那些遇到过的问题

如何让kubectl登录AWS EKS集群?

sbs*_*sbs 7 amazon-web-services kubernetes kubectl amazon-eks

从一个空的AWS账户开始,我试图关注https://docs.aws.amazon.com/eks/latest/userguide/getting-started.html

这意味着我创建了一个VPS堆栈,然后安装了aws-iam-authenticator,awscli和kubectl,然后创建了一个具有Programmatic访问权限且直接连接了AmazonEKSAdminPolicy的IAM用户.

然后我使用该网站创建了我的EKS集群,并用于aws configure设置我的IAM用户的访问密钥和秘密.

aws eks update-kubeconfig --name wr-eks-cluster 工作得很好,但是:

kubectl get svc
error: the server doesn't have a resource type "svc"
Run Code Online (Sandbox Code Playgroud)

无论如何我继续创建我的工作节点堆栈,现在我处于一个死胡同:

kubectl apply -f aws-auth-cm.yaml
error: You must be logged in to the server (the server has asked for the client to provide credentials)
Run Code Online (Sandbox Code Playgroud)

aws-iam-authenticator token -i <my cluster name> 似乎工作正常.

我似乎缺少的是,当您创建群集时,您指定了IAM角色,但是当您创建用户时(根据指南),您附加了一个策略.我的用户应该如何访问此群集?

或者最终,如何使用kubectl继续访问我的集群?

son*_*207 14

这是我使用aws-cli 的步骤


$ export AWS_ACCESS_KEY_ID="something"
$ export AWS_SECRET_ACCESS_KEY="something"
$ export AWS_SESSION_TOKEN="something"

$ aws eks update-kubeconfig \
  --region us-west-2 \
  --name my-cluster

>> Added new context arn:aws:eks:us-west-2:#########:cluster/my-cluster to /home/john/.kube/config
Run Code Online (Sandbox Code Playgroud)

奖励,使用kubectx切换 kubectl 上下文

$ kubectx 

>> arn:aws:eks:us-west-2:#########:cluster/my-cluster-two     arn:aws:eks:us-east-1:#####:cluster/my-cluster  

$ kubectx arn:aws:eks:us-east-1:#####:cluster/my-cluster


>> Switched to context "arn:aws:eks:us-east-1:#####:cluster/my-cluster".
Run Code Online (Sandbox Code Playgroud)

参考: https: //docs.aws.amazon.com/eks/latest/userguide/getting-started-console.html

Iva*_*ita 11

  1. 正如文档中所提到,AWS IAM用户创建的EKS集群自动接收system:master权限,并且足以使其kubectl正常工作.您需要使用此用户凭据(AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY)来访问群集.如果您没有创建特定的IAM用户来创建集群,那么您可能使用root AWS账户创建了它.在这种情况下,您可以使用root用户凭据(为Root用户创建访问密钥).
  2. 主要的魔力在于aws-auth集群中的ConfigMap - 它包含IAM实体 - > kubernetes ServiceAccount映射.

我不确定你如何传递凭证aws-iam-authenticator:

  • 如果你有~/.aws/credentials,aws_profile_of_eks_iam_creator那么你可以试试$ AWS_PROFILE=aws_profile_of_eks_iam_creator kubectl get all --all-namespaces
  • 此外,您可以使用环境变量 $ AWS_ACCESS_KEY_ID=XXX AWS_SECRET_ACCESS_KEY=YYY AWS_DEFAULT_REGION=your-region-1 kubectl get all --all-namespaces

它们都应该工作,因为kubectl ...将使用~/.kube/config包含aws-iam-authenticator token -i cluster_name命令的生成.aws-iam-authenticator使用环境变量或~/.aws/credentials为您提供令牌.

此外,这个答案可能有助于理解第一个EKS用户创建.

归档时间:

查看次数:

5297 次

最近记录:

7 年,6 月 前
AWS EKS:如何将第一个用户添加到系统:EKS的主人组 5
更多相关链接
相关归档
从Amazon API网关端点输出纯文本内容 12
Kuberne在Kubernetes集群中 - 如何发布/使用来自Kubernetes集群外部的消息 12
AWS S3 ListMultipartUploads:访问被拒绝 11
有旧版本的 Google Cloud Platform 工具:Docker 9
当我需要 aws-sdk 模块时,AWS Lambda 函数超时 7
当我们提升读取副本以分离RDS实例时会发生什么? 6
Amazon s3:直接上传与预签名 URL 6
无法弄清楚如何在 Flutter 应用程序中为 Google 登录设置 AWS Cognito 6
如何使用 Sharp 调整 S3 中的图像大小? 6
带进度块的 Amazon S3 iOS SDK 后台上传 5
难疑归档
'git pull'和'git fetch'有什么区别? 11447
如何解决Git中的合并冲突 4600
C++中指针变量和引用变量之间有什么区别? 3115
如何在PHP中阻止SQL注入? 2776
在HTML5 localStorage中存储对象 2386
如何创建一个像链接一样的HTML按钮? 1769
尝试抓住加速我的代码? 1463
从客户端检测到潜在危险的Request.Form值 1437
如何在IntelliJ中永久启用行号? 1341
你如何在YAML中阻止评论? 1272