Kubernetes 节点的跨账户 ECR 访问

关键词：

【中文标题】Kubernetes 节点的跨账户 ECR 访问【英文标题】：Cross account ECR access for kubernetes nodes 【发布时间】：2020-05-23 07:42:47 【问题描述】：

我需要一个涉及两个或多个 AWS 账户的拓扑：

我的生产帐户，我在其中将应用程序映像发布到 ECR，并将其他文件发布到 S3 存储桶 一个或多个客户帐户，其中有一个 EKS 集群，可分别从 ECR 和 S3 存储桶中提取图像和文件

出于显而易见的原因，它不想公开我的资源，因此我只需要为特定客户（帐号）启用访问权限

我想在一个地方管理我的客户，因此我想将所有这些资源启用到我将允许我的客户担任的特定角色（AWS 帐号列表）。

我遇到的问题是在 kubelet 领域，我找不到方法告诉我的 EKS 工作人员/kubelet 承担这个角色。可能吗？如果没有，如果我想在一个地方管理我的客户，我还有什么其他选择？

谢谢

【问题讨论】：

你有没有找到任何解决方案。 AWS 搞砸了，看起来没有选项可以与另一个帐户或至少命名空间共享整个 ECR 私有注册表，管理单个存储库级别的权限非常困难，有 100 多个存储库.. 【参考方案1】：

您可以将存储库策略添加到生产帐户中的 ECR 存储库，并允许您的客户帐户提取映像。您可以参考this 文档以获取分步说明以实现相同的目的。

【讨论】：

我对这种方法有 2 个问题： 1. 如果我不能为多个存储库设置一个策略（我使用每个应用程序映像）。 2. 我还需要为 S3 存储桶设置策略 如果您有 100 个 ecr 存储库，则此方法无法管理。

Kubernetes，无法访问其他节点服务

】Kubernetes，无法访问其他节点服务【英文标题】：Kubernetes,can\'treachothernodeservices【发布时间】：2018-02-2706:55:16【问题描述】：我在3个带有CentOS7、1个master和2个minions的VirtualBoxVM中使用Kubernetes。不幸的是，安装手册说类似everyservic... 查看详情

从 Containers/pods 访问 Kubernetes 工作节点标签

】从Containers/pods访问Kubernetes工作节点标签【英文标题】：AccessingKubernetesworkernodelabelsfromtheContainers/pods【发布时间】：2021-12-0411:11:34【问题描述】：如何从集群中运行的容器/pod访问Kubernetes工作节点标签？在工作节点上设置标签，... 查看详情

如何使用 Jenkins 将 Docker 容器从 Amazon ECR 自动部署到 Kubernetes

】如何使用Jenkins将Docker容器从AmazonECR自动部署到Kubernetes【英文标题】：HowtoautodeployDockercontainersfromAmazonECRtoKubernetesusingJenkins【发布时间】：2018-09-1405:15:39【问题描述】：这是我们的环境：我有一个在Amazon上运行的Kubernetes集群。... 查看详情

Kubernetes 仪表板无法访问节点，GUI 中断

】Kubernetes仪表板无法访问节点，GUI中断【英文标题】：kubernetesdashboardcannotreachnode,GUIbreaks【发布时间】：2021-01-2015:29:02【问题描述】：我正在尝试设置网络仪表板。安装似乎成功了：kubectlapply-fhttps://raw.githubusercontent.com/kubernetes/d... 查看详情

Kubernetes Pod 无法从主机访问，但可以从节点访问

】KubernetesPod无法从主机访问，但可以从节点访问【英文标题】：Kubernetespodscannotbereachedfromhostbutcanbereachedfromnode【发布时间】：2022-01-2404:04:57【问题描述】：我已经有几天没有开始学习Kubernetes了。我是这方面的菜鸟，没有任何故... 查看详情

Kubernetes 无法从节点上的 pod 内部访问 kube-apiserver

】Kubernetes无法从节点上的pod内部访问kube-apiserver【英文标题】：Kubernetesunabletoaccessthekube-apiserverfrominsidepodonnode【发布时间】：2016-04-2222:08:32【问题描述】：我已经配置了一个vagrant支持的kubernetes集群，但是我无法从运行在节点上... 查看详情

Kubernetes 中跨 pod 的跨命名空间通信

】Kubernetes中跨pod的跨命名空间通信【英文标题】：Crossnamespacecommunicationacrosspodsinkubernetes【发布时间】：2021-11-1006:08:49【问题描述】：如何在Kubernetes中跨pod进行跨命名空间通信？假设webserver&applicationpod位于命名空间A中，DB位... 查看详情

无法从 EC2 上的主节点访问 Kubernetes 服务

】无法从EC2上的主节点访问Kubernetes服务【英文标题】：KubernetesserviceunreachablefrommasternodeonEC2【发布时间】：2018-09-1221:41:25【问题描述】：我使用kubeadm在AWS上创建了一个k8s集群，按照here提供的指南，有1个master和1个worker。然后，... 查看详情

当 kube-proxy 处于 iptables 模式时，无法从节点外部访问 Kubernetes 服务

】当kube-proxy处于iptables模式时，无法从节点外部访问Kubernetes服务【英文标题】：Can\'treachKubernetesservicefromoutsideofnodewhenkube-proxyiniptablesmode【发布时间】：2017-06-2223:07:05【问题描述】：我有一个在CoreOS上运行的单节点（master+node）Ku... 查看详情

AWS ECS Fargate 从跨账户 ECR 存储库中提取映像

】AWSECSFargate从跨账户ECR存储库中提取映像【英文标题】：AWSECSFargatepullimagefromacrossaccountECRrepo【发布时间】：2019-03-2515:57:24【问题描述】：我有2个AWS账户：-具有ECR回购的账户A。-具有运行Fargate的ECS集群的账户b。我在账户A中创建... 查看详情

Kubernetes 健康检查公共访问

】Kubernetes健康检查公共访问【英文标题】：Kuberneteshealthcheckpublicaccess【发布时间】：2019-01-0611:46:12【问题描述】：假设您有微服务并运行许多节点。每个节点都向互联网公开服务，并且它们还有内部使用的健康休息服务，但它... 查看详情

在 EKS 中使用其他账户的 ECR 图像

】在EKS中使用其他账户的ECR图像【英文标题】：UseECRimagesinEKSfromanotheraccount【发布时间】：2019-12-0915:10:20【问题描述】：我有两个帐户：帐户A和帐户B。我想在帐户A上的帐户B上的ECR上运行映像。我对如何授予EKS权限有点困惑。起... 查看详情

远程访问运行在 kubernetes 中的 Kafka

】远程访问运行在kubernetes中的Kafka【英文标题】：RemotelyaccessingKafkarunninginsidekubernetes【发布时间】：2020-01-2509:04:39【问题描述】：我有一个单节点Kafka代理在单节点kubernetes环境的pod内运行。我正在将此图像用于kafka：https://hub.dock... 查看详情

Lambda 无权访问 ECR 映像

】Lambda无权访问ECR映像【英文标题】：LambdadoesnothavepermissiontoaccesstheECRimage【发布时间】：2021-03-1603:46:07【问题描述】：随着最近发布的用于Lambda函数的Docker映像，我决定使用CloudFormation尝试此功能。因此，下面的lambda考虑了存储... 查看详情

无法从集群外部访问 Kubernetes 仪表板

】无法从集群外部访问Kubernetes仪表板【英文标题】：UnabletoaccessKubernetesdashboardfromoutsidethecluster【发布时间】：2017-12-2412:07:41【问题描述】：我已经设置了包含一个主节点和三个节点的Kubernetes集群。我使用以下设置：1.kubeadm(1.7.1)... 查看详情

浅谈kubernetes：master节点和node节点(代码片段)

kubernetes整个架构分为master节点和node节点，其中master节点负责pod的调度，pod的replication的数量node，endpoint以及服务账户以及令牌的管理等等；而node节点主要负责container创建，服务的代理以及其他相关应用。Master节点Master组件提供... 查看详情

在kubernetes集群内访问k8sapi服务(代码片段)

所有的kubernetes集群中账户分为两类，Kubernetes管理的serviceaccount(服务账户)和useraccount（用户账户）。基于角色的访问控制（“RBAC”）使用“rbac.authorization.k8s.io”API组来实现授权控制，允许管理员通过KubernetesAPI动态配... 查看详情

kubernetes跨集群流量调度实战：访问控制(代码片段)

背景众所周知，Flomesh的服务网格产品osm-edge是基于SMI（ServiceMeshInterface，服务网格接口）标准的实现。SMI定义了流量标识、访问控制、遥测和管理的规范。在上一篇中，我们体验过了多集群服务（Multi-ClusterService，MCS），以及流... 查看详情