Utilizzo di Workload Identity con AWS

Questo argomento descrive come abilitare l'identità del workload per i tuoi workload GKE su AWS per controllare il loro accesso alle risorse AWS.

Per informazioni sull'utilizzo di Workload Identity con gli account Identity and Access Management (IAM) per controllare l'accesso alle risorse Google Cloud, consulta Utilizzo di Workload Identity con Google Cloud. Google Cloud

Panoramica

Workload Identity utilizza le autorizzazioni AWS IAM per controllare l'accesso alle risorse cloud. Con l'identità del carico di lavoro, puoi assegnare ruoli IAM diversi a ogni carico di lavoro. Questo controllo granulare delle autorizzazioni ti consente di seguire il principio del privilegio minimo. Senza Workload Identity, devi assegnare ruoli AWS IAM ai tuoi nodi GKE su AWS, concedendo a tutti i workload sul nodo le stesse autorizzazioni del nodo stesso.

Per attivare l'identità del workload per il cluster, completa i seguenti passaggi, raggruppati in base ai ruoli amministrativi che li eseguono.

Amministratore del cluster

  1. Crea un bucket Cloud Storage per archiviare i dati di rilevamento OIDC.
  2. Crea un ruolo Identity and Access Management per leggere da questo bucket.
  3. Crea un cluster utente con Workload Identity abilitato.
  4. Crea un webhook sul tuo cluster che applica le credenziali di identità del workload ai pod durante la creazione. Se non vuoi utilizzare il webhook, puoi impostare manualmente le variabili di ambiente nei pod.
  5. Configura il provider AWS OIDC.
  6. Crea ruoli e policy AWS IAM.
Amministratore o sviluppatore del cluster
  1. Crea service account Kubernetes e associa loro le policy AWS.
Sviluppatore
  1. Applica le credenziali ai tuoi pod.

Prerequisiti

Per completare i passaggi descritti in questo documento, devi disporre della seguente configurazione:

  • Un servizio di gestione di GKE su AWS.

  • Cluster utente che eseguono una versione di Kubernetes superiore alla 1.17.9.

  • Le seguenti autorizzazioni e strumenti.

Autorizzazioni

Per creare un cluster con Workload Identity abilitata, devi disporre delle seguenti autorizzazioni:

Google Cloud

  • Crea un bucket Cloud Storage leggibile pubblicamente con l'accesso uniforme a livello di bucket abilitato.
  • Concedi management-sa@PROJECT_NAME.iam.gserviceaccount.com le autorizzazioni di lettura/scrittura al bucket.

AWS

  • Crea un provider OIDC AWS
  • Creazione di ruoli IAM AWS

Strumenti

Sulla tua macchina locale, ti consigliamo di installare lo strumento jq.

Creazione del bucket di rilevamento OIDC

Questa sezione è rivolta agli amministratori del cluster.

Il cluster utente deve archiviare i dati di rilevamento OIDC in un bucket Cloud Storage accessibile pubblicamente. Il bucket include la configurazione della scoperta OIDC e le chiavi pubbliche. AWS utilizza i contenuti per autenticare le richieste dai cluster utente.

Il bucket deve avere i seguenti attributi:

Se non hai un bucket con questi attributi, creane uno utilizzando i seguenti comandi gcloud storage:

BUCKET=BUCKET_NAME
gcloud storage buckets create gs://${BUCKET} --uniform-bucket-level-access
gcloud storage buckets add-iam-policy-binding gs://${BUCKET} \
    --member=allUsers --role=roles/storage.objectViewer

Sostituisci BUCKET_NAME con il nome del nuovo bucket.

Concedi le autorizzazioni all'account di servizio di gestione

L'account di servizio Identity and Access Management per il servizio di gestione GKE su AWS deve disporre delle autorizzazioni per leggere e scrivere oggetti in questo bucket.

  1. Concedi le autorizzazioni al account di servizio di gestione utilizzando il seguente comando.

    MANAGEMENT_SA=management-sa@PROJECT_NAME.iam.gserviceaccount.com
gcloud storage buckets add-iam-policy-binding gs://${BUCKET} \
    --member=serviceAccount:${MANAGEMENT_SA} \
    --role=roles/storage.admin

    Sostituisci PROJECT_NAME con il tuo progetto Google Cloud .

  2. Crea un nuovo ruolo IAM con le autorizzazioni per gestire questo bucket. Per creare il ruolo, salva prima la definizione del ruolo in un file, poi crea il ruolo e associalo al tuo account di servizio di gestione.

    Per completare questi passaggi, esegui i seguenti comandi:

    cat << EOF >  anthos-oidc-role.yaml
title: anthosAwsOidcStorageAdmin
description: permissions to manage the OIDC buckets
stage: GA
includedPermissions:
- storage.buckets.get
EOF

gcloud iam roles create anthosAwsOidcStorageAdmin --project=PROJECT_NAME \
  --file=anthos-oidc-role.yaml

gcloud projects add-iam-policy-binding \
  PROJECT_NAME \
  --member=serviceAccount:${MANAGEMENT_SA} \
  --role=projects/PROJECT_NAME/roles/anthosAwsOidcStorageAdmin

    Sostituisci PROJECT_NAME con il tuo progetto Google Cloud .

    Google Cloud CLI conferma che l'associazione di policy è stata creata.

Creazione di un cluster utente

Questa sezione è rivolta agli amministratori del cluster.

Crea un cluster utente con Workload Identity abilitata

Crea un cluster utente che contenga i dettagli del bucket di rilevamento OIDC. Queste informazioni vengono impostate nel campo spec.controlPlane.workloadIdentity.oidcDiscoveryGCSBucket del tuo AWSCluster.

In questo esempio, crei un cluster manualmente dalle CRD AWSCluster e AWSNodePool.

  1. Passa alla directory con la configurazione di GKE su AWS. Hai creato questa directory durante l'installazione del servizio di gestione. 

    cd anthos-aws

  2. Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione. 

    cd anthos-aws
anthos-gke aws management get-credentials

  3. Apri un editor di testo e copia la seguente definizione AWSCluster in un file denominato custom-cluster.yaml.

    apiVersion: multicloud.cluster.gke.io/v1
kind: AWSCluster
metadata:
  name: CLUSTER_NAME
spec:
  region: AWS_REGION
  networking:
    vpcID: VPC_ID
    podAddressCIDRBlocks: POD_ADDRESS_CIDR_BLOCKS
    serviceAddressCIDRBlocks: SERVICE_ADDRESS_CIDR_BLOCKS
    ServiceLoadBalancerSubnetIDs: SERVICE_LOAD_BALANCER_SUBNETS
  controlPlane:
    version:  CLUSTER_VERSION # Latest version is 1.25.5-gke.2100
    instanceType: AWS_INSTANCE_TYPE
    keyName: SSH_KEY_NAME
    subnetIDs:
    - CONTROL_PLANE_SUBNET_IDS
    securityGroupIDs:
    - CONTROL_PLANE_SECURITY_GROUPS
    iamInstanceProfile: CONTROL_PLANE_IAM_ROLE
    rootVolume:
      sizeGiB: ROOT_VOLUME_SIZE
      volumeType: ROOT_VOLUME_TYPE # Optional
      iops: ROOT_VOLUME_IOPS # Optional
      kmsKeyARN: ROOT_VOLUME_KEY # Optional
    etcd:
      mainVolume:
        sizeGiB: ETCD_VOLUME_SIZE
        volumeType: ETCD_VOLUME_TYPE # Optional
        iops: ETCD_VOLUME_IOPS # Optional
        kmsKeyARN: ETCD_VOLUME_KEY # Optional
    databaseEncryption:
      kmsKeyARN: ARN_OF_KMS_KEY
    hub: # Optional
      membershipName: ANTHOS_CONNECT_NAME
    cloudOperations: # Optional
      projectID: YOUR_PROJECT
      location: GCP_REGION
      enableLogging: ENABLE_LOGGING
      enableMonitoring: ENABLE_MONITORING
    workloadIdentity: # Optional
      oidcDiscoveryGCSBucket: WORKLOAD_IDENTITY_BUCKET

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del tuo cluster.

    • AWS_REGION: la regione AWS in cui viene eseguito il cluster.

    • VPC_ID: l'ID del VPC in cui viene eseguito il cluster.

    • POD_ADDRESS_CIDR_BLOCKS: l'intervallo di indirizzi IPv4 utilizzati dai pod del cluster. Al momento è supportato un solo intervallo. L'intervallo non deve sovrapporsi ad alcuna subnet raggiungibile dalla tua rete. È sicuro utilizzare lo stesso intervallo in più oggetti AWSCluster diversi. Ad esempio, 10.2.0.0/16.

    • SERVICE_ADDRESS_CIDR_BLOCKS: l'intervallo di indirizzi IPv4 utilizzati dai servizi del cluster. Al momento è supportato un solo intervallo. L'intervallo non deve sovrapporsi ad alcuna subnet raggiungibile dalla tua rete. È sicuro utilizzare lo stesso intervallo in più oggetti AWSCluster diversi. Ad esempio, 10.1.0.0/16.

    • SERVICE_LOAD_BALANCER_SUBNETS: gli ID subnet in cui GKE su AWS può creare bilanciatori del carico pubblici o privati.

    • CLUSTER_VERSION: una versione di Kubernetes supportata da GKE su AWS. La versione più recente è 1.25.5-gke.2100.

    • AWS_INSTANCE_TYPE: un tipo di istanza EC2 supportato.

    • SSH_KEY_NAME: una coppia di chiavi AWS EC2.

    • CONTROL_PLANE_SUBNET_IDS: gli ID subnet nelle zone di disponibilità in cui vengono eseguite le istanze del control plane.

    • CONTROL_PLANE_SECURITY_GROUPS: un securityGroupID creato durante l'installazione del servizio di gestione. Puoi personalizzare questa impostazione aggiungendo gli eventuali securityGroupIDs necessari per connetterti al control plane.

    • CONTROL_PLANE_IAM_PROFILE: nome del profilo dell'istanza AWS EC2 assegnato alle repliche del control plane.

    • ROOT_VOLUME_SIZE: le dimensioni, in gibibyte (GiB), dei volumi root del control plane.

    • ROOT_VOLUME_TYPE con il tipo di volume EBS. Ad esempio: gp3.

    • ROOT_VOLUME_IOPS con la quantità di operazioni di I/O sottoposte a provisioning al secondo (IOPS) per il volume. Valido solo quando volumeType è GP3. Per maggiori informazioni, consulta Volumi SSD per uso generico (gp3).

    • ROOT_VOLUME_KEY con l'Amazon Resource Name della chiave AWS KMS che cripta i volumi radice dell'istanza del control plane.

    • ETCD_VOLUME_SIZE: le dimensioni dei volumi utilizzati da etcd.

    • ETCD_VOLUME_TYPE con il tipo di volume EBS. Ad esempio: gp3.

    • ETCD_VOLUME_IOPS con la quantità di operazioni di I/O sottoposte a provisioning al secondo (IOPS) per il volume. Valido solo quando volumeType è gp3. Per maggiori informazioni, consulta Volumi SSD per uso generico (gp3).

    • ETCD_VOLUME_KEY con l'Amazon Resource Name della chiave AWS KMS che cripta i volumi di dati etcd del control plane.

    • ARN_OF_KMS_KEY: la chiave AWS KMS utilizzata per criptare i secret del cluster.

    • ANTHOS_CONNECT_NAME: il nome dell'abbonamento Connect utilizzato per registrare il cluster. Il nome dell'abbonamento deve essere univoco. Ad esempio, projects/YOUR_PROJECT/locations/global/memberships/CLUSTER_NAME, dove YOUR_PROJECT è il tuo Google Cloud progetto e CLUSTER_NAME è un nome univoco nel tuo progetto. Questo campo è facoltativo.

    • YOUR_PROJECT: il tuo ID progetto.

    • GCP_REGION: la Google Cloud regione in cui vuoi archiviare i log. Scegli una regione vicina alla regione AWS. Per saperne di più, consulta Località globali - Regioni e zone — ad esempio, us-central1.

    • ENABLE_LOGGING: true o false, a seconda che Cloud Logging sia abilitato sui nodi del control plane.

    • ENABLE_MONITORING: true o false, a seconda che Cloud Monitoring sia abilitato sui nodi del control plane.

    • WORKLOAD_IDENTITY_BUCKET: il nome del bucket Cloud Storage che contiene le informazioni di rilevamento dell'identità del workload. Questo campo è facoltativo.

  4. Crea uno o più AWSNodePool per il tuo cluster. Apri un editor di testo e copia la seguente definizione di AWSCluster in un file denominato custom-nodepools.yaml.

    apiVersion: multicloud.cluster.gke.io/v1
kind: AWSNodePool
metadata:
  name: NODE_POOL_NAME
spec:
  clusterName: AWSCLUSTER_NAME
  version:  CLUSTER_VERSION # latest version is 1.25.5-gke.2100
  region: AWS_REGION
  subnetID: AWS_SUBNET_ID
  minNodeCount: MINIMUM_NODE_COUNT
  maxNodeCount: MAXIMUM_NODE_COUNT
  maxPodsPerNode: MAXIMUM_PODS_PER_NODE_COUNT
  instanceType: AWS_NODE_TYPE
  keyName: KMS_KEY_PAIR_NAME
  iamInstanceProfile: NODE_IAM_PROFILE
  proxySecretName: PROXY_SECRET_NAME
  rootVolume:
    sizeGiB: ROOT_VOLUME_SIZE
    volumeType: VOLUME_TYPE # Optional
    iops: IOPS # Optional
    kmsKeyARN: NODE_VOLUME_KEY # Optional

    Sostituisci quanto segue:

    • NODE_POOL_NAME: un nome univoco per AWSNodePool.
    • AWSCLUSTER_NAME: il nome del tuo AWSCluster. Ad esempio, staging-cluster.
    • CLUSTER_VERSION: una versione di Kubernetes GKE su AWS supportata.
    • AWS_REGION: la stessa regione AWS di AWSCluster.
    • AWS_SUBNET_ID: una subnet AWS nella stessa regione di AWSCluster.
    • MINIMUM_NODE_COUNT: il numero minimo di nodi nel pool di nodi. Per ulteriori informazioni, consulta Scalabilità dei cluster utente.
    • MAXIMUM_NODE_COUNT: il numero massimo di nodi nel pool di nodi.
    • MAXIMUM_PODS_PER_NODE_COUNT: il numero massimo di pod che GKE su AWS può allocare a un nodo.
    • AWS_NODE_TYPE: un tipo di istanza AWS EC2.
    • KMS_KEY_PAIR_NAME: la coppia di chiavi AWS KMS assegnata a ogni worker del pool di nodi.
    • NODE_IAM_PROFILE: il nome del profilo dell'istanza AWS EC2 assegnato ai nodi nel pool.
    • ROOT_VOLUME_SIZE: le dimensioni, in gibibyte (GiB), dei volumi root del control plane.
    • VOLUME_TYPE: il tipo di volume EBS dell'istanza AWS. Ad esempio: gp3.
    • IOPS: la quantità di operazioni di I/O al secondo (IOPS) di cui è stato eseguito il provisioning per i volumi. Valido solo quando volumeType è gp3.
    • NODE_VOLUME_KEY: l'ARN della chiave AWS KMS utilizzata per criptare il volume. Per saperne di più, consulta Utilizzo di una CMK gestita dal cliente per criptare i volumi.

  5. Applica i manifest al servizio di gestione.

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl apply -f custom-cluster.yaml
env HTTPS_PROXY=http://localhost:8118 \
  kubectl apply -f custom-nodepools.yaml

Crea un file kubeconfig

Mentre il cluster utente viene avviato, puoi creare un contesto kubeconfig per il nuovo cluster utente. Utilizzi il contesto per l'autenticazione a un cluster utente o di gestione.

  1. Utilizza anthos-gke aws clusters get-credentials per generare un kubeconfig per il tuo cluster utenti in ~/.kube/config. 

    env HTTPS_PROXY=http://localhost:8118 \
  anthos-gke aws clusters get-credentials CLUSTER_NAME

    Sostituisci CLUSTER_NAME con il nome del cluster. Ad esempio, cluster-0.

  2. Utilizza kubectl per l'autenticazione al nuovo cluster di utenti.

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl cluster-info

    Se il cluster è pronto, l'output include gli URL dei componenti Kubernetes all'interno del cluster.

Visualizzare lo stato del cluster

Il servizio di gestione esegue il provisioning delle risorse AWS quando applichi un AWSCluster o un AWSNodePool.

  1. Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione. 

    cd anthos-aws
anthos-gke aws management get-credentials

  2. Per elencare i cluster, utilizza kubectl get AWSClusters.

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl get AWSClusters

    L'output include il nome, lo stato, l'età, la versione e l'endpoint di ogni cluster.

    Ad esempio, il seguente output include un solo AWSCluster denominato cluster-0:

    NAME        STATE          AGE     VERSION         ENDPOINT
cluster-0   Provisioning   2m41s   1.25.5-gke.2100   gke-xyz.elb.us-east-1.amazonaws.com

Visualizzare gli eventi del cluster

Per visualizzare gli eventi Kubernetes recenti del cluster utente, utilizza kubectl get events.

  1. Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione. 

    cd anthos-aws
anthos-gke aws management get-credentials

  2. Esegui kubectl get events.

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl get events

L'output include informazioni, avvisi ed errori relativi al tuo servizio di gestione.

Creazione del webhook Workload Identity

Questa sezione è rivolta agli amministratori del cluster.

Per fornire le credenziali di identità del workload ai tuoi workload senza configurazione aggiuntiva, puoi facoltativamente creare un webhook sui tuoi cluster utente. Questo webhook intercetta le richieste di creazione dei pod e poi rende disponibili le seguenti informazioni di AWS IAM come variabili di ambiente per il pod:

  • AWS_ROLE_ARN: l'Amazon Resource Name (ARN) del ruolo IAM
  • aws-iam-token: il token scambiato con le credenziali AWS IAM
  • AWS_WEB_IDENTITY_TOKEN_FILE: il percorso in cui è memorizzato il token

Con queste variabili, i tuoi workload possono chiamare lo strumento a riga di comando AWS o l'SDK può accedere alle risorse concesse al ruolo AWS.

La creazione del webhook è facoltativa. Se decidi di non creare il webhook, devi impostare le variabili di ambiente elencate in precedenza nel pod. Per informazioni su come non utilizzare un webhook, consulta Applicare le credenziali senza il webhook.

Crea file YAML per il webhook

Per eseguire il deployment del webhook, segui questi passaggi:

  1. Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione. 

    cd anthos-aws
anthos-gke aws management get-credentials

  2. Recupera il nome del cluster utente con kubectl:

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl get awscluster

    kubectl elenca tutti i tuoi cluster di utenti. Scegli il cluster utente che hai creato con Workload Identity abilitato.

  3. Imposta il nome del cluster in una variabile di ambiente.

    CLUSTER_NAME=CLUSTER_NAME

    Sostituisci CLUSTER_NAME con il nome del cluster. Ad esempio, cluster-0.

  4. Imposta le variabili di ambiente per l'immagine e lo spazio dei nomi del pod di identità del workload.

    IDENTITY_IMAGE=amazon/amazon-eks-pod-identity-webhook:ed8c41f

WEBHOOK_NAMESPACE=workload-identity-webhook

  5. Genera il manifest YAML del webhook in un file denominato aws-webhook.yaml eseguendo i seguenti passaggi:

    env HTTPS_PROXY=http://localhost:8118 \
  anthos-gke aws clusters get-credentials ${CLUSTER_NAME}

CLUSTER_CA=$(env HTTPS_PROXY=http://localhost:8118 \
  kubectl config view --raw -o json  | jq -r '.clusters[] | select(.name == "'$(kubectl config current-context)'") | .cluster."certificate-authority-data"')

cat << EOF > aws-webhook.yaml
apiVersion: v1
kind: Namespace
metadata:
  name: ${WEBHOOK_NAMESPACE}
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: pod-identity-webhook
  namespace: ${WEBHOOK_NAMESPACE}
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pod-identity-webhook
  namespace: ${WEBHOOK_NAMESPACE}
rules:
  - apiGroups: ['']
    resources: ['secrets']
    verbs: ['create']
  - apiGroups: ['']
    resources: ['secrets']
    verbs: ['get', 'update', 'patch']
    resourceNames:
      - pod-identity-webhook
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-identity-webhook
  namespace: ${WEBHOOK_NAMESPACE}
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pod-identity-webhook
subjects:
  - kind: ServiceAccount
    name: pod-identity-webhook
    namespace: ${WEBHOOK_NAMESPACE}
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pod-identity-webhook
rules:
  - apiGroups: ['']
    resources: ['serviceaccounts']
    verbs: ['get', 'watch',  'list']
  - apiGroups:  ['certificates.k8s.io']
    resources: ['certificatesigningrequests']
    verbs:  ['create', 'get', 'list', 'watch']
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: pod-identity-webhook
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: pod-identity-webhook
subjects:
  - kind: ServiceAccount
    name: pod-identity-webhook
    namespace: ${WEBHOOK_NAMESPACE}
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: pod-identity-webhook
  namespace: ${WEBHOOK_NAMESPACE}
spec:
  replicas: 1
  selector:
    matchLabels:
      app: pod-identity-webhook
  template:
    metadata:
      labels:
        app: pod-identity-webhook
    spec:
      serviceAccountName: pod-identity-webhook
      containers:
        - name: pod-identity-webhook
          image: ${IDENTITY_IMAGE}
          imagePullPolicy: Always
          command:
            - /webhook
            - --in-cluster
            - --namespace=${WEBHOOK_NAMESPACE}
            - --service-name=pod-identity-webhook
            - --tls-secret=pod-identity-webhook
            - --annotation-prefix=eks.amazonaws.com
            - --token-audience=sts.amazonaws.com
            - --logtostderr
          volumeMounts:
            - name: webhook-certs
              mountPath: /var/run/app/certs
              readOnly: false
      volumes:
        - name: webhook-certs
          emptyDir: {}
---
apiVersion: v1
kind: Service
metadata:
  name: pod-identity-webhook
  namespace: ${WEBHOOK_NAMESPACE}
  annotations:
    prometheus.io/port: '443'
    prometheus.io/scheme: https
    prometheus.io/scrape: 'true'
spec:
  ports:
    - port: 443
      targetPort: 443
  selector:
    app: pod-identity-webhook
---
apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: pod-identity-webhook
  namespace: ${WEBHOOK_NAMESPACE}
webhooks:
  - name: pod-identity-webhook.amazonaws.com
    failurePolicy: Ignore
    sideEffects: 'None'
    admissionReviewVersions: ['v1beta1']
    clientConfig:
      service:
        name: pod-identity-webhook
        namespace: ${WEBHOOK_NAMESPACE}
        path: /mutate
      caBundle: ${CLUSTER_CA}
    rules:
      - operations: ['CREATE']
        apiGroups: ['']
        apiVersions: ['v1']
        resources: ['pods']
EOF

    I contenuti di aws-webhook.yaml sono pronti per essere applicati al tuo cluster.

Applica il webhook al tuo cluster utente

Per applicare il webhook al cluster utente, segui questi passaggi.

  1. Applica il file aws-webhook.yaml al tuo cluster utente.

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl apply -f aws-webhook.yaml

  2. Quando applichi il manifest, il pod webhook genera richieste di firma del certificato (CSR) Kubernetes. Approva tutte le richieste di system:serviceaccount:${WEBHOOK_NAMESPACE}:pod-identity-webhook con kubectl certificate approve.

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl certificate approve $(env HTTPS_PROXY=http://localhost:8118 \ &&\
  kubectl get csr -o \
    jsonpath="{.items[?(@.spec.username==\"system:serviceaccount:${WEBHOOK_NAMESPACE}:pod-identity-webhook\")].metadata.name}")

  3. Verifica che non siano presenti richieste CSR non approvate.

    Utilizza kubectl get csr per verificare che tutte le richieste di firma CSR del richiedente system:serviceaccount:${WEBHOOK_NAMESPACE}:pod-identity-webhook siano approvate:

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl get csr

    Risposta:

    NAME        AGE   REQUESTOR                                            CONDITION
csr-mxrt8   10s   system:serviceaccount:default:pod-identity-webhook   Approved,Issued

Configurazione del provider OIDC AWS

Questa sezione è rivolta agli amministratori del cluster.

Per creare un provider OIDC su AWS, AWS richiede un'autorità di certificazione (CA) intermedia o l'impronta del certificato server. Le credenziali di rilevamento OIDC sono archiviate su storage.googleapis.com, con un certificato firmato da una CA intermedia denominata GTS CA 1C3. L'impronta SHA-1 della CA intermedia GTS CA 1C3 è 08745487E891C19E3078C1F2A07E452950EF36F6.

Per registrare il bucket di rilevamento OIDC come provider OIDC con AWS, svolgi i seguenti passaggi:

  1. Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione. 

    cd anthos-aws
anthos-gke aws management get-credentials

  2. Salva l'URL emittente OIDC, il percorso host dell'emittente e l'impronta di Cloud Storage nelle variabili di ambiente.

    ISSUER_URL=$(env HTTPS_PROXY=http://localhost:8118 \
  kubectl get awscluster ${CLUSTER_NAME} -o jsonpath='{.status.workloadIdentityInfo.issuerURL}')
ISSUER_HOSTPATH=${ISSUER_URL#"https://"}
CA_THUMBPRINT=08745487E891C19E3078C1F2A07E452950EF36F6

  3. Utilizza lo strumento a riga di comando aws per creare un provider OIDC su AWS.

    aws iam create-open-id-connect-provider \
  --url ${ISSUER_URL} \
  --thumbprint-list ${CA_THUMBPRINT} \
  --client-id-list sts.amazonaws.com

Aggiornare l'impronta

Se Google ruota la CA per storage.googleapis.com, esegui i seguenti comandi:

  1. Copia l'impronta del certificato aggiornata, 08745487E891C19E3078C1F2A07E452950EF36F6.

  2. Segui le istruzioni per il comando aws iam update-open-id-connect-provider-thumbprint. Utilizza storage.googleapis.com come nome host di destinazione e 08745487E891C19E3078C1F2A07E452950EF36F6 come impronta.

Creazione di ruoli e criteri IAM AWS

Questa sezione è rivolta agli amministratori del cluster.

Crea un ruolo IAM AWS da associare a un account di servizio Kubernetes. Il ruolo IAM dispone delle autorizzazioni per sts:AssumeRoleWithWebIdentity.

Per creare il ruolo, segui questi passaggi:

  1. Trova o crea un criterio AWS IAM che conceda le autorizzazioni necessarie per i tuoi workload.

    Devi disporre del nome risorsa Amazon (ARN) del criterio AWS IAM. Ad esempio, arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess.

  2. Imposta le variabili di ambiente con le informazioni di autenticazione.

    KSA_NAME=KUBERNETES_SERVICE_ACCOUNT
WORKLOAD_NAMESPACE=WORKLOAD_IDENTITY_NAMESPACE

AWS_ROLE_NAME=AWS_ROLE_NAME
AWS_POLICY=EXISTING_AWS_POLICY

    Sostituisci quanto segue:

    • KUBERNETES_SERVICE_ACCOUNT: il nome del nuovo account di servizio Kubernetes
    • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i workload
    • AWS_ROLE_NAME: il nome di un nuovo ruolo AWS per i tuoi carichi di lavoro
    • EXISTING_AWS_POLICY: l'Amazon Resource Name (ARN) di un criterio IAM di AWS esistente. Ad esempio, arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess.

  3. Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione. 

    cd anthos-aws
anthos-gke aws management get-credentials

  4. Crea una policy IAM AWS che consenta al cluster utente di assumere credenziali di sicurezza temporanee con il servizio token di sicurezza AWS:

    CLUSTER_ID=$(env HTTPS_PROXY=http://localhost:8118 \
  kubectl get awscluster ${CLUSTER_NAME} -o jsonpath='{.status.clusterID}')

# Get the ID Provider ARN
PROVIDER_ARN=$(aws iam list-open-id-connect-providers  \
| jq '.OpenIDConnectProviderList' \
| jq ".[] | select(.Arn |  contains(\"${CLUSTER_ID}\"))"   \
| jq  '.Arn' | tr -d '"')

# Create AWS role and policy
cat > irp-trust-policy.json << EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "${PROVIDER_ARN}"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "${ISSUER_HOSTPATH}:sub": "system:serviceaccount:${WORKLOAD_NAMESPACE}:${KSA_NAME}"
        }
      }
    }
  ]
}
EOF

  5. Per creare un ruolo IAM AWS con questa policy e collegare la policy esistente al ruolo, esegui i seguenti comandi:

    aws iam create-role \
  --role-name ${AWS_ROLE_NAME} \
  --assume-role-policy-document file://irp-trust-policy.json
aws iam update-assume-role-policy \
  --role-name ${AWS_ROLE_NAME} \
  --policy-document file://irp-trust-policy.json
aws iam attach-role-policy \
  --role-name ${AWS_ROLE_NAME} \
  --policy-arn ${AWS_POLICY}

    Lo strumento a riga di comando aws conferma che il criterio è collegato al tuo ruolo.

Creazione di service account Kubernetes per i workload

Questa sezione è rivolta a sviluppatori o amministratori di cluster.

Per creare service account Kubernetes associati al ruolo AWS IAM specificato in precedenza, segui questi passaggi:

  1. Dalla directory anthos-aws, utilizza anthos-gke per passare al contesto del cluster utente. 

    cd anthos-aws
env HTTPS_PROXY=http://localhost:8118 \
  anthos-gke aws clusters get-credentials CLUSTER_NAME
     Sostituisci CLUSTER_NAME con il nome del cluster utente.

  2. Crea il account di servizio Kubernetes eseguendo questi comandi:

    S3_ROLE_ARN=$(aws iam get-role \
  --role-name AWS_ROLE_NAME \
  --query Role.Arn --output text)

cat << EOF  > k8s-service-account.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: ${KSA_NAME}
  namespace: WORKLOAD_IDENTITY_NAMESPACE
EOF

env HTTPS_PROXY=http://localhost:8118 \
kubectl apply -f k8s-service-account.yaml

env HTTPS_PROXY=http://localhost:8118 \
kubectl annotate sa --namespace ${WORKLOAD_NAMESPACE} ${KSA_NAME} eks.amazonaws.com/role-arn=${S3_ROLE_ARN}

    Sostituisci quanto segue:

    • AWS_ROLE_NAME: il nome del ruolo IAM AWS da applicare ai tuoi carichi di lavoro
    • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i workload

Applicare le credenziali ai pod

Questa sezione è rivolta agli sviluppatori.

Questa sezione presuppone che tu abbia eseguito il deployment del webhook di Workload Identity. Se non hai eseguito il deployment del webhook, vai a Applicare le credenziali senza il webhook.

Applicare le credenziali con il webhook

Questa sezione descrive come configurare i pod per leggere le credenziali rese disponibili dal webhook.

Aggiungi il account di servizio al pod

Per utilizzare Workload Identity con un workload, aggiungi il account di servizio Kubernetes ai seguenti campi:

  • Per un deployment: spec.template.spec.serviceAccountName
  • Per un pod: spec.serviceAccount

Il seguente manifest del pod avvia un'immagine CentOS di base e contiene il campo spec.serviceAccount.

apiVersion: v1
kind: Pod
metadata:
  name: sample-centos-pod
  namespace: WORKLOAD_IDENTITY_NAMESPACE
spec:
  containers:
  - command:
    - /bin/bash
    - -ec
    - while :; do echo '.'; sleep 500 ; done
    image: amazon/aws-cli
    name: centos
  serviceAccount: KUBERNETES_SERVICE_ACCOUNT

Sostituisci quanto segue:

  • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i workload
  • KUBERNETES_SERVICE_ACCOUNT: il nome del account di servizio Kubernetes creato in precedenza

Controlla se i pod hanno impostato le variabili di ambiente

Per verificare se i pod hanno impostato le variabili di ambiente, esegui il seguente comando per ottenere le informazioni del pod:

kubectl get pod --namespace WORKLOAD_IDENTITY_NAMESPACE POD_NAME -o yaml

Sostituisci quanto segue:

  • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i workload
  • POD_NAME: il nome del pod da controllare

L'output contiene i valori variabile di ambiente in spec.containers.command.env e il punto di montaggio per il token AWS IAM. Di seguito è riportato un esempio di manifest di pod.

apiVersion: v1
kind: Pod
metadata:
  ...
spec:
  containers:
  - command:
    - /bin/bash
    - -ec
    - while :; do echo '.'; sleep 500 ; done
    env:
    - name: AWS_ROLE_ARN
      value: arn:aws:iam::1234567890:role/my-example-workload-role-1
    - name: AWS_WEB_IDENTITY_TOKEN_FILE
      value: /var/run/secrets/eks.amazonaws.com/serviceaccount/token
    image: amazon/aws-cli
    imagePullPolicy: IfNotPresent
    name: centos
    resources: {}
    terminationMessagePath: /dev/termination-log
    terminationMessagePolicy: File
    volumeMounts:
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: my-k8s-serviceaccount-token-d4nz4
      readOnly: true
    - mountPath: /var/run/secrets/eks.amazonaws.com/serviceaccount
      name: aws-iam-token
      readOnly: true
  serviceAccount: my-k8s-serviceaccount
  serviceAccountName: my-k8s-serviceaccount
  volumes:
  - name: aws-iam-token
    projected:
      defaultMode: 420
      sources:
      - serviceAccountToken:
          audience: sts.amazonaws.com
          expirationSeconds: 86400
          path: token
  - name: my-k8s-serviceaccount-token-d4nz4
    secret:
      defaultMode: 420
      secretName: my-k8s-serviceaccount-token-d4nz4
   ...
status:
  ...

Applica le credenziali senza il webhook

Se non esegui il deployment del webhook workload identity, devi procedere nel seguente modo:

Crea un pod con le credenziali per l'identità del workload

Per creare un pod che includa le credenziali necessarie per l'identità del workload, svolgi i seguenti passaggi:

  1. Copia il seguente manifest del pod in un file denominato sample-pod-no-webhook.yaml. La configurazione avvia un'immagine CentOS di base con le credenziali necessarie.

    apiVersion: v1
kind: Pod
metadata:
  name: sample-centos-pod-no-webhook
  namespace: WORKLOAD_IDENTITY_NAMESPACE
spec:
  containers:
  - command:
    - /bin/bash
    - -ec
    - while :; do echo '.'; sleep 500 ; done
    image: centos:7
    name: centos
    env:
    - name: AWS_ROLE_ARN
      value: IAM_ROLE_ARN
    - name: AWS_WEB_IDENTITY_TOKEN_FILE
      value: /var/run/secrets/eks.amazonaws.com/serviceaccount/token
    volumeMounts:
    - mountPath: /var/run/secrets/eks.amazonaws.com/serviceaccount
      name: aws-iam-token
      readOnly: true
  volumes:
  - name: aws-iam-token
    projected:
      defaultMode: 420
      sources:
      - serviceAccountToken:
          audience: sts.amazonaws.com
          expirationSeconds: 86400
          path: token
  serviceAccount: KUBERNETES_SERVICE_ACCOUNT

    Sostituisci quanto segue:

    • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i workload.
    • IAM_ROLE_ARN: l'ARN del ruolo IAM concesso al pod. Ad esempio, arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess.
    • KUBERNETES_SERVICE_ACCOUNT: il nome del account di servizio Kubernetes creato in precedenza.

  2. Applica il manifest del pod al cluster utilizzando kubectl:

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl apply -f sample-pod-no-webhook.yaml

Controlla se i pod possono accedere alle risorse AWS

La seguente procedura descrive come verificare se il pod ha ricevuto le credenziali necessarie per il funzionamento dell'identità del workload.

Per completare i passaggi, devi disporre di quanto segue:

  • bash shell access to the container; most production images don't have a shell available. Il seguente esempio mostra come utilizzare il pod specificato nella sezione precedente per accedere ad AWS S3.

  • Il pod deve avere accesso a internet in uscita per scaricare l'interfaccia a riga di comando AWS.

Per verificare se il pod può accedere a un bucket S3, esegui i seguenti passaggi:

  1. Utilizza kubectl exec per avviare una shell bash interattiva sul pod sample-centos-pod-no-webhook:

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl exec -it --namespace ${WORKLOAD_NAMESPACE} sample-centos-pod-no-webhook -- bash

    Il terminale apre la shell bash sul pod.

  2. Controlla le autorizzazioni e le credenziali AWS IAM utilizzando lo strumento aws:

    aws sts assume-role-with-web-identity \
 --role-arn ${AWS_ROLE_ARN} \
 --role-session-name mh9test \
 --web-identity-token file:///var/run/secrets/eks.amazonaws.com/serviceaccount/token \
 --duration-seconds 1000

    Lo strumento aws stampa informazioni sulle credenziali simili alle seguenti:

    {
    "AssumedRoleUser": {
        "AssumedRoleId": "AROAR2ZZZLEXVSDCDJ37N:mh9test",
        "Arn": "arn:aws:sts::126285863215:assumed-role/my-example-workload-role-1/mh9test"
    },
    "Audience": "sts.amazonaws.com",
    "Provider": "arn:aws:iam::126285863215:oidc-provider/storage.googleapis.com/gke-issuer-cec6c353",
    "SubjectFromWebIdentityToken": "system:serviceaccount:default:my-s3-reader-ksa",
    "Credentials": {
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "SessionToken": "MY_TOKEN",
        "Expiration": "2020-08-14T22:46:36Z",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

    Se visualizzi il seguente messaggio, verifica che il bucket sia accessibile pubblicamente: An error occurred (InvalidIdentityToken) when calling the AssumeRoleWithWebIdentity operation: Couldn't retrieve verification key from your identity provider, please reference AssumeRoleWithWebIdentity documentation for requirements

Eseguire l'upgrade del webhook

Se hai creato un cluster Kubernetes 1.18 o versioni precedenti con Workload Identity abilitato e la versione webhook di Workload Identity release-0.2.2-gke.0, devi eseguire l'upgrade del webhook prima di eseguire l'upgrade a Kubernetes 1.19.

Per eseguire l'upgrade del webhook, segui questi passaggi:

  1. Verifica che il webhook sia installato eseguendo i seguenti comandi:

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl get MutatingWebhookConfiguration

    Se nel cluster è stato eseguito il deployment del webhook, l'output include quanto segue:

    NAME                   WEBHOOKS   AGE
pod-identity-webhook   1          11m

    Se il webhook non è stato eseguito il deployment sul cluster, puoi saltare i passaggi seguenti.

  2. Se hai salvato il file aws-webhook.yaml, puoi eliminare il manifest. Se non hai a disposizione questo file, puoi eliminare manualmente i componenti del webhook. Scegli tra i file o i componenti di seguito.

    File

    Se hai ancora il file aws-webhook.yaml, esegui il seguente comando per eliminare il webhook:

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl delete -f aws-webhook.yaml

    Componenti

    Per eliminare manualmente i componenti del webhook, esegui questi comandi:

    env HTTPS_PROXY=http://localhost:8118 \
   kubectl delete namespace WEBHOOK_NAMESPACE
env HTTPS_PROXY=http://localhost:8118 \
   kubectl delete clusterrole pod-identity-webhook
env HTTPS_PROXY=http://localhost:8118 \
   kubectl delete clusterrolebinding pod-identity-webhook
env HTTPS_PROXY=http://localhost:8118 \
   kubectl delete mutatingwebhookconfiguration pod-identity-webhook

    Sostituisci WEBHOOK_NAMESPACE con lo spazio dei nomi in cui hai installato il webhook di Workload Identity. Ad esempio, workload-identity-webhook.

  3. Controlla se sono presenti richieste di firma del certificato (CSR) rimanenti eseguendo il seguente comando:

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl get csr |grep pod-identity-webhook

    Se l'output è vuoto, vai al passaggio successivo. Se sono presenti CSR rimanenti, il comando kubectl elencherà le CSR esistenti. Per rimuovere le richieste di firma del certificato, esegui questo comando:

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl delete csr $(kubectl get csr -o \
  jsonpath="{.items[?(@.spec.username==\"system:serviceaccount:WEBHOOK_NAMESPACE:pod-identity-webhook\")].metadata.name}")

    Sostituisci WEBHOOK_NAMESPACE con lo spazio dei nomi in cui hai installato il webhook di Workload Identity. Ad esempio, workload-identity-webhook.

  4. Segui i passaggi descritti in Creare il webhook per eseguire il deployment della nuova versione del webhook.

    Dopo aver eseguito il deployment della nuova versione del webhook, devi riavviare i pod che utilizzano il webhook. Puoi riavviare i pod eseguendo l'upgrade di un cluster utente.

Pulizia

Questa sezione mostra come rimuovere le risorse create in precedenza in questo documento.

Elimina il account di servizio e il ruolo IAM associato

Per eliminare il account di servizio e il ruolo IAM associato, svolgi i seguenti passaggi:

  1. Pulisci il account di servizio:

    env HTTPS_PROXY=http://localhost:8118 \
  kubectl delete sa KUBERNETES_SERVICE_ACCOUNT --namespace WORKLOAD_IDENTITY_NAMESPACE

    Sostituisci quanto segue:

    • KUBERNETES_SERVICE_ACCOUNT: il nome del nuovo account di servizio Kubernetes
    • WORKLOAD_IDENTITY_NAMESPACE: il nome dello spazio dei nomi in cui vengono eseguiti i workload

  2. Pulisci il ruolo IAM AWS. Scegli una delle seguenti opzioni:

    • Elimina il ruolo IAM AWS con la console AWS.

    • Elimina il ruolo con lo strumento a riga di comando AWS utilizzando i seguenti comandi:

      aws iam  detach-role-policy \
  --role-name=${AWS_ROLE_NAME} \
  --policy-arn=${AWS_POLICY}
aws iam delete-role --role-name=${AWS_ROLE_NAME}

Eliminare il cluster utente

Per eliminare il cluster utente, segui i passaggi descritti in Disinstallazione di GKE su AWS.

Pulisci il provider AWS OIDC

Dopo aver eliminato il cluster utente, annulla la registrazione ed elimina il provider OIDC su AWS utilizzando il seguente comando shell bash o la console AWS.

  1. Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione. 

    cd anthos-aws
anthos-gke aws management get-credentials

  2. Elimina il ruolo con lo strumento a riga di comando AWS con i seguenti comandi:

    CLUSTER_ID=$(env HTTPS_PROXY=http://localhost:8118 \
  kubectl get awscluster ${CLUSTER_NAME} -o jsonpath='{.status.clusterID}')

PROVIDER_ARN=$(aws iam list-open-id-connect-providers  \
| jq '.OpenIDConnectProviderList' \
| jq ".[] | select(.Arn |  contains(\"${CLUSTER_ID}\"))"   \
| jq  '.Arn' | tr -d '"')

aws iam delete-open-id-connect-provider \
  --open-id-connect-provider-arn=${PROVIDER_ARN}

    Ricevi la conferma dell'eliminazione del provider AWS OIDC.

Passaggi successivi