如何使用CDK修改EKS的默认容量实例角色？

CDK（Cloud Development Kit）是一种开发工具，它允许开发人员使用编程语言（如TypeScript、Python等）来定义基础设施资源，包括云计算资源。EKS（Elastic Kubernetes Service）是亚马逊AWS提供的一种托管式Kubernetes服务。

要修改EKS的默认容量实例角色，可以按照以下步骤进行操作：

导入所需的CDK模块和AWS SDK模块：

import * as eks from '@aws-cdk/aws-eks';
import * as iam from '@aws-cdk/aws-iam';

创建一个CDK Stack，并定义一个EKS集群：

const stack = new cdk.Stack(app, 'MyStack');
const cluster = new eks.Cluster(stack, 'MyCluster', {
  version: eks.KubernetesVersion.V1_21,
});

创建一个新的IAM角色，并为该角色添加所需的权限：

const role = new iam.Role(stack, 'MyRole', {
  assumedBy: new iam.ServicePrincipal('ec2.amazonaws.com'),
});

role.addToPolicy(new iam.PolicyStatement({
  actions: ['eks:DescribeCluster'],
  resources: [cluster.clusterArn],
}));

将新创建的IAM角色分配给EKS集群的默认容量实例角色：

cluster.awsAuth.addRoleMapping(role, {
  groups: ['system:bootstrappers', 'system:nodes'],
  username: 'system:node:{{EC2PrivateDNSName}}',
});

在上述代码中，我们首先导入了所需的CDK模块和AWS SDK模块。然后，我们创建了一个CDK Stack，并定义了一个EKS集群。接下来，我们创建了一个新的IAM角色，并为该角色添加了描述EKS集群的权限。最后，我们将新创建的IAM角色分配给EKS集群的默认容量实例角色。

这样，我们就成功地使用CDK修改了EKS的默认容量实例角色。

腾讯云相关产品和产品介绍链接地址：

腾讯云CDK：https://cloud.tencent.com/product/cdk
腾讯云EKS：https://cloud.tencent.com/product/eks

相关·内容

使用 AWS CDK Python 从零开始构建 EKS 集群

前言上篇文章《AWS CDK | IaC 何必只用 Yaml》笔者介绍了 AWS CDK 的概念和基本使用方法，本篇文章就来使用 CDK 在 AWS 从零开始构建一个全新的 KES 集群，实际感受一下使用...16', # CIDR max_azs=3, # 跨3个AZ nat_gateways=1 # 新建一个 NAT Gateway ) 还有很多其他参数可以配置，这里用不到直接使用默认值...是定义默认 worker 节点的，下面我们会采用 MNG 和 ASG 来管理 worker 节点，所以这里设置为 0....如果部署中间出现错误， CDK 会自动进行回滚，之前创建和修改的资源都会被恢复原样，可以放心使用。 ?...结语非常感谢来自 AWS 的 @pahud[1] 同学的指导和帮助，总体来说 Python 版本的 CDK 使用起来比较方便，但文档和源码中的说明略有不足。

1.8K1 0

SAP ABAP 如何使用角色控制到SM30的修改权限

1/给用户添加修改表或视图事务代码SM30权限 2/该表或视图可以被SM30修改维护需求1：实现通过事务代码SM30对表进行维护执行事务代码PFCG 定义角色这里直接创建角色，并分配事务代码SM30...保存后维护权限找到对应的权限对象：S_TABU_NAM 对TABLE进行维护：此处维护需要修改的表，此表要求可以前台维护，（如果表不能前台维护则不可以，可以通过开发实现维护表）维护ACTCT：可以更改或者显示表...点击保存之后生成生成完成之后去测试，我们使用测试用户测试如未分配权限对象之前，测试无法提示无法权限使用SM30 分配之后，用户测试SM30维护表执行SM30之后可以对表进行增删改总结：同样角色中可以分配多个表...，控制用户对多个表进行修改和查看如果需要给用户用SE16N，也可以通过此种方法，不过SE16N权限相对大，可以进入debug修改标准表，如果不小心分配了debug的权限，标准表改了之后问题就会比较大，...建议不要轻易分配给用户，可以让开发配合对表维护对话框，然后给用户使用SM30。

2191 0

AWS CDK | IaC 何必只用 Yaml

“YAML 地狱” 这个词形容的就非常贴切。如何破解 YAML 地狱？...，快速的定义云资源，并且还提供了一系列默认选项，使得代码量进一步降低。...这种方法完美的绕过了 CloudFormation 配置本身的复杂性和较差的可读性，用户可以选择一个自己熟悉的编程语言，以代码的形式来对基础资源进行编排，同时还有很多默认选项，为不想关心太多细节的开发者提供了便利...，使用 AWS CDK 获得的红利也会越多。...后续我也会出一篇使用 AWS CDK Python 从 0 开始创建 EKS 集群的文章，感兴趣的同学可以关注一下。

2K2 0

基于AWS EKS的K8S实践 - 集群搭建

选择插件，安装必需的默认的3个插件就可以 5. 配置插件，这里主要用来选择插件的版本，保持默认就可以 6....创建数据平面（工作节点）数据平面的创建我们采用节点组的形式进行创建，不使用Fargate。...节点组配置，这里主要指定节点组里面节点的数量大小，实例类型等参数，如下图：通过上图可以看到我们的模板中已经指定好了AMI、磁盘、实例类型，这里所以是灰色的无法选择。 3....Deployment、如何对接Jenkins实现简易版的CI/CD（如果公司有充足的研发人力，强力建议自研系统，Jenkins只负责用来调度，灵活性更强，也能屏蔽掉Jenkins，更加方便的对接公司的单点登录用户体系...），如何部署ingress controller对外暴露服务等细节，这个后续我会继续介绍。

4904 0

AWS简单搭建使用EKS二

背景：紧接AWS简单搭建使用EKS一，eks集群简单搭建完成。...需要搭建有状态服务必然就用到了storageclass 存储类，这里用ebs记录以下AWS简单搭建使用EKS二存储类选型：参照官方文档：https://kubernetes.io/zh-cn/docs...使用 AWS CLI 创建 Amazon EBS CSI 插件 IAM 角色参照：https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/csi-iam-role.html.../xxxxxxxxx注意： url中的加粗黑体的关键词 https://oidc.eks.cn-north-1.amazonaws.com.cn/id/xxxxxxxxx创建 IAM 角色生成aws-ebs-csi-driver-trust-policy.json...，name可以修改成自己新要的名字，这里就默认ebs-sc了。

1.5K3 1

【腾讯云容器服务】超级节点大镜像解决方案

方案一: 使用镜像缓存在镜像缓存页面新建实例(确保地域与集群所在地域相同):图片填入大镜像的镜像地址，以及系统盘大小:图片如果是私有镜像，也添加下镜像凭证。...等待实例创建完成:图片最后创建工作负载时，使用 eks.tke.cloud.tencent.com/use-image-cache: auto 为 Pod 开启镜像缓存，自动匹配同名镜像的镜像缓存实例，...方案二: 修改系统盘大小Pod 系统盘默认大小为 20GB，如有需要，可以改大，超过 20GB 的部分将会进行计费。...修改的方式是在 Pod 上加 eks.tke.cloud.tencent.com/root-cbs-size: “50” 这样的注解，示例:apiVersion: apps/v1kind: Deploymentmetadata...使用镜像缓存的优势在于，可以加速大镜像 Pod 的启动；自定义系统盘大小的优势在于，不需要创建镜像缓存实例，比较简单方便。可以根据自身需求选取合适的方案

2.7K6 1

为什么云基础设施应该是不可变的？

我还记得当我第一次需要在亚马逊云科技上部署一个 EKS 时，发现 Terraform 注册表里的 EKS 包是多么的开心；一周的工作量瞬间缩减成了一天。检测漂移漂移是非常让人头疼的事情。...重置也没了作用，一切都乱了套以及这个见鬼的 Redis 实例是从哪冒出来的？...借助一些工具，我们可以检测到所有没有用 IaC 创建的资源，而没有使用 IaC 工具修改的资源也可以轻易被它检测到。...2 怎么才能让我的环境不变呢？我会尝试在这里解释如何从架构的角度来，至少确保生产环境的不变性所需要的一般性建议。...虽然这种方法不是百分百的保险，黑客还是可以通过管道角色攻击你环境的。

5423 0

AWS 容器服务的安全实践

下面我们看一下Kubernetes的管理工具kubectl的执行过程是如何在EKS上进行身份认证的。...另外，通过 Amazon EKS 集群上服务账户 (service account)的 IAM 角色，您可以将 IAM 角色与 Kubernetes 服务账户关联。...默认情况下，这个API终端节点对于Internet是公有的，对API终端节点的访问，我们使用AWS IAM和Kubernetes RBAC的组合加以保护。...您可以限制从Internet访问API终端节点的IP地址，或者完全禁用对API终端节点的Internet访问。 ? Amazon VPC CNI目前是Amazon EKS集群默认的网络插件。...Calico是EKS官方文档中介绍的一种主流的方式。 ? 一种既可以分配EC2实例级IAM角色，又可以完全信任基于安全组的方式，是为不同的Pod使用不同的工作节点集群，甚至是完全独立的集群。

2.7K2 0

基础设施即代码的历史与未来

但更重要的是，云立即提高了我们设计系统的抽象级别。不再只是给主机分配不同的角色。...我们不定义这些东西将在哪些主机上执行，以及如何配置这些主机——我们只关心正确使用云供应商提供的托管服务。然而，它与 Ansible 共同的地方是它们都具有声明式的特性。...如果我们以后决定修改队列（也许我们希望超时时间是 240 而不是 120 ），或者完全删除它，我们只需更改模板，引擎将确定必要的 API 调用来更新或删除它。...第三代：命令式，云端例子：AWS CDK，Pulumi，SST 第二代工具的所有缺点都可以追溯到它们使用了缺乏典型抽象工具的自定义 DSL ，例如：变量、函数、循环、类、方法等，这些是我们在使用通用编程语言时习惯使用的工具...我应该在 AWS Lambda、AWS EKS 还是 AWS AppRunner 上运行我的容器？我应该使用 Google Cloud Functions 还是 Google Cloud Run ？

1511 0

从Wiz Cluster Games 挑战赛漫谈K8s集群安全

如何使用aws ecr服务将镜像拉去到本地呢？...节点的IAM角色名称的约定模式为：[集群名称]- 节点组-节点实例角色解题思路本关开始，我们的服务帐户的权限为空，无法列出pod、secret的名称以及详细信息： root@wiz-eks-challenge...刚好提示1中告诉我们“节点的IAM角色名称的约定模式为：[集群名称]- 节点组-节点实例角色”。...“nodegroup”，节点实例角色为“NodeInstanceRole”。...弃用IMDSv1，使用IMDSv2 IMDSv1存在一定的风险，且出现过较为严重的安全事件，AWS官方已明确提示使用IMDSv2代替IMDSv1，并于2024年年中起，新发布的Amazon EC2实例类型将仅使用

3611 0

快速添加永久存储到到Minishift CDK 3

今天，我想向您展示如何在minishift / CDK 3（Red Hat’s Containers Development Kit 3 ，红帽的容器开发工具包3）中为您的项目轻松添加设置一些存储器...我不会详细介绍如何建立一个Minishift或CDK 3.你可以通过互联网找到很多文章去了解。...不过，我将在下面给出一些有用的链接，来帮助你在继续操作之前可以有一个Minishift或CDK3：红帽容器开发工具包3测试版使用说明 Minishift的GitHub页面 - https://github.com...让我们开始吧当你成功设置了Minishift/CDK3，就已经准备好了，为你的永久卷（PV）创建底层存储。...2.卷类型“hostPath”的用法：存储位于minishift / CDK3虚拟磁盘上，需要注意权限！

1.8K9 0

【腾讯云原生】在 TKE 上安装 KubeSphere 的踩坑与注意事项

摘自 Kubernetes 实践指南概述本文介绍在腾讯云容器服务上如何安装 KubeSphere 及其踩坑与注意事项。...踩坑与注意事项cbs 磁盘容量以 10Gi 为倍数腾讯云容器服务默认使用 CBS 云硬盘作为存储，容量只支持 10Gi 的倍数，如果定义 pvc 时指定的容量不是 10Gi 的倍数，就会挂盘失败。...安装 KubeSphere 时，修改下 ClusterConfiguration 中各个组件的 volumeSize 配置，确保是 10Gi 的倍数。...卸载卡住与卸载不干净导致重装失败有时安装出问题，希望卸载重装，使用 KubeSphere 官方文档从 Kubernetes 上卸载 KubeSphere 中的 kubesphere-delete.sh...# eks cadvisor 之外的其它监控 honor_timestamps: true metrics_path: '/metrics' params:

1.5K7 2

腾讯云EKS 上部署 eshopondapr

弹性容器服务 EKS 完全兼容原生 Kubernetes，支持使用原生方式购买及管理资源，按照容器真实使用的资源量计费。...这篇文章主要向你介绍如何在EKS上面部署基于Dapr的应用程序，我们选择了Dapr 参考应用程序eshopondapr 作为示例。...以下步骤介绍如何将 eShopOnDapr 部署到腾讯云EKS 集群： 1、创建一个EKS 集群，这部分可以参考腾讯云的文档创建EKS 集群。...ehsopondapr的 helm 包里面声明ingress实例，是使用的spec.ingressClassName这个字段进行的，这里后面要进行调整。 4、开通EKS 集群访问外网。...默认的弹性容器服务（Elastic Kubernetes Service，EKS）访问不了外网，支持通过配置 NAT 网关和路由表来实现集群内服务访问外网，具体文档参见通过 NAT 网关访问外网

1.5K1 0

EKS集群拉取腾讯云镜像仓库镜像

最近很多人在使用eks弹性集群的过程中遇到了一些镜像拉取问题，很多人部署了工作负载后，pod一直pengding，查看事件发现有报错ImagePullBackOff，但是这个镜像在镜像仓库是存在的，其实这里拉取镜像报错主要原因是网络问题和镜像拉取密钥没有匹配上导致的...，下面我们来说说如何在eks上拉取不同镜像仓库的镜像。...1. eks集群拉取TCR仓库镜像拉取TCR上的镜像，首先需要创建一个TCR实例，然后将镜像上传到实例中镜像仓库，这里我们说说分别通过公网和内网拉取镜像如何配置，首先我们在TCR上配置一个永久访问凭证...1.1 eks公网拉取TCR镜像我们在TCR实例上开启下公网访问 image.png 然后配置下访问白名单，默认是拒绝所有公网流量访问的，注意eks访问公网需要配置nat网关才行，具体可以参考文档https...1.2 eks内网拉取TCR镜像 1.2.1 手动配置hosts解析拉取镜像 tcr默认开启内网访问，会在vpc下生成一个统一的入口ip作为实例访问ip，但是这个ip不会自动解析到tcr的域名上，如果您没有开启内网自动解析

8K1 0

Python 和 CDK的aws-route53那些事

CDK介绍 1.什么是CDK？ CDK,与使用 YAML（或 JSON）的声明式方法相比，CDK 允许您命令式声明基础设施。主要语言为 TypeScript，同时也支持另外几种语言。...2.为什么要使用 CDK？增强基础设施，为了操作awk的接口，对awk的实例等进行操作 3.route53是干啥的？...如果选择使用 Route 53 来执行所有这三种功能： 1）域名注册 2）将 Internet 流量路由到您的域的资源 3）检查资源的运行状况如何使用route53 1.安装route53 ## 方法一...## 导入ec2实例方法 import aws_cdk.aws_ec2 as ec2 ## 导入route53方法 import aws_cdk.aws_route53 as route53 ## 实例化...、区域名称和尾随的“.”。 # 如果未指定，则默认为区域根目录。 ## 值 values=["Bar!", "Baz?"]

9333 0

如何在TKE上安装KubeSphere？

本文主要介绍在腾讯云容器服务上如何安装KubeSphere及其踩坑与注意事项，希望可以给对此方面感兴趣的开发者们一些经验和帮助。...10Gi为倍数腾讯云容器服务默认使用CBS云硬盘作为存储，容量只支持10Gi的倍数，如果定义pvc时指定的容量不是10Gi的倍数，就会挂盘失败。...安装KubeSphere时，修改下ClusterConfiguration中各个组件的volumeSize配置，确保是10Gi的倍数。...（二）卸载卡住与卸载不干净导致重装失败有时安装出问题，希望卸载重装，使用KubeSphere官方文档从 Kubernetes上卸载KubeSphere中的kubesphere-delete.sh脚本进行清理...# eks cadvisor 之外的其它监控 honor_timestamps: true metrics_path: '/metrics' params:

7112 0

4月腾讯云容器产品技术月报｜五一快乐，豪礼送送送！

EKS 创建工作负载时支持开启自动升配 EKS 支持 Job 批量调度能力，需开放白名单使用支持工具化将 TKE 集群升级至 EKS 集群 EKS 上线根据磁盘阈值自动重启 Pod 能力虚拟节点支持限制...，您可以在托管的云服务器实例集群上轻松运行应用程序。...控制台体验优化：提升添加已有节点页面中的实例读取速度、静态创建 PV 时选择 CFS 实例支持搜索、集群列表页的更多操作中支持展示全部功能项、通过控制台创建TKE集群默认开启删除保护功能下线预告：...学会如何从零开始给自己的业务暴露监控指标，如何正确配置服务发现，以及如何配出实用的 Grafana 面板，让大家用 20% 的时间掌握 80% 最常用的部分。...一篇文章带你搞懂 etcd 3.5 的核心特性如何使用 OpenTracing 在 TCM 中实现异步消息调用跟踪使用 Velero 跨云平台迁移集群资源到 TKE 使用 Elastic GPU 管理

8784 0

Kubestriker：一款针对Kubernetes的快速安全审计工具

这些安全问题可能是工程师或开发人员在使用Kubernetes会遇到的，尤其是在大规模生成环境之中，一个小小的安全问题可能会带来严重的安全风险。...如何配置Kubestriker容器点击底部【阅读原文】获取Kubestriker容器的最新发布版本。...vasantchinnipilli 替换成你自己的用户名，并修改Kube配置文件的绝对路径： $ docker run -it --rm -v /Users//.kube/config...请使用下面提供的链接创建只读用户： Amazon EKS只读权限用户创建：点击底部【阅读原文】获取 Azure AKS只读权限用户创建：点击底部【阅读原文】获取 Google GKE只读权限用户创建：点击底部...【阅读原文】获取使用基于访问控制的角色创建一个主题：点击底部【阅读原文】获取从EKS集群获取一个令牌： $ aws eks get-token --cluster-name cluster-name

1.6K4 0

弹性 Kubernetes 服务：Amazon EKS

在 Amazon EKS 中，控制平面实例会根据负载自动扩展，不健康的控制平面实例会被检测和替换，自动版本升级和修补也会自动完成。...每个 Amazon EKS 集群控制平面都有自己的一组 Amazon EC2 实例，并且是单租户且唯一的。...) 的相同类型，而且，节点组应该使用相同的 IAM 角色。...Amazon EKS 节点在您的账户下运行，并使用集群的 API 服务器终端节点与控制平面通信。以下详细信息和图表说明了 EKS 集群中的应用程序部署。...您可以使用以下链接估算 EKS 集群的价格。有关 AWS EC2 实例定价模型的更多详细信息，请参阅以下文章，因为您可以将 EC2 实例用于 EKS 工作程序节点。

3.5K2 0

如何快速在Minishift CDK 3 中添加永久存储

今天我们来认识一下如何在minishift / CDK 3（Red Hat’s Containers Development Kit 3 即红帽公司容器开发工具包3）中为您的项目轻松设置一些持久性存储。...实验需求条件首先，让我们先看你需要什么： · 一个minishift或CDK 3。这就足够了！我不会深究如何建立一个minishift或CDK 3，网络上上有很多文章可以告诉你如何做。...不过，我将在下面重新介绍一些有用的链接，以确保在继续实验之前你已经拥有了minishift/ CDK3： · 如何使用红帽容器开发工具包3测试版 · minishift的GitHub页面 - https...一旦你成功设置了一个可以使用的minishift或CDK3，你就现在已经准备好继续下面的工作，来为你的持久卷（Persistent Volume，简称PV）创建底层存储。...首先，从你的minishift或CDK3虚拟机注销，然后通过oc-client登录到你的Openshift： $ oc login -u system:admin 使用现有凭证登录到“https://

3.3K6 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云