国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

AWS eks 用戶授權(quán)

2年前作者:gnufre分類:Toy博客閱讀(21)違法舉報

這篇具有很好參考價值的文章主要介紹了AWS eks 用戶授權(quán)。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

背景: 國內(nèi)使用阿里云慣了,點點就可以完成大部分的工作,國外的AWS 大都是命令行操作,且權(quán)限設(shè)置的特別細,在創(chuàng)建集群后,給用戶授權(quán)的工作中走了很多彎路,特記錄一下。

前置條件:

1. 安裝aws cli 、eksctl 命令行工具

案例: 授予用戶對EKS集群的管理員權(quán)限

1. 把用戶與k8s 中的Group組做映射

eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region=region-code \
    --arn arn:aws:iam::111122223333:user/my-user \
    --group system:masters \
    --no-duplicate-arns

2.生成kubeconfig 文件

aws eks update-kubeconfig --name eks-cluster-name --region aws-region

3.驗證

# kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   45h

案例:授予role 對EKS集群的只讀權(quán)限

1.創(chuàng)建iam role 角色

a.創(chuàng)建信任策略

創(chuàng)建一個名為?eks-connector-agent-trust-policy.json?的文件,其中包含要用于 IAM 角色的以下 JSON。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SsmControlChannel",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel"
            ],
            "Resource": "arn:aws:eks:*:*:cluster/*"
        },
        {
            "Sid": "ssmDataplaneOperations",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenDataChannel",
                "ssmmessages:OpenControlChannel"
            ],
            "Resource": "*"
        }
    ]
}

b.創(chuàng)建策略

創(chuàng)建一個名為?eks-connector-agent-policy.json?的文件,其中包含要用于 IAM 角色的以下 JSON。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SsmControlChannel",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel"
            ],
            "Resource": "arn:aws:eks:*:*:cluster/*"
        },
        {
            "Sid": "ssmDataplaneOperations",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenDataChannel",
                "ssmmessages:OpenControlChannel"
            ],
            "Resource": "*"
        }
    ]
}

c.創(chuàng)建AmazonEKSConnectorAgentRole 角色

使用您在之前列表項中創(chuàng)建的信任策略和策略創(chuàng)建 Amazon EKS Connector 代理角色。

aws iam create-role \
     --role-name AmazonEKSConnectorAgentRole \
     --assume-role-policy-document file://eks-connector-agent-trust-policy.json

將該策略附加到 Amazon EKS Connector 代理角色。

aws iam put-role-policy \
     --role-name AmazonEKSConnectorAgentRole \
     --policy-name AmazonEKSConnectorAgentPolicy \
     --policy-document file://eks-connector-agent-policy.json

2. 創(chuàng)建k8s rbac 權(quán)限

? eks-console-full-access.yaml? 文件內(nèi)容如下:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: eks-console-dashboard-full-access-clusterrole
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  - namespaces
  - pods
  - configmaps
  - endpoints
  - events
  - limitranges
  - persistentvolumeclaims
  - podtemplates
  - replicationcontrollers
  - resourcequotas
  - secrets
  - serviceaccounts
  - services
  verbs:
  - get
  - list
- apiGroups:
  - apps
  resources:
  - deployments
  - daemonsets
  - statefulsets
  - replicasets
  verbs:
  - get
  - list
- apiGroups:
  - batch
  resources:
  - jobs
  - cronjobs
  verbs:
  - get
  - list
- apiGroups:
  - coordination.k8s.io
  resources:
  - leases
  verbs:
  - get
  - list
- apiGroups:
  - discovery.k8s.io
  resources:
  - endpointslices
  verbs:
  - get
  - list
- apiGroups:
  - events.k8s.io
  resources:
  - events
  verbs:
  - get
  - list
- apiGroups:
  - extensions
  resources:
  - daemonsets
  - deployments
  - ingresses
  - networkpolicies
  - replicasets
  verbs:
  - get
  - list
- apiGroups:
  - networking.k8s.io
  resources:
  - ingresses
  - networkpolicies
  verbs:
  - get
  - list
- apiGroups:
  - policy
  resources:
  - poddisruptionbudgets
  verbs:
  - get
  - list
- apiGroups:
  - rbac.authorization.k8s.io
  resources:
  - rolebindings
  - roles
  verbs:
  - get
  - list
- apiGroups:
  - storage.k8s.io
  resources:
  - csistoragecapacities
  verbs:
  - get
  - list
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: eks-console-dashboard-full-access-binding
subjects:
- kind: Group
  name: eks-console-dashboard-full-access-group
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: eks-console-dashboard-full-access-clusterrole
  apiGroup: rbac.authorization.k8s.io

創(chuàng)建命令

kubectl apply -f eks-console-full-access.yaml

3. 把role角色與k8s集群做映射

eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region=region-code \
    --arn arn:aws:iam::111122223333:role/AmazonEKSConnectorAgentRole \
    --group eks-console-dashboard-full-access-group \
    --no-duplicate-arns

案例:授予普通用戶對k8s的權(quán)限

1.把用戶與k8s集群做映射? ?示例中的--group? 對應(yīng)k8s中的ClusterRoleBinding的Group名稱

eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region=region-code \
    --arn arn:aws:iam::111122223333:user/my-user \
    --group eks-console-dashboard-full-access-group \
    --no-duplicate-arns

2.更新本地k8s的config 文件

aws eks update-kubeconfig --name eks-cluster-name --region aws-region

3.執(zhí)行kubectl 命令驗證文章來源地址http://www.zghlxwxcb.cn/news/detail-467398.html

# kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   45h

到了這里,關(guān)于AWS eks 用戶授權(quán)的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • AWS CLI創(chuàng)建Amazon EKS服務(wù)

    AWS CLI創(chuàng)建Amazon EKS服務(wù)

    Amazon EKS文檔 前言: 創(chuàng)建ClusterRole需要選擇一下的角色 AmazonEKSClusterPolicy 創(chuàng)建NodeRole需要選擇一下的角色 AmazonEC2ContainerRegistryReadOnly AmazonEKSWorkerNodePolicy AmazonEKS_CNI_Policy 1、創(chuàng)建 Amazon EKS 集群 IAM 角色 1)創(chuàng)建json 2)創(chuàng)建 Amazon EKS 集群 IAM 角色 3)將名為 GamefiAmazonEKSClusterRole的 Am

    2024年02月11日
    瀏覽(28)
  • AWS EKS 集群自動擴容 Cluster Autoscaler

    AWS EKS 集群自動擴容 Cluster Autoscaler

    Amazon EKS 是托管的 Kubernetes 服務(wù),可以使用 HPA 和 Cluster Autoscaler 來在集群中實現(xiàn)彈性伸縮,以滿足應(yīng)用程序的需求并節(jié)省資源成本。 Kubernetes(K8s)提供了自動伸縮機制,旨在根據(jù)應(yīng)用程序負載和資源需求的變化自動調(diào)整應(yīng)用的副本數(shù)量或節(jié)點數(shù)量,以滿足性能需求和優(yōu)化資

    2024年02月12日
    瀏覽(23)
  • 阿里云大數(shù)據(jù)實戰(zhàn)記錄9:MaxCompute RAM 用戶與授權(quán)

    阿里云大數(shù)據(jù)實戰(zhàn)記錄9:MaxCompute RAM 用戶與授權(quán)

    先拋一個問題: 作為 maxcompute 的管理員,擁有較高的權(quán)限,為什么訪問不了設(shè)置了敏感列的數(shù)據(jù)? 這個問題是我最近遇到的一個難題之一。 一開始我以為作為 maxcompute 管理員,應(yīng)該可以“暢通無阻”,卻沒想到,敏感列遲遲無法訪問,中間做了很多功夫,讀了很多官方文檔

    2024年02月10日
    瀏覽(30)
  • aws的eks平滑刪除work節(jié)點實現(xiàn)降配

    aws的eks平滑刪除work節(jié)點實現(xiàn)降配

    背景 我們的EKS的Master是托管的,Work節(jié)點是EC2,目前EC2的配置為c5.4large,現(xiàn)在需要降配成m5.2xlarge。 官網(wǎng) 基礎(chǔ)背景知識 k8s命令對node調(diào)度 有三個命令,分別是: cordon,drain,delete 。 (1)cordon 停止調(diào)度 影響最小,只會將node調(diào)為SchedulingDisabled 之后再發(fā)創(chuàng)建pod,不會被調(diào)度到該

    2024年02月03日
    瀏覽(37)

  • 【云原生】AWS創(chuàng)建EKS1.25(Kubernetes)集群

    我這里使用的是 eksctl 命令創(chuàng)建的,更多信息:https://eksctl.io/usage/schema/ 1、編寫 yaml 文件 vim eks-cluster.yaml 2、創(chuàng)建集群 3、本地管理 獲取 config 文件自動添加到 ~/.kube/config 使用 kubectl 工具管理集群,現(xiàn)在可以使用 kubectl 工具管理集群了

    2024年02月13日
    瀏覽(26)
  • AWS alb eks traefik realip后端真實IP

    AWS alb eks traefik realip后端真實IP

    亞馬遜 eks 集群代理用了traefik alb綁定 traefik 在node 上面暴露的端口,對外提供服務(wù)。一直也沒有在意是否能正常獲取客戶端IP(騰訊云 阿里云的traefik 后端應(yīng)用都能正常獲取客戶端IP),后端php服務(wù)基礎(chǔ)鏡像基于https://github.com/richarvey/nginx-php-fpm構(gòu)建,對日志進行了json格式化,

    2024年02月11日
    瀏覽(19)
  • 玩轉(zhuǎn)aws之(二)eks 設(shè)置efs(nfs)存儲卷pvc

    玩轉(zhuǎn)aws之(二)eks 設(shè)置efs(nfs)存儲卷pvc

    目錄 1. 前言 2. 配置步驟 3. 安裝csi驅(qū)動 3.1 創(chuàng)建iam policy 3.2 安裝CFS csi驅(qū)動 4. 創(chuàng)建EFS 4.1 創(chuàng)建EFS訪問安全組及放通EKS訪問 4.2 根據(jù)EKS集群創(chuàng)建對應(yīng)的EFS文件系統(tǒng) 4.3 創(chuàng)建掛載目標(biāo) 5. 創(chuàng)建存儲類 5.1 獲取efs id 5.2 創(chuàng)建存儲類 6. 創(chuàng)建pvc 7. pod掛載pvc使用 8. 總結(jié)?? EKS支持兩種持久性存

    2024年02月01日
    瀏覽(16)
  • AWS 專題學(xué)習(xí) P8 (ECS、EKS、Lambda、CloudFront、DynamoDB)

    AWS 專題學(xué)習(xí) P8 (ECS、EKS、Lambda、CloudFront、DynamoDB)

    專題內(nèi)容總覽和系列博客目錄 https://blog.csdn.net/weixin_40815218/article/details/135590291 輔助資料( PDF ) https://download.csdn.net/download/weixin_40815218/88741566 Docker 是一個用于部署應(yīng)用程序的軟件開發(fā)平臺 Docker 容器可以在任何操作系統(tǒng)上運行,應(yīng)用程序運行在容器中 應(yīng)用程序運行過程相同,

    2024年01月21日
    瀏覽(46)

  • 【云原生】AWS EKS1.25配置StorageClass-EFS存儲類

    簡介 StorageClass在kubernetes中定義為一種存儲“類”,我們使用此類型的資源能幫助我們減少人工手動創(chuàng)建PV、PVC,了解更多信息可參考:存儲類 | Kubernetes 卷插件支持AWS EBS、NFS等,我們需要改用EFS產(chǎn)品,在Github有人創(chuàng)建了EFS的插件 工作目錄 cd /dwz/yaml/storageclass/ 工具及版本 區(qū)域

    2024年02月13日
    瀏覽(27)

  • AWS EKS集群安裝EBS CSI驅(qū)動程序,創(chuàng)建PVC動態(tài)存儲卷

    開發(fā)測試環(huán)境需要創(chuàng)建redis,mysql等中間件,使用動態(tài)pvc存儲并掛載卷。 什么是EBS CSI DRIVER Amazon Elastic Block Store (Amazon EBS) Container Storage Interface (CSI) 驅(qū)動程序允許 Amazon Elastic Kubernetes Service (Amazon EKS) 集群管理持久性卷的 Amazon EBS 卷的生命周期。 為什么要安裝EBS CSI DRIVER EKS 1.24及

    2024年02月13日
    瀏覽(29)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包