kubernetes - Kube2iam 是否不需要和/或 EKS 的一部分?
问题描述
在 Amazon EKS 用户指南中,有一个页面专门用于使用同名的第三方工具AWS ALB Ingress Controller for Kubernetes创建 ALB 入口控制器。
EKS 用户指南和控制器文档都有自己的如何设置控制器的演练。
控制器提供的演练让您将 AWS 密钥硬编码到清单中,或者安装另一个名为Kube2iamDeployment的第三方工具。
AWS EKS 用户指南中的演练让您发布完全相同的Deployment清单,但您根本不需要修改它。相反,您为控制器创建 IAM 角色(步骤 5)和 Kubernetes 服务账户(步骤 4),然后通过使用 IAM 角色的 ARN 注释服务账户将它们链接在一起。从表面上看,这似乎就是 Kube2iam 的用途。
这使我得出了三个结论之一,我按照合理性的粗略顺序对它们进行了排名:
- EKS 包含 Kube2iam 的功能作为其特性之一(可能通过将 Kube2iam 合并到其代码库中),因此安装 Kube2iam 是多余的。
eksctl在幕后安装 Kube2iam 作为associate-iam-oidc-provider.- 控制器的文档是为早期版本的 Kubernetes 编写的,此功能现在已内置到库存控制平面中。
有谁碰巧知道它是什么?为什么 AWS 演练不需要我安装 Kube2iam?
解决方案
有谁碰巧知道它是什么?为什么 AWS 演练不需要我安装 Kube2iam?
是的,我可以权威地回答这个问题。2019 年 9 月,我们在 EKS 中推出了一项名为IAM Roles for Service Accounts的功能。这使得kube2iam其他解决方案已经过时,因为我们现在原生支持 Pod 级别的最低权限访问控制。
另外,是的,应该更新 ALB IC 演练。
推荐阅读
- python - colab中关于“libtensorflow_framework”的问题
- database - 如何在GCP(谷歌云平台)中每天重复运行python文件?
- r-markdown - Bookdown:密码保护 HTML 中的*单个*页面/章节
- django - models.OneToOneField(User, on_delete=models.CASCADE) 不工作。用户表正在更新,但 UserModelInfo 表未更新
- javascript - 如何使用 Material UI Fade 淡入文本字段输入的组件?
- android - 挂起函数是否在另一个线程中执行并返回结果?
- reactjs - 当我进行一些输入时,getContext 函数为空
- python - 在 MySQL 中以同步和异步方式分配约会时间
- python - 在python中将二进制数(由符号、尾数和指数组成)转换为十进制数
- delphi - 具有 MAPI 功能的 Delphi 7 App 外部异常