Etapa 1: criação de um perfil da funcionalidade do IAM Etapa 2: criação da funcionalidade do ACK Etapa 3: verificação da ativação da funcionalidade Etapa 4: verificação da disponibilidade de recursos personalizados Próximas etapas

Criação de uma funcionalidade do ACK por meio do eksctl

Crie uma funcionalidade do ACK no cluster do Amazon EKS usando a ferramenta eksctl.

nota

Para realizar as etapas seguintes, é necessário estar utilizando o eksctl na versão 0.215.0 ou em versões posteriores. Para verificar a versão, execute eksctl version.

Etapa 1: criação de um perfil da funcionalidade do IAM

Crie um arquivo de política de confiança:


cat > ack-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "capabilities.eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
EOF

Crie o perfil do IAM:


aws iam create-role \
  --role-name ACKCapabilityRole \
  --assume-role-policy-document file://ack-trust-policy.json

Anexe a política gerenciada AdministratorAccess ao perfil:


aws iam attach-role-policy \
  --role-name ACKCapabilityRole \
  --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

Importante

A política AdministratorAccess sugerida concede permissões abrangentes e destina-se a simplificar as etapas iniciais do uso do serviço. Para ambientes de produção, substitua essa política por uma personalizada que forneça somente as permissões exigidas pelos serviços específicos da AWS que você pretende gerenciar usando o ACK. Para obter orientações sobre como criar políticas de privilégio mínimo, consulte Configuração das permissões do ACK e Considerações sobre segurança para funcionalidades do EKS.

Etapa 2: criação da funcionalidade do ACK

Crie a funcionalidade do ACK por meio do eksctl. Substitua region-code pela região AWS em que seu cluster se encontra e substitua my-cluster pelo nome do seu cluster.


eksctl create capability \
  --cluster my-cluster \
  --region region-code \
  --name ack \
  --type ACK \
  --role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
  --ack-service-controllers s3

nota

O sinalizador --ack-service-controllers é opcional. Se omitido, o ACK habilita todos os controladores disponíveis. Para otimizar a performance e a segurança, recomendamos habilitar somente os controladores necessários. É possível definir vários controladores ao mesmo tempo: --ack-service-controllers s3,rds,dynamodb

O comando é executado de forma imediata, mas a funcionalidade demora algum tempo para se tornar ativa.

Etapa 3: verificação da ativação da funcionalidade

Verifique o status da funcionalidade:


eksctl get capability \
  --cluster my-cluster \
  --region region-code \
  --name ack

A funcionalidade estará pronta assim que o status mostrar ACTIVE.

Etapa 4: verificação da disponibilidade de recursos personalizados

Após a funcionalidade estar ativa, verifique se os recursos personalizados do ACK estão disponíveis no cluster:


kubectl api-resources | grep services.k8s.aws

Você deverá visualizar várias APIs listadas para os recursos da AWS.

nota

A funcionalidade do AWS Controllers for Kubernetes instalará diversas CRDs para vários tipos de recursos da AWS.

Próximas etapas

Conceitos do ACK: entenda os conceitos do ACK e comece a usar o serviço
Configuração das permissões do ACK: configure as permissões do IAM para outros serviços da AWS
Como trabalhar com recursos de funcionalidade: gerencie os recursos da funcionalidade do ACK

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS CLI

Conceitos do ACK