問題タブ [amazon-eks]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - EKS kubectl および aws-iam-authenticator での MFA の使用
AWS の EKS マスターへのアクセスを保護するために、MFA を kubectl と連携させようとしています。ドキュメントはそれが可能であることを示唆しているようですが、問題が発生しており、理解できません。
特別なことをしなくても、EKS クラスターに接続できます。
これらの投稿に従って、AWS CLI に MFA を追加する場合:
https://docs.aws.amazon.com/cli/latest/userguide/cli-roles.html
次のようにローカル資格情報を設定しました。
...すると、AWS CLI に MFA があることがわかります。
次に、確認できます。
kubectl はまだプロファイルを使用していないため、通常どおり動作します。
次に、このドキュメントに従って、プロファイルを使用するようにk8sをセットアップしました
そのため、試しkubectlてみるとMFAが要求されますが、決して満足することはできません:
AWS ロールtest_assumeRoleは次のようになります。
関連するポリシーtest_assumePolicyは次のようになります。
だから、質問:
- これを IAM ユーザーにアタッチする必要がありますか? ドキュメントはそうではないことを示唆しているようです。
- これを動作させるために、ここで何が欠けていますか? ほぼ正しく配線されているようです。
amazon-web-services - EKS VPC セットアップ用に Amazon が提案する Cloudformation テンプレートは、その推奨事項と直接矛盾しています。別のテンプレートは存在しますか?
記事Amazon EKS の使用開始では、この提供された cloudformation テンプレートを使用してクラスター用の VPC を作成することをお勧めします。このテンプレートは、3 つのパブリック サブネットと 0 つのプライベート サブネットを持つ VPC を作成します。
記事クラスター VPC の考慮事項では、それは言う
ワーカー ノードにプライベート サブネットを使用し、Kubernetes にパブリック サブネットを使用して、インターネットに接続するロード バランサーを内部に作成するネットワーク アーキテクチャをお勧めします。
cloudformation テンプレートは、実際に独自の推奨事項に沿った場所に存在しますか?