实验六、将IAM用户或角色授权为EKS集群管理员

EKS动手实验合集请参考这里

EKS 1.30 版本 @2024-07 AWS Global区域测试通过

使用EKS服务过程中,经常出现创建EKS集群和管理EKS集群的不是一个人。由此会导致在AWS控制台上显示EKS服务不正常,无法获取有关配置。在AWS控制台上访问EKS服务时候,会提示错误信息如下:

Your current IAM principal doesn’t have access to Kubernetes objects on this cluster.
This might be due to the current IAM principal not having an access entry with permissions to access the cluster.
Continue reading “实验六、将IAM用户或角色授权为EKS集群管理员”

EKS 101 动手实验(五)使用私有子网创建EKS

EKS动手实验合集请参考这里

一、背景

在EKS教程和实验手册中,使用eksctl工具创建集群可以在几分钟内配置好一个EKS集群。但是默认情况下,eksctl将会通过Cloudformation创建一个全新的VPC,使用192.168.0.0/16的子网掩码,且Nodegroup位于Public Subnet公有子网。Nodegroup和pod并未能落在现有VPC内,也未能使用Private Subnet。这样很可能不符合架构要求。

因此,在这种场景下,可在使用eksctl创建集群时候,增加参数使用EKS的Nodegroup创建在某几个私有子网。

二、操作方法

本文的内容已经在EKS 101 动手实验(一)创建EKS集群的章节三中第2个小标题做了介绍,因此这里不再赘述。请跳转阅读。

AWS Network Firewall (NFW) Demo

AWS Network Firewall 是一项新推出的 AWS 托管服务,可使您轻松地为所有 Amazon Virtual Private Cloud (VPC) 部署必要的网络保护。您只需单击几下鼠标就可以设置此服务,它随着网络流量而自动缩放,因此无需担心基础设施的部署和管理问题。AWS Network Firewall 适用于要检查和筛选 Amazon VPC 进出流量或 Amazon VPC 之间流量的客户。 

AWS官网
Continue reading “AWS Network Firewall (NFW) Demo”

为IDC或私有VPC内的Storage Gateway使用VPC Endpoint访问S3

之前写过Blog视频谈到了在内网环境的Storage Gateway的激活,在2021年Storage Gatway升级后,内网的激活流程和向导作出了改进,激活更为方便。

此外,如果安全上有需求要求所有流量在内网不能出现在公网,可以搭配专线或Site-to-site VPN,然后将所有流量发送到Interface类型的VPC Endpoint,即可实现所有流量处于内网的私密状态。

Continue reading “为IDC或私有VPC内的Storage Gateway使用VPC Endpoint访问S3”

在海外区域使用AWS Client VPN访问没有Internet Gateway的VPC内网资源

一、背景和架构

AWS Client VPN是一种基于客户端的托管VPN服务,让您能够安全地访问云上资源或借助云作为网络通道访问其他资源。AWS Client VPN具有专用的VPN客户端,也支持使用OpenVPN作为客户端。

注意:AWS Client VPN只能用于企业海外员工到附近的海外AWS区域的访问接入,不可用于跨境访问。跨境需求需要申请符合相关法律规定的具有资质的跨境专线。

Continue reading “在海外区域使用AWS Client VPN访问没有Internet Gateway的VPC内网资源”

GWLB系列3: 使用GWLB+TGW方案时跨AZ访问的场景打开Transit Gateway Appliance Mode

在使用GWLB+TGW方案时候,运行应用系统的VPC(可叫做Spoke VPC或叫做Application VPC)访问其他VPC时候出现了同AZ可访问,跨AZ无法访问。经调查是Transit Gateway Appliance Mode默认是关闭模式,没有打开。

Continue reading “GWLB系列3: 使用GWLB+TGW方案时跨AZ访问的场景打开Transit Gateway Appliance Mode”