- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
当我尝试将在 Kubernetes 中运行的 Elasticsearch 7.8.0 实例连接到 S3 存储桶作为备份存储时,我遇到了一个问题。安装如下。
有一个 Elasticsearch 部署为自定义资源 (ECK)。
然后,用于执行此资源部署的 pod 的 ServiceAccount 与有权访问目标存储桶进行备份的 IAM 角色之间存在信任关系。然后我创建了一个 AWS S3 类型的快照存储库,并将该存储桶作为目标。但是当我尝试验证存储库时,我收到了拒绝访问错误。
据我所见,根据 ECK 原始文档 Create automated snapshots假设访问存储桶的凭据是通过 Keystore 存储的。但我也看到我的 Elasticsearch 版本使用的 AWS 开发工具包应该支持从 ServiceAccount 获取凭证:https://github.com/elastic/elasticsearch/blob/v7.8.0/plugins/repository-s3/build.gradle#L31 (Using a supported AWS SDK)
因此我想知道为什么这些组件没有按预期工作。有没有人尝试建立类似的配置? Elasticsearch 中是否有任何基本问题阻止它从 ServiceAccount 获取凭据?
因为涉及的实体数量比较多,所以我试图概括地描述这个案例。请让我知道这种情况是否需要有关实体配置的更多详细信息。
--- UPD
这是一个 pod 规范的示例:
kind: Pod
apiVersion: v1
metadata:
name: logging-elasticsearch-es-default-0
generateName: logging-elasticsearch-es-default-
namespace: elastic-logging
selfLink: /api/v1/namespaces/elastic-logging/pods/logging-elasticsearch-es-default-0
uid: 29ff69cc-9c01-448d-821e-d0da26cd2ba6
resourceVersion: '1950203'
creationTimestamp: '2020-07-15T15:38:40Z'
labels:
common.k8s.elastic.co/type: elasticsearch
controller-revision-hash: logging-elasticsearch-es-default-78fd9d9d45
elasticsearch.k8s.elastic.co/cluster-name: logging-elasticsearch
elasticsearch.k8s.elastic.co/config-hash: '2541120219'
elasticsearch.k8s.elastic.co/http-scheme: https
elasticsearch.k8s.elastic.co/node-data: 'true'
elasticsearch.k8s.elastic.co/node-ingest: 'true'
elasticsearch.k8s.elastic.co/node-master: 'true'
elasticsearch.k8s.elastic.co/node-ml: 'true'
elasticsearch.k8s.elastic.co/statefulset-name: logging-elasticsearch-es-default
elasticsearch.k8s.elastic.co/version: 7.8.0
statefulset.kubernetes.io/pod-name: logging-elasticsearch-es-default-0
annotations:
co.elastic.logs/module: elasticsearch
kubernetes.io/psp: eks.privileged
update.k8s.elastic.co/timestamp: '2020-07-15T15:42:46.115776158Z'
ownerReferences:
- apiVersion: apps/v1
kind: StatefulSet
name: logging-elasticsearch-es-default
uid: 34a0109c-708b-402c-96b9-89c3e292a6a6
controller: true
blockOwnerDeletion: true
spec:
volumes:
- name: aws-iam-token
projected:
sources:
- serviceAccountToken:
audience: sts.amazonaws.com
expirationSeconds: 86400
path: token
defaultMode: 420
containers:
- name: elasticsearch
image: 'docker.elastic.co/elasticsearch/elasticsearch:7.8.0'
env:
- name: AWS_ROLE_ARN
value: 'arn:aws:iam::<account_id>:role/AWSS3ElkSnapshotBucket'
- name: AWS_WEB_IDENTITY_TOKEN_FILE
value: /var/run/secrets/eks.amazonaws.com/serviceaccount/token
volumeMounts:
- name: aws-iam-token
readOnly: true
mountPath: /var/run/secrets/eks.amazonaws.com/serviceaccount
--- UPD 2
kind: ServiceAccount
apiVersion: v1
metadata:
name: default
namespace: elastic-logging
selfLink: /api/v1/namespaces/elastic-logging/serviceaccounts/default
uid: 7e97ac47-d893-4425-9da7-ef87848714e8
resourceVersion: '1894373'
creationTimestamp: '2020-07-07T13:08:01Z'
annotations:
eks.amazonaws.com/role-arn: 'arn:aws:iam::<account_id>:role/AWSS3ElkSnapshotBucket'
secrets:
- name: default-token-q5qft
最佳答案
因此,看起来官方文档显示了如何使用 GCS 将其与服务帐户绑定(bind),这是有道理的,因为 GCP 也有这个服务帐户的概念。
因为 AWS 有点不同,您通常会关联一个角色或担任一个具有正确权限的角色。 This is a good guide关于如何将它用于 Kubernetes 以及它现在是如何得到官方支持的。我相信 ECK 运算符不支持它,因为 the docs say S3 存储插件使用 EC2 或 ECS IAM 角色。这很奇怪,因为您想使用 S3 类型的角色来访问 S3。
文档中的内容是如何使用 AWS 用户而不是角色来访问 S3:
关于elasticsearch - 使用 ServiceAccount 到 IAM 角色映射在 Kubernetes 中运行 Elasticsearch 时出现 S3 连接问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62918736/
我正在尝试对人们可以启动的实例类型设置一些限制。我有以下政策 { "Version": "2012-10-17", "Statement": [ { "Effect": "Al
我是 AWS 和 IAM 的新手,并试图了解角色和信任关系。 我完全理解为什么要使用角色,如何创建它们以及它们的用例。 我不明白的是信任关系步骤。在我见过的几乎所有情况下,它都是一对一的关系。 EC2
我创建了一个名为 ab-role 的 IAM 角色。此角色的默认路径是/。 我想将路径更改为/service-role/之类的内容。如何更改 IAM 角色的根路径。 最佳答案 我不相信你可以“改变”现
有时,我需要访问多个 AWS 资源,我可以通过单独的 IAM 角色单独访问这些资源。如果我需要一起使用这些资源,我目前必须找出一个非本地连接器。 如果我可以同时访问这些资源,有时我可以使用 AWS 连
我正在关注 StarCluster configuration instructions我想创建一个新用户供 StarCluster 使用。我的问题是 StarCluster 运行所需的最小 IAM
本页https://www.terraform.io/docs/providers/aws/r/iam_role.html提到: NOTE: This assume_role_policy is ve
我正在尝试做的(继续我之前提出的问题:How can I filter AWS Instances by IAM role in powershell and get the private ip a
我们目前正在使用 G Suite 作为我们的 AWS SAML 访问的 IDP,它在少数账户中承担一个角色,让我们的 G Suite 用户能够访问某些 AWS 资源。每个帐户都有一个名称相似的角色,G
地形版本 Terraform v0.7.8 Terraform v0.7.11 受影响的资源 aws_iam_user Terraform 配置文件 我正在尝试使用列表来管理 IAM 用户: vari
我们有多个团队共享一个公共(public) AWS 生产账户。我们希望每个团队都有一个自己的 IAM 角色,使他们能够创建几乎所有类型的资源 (AdministratorAccess)。但是为了分开团
我们希望我们的开发人员能够创建可以部署其服务的代码管道。这意味着他们需要能够为代码管道步骤创建 IAM 角色。 这意味着我们需要为开发人员提供 IAM 功能。有没有办法限制这种情况,使他们可以创建的
问题 lambda 函数的 IAM 角色是否需要 IAM 权限才能调用自身? 背景 阅读 Tutorial: Process New Items with DynamoDB Streams and L
我有一个具有 s3 只读权限的 AWS 角色。我已经为 AWS 用户配置了 aws cli。所以我想使用同一个用户在 aws cli 中浏览 s3 文件。我所做的是为角色添加了 root 用户的信任关
根据AWS官方documentation ,IAM 角色也可以附加到 IAM 用户,而不仅仅是服务。 将 IAM 角色分配给 IAM 用户的有效用例是什么? 直接向用户授予(允许/拒绝)IAM 策略是
我的开发人员有一些管理帐户,他们应该能够管理所有 aws 资源,但不应该能够管理用户/root 属性。因此,我通过以下策略限制了对 IAM 的访问: { "Version": "2012-10-1
IAM 角色和 IAM 用户有什么区别? IAM FAQ有一个条目解释它,但它是模糊的,不是很清楚: An IAM user has permanent long-term credentials a
我正在使用云形成创建 IAM 用户,但出现以下错误: “API:iam:CreateUser 用户:arn:aws:sts::11111111111:assumed-role/MyCloudForma
我尝试更改云形成中的 iam 组名称,并且创建了新组名称,但旧组名称没有被删除。这是预期的吗?我应该手动删除这些吗?看起来它应该自动摆脱旧的。检查 aws 控制台中的堆栈信息表明一切已成功完成。 谢谢
我有一个问题, 我使用elastic beanstalk部署python django 当eb init时,我使用根访问 key ID和 secret 访问 key 来创建实例 最近我读了有关 IAM
我正在尝试部署一个 AWS Lambda 函数,该函数在将 AVRO 文件写入现有 S3 存储桶时触发。 我的 serverless.yml配置如下: service: braze-lambdas p
我是一名优秀的程序员,十分优秀!