Al escanear tus clústeres de Amazon EKS, Cloudcraft te permite generar diagramas de arquitectura del sistema para visualizar tus cargas de trabajo y pods desplegados.

Cloudcraft utiliza el método de autorización control de acceso basado en roles (RBAC) proporcionado por Kubernetes para autorizar el rol de entidad de IAM de sólo lectura existente de Cloudcraft. Esto significa que Cloudcraft no requiere ningún software especial o Agent.

Para obtener más información sobre la configuración de RBAC y las entidades de IAM, consulta Gestión de usuarios o roles de IAM para tu clúster.

Requisitos previos

Antes de conectar tus clústeres de Amazon EKS con Cloudcraft, debes conectar tu cuenta de AWS y generar diagramas que incluyan tus clústeres.

Para conectar tu cuenta de AWS y familiarizarte con Cloudcraft, consulta los siguientes artículos:

• Conecta tu cuenta de AWS con Cloudcraft
• Crea tu primer diagrama de AWS en directo

Instala y configura kubectl, una herramienta que te permite controlar clústeres de Kubernetes a través de la línea de comandos. Cloudcraft recomienda utilizar la última versión para evitar problemas.

Además, para poder escanear tu clúster con éxito, Cloudcraft requiere que los clústeres tengan habilitado el acceso público y que no se aplique ningún filtro de IP. La opción Public Access Source Allow List (Lista de fuentes de acceso público permitidas) en la configuración de red debe permanecer en su valor por defecto de 0.0.0.0/0.

Autorizar el rol IAM de Cloudcraft para sólo visualización

Comienza abriendo un plano con un clúster de Amazon EKS existente o utilizando la función Auto Layout (Diseño automático) para generar un nuevo plano.

Con tu entorno de AWS asignado a un plano, selecciona el clúster de Amazon EKS que deseas escanear, y haz clic en el botón Enable cluster scanning (Habilitar escaneo de clúster) que aparece en la barra de herramientas del componente.

La siguiente pantalla proporciona comandos paso a paso para ejecutar en el Terminal.

Como creador del clúster de Amazon EKS o usuario con acceso de administrador, abre el archivo AWS-auth ConfigMap con kubectl.

kubectl edit -n kube-system configmap/aws-auth

Con el archivo aws-auth.yaml abierto en un editor de texto, añade los detalles del rol a la sección mapRoles del archivo, justo después de la sección data.

data:
  mapRoles: |
    - rolearn: <arn-for-the-readonly-cloudcraft-iam-role>
      groups:
        - cloudcraft-view-only

Si la sección no existe, añádela. Una vez hecho esto, guarda el archivo y sal de la sección.

Conceder acceso de sólo visualización al rol de IAM de Cloudcraft

A continuación, utiliza ClusterRoleBinding para vincular el rol de IAM a un rol de Kubernetes.

Un ClusterRoleBinding concede permisos definidos en un rol a un usuario o conjunto de usuarios en todos los espacios de nombres de un clúster. Kubernetes define algunos roles predeterminados al usuario. Para Cloudcraft, utiliza el rol predefinido “view” que permite el acceso de sólo visualización a la mayoría de los objetos en un espacio de nombres.

Introduce el siguiente comando multilínea para crear el ClusterRoleBinding y conceder permiso de sólo visualización a los usuarios del grupo cloudcraft-view-only.

cat << EOF | kubectl apply -f -
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: cloudcraft-view-only
subjects:
  - kind: Group
    name: cloudcraft-view-only
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: view
  apiGroup: rbac.authorization.k8s.io
EOF

Test de acceso al clúster

Para testear que Cloudcraft puede acceder al clúster, haz clic en Test cluster access (Test de acceso al clúster) en la parte inferior de la pantalla Enable Kubernetes Cluster Scanning (Activar escaneo del clúster de Kubernetes).

Para escanear otros clústeres, repite el proceso tantas veces como sea necesario.