安裝適用於 Amazon EKS 的 ASCP - AWS Systems Manager
先決條件安裝和設定 ASCP驗證安裝故障診斷其他資源

• AWS Systems Manager Change Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems Manager Change Manager可用性變更

 

• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 Amazon CloudWatch Dashboard 文件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安裝適用於 Amazon EKS 的 ASCP

本節將說明如何安裝 Amazon EKS 的 AWS Secrets and Configuration Provider。使用 ASCP,您可以將 Parameter Store 中的參數和 AWS Secrets Manager 中的秘密掛載為 Amazon EKS Pod 中的檔案。

先決條件

  • Amazon EKS 叢集

    • 適用於 Pod 身分識別的 1.24 版或更新版本

    • 適用於 IRSA 的 1.17 版或更新版本

  • 已安裝並設定 AWS CLI

  • 已為 Amazon EKS 叢集安裝和設定 kubectl

  • Helm (3.0 版或更新版本)

安裝和設定 ASCP

您可在 secrets-store-csi-provider-aws 儲存庫中的 GitHub 取得 ASCP。儲存庫還包含用於透過將 objectType 值從 secretsmanager 變更為 ssmparameter 來建立和掛載秘密的範例 YAML 檔案。

在安裝期間,您可以將 ASCP 設定為使用 FIPS 端點。如需 Systems Manager 端點的清單,請參閱 Amazon Web Services 一般參考 中的 Systems Manager service endpoints

使用 Helm 安裝 ASCP

  1. 為確認儲存庫指向最新圖表,請使用 helm repo update.

  2. 新增 Secrets Store CSI Driver 圖表。

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts

  3. 安裝圖表。若要設定限流,請新增下列旗標:--set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}'

    helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver

  4. 新增 ASCP 圖表。

    helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws

  5. 安裝圖表。若要使用 FIPS 端點,請新增下列旗標:--set useFipsEndpoint=true

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
使用儲存庫中的 YAML 進行安裝

  • 使用下列命令。

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

驗證安裝

若要驗證 EKS 叢集、Secrets Store CSI 驅動程式和 ASCP 外掛程式的安裝,請遵循下列步驟:

  1. 驗證 EKS 叢集:

    eksctl get cluster --name clusterName

    此命令應傳回叢集的相關資訊。

  2. 驗證 Secrets Store CSI 驅動程式的安裝:

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    您應該會看到名稱類似於 csi-secrets-store-secrets-store-csi-driver-xxx 的 Pod 正在執行。

  3. 驗證 ASCP 外掛程式的安裝:

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    輸出範例:

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    輸出範例:

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    您應該會看到處於 Running 狀態的 Pod。

執行這些命令之後,如果一切皆正確設定,您應該會看到所有元件都在執行,而且沒有任何錯誤。如果您遇到任何問題,您可能需要檢查有問題之特定 Pod 的日誌,以進行疑難排解。

故障診斷

  1. 若要檢查 ASCP 提供者的日誌,請執行:

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. 檢查 kube-system 命名空間中所有 Pod 的狀態。

    使用您的 Pod ID 取代預設預留位置文字

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/pod-id

    與 CSI 驅動程式和 ASCP 相關的所有 Pod 都應該處於「執行中」狀態。

  3. 檢查 CSI 驅動程式版本:

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    此命令應傳回已安裝 CSI 驅動程式的相關資訊。

其他資源

如需有關如何搭配 Amazon EKS 使用 ASCP 的詳細資訊,請參閱下列資源: