我正在嘗試將 Container Insight 添加到我的 EKS 集群,但在部署時遇到了一些問題。根據我的日志,我得到以下資訊:
[error] [output:cloudwatch_logs:cloudwatch_logs.2] CreateLogGroup API responded with error='AccessDeniedException'
[error] [output:cloudwatch_logs:cloudwatch_logs.2] Failed to create log group
奇怪的是,它似乎假設的角色與我的 EC2 作業節點中的角色相同,而不是我創建的服務帳戶的角色。我正在創建服務帳戶,并且可以使用以下命令在 AWS 中成功查看它:
eksctl create iamserviceaccount --region ${env:AWS_DEFAULT_REGION} --name cloudwatch-agent --namespace amazon-cloudwatch --cluster ${env:CLUSTER_NAME} --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy --override-existing-serviceaccounts --approve
盡管成功創建了服務帳戶,但我仍然收到 AccessDeniedException。
我發現的一件事是,當我手動將 CloudWatchAgentServerPolicy 添加到我的作業節點時,日志作業正常,但這不是我想要的實作,而是希望有一種自動添加服務帳戶的方式,而不是直接接觸作業節點,如果可能的。我遵循的步驟可以在本檔案的底部找到。
非常感謝!
uj5u.com熱心網友回復:
對于遇到此問題的任何人:在快速入門 yaml 中,有一個 fluent-bit 服務帳戶必須從該檔案中洗掉并手動創建。對我來說,我使用以下命令創建了它:
eksctl create iamserviceaccount --region ${env:AWS_DEFAULT_REGION} --name fluent-bit --namespace amazon-cloudwatch --cluster ${env:CLUSTER_NAME} --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy --override-existing-serviceaccounts --approve
運行此命令并從 yaml 中洗掉 fluent-bit 服務帳戶后,洗掉并重新應用您的所有 amazon-cloudwatch 命名空間專案,它應該可以作業。
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/407864.html
標籤:
上一篇:即擴展崩潰回圈,請求失敗錯誤未經授權的連接服務器代理管理員
下一篇:如何使用帶有值檔案的Helm圖表在Prometheus中配置ingress-nginx-controller-metrics?