如何使k8s Pod (由Jenkins生成)使用服务帐户IAM角色访问AWS资源
按照这个链接,我可以创建一个pod,它的服务帐户的角色可以访问AWS资源;所以pod也可以访问它们。
然后,在这个爱克斯-詹金斯-讲习班的启发下,我稍微改变了这个车间。我想部署Jenkins管道,这个Jenkins管道可以创建一个pod,其帐户服务的角色可以访问aws资源,但问题是这个容器中的cdk代码不能访问AWS资源。(我编写cdk代码来访问AWS资源,引用(您的第一个AWS app)https://docs.aws.amazon.com/cdk/latest/guide/hello_world.html) ))
这是我的詹金斯档案
pipeline {
agent {
kubernetes {
yaml """
apiVersion: v1
kind: Pod
metadata:
name: jenkins-agent
Namespace: default
spec:
serviceAccountName: jenkins
containers:
- name: node-yuvein
image: node
command:
- cat
tty: true
"""
}
}
stages {
stage('Build') {
steps {
container('node-yuvein') {
dir('hello-cdk'){
sh "pwd"
sh 'npm --version'
sh 'node -v'
sh 'npm install -g typescript'
sh 'npm install -g aws-cdk'
sh 'npm install @aws-cdk/aws-s3'
sh 'npm run build'
sh 'cdk deploy'
}
}
}
}
}
}当我运行管道时,它有以下错误:
User: arn:aws:sts::450261875116:assumed-role/eksctl-eksworkshop-eksctl3-nodegr-NodeInstanceRole-1TCVDYSM1QKSO/i-0a4df3778517df0c6 is not authorized to perform: cloudformation:DescribeStacks on resource: arn:aws:cloudformation:us-west-2:450261875116:stack/HelloCdkStack/*我是K8s,Jenkins和cdk的初学者。希望有人能帮我。非常感谢。
进一步调试:
- 在Jenkins控制台中,我可以获得
serviceAccountName: "jenkins",我在EKS中的服务帐户名为jenkins。 - 吊舱也得到了正确的ENV:
+ echo $AWS_ROLE_ARN
arn:aws:iam::450261875116:role/eksctl-eksworkshop-eksctl3-addon-iamservicea-Role1-YYYFXFS0J4M2
+ echo $AWS_WEB_IDENTITY_TOKEN_FILE
/var/run/secrets/eks.amazonaws.com/serviceaccount/token- 我安装的node.js和npm是最新的版本。
+ npm --version
6.14.8
+ node -v
v14.13.0-
+ aws sts get-caller-identity
{
"UserId": "AROAWRVNS7GWO5C7QJGRF:botocore-session-1601436882",
"Account": "450261875116",
"Arn": "arn:aws:sts::450261875116:assumed-role/eksctl-eksworkshop-eksctl3-addon-iamservicea-Role1-YYYFXFS0J4M2/botocore-session-1601436882"
}当我运行此命令时,它将显示我的服务帐户角色。但我还是得到了最初的错误。
回答 2
Stack Overflow用户
发布于 2020-09-29 15:29:59
Jenkins podTemplate有serviceAccount选项:https://github.com/jenkinsci/kubernetes-plugin#pod-and-container-template-configuration
- 创建映射到EKS集群的IAM角色
- 创建映射到IAM角色的ServiceAccount
- 将ServiceAccount名称传递给podTemplate
进一步调试:
- 确保吊舱有正确的服务帐户名称。
- 检查pod是否获得了
AWS_ROLE_ARN和AWS_WEB_IDENTITY_TOKEN_FILEenv (它们是自动添加的)。 - 检查您使用的AWS是否高于最低版本:https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts-minimum-sdk.html
- 运行
aws sts get-caller-identity以查看角色,不要浪费时间运行实际的作业。
Stack Overflow用户
发布于 2021-03-13 00:32:52
在使用Jenkins奴隶的情况下,需要自定义容器映像以使用AWS V2而不是AWS V1。我遇到了与授权相关的错误,就像问题所提出的那样;我的客户端使用集群节点角色,而不是使用附加到我的Jenkins-pods的服务帐户的假定web标识角色。
显然,AWS的V2将web标识令牌文件作为默认凭据链的一部分,而V1没有。
下面是一个示例Dockerfile,它提取了最新的AWS版本,因此该模式可以工作。
FROM jenkins/inbound-agent
# run updates as root
USER root
# Create docker group
RUN addgroup docker
# Update & Upgrade OS
RUN apt-get update
RUN apt-get -y upgrade
#install python3
RUN apt-get -y install python3
# add AWS Cli version 2 for web_identity_token files
RUN curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
RUN unzip awscliv2.zip
RUN ./aws/install
# Add Maven
RUN apt-get -y install maven --no-install-recommends
# Add docker
RUN curl -sSL https://get.docker.com/ | sh
RUN usermod -aG docker jenkins
# Add docker compose
RUN curl -L "https://github.com/docker/compose/releases/download/1.26.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
RUN chmod +x /usr/local/bin/docker-compose
# Delete cached files we don't need anymore:
RUN apt-get clean
RUN rm -rf /var/lib/apt/lists/*
# close root access
USER jenkins此外,我必须确保我的服务帐户被创建并连接到Jenkins主映像和jenkins奴隶。这可以通过管理Jenkins ->管理节点和Clouds ->配置Clouds -> Pod模板细节来实现。
确保使用适当的值编辑Namespace和Serviceaccount字段。
https://stackoverflow.com/questions/64122635
复制相似问题
腾讯云开发者
