Halaman ini menjelaskan definisi profil instance AWS IAM, alasan pentingnya profil ini dalam konteks GKE di AWS, dan cara mengupdate profil instance.
Apa yang dimaksud dengan profil instance IAM AWS?
Profil instance adalah konsep khusus AWS. Instance ini terdiri dari sekumpulan kredensial yang digunakan instance Amazon EC2 untuk mengakses berbagai resource AWS. Lebih khusus lagi, profil instance adalah semacam container untuk peran IAM yang dapat dilampirkan ke instance EC2. Profil instance memberikan izin ke instance EC2, sehingga instance dapat berinteraksi dengan berbagai layanan AWS berdasarkan izin yang ditentukan. Untuk mengetahui informasi selengkapnya, lihat Menggunakan profil instance.
Bagaimana profil instance digunakan dalam GKE di AWS?
Setiap bidang kontrol dan setiap kumpulan node dalam GKE di cluster AWS dikaitkan dengan profil instance AWS yang unik. Profil instance di GKE di AWS memiliki tujuan ganda:
- Profil instance memberi GKE pada AWS izin yang diperlukan untuk mengelola resource AWS. Misalnya, mereka memberi penskalaan otomatis cluster izin yang diperlukan untuk menskalakan cluster dengan menambahkan atau menghapus instance EC2 berdasarkan permintaan beban kerja.
- Profil instance memberi instance EC2 akses ke layanan Google Cloud.
Misalnya,
kubelet, yang berjalan di mesin AWS, memerlukan izin khusus untuk menyediakan kredensial pull image kecontainerd. Kredensial ini diperlukan untuk mengakses dan mengambil image dari Artifact Registry pribadi Google atau dari Container Registry. Dalam konteks GKE di AWS, profil instance EC2 yang terkait dengan cluster dikonfigurasikan untuk meniru identitas Agen Layanan Mesin Google (seperti Agen Layanan Mesin Gabungan Node atau Agen Layanan Mesin Pesawat Kontrol). Dengan peniruan identitas ini, instance EC2 cluster dapat melakukan autentikasi secara otomatis dengan Artifact Registry atau Container Registry Google.
Memperbarui profil instance
Memperbarui profil instance melibatkan pembuatan profil instance baru di AWS dengan izin tertentu, kemudian mengaitkannya dengan GKE Anda pada cluster AWS atau node pool.
Untuk mengupdate profil instance untuk cluster atau kumpulan node dengan benar, ikuti langkah-langkah berikut:
- Membuat profil instance IAM untuk instance Amazon EC2 dan menambahkan peran IAM yang Anda perlukan ke profil instance. Untuk mengetahui detailnya, baca Menggunakan profil instance.
Tautkan profil instance baru ke GKE Anda di cluster AWS atau kumpulan node dengan menjalankan perintah berikut di Google Cloud CLI Anda:
Tautkan profil ke cluster
gcloud container aws clusters update CLUSTER_NAME \ --update-instance-profile \ --instance-profile-name NEW_INSTANCE_PROFILE_NAME \ ...Ganti kode berikut:
CLUSTER_NAME: nama cluster AndaNEW_INSTANCE_PROFILE_NAME: nama profil instance AWS baru yang Anda buat
Menautkan profil ke kumpulan node
gcloud container aws node-pools update NODE_POOL_NAME \ --update-instance-profile \ --instance-profile-name NEW_INSTANCE_PROFILE_NAME \ ...Ganti kode berikut:
NODE_POOL_NAME: nama kumpulan node AndaNEW_INSTANCE_PROFILE_NAME: nama profil instance AWS baru yang Anda buat
Perintah ini hanya menampilkan flag yang relevan untuk mengupdate profil instance, tetapi Anda perlu menyediakan flag tambahan untuk menjalankan perintah
update. Untuk mengetahui detailnya, lihat Memperbarui parameter cluster AWS atau Memperbarui kumpulan node.
Metode pembaruan salah
Memahami cara yang salah untuk mengupdate profil instance sangat penting, karena merupakan kesalahan mudah yang dapat menyebabkan kegagalan cluster.
Cara yang salah untuk memperbarui profil instance adalah dengan mengubah langsung profil instance yang ada menggunakan AWS Management Console atau AWS CLI. Perubahan tersebut dapat mengganggu interaksi GKE pada AWS dengan resource AWS. GKE di AWS mengharapkan profil instance tetap seperti saat pertama kali ditautkan ke kumpulan cluster atau node. Mengubah peran di luar GKE di alat pengelolaan AWS dapat menyebabkan ketidakcocokan dengan ID peran IAM yang ada di profil instance. Ketidakcocokan ini dapat menyebabkan kegagalan cluster.
Pendekatan yang dijelaskan di bagian sebelumnya memastikan bahwa update dilakukan tanpa mengganggu GKE pada integrasi AWS dengan AWS.