如何使用metadata IAM连接FortiGate和AWS EKS

最新推荐文章于 2024-09-11 16:38:17 发布
最新推荐文章于 2024-09-11 16:38:17 发布
阅读量110 收藏
点赞数
文章标签: aws 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyt_317/article/details/132765277
版权

你可以使用如下方法连接FortiGateAWS Kubernetes (EKS) 

  1. Kubernetes external connector
  2. AWS external connector

使用Kubernetes external connector (如下图),你需要提供一个“secret token”。然而,在Kubernetes 1.24版本[2]之后,token不会自动创建,并且大多数设置将令牌的最大生存期设置为48小时。所以,除非你没有这个限制,否则它可能不是一个可行的解决方案。

                                                 ​​​​​​​        Kubernetes external connector

另一种方法是,使用相同的AWS connector读取相关对象以及EKS对象。

AWS connector in FortiGate using metadata IAM

配置FortiGate

  1. FortiGate GUI “Security Fabric” > "External Connectors"
  2. 点击“Create New” 并选择 Amazon Web Services (AWS)
  3. 给它一个您选择的名称,保留所有选项为默认值(您应该有一个类似于上图的配置),然后单击OK

配置 AWS IAM Role

  1. 现在,你需要给FortiGate VM添加一个EKS访问权限的IAM Role
  2.  AWS Console
  3. 检查当前添加给FortiGateIAM role
    1.  EC2 > Instances 选择FortiGate VM
    2.  Details 面板你可以看到当前被使用的 IAM Role 
    3. 注意你可以选择继续使用现在这个IAM role或者创建一个新的role。如果你要创建新role,记得复制一下当前FortiGate VM(EC2)的权限
  4.  AWS Console 进到 IAM. 点击 “Roles” 菜单
  5. 查找并选择你为FortiGate要分配的role
  6. Permissions policies 点击 Add permissions > Create inline policy

        

7. 在Policy editor 选择JSON. [1]中粘贴下面的内容到策略中。你应该有类似于下图的显示:

 

8. 点击Next 

9. 给它一个您选择的Policy名称,然后单击Create Policy 

10. 复制 IAM role ARN 

 

EKS中创建一个 ClusterRole  并分配一个组权限

  1. 详情请参阅 [3]  [4]
  2. 您需要使用kubectl访问EKS集群(在继续之前需要配置它)
  3. 创建集群角色,请参见 [4]。保存为一个 YAML 文件
  4. 在这个例子中,文件名是fgt-clusterrole。所以要应用它,你应该执行: kubectl apply -f fgt-clusterrole.yaml
  5. Cluster角色创建好了,现在需要绑定它。运行下面的命令: kubectl create clusterrolebinding fgt-connector --clusterrole=fgt-connector --group=fgt-connector
  6. 最后一步是在ConfigMap上修改它。运行下面的命令: kubectl edit -n kube-system configmap/aws-auth 编辑文件,添加如下红色矩形所示的信息并保存
  7. 完成!现在你的FortiGate可以读取EKS集群信息了

[1] AWS EKS SDN connector | FortiGate Public Cloud 7.4.0 | Fortinet Document Library 
[2] https://github.com/kubernetes/enhancements/tree/master/keps/sig-auth/2799-reduction-of-secret-based-service-account-token
[3] Enabling IAM principal access to your cluster - Amazon EKS 
[4] Obtaining the IP address, port, and secret token in Kubernetes | FortiGate Private Cloud 7.2.0 | Fortinet Document Library 

 

Y1tao
关注
【云原生】AWS EKS1.25配置StorageClass-EFS存储类
CN_Eden
07-08 1417
存储类 | Kubernetes卷插件支持AWS EBS、NFS等,我们需要改用EFS产品,在Github有人创建了EFS的插件。
AWS EKS使用RBAC授权IAM实体访问集群
weixin_41335923的博客
11-17 724
目录一、RBAC是什么?二、将IAM实体映射到K8S集群三、创建Role和RoleBinding四、测试五、总结参考 一、RBAC是什么? 基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对 计算机或网络资源的访问的方法。 RBAC 鉴权机制使用 rbac.authorization.k8s.io API 组 来驱动鉴权决定,允许你通过 Kubernetes API 动态配置策略。 RBAC 的核心逻辑组件是: 实体 组、用户或服务帐户(代表想要执行某些操作(动作)并需要权限的
AWS EKS 添加IAM用户角色
cnsre运维博客
12-03 620
作者:SRE运维博客 博客地址: https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211203931498/ 相关话题:https://www.cnsre.cn/tags/aws/ 因为创建 Amazon EKS 集群时,IAM 用户或角色会自动在集群的 RBAC 配置中被授予 system:masters 权限。例如,IAM 用户或角色可以是创建集群的联合身份用户。如果使用不属于 aws-auth ConfigMap 的 IAM 用..
使用 AWS EKS 部署 Easysearch
改变世界,改变自己
08-15 977
通过本文的实践操作,我们成功地在 AWS EKS 平台上部署了 Easysearch 服务,验证了其在云环境中的高效运行能力。从 EKS 集群的配置、存储和网络资源的准备,到最终的 Easysearch 部署与测试,整个过程展示了如何利用 AWS 提供的工具和服务,快速构建企业级搜索引擎解决方案。通过这次部署,我们不仅了解了 Easysearch 在 Kubernetes 环境中的部署方法,还深入体验了 AWS EKS 平台的强大功能。
AWS eks 用户授权
gnufre的专栏
02-24 1315
国内使用阿里云惯了,点点就可以完成大部分的工作,国外的AWS 大都是命令行操作,且权限设置的特别细,在创建集群后,给用户授权的工作中走了很多弯路,特记录一下。
AWS EKS添加集群用户或IAM角色
weixin_41335923的博客
11-15 1744
目录一、将 aws-auth ConfigMap 应用到集群二、将 IAM 用户或角色添加到 Amazon EKS 集群 Amazon EKS 使用 IAM 为Kubernetes 集群提供身份验证(通过 AWS CLI 的 1.16.156 版或更高版本中可用的 aws eks get-token 命令或者适用于 Kubernetes 的 AWS IAM 身份验证器),但它仍依赖于 Kubernetes 基于角色的访问控制 (RBAC) 来进行授权。 一、将 aws-auth ConfigMap 应用到
AWS EKS使用Pod安全组
weixin_41335923的博客
11-17 4077
目录一、介绍二、创建安全组(可选)2.1 首先创建RDS安全组(可选,数据库存在可跳过)2.2 创建Pod安全组2.3 为RDS安全组添加入站规则,允许Pod安全组连接到数据库三、获取RDS Endpoint3.1 创建RDS数据库(可选,数据库存在可跳过)3.2 获取数据库的Endpoint3.3 添加测试数据(可选)四、EKS CNI网络配置4.1 为节点组角色授权4.2 启用CNI插件五、安全组策略六、创建Secret7、测试(可选)7.1 Green Pod7.2 Red Pod参考 一、介绍 容器
AWS EKS集群动态创建卷并挂载
linux_s2018的博客
07-05 1698
EKS创建安装EBS CSI驱动,创建PVC
变更AWS EC2 实例配置或实例类型
九河云的创作之路
09-11 426
在本文中,九河云将带您了解如何更改由 Amazon Elastic Block Store (EBS) 支持的 Amazon Elastic Compute Cloud (EC2) 实例的类型。更改实例类型可以优化成本和性能,使其更符合您的应用程序需求。
【2023年】云计算金砖牛刀小试6
geekgold的博客
09-11 1014
2023年国赛题,仅供参考,欢迎交流学习VX:wenjinworkon
【2023年】云计算金砖牛刀小试3
geekgold的博客
09-11 1591
2023年金砖挑战赛山东样题,欢迎交流学习VX: wenjinworkon
考研复习-英语二真题考试题集-带答案
09-14
英语二考研真题复习资料,带答案版
2024中美独角兽公司发展分析报告.pdf
09-14
全球各大洲独角兽企业分布、中美独角兽企业对比(数量、估值、新增及退榜情况、行业分布、所在城市)、
C++ 中的异步编程模型是什么
09-14
在C++中,异步编程模型是处理并发任务、提高程序性能和响应性的关键技术。以下是C++中实现异步编程的几种主要方式: 每种异步编程模型都有其适用场景和优缺点。选择合适的模型可以提高代码的可读性、可维护性和性能。随着C++标准的不断发展,异步编程模型也在不断进化,为开发者提供了更多的工具和选择。 在实际开发中,应根据具体需求选择合适的异步编程模型。例如,对于简单的异步任务,回调函数可能是最直接的选择;而对于需要结构化错误处理和结果获取的复杂异步任务,std::async和std::future可能更合适;在需要高效资源管理的场景下,线程池是一个不错的选择;而对于需要编写大量异步代码的现代应用程序,协程提供了一种更简洁、更直观的解决方案。 总之,C++中的异步编程模型是多核和高并发环境下提高程序性能的重要工具。通过合理使用这些模型,开发者可以构建出更高效、更可靠的软件系统。
正则表达式Regex是一种文本模式.docx
09-14
正则表达式(Regular Expression,简称Regex或Regexp)是一种文本模式,包括普通字符(例如,a 到 z 之间的字母)和特殊字符(称为"元字符")。正则表达式使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。正则表达式是强大的文本处理工具,广泛用于搜索、编辑或操作文本和数据。 基本组成 普通字符:大多数字符,包括所有大写和小写字母、所有数字、所有标点符号和一些其他符号,都是普通字符。正则表达式中的普通字符表示它们自身。例如,正则表达式test会匹配字符串"test"。 特殊字符(元字符):一些字符在正则表达式中具有特殊的意义,如^、$、.、*、+、?、{、}、[、]、|、\等。这些特殊字符用于表示在搜索文本时要匹配的一个或多个字符。例如,.匹配除换行符之外的任何单个字符。 字符类:字符类允许你指定一组字符中的任何一个字符。例如,[abc]匹配"a"、"b"或"c"中的任意一个字符。你也可以使用范围,如[a-z]匹配任何小写字母。 预定义字符类:正则表达式提供了一些预定义字符类,用于匹配常见的字符集合。例如,\d匹配任何数字(等价于[0-9]),\s匹配任
基于struts+sqlserver网络购物系统毕业课程源码设计+论文资料
09-14
编号:150 系统功能: 展示网站最新的商品信息。 展示网站特价的商品信息。 为用户提供修改个人资料和查看在网站操作情况的平台。 提供用户在网站上购物的平台。 展示网站发布的公告信息。 展示商品的销量排行。 展示网站的友情链接信息。 对商品详细信息以及分类信息进行管理。 对用户基本资料、交易制度、消费情况及留言信息进行管理。 对用户提交的订单进行管理。 对管理员信息、网站公告信息、商业资讯信息及友情链接信息进行管理。 系统运行稳定,具有强大的数据处理能力。 操作注意事项 (1)本系统的用户名为:admin,密码为:admin (2)admin管理员的信息不能删除。 (3)用户注册登录后,可进行商品购买、商品信息查看以及订单查询操作。 (4)后台登陆地址:http://localhost:8080/WebShopping/bg-land.jsp。
基于ssm的高校毕业生就业管理系统设计与实现.docx
最新发布
09-14
基于ssm的高校毕业生就业管理系统设计与实现.docx
退工、裁员培训讲义.ppt
09-14
退工、裁员培训讲义.ppt
pytest pytest-html插件配置和使用config_metadata
10-27
下面是pytest-html插件配置和使用config_metadata的方法: 1. 安装pytest-html插件:可以使用pip install pytest-html命令进行安装。 2. 在pytest.ini文件中添加如下配置: [pytest] addopts = --...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值