kubectl 无法使用 AWS EKS 进行身份验证

根据这些 AWS 文档，我需要将我的 IAM 用户添加到mapUsersConfigMap 部分。configmap/aws-auth

您可以使用最初创建集群的同一 AWS 用户来编辑配置映射。

$ kubectl edit -n kube-system configmap/aws-auth

apiVersion: v1
data:
mapRoles: |
    - rolearn: arn:aws:iam::555555555555:role/devel-worker-nodes-NodeInstanceRole-74RF4UBDUKL6
    username: system:node:{{EC2PrivateDNSName}}
    groups:
        - system:bootstrappers
        - system:nodes
mapUsers: |
    - userarn: arn:aws:iam::555555555555:user/admin
    username: admin
    groups:
        - system:masters
    - userarn: arn:aws:iam::111122223333:user/ops-user
    username: ops-user
    groups:
        - system:masters
mapAccounts: |
    - "111122223333"

不幸的是，AWS 还没有像 GKE 的“gcloud container clusters get-credentials”这样的命令，它会为你创建 kubectl 配置。因此，您需要手动创建 kubectl 配置文件。

如为 Amazon EKS 文档创建 kubeconfig 中所述，您应该从集群中获得两件事：

1. 检索集群的端点。<endpoint-url>在您的 kubeconfig 文件中使用它。

   aws eks describe-cluster --cluster-name <cluster-name>  --query cluster.endpoint
   

2. 检索集群的 certificateAuthority.data。<base64-encoded-ca-cert>在您的 kubeconfig 文件中使用它。

   aws eks describe-cluster --cluster-name <cluster-name>  --query cluster.certificateAuthority.data
   

如果默认 kubectl 文件夹不存在，请创建它。

mkdir -p ~/.kube

打开您喜欢的文本编辑器并将以下 kubeconfig 代码块粘贴到其中。

apiVersion: v1
clusters:
- cluster:
    server: <endpoint-url>
    certificate-authority-data: <base64-encoded-ca-cert>
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: aws
  name: aws
current-context: aws
kind: Config
preferences: {}
users:
- name: aws
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1alpha1
      command: heptio-authenticator-aws
      args:
        - "token"
        - "-i"
        - "<cluster-name>"
        # - "-r"
        # - "<role-arn>"
      # env:
        # - name: AWS_PROFILE
        #   value: "<aws-profile>"

将 替换<endpoint-url>为为您的集群创建的端点 URL。将 替换<base64-encoded-ca-cert>为为您的集群创建的 certificateAuthority.data。将 替换为<cluster-name>您的集群名称。

将文件保存到默认的 kubectl 文件夹，文件名中包含您的集群名称。例如，如果您的集群名称是 devel，请将文件保存为~/.kube/config-devel.

将该文件路径添加到您的KUBECONFIG环境变量中，以便kubectl知道在哪里查找您的集群配置。

export KUBECONFIG=$KUBECONFIG:~/.kube/config-devel

（可选）将配置添加到您的 shell 初始化文件中，以便在您打开 shell 时对其进行配置。

对于 macOS 上的 Bash shell：

echo 'export KUBECONFIG=$KUBECONFIG:~/.kube/config-devel' >> ~/.bash_profile

对于 Linux 上的 Bash shell：

echo 'export KUBECONFIG=$KUBECONFIG:~/.kube/config-devel' >> ~/.bashrc

测试您的配置。

kubectl get svc

输出：

NAME             TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
svc/kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   1m

Note
如果您收到错误消息"heptio-authenticator-aws": executable file not found in $PATH，则说明您kubectl未针对 Amazon EKS 进行配置。有关更多信息，请参阅为 Amazon EKS 配置 kubectl。

随着时间的推移，事情变得有点简单了。要开始使用 Linux（或实际上是 WSL），您需要：

1. 安装 AWS CLI并配置有效的 AWS CLI 凭证（aws configure或例如使用 AWS SSO 即时生成限时凭证）
2. 安装 eksctl 和 kubectl
3. 安装 aws-iam-authenticator

此时，假设您的 AWS 账户中已经有一个正在运行的 Kubernetes 集群，您可以使用以下命令在 $HOME/.kube/config 中生成/更新 kube 配置：

aws eks update-kubeconfig --name test

test根据 AWS 控制台（或aws eks list-clusters） ，您的集群名称在哪里。

例如，您现在可以运行kubectl get svc而不会出现错误。

根据您的命令传入您的 AWS 配置变量（或将它们设置为全局变量）。

例子：

AWS_PROFILE=profile_name kubectl get all

我通过修复我创建的 kubeconfig 文件中的 base64 编码证书解决了这个问题。该文档有点令人困惑，因为它说将 --cluster-name 开关与 aws cli 一起用于 EKS 服务，而对我来说 --name 开关有效。这会将 base64 值打印到 cli，然后我将它复制到保存的 kubeconfig 文件中并且它可以工作。

$ AWS_ACCESS_KEY_ID=[YOUR_ID_HERE] AWS_SECRET_ACCESS_KEY=[YOUR_SECRET_HERE] aws eks describe-cluster --name staging --query cluster.certificateAuthority.data