jetstack/version-checker

does not seem to support kube2iam for ECR access

Open

#66 ouverte le 7 déc. 2020

Voir sur GitHub
 (3 commentaires) (4 réactions) (0 assignés)Go (80 forks)auto 404
enhancementhelp wanted

Métriques du dépôt

Stars
 (771 stars)
Métriques de merge PR
 (Merge moyen 1m) (2 PRs mergées en 30 j)

Description

Hello,

I have a K8S cluster deployed in AWS with kubeadm. Some of my images comes from the ECR of the K8S AWS account and I wanted to use kube2iam annotation on version-checker pod to allow it to check for image tags but it does not seem to work :

version-checker pod :

apiVersion: v1
kind: Pod
metadata:
  annotations:
    enable.version-checker.io/version-checker: "true"
    iam.amazonaws.com/role: ecr-read-profile
[...]

version-checker logs :

time="2020-12-07T14:47:39Z" level=error msg="error syncing 'checkoutservice-78b576896d-9pk6z/microdemo': failed to sync pod checkoutservice-78b576896d-9pk6z/microdemo: failed to check container image \"server\": failed to get tags from remote registry for \"<AWS_ACCOUNT_ID>.dkr.ecr.eu-central-1.amazonaws.com/google-samples/microservices-demo/checkoutservice\": failed to describe images: EmptyStaticCreds: static credentials are empty, requeuing" module=controller

Does the ECR authent only work with static credentials ? Would it be possible to support kube2iam to avoid giving the pod static key and password ? Thanks

Guide contributeur

Direction de recherche
Étudiez la logique d'authentification ECR dans la base de code de version checker, probablement dans les packages du contrôleur ou du client ECR. Le problème signale que des informations d'identification statiques sont utilisées ; recherchez comment assumer dynamiquement un rôle IAM via kube2iam (par exemple, en utilisant AssumeRole du SDK AWS ou les métadonnées EC2). Cherchez les fournisseurs d'informations d'identification existants ou la fonction qui crée le client ECR. Aucune PR liée ; les directives du mainteneur sont absentes.
Stack technique
gokubernetesaws
Domaine
authenticationclouddevops
Type d'issue
Fonctionnalité
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
3
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
3-5 jours
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
Ancienne
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
Claire
Prérequis
Go programmingKubernetes IAMkube2iam concept
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
50