Utilizzo di Workload Identity con AWS

Questo argomento descrive come abilitare Workload Identity per GKE sui carichi di lavoro AWS per controllarne l'accesso alle risorse AWS.

Per informazioni sull'utilizzo di Workload Identity con gli account Google Cloud Identity and Access Management (IAM) per controllare l'accesso alle risorse Google Cloud, consulta Utilizzo di Workload Identity con Google Cloud.

Panoramica

Workload Identity utilizza le autorizzazioni AWS IAM per controllare l'accesso alle risorse cloud. Con Workload Identity, puoi assegnare ruoli IAM diversi a ciascun carico di lavoro. Questo controllo granulare delle autorizzazioni ti consente di seguire il principio del privilegio minimo. Senza Workload Identity, devi assegnare i ruoli AWS IAM a GKE sui nodi AWS, concedendo a tutti i carichi di lavoro sul nodo le stesse autorizzazioni del nodo stesso.

Per abilitare Workload Identity per il tuo cluster, completa i passaggi seguenti, raggruppati in base ai ruoli di amministratore che li eseguono.

Amministratore del cluster

  1. Crea un bucket Cloud Storage per archiviare i dati di rilevamento OIDC.
  2. Crea un ruolo Identity and Access Management per leggere dal bucket.
  3. Crea un cluster utente con identità del carico di lavoro abilitata.
  4. Crea un webhook sul cluster che applica le credenziali di Workload Identity ai pod al momento della creazione. Se non vuoi utilizzare il webhook, puoi impostare manualmente le variabili di ambiente nei pod.
  5. Configura il provider AWS OIDC.
  6. Crea ruoli e criteri AWS IAM.
Amministratore o sviluppatore del cluster
  1. Crea account di servizio Kubernetes e associa a questi i criteri AWS.
Sviluppatore
  1. Applica le credenziali ai tuoi pod.

Prerequisiti

Per completare i passaggi descritti in questo documento, devi avere la seguente configurazione:

  • Un servizio di gestione GKE su AWS.
  • Cluster utente che eseguono una versione di Kubernetes successiva alla 1.17.9.

  • Le autorizzazioni e gli strumenti indicati di seguito.

Autorizzazioni

Per creare un cluster con Workload Identity abilitato, devi disporre delle seguenti autorizzazioni:

Google Cloud

  • Creare un bucket Cloud Storage leggibile pubblicamente con accesso uniforme a livello di bucket abilitato.
  • Concedi le autorizzazioni di lettura/scrittura management-sa@PROJECT_NAME.iam.gserviceaccount.com al bucket.

AWS

  • Crea un provider AWS OIDC
  • Creazione di ruoli IAM AWS

Strumenti

Sulla macchina locale, ti consigliamo di installare lo strumento jq.

Creazione del bucket di rilevamento OIDC in corso...

Questa sezione è rivolta agli amministratori del cluster.

Il cluster utente deve archiviare i dati di rilevamento OIDC in un bucket Cloud Storage accessibile pubblicamente. Il bucket include la configurazione di rilevamento OIDC e chiavi pubbliche. AWS utilizza i contenuti per autenticare le richieste dai cluster utente.

Il bucket deve avere i seguenti attributi:

Se non hai un bucket con questi attributi, creane uno utilizzando i seguenti comandi gsutil:

BUCKET=BUCKET_NAME
gsutil mb -b on gs://${BUCKET}
gsutil iam ch allUsers:objectViewer gs://${BUCKET}

Sostituisci BUCKET_NAME con il nome del nuovo bucket.

Concedi le autorizzazioni dell'account di servizio di gestione

L'account di servizio Identity and Access Management per il servizio di gestione GKE su AWS richiede le autorizzazioni per leggere e scrivere oggetti in questo bucket.

  1. Concedi le autorizzazioni all'account di servizio di gestione utilizzando il seguente comando gsutil.

    MANAGEMENT_SA=management-sa@PROJECT_NAME.iam.gserviceaccount.com
    gsutil iam ch serviceAccount:${MANAGEMENT_SA}:admin gs://${BUCKET}
    

    Sostituisci PROJECT_NAME con il tuo progetto Google Cloud.

  2. Crea un nuovo ruolo IAM con le autorizzazioni per gestire questo bucket. Per creare il ruolo, devi prima salvare la definizione del ruolo in un file, poi creare il ruolo e associarlo all'account di servizio di gestione.

    Per completare questi passaggi, esegui questi comandi:

    cat << EOF >  anthos-oidc-role.yaml
    title: anthosAwsOidcStorageAdmin
    description: permissions to manage the OIDC buckets
    stage: GA
    includedPermissions:
    - storage.buckets.get
    EOF
    
    gcloud iam roles create anthosAwsOidcStorageAdmin --project=PROJECT_NAME \
      --file=anthos-oidc-role.yaml
    
    gcloud projects add-iam-policy-binding \
      PROJECT_NAME \
      --member=serviceAccount:${MANAGEMENT_SA} \
      --role=projects/PROJECT_NAME/roles/anthosAwsOidcStorageAdmin
    

    Sostituisci PROJECT_NAME con il tuo progetto Google Cloud.

    Google Cloud CLI conferma che l'associazione dei criteri è stata creata.

Creazione di un cluster utente

Questa sezione è rivolta agli amministratori del cluster.

Crea un cluster utente con Workload Identity abilitato

Crea un cluster utente contenente i dettagli del bucket di rilevamento OIDC. Puoi impostare queste informazioni nel campo spec.controlPlane.workloadIdentity.oidcDiscoveryGCSBucket di AWSCluster.

In questo esempio, creerai manualmente un cluster da AWSCluster e AWSNodePool CRD.

  1. Passa alla directory con la tua configurazione GKE su AWS. Hai creato questa directory durante l'installazione del servizio di gestione.

    cd anthos-aws

  2. Dalla directory anthos-aws, utilizza anthos-gke per cambiare contesto al servizio di gestione.

    cd anthos-aws
    anthos-gke aws management get-credentials

  3. Apri un editor di testo e copia la seguente definizione di AWSCluster in un file denominato custom-cluster.yaml.

    apiVersion: multicloud.cluster.gke.io/v1
    kind: AWSCluster
    metadata:
      name: CLUSTER_NAME
    spec:
      region: AWS_REGION
      networking:
        vpcID: VPC_ID
        podAddressCIDRBlocks: POD_ADDRESS_CIDR_BLOCKS
        serviceAddressCIDRBlocks: SERVICE_ADDRESS_CIDR_BLOCKS
        ServiceLoadBalancerSubnetIDs: SERVICE_LOAD_BALANCER_SUBNETS
      controlPlane:
        version:  CLUSTER_VERSION # Latest version is 1.25.5-gke.2100
        instanceType: AWS_INSTANCE_TYPE
        keyName: SSH_KEY_NAME
        subnetIDs:
        - CONTROL_PLANE_SUBNET_IDS
        securityGroupIDs:
        - CONTROL_PLANE_SECURITY_GROUPS
        iamInstanceProfile: CONTROL_PLANE_IAM_ROLE
        rootVolume:
          sizeGiB: ROOT_VOLUME_SIZE
          volumeType: ROOT_VOLUME_TYPE # Optional
          iops: ROOT_VOLUME_IOPS # Optional
          kmsKeyARN: ROOT_VOLUME_KEY # Optional
        etcd:
          mainVolume:
            sizeGiB: ETCD_VOLUME_SIZE
            volumeType: ETCD_VOLUME_TYPE # Optional
            iops: ETCD_VOLUME_IOPS # Optional
            kmsKeyARN: ETCD_VOLUME_KEY # Optional
        databaseEncryption:
          kmsKeyARN: ARN_OF_KMS_KEY
        hub: # Optional
          membershipName: ANTHOS_CONNECT_NAME
        cloudOperations: # Optional
          projectID: YOUR_PROJECT
          location: GCP_REGION
          enableLogging: ENABLE_LOGGING
          enableMonitoring: ENABLE_MONITORING
        workloadIdentity: # Optional
          oidcDiscoveryGCSBucket: WORKLOAD_IDENTITY_BUCKET
    

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del tuo cluster.
    • AWS_REGION: la regione AWS in cui viene eseguito il cluster.

    • VPC_ID: l'ID del VPC su cui viene eseguito il cluster.

    • POD_ADDRESS_CIDR_BLOCKS: l'intervallo di indirizzi IPv4 utilizzati dai pod del cluster. Attualmente è supportato un solo intervallo. L'intervallo non deve sovrapporsi ad alcuna subnet raggiungibile dalla tua rete. Puoi utilizzare lo stesso intervallo in più oggetti AWSCluster diversi. Ad esempio, 10.2.0.0/16.

    • SERVICE_ADDRESS_CIDR_BLOCKS: l'intervallo di indirizzi IPv4 utilizzati dai servizi del cluster. Attualmente è supportato un solo intervallo. L'intervallo non deve sovrapporsi ad alcuna subnet raggiungibile dalla tua rete. Puoi utilizzare lo stesso intervallo in più oggetti AWSCluster diversi. Ad esempio, 10.1.0.0/16.

    • SERVICE_LOAD_BALANCER_SUBNETS: gli ID subnet in cui GKE su AWS può creare bilanciatori del carico pubblici o privati.

    • CLUSTER_VERSION: una versione di Kubernetes supportata da GKE su AWS. La versione più recente è 1.25.5-gke.2100.

    • AWS_INSTANCE_TYPE: un tipo di istanza EC2 supportato.

    • SSH_KEY_NAME: una coppia di chiavi AWS EC2.

    • CONTROL_PLANE_SUBNET_IDS: gli ID subnet nelle AZ in cui vengono eseguite le istanze del piano di controllo.

    • CONTROL_PLANE_SECURITY_GROUPS: un securityGroupID creato durante l'installazione del servizio di gestione. Puoi personalizzare questa impostazione aggiungendo eventuali securityGroupID richiesti per la connessione al piano di controllo.

    • CONTROL_PLANE_IAM_PROFILE: nome del profilo di istanza AWS EC2 assegnato alle repliche del piano di controllo.

    • ROOT_VOLUME_SIZE: la dimensione, in gibibyte (GiB), dei volumi radice del piano di controllo.

    • ROOT_VOLUME_TYPE con il tipo di volume EBS. Ad esempio: gp3.

    • ROOT_VOLUME_IOPS con il numero di operazioni IO di cui è stato eseguito il provisioning al secondo (IOPS) per il volume. Valido solo quando volumeType è GP3. Per saperne di più, consulta Volumi SSD per uso generico (gp3).

    • ROOT_VOLUME_KEY con il nome della risorsa Amazon della chiave KMS AWS che cripta i volumi root dell'istanza del piano di controllo.

    • ETCD_VOLUME_SIZE: le dimensioni dei volumi utilizzati da etcd.

    • ETCD_VOLUME_TYPE con il tipo di volume EBS. Ad esempio: gp3.

    • ETCD_VOLUME_IOPS con il numero di operazioni IO di cui è stato eseguito il provisioning al secondo (IOPS) per il volume. Valido solo quando volumeType è gp3. Per saperne di più, consulta Volumi SSD per uso generico (gp3).

    • ETCD_VOLUME_KEY con il nome della risorsa Amazon della chiave KMS AWS che cripta i volumi di dati del piano di controllo etcd.

    • ARN_OF_KMS_KEY: la chiave KMS di AWS utilizzata per criptare i secret del cluster.

    • ANTHOS_CONNECT_NAME: il nome dell'abbonamento Connetti utilizzato per registrare il cluster. Il nome dell'appartenenza deve essere univoco. Ad esempio, projects/YOUR_PROJECT/locations/global/memberships/CLUSTER_NAME, dove YOUR_PROJECT è il tuo progetto Google Cloud e CLUSTER_NAME è un nome univoco nel tuo progetto. Questo campo è facoltativo.

    • YOUR_PROJECT: il tuo ID progetto.

    • GCP_REGION: la regione Google Cloud in cui vuoi archiviare i log. Scegli una regione vicina a quella AWS. Per maggiori informazioni, consulta la sezione Località globali - Regioni e zone, ad esempio us-central1.

    • ENABLE_LOGGING: true o false, se Cloud Logging è abilitato sui nodi del piano di controllo.

    • ENABLE_MONITORING: true o false, se Cloud Monitoring è abilitato sui nodi del piano di controllo.

    • WORKLOAD_IDENTITY_BUCKET: il nome del bucket Cloud Storage contenente le informazioni di rilevamento dell'identità del carico di lavoro. Questo campo è facoltativo.

  4. Crea uno o più AWSNodePool per il cluster. Apri un editor di testo e copia la seguente definizione di AWSCluster in un file denominato custom-nodepools.yaml.

    apiVersion: multicloud.cluster.gke.io/v1
    kind: AWSNodePool
    metadata:
      name: NODE_POOL_NAME
    spec:
      clusterName: AWSCLUSTER_NAME
      version:  CLUSTER_VERSION # latest version is 1.25.5-gke.2100
      region: AWS_REGION
      subnetID: AWS_SUBNET_ID
      minNodeCount: MINIMUM_NODE_COUNT
      maxNodeCount: MAXIMUM_NODE_COUNT
      maxPodsPerNode: MAXIMUM_PODS_PER_NODE_COUNT
      instanceType: AWS_NODE_TYPE
      keyName: KMS_KEY_PAIR_NAME
      iamInstanceProfile: NODE_IAM_PROFILE
      proxySecretName: PROXY_SECRET_NAME
      rootVolume:
        sizeGiB: ROOT_VOLUME_SIZE
        volumeType: VOLUME_TYPE # Optional
        iops: IOPS # Optional
        kmsKeyARN: NODE_VOLUME_KEY # Optional 
    

    Sostituisci quanto segue:

    • NODE_POOL_NAME: un nome univoco per il tuo AWSNodePool.
    • AWSCLUSTER_NAME: il nome del tuo cluster AWS. Ad esempio, staging-cluster.
    • CLUSTER_VERSION: una versione di GKE su AWS Kubernetes.
    • AWS_REGION: la stessa regione AWS dell'AWSCluster.
    • AWS_SUBNET_ID: una subnet AWS nella stessa regione dell'AWSCluster.
    • MINIMUM_NODE_COUNT: il numero minimo di nodi nel pool di nodi. Per ulteriori informazioni, consulta Scalabilità dei cluster utente.
    • MAXIMUM_NODE_COUNT: il numero massimo di nodi nel pool di nodi.
    • MAXIMUM_PODS_PER_NODE_COUNT: numero massimo di pod che GKE su AWS può allocare a un nodo.
    • AWS_NODE_TYPE: un tipo di istanza AWS EC2.
    • KMS_KEY_PAIR_NAME: la coppia di chiavi KMS di AWS assegnata a ciascun worker del pool di nodi.
    • NODE_IAM_PROFILE: nome del profilo di istanza AWS EC2 assegnato ai nodi nel pool.
    • ROOT_VOLUME_SIZE: la dimensione, in gibibyte (GiB), dei volumi radice del piano di controllo.
    • VOLUME_TYPE: il tipo di volume AWS EBS del nodo. Ad esempio: gp3.
    • IOPS: il numero di operazioni IO al secondo (IOPS) di cui è stato eseguito il provisioning per i volumi. Valido solo quando volumeType è gp3.
    • NODE_VOLUME_KEY: l'ARN della chiave KMS di AWS utilizzata per criptare il volume. Per maggiori informazioni, consulta Utilizzo di una chiave CMK gestita dal cliente per criptare i volumi.
  5. Applica i manifest al tuo servizio di gestione.

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl apply -f custom-cluster.yaml
    env HTTPS_PROXY=http://localhost:8118 \
      kubectl apply -f custom-nodepools.yaml
    

crea un kubeconfig

All'avvio del cluster utente, puoi creare un contesto kubeconfig per il tuo nuovo cluster utente. Puoi utilizzare il contesto per eseguire l'autenticazione a un cluster utente o di gestione.

  1. Usa anthos-gke aws clusters get-credentials per generare un kubeconfig per il tuo cluster utente in ~/.kube/config.

    env HTTPS_PROXY=http://localhost:8118 \
      anthos-gke aws clusters get-credentials CLUSTER_NAME
    

    Sostituisci CLUSTER_NAME con il nome del cluster. Ad esempio, cluster-0.

  2. Usa kubectl per l'autenticazione nel nuovo cluster utente.

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl cluster-info
    

    Se il cluster è pronto, l'output include gli URL per i componenti Kubernetes all'interno del cluster.

Visualizzazione dello stato del cluster

Il servizio di gestione esegue il provisioning delle risorse AWS quando applichi un AWSCluster o un AWSNodePool.

  1. Dalla directory anthos-aws, utilizza anthos-gke per cambiare contesto al servizio di gestione.

    cd anthos-aws
    anthos-gke aws management get-credentials

  2. Per elencare i cluster, utilizza kubectl get AWSClusters.

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl get AWSClusters
    

    L'output include il nome, lo stato, l'età, la versione e l'endpoint di ogni cluster.

    Ad esempio, il seguente output include solo un AWSCluster denominato cluster-0:

    NAME        STATE          AGE     VERSION         ENDPOINT
    cluster-0   Provisioning   2m41s   1.25.5-gke.2100   gke-xyz.elb.us-east-1.amazonaws.com
    

Visualizza gli eventi del cluster

Per visualizzare gli eventi Kubernetes recenti del cluster utente, utilizza kubectl get events.

  1. Dalla directory anthos-aws, utilizza anthos-gke per cambiare contesto al servizio di gestione.

    cd anthos-aws
    anthos-gke aws management get-credentials

  2. Esegui kubectl get events.

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl get events
    

L'output include informazioni, avvisi ed errori relativi al tuo servizio di gestione.

Creazione del webhook Workload Identity

Questa sezione è rivolta agli amministratori del cluster.

Per fornire le credenziali di Workload Identity ai tuoi carichi di lavoro senza configurazioni aggiuntive, puoi facoltativamente creare un webhook sui cluster utente. Questo webhook intercetta le richieste di creazione dei pod e rende disponibili le seguenti informazioni AWS IAM come variabili di ambiente al pod:

  • AWS_ROLE_ARN: il nome della risorsa Amazon (ARN) del ruolo IAM
  • aws-iam-token: il token scambiato con le credenziali AWS IAM
  • AWS_WEB_IDENTITY_TOKEN_FILE: il percorso in cui è archiviato il token

Con queste variabili, i carichi di lavoro possono chiamare lo strumento a riga di comando o l'SDK AWS può accedere alle risorse concesse al ruolo AWS.

La creazione del webhook è facoltativa. Se decidi di non creare il webhook, devi impostare le variabili di ambiente elencate in precedenza nel pod. Per informazioni su come non utilizzare un webhook, consulta la pagina Applicare le credenziali senza il webhook.

Crea file YAML per il webhook

Per eseguire il deployment del webhook, segui questi passaggi:

  1. Dalla directory anthos-aws, utilizza anthos-gke per cambiare contesto al servizio di gestione.

    cd anthos-aws
    anthos-gke aws management get-credentials

  2. Recupera il nome del cluster utente con kubectl:

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl get awscluster
    

    kubectl elenca tutti i cluster utente. Scegli il cluster utente che hai creato con identità per carico di lavoro abilitata.

  3. Imposta il nome del cluster in una variabile di ambiente.

    CLUSTER_NAME=CLUSTER_NAME
    

    Sostituisci CLUSTER_NAME con il nome del cluster. Ad esempio, cluster-0.

  4. Imposta le variabili di ambiente per l'immagine e lo spazio dei nomi del pod di Workload Identity.

    IDENTITY_IMAGE=amazon/amazon-eks-pod-identity-webhook:ed8c41f
    
    WEBHOOK_NAMESPACE=workload-identity-webhook
    
  5. Genera il manifest YAML webhook in un file denominato aws-webhook.yaml eseguendo questi passaggi:

    env HTTPS_PROXY=http://localhost:8118 \
      anthos-gke aws clusters get-credentials ${CLUSTER_NAME}
    
    CLUSTER_CA=$(env HTTPS_PROXY=http://localhost:8118 \
      kubectl config view --raw -o json  | jq -r '.clusters[] | select(.name == "'$(kubectl config current-context)'") | .cluster."certificate-authority-data"')
    
    cat << EOF > aws-webhook.yaml
    apiVersion: v1
    kind: Namespace
    metadata:
      name: ${WEBHOOK_NAMESPACE}
    ---
    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: pod-identity-webhook
      namespace: ${WEBHOOK_NAMESPACE}
    ---
    apiVersion: rbac.authorization.k8s.io/v1
    kind: Role
    metadata:
      name: pod-identity-webhook
      namespace: ${WEBHOOK_NAMESPACE}
    rules:
      - apiGroups: ['']
        resources: ['secrets']
        verbs: ['create']
      - apiGroups: ['']
        resources: ['secrets']
        verbs: ['get', 'update', 'patch']
        resourceNames:
          - pod-identity-webhook
    ---
    apiVersion: rbac.authorization.k8s.io/v1
    kind: RoleBinding
    metadata:
      name: pod-identity-webhook
      namespace: ${WEBHOOK_NAMESPACE}
    roleRef:
      apiGroup: rbac.authorization.k8s.io
      kind: Role
      name: pod-identity-webhook
    subjects:
      - kind: ServiceAccount
        name: pod-identity-webhook
        namespace: ${WEBHOOK_NAMESPACE}
    ---
    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRole
    metadata:
      name: pod-identity-webhook
    rules:
      - apiGroups: ['']
        resources: ['serviceaccounts']
        verbs: ['get', 'watch',  'list']
      - apiGroups:  ['certificates.k8s.io']
        resources: ['certificatesigningrequests']
        verbs:  ['create', 'get', 'list', 'watch']
    ---
    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRoleBinding
    metadata:
      name: pod-identity-webhook
    roleRef:
      apiGroup: rbac.authorization.k8s.io
      kind: ClusterRole
      name: pod-identity-webhook
    subjects:
      - kind: ServiceAccount
        name: pod-identity-webhook
        namespace: ${WEBHOOK_NAMESPACE}
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: pod-identity-webhook
      namespace: ${WEBHOOK_NAMESPACE}
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: pod-identity-webhook
      template:
        metadata:
          labels:
            app: pod-identity-webhook
        spec:
          serviceAccountName: pod-identity-webhook
          containers:
            - name: pod-identity-webhook
              image: ${IDENTITY_IMAGE}
              imagePullPolicy: Always
              command:
                - /webhook
                - --in-cluster
                - --namespace=${WEBHOOK_NAMESPACE}
                - --service-name=pod-identity-webhook
                - --tls-secret=pod-identity-webhook
                - --annotation-prefix=eks.amazonaws.com
                - --token-audience=sts.amazonaws.com
                - --logtostderr
              volumeMounts:
                - name: webhook-certs
                  mountPath: /var/run/app/certs
                  readOnly: false
          volumes:
            - name: webhook-certs
              emptyDir: {}
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: pod-identity-webhook
      namespace: ${WEBHOOK_NAMESPACE}
      annotations:
        prometheus.io/port: '443'
        prometheus.io/scheme: https
        prometheus.io/scrape: 'true'
    spec:
      ports:
        - port: 443
          targetPort: 443
      selector:
        app: pod-identity-webhook
    ---
    apiVersion: admissionregistration.k8s.io/v1
    kind: MutatingWebhookConfiguration
    metadata:
      name: pod-identity-webhook
      namespace: ${WEBHOOK_NAMESPACE}
    webhooks:
      - name: pod-identity-webhook.amazonaws.com
        failurePolicy: Ignore
        sideEffects: 'None'
        admissionReviewVersions: ['v1beta1']
        clientConfig:
          service:
            name: pod-identity-webhook
            namespace: ${WEBHOOK_NAMESPACE}
            path: /mutate
          caBundle: ${CLUSTER_CA}
        rules:
          - operations: ['CREATE']
            apiGroups: ['']
            apiVersions: ['v1']
            resources: ['pods']
    EOF
    

    I contenuti di aws-webhook.yaml sono pronti per essere applicati al cluster.

Applica il webhook al cluster utente

Per applicare il webhook al cluster utente, segui questi passaggi.

  1. Applica il file aws-webhook.yaml al cluster utente.

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl apply -f aws-webhook.yaml
    
  2. Quando applichi il manifest, il pod webhook genera richieste di firma del certificato Kubernetes (CSR). Approva tutte le richieste da system:serviceaccount:${WEBHOOK_NAMESPACE}:pod-identity-webhook con kubectl certificate approve.

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl certificate approve $(env HTTPS_PROXY=http://localhost:8118 \ &&\
      kubectl get csr -o \
        jsonpath="{.items[?(@.spec.username==\"system:serviceaccount:${WEBHOOK_NAMESPACE}:pod-identity-webhook\")].metadata.name}")
    
  3. Verifica che non ci siano altri CSR non approvati.

    Utilizza kubectl get csr per verificare che tutti i CSR del richiedente system:serviceaccount:${WEBHOOK_NAMESPACE}:pod-identity-webhook siano approvati:

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl get csr
    

    Risposta:

    NAME        AGE   REQUESTOR                                            CONDITION
    csr-mxrt8   10s   system:serviceaccount:default:pod-identity-webhook   Approved,Issued
    

Configurazione del provider AWS OIDC

Questa sezione è rivolta agli amministratori del cluster.

Per creare un provider OIDC su AWS, AWS richiede un'autorità di certificazione (CA) intermedia o un'identificazione personale del certificato del server. Le tue credenziali di rilevamento OIDC sono archiviate su storage.googleapis.com, con un certificato firmato da una CA intermedia denominata GTS CA 1C3. L'identificazione personale SHA-1 della CA intermedia GTS CA 1C3 è 08745487E891C19E3078C1F2A07E452950EF36F6.

Per registrare il bucket di rilevamento OIDC come provider OIDC con AWS, segui questi passaggi:

  1. Dalla directory anthos-aws, utilizza anthos-gke per cambiare contesto al servizio di gestione.

    cd anthos-aws
    anthos-gke aws management get-credentials

  2. Salva l'URL emittente OIDC, il percorso host dell'emittente e l'identificazione personale di Cloud Storage nelle variabili di ambiente.

    ISSUER_URL=$(env HTTPS_PROXY=http://localhost:8118 \
      kubectl get awscluster ${CLUSTER_NAME} -o jsonpath='{.status.workloadIdentityInfo.issuerURL}')
    ISSUER_HOSTPATH=${ISSUER_URL#"https://"}
    CA_THUMBPRINT=08745487E891C19E3078C1F2A07E452950EF36F6
    
  3. Utilizza lo strumento a riga di comando aws per creare un provider OIDC su AWS.

    aws iam create-open-id-connect-provider \
      --url ${ISSUER_URL} \
      --thumbprint-list ${CA_THUMBPRINT} \
      --client-id-list sts.amazonaws.com
    

Aggiorna l'impronta digitale

Se Google ruota la CA per storage.googleapis.com, esegui questi comandi:

  1. Copia l'identificazione personale del certificato aggiornato, 08745487E891C19E3078C1F2A07E452950EF36F6.

  2. Segui le istruzioni relative al comando aws iam update-open-id-connect-provider-thumbprint. Utilizza storage.googleapis.com come nome host di destinazione e 08745487E891C19E3078C1F2A07E452950EF36F6 come thumbprint.

Creazione di ruoli e criteri AWS IAM

Questa sezione è rivolta agli amministratori del cluster.

Creare un ruolo AWS IAM da associare a un account di servizio Kubernetes. Il ruolo IAM dispone delle autorizzazioni per sts:AssumeRoleWithWebIdentity.

Per creare il ruolo:

  1. Trova o crea un criterio AWS IAM che concede le autorizzazioni necessarie per i tuoi carichi di lavoro.

    È necessario il criterio AWS IAM del nome della risorsa Amazon (ARN) del criterio. Ad esempio, arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess.

  2. Imposta le variabili di ambiente con le tue informazioni di autenticazione.

    KSA_NAME=KUBERNETES_SERVICE_ACCOUNT
    WORKLOAD_NAMESPACE=WORKLOAD_IDENTITY_NAMESPACE
    
    AWS_ROLE_NAME=AWS_ROLE_NAME
    AWS_POLICY=EXISTING_AWS_POLICY
    

    Sostituisci quanto segue:

    • KUBERNETES_SERVICE_ACCOUNT: il nome del nuovo account di servizio Kubernetes
    • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i carichi di lavoro
    • AWS_ROLE_NAME: il nome di un nuovo ruolo AWS per i carichi di lavoro
    • EXISTING_AWS_POLICY: nome della risorsa Amazon (ARN) di un criterio AWS IAM esistente, ad esempio arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess.
  3. Dalla directory anthos-aws, utilizza anthos-gke per cambiare contesto al servizio di gestione.

    cd anthos-aws
    anthos-gke aws management get-credentials

  4. Crea un criterio AWS IAM che consenta al cluster utente di assumere credenziali di sicurezza temporanee con AWS Security Token Service:

    CLUSTER_ID=$(env HTTPS_PROXY=http://localhost:8118 \
      kubectl get awscluster ${CLUSTER_NAME} -o jsonpath='{.status.clusterID}')
    
    # Get the ID Provider ARN
    PROVIDER_ARN=$(aws iam list-open-id-connect-providers  \
    | jq '.OpenIDConnectProviderList' \
    | jq ".[] | select(.Arn |  contains(\"${CLUSTER_ID}\"))"   \
    | jq  '.Arn' | tr -d '"')
    
    # Create AWS role and policy
    cat > irp-trust-policy.json << EOF
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Federated": "${PROVIDER_ARN}"
          },
          "Action": "sts:AssumeRoleWithWebIdentity",
          "Condition": {
            "StringEquals": {
              "${ISSUER_HOSTPATH}:sub": "system:serviceaccount:${WORKLOAD_NAMESPACE}:${KSA_NAME}"
            }
          }
        }
      ]
    }
    EOF
    
  5. Per creare un ruolo AWS IAM con questo criterio e collegare il criterio esistente al ruolo, esegui questi comandi:

    aws iam create-role \
      --role-name ${AWS_ROLE_NAME} \
      --assume-role-policy-document file://irp-trust-policy.json
    aws iam update-assume-role-policy \
      --role-name ${AWS_ROLE_NAME} \
      --policy-document file://irp-trust-policy.json
    aws iam attach-role-policy \
      --role-name ${AWS_ROLE_NAME} \
      --policy-arn ${AWS_POLICY}
    

    Lo strumento a riga di comando aws conferma che il criterio è associato al tuo ruolo.

Creazione di account di servizio Kubernetes per i carichi di lavoro

Questa sezione è rivolta agli sviluppatori o amministratori del cluster.

Per creare account di servizio Kubernetes associati al ruolo AWS IAM specificato in precedenza, esegui questi passaggi:

  1. Dalla directory anthos-aws, utilizza anthos-gke per cambiare contesto al cluster utente.

    cd anthos-aws
    env HTTPS_PROXY=http://localhost:8118 \
      anthos-gke aws clusters get-credentials CLUSTER_NAME
    Sostituisci CLUSTER_NAME con il nome del tuo cluster utente.

  2. Crea l'account di servizio Kubernetes eseguendo questi comandi:

    S3_ROLE_ARN=$(aws iam get-role \
      --role-name AWS_ROLE_NAME \
      --query Role.Arn --output text)
    
    cat << EOF  > k8s-service-account.yaml
    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: ${KSA_NAME}
      namespace: WORKLOAD_IDENTITY_NAMESPACE
    EOF
    
    env HTTPS_PROXY=http://localhost:8118 \
    kubectl apply -f k8s-service-account.yaml
    
    env HTTPS_PROXY=http://localhost:8118 \
    kubectl annotate sa --namespace ${WORKLOAD_NAMESPACE} ${KSA_NAME} eks.amazonaws.com/role-arn=${S3_ROLE_ARN}
    

    Sostituisci quanto segue:

    • AWS_ROLE_NAME: il nome del ruolo AWS IAM da applicare ai carichi di lavoro
    • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i carichi di lavoro

Applicazione di credenziali ai pod

Questa sezione è rivolta agli sviluppatori.

Questa sezione presuppone che tu abbia eseguito il deployment del webhook di Workload Identity. Se non hai eseguito il deployment del webhook, vai alla sezione Applicazione di credenziali senza il webhook.

Applica le credenziali con il webhook

Questa sezione descrive come configurare i pod per leggere le credenziali rese disponibili dal webhook.

aggiungi l'account di servizio al pod

Per utilizzare Workload Identity con un carico di lavoro, aggiungi l'account di servizio Kubernetes ai campi seguenti:

  • Per un deployment: spec.template.spec.serviceAccountName
  • Per un pod: spec.serviceAccount

Il seguente manifest del pod avvia un'immagine CentOS di base e contiene il campo spec.serviceAccount.

apiVersion: v1
kind: Pod
metadata:
  name: sample-centos-pod
  namespace: WORKLOAD_IDENTITY_NAMESPACE
spec:
  containers:
  - command:
    - /bin/bash
    - -ec
    - while :; do echo '.'; sleep 500 ; done
    image: amazon/aws-cli
    name: centos
  serviceAccount: KUBERNETES_SERVICE_ACCOUNT

Sostituisci quanto segue:

  • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i carichi di lavoro
  • KUBERNETES_SERVICE_ACCOUNT: il nome dell'account di servizio Kubernetes creato in precedenza

Verifica se nei pod sono impostate le variabili di ambiente

Per verificare se le variabili di ambiente sono impostate nei pod, esegui questo comando per ottenere informazioni sul pod:

kubectl get pod --namespace WORKLOAD_IDENTITY_NAMESPACE POD_NAME -o yaml

Sostituisci quanto segue:

  • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i carichi di lavoro
  • POD_NAME: il nome del pod da controllare

L'output contiene i valori della variabile di ambiente in spec.containers.command.env e il punto di montaggio per il token AWS IAM. Segue un esempio di manifest del pod.

apiVersion: v1
kind: Pod
metadata:
  ...
spec:
  containers:
  - command:
    - /bin/bash
    - -ec
    - while :; do echo '.'; sleep 500 ; done
    env:
    - name: AWS_ROLE_ARN
      value: arn:aws:iam::1234567890:role/my-example-workload-role-1
    - name: AWS_WEB_IDENTITY_TOKEN_FILE
      value: /var/run/secrets/eks.amazonaws.com/serviceaccount/token
    image: amazon/aws-cli
    imagePullPolicy: IfNotPresent
    name: centos
    resources: {}
    terminationMessagePath: /dev/termination-log
    terminationMessagePolicy: File
    volumeMounts:
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: my-k8s-serviceaccount-token-d4nz4
      readOnly: true
    - mountPath: /var/run/secrets/eks.amazonaws.com/serviceaccount
      name: aws-iam-token
      readOnly: true
  serviceAccount: my-k8s-serviceaccount
  serviceAccountName: my-k8s-serviceaccount
  volumes:
  - name: aws-iam-token
    projected:
      defaultMode: 420
      sources:
      - serviceAccountToken:
          audience: sts.amazonaws.com
          expirationSeconds: 86400
          path: token
  - name: my-k8s-serviceaccount-token-d4nz4
    secret:
      defaultMode: 420
      secretName: my-k8s-serviceaccount-token-d4nz4
   ...
status:
  ...

Applica le credenziali senza il webhook

Se non esegui il deployment del webhook Workload Identity, devi:

Crea un pod con credenziali per Workload Identity

Per creare un pod che includa le credenziali necessarie per Workload Identity, segui questi passaggi:

  1. Copia il seguente manifest del pod in un file denominato sample-pod-no-webhook.yaml. La configurazione avvia un'immagine CentOS di base con le credenziali necessarie.

    apiVersion: v1
    kind: Pod
    metadata:
      name: sample-centos-pod-no-webhook
      namespace: WORKLOAD_IDENTITY_NAMESPACE
    spec:
      containers:
      - command:
        - /bin/bash
        - -ec
        - while :; do echo '.'; sleep 500 ; done
        image: centos:7
        name: centos
        env:
        - name: AWS_ROLE_ARN
          value: IAM_ROLE_ARN
        - name: AWS_WEB_IDENTITY_TOKEN_FILE
          value: /var/run/secrets/eks.amazonaws.com/serviceaccount/token
        volumeMounts:
        - mountPath: /var/run/secrets/eks.amazonaws.com/serviceaccount
          name: aws-iam-token
          readOnly: true
      volumes:
      - name: aws-iam-token
        projected:
          defaultMode: 420
          sources:
          - serviceAccountToken:
              audience: sts.amazonaws.com
              expirationSeconds: 86400
              path: token
      serviceAccount: KUBERNETES_SERVICE_ACCOUNT
    

    Sostituisci quanto segue:

    • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i carichi di lavoro.
    • IAM_ROLE_ARN: l'ARN del ruolo IAM concesso al pod. Ad esempio, arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess.
    • KUBERNETES_SERVICE_ACCOUNT: il nome dell'account di servizio Kubernetes creato in precedenza.
  2. Applica il manifest del pod al cluster utilizzando kubectl:

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl apply -f sample-pod-no-webhook.yaml
    

Verifica se i pod possono accedere alle risorse AWS

La procedura seguente descrive come verificare se il pod ha ricevuto le credenziali necessarie per il funzionamento di Workload Identity.

Per completare la procedura, devi disporre di:

  • Accesso alla shell di bash al container; per la maggior parte delle immagini di produzione non è disponibile una shell. L'esempio seguente mostra come utilizzare il pod specificato nella sezione precedente per accedere ad AWS S3.

  • Il pod deve avere accesso in uscita a internet per scaricare l'interfaccia a riga di comando di AWS.

Per verificare se il pod può accedere a un bucket S3, segui questi passaggi:

  1. Usa kubectl exec per avviare una shell bash interattiva nel pod sample-centos-pod-no-webhook:

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl exec -it --namespace ${WORKLOAD_NAMESPACE} sample-centos-pod-no-webhook -- bash
    

    Il terminale apre la shell bash nel pod.

  2. Controlla le autorizzazioni e le credenziali AWS IAM utilizzando lo strumento aws:

    aws sts assume-role-with-web-identity \
     --role-arn ${AWS_ROLE_ARN} \
     --role-session-name mh9test \
     --web-identity-token file:///var/run/secrets/eks.amazonaws.com/serviceaccount/token \
     --duration-seconds 1000
    

    Lo strumento aws stampa informazioni sulle credenziali simili alle seguenti:

    {
        "AssumedRoleUser": {
            "AssumedRoleId": "AROAR2ZZZLEXVSDCDJ37N:mh9test",
            "Arn": "arn:aws:sts::126285863215:assumed-role/my-example-workload-role-1/mh9test"
        },
        "Audience": "sts.amazonaws.com",
        "Provider": "arn:aws:iam::126285863215:oidc-provider/storage.googleapis.com/gke-issuer-cec6c353",
        "SubjectFromWebIdentityToken": "system:serviceaccount:default:my-s3-reader-ksa",
        "Credentials": {
            "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "SessionToken": "MY_TOKEN",
            "Expiration": "2020-08-14T22:46:36Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        }
    }
    

    Se viene visualizzato il seguente messaggio, verifica che il bucket sia accessibile pubblicamente: An error occurred (InvalidIdentityToken) when calling the AssumeRoleWithWebIdentity operation: Couldn't retrieve verification key from your identity provider, please reference AssumeRoleWithWebIdentity documentation for requirements

Upgrade del webhook

Se hai creato un cluster Kubernetes 1.18 o precedente con Workload Identity abilitato e la versione del webhook di Workload Identity release-0.2.2-gke.0, devi eseguire l'upgrade del webhook prima di eseguire l'upgrade a Kubernetes 1.19.

Per eseguire l'upgrade del webhook:

  1. Verifica che il webhook sia installato eseguendo questi comandi:

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl get MutatingWebhookConfiguration
    

    Se nel cluster è stato eseguito il deployment del webhook, l'output include quanto segue:

    NAME                   WEBHOOKS   AGE
    pod-identity-webhook   1          11m
    

    Se il deployment del webhook non è stato eseguito nel cluster, puoi saltare i passaggi seguenti.

  2. Se hai salvato il file aws-webhook.yaml, puoi eliminare il manifest. Se non hai questo file a disposizione, puoi eliminare manualmente i componenti del webhook. Scegli tra il file o i componenti di seguito.

    File

    Se hai ancora il file aws-webhook.yaml, esegui questo comando per eliminare il webhook:

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl delete -f aws-webhook.yaml
    

    Componenti

    Per eliminare manualmente i componenti del webhook, esegui questi comandi:

    env HTTPS_PROXY=http://localhost:8118 \
       kubectl delete namespace WEBHOOK_NAMESPACE
    env HTTPS_PROXY=http://localhost:8118 \
       kubectl delete clusterrole pod-identity-webhook
    env HTTPS_PROXY=http://localhost:8118 \
       kubectl delete clusterrolebinding pod-identity-webhook
    env HTTPS_PROXY=http://localhost:8118 \
       kubectl delete mutatingwebhookconfiguration pod-identity-webhook
    

    Sostituisci WEBHOOK_NAMESPACE con lo spazio dei nomi in cui hai installato il webhook Workload Identity. Ad esempio: workload-identity-webhook.

  3. Per verificare se sono presenti richieste di firma del certificato (CSR) rimanenti, esegui questo comando:

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl get csr |grep pod-identity-webhook
    

    Se l'output è vuoto, vai al passaggio successivo. Se sono presenti altre richieste di assistenza clienti, il comando kubectl elencherà le richieste di assistenza clienti esistenti. Per rimuovere i CSR, esegui questo comando:

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl delete csr $(kubectl get csr -o \
      jsonpath="{.items[?(@.spec.username==\"system:serviceaccount:WEBHOOK_NAMESPACE:pod-identity-webhook\")].metadata.name}")
    

    Sostituisci WEBHOOK_NAMESPACE con lo spazio dei nomi in cui hai installato il webhook Workload Identity. Ad esempio: workload-identity-webhook.

  4. Segui i passaggi in Creare il webhook per eseguire il deployment della nuova versione del webhook.

    Dopo aver eseguito il deployment della nuova versione del webhook, devi riavviare i pod che utilizzano il webhook. Puoi riavviare i pod eseguendo l'upgrade di un cluster utente.

esegui la pulizia

Questa sezione mostra come rimuovere le risorse create in precedenza in questo documento.

Esegui la pulizia dell'account di servizio e del ruolo IAM associato

Per eliminare l'account di servizio e il ruolo IAM associato, segui questi passaggi:

  1. Pulisci l'account di servizio:

    env HTTPS_PROXY=http://localhost:8118 \
      kubectl delete sa KUBERNETES_SERVICE_ACCOUNT --namespace WORKLOAD_IDENTITY_NAMESPACE
    

    Sostituisci quanto segue:

    • KUBERNETES_SERVICE_ACCOUNT: il nome del nuovo account di servizio Kubernetes
    • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i carichi di lavoro
  2. Eseguire la pulizia del ruolo AWS IAM. Scegli una delle opzioni seguenti:

    • Elimina il ruolo AWS IAM con la console AWS.

    • Elimina il ruolo con lo strumento a riga di comando AWS utilizzando i seguenti comandi:

      aws iam  detach-role-policy \
        --role-name=${AWS_ROLE_NAME} \
        --policy-arn=${AWS_POLICY}
      aws iam delete-role --role-name=${AWS_ROLE_NAME}
      

Elimina il cluster utente

Per eliminare il cluster utente, esegui i passaggi descritti in Disinstallare GKE su AWS.

Esegui la pulizia del provider AWS OIDC

Dopo aver eliminato il cluster utente, annulla la registrazione ed elimina il provider OIDC su AWS utilizzando il seguente comando della shell bash o la console AWS.

  1. Dalla directory anthos-aws, utilizza anthos-gke per cambiare contesto al servizio di gestione.

    cd anthos-aws
    anthos-gke aws management get-credentials

  2. Elimina il ruolo con lo strumento a riga di comando AWS con i seguenti comandi:

    CLUSTER_ID=$(env HTTPS_PROXY=http://localhost:8118 \
      kubectl get awscluster ${CLUSTER_NAME} -o jsonpath='{.status.clusterID}')
    
    PROVIDER_ARN=$(aws iam list-open-id-connect-providers  \
    | jq '.OpenIDConnectProviderList' \
    | jq ".[] | select(.Arn |  contains(\"${CLUSTER_ID}\"))"   \
    | jq  '.Arn' | tr -d '"')
    
    aws iam delete-open-id-connect-provider \
      --open-id-connect-provider-arn=${PROVIDER_ARN}
    

    Riceverai la conferma che il provider AWS OIDC è stato eliminato.

Passaggi successivi