在AWS EKS Blueprints中使用Karpenter部署跨账户CMK加密的节点组
背景介绍
在使用AWS EKS Blueprints项目部署Kubernetes集群时,Karpenter作为自动扩缩容组件能够高效地管理节点组。但在实际生产环境中,我们经常遇到需要使用跨账户的CMK(客户管理密钥)来加密节点组EBS卷的需求。本文将详细介绍如何解决Karpenter在跨账户CMK场景下的节点部署问题。
问题现象
当尝试使用Karpenter部署节点组时,如果节点AMI的EBS卷使用了另一个AWS账户中的CMK进行加密,节点会立即被终止,并出现"[Client.InvalidKMSKey.InvalidState]"错误。这表明Karpenter或节点角色没有足够的权限访问外部账户的CMK。
解决方案
IAM权限配置
首先需要确保Karpenter控制器和节点角色具有正确的KMS权限。以下是关键权限配置:
-
Karpenter控制器角色需要添加以下KMS权限:
- kms:Encrypt
- kms:Decrypt
- kms:ReEncrypt*
- kms:GenerateDataKey*
- kms:DescribeKey
- kms:CreateGrant
-
节点角色也需要类似的KMS权限,特别是当节点需要访问加密的EBS卷时。
创建KMS Grant
仅配置IAM权限是不够的,还需要在CMK所在的账户中创建Grant(授权)。这是跨账户使用CMK的关键步骤:
aws kms create-grant \
--region us-west-2 \
--key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling \
--operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
权限策略示例
以下是一个完整的IAM策略示例,包含了Karpenter控制器所需的所有权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
}
]
}
实施注意事项
-
权限边界:确保Grant只授予必要的操作权限,遵循最小权限原则。
-
审计跟踪:在CloudTrail中监控KMS Grant的创建和使用情况,确保安全合规。
-
自动化部署:建议将KMS Grant创建过程自动化,作为基础设施部署的一部分。
-
多区域考虑:如果您的部署跨多个AWS区域,需要为每个区域的CMK单独创建Grant。
-
角色传递:确保节点角色能够正确传递到EC2实例,这是KMS解密操作能够成功的关键。
常见问题排查
-
节点立即终止:检查CloudTrail日志,确认是否有权限拒绝的错误。
-
Grant不生效:确认Grant创建时指定的角色ARN是否正确,特别是跨账户场景。
-
权限不足:即使有Grant,节点角色仍需要基本的KMS权限才能发起解密请求。
最佳实践
-
集中管理CMK:在企业环境中,建议使用专门的账户管理CMK,其他业务账户通过跨账户访问使用。
-
定期轮换:按照安全要求定期轮换CMK,并更新相关Grant。
-
标签管理:为KMS资源和Grant添加适当的标签,便于管理和成本分配。
-
备份策略:确保加密的EBS卷有适当的备份策略,特别是跨账户场景。
通过以上配置和最佳实践,您可以在AWS EKS Blueprints项目中成功使用Karpenter部署跨账户CMK加密的节点组,既满足了安全合规要求,又保持了基础设施的弹性和自动化能力。
GLM-5智谱 AI 正式发布 GLM-5,旨在应对复杂系统工程和长时域智能体任务。Jinja00
GLM-5-w4a8GLM-5-w4a8基于混合专家架构,专为复杂系统工程与长周期智能体任务设计。支持单/多节点部署,适配Atlas 800T A3,采用w4a8量化技术,结合vLLM推理优化,高效平衡性能与精度,助力智能应用开发Jinja00
请把这个活动推给顶尖程序员😎本次活动专为懂行的顶尖程序员量身打造,聚焦AtomGit首发开源模型的实际应用与深度测评,拒绝大众化浅层体验,邀请具备扎实技术功底、开源经验或模型测评能力的顶尖开发者,深度参与模型体验、性能测评,通过发布技术帖子、提交测评报告、上传实践项目成果等形式,挖掘模型核心价值,共建AtomGit开源模型生态,彰显顶尖程序员的技术洞察力与实践能力。00
Kimi-K2.5Kimi K2.5 是一款开源的原生多模态智能体模型,它在 Kimi-K2-Base 的基础上,通过对约 15 万亿混合视觉和文本 tokens 进行持续预训练构建而成。该模型将视觉与语言理解、高级智能体能力、即时模式与思考模式,以及对话式与智能体范式无缝融合。Python00
MiniMax-M2.5MiniMax-M2.5开源模型,经数十万复杂环境强化训练,在代码生成、工具调用、办公自动化等经济价值任务中表现卓越。SWE-Bench Verified得分80.2%,Multi-SWE-Bench达51.3%,BrowseComp获76.3%。推理速度比M2.1快37%,与Claude Opus 4.6相当,每小时仅需0.3-1美元,成本仅为同类模型1/10-1/20,为智能应用开发提供高效经济选择。【此简介由AI生成】Python00
Qwen3.5Qwen3.5 昇腾 vLLM 部署教程。Qwen3.5 是 Qwen 系列最新的旗舰多模态模型,采用 MoE(混合专家)架构,在保持强大模型能力的同时显著降低了推理成本。00- RRing-2.5-1TRing-2.5-1T:全球首个基于混合线性注意力架构的开源万亿参数思考模型。Python00
项目优选
kernel
docs
leetcode
nop-entropy
flutter_flutter
RuoYi-Vue3
gitea
kernel
pytorch
rainbond