네트워크 연결 해제를 통해 자격 증명 호스팅 - Amazon EKS
SSM 하이브리드 활성화IAM Roles Anywhere

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

네트워크 연결 해제를 통해 자격 증명 호스팅

EKS Hybrid Nodes는 EKS 컨트롤 플레인으로 노드를 인증하는 데 사용되는 임시 IAM 자격 증명을 위해 AWS Systems Manager(SSM) 하이브리드 활성화 및 AWS IAM Roles Anywhere와 통합됩니다. SSM과 IAM Roles Anywhere 모두 온프레미스 호스트에서 관리하는 임시 자격 증명을 자동으로 새로 고칩니다. 클러스터의 하이브리드 노드에서 SSM 하이브리드 활성화 또는 IAM Roles Anywhere와 같은 단일 자격 증명 공급자를 사용하는 것이 좋지만 둘 다 사용하는 것은 아닙니다.

SSM 하이브리드 활성화

SSM에서 프로비저닝한 임시 자격 증명은 1시간 동안 유효합니다. SSM을 자격 증명 공급자로 사용할 때는 자격 증명 유효 기간을 변경할 수 없습니다. 임시 자격 증명은 만료되기 전에 SSM에 의해 자동으로 교체되며, 교체는 노드 또는 애플리케이션의 상태에 영향을 주지 않습니다. 그러나 SSM 에이전트와 SSM 리전 엔드포인트 간에 네트워크 연결이 끊어지면 SSM이 자격 증명을 새로 고칠 수 없으며 자격 증명이 만료될 수 있습니다.

SSM은 SSM 리전 엔드포인트에 연결할 수 없는 경우 자격 증명 새로 고침 재시도에 지수 백오프를 사용합니다. SSM 에이전트 버전 3.3.808.0 이상(2024년 8월 릴리스)에서는 지수 백오프가 30분으로 제한됩니다. 네트워크 연결 해제 기간에 따라 SSM이 자격 증명을 새로 고치는 데 최대 30분이 걸릴 수 있으며, 자격 증명이 새로 고쳐질 때까지 하이브리드 노드가 EKS 컨트롤 플레인에 다시 연결되지 않습니다. 이 시나리오에서는 SSM 에이전트를 다시 시작하여 자격 증명을 강제로 새로 고칠 수 있습니다. 현재 SSM 자격 증명 새로 고침 동작의 부작용으로 각 노드의 SSM 에이전트가 자격 증명을 새로 고치는 시점에 따라 노드가 서로 다른 시간에 다시 연결될 수 있습니다. 따라서 이미 다시 연결된 노드에 아직 다시 연결되지 않은 노드에서 포드 장애 조치가 표시될 수 있습니다.

SSM 에이전트 버전을 가져옵니다. SSM 콘솔의 Fleet Manager 섹션을 확인할 수도 있습니다.

# AL2023, RHEL
yum info amazon-ssm-agent
# Ubuntu
snap list amazon-ssm-agent

SSM 에이전트를 다시 시작합니다.

# AL2023, RHEL
systemctl restart amazon-ssm-agent
# Ubuntu
systemctl restart snap.amazon-ssm-agent.amazon-ssm-agent

SSM 에이전트 로그 보기:

tail -f /var/log/amazon/ssm/amazon-ssm-agent.log

네트워크 연결 해제 중 예상되는 로그 메시지:

INFO [CredentialRefresher] Credentials ready
INFO [CredentialRefresher] Next credential rotation will be in 29.995040663666668 minutes
ERROR [CredentialRefresher] Retrieve credentials produced error: RequestError: send request failed
INFO [CredentialRefresher] Sleeping for 35s before retrying retrieve credentials
ERROR [CredentialRefresher] Retrieve credentials produced error: RequestError: send request failed
INFO [CredentialRefresher] Sleeping for 56s before retrying retrieve credentials
ERROR [CredentialRefresher] Retrieve credentials produced error: RequestError: send request failed
INFO [CredentialRefresher] Sleeping for 1m24s before retrying retrieve credentials

IAM Roles Anywhere

IAM Roles Anywhere에서 프로비저닝한 임시 자격 증명은 기본적으로 1시간 동안 유효합니다. IAM Roles Anywhere 프로파일의 durationSeconds 필드를 통해 IAM Roles Anywhere로 자격 증명 유효 기간을 구성할 수 있습니다. 최대 자격 증명 유효 기간은 12시간입니다. 하이브리드 노드 IAM 역할의 MaxSessionDuration 설정은 IAM Roles Anywhere 프로파일의 durationSeconds 설정보다 커야 합니다.

IAM Roles Anywhere를 하이브리드 노드의 자격 증명 공급자로 사용하는 경우 kubelet이 온디맨드 자격 증명을 얻기 aws_signing_helper credential-process 위해를 호출하기 때문에 네트워크 연결 해제 후 일반적으로 네트워크 복원 후 몇 초 내에 EKS 컨트롤 플레인에 다시 연결합니다. 하이브리드 노드 또는 네트워크 연결 해제와 직접 관련이 없지만 IAM Roles Anywhere를 사용할 때 인증서 만료에 대한 알림 및 알림을 구성할 수 있습니다. 자세한 내용은 IAM Roles Anywhere의 알림 설정 사용자 지정을 참조하세요.