jetstack/version-checker

does not seem to support kube2iam for ECR access

Open

#66 建立於 2020年12月7日

在 GitHub 查看
 (3 留言) (4 反應) (0 負責人)Go (80 fork)auto 404
enhancementhelp wanted

倉庫指標

Star
 (771 star)
PR 合併指標
 (平均合併 1分鐘) (30 天內合併 2 個 PR)

描述

Hello,

I have a K8S cluster deployed in AWS with kubeadm. Some of my images comes from the ECR of the K8S AWS account and I wanted to use kube2iam annotation on version-checker pod to allow it to check for image tags but it does not seem to work :

version-checker pod :

apiVersion: v1
kind: Pod
metadata:
  annotations:
    enable.version-checker.io/version-checker: "true"
    iam.amazonaws.com/role: ecr-read-profile
[...]

version-checker logs :

time="2020-12-07T14:47:39Z" level=error msg="error syncing 'checkoutservice-78b576896d-9pk6z/microdemo': failed to sync pod checkoutservice-78b576896d-9pk6z/microdemo: failed to check container image \"server\": failed to get tags from remote registry for \"<AWS_ACCOUNT_ID>.dkr.ecr.eu-central-1.amazonaws.com/google-samples/microservices-demo/checkoutservice\": failed to describe images: EmptyStaticCreds: static credentials are empty, requeuing" module=controller

Does the ECR authent only work with static credentials ? Would it be possible to support kube2iam to avoid giving the pod static key and password ? Thanks

貢獻者指南

研究方向
研究 version checker 程式碼庫中的 ECR 認證邏輯,可能在控制器或 ECR 客戶端套件中。該問題報告使用了靜態憑證;研究如何透過 kube2iam 動態承擔 IAM 角色(例如,使用 AWS SDK 的 AssumeRole 或 EC2 元資料)。查找現有的憑證提供者或建立 ECR 客戶端的函式。沒有關聯的 PR;維護者指引缺失。
技術棧
gokubernetesaws
領域
authenticationclouddevops
議題類型
功能
難度面向新貢獻者的預計實作難度,1 表示很小改動,5 表示專家級工作。
3
預計時間有經驗貢獻者完成調查、實作、測試並準備 pull request 的粗略時間範圍。
3-5 天
活動狀態議題目前的可參與程度:新鮮、活躍、陳舊、阻塞或等待維護者輸入。
較久未更新
清晰度議題是否清楚說明預期改動、驗收標準和下一步。
清晰
前置要求
Go programmingKubernetes IAMkube2iam concept
新手友善度1-100 的估計分數,表示該議題對首次貢獻者的友善程度。
50