Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

AWS-Add-Ons

Die folgenden Amazon-EKS-Add-Ons können in Ihrem Cluster erstellt werden. Sie können die aktuellste Liste der verfügbaren Add-ons mit eksctl, der AWS-Managementkonsole oder der AWS-CLI anzeigen. Informationen zu allen verfügbaren Add-Ons oder zur Installation eines Add-Ons finden Sie unter Erstellung eines Amazon-EKS-Add-Ons. Wenn ein Add-On IAM-Berechtigungen erfordert, müssen Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster. Sie können ein Add-On erstellen oder löschen, nachdem Sie es installiert haben. Weitere Informationen finden Sie unter Aktualisierung eines Amazon-EKS-Add-Ons oder Entfernung eines Amazon-EKS-Add-Ons aus einem Cluster. Weitere Informationen zu den spezifischen Überlegungen zur Ausführung von EKS-Add-Ons mit Amazon EKS Hybrid Nodes finden Sie unter Konfiguration von Add-Ons für Hybridknoten.

Sie können jedes der folgenden Amazon-EKS-Add-Ons verwenden.

Amazon-VPC-CNI-Plug-In für Kubernetes

Das Amazon-VPC-CNI-Plugin für das Kubernetes Amazon-EKS-Add-On ist ein Kubernetes Container Network Interface (CNI)-Plugin, das native VPC-Netzwerke für Ihren Cluster bereitstellt. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons ist standardmäßig auf jedem Amazon-EC2-Knoten installiert. Weitere Informationen finden Sie unter Kubernetes Container Network Interface (CNI)-Plugin.

Der Name des Amazon-EKS-Add-Ons lautet vpc-cni.

Erforderliche IAM-Berechtigungen

Dieses Add-on verwendet die IAM-Rollen für die Servicekontofunktion von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten.

Wenn Ihr Cluster die IPv4-Familie verwendet, sind die Berechtigungen in der AmazonEKS_CNI_Policy erforderlich. Wenn Ihr Cluster die IPv6-Familie verwendet, müssen die Berechtigungen einer von Ihnen erstellten IAM-Richtlinie im IPv6-Modus hinzugefügt werden. Sie können eine IAM-Rolle erstellen, ihr eine der Richtlinien anfügen und das vom Add-On verwendete Kubernetes-Servicekonto mit dem folgenden Befehl kommentieren.

Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKSVPCCNIRole durch den Namen für Ihre Rolle. Wenn Ihr Cluster die IPv6-Familie verwendet, ersetzen Sie AmazonEKS_CNI_Policy durch den Namen der Richtlinie, die Sie erstellt haben. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, ihr die Richtlinie zuzuordnen und das Kubernetes-Servicekonto mit Annotationen zu versehen, siehe IAM-Rollen Kubernetes-Servicekonten zuweisen.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

Aktualisieren der Informationen

Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.28.x-eksbuild.y ist und Sie auf 1.30.x-eksbuild.y aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf 1.29.x-eksbuild.y und dann auf 1.30.x-eksbuild.y aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Aktualisieren der Amazon VPC CNI (Amazon-EKS-Add-On).

CoreDNS

CoreDNS-Amazon-EKS-Add-On ist ein flexibler, erweiterbarer DNS-Server, der als Kubernetes-Cluster-DNS dienen kann. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons wurde standardmäßig installiert, als Sie Ihren Cluster erstellt haben. Wenn Sie einen Amazon-EKS-Cluster mit mindestens einem Knoten starten, werden standardmäßig zwei Replikate des CoreDNS-Image bereitgestellt, unabhängig von der Anzahl der in Ihrem Cluster bereitgestellten Knoten. Die CoreDNS-Pods bieten eine Namensauflösung für alle Pods im Cluster. Sie können CoreDNS-Pods in Fargate-Knoten bereitstellen, wenn Ihr Cluster ein Fargate-Profil mit einem Namespace enthält, der mit dem Namespace für die CoreDNS-Bereitstellung übereinstimmt. Weitere Informationen finden Sie unter Festlegung, welche Pods beim Start AWS Fargate verwenden.

Der Name des Amazon-EKS-Add-Ons lautet coredns.

Erforderliche IAM-Berechtigungen

Dieses Add-On erfordert keine Berechtigungen.

Zusätzliche Informationen

Weitere Informationen zu CoreDNS finden Sie unter Verwenden von CoreDNS für die Serviceerkennung und Anpassen des DNS-Services in der Kubernetes-Dokumentation.

Kube-proxy

Das Kube-proxy-Amazon-EKS-Add-On verwaltet Netzwerkregeln auf jedem Amazon-EC2-Knoten. Es ermöglicht die Netzwerkkommunikation zu Ihren Pods. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons wird standardmäßig auf jedem Amazon-EC2-Knoten in Ihrem Cluster installiert.

Der Name des Amazon-EKS-Add-Ons lautet kube-proxy.

Erforderliche IAM-Berechtigungen

Dieses Add-On erfordert keine Berechtigungen.

Aktualisieren der Informationen

Bevor Sie Ihre aktuelle Version aktualisieren, sollten Sie die folgenden Anforderungen berücksichtigen:

Zusätzliche Informationen

Weitere Informationen zu kube-proxy finden Sie unter kube-proxy in der Kubernetes-Dokumentation.

Amazon-EBS-CSI-Treiber

Das Amazon-EKS-Add-On für Amazon-EBS-CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI)-Plugin, das Amazon-EBS-Speicher für Ihren Cluster bereitstellt.

Der Name des Amazon-EKS-Add-Ons lautet aws-ebs-csi-driver.

Erforderliche IAM-Berechtigungen

Dieses Add-On nutzt die IAM-Rollen für Servicekonten-Funktionalität von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in der von AWS verwalteten Richtlinie AmazonEBSCSIDriverPolicy sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_EBS_CSI_DriverRole durch den Namen für Ihre Rolle. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool oder einen benutzerdefinierten KMS-Schlüssel für die Verschlüsselung verwenden müssen, finden Sie weitere Informationen unter Schritt 1: Erstellen einer IAM-Rolle.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

Zusätzliche Informationen

Weitere Informationen zum Add-On finden Sie unter Kubernetes-Volume-Speicher mit Amazon EBS verwenden.

CSI-Treiber von Amazon EFS

Das Amazon-EKS-Add-On für Amazon-EFS-CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI)-Plugin, das Amazon-EFS-Speicher für Ihren Cluster bereitstellt.

Der Name des Amazon-EKS-Add-Ons lautet aws-efs-csi-driver.

Erforderliche IAM-Berechtigungen

Erforderliche IAM-Berechtigungen – Dieses Add-On nutzt die Funktion IAM-Rollen für Servicekonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in der von AWS verwalteten Richtlinie AmazonEFSCSIDriverPolicy sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_EFS_CSI_DriverRole durch den Namen für Ihre Rolle. Diese Befehle erfordern, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, finden Sie Informationen unter Schritt 1: Erstellen einer IAM-Rolle.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Zusätzliche Informationen

Weitere Informationen zum Add-On finden Sie unter Verwendung von elastischem Dateisystemspeicher mit Amazon EFS.

Amazon-FSx-CSI-Treiber

Das Amazon-EKS-Add-On für Amazon-FSx-CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI)-Plugin, das Speicher für Amazon FSx für Lustre für Ihren Cluster bereitstellt.

Der Name des Amazon-EKS-Add-Ons lautet aws-fsx-csi-driver.

Erforderliche IAM-Berechtigungen

Dieses Add-On nutzt die IAM-Rollen für Servicekonten-Funktionalität von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in der von AWS verwalteten Richtlinie AmazonFSxFullAccess sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_FSx_CSI_DriverRole durch den Namen für Ihre Rolle. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben.

eksctl create iamserviceaccount \
    --name fsx-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_FSx_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AmazonFSxFullAccess \
    --approve

Zusätzliche Informationen

Weitere Informationen zum Add-On finden Sie unter Verwendung von leistungsstarkem App-Speicher mit Amazon FSx für Lustre.

CSI-Treiber für Mountpoint für Amazon S3

Das Amazon-EKS-Add-On für CSI-Treiber für Mountpoint für Amazon S3 ist ein Kubernetes Container Storage Interface (CSI)-Plugin, das Amazon-S3-Speicher für Ihren Cluster bereitstellt.

Der Name des Amazon-EKS-Add-Ons lautet aws-mountpoint-s3-csi-driver.

Erforderliche IAM-Berechtigungen

Dieses Add-on verwendet die IAM-Rollen für die Servicekontofunktion von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten.

Für die erstellte IAM-Rolle ist eine Richtlinie erforderlich, die Zugriff auf S3 gewährt. Folgen Sie bei der Erstellung der Richtlinie den Empfehlungen für Mountpoint-IAM-Berechtigungen. Sie können auch die von AWS verwaltete Richtlinie AmazonS3FullAccess verwenden, aber diese verwaltete Richtlinie gewährt mehr Berechtigungen, als für Mountpoint erforderlich sind.

Sie können eine IAM-Rolle erstellen und ihr Ihre Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters, region-code durch den richtigen AWS-Regionscode, AmazonEKS_S3_CSI_DriverRole durch den Namen Ihrer Rolle und AmazonEKS_S3_CSI_DriverRole_ARN durch die Rollen-ARN. Diese Befehle erfordern, dass Sie eksctl auf Ihrem Gerät installiert haben. Weitere Informationen zur Verwendung der IAM-Konsole oder AWS CLI finden Sie unter Schritt 2: Erstellen einer IAM-Rolle.

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

Zusätzliche Informationen

Weitere Informationen zum Add-On finden Sie unter Zugriff auf Amazon-S3-Objekte mit dem CSI-Treiber für Mountpoint für Amazon S3.

CSI-Snapshot-Controller

Der Container Storage Interface (CSI)-Snapshot-Controller ermöglicht die Verwendung der Snapshot-Funktion in kompatiblen CSI-Treibern, wie dem Amazon-EBS-CSI-Treiber.

Der Name des Amazon-EKS-Add-Ons lautet snapshot-controller.

Erforderliche IAM-Berechtigungen

Dieses Add-On erfordert keine Berechtigungen.

Zusätzliche Informationen

Weitere Informationen zum Add-On finden Sie unter Snapshot-Funktion für CSI-Volumes aktivieren.

Aufgaben-Governance für Amazon SageMaker HyperPod

Die Aufgaben-Governance für SageMaker HyperPod ist ein ausfallsicheres Managementsystem, das entwickelt wurde, um die Ressourcenzuweisung zu optimieren und eine effiziente Nutzung der Rechenressourcen über Teams und Projekte hinweg für Ihre Amazon-EKS-Cluster sicherzustellen. Dadurch haben Administratoren die Möglichkeit, Folgendes festzulegen:

Die Aufgaben-Governance für HyperPod bietet außerdem Amazon-EKS-Cluster-Beobachtbarkeit und bietet Echtzeit-Einblicke in die Cluster-Kapazität. Dazu gehört die Verfügbarkeit und Nutzung von Rechenleistung, die Zuweisung und Auslastung von Teams sowie Informationen zu Aufgabenausführung und Wartezeiten, sodass Sie fundierte Entscheidungen treffen und Ressourcen proaktiv verwalten können.

Der Name des Amazon-EKS-Add-Ons lautet amazon-sagemaker-hyperpod-taskgovernance.

Erforderliche IAM-Berechtigungen

Dieses Add-On erfordert keine Berechtigungen.

Zusätzliche Informationen

Weitere Informationen zu diesem Add-On finden Sie unter Aufgaben-Governance von SageMaker HyperPod

Beobachtbarkeits-Add-On für Amazon SageMaker HyperPod

Das Beobachtbarkeits-Add-On für Amazon SageMaker HyperPod bietet umfassende Überwachungs- und Beobachtbarkeitsfunktionen für HyperPod-Cluster. Dieses Add-On stellt automatisch wichtige Überwachungskomponenten bereit und verwaltet diese, darunter Node Exporter, DCGM Exporter, kube-state-metrics und EFA Exporter. Es erfasst Metriken und leitet diese an eine vom Kunden festgelegte Amazon Managed Prometheus (AMP)-Instance weiter. Darüber hinaus stellt es einen OTLP-Endpunkt für benutzerdefinierte Metriken und die Erfassung von Ereignissen aus Kunden-Trainingsaufträgen bereit.

Das Add-On lässt sich in die breitere HyperPod-Umgebung integrieren, indem es Metriken aus verschiedenen Komponenten abruft, darunter das HyperPod-Aufgaben-Governance-Add-On, HyperPod Training Operator, Kubeflow und KEDA. Alle erfassten Metriken werden in Amazon Managed Prometheus zentralisiert, sodass Kunden über Dashboards zu Amazon Managed Grafana eine einheitliche Übersicht erhalten. Dies bietet umfassende Transparenz hinsichtlich Cluster-Zustand, Ressourcenauslastung und Trainingsleistung in der gesamten HyperPod-Umgebung.

Der Name des Amazon-EKS-Add-Ons lautet amazon-sagemaker-hyperpod-observability.

Erforderliche IAM-Berechtigungen

Dieses Add-on verwendet die IAM-Rollen für die Servicekontofunktion von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die folgenden verwalteten Richtlinien sind erforderlich.

Zusätzliche Informationen

Weitere Informationen über das Add-On und seine Funktionen finden Sie unter SageMaker-HyperPod-Beobachtbarkeit.

Trainingsoperator für Amazon SageMaker HyperPod

Der Amazon-SageMaker-HyperPod-Trainingsoperator unterstützt Sie dabei, die Entwicklung generativer KI-Modelle zu beschleunigen, indem er das verteilte Training über große GPU-Cluster hinweg effizient verwaltet. Er bietet intelligente Funktionen zur Fehlerbehebung, Erkennung von hängenden Aufträgen und Verwaltung auf Prozessebene, die Trainingsunterbrechungen minimieren und Kosten senken. Im Gegensatz zu herkömmlichen Trainingsinfrastrukturen, bei denen bei Ausfällen ein vollständiger Neustart der Aufträge erforderlich ist, implementiert dieser Operator eine präzise Prozesswiederherstellung, um einen reibungslosen Ablauf Ihrer Trainingsaufträge zu gewährleisten.

Der Betreiber arbeitet auch mit den Funktionen zur Zustandsüberwachung und Beobachtbarkeit von HyperPod zusammen, die einen Echtzeit-Einblick in die Trainingsausführung und die automatische Überwachung kritischer Metriken wie Verlustspitzen und Durchsatzverschlechterungen bieten. Sie können Wiederherstellungsrichtlinien durch einfache YAML-Konfigurationen ohne Codeänderungen definieren, sodass Sie schnell auf nicht wiederherstellbare Trainingszustände reagieren und diese beheben können. Diese Überwachungs- und Wiederherstellungsfunktionen sorgen gemeinsam für eine optimale Trainingsleistung bei minimalem Betriebsaufwand.

Der Name des Amazon-EKS-Add-Ons lautet amazon-sagemaker-hyperpod-training-operator.

Weitere Informationen finden Sie unter Verwendung des HyperPod-Trainingsoperators im Amazon-SageMaker-Entwicklerhandbuch.

Erforderliche IAM-Berechtigungen

Dieses Add-On erfordert IAM-Berechtigungen und verwendet EKS Pod Identity.

AWS empfiehlt die von AmazonSageMakerHyperPodTrainingOperatorAccess verwaltete Richtlinie.

Weitere Informationen finden Sie unter Installation des HyperPod-Trainingsoperators im Amazon-SageMaker-Entwicklerhandbuch.

Zusätzliche Informationen

Weitere Informationen zu diesem Add-On finden Sie unter SageMaker-HyperPod-Trainingsoperator.

AWS-Netzwerkablauf-Überwachungsagent

Der Amazon-CloudWatch-Netzwerkablauf-Überwachungsagent ist eine Kubernetes-Anwendung, die TCP-Verbindungsstatistiken von allen Knoten in einem Cluster erfasst und Netzwerkablaufberichte an die Eingabe-APIs von Amazon CloudWatch Network Flow Monitor übermittelt.

Der Name des Amazon-EKS-Add-Ons lautet aws-network-flow-monitoring-agent.

Erforderliche IAM-Berechtigungen

Für dieses Add-On sind IAM -Berechtigungen erforderlich.

Sie müssen die von CloudWatchNetworkFlowMonitorAgentPublishPolicy verwaltete Richtlinie an das AddO-n anfügen.

Weitere Informationen zur erforderlichen IAM-Einrichtung finden Sie in der IAM-Richtlinie im GitHub-Repository des Agenten zur Netzwerkablaufüberwachung von Amazon CloudWatch.

Weitere Informationen zur verwalteten Richtlinie finden Sie unter CloudWatchNetworkFlowMonitorAgentPublishPolicy im Amazon-CloudWatch-Benutzerhandbuch.

Zusätzliche Informationen

Weitere Informationen zu diesem Add-On finden Sie im GitHub-Repository von Agent zur Netzwerkablaufüberwachung für Amazon CloudWatch Network.

Knotenüberwachungsagent

Das Amazon-EKS-Add-On für den Knoten-Überwachungsagent kann zusätzliche Probleme mit der Knotenintegrität erkennen. Diese zusätzlichen Zustandssignale können auch vom optionalen automatischen Knotenreparaturfeature genutzt werden, um Knoten bei Bedarf automatisch zu ersetzen.

Der Name des Amazon-EKS-Add-Ons lautet eks-node-monitoring-agent.

Erforderliche IAM-Berechtigungen

Dieses Add-On erfordert keine zusätzlichen Berechtigungen.

Zusätzliche Informationen

Weitere Informationen finden Sie unter Aktivieren der automatischen Knoten-Reparatur und untersuchen von Problemen mit dem Zustand des Knotens .

AWS Distro for OpenTelemetry

Amazon-EKS-Add-On für AWS Distro for OpenTelemetry ist eine sichere, produktionsbereite, von AWS unterstützte Verteilung des OpenTelemetry-Projekts. Weitere Informationen finden Sie unter AWS Distro for OpenTelemetry auf GitHub.

Der Name des Amazon-EKS-Add-Ons lautet adot.

Erforderliche IAM-Berechtigungen

Für dieses Add-On sind nur dann IAM-Berechtigungen erforderlich, wenn Sie eine der vorkonfigurierten benutzerdefinierten Ressourcen verwenden, die über die erweiterte Konfiguration aktiviert werden können.

Zusätzliche Informationen

Weitere Informationen finden Sie unter Erste Schritte mit AWS Distro für OpenTelemetry unter Verwendung von EKS-Add-Ons in der Dokumentation zu AWS Distro for OpenTelemetry.

ADOT erfordert als Voraussetzung, dass das cert-manager-Add-On auf dem Cluster bereitgestellt wird. Andernfalls funktioniert dieses Add-On nicht, wenn es direkt über die cluster_addons-Eigenschaft https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest bereitgestellt wird. Weitere Anforderungen finden Sie in der Dokumentation unter Anforderungen für die ersten Schritte mit AWS Distro for OpenTelemetry unter Verwendung von EKS-Add-Ons in der Dokumentation zu AWS Distro für OpenTelemetry.

Amazon-GuardDuty-Agent

Das Amazon-EKS-Add-On für Amazon-GuardDuty-Agent erfasst Laufzeitereignisse (Dateizugriff, Prozessausführung, Netzwerkverbindungen) von Ihren EKS-Clusterknoten zur Analyse durch GuardDuty-Laufzeitüberwachung. GuardDuty selbst (nicht der Agent) ist der Service zur Sicherheitsüberwachung, der grundlegende Datenquellen wie AWS CloudTrail-Verwaltungsereignisse und Amazon-VPC-Ablaufprotokolle sowie Features wie Kubernetes-Auditprotokolle und Laufzeitüberwachung analysiert und bearbeitet.

Der Name des Amazon-EKS-Add-Ons lautet aws-guardduty-agent.

Erforderliche IAM-Berechtigungen

Dieses Add-On erfordert keine Berechtigungen.

Zusätzliche Informationen

Weitere Informationen finden Sie unter Laufzeitüberwachung für Amazon-EKS-Cluster in Amazon GuardDuty.

Amazon CloudWatch Observability Agent

Das Amazon-EKS-Add-On für Amazon-CloudWatch-Beobachtbarkeits-Agent ist der Service für Überwachung und Beobachtbarkeit, der von AWS bereitgestellt wird. Dieses Add-on installiert den CloudWatch Agent und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Beobachtbarkeit für Amazon EKS. Weitere Informationen finden Sie unter Amazon CloudWatch Agent.

Der Name des Amazon-EKS-Add-Ons lautet amazon-cloudwatch-observability.

Erforderliche IAM-Berechtigungen

Dieses Add-on verwendet die IAM-Rollen für die Servicekontofunktion von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in den von AWS verwalteten Richtlinien AWSXrayWriteOnlyAccess und CloudWatchAgentServerPolicy sind erforderlich. Sie können eine IAM-Rolle erstellen, ihr die verwalteten Richtlinien anfügen und das vom Add-On verwendete Kubernetes-Servicekonto mit dem folgenden Befehl annotieren. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_Observability_role durch den Namen für Ihre Rolle. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, ihr die Richtlinie zuzuordnen und das Kubernetes-Servicekonto mit Annotationen zu versehen, siehe IAM-Rollen Kubernetes-Servicekonten zuweisen.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

Zusätzliche Informationen

Weitere Informationen finden Sie unter Installieren des CloudWatch-Agenten.

AWS Private CA Connector for Kubernetes

Das Amazon-EKS-Add-On für AWS Private CA Connector für Kubernetes ist ein Add-On für Cert-Manager, mit dem Benutzer Zertifikate von einer privaten AWS-Zertifizierungsstelle (AWS Private CA) erhalten können.

Dieses Add-On erfordert cert-manager. cert-manager ist in Amazon EKS als Community-Add-On verfügbar. Weitere Informationen zu diesem Add-On finden Sie unter Cert Manager. Weitere Informationen zur Installation von Add-Ons finden Sie unter Erstellung eines Amazon-EKS-Add-Ons.

Erforderliche IAM-Berechtigungen

Für dieses Add-On sind IAM-Berechtigungen erforderlich.

Verwenden Sie EKS Pod Identities, um die AWSPrivateCAConnectorForKubernetesPolicy-IAM-Richtlinie an das aws-privateca-issuer-Kubernetes-Servicekonto anzufügen. Weitere Informationen finden Sie unter Verwendung von Pod Identities zum Zuweisen einer IAM-Rolle zu einem Amazon-EKS-Add-On.

Informationen zu den erforderlichen Berechtigungen finden Sie unter AWSPrivateCAConnectorForKubernetesPolicy in der Referenz zu von AWS verwalteten Richtlinien.

Zusätzliche Informationen

Weitere Informationen finden Sie im GitHub-Repository Private AWS-CA-Aussteller für Kubernetes.

Weitere Informationen zur Konfiguration des Add-Ons finden Sie in der Datei values.yaml im aws-privateca-issuer-GitHub-Repository. Bestätigen Sie, dass die Version von values.yaml mit der Version des in Ihrem Cluster installierten Add-Ons übereinstimmt.

Dieses Add-On unterstützt den vom system NodePool von EKS Auto Mode verwendeten CriticalAddonsOnly Taint. Weitere Informationen finden Sie unter Kritische Add-Ons in dedizierten Instances ausführen.

EKS Pod Identity Agent

Amazon-EKS-Add-On für EKS Pod Identity Agent bietet die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie Amazon-EC2-Instance-Profile Anmeldeinformationen für Amazon-EC2-Instances bereitstellen.

Der Name des Amazon-EKS-Add-Ons lautet eks-pod-identity-agent.

Erforderliche IAM-Berechtigungen

Das Pod-Identity-Agent-Add-On selbst erfordert keine IAM-Rolle. Es nutzt Berechtigungen der IAM-Rolle des Amazon-EKS-Knotens, benötigt jedoch keine dedizierte IAM-Rolle für das Add-On.

Aktualisieren der Informationen

Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.28.x-eksbuild.y ist und Sie auf 1.30.x-eksbuild.y aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf 1.29.x-eksbuild.y und dann auf 1.30.x-eksbuild.y aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Aktualisierung eines Amazon-EKS-Add-Ons.

SR-IOV-Netzwerkmetrik-Exportprogramm

Das Amazon-EKS-Add-On für das SR-IOV-Netzwerkmetrik-Exportprogramm erfasst und stellt Metriken zu SR-IOV-Netzwerkgeräten im Prometheus-Format bereit. Es ermöglicht die Überwachung der SR-IOV-Netzwerkleistung in EKS-Bare-Metal-Knoten. Das Exportprogramm wird als DaemonSet auf Knoten mit SR-IOV-fähigen Netzwerkschnittstellen ausgeführt und exportiert Metriken, die von Prometheus erfasst werden können.