AWS CLI를 사용하여 kro 기능 생성 - Amazon EKS
사전 조건1단계: IAM 기능 역할 생성2단계: kro 기능 생성3단계: 기능이 활성 상태인지 확인4단계: Kubernetes 리소스를 관리할 권한 부여5단계: 사용자 지정 리소스를 사용할 수 있는지 확인다음 단계

이 페이지 개선에 도움 주기

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 GitHub에서 이 페이지 편집 링크를 선택합니다.

AWS CLI를 사용하여 kro 기능 생성

이 주제에서는 AWS CLI를 사용하여 Kube Resource Orchestrator(kro) 기능을 생성하는 방법을 설명합니다.

사전 조건

  • AWS CLI – 버전 2.12.3 이상. 버전을 확인하려면 aws --version을 실행합니다. 자세한 내용은 AWS 명령줄 인터페이스 사용 설명서에서 설치하기를 참조하세요.

  • kubectl - Kubernetes 클러스터 작업을 위한 명령줄 도구. 자세한 내용은 kubectl 및 eksctl 설정 섹션을 참조하세요.

1단계: IAM 기능 역할 생성

신뢰 정책 파일을 생성합니다.

cat > kro-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "capabilities.eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
EOF

IAM 역할을 생성합니다.

aws iam create-role \
  --role-name KROCapabilityRole \
  --assume-role-policy-document file://kro-trust-policy.json
참고

ACK 및 Argo CD와 달리 kro에는 추가 IAM 권한이 필요하지 않습니다. kro는 전적으로 클러스터 내에서 작동하며 AWS API 직접 호출을 수행하지 않습니다. 역할은 EKS 기능 서비스와 신뢰 관계를 설정하는 데만 필요합니다.

2단계: kro 기능 생성

클러스터에서 kro 기능 리소스를 생성합니다. region-code를 클러스터가 있는 AWS 리전(예: us-west-2)으로 바꾸고 my-cluster를 클러스터 이름으로 바꿉니다.

aws eks create-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-kro \
  --type KRO \
  --role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/KROCapabilityRole \
  --delete-propagation-policy RETAIN

명령은 즉시 반환되지만, EKS가 필요한 기능 인프라 및 구성 요소를 생성하므로 기능이 활성 상태가 되려면 다소 시간이 걸립니다. EKS는 생성될 때 클러스터에서 이 기능과 관련된 Kubernetes 사용자 지정 리소스 정의를 설치합니다.

참고

클러스터가 존재하지 않는다는 오류가 발생하거나 권한이 없는 경우 다음을 확인합니다.

  • 클러스터 이름이 올바른지

  • AWS CLI가 올바른 리전에 구성되었는지

  • 필요한 IAM 권한이 있음

3단계: 기능이 활성 상태인지 확인

기능이 활성 상태가 될 때까지 기다립니다. region-code를 클러스터를 생성한 AWS 리전으로 바꾸고 my-cluster를 클러스터 이름으로 바꿉니다.

aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-kro \
  --query 'capability.status' \
  --output text

상태가 ACTIVE로 표시되면 기능이 준비된 것입니다.

전체 기능 세부 정보를 볼 수도 있습니다.

aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-kro

4단계: Kubernetes 리소스를 관리할 권한 부여

기본적으로 kro는 ResourceGraphDefinitions 및 해당 인스턴스만 생성하고 관리할 수 있습니다. kro가 ResourceGraphDefinitions에 정의된 기본 Kubernetes 리소스를 생성하고 관리할 수 있도록 하려면 AmazonEKSClusterAdminPolicy 액세스 정책을 기능의 액세스 항목에 연결합니다.

기능 역할 ARN을 가져옵니다.

CAPABILITY_ROLE_ARN=$(aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-kro \
  --query 'capability.roleArn' \
  --output text)

클러스터 관리 정책을 연결합니다.

aws eks associate-access-policy \
  --region region-code \
  --cluster-name my-cluster \
  --principal-arn $CAPABILITY_ROLE_ARN \
  --policy-arn arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy \
  --access-scope type=cluster
중요

AmazonEKSClusterAdminPolicy는 모든 Kubernetes 리소스를 생성하고 관리할 수 있는 광범위한 권한을 부여하며 시작을 간소화하기 위해 제공됩니다. 프로덕션 사용 시 ResourceGraphDefinitions에서 관리할 특정 리소스에 필요한 권한만 부여하는 보다 제한적인 RBAC 정책을 생성합니다. 최소 권한 구성에 대한 지침은 kro 권한 구성EKS 기능에 대한 보안 고려 사항 섹션을 참조하세요.

5단계: 사용자 지정 리소스를 사용할 수 있는지 확인

기능이 활성 상태가 되면 클러스터에서 kro 사용자 지정 리소스를 사용할 수 있는지 확인합니다.

kubectl api-resources | grep kro.run

ResourceGraphDefinition 리소스 유형이 나열됩니다.

다음 단계