Esta página explica qué es un perfil de instancia de AWS IAM, por qué es importante en el contexto de GKE en AWS y cómo actualizar el perfil de instancia.
¿Qué es un perfil de instancia de AWS IAM?
Un perfil de instancia es un concepto específico de AWS. Consiste en un conjunto de credenciales que una instancia de Amazon EC2 utiliza para acceder a diversos recursos de AWS. Más específicamente, un perfil de instancia es un tipo de contenedor para un rol de IAM que se puede asociar a una instancia de EC2. Un perfil de instancia otorga permisos a la instancia de EC2, lo que le permite interactuar con diversos servicios de AWS con los permisos definidos. Para obtener más información, consulte Uso de perfiles de instancia .
¿Cómo se utilizan los perfiles de instancia en GKE en AWS?
Cada plano de control y cada grupo de nodos dentro de un clúster de GKE en AWS está asociado a un perfil de instancia de AWS único. Los perfiles de instancia en GKE en AWS tienen una doble función:
- Un perfil de instancia otorga a GKE en AWS los permisos necesarios para administrar los recursos de AWS. Por ejemplo, otorga al escalador automático del clúster los permisos necesarios para escalarlo añadiendo o eliminando instancias de EC2 según las demandas de la carga de trabajo.
- Un perfil de instancia otorga a las instancias EC2 acceso a Google Cloud Servicios. Por ejemplo,
kubelet, que se ejecuta en una máquina de AWS, requiere permisos específicos para proporcionar credenciales de extracción de imágenes acontainerd. Estas credenciales son necesarias para acceder y extraer imágenes del Registro de Artefactos privado de Google o del Registro de Contenedores. En el contexto de GKE en AWS, el perfil de instancia de EC2 asociado al clúster está configurado para suplantar a los Agentes de Servicio de Máquina de Google (como el Agente de Servicio de Máquina del Grupo de Nodos o el Agente de Servicio de Máquina del Plano de Control). Esta suplantación permite que las instancias de EC2 del clúster se autentiquen automáticamente con el Registro de Artefactos o el Registro de Contenedores de Google.
Actualizar el perfil de la instancia
Actualizar el perfil de instancia implica crear un nuevo perfil de instancia en AWS con permisos específicos y luego asociarlo con su clúster o grupo de nodos de GKE en AWS.
Para actualizar correctamente el perfil de instancia de su clúster o grupo de nodos, siga estos pasos:
- Cree un perfil de instancia de IAM para sus instancias de Amazon EC2 y añada el rol de IAM necesario. Para obtener más información, consulte Uso de perfiles de instancia .
Vincula el nuevo perfil de instancia a tu clúster o grupo de nodos de GKE en AWS ejecutando el siguiente comando en tu CLI de Google Cloud:
Vincular perfil al clúster
gcloud container aws clusters update CLUSTER_NAME \ --update-instance-profile \ --instance-profile-name NEW_INSTANCE_PROFILE_NAME \ ...Reemplace lo siguiente:
-
CLUSTER_NAME: el nombre de su clúster -
NEW_INSTANCE_PROFILE_NAME: el nombre del nuevo perfil de instancia de AWS que creó
Vincular el perfil al grupo de nodos
gcloud container aws node-pools update NODE_POOL_NAME \ --update-instance-profile \ --instance-profile-name NEW_INSTANCE_PROFILE_NAME \ ...Reemplace lo siguiente:
-
NODE_POOL_NAME: el nombre de su grupo de nodos -
NEW_INSTANCE_PROFILE_NAME: el nombre del nuevo perfil de instancia de AWS que creó
Estos comandos solo muestran los indicadores relevantes para actualizar el perfil de instancia, pero es necesario proporcionar indicadores adicionales para ejecutar el comando
update. Para obtener más información, consulte Actualizar los parámetros del clúster de AWS o Actualizar un grupo de nodos .-
El método de actualización incorrecto
Es importante comprender la forma incorrecta de actualizar un perfil de instancia, porque es un error fácil de cometer que puede causar fallas en el clúster.
La forma incorrecta de actualizar un perfil de instancia es modificarlo directamente mediante la Consola de administración de AWS o la CLI de AWS. Estos cambios pueden interrumpir la interacción de GKE en AWS con los recursos de AWS. GKE en AWS espera que los perfiles de instancia permanezcan como estaban al vincularse inicialmente al clúster o grupo de nodos. Modificarlos fuera de las herramientas de administración de GKE en AWS puede generar una discrepancia con el ID del rol de IAM que se encuentra en el perfil de instancia. Esta discrepancia puede provocar un error en el clúster.
El enfoque descrito en la sección anterior garantiza que las actualizaciones se realicen sin interrumpir la integración de GKE en AWS con AWS.