Perguntas frequentes sobre o Amazon EKS on AWS Fargate in AWS Managed Services

Use o AMS SSP para provisionar o Amazon EKS AWS Fargate em sua conta AMS

Use o modo AMS Self-Service Provisioning (SSP) para acessar os AWS Fargate recursos do Amazon EKS diretamente em sua conta gerenciada pelo AMS. AWS Fargate é uma tecnologia que fornece capacidade computacional sob demanda e do tamanho certo para contêineres (para entender os contêineres, consulte O que são contêineres? ). Com AWS Fargate isso, você não precisa mais provisionar, configurar ou escalar grupos de máquinas virtuais para executar contêineres. Isso elimina a necessidade de escolher tipos de servidor, de decidir quando dimensionar os grupos de nós ou de otimizar o pacote de clusters.

O Amazon Elastic Kubernetes Service (Amazon EKS) integra o AWS Fargate Kubernetes usando controladores AWS criados usando o modelo upstream e extensível fornecido pelo Kubernetes. Esses controladores são executados como parte do plano de controle Kubernetes gerenciado pelo Amazon EKS e são responsáveis por programar pods nativos do Kubernetes no Fargate. Os controladores do Fargate incluem um novo agendador que é executado com o agendador do Kubernetes, além de vários controladores de admissão de mutação e de validação. Ao iniciar um pod que atende aos critérios de execução no Fargate, os controladores do Fargate em execução no cluster reconhecem, atualizam e agendam o pod no Fargate.

Para saber mais, consulte Amazon EKS on AWS Fargate Now Generally Available e o Guia de melhores práticas de segurança do Amazon EKS (inclui “Recomendações”, como “Revisar e revogar acesso anônimo desnecessário” e muito mais).

dica

O AMS tem um tipo de alteração, Deployment | Advanced stack components | Identity and Access Management (IAM) | Create OpenID Connect provider (ct-30ecvfi3tq4k3), que você pode usar com o Amazon EKS. Para ver um exemplo, consulte Identity and Access Management (IAM) | Create OpenID Connect Provider.

Perguntas frequentes sobre o Amazon EKS on AWS Fargate in AWS Managed Services

P: Como solicito acesso ao Amazon EKS no Fargate na minha conta AMS?

Solicite acesso enviando um Gerenciamento | AWS serviço | Serviço autoprovisionado | Adicionar (revisão obrigatória) (ct-3qe6io8t6jtny) tipo de alteração. Essa RFC provisiona a seguinte função do IAM para sua conta.

customer_eks_fargate_console_role.

Depois de provisionado em sua conta, você deve integrar a função em sua solução de federação.
Essas funções de serviço dão ao Amazon EKS on Fargate permissão para ligar para outros AWS serviços em seu nome:
- customer_eks_pod_execution_role
- customer_eks_cluster_service_role

P: Quais são as restrições para usar o Amazon EKS no Fargate na minha conta AMS?

A criação de EC2 grupos de nós gerenciados ou autogerenciados não é suportada no AMS. Se você precisar usar nós de EC2 trabalho, entre em contato com seu AMS Cloud Service Delivery Manager (CSDM) ou Cloud Architect (CA).
O AMS não inclui o Trend Micro nem componentes de segurança de rede pré-configurados para imagens de contêineres. Espera-se que você gerencie seus próprios serviços de digitalização de imagens para detectar imagens de contêineres maliciosas antes da implantação.
O EKSCTL não é suportado devido a CloudFormation interdependências.
Durante a criação do cluster, você tem permissões para desativar o registro do plano de controle do cluster. Para obter mais informações, consulte Registro em log do ambiente de gerenciamento do Amazon EKS. Recomendamos que você ative todos os registros importantes de API, autenticação e auditoria na criação do cluster.
Durante a criação do cluster, o acesso ao endpoint do cluster para clusters do Amazon EKS é padronizado como público; para obter mais informações, consulte Controle de acesso ao endpoint do cluster do Amazon EKS. Recomendamos que os endpoints do Amazon EKS sejam definidos como privados. Se os endpoints forem necessários para acesso público, é uma prática recomendada defini-los como públicos somente para intervalos CIDR específicos.
O AMS não tem um método para forçar e restringir imagens usadas para implantação em contêineres no Amazon EKS Fargate. Você pode implantar imagens do Amazon ECR, do Docker Hub ou de qualquer outro repositório privado de imagens. Portanto, existe o risco de implantar uma imagem pública que possa realizar atividades maliciosas na conta.
A implantação de clusters EKS por meio do kit de desenvolvimento em nuvem (CDK) ou do CloudFormation Ingest não é suportada no AMS.
Você deve criar o grupo de segurança necessário usando ct-3pc215bnwb6p7 Deployment | Advanced stack components | Security group | Create e referencie no arquivo manifesto para criação de entrada. Isso ocorre porque a função customer-eks-alb-ingress-controller-role não está autorizada a criar grupos de segurança.

P: Quais são os pré-requisitos ou dependências para usar o Amazon EKS no Fargate na minha conta AMS?

Para usar o serviço, as seguintes dependências devem ser configuradas:

Para fazer a autenticação no serviço, tanto o KUBECTL quanto o KUBECTL aws-iam-authenticator devem estar instalados; para obter mais informações, consulte Gerenciando a autenticação de cluster.
O Kubernetes se baseia em um conceito chamado “contas de serviço”. Para utilizar a funcionalidade de contas de serviço dentro de um cluster kubernetes no EKS, é necessário um RFC de gerenciamento | Outro | Outro | Atualizar com as seguintes entradas:
- [Obrigatório] Nome do cluster Amazon EKS
- [Obrigatório] Namespace do Amazon EKS Cluster em que a conta de serviço (SA) será implantada.
- [Obrigatório] Nome do Amazon EKS Cluster SA.
- [Obrigatório] Nome da política do IAM e permissions/document a ser associada.
- [Obrigatório] O nome da função do IAM está sendo solicitado.
- [Opcional] URL do provedor do OpenID Connect. Para obter mais informações, consulte
  - Habilitando funções do IAM para contas de serviço em seu cluster
  - Apresentando funções refinadas do IAM para contas de serviço
Recomendamos que as regras de Config sejam configuradas e monitoradas para
- Endpoints de cluster público
- Registro de API desativado
É sua responsabilidade monitorar e corrigir essas regras do Config.

Se você quiser implantar um controlador ALB Ingress, envie um RFC Management | Other | Other Update para provisionar a função IAM necessária para ser usada com o pod do ALB Ingress Controller. As seguintes entradas são necessárias para criar recursos do IAM a serem associados ao ALB Ingress Controller (inclua-os com sua RFC):

[Obrigatório] Nome do cluster Amazon EKS
[Opcional] URL do provedor do OpenID Connect
[Opcional] Namespace do Amazon EKS Cluster em que o serviço de controlador de entrada do Application Load Balancer (ALB) será implantado. [padrão: kube-system]
[Opcional] Nome da conta de serviço (SA) do Amazon EKS Cluster. [padrão: aws-load-balancer-controller]

Se você quiser habilitar a criptografia de segredos de envelope em seu cluster (o que recomendamos), forneça a chave KMS que IDs você pretende usar no campo de descrição da RFC para adicionar o serviço (Gerenciamento | serviço | Serviço autoprovisionado | AWS Adicionar (ct-1w8z66n899dct). Para saber mais sobre criptografia de envelope, consulte Amazon EKS adiciona criptografia de envelope para segredos com o AWS KMS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon ECS em AWS Fargate

Amazon EMR