기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AMS SSP를 사용하여 AMS 계정 AWS Fargate 의에서 Amazon EKS 프로비저닝
AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 직접 AWS Fargate Amazon EKS 기능에 액세스합니다. AWS Fargate 는 컨테이너에 대한 적절한 크기의 온디맨드 컴퓨팅 용량을 제공하는 기술입니다(컨테이너를 이해하려면 컨테이너란 무엇입니까?
Amazon Elastic Kubernetes Service(Amazon EKS)는 Kubernetes에서 제공하는 확장 가능한 업스트림 모델을 AWS Fargate 사용하여 구축된 컨트롤러를 AWS 사용하여 Kubernetes를와 통합합니다. 이러한 컨트롤러는 Amazon EKS 관리형 Kubernetes 컨트롤 플레인의 일부로 실행되며 Fargate에서 네이티브 Kubernetes 포드를 예약하는 역할을 합니다. Fargate 컨트롤러에는 여러 개의 변형 및 검증 승인 컨트롤러 외에도 기본 Kubernetes 스케줄러와 함께 실행되는 새 스케줄러가 포함되어 있습니다. Fargate에서 실행하기 위한 조건을 충족하는 포드를 시작하면 클러스터에서 실행되는 Fargate 컨트롤러가 해당 포드를 인식하고 업데이트하고 Fargate에 예약합니다.
자세한 내용은 Amazon EKS on AWS Fargate Now Generally Available
작은 정보
AMS에는 Amazon EKS와 함께 사용할 수 있는 변경 유형인 배포 | 고급 스택 구성 요소 | Identity and Access Managment(IAM) | OpenID Connect 공급자 생성(ct-30ecvfi3tq4k3)이 있습니다. 예제는 Identity and Access Management(IAM) | OpenID Connect Provider 생성을 참조하세요.
AWS Managed Services AWS Fargate 의 Amazon EKS FAQ
Q: AMS 계정에서 Fargate의 Amazon EKS에 대한 액세스를 요청하려면 어떻게 해야 합니까?
관리 | AWS 서비스 | 자체 프로비저닝된 서비스 | 추가(검토 필요)(ct-3qe6io8t6jtny) 변경 유형을 제출하여 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다.
customer_eks_fargate_console_role.계정에 프로비저닝된 후에는 페더레이션 솔루션에서 역할을 온보딩해야 합니다.
이러한 서비스 역할은 Fargate의 Amazon EKS에 사용자를 대신하여 다른 AWS 서비스를 호출할 수 있는 권한을 부여합니다.
customer_eks_pod_execution_rolecustomer_eks_cluster_service_role
Q: AMS 계정에서 Fargate에서 Amazon EKS를 사용하는 데 따르는 제한 사항은 무엇인가요?
관리형 또는 자체 관리형 EC2 노드 그룹 생성은 AMS에서 지원되지 않습니다. EC2 작업자 노드를 사용해야 하는 경우 AMS Cloud Service Delivery Manager(CSDM) 또는 Cloud Architect(CA)에 문의하십시오.
AMS에는 컨테이너 이미지에 대한 Trend Micro 또는 사전 구성된 네트워크 보안 구성 요소가 포함되지 않습니다. 배포 전에 자체 이미지 스캔 서비스를 관리하여 악성 컨테이너 이미지를 탐지해야 합니다.
CloudFormation 상호 종속성으로 인해 EKSCTL이 지원되지 않습니다.
클러스터를 생성하는 동안 클러스터 컨트롤 플레인 로깅을 비활성화할 수 있는 권한이 있습니다. 자세한 내용을 알아보려면 Amazon EKS 컨트롤 플레인 로깅을 참조하세요. 클러스터 생성 시 모든 중요한 API, 인증 및 감사 로깅을 활성화하는 것이 좋습니다.
클러스터 생성 중에 Amazon EKS 클러스터에 대한 클러스터 엔드포인트 액세스는 기본적으로 퍼블릭으로 설정됩니다. 자세한 내용은 Amazon EKS 클러스터 엔드포인트 액세스 제어를 참조하세요. Amazon EKS 엔드포인트를 프라이빗으로 설정하는 것이 좋습니다. 퍼블릭 액세스에 엔드포인트가 필요한 경우 특정 CIDR 범위에 대해서만 엔드포인트를 퍼블릭으로 설정하는 것이 좋습니다.
AMS에는 Amazon EKS Fargate의 컨테이너에 배포하는 데 사용되는 이미지를 강제로 적용하고 제한하는 방법이 없습니다. Amazon ECR, Docker Hub 또는 기타 프라이빗 이미지 리포지토리에서 이미지를 배포할 수 있습니다. 따라서 계정에서 악의적인 활동을 수행할 수 있는 퍼블릭 이미지를 배포할 위험이 있습니다.
클라우드 개발 키트(CDK) 또는 CloudFormation Ingest를 통한 EKS 클러스터 배포는 AMS에서 지원되지 않습니다.
수신 생성을 위해 매니페스트 파일에서 ct-3pc215bnwb6p7 배포 | 고급 스택 구성 요소 | 보안 그룹 | 생성 및 참조를 사용하여 필요한 보안 그룹을 생성해야 합니다. 이는 역할
customer-eks-alb-ingress-controller-role이 보안 그룹을 생성할 권한이 없기 때문입니다.
Q: AMS 계정에서 Fargate에서 Amazon EKS를 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?
서비스를 사용하려면 다음 종속성을 구성해야 합니다.
서비스에 대해 인증하려면 KUBECTL과 aws-iam-authenticator를 모두 설치해야 합니다. 자세한 내용은 클러스터 인증 관리를 참조하세요.
Kubernetes는 "서비스 계정"이라는 개념을 사용합니다. EKS의 kubernetes 클러스터 내에서 서비스 계정 기능을 활용하려면 다음 입력과 함께 관리 | 기타 | 기타 | RFC 업데이트가 필요합니다.
[필수] Amazon EKS 클러스터 이름
[필수] 서비스 계정(SA)이 배포될 Amazon EKS 클러스터 네임스페이스입니다.
[필수] Amazon EKS Cluster SA 이름입니다.
[필수] 연결할 IAM 정책 이름 및 권한/문서입니다.
[필수] 요청 중인 IAM 역할 이름입니다.
[선택 사항] OpenID Connect 공급자 URL입니다. 자세한 내용은 다음 단원을 참조하십시오.
에 대해 Config 규칙을 구성하고 모니터링하는 것이 좋습니다.
퍼블릭 클러스터 엔드포인트
비활성화된 API 로깅
이러한 Config 규칙을 모니터링하고 수정하는 것은 사용자의 책임입니다.
ALB 수신 컨트롤러를 배포하려면 관리 | 기타 | 기타 업데이트 RFC를 제출하여 ALB 수신 컨트롤러 포드와 함께 사용하는 데 필요한 IAM 역할을 프로비저닝합니다. ALB 수신 컨트롤러와 연결할 IAM 리소스를 생성하려면 다음 입력이 필요합니다(RFC에 포함).
[필수] Amazon EKS 클러스터 이름
[선택 사항] OpenID Connect 공급자 URL
[선택 사항] 애플리케이션 로드 밸런서(ALB) 수신 컨트롤러 서비스가 배포될 Amazon EKS 클러스터 네임스페이스입니다. [기본값: kube-system]
[선택 사항] Amazon EKS 클러스터 서비스 계정(SA) 이름. [기본값: aws-load-balancer-controller]
클러스터에서 봉투 보안 암호 암호화를 활성화하려면(권장) RFC의 설명 필드에 사용하려는 KMS 키 IDs를 제공하여 서비스를 추가합니다(관리 | AWS 서비스 | 자체 프로비저닝된 서비스 | 추가(ct-1w8z66n899dct). 봉투 암호화에 대한 자세한 내용은 Amazon EKS에서 AWS KMS를 사용한 보안 암호에 대한 봉투 암호화 추가를 참조하세요
