使用 AMS SSP 在您的 AMS 帳戶中 AWS Fargate 佈建 Amazon EKS - AMS 進階使用者指南
AWS Managed Services 常見問答集 AWS Fargate 中的 Amazon EKS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AMS SSP 在您的 AMS 帳戶中 AWS Fargate 佈建 Amazon EKS

使用 AMS 自助式佈建 (SSP) 模式直接在您的 AMS 受管帳戶中存取 Amazon EKS on AWS Fargate 功能。 AWS Fargate 是一種技術,可為容器提供隨需、大小正確的運算容量 (若要了解容器,請參閱什麼是容器?)。使用 AWS Fargate,您不再需要佈建、設定或擴展虛擬機器群組來執行容器。這樣一來即無須選擇伺服器類型、決定何時擴展節點群組,或最佳化叢集壓縮。

Amazon Elastic Kubernetes Service (Amazon EKS) 透過 AWS Fargate 使用 Kubernetes 提供的 AWS 上游可擴展模型建置的控制器,將 Kubernetes 與 整合。這些控制器作為 Amazon EKS 受管 Kubernetes 控制平面的一部分執行,並負責將原生 Kubernetes Pod 排程到 Fargate。Fargate 控制器包括新的排程器,除了數個變換與驗證許可控制器之外,也會隨著預設 Kubernetes 排程器執行。當您啟動符合在 Fargate 上執行之條件的 Pod 時,在叢集中執行的 Fargate 控制器便會辨識、更新及將 Pod 排程至 Fargate。

若要進一步了解,請參閱 Amazon EKS on AWS Fargate Now Generally AvailableAmazon EKS 安全最佳實務指南 (包括「建議」,例如「檢閱和撤銷不必要的匿名存取」等)。

提示

AMS 具有變更類型:部署 | 進階堆疊元件 | 身分與存取管理 (IAM) | 建立 OpenID Connect 提供者 (ct-30ecvfi3tq4k3),可與 Amazon EKS 搭配使用。如需範例,請參閱 Identity and Access Management (IAM) | Create OpenID Connect Provider

AWS Managed Services 常見問答集 AWS Fargate 中的 Amazon EKS

問:如何在我的 AMS 帳戶中請求存取 Fargate 上的 Amazon EKS?

透過提交管理 | AWS 服務 | 自助佈建服務 | 新增 (需要檢閱) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶。

  • customer_eks_fargate_console_role.

    在帳戶中佈建之後,您必須在聯合解決方案中加入角色。

  • 這些服務角色授予 Amazon EKS on Fargate 代表您呼叫其他 AWS 服務的許可:

    • customer_eks_pod_execution_role

    • customer_eks_cluster_service_role

問:在我的 AMS 帳戶中在 Fargate 上使用 Amazon EKS 有哪些限制?

  • AMS 不支援建立受管自我管理的 EC2 節點群組。如果您需要使用 EC2 工作者節點,請聯絡您的 AMS Cloud Service Delivery Manager (CSDM) 或 Cloud Architect (CA)。

  • AMS 不包含 Trend Micro 或預先設定的容器映像網路安全元件。您需要管理自己的映像掃描服務,以在部署之前偵測惡意容器映像。

  • 由於 CloudFormation 相互依存性,不支援 EKSCTL。

  • 在叢集建立期間,您有停用叢集控制平面記錄的許可。如需詳細資訊,請參閱 Amazon EKS 控制平面記錄。我們建議您在建立叢集時啟用所有重要的 API、身分驗證和稽核記錄。

  • 在叢集建立期間,Amazon EKS 叢集的叢集端點存取預設為公有;如需詳細資訊,請參閱 Amazon EKS 叢集端點存取控制。建議您將 Amazon EKS 端點設定為私有。如果公有存取需要端點,則最佳實務是僅針對特定 CIDR 範圍將其設定為公有。

  • AMS 沒有強制和限制用於部署到 Amazon EKS Fargate 容器之映像的方法。您可以從 Amazon ECR、Docker Hub 或任何其他私有映像儲存庫部署映像。因此,部署可能在該帳戶上執行惡意活動的公有映像會有風險。

  • AMS 不支援透過雲端開發套件 (CDK) 或 CloudFormation Ingest 部署 EKS 叢集。

  • 您必須使用 ct-3pc215bnwb6p7 部署 | 進階堆疊元件 | 安全群組 | 在資訊清單檔案中建立和參考,以建立輸入。這是因為角色customer-eks-alb-ingress-controller-role未獲授權建立安全群組。

問:在我的 AMS 帳戶中在 Fargate 上使用 Amazon EKS 的先決條件或相依性是什麼?

若要使用 服務,必須設定下列相依性:

  • 如需驗證服務,必須安裝 KUBECTL 和 aws-iam-authenticator;如需詳細資訊,請參閱管理叢集身分驗證

  • Kubernetes 倚賴稱為「服務帳戶」的概念。為了在 EKS 上利用 kubernetes 叢集內的服務帳戶功能,必須使用下列輸入進行管理 | 其他 | 更新 RFC:

  • 建議您設定和監控 Config 規則

    • 公有叢集端點

    • 停用 API 記錄

    您有責任監控和修復這些 Config 規則。

如果您想要部署 ALB 傳入控制器,請提交管理 | 其他 | 其他更新 RFC,以佈建要與 ALB 傳入控制器 Pod 搭配使用的必要 IAM 角色。建立要與 ALB 傳入控制器建立關聯的 IAM 資源 (請在 RFC 中包含這些資源) 需要下列輸入:

  • 【必要】 Amazon EKS 叢集名稱

  • 【選用】 OpenID Connect 提供者 URL

  • 【選用】 Amazon EKS 叢集命名空間,其中將部署應用程式負載平衡器 (ALB) 輸入控制器服務。【預設:kube-system】

  • 【選用】 Amazon EKS 叢集服務帳戶 (SA) 名稱。【預設:aws-load-balancer-controller】

如果您想要在叢集中啟用信封秘密加密 (我們建議),請在 RFC 的描述欄位中提供您要使用的 KMS 金鑰 IDs,以新增服務 (Management | AWS service | Self-visioned service | Add (ct-1w8z66n899dct)。若要進一步了解信封加密,請參閱 Amazon EKS 使用 AWS KMS 新增秘密的信封加密