使用控制台创建 kro 功能 - Amazon EKS
创建 kro 功能验证功能是否处于活动状态授予 Kubernetes 资源管理权限验证自定义资源是否可用后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

使用控制台创建 kro 功能

本主题旨在介绍如何使用 Amazon Web Services 管理控制台 创建 kro(Kube Resource Orchestrator)功能。

创建 kro 功能

  1. 从以下位置打开 Amazon EKS 控制台:https://console.aws.amazon.com/eks/home#/clusters

  2. 选择集群名称,打开集群详细信息页面。

  3. 选择功能选项卡。

  4. 在左侧导航栏中,选择 kro(Kube Resource Orchestrator)

  5. 选择创建 kro 功能

  6. 对于 IAM 功能角色

    • 如果已有 IAM 功能角色,请从下拉列表中选择该角色

    • 如需创建角色,请选择创建 kro 角色

      此操作会在新选项卡中打开 IAM 控制台,其中包含预填充的信任策略。该角色无需配置额外的 IAM 权限,因为 kro 的所有操作均在集群内部完成。

      创建角色后,返回 EKS 控制台,系统将自动选择该角色。

      注意

      与 ACK 和 Argo CD 不同,kro 除信任策略外,无需额外的 IAM 权限。kro 完全在集群中运行,不会发起 Amazon API 调用。

  7. 选择创建

功能创建过程随即开始。

验证功能是否处于活动状态

  1. 功能选项卡上,查看 kro 功能状态。

  2. 等待状态从 CREATING 更改为 ACTIVE

  3. 变为活动状态后,该功能即可使用。

有关功能状态和问题排查的信息,请参阅使用功能资源

授予 Kubernetes 资源管理权限

默认情况下,kro 仅能创建和管理 ResourceGraphDefinition 及其对应的实例。若要允许 kro 创建和管理 ResourceGraphDefinition 中定义的底层 Kubernetes 资源,需将 AmazonEKSClusterAdminPolicy 访问策略关联到该功能的访问条目。

  1. 在 EKS 控制台中,导航到 EKS 集群的访问选项卡。

  2. 访问条目下,找到对应 kro 功能角色的条目(将包含之前创建的角色 ARN)。

  3. 选择访问条目,打开对应的详细信息页面。

  4. 访问策略部分,选择关联访问策略

  5. 从策略列表中选择 AmazonEKSClusterAdminPolicy

  6. 访问范围中,选择集群

  7. 选择关联

重要

AmazonEKSClusterAdminPolicy 会授予宽泛的权限,支持创建和管理所有 Kubernetes 资源,该策略的设计目的是简化功能的入门流程。在生产环境使用时,请创建权限范围更严格的 RBAC 策略,仅授予 ResourceGraphDefinition 需管理的特定资源对应的权限。有关配置最低权限的指引,请参阅配置 kro 权限EKS 功能的安全注意事项

验证自定义资源是否可用

待该功能处于激活状态后,验证 kro 自定义资源是否已在集群中正常可用。

使用控制台

  1. 在 Amazon EKS 控制台中导航至集群

  2. 选择资源选项卡

  3. 选择扩展

  4. 选择 CustomResourceDefinitions

您应能看到 ResourceGraphDefinition 这一资源类型已被列出。

使用 kubectl 

kubectl api-resources | grep kro.run

您应能看到 ResourceGraphDefinition 这一资源类型已被列出。

后续步骤