根据官方 kubernetes 文档,为了让您的节点访问 AWS ECR,需要向~/.kube/config添加以下标志:
iam:
allowContainerRegistry: true
legacy: false
然后,在更新集群后,应向 ec2 实例添加以下权限:
{
"Sid": "kopsK8sECR",
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:DescribeRepositories",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:GetRepositoryPolicy",
"ecr:ListImages"
],
"Resource": [
"*"
]
}
但是,我刚刚使用 kops 在 AWS 上创建了一个集群,我的节点已经拥有这些权限,而无需我做任何其他配置工作。
这正常吗?
$ kops version
Version 1.8.0 (git-5099bc5)
$ kubectl version
Client Version: version.Info{Major:"1", Minor:"8", GitVersion:"v1.8.1", GitCommit:"f38e43b221d08850172a9a4ea785a86a3ffa3b3a", GitTreeState:"clean", BuildDate:"2017-10-11T23:27:35Z", GoVersion:"go1.8.3", Compiler:"gc", Platform:"linux/amd64"}
Server Version: version.Info{Major:"1", Minor:"8", GitVersion:"v1.8.4", GitCommit:"9befc2b8928a9426501d3bf62f72849d5cbcd5a3", GitTreeState:"clean", BuildDate:"2017-11-20T05:17:43Z", GoVersion:"go1.8.3", Compiler:"gc", Platform:"linux/amd64"}
根据 kops 文档,这些角色是为您创建的,并分配给正确的 ec2 实例:
为集群创建两个 IAM 角色:一个用于主角色,一个用于节点。
默认情况下,严格 IAM 标志不会授予节点访问 AWS EC2 容器注册表 (ECR( 的权限,如上述示例策略文档所示。要授予对 ECR 的访问权限,请使用以下内容更新集群规范,然后执行集群更新:
iam: allowContainerRegistry: true legacy: false
据我了解,如果您添加allowContainerRegistry: true,kops 会将这些权限添加到自动创建的 IAM 角色中。