Halaman ini menjelaskan apa yang dimaksud dengan profil instance AWS IAM, mengapa profil ini penting dalam konteks GKE di AWS, dan cara memperbarui profil instance.
Apa yang dimaksud dengan profil instance AWS IAM?
Profil instance adalah konsep khusus AWS. Profil instance terdiri dari sekumpulan kredensial yang digunakan instance Amazon EC2 untuk mengakses berbagai resource AWS. Lebih khusus lagi, profil instance adalah jenis container untuk peran IAM yang dapat dilampirkan ke instance EC2. Profil instance memberikan izin ke instance EC2, sehingga instance dapat berinteraksi dengan berbagai layanan AWS berdasarkan izin yang ditentukan. Untuk mengetahui informasi selengkapnya, lihat Menggunakan profil instance.
Bagaimana profil instance digunakan di GKE di AWS?
Setiap bidang kontrol dan setiap node pool dalam cluster GKE di AWS dikaitkan dengan profil instance AWS yang unik. Profil instance di GKE di AWS memiliki dua tujuan:
- Profil instance memberikan izin yang diperlukan GKE di AWS untuk mengelola resource AWS. Misalnya, profil instance memberikan izin yang diperlukan autoscaler cluster untuk menskalakan cluster dengan menambahkan atau menghapus instance EC2 berdasarkan permintaan workload.
- Profil instance memberikan akses ke layanan instance EC2 Google Cloud .
Misalnya,
kubelet, yang berjalan di mesin AWS, memerlukan izin tertentu untuk memberikan kredensial penarikan image kecontainerd. Kredensial ini diperlukan untuk mengakses dan menarik image dari Google Artifact Registry pribadi atau dari Container Registry. Dalam konteks GKE di AWS, profil instance EC2 yang terkait dengan cluster dikonfigurasi untuk meniru Agen Layanan Mesin Google (seperti Agen Layanan Mesin Node Pool atau Agen Layanan Mesin Bidang Kontrol). Peniruan ini memungkinkan instance EC2 cluster otomatis melakukan autentikasi dengan Google Artifact Registry atau Container Registry.
Memperbarui profil instance
Memperbarui profil instance melibatkan pembuatan profil instance baru di AWS dengan izin tertentu, lalu mengaitkannya dengan cluster atau node pool GKE di AWS.
Untuk memperbarui profil instance cluster atau node pool dengan benar, ikuti langkah-langkah berikut:
- Buat profil instance IAM untuk instance Amazon EC2 dan tambahkan peran IAM yang Anda perlukan ke profil instance. Untuk mengetahui detailnya, lihat Menggunakan profil instance.
Tautkan profil instance baru ke cluster atau node pool GKE di AWS dengan menjalankan perintah berikut di Google Cloud CLI:
Menautkan profil ke cluster
gcloud container aws clusters update CLUSTER_NAME \ --update-instance-profile \ --instance-profile-name NEW_INSTANCE_PROFILE_NAME \ ...Ganti kode berikut:
CLUSTER_NAME: nama cluster AndaNEW_INSTANCE_PROFILE_NAME: nama profil instance AWS baru yang Anda buat
Menautkan profil ke node pool
gcloud container aws node-pools update NODE_POOL_NAME \ --update-instance-profile \ --instance-profile-name NEW_INSTANCE_PROFILE_NAME \ ...Ganti kode berikut:
NODE_POOL_NAME: nama node pool AndaNEW_INSTANCE_PROFILE_NAME: nama profil instance AWS baru yang Anda buat
Perintah ini hanya menampilkan flag yang relevan untuk memperbarui profil instance, tetapi Anda harus memberikan flag tambahan agar dapat menjalankan perintah
update. Untuk mengetahui detailnya, lihat Memperbarui parameter cluster AWS atau Memperbarui node pool.
Metode pembaruan yang salah
Memahami cara yang salah untuk memperbarui profil instance sangat penting, karena kesalahan ini mudah dilakukan dan dapat menyebabkan kegagalan cluster.
Cara yang salah untuk memperbarui profil instance adalah dengan mengubah langsung profil instance yang ada menggunakan AWS Management Console atau AWS CLI. Perubahan tersebut dapat mengganggu interaksi GKE di AWS dengan resource AWS. GKE di AWS mengharapkan profil instance tetap seperti saat pertama kali ditautkan ke cluster atau node pool. Mengubahnya di luar alat pengelolaan GKE di AWS dapat menyebabkan ketidakcocokan dengan ID peran IAM yang ada di profil instance. Ketidakcocokan ini dapat menyebabkan kegagalan cluster.
Pendekatan yang dijelaskan di bagian sebelumnya memastikan bahwa pembaruan dilakukan tanpa mengganggu integrasi GKE di AWS dengan AWS.