是否有一种直接的方法可以从 Docker 容器中访问 AWS 实例元数据?
例如,当尝试在 EC2 实例上获取 IAM 角色的凭证时,这将在实例本身上起作用:
http://169.254.169.254/latest/meta-data/iam/security-credentials/my_role
...但不是来自在该 EC2 实例上运行的 Docker 容器内。
【问题讨论】:
标签: amazon-web-services amazon-ec2 docker
正如@Ben Whaley 在 cmets 中提到的, 以下命令对我有用,在https://docs.aws.amazon.com/AmazonECS/latest/developerguide/windows_task_IAM_roles.html中提到
$gateway = (Get-NetRoute | Where { $_.DestinationPrefix -eq '0.0.0.0/0' } | Sort-Object RouteMetric | Select NextHop).NextHop
$ifIndex = (Get-NetAdapter -InterfaceDescription "Hyper-V Virtual Ethernet*" | Sort-Object | Select ifIndex).ifIndex
New-NetRoute -DestinationPrefix 169.254.169.254/32 -InterfaceIndex $ifIndex -NextHop $gateway
【讨论】:
在容器和主机中执行此操作应该没有区别。容器可以直接访问 EC2 元数据。
root@f1e5964e87e4:/# curl http://169.254.169.254/latest/meta-data/iam/security-credentials/myrole
{
"Code" : "Success",
"LastUpdated" : "2014-03-14T17:07:24Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "mykey",
"SecretAccessKey" : "mysecret",
"Token" : "mytoken",
"Expiration" : "2014-03-14T23:09:39Z"
}
当您在容器中尝试该命令时,您会看到什么?已分配 IAM 角色?
【讨论】:
--net=host 来启用对元数据服务的访问。
aws ec2 modify-instance-metadata-options --instance-id <instanceId> --http-put-response-hop-limit 3 --http-endpoint enableddocs.aws.amazon.com/AWSEC2/latest/UserGuide/…