|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
先决条件
2.创建EKS集群
按照Rancher文档创建EKS集群。当您到达安装Rancher的最后步骤时,停止并返回此页面。该集群需要满足以下要求:
-
EKS版本1.22。
-
集群中的每个节点都可以访问包含Rancher及其相关镜像的注册表。
-
集群中的每个节点都可以访问存储CSP适配器的ECR仓库。
-
集群中的每个节点都可以访问许可证管理器服务。
-
集群中的每个节点都可以访问STS服务的全球端点。
3.安装 Rancher
除了在Rancher文档中指定的安装Rancher的选项外,您还需要启用额外的指标。 这可以通过 Helm CLI 的以下选项完成:
--set extraEnv\[0\].name="CATTLE_PROMETHEUS_METRICS" --set-string extraEnv\[0\].value=true您还可以使用如下的values.yaml:
extraEnv:
- name: "CATTLE_PROMETHEUS_METRICS"
value: "true"您还需要安装Rancher版本2.6.7或更高版本。
4.创建OIDC提供程序
请按照 AWS文档创建前面部分指定的集群的OIDC提供程序。
5.创建IAM角色
CSP 适配器需要一个 IAM 角色来完成授权的签入和签出操作。
首先,按如下方式配置信任策略。将 MY_AWS_ACC 替换为您的 AWS 账户号码,将 MY_AWS_REGION 替换为您的 AWS 区域,将 MY_OIDC_PROVIDER 替换为您的 OIDC 提供程序的 ID:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::${MY_AWS_ACC}:oidc-provider/oidc.eks.${MY_AWS_REGION}.amazonaws.com/id/${MY_OIDC_PROVIDER}"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"oidc.eks.${MY_AWS_REGION}.amazonaws.com/id/${MY_OIDC_PROVIDER}:sub": "system:serviceaccount:cattle-csp-adapter-system:rancher-csp-adapter",
"oidc.eks.${MY_AWS_REGION}.amazonaws.com/id/${MY_OIDC_PROVIDER}:aud": "sts.amazonaws.com"
}
}
}
]
}接下来,使用具有以下权限的角色策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RancherCSPAdapterPermissions",
"Effect": "Allow",
"Action": [
"license-manager:ListReceivedLicenses",
"license-manager:CheckoutLicense",
"license-manager:ExtendLicenseConsumption",
"license-manager:CheckInLicense",
"license-manager:GetLicense",
"license-manager:GetLicenseUsage"
],
"Resource": "*"
}
]
}保存角色的名称。您在安装 CSP 适配器时会需要它。