al tuo Amazon EKS Pod l'accesso ai parametri in Parameter Store
-
Crea una politica di autorizzazioni che conceda
ssm:GetParameters
essm:DescribeParameters
autorizzi i parametri a cui il Pod deve accedere. -
Crea un provider OpenID Connect (OIDC) IAM per il cluster se non ne è già presente uno. Per ulteriori informazioni, consulta Creare un provider IAM OIDC per il tuo cluster nella Amazon EKS User Guide.
-
Crea un ruolo IAM per l'account di servizio e allega la policy ad esso. Per ulteriori informazioni, consulta Creare un ruolo IAM per un account di servizio nella Amazon EKS User Guide.
-
Se utilizzi un cluster Amazon EKS privato, assicurati che il VPC in cui si trova il cluster abbia un AWS STS endpoint. Per informazioni sulla creazione di un endpoint, consulta Interface VPC endpoints nella AWS Identity and Access Management Guida per l'utente.
Identifica i parametri da montare
Per determinare quali parametri l'ASCP monta in Amazon EKS come file sul filesystem, crei un file YAML. SecretProviderClass SecretProviderClass
Elenca i parametri da montare e il nome del file con cui montarli. SecretProviderClass
Deve trovarsi nello stesso spazio dei nomi del pod Amazon EKS a cui fa riferimento.
Monta i parametri come file
Le seguenti istruzioni mostrano come montare i parametri come file utilizzando i file YAML di esempio .yaml e ExampleSecretProviderClass.yaml
Per montare i parametri in Amazon EKS
-
Applica il
SecretProviderClass
al Pod:kubectl apply -f ExampleSecretProviderClass.yaml
-
Implementa il tuo Pod:
kubectl apply -f ExampleDeployment.yaml
-
L'ASCP monta i file.
Risoluzione dei problemi
È possibile visualizzare la maggior parte degli errori descrivendo la distribuzione del Pod.
Per visualizzare i messaggi di errore per il container
-
Ottieni un elenco di nomi di Pod con il seguente comando. Se non si sta utilizzando lo spazio dei nomi predefinito, utilizzare
-n
.name-space
kubectl get pods
-
Per descrivere il Pod, nel comando seguente,
pod-id
usa l'ID Pod dei Pod che hai trovato nel passaggio precedente. Se non si sta utilizzando lo spazio dei nomi predefinito, utilizzare-n
.nameSpace
kubectl describe pod/
pod-id
Come visualizzare gli errori per l'ASCP
-
Per trovare maggiori informazioni nei log del provider, nel comando seguente,
pod-id
usa l'ID del Pod csi-secrets-store-provider-aws.kubectl -n kube-system get pods kubectl -n kube-system logs Pod/
pod-id
-
Verifica che il
SecretProviderClass
CRD sia installato:kubectl get crd secretproviderclasses.secrets-store.csi.x-k8s.io
Questo comando dovrebbe restituire informazioni sulla definizione
SecretProviderClass
personalizzata della risorsa.
-
Verificate che l' SecretProviderClass oggetto sia stato creato.
kubectl get secretproviderclass
SecretProviderClassName
-o yaml