Hi!
AWS Student fiókban tesztelem a kubernetes-t.
Milyen jogosultság kell cluster létrehozásához? Ill. hol kel beállítani? A neten talált infókkal nem sokra mentem...
... is not authorized to perform: eks:CreateCluster on resource: arn:aws:eks:us-east-1:548571543228:cluster/mycluster-01 with an explicit deny
- 89 megtekintés
Hozzászólások
Nem tudom mit tesz az a Student fiók de nekem az a tippem az üzenetből hogy az EKS kifejezetten tiltva van benne. Esetleg megpróbálhatnád európai régióval.
- A hozzászóláshoz be kell jelentkezni
Student fiók: tanulói fiók, adhatok 50$ kreditet.
EC2 megy ugyanitt.
- A hozzászóláshoz be kell jelentkezni
En a kovetkezoket szoktam hasznalni:
Megkeresni az AWS "gyari" IAM policy-jeit:
- arn:aws:iam::aws:policy/AmazonEKSClusterPolicy
- arn:aws:iam::aws:policy/AmazonEKSServicePolicy
- arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
- arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy - opcionalis, ha pl FSx-et akasz hasznalni shared storage providernek
- arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPolicyReadOnly - hogy tudjon image-et letolteni
Letrehozni ket sajat IAM policy document-et, az elso az eks_cluster_role-hoz fog kelleni:
statement {
effect = "Allow"
actions = ["sts:AssumeRole"]
principals {
identifiers = ["eks.amazonaws.com"]
type = "Service"
}
}
A masodik az eks_nodegroup_role-hoz:
statement {
effect = "Allow"
actions = ["sts:AssumeRole"]
principals {
identifiers = ["ec2.amazonaws.com"]
type = "Service"
}
}
Letrehozni ket IAM role-t:
- eks_cluster_role, ezt fogja az EKS cluster resource kapni, a policy document-je legyen a fentebbi assume_role_policy, az attacholt policy-k pedig legyenek a
- AmazonEKSClusterPolicy
- AmazonEKSServicePolicy
- eks_nodegroup_role, ezt pedig az EKS nodegroup resource fogja kapni, policy documentje legyen a masodik assume_role_policy, ehhez a role-hoz attach-olni a
- AmazonEKSWorkerNodePolicy-t,
- a AmazonEC2ContainerRegistryPolicyReadOnly-t
- es szukseg eseten AmazonEKS_CNI_Policy-t
Vegul letrehozni az eks_cluster es eks_nodegroup resource-ot, megadva a megfelelo eks_cluster_role-t, valamint az eks_nodegroup_role-t.
Eleg komplikalt az egesz, ennel szerintem mar erdemes elgondolkodni valami IaC (mondjuk terraform) megoldason, mert kezzel egyszer ugyan osszekattogtatod, de ha valami hianyzik vagy hiba van benne, utana a Kubernetes szintjen kidebuggolni egy remalom.
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni