EKS - Utilizați roluri IAM pentru conturile de serviciu pe mai multe clustere

signaleleven

14.10.2022, 13:24

Încerc să folosesc roluri IAM pentru conturile de serviciu în EKS. https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html

Când vine vorba de a crea rolul IAM pentru a fi atribuit unui cont de serviciu, trebuie să îl creez cu o politică de încredere care se referă la furnizorul OIDC al unui anumit cluster.

https://docs.aws.amazon.com/eks/latest/userguide/create-service-account-iam-policy-and-role.html

Specific:

De asemenea, trebuie să creați un rol IAM pentru conturile dvs. de serviciu Kubernetes pe care să îl utilizați înainte de a-l asocia cu un cont de serviciu. Relația de încredere este acoperită de clusterul și contul de serviciu, astfel încât fiecare combinație de cluster și cont de serviciu necesită propriul rol

Această parte: Relația de încredere este acoperită de clusterul și contul de serviciu este CHIAR limitativ.

Problema mea este că aș dori ca clusterele să fie efemere și de scurtă durată, dar nu vreau să modific politica de încredere a tuturor rolurilor IAM aplicației atribuite conturilor de serviciu din cluster de fiecare dată când reconstruiesc un cluster. În plus, aș dori ca același manifest manifest kubernetes (pentru același cont de serviciu) să fie aplicat, identic, la mai mult de un cluster, potențial pe clustere care nu existau când a fost scris manifestul și a fost creat rolul IAM al aplicației.

În timpul pre-eks, când se utilizează kube2iam, am creat pur și simplu noduri de cluster care au partajat profilul instanței și folosesc rolul profilului instanței în politica de încredere a rolurilor IAM atribuite pod-urilor. Asta mi-a permis să scriu manifeste care ar funcționa pe mai multe clustere.

Aparent, nu pot partaja un furnizor OIDC între două clustere EKS, într-un mod similar în care împărțeam rolul nodului (profilul instanței) înainte.

Abordez problema de la capătul greșit? Nu vreau să codific în politica de încredere a aplicației rolurile IAM ceva (în acest caz furnizorul OIDC) care este specific clusterului, deoarece clusterul nu ar trebui să fie etern.Vreau să îl pot reconstrui de la zero fără a reconstrui rolurile aplicațiilor (sau manifestelor contului de serviciu) pe care le-aș putea rula pe el.

Aș rămâne la kube2iam, dar asta nu funcționează cu profilurile Fargate, așa că rolurile IAM pentru conturile de serviciu sunt singura mea soluție.

260

0 + 0

servicii-web-amazon

amazon-iam

amazon-eks

SEF 777

întrebarea această in alte limbi:

EN: EKS - Use IAM roles for service accounts on multiple clusters

TH: EKS - ใช้บทบาท IAM สำหรับบัญชีบริการในหลายคลัสเตอร์

RO: EKS - Utilizați roluri IAM pentru conturile de serviciu pe mai multe clustere

RU: EKS — использование ролей IAM для учетных записей служб в нескольких кластерах

VI: EKS - Sử dụng vai trò IAM cho tài khoản dịch vụ trên nhiều cụm

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.