jetstack/version-checker

does not seem to support kube2iam for ECR access

Open

#66 aberto em 7 de dez. de 2020

Ver no GitHub
 (3 comments) (4 reactions) (0 assignees)Go (80 forks)auto 404
enhancementhelp wanted

Métricas do repositório

Stars
 (771 stars)
Métricas de merge de PR
 (Mesclagem média 1m) (2 fundiu PRs em 30d)

Description

Hello,

I have a K8S cluster deployed in AWS with kubeadm. Some of my images comes from the ECR of the K8S AWS account and I wanted to use kube2iam annotation on version-checker pod to allow it to check for image tags but it does not seem to work :

version-checker pod :

apiVersion: v1
kind: Pod
metadata:
  annotations:
    enable.version-checker.io/version-checker: "true"
    iam.amazonaws.com/role: ecr-read-profile
[...]

version-checker logs :

time="2020-12-07T14:47:39Z" level=error msg="error syncing 'checkoutservice-78b576896d-9pk6z/microdemo': failed to sync pod checkoutservice-78b576896d-9pk6z/microdemo: failed to check container image \"server\": failed to get tags from remote registry for \"<AWS_ACCOUNT_ID>.dkr.ecr.eu-central-1.amazonaws.com/google-samples/microservices-demo/checkoutservice\": failed to describe images: EmptyStaticCreds: static credentials are empty, requeuing" module=controller

Does the ECR authent only work with static credentials ? Would it be possible to support kube2iam to avoid giving the pod static key and password ? Thanks

Guia do colaborador

Direção de pesquisa
Investigue a lógica de autenticação ECR na base de código do version checker, provavelmente nos pacotes do controlador ou do cliente ECR. O problema relata que credenciais estáticas são usadas; pesquise como assumir dinamicamente uma função IAM via kube2iam (por exemplo, usando AssumeRole do AWS SDK ou metadados do EC2). Procure provedores de credenciais existentes ou a função que cria o cliente ECR. Nenhum PR vinculado; orientação do mantenedor ausente.
Pilha de tecnologia
gokubernetesaws
Domain
authenticationclouddevops
Tipo Issue
Funcionalidade
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
3
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
3-5 dias
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
Antigo
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
Claro
Prerequisites
Go programmingKubernetes IAMkube2iam concept
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
50