Amazon上的容器透视

Question

我试图将Container添加到我的EKS集群中，但是在部署时遇到了一些问题。根据我的日志，我得到了以下信息：

[error] [output:cloudwatch_logs:cloudwatch_logs.2] CreateLogGroup API responded with error='AccessDeniedException'
[error] [output:cloudwatch_logs:cloudwatch_logs.2] Failed to create log group 

奇怪的是，它似乎假定的角色是在我的EC2工作节点中找到的相同角色，而不是我创建的服务帐户的角色。我正在创建服务帐户，并可以使用以下命令在AWS中成功地看到它：

eksctl create iamserviceaccount --region ${env:AWS_DEFAULT_REGION} --name cloudwatch-agent --namespace amazon-cloudwatch --cluster ${env:CLUSTER_NAME} --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy --override-existing-serviceaccounts --approve

尽管成功地创建了服务帐户，我仍然继续获得我的AccessDeniedException。

我发现的一件事是，当我手动将CloudWatchAgentServerPolicy添加到我的辅助节点时，日志工作得很好，但是这不是我想要的实现，而是希望有一种自动的方式来添加服务帐户，并且如果可能的话不直接接触辅助节点。我遵循的步骤可以在这些文件。的底部找到

非常感谢！

Answer 1

对于任何遇到此问题的人:在快速启动yaml中，必须从该文件中删除并手动创建一个fluent位服务帐户。对于我来说，我使用以下命令创建了它：

eksctl create iamserviceaccount --region ${env:AWS_DEFAULT_REGION} --name fluent-bit --namespace amazon-cloudwatch --cluster ${env:CLUSTER_NAME} --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy --override-existing-serviceaccounts --approve

在运行此命令并从yaml中删除fluent位服务帐户后，删除并重新应用所有命名空间项，它应该可以工作。