Halaman ini menjelaskan apa yang dimaksud dengan profil instance IAM AWS, mengapa profil ini penting dalam konteks GKE di AWS, dan cara memperbarui profil instance.
Apa yang dimaksud dengan profil instance IAM AWS?
Profil instance adalah konsep khusus AWS. Terdiri dari serangkaian kredensial yang digunakan instance Amazon EC2 untuk mengakses berbagai resource AWS. Lebih khusus lagi, profil instance adalah jenis penampung untuk peran IAM yang dapat dilampirkan ke instance EC2. Profil instance memberikan izin ke instance EC2, sehingga instance dapat berinteraksi dengan berbagai layanan AWS berdasarkan izin yang ditentukan. Untuk mengetahui informasi selengkapnya, lihat Menggunakan profil instance.
Bagaimana cara menggunakan profil instance di GKE di AWS?
Setiap bidang kontrol dan setiap node pool dalam cluster GKE di AWS dikaitkan dengan profil instance AWS yang unik. Profil instance di GKE di AWS memiliki dua tujuan:
- Profil instance memberikan izin yang diperlukan GKE di AWS untuk mengelola resource AWS. Misalnya, mereka memberikan izin yang diperlukan kepada autoscaler cluster untuk menskalakan cluster dengan menambahkan atau menghapus instance EC2 berdasarkan permintaan beban kerja.
- Profil instance memberikan akses instance EC2 ke Google Cloud layanan.
Misalnya,
kubelet, yang berjalan di komputer AWS, memerlukan izin khusus untuk menyediakan kredensial penarikan image kecontainerd. Kredensial ini diperlukan untuk mengakses dan menarik image dari Artifact Registry pribadi Google atau dari Container Registry. Dalam konteks GKE di AWS, profil instance EC2 yang terkait dengan cluster dikonfigurasi untuk meniru Agen Layanan Mesin Google (seperti Agen Layanan Mesin Node Pool atau Agen Layanan Mesin Control Plane). Peniruan identitas ini memungkinkan instance EC2 cluster untuk mengautentikasi secara otomatis dengan Artifact Registry atau Container Registry Google.
Memperbarui profil instance
Memperbarui profil instance melibatkan pembuatan profil instance baru di AWS dengan izin tertentu, lalu mengaitkannya dengan cluster atau node pool GKE di AWS.
Untuk memperbarui profil instance cluster atau node pool dengan benar, ikuti langkah-langkah berikut:
- Buat profil instance IAM untuk instance Amazon EC2 Anda dan tambahkan peran IAM yang Anda butuhkan ke profil instance. Untuk mengetahui detailnya, lihat Menggunakan profil instance.
Tautkan profil instance baru ke cluster atau kumpulan node GKE di AWS dengan menjalankan perintah berikut di Google Cloud CLI:
Menautkan profil ke cluster
gcloud container aws clusters update CLUSTER_NAME \ --update-instance-profile \ --instance-profile-name NEW_INSTANCE_PROFILE_NAME \ ...Ganti kode berikut:
CLUSTER_NAME: nama cluster AndaNEW_INSTANCE_PROFILE_NAME: nama profil instance AWS baru yang Anda buat
Menautkan profil ke node pool
gcloud container aws node-pools update NODE_POOL_NAME \ --update-instance-profile \ --instance-profile-name NEW_INSTANCE_PROFILE_NAME \ ...Ganti kode berikut:
NODE_POOL_NAME: nama node pool AndaNEW_INSTANCE_PROFILE_NAME: nama profil instance AWS baru yang Anda buat
Perintah ini hanya menampilkan flag yang relevan untuk memperbarui profil instance, tetapi Anda perlu memberikan flag tambahan untuk menjalankan perintah
update. Untuk mengetahui detailnya, lihat Memperbarui parameter cluster AWS Anda atau Memperbarui node pool.
Metode update yang salah
Memahami cara yang salah untuk memperbarui profil instance sangat penting, karena kesalahan ini mudah dilakukan dan dapat menyebabkan kegagalan cluster.
Cara yang salah untuk memperbarui profil instance adalah dengan mengubah profil instance yang ada secara langsung menggunakan AWS Management Console atau AWS CLI. Perubahan tersebut dapat mengganggu interaksi GKE di AWS dengan resource AWS. GKE di AWS mengharapkan profil instance tetap seperti saat pertama kali ditautkan ke cluster atau kumpulan node. Mengubahnya di luar alat pengelolaan GKE di AWS dapat menyebabkan ketidakcocokan dengan ID peran IAM yang ada di profil instance. Ketidakcocokan ini dapat menyebabkan kegagalan cluster.
Pendekatan yang dijelaskan di bagian sebelumnya memastikan bahwa update dilakukan tanpa mengganggu integrasi GKE di AWS dengan AWS.