kubernetes - Kube2iam 是否不需要和/或 EKS 的一部分?
问题描述
在 Amazon EKS 用户指南中,有一个页面专门用于使用同名的第三方工具AWS ALB Ingress Controller for Kubernetes创建 ALB 入口控制器。
EKS 用户指南和控制器文档都有自己的如何设置控制器的演练。
控制器提供的演练让您将 AWS 密钥硬编码到清单中,或者安装另一个名为Kube2iamDeployment
的第三方工具。
AWS EKS 用户指南中的演练让您发布完全相同的Deployment
清单,但您根本不需要修改它。相反,您为控制器创建 IAM 角色(步骤 5)和 Kubernetes 服务账户(步骤 4),然后通过使用 IAM 角色的 ARN 注释服务账户将它们链接在一起。从表面上看,这似乎就是 Kube2iam 的用途。
这使我得出了三个结论之一,我按照合理性的粗略顺序对它们进行了排名:
- EKS 包含 Kube2iam 的功能作为其特性之一(可能通过将 Kube2iam 合并到其代码库中),因此安装 Kube2iam 是多余的。
eksctl
在幕后安装 Kube2iam 作为associate-iam-oidc-provider
.- 控制器的文档是为早期版本的 Kubernetes 编写的,此功能现在已内置到库存控制平面中。
有谁碰巧知道它是什么?为什么 AWS 演练不需要我安装 Kube2iam?
解决方案
有谁碰巧知道它是什么?为什么 AWS 演练不需要我安装 Kube2iam?
是的,我可以权威地回答这个问题。2019 年 9 月,我们在 EKS 中推出了一项名为IAM Roles for Service Accounts的功能。这使得kube2iam
其他解决方案已经过时,因为我们现在原生支持 Pod 级别的最低权限访问控制。
另外,是的,应该更新 ALB IC 演练。
推荐阅读
- python - colab中关于“libtensorflow_framework”的问题
- database - 如何在GCP(谷歌云平台)中每天重复运行python文件?
- r-markdown - Bookdown:密码保护 HTML 中的*单个*页面/章节
- django - models.OneToOneField(User, on_delete=models.CASCADE) 不工作。用户表正在更新,但 UserModelInfo 表未更新
- javascript - 如何使用 Material UI Fade 淡入文本字段输入的组件?
- android - 挂起函数是否在另一个线程中执行并返回结果?
- reactjs - 当我进行一些输入时,getContext 函数为空
- python - 在 MySQL 中以同步和异步方式分配约会时间
- python - 在python中将二进制数(由符号、尾数和指数组成)转换为十进制数
- delphi - 具有 MAPI 功能的 Delphi 7 App 外部异常