Kube2iam 是否不需要 and/or EKS 的一部分?
Is Kube2iam unnecessary with, and/or a part of, EKS?
在 Amazon EKS 用户指南中,有a page dedicated to creating ALB ingress controllers by using an eponymous third-party tool, AWS ALB Ingress Controller for Kubernetes。
EKS 用户指南和控制器文档均有关于如何设置控制器的演练。
walkthrough provided by the controller has you either hard-code your AWS secret key into a Deployment manifest, or else install yet another third-party tool called Kube2iam。
walkthrough in the AWS EKS user guide 为您提供了 post 完全相同的 Deployment 清单,但您根本不必修改它。相反,您为控制器创建一个 IAM 角色(第 5 步)和一个 Kubernetes 服务帐户(第 4 步),然后通过使用 IAM 角色的 ARN 注释服务帐户,将它们 link 在一起。初步看来,这似乎就是 Kube2iam 的用途。
这使我得出了三个结论之一,我将其按合理性大致排序:
- EKS 包含 Kube2iam 的功能作为其特性之一(可能通过将 Kube2iam 合并到其代码库中),因此安装 Kube2iam 是多余的。
eksctl 在后台安装 Kube2iam 作为 associate-iam-oidc-provider 的一部分。- 控制器的文档是为早期版本的 Kubernetes 编写的,现在此功能已内置到库存控制平面中。
有没有人碰巧知道它是什么?为什么 AWS 演练不需要我安装 Kube2iam?
Does anyone happen to know which it is? Why doesn't the AWS walkthrough need me to install Kube2iam?
是的,我可以权威地回答这个问题。 09/2019 we launched a feature in EKS called IAM Roles for Service Accounts。这使得 kube2iam 和其他解决方案已过时,因为我们现在原生支持 pod 级别的最小权限访问控制。
此外,是的,应该更新 ALB IC 演练。
在 Amazon EKS 用户指南中,有a page dedicated to creating ALB ingress controllers by using an eponymous third-party tool, AWS ALB Ingress Controller for Kubernetes。
EKS 用户指南和控制器文档均有关于如何设置控制器的演练。
walkthrough provided by the controller has you either hard-code your AWS secret key into a Deployment manifest, or else install yet another third-party tool called Kube2iam。
walkthrough in the AWS EKS user guide 为您提供了 post 完全相同的 Deployment 清单,但您根本不必修改它。相反,您为控制器创建一个 IAM 角色(第 5 步)和一个 Kubernetes 服务帐户(第 4 步),然后通过使用 IAM 角色的 ARN 注释服务帐户,将它们 link 在一起。初步看来,这似乎就是 Kube2iam 的用途。
这使我得出了三个结论之一,我将其按合理性大致排序:
- EKS 包含 Kube2iam 的功能作为其特性之一(可能通过将 Kube2iam 合并到其代码库中),因此安装 Kube2iam 是多余的。
eksctl在后台安装 Kube2iam 作为associate-iam-oidc-provider的一部分。- 控制器的文档是为早期版本的 Kubernetes 编写的,现在此功能已内置到库存控制平面中。
有没有人碰巧知道它是什么?为什么 AWS 演练不需要我安装 Kube2iam?
Does anyone happen to know which it is? Why doesn't the AWS walkthrough need me to install Kube2iam?
是的,我可以权威地回答这个问题。 09/2019 we launched a feature in EKS called IAM Roles for Service Accounts。这使得 kube2iam 和其他解决方案已过时,因为我们现在原生支持 pod 级别的最小权限访问控制。
此外,是的,应该更新 ALB IC 演练。