Pod nem hajlandó felkapni az IAM jogait:
- van 1 IAM policy, szépen beállítva az objectekre (amúgy S3, DynamoDB és Kinesis),
- van hozzá 1 role ezekkel,
- van 1 K8S cluster, csomó más futó xarral,
- csinálok 1 deploy-t, ugat az app, h nincs joga ide meg oda,
- ugyanez a takony EC2-ben docker compose-zal simán működik, ugyanezen jogokkal, ha az EC2 instanc-ra ráteszem az említett IAM role-t.
Mondjuk amúgy Helm, nem sima kube, de ez most mind1. Helm megcsinálja a service account-ot, deploy-ban is meg van mondva. A nyüves annotation is megvan. Jól rendereli a Helm is, az megy ki, amit gondolok, h kimegy.
Mind3 értelmes howto-t, tutorial-t elolvastam, minden jó. 1 napom van a dologra. Valami ötlet? vmi triviális dolog? (nem tudok ilyenolyan konfigot idedobni, mert nem tudok, mondom: Helm, serviceaccount, IAM oldalon servicerole a mocskos kis policy-jaival, egész kerek.
??? Bármimás ???
- 204 megtekintés
Hozzászólások
akkor az oidc provider korul lehetnek meg a bajok
https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-s…
A teljes folyamat itt (bar ezt biztos megtalaltad):
https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-…
- A hozzászóláshoz be kell jelentkezni
Valóban nincs OIDC provider assignolva a clusterhez. Ennek ellenére egy `aws sts get-caller-identity` ad vissza UserId-t meg account-t megArn-t. Furi
- A hozzászóláshoz be kell jelentkezni
Még furibb, mert a external-DNS is serviceaccount-t használ és az működik. ?? Jó hétvégét ;)
- A hozzászóláshoz be kell jelentkezni
A nodejaidon nincs véletlenül IAM instance profile?
az sokmindent megmagyarazna
- A hozzászóláshoz be kell jelentkezni
debizony, miert gaz ez?
- A hozzászóláshoz be kell jelentkezni
nem gáz, csak akkor nem a service account-ba kötött annotáció által mutatott role-t kapta meg az external dns, hanem a node iam roleját.....
ezért megy az aws sts, ezért megy az externaldns, ezért nem megy a másik
- A hozzászóláshoz be kell jelentkezni
De nem, mert a instance-nak legyen default joga ECR/ből pullozni, a pod-nak meg a saját xarjaihoz. Az awscli meg azér ok, mert a node odainjektálja neki, legalábbis valamit.
- A hozzászóláshoz be kell jelentkezni
Ilyesmit úgy szoktam hogy fogom a default-ot role-t aztán szétkapom belőle a policy-ket majd saját role-t gyártok.
Ami nem ad túl sok jogot ott meghagyom az AWS managed policy-t, ha meg nem akkor azokat is egyesével rakom össze így minél kevesebb hozzáférése legyen adott szolgáltatásokhoz, pl ecr:push nem kell.
- A hozzászóláshoz be kell jelentkezni
mondjuk maga a role ki lett tesztelve 1 EC2-n belul docker-rel, az rendben van, ha az instance megkapja azt a role-t, megy is a cumo. Akkor van a para, ha berakom EKS-be, de volt itt par tipp, azzal tudom tovabb porgetni a bugit. Kosz.
- A hozzászóláshoz be kell jelentkezni