Hilf mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Add-Ons
Die folgenden Amazon-EKS-Add-Ons können in Ihrem Cluster erstellt werden. Sie können die aktuelle Liste der verfügbaren Add-Ons mithilfe eksctl
der AWS Management Console oder der AWS CLI anzeigen. Informationen zu allen verfügbaren Add-Ons oder zur Installation eines Add-Ons finden Sie unter Ein Amazon EKS-Add-on erstellen. Wenn für ein Add-on IAM-Berechtigungen erforderlich sind, benötigen Sie einen IAM OpenID Connect (OIDC) -Anbieter für Ihren Cluster. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster. Sie können ein Add-on erstellen oder löschen, nachdem Sie es installiert haben. Weitere Informationen finden Sie unter Ein Amazon EKS-Add-on aktualisieren oder Ein Amazon EKS-Add-on aus einem Cluster entfernen. Weitere Informationen zu Überlegungen, die speziell für die Ausführung von EKS-Add-Ons mit Amazon EKS-Hybridknoten gelten, finden Sie unterAdd-Ons für Hybridknoten konfigurieren.
Sie können jedes der folgenden Amazon EKS-Add-Ons verwenden.
Beschreibung | Weitere Informationen | Kompatible Compute-Typen |
---|---|---|
Stellen Sie native VPC-Netzwerke für Ihren Cluster bereit |
EC2 |
|
Ein flexibler, erweiterbarer DNS-Server, der als Kubernetes-Cluster-DNS dienen kann |
EC2, Fargate, EKS-Automatikmodus, EKS-Hybridknoten |
|
Pflegen Sie die Netzwerkregeln auf jedem EC2 Amazon-Knoten |
EC2, EKS-Hybridknoten |
|
Stellen Sie Amazon EBS-Speicher für Ihren Cluster bereit |
EC2 |
|
Stellen Sie Amazon EFS-Speicher für Ihren Cluster bereit |
EC2, Automatischer EKS-Modus |
|
Stellen Sie Amazon FSx for Lustre-Speicher für Ihren Cluster bereit |
EC2, EKS-Automatikmodus |
|
Stellen Sie Amazon S3 S3-Speicher für Ihren Cluster bereit |
EC2, EKS-Automatikmodus |
|
Erkennen Sie weitere Probleme mit dem Zustand des Knotens |
EC2, EKS-Hybridknoten |
|
Aktivieren Sie die Verwendung der Snapshot-Funktionalität in kompatiblen CSI-Treibern, z. B. dem Amazon EBS CSI-Treiber |
EC2, Fargate, EKS-Automatikmodus, EKS-Hybridknoten |
|
SageMaker HyperPod Task Governance optimiert die Zuweisung und Nutzung von Rechenressourcen durch Teams in Amazon EKS-Clustern und behebt so Ineffizienzen bei der Priorisierung von Aufgaben und der gemeinsamen Nutzung von Ressourcen. |
EC2, Automatischer EKS-Modus, |
|
Ein Kubernetes-Agent, der Netzwerkflussdaten sammelt und an Amazon CloudWatch meldet und so eine umfassende Überwachung von TCP-Verbindungen zwischen Clusterknoten ermöglicht. |
EC2, EKS-Automatikmodus |
|
Sicherer, produktionsreifer, AWS unterstützter Vertrieb des Projekts OpenTelemetry |
EC2, Fargate, EKS-Automatikmodus, EKS-Hybridknoten |
|
Sicherheitsüberwachungsservice, der grundlegende Datenquellen analysiert und verarbeitet, darunter AWS CloudTrail Verwaltungsereignisse und Amazon VPC-Flow-Logs. Amazon verarbeitet GuardDuty auch Funktionen wie Kubernetes-Audit-Logs und Laufzeitüberwachung |
EC2, EKS-Automatikmodus |
|
Überwachungs- und Beobachtbarkeitsservice von AWS. Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für Amazon EKS |
EC2, EKS-Automatikmodus, EKS-Hybridknoten |
|
Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Instanzprofile Anmeldeinformationen für EC2 Instanzen bereitstellen |
EC2, EKS-Hybridknoten |
|
Aktivieren Sie den Cert-Manager, um X.509-Zertifikate von AWS einer privaten CA auszustellen. Erfordert den Cert-Manager. |
EC2, Fargate, EKS-Automatikmodus, EKS-Hybridknoten |
Amazon-VPC-CNI-Plug-In für Kubernetes
Das Amazon VPC CNI-Plug-In für Kubernetes Amazon EKS ist ein Kubernetes Container Network Interface (CNI) -Plugin, das native VPC-Netzwerke für Ihren Cluster bereitstellt. Der selbstverwaltete oder verwaltete Typ dieses Add-ons ist standardmäßig auf jedem EC2 Amazon-Knoten installiert. Weitere Informationen finden Sie unter Kubernetes Container Network Interface (CNI
Anmerkung
Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.
Der Name des Amazon EKS-Add-ons lautetvpc-cni
.
Erforderliche IAM-Berechtigungen
Dieses Add-on verwendet die Funktion IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten.
Wenn Ihr Cluster die IPv4
-Familie verwendet, sind die Berechtigungen in der AmazonEKS_CNI_Policy erforderlich. Wenn Ihr Cluster die IPv6
Familie verwendet, müssen Sie eine IAM-Richtlinie mit den Berechtigungen im IPv6 Modus erstellen.
Ersetzen Sie my-cluster
durch den Namen Ihres Clusters und AmazonEKSVPCCNIRole
durch den Namen Ihrer Rolle. Wenn der Cluster die IPv6
-Familie verwendet, ersetzen Sie AmazonEKS_CNI_Policy
durch den Namen der Richtlinie, die Sie erstellt haben. Dieser Befehl setzt voraus, dass Sie eksctl auf Ihrem Gerät installiert
eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \ --role-only --attach-policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy --approve
Informationen aktualisieren
Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.28.
ist und Sie auf x
-eksbuild.y
1.30.
aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf x
-eksbuild.y
1.29.
und dann auf x
-eksbuild.y
1.30.
aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Aktualisieren Sie das Amazon VPC CNI (Amazon EKS-Add-on).x
-eksbuild.y
CoreDNS
Das CoreDNS Amazon EKS Add-on ist ein flexibler, erweiterbarer DNS-Server, der als Kubernetes-Cluster-DNS dienen kann. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons wurde standardmäßig installiert, als Sie Ihren Cluster erstellt haben. Wenn Sie einen Amazon-EKS-Cluster mit mindestens einem Knoten starten, werden standardmäßig zwei Replikate des CoreDNS-Image bereitgestellt, unabhängig von der Anzahl der in Ihrem Cluster bereitgestellten Knoten. Die CoreDNS-Pods bieten eine Namensauflösung für alle Pods im Cluster. Sie können die CoreDNS-Pods auf Fargate-Knoten bereitstellen, wenn Ihr Cluster ein Fargate-Profil mit einem Namespace enthält, der dem Namespace für die CoreDNS-Bereitstellung entspricht. Weitere Informationen finden Sie unter Definieren Sie, welche Pods AWS Fargate beim Start verwenden.
Anmerkung
Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.
Der Name des Amazon EKS-Add-ons lautetcoredns
.
Erforderliche IAM-Berechtigungen
Für dieses Add-on sind keine Berechtigungen erforderlich.
Zusätzliche Informationen
Weitere Informationen zu CoreDNS finden Sie in der Kubernetes-Dokumentation unter CoreDNS for Service Discovery
Kube-proxy
Das Kube-proxy
Amazon EKS-Add-on verwaltet die Netzwerkregeln auf jedem EC2 Amazon-Knoten. Es ermöglicht die Netzwerkkommunikation mit Ihren Pods. Der selbstverwaltete oder verwaltete Typ dieses Add-ons ist standardmäßig auf jedem EC2 Amazon-Knoten in Ihrem Cluster installiert.
Anmerkung
Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.
Der Name des Amazon EKS-Add-ons lautetkube-proxy
.
Erforderliche IAM-Berechtigungen
Für dieses Add-on sind keine Berechtigungen erforderlich.
Informationen aktualisieren
Bevor Sie Ihre aktuelle Version aktualisieren, sollten Sie die folgenden Anforderungen berücksichtigen:
-
Kube-proxy
hat auf einem Amazon EKS-Cluster dieselbe Kompatibilitäts- und Schrägstellungsrichtlinie wie Kubernetes.
Zusätzliche Informationen
Weitere Informationen kube-proxy
finden Sie unter kube-proxy in der Kubernetes-Dokumentation
Amazon-EBS-CSI-Treiber
Das Amazon EBS CSI-Treiber Amazon EKS-Add-on ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon EBS-Speicher für Ihren Cluster bereitstellt.
Anmerkung
Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Der automatische Modus beinhaltet eine Blockspeicherfunktion. Weitere Informationen finden Sie unter Bereitstellen eines statusbehafteten Beispiel-Workloads im automatischen Modus von EKS.
Der Name des Amazon EKS-Add-ons lautetaws-ebs-csi-driver
.
Erforderliche IAM-Berechtigungen
Dieses Add-on nutzt die IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in der von Amazon EBSCSIDriver Policy AWS verwalteten Richtlinie sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster
durch den Namen Ihres Clusters und AmazonEKS_EBS_CSI_DriverRole
durch den Namen Ihrer Rolle. Dieser Befehl setzt voraus, dass Sie eksctl
eksctl create iamserviceaccount \ --name ebs-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \ --approve
Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie unter. Verwenden Sie Kubernetes-Volumenspeicher mit Amazon EBS
Amazon EFS-CSI-Treiber
Das Amazon EKS-Add-on für den Amazon EFS-CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon EFS-Speicher für Ihren Cluster bereitstellt.
Der Name des Amazon EKS-Add-ons lautetaws-efs-csi-driver
.
Erforderliche IAM-Berechtigungen
Erforderliche IAM-Berechtigungen — Dieses Add-on nutzt die IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in der von Amazon EFSCSIDriver Policy AWS verwalteten Richtlinie sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster
durch den Namen Ihres Clusters und AmazonEKS_EFS_CSI_DriverRole
durch den Namen Ihrer Rolle. Diese Befehle setzen voraus, dass Sie eksctl
export cluster_name=my-cluster export role_name=AmazonEKS_EFS_CSI_DriverRole eksctl create iamserviceaccount \ --name efs-csi-controller-sa \ --namespace kube-system \ --cluster $cluster_name \ --role-name $role_name \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \ --approve TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \ sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/') aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie unter. Verwenden Sie elastischen Dateisystemspeicher mit Amazon EFS
Amazon FSx CSI-Treiber
Das Amazon EKS-Add-on für Amazon FSx CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon FSx for Lustre-Speicher für Ihren Cluster bereitstellt.
Der Name des Amazon EKS-Add-ons lautetaws-fsx-csi-driver
.
Anmerkung
-
Bereits vorhandene Amazon FSx CSI-Treiberinstallationen im Cluster können zu Fehlern bei der Installation von Add-Ons führen. Wenn Sie versuchen, die Amazon EKS-Add-On-Version zu installieren, während ein FSx Nicht-EKS-CSI-Treiber vorhanden ist, schlägt die Installation aufgrund von Ressourcenkonflikten fehl. Verwenden Sie die
OVERWRITE
Markierung während der Installation, um dieses Problem zu beheben:aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE
-
Das Amazon FSx CSI Driver EKS-Add-On benötigt den EKS Pod Identity-Agenten für die Authentifizierung. Ohne diese Komponente schlägt das Add-on mit dem Fehler fehl
Amazon EKS Pod Identity agent is not installed in the cluster
und verhindert Volume-Operationen. Installieren Sie den Pod Identity-Agenten vor oder nach der Bereitstellung des FSx CSI-Treiber-Add-ons. Weitere Informationen finden Sie unter Richten Sie den Amazon EKS Pod Identity Agent ein.
Erforderliche IAM-Berechtigungen
Dieses Add-on nutzt die IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in der von Amazon FSx FullAccess AWS verwalteten Richtlinie sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster
durch den Namen Ihres Clusters und AmazonEKS_FSx_CSI_DriverRole
durch den Namen Ihrer Rolle. Dieser Befehl setzt voraus, dass Sie eksctl
eksctl create iamserviceaccount \ --name fsx-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_FSx_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/AmazonFSxFullAccess \ --approve
Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie unter. Verwenden Sie leistungsstarken App-Speicher mit Amazon FSx for Lustre
Mountpoint für Amazon S3 CSI-Treiber
Das Amazon EKS-Add-on Mountpoint for Amazon S3 CSI Driver ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon S3 S3-Speicher für Ihren Cluster bereitstellt.
Der Name des Amazon EKS-Add-ons lautetaws-mountpoint-s3-csi-driver
.
Erforderliche IAM-Berechtigungen
Dieses Add-on verwendet die Funktion IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten.
Für die erstellte IAM-Rolle ist eine Richtlinie erforderlich, die Zugriff auf S3 gewährt. Folgen Sie bei der Erstellung der Richtlinie den Empfehlungen für Mountpoint IAM-Berechtigungen
Sie können eine IAM-Rolle erstellen und ihr Ihre Richtlinie mit dem folgenden Befehl anfügen. my-cluster
Ersetzen Sie es durch den Namen Ihres Clusters, region-code
durch den richtigen AWS Regionalcode, AmazonEKS_S3_CSI_DriverRole
durch den Namen für Ihre Rolle und AmazonEKS_S3_CSI_DriverRole_ARN
durch den Rollen-ARN. Diese Befehle setzen voraus, dass Sie eksctl
CLUSTER_NAME=my-cluster REGION=region-code ROLE_NAME=AmazonEKS_S3_CSI_DriverRole POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN eksctl create iamserviceaccount \ --name s3-csi-driver-sa \ --namespace kube-system \ --cluster $CLUSTER_NAME \ --attach-policy-arn $POLICY_ARN \ --approve \ --role-name $ROLE_NAME \ --region $REGION \ --role-only
Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie unterGreifen Sie mit dem Mountpoint for Amazon S3 CSI-Treiber auf Amazon S3-Objekte zu.
CSI-Snapshot-Controller
Der Container Storage Interface (CSI) -Snapshot-Controller ermöglicht die Verwendung der Snapshot-Funktionalität in kompatiblen CSI-Treibern, wie dem Amazon EBS CSI-Treiber.
Der Name des Amazon EKS-Add-ons lautetsnapshot-controller
.
Erforderliche IAM-Berechtigungen
Für dieses Add-on sind keine Berechtigungen erforderlich.
Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie unterSnapshot-Funktionalität für CSI-Volumes aktivieren.
SageMaker HyperPod Amazon-Aufgabenverwaltung
SageMaker HyperPod Task Governance ist ein robustes Managementsystem, das entwickelt wurde, um die Ressourcenzuweisung zu optimieren und eine effiziente Nutzung der Rechenressourcen durch Teams und Projekte für Ihre Amazon EKS-Cluster sicherzustellen. Dies bietet Administratoren die Möglichkeit, Folgendes festzulegen:
-
Prioritätsstufen für verschiedene Aufgaben
-
Berechne die Zuteilung für jedes Team
-
Wie jedes Team ungenutzte Rechenleistung leiht und ausleiht
-
Wenn ein Team seinen eigenen Aufgaben zuvorkommt
HyperPod Task Governance bietet auch Amazon EKS-Cluster-Observability und bietet so Echtzeiteinblicke in die Clusterkapazität. Dazu gehören die Verfügbarkeit und Nutzung von Rechenleistung, Teamzuweisung und -auslastung sowie Informationen zur Ausführung und Wartezeit von Aufgaben, sodass Sie fundierte Entscheidungen treffen und Ihre Ressourcen proaktiv verwalten können.
Der Name des Amazon EKS-Add-ons lautetamazon-sagemaker-hyperpod-taskgovernance
.
Erforderliche IAM-Berechtigungen
Für dieses Add-on sind keine Berechtigungen erforderlich.
Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie unter SageMaker HyperPod Task-Governance
AWS Network Flow Monitor-Agent
Der Amazon CloudWatch Network Flow Monitor Agent ist eine Kubernetes-Anwendung, die TCP-Verbindungsstatistiken von allen Knoten in einem Cluster sammelt und Netzwerkflussberichte für Amazon CloudWatch Network Flow Monitor Ingestion veröffentlicht. APIs
Der Name des Amazon EKS-Add-ons lautetaws-network-flow-monitoring-agent
.
Erforderliche IAM-Berechtigungen
Für dieses Add-on sind IAM-Berechtigungen erforderlich.
Sie müssen die CloudWatchNetworkFlowMonitorAgentPublishPolicy
verwaltete Richtlinie an das Add-on anhängen.
Weitere Informationen zum erforderlichen IAM-Setup finden Sie unter IAM-Richtlinie
Weitere Informationen zur verwalteten Richtlinie finden Sie CloudWatchNetworkFlowMonitorAgentPublishPolicyim CloudWatch Amazon-Benutzerhandbuch.
Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie im Amazon CloudWatch Network Flow Monitor Agent GitHub Repo
Agent zur Knotenüberwachung
Das Amazon EKS-Add-on für den Knotenüberwachungsagenten kann zusätzliche Probleme mit dem Knotenstatus erkennen. Diese zusätzlichen Gesundheitssignale können auch durch die optionale Funktion zur auto Reparatur von Knoten genutzt werden, um Knoten bei Bedarf automatisch auszutauschen.
Anmerkung
Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.
Der Name des Amazon EKS-Add-ons lauteteks-node-monitoring-agent
.
Erforderliche IAM-Berechtigungen
Für dieses Add-on sind keine zusätzlichen Berechtigungen erforderlich.
Zusätzliche Informationen
Weitere Informationen finden Sie unter Aktivieren Sie die auto Knotenreparatur und untersuchen Sie Probleme mit dem Knotenstatus.
AWS Distribution für OpenTelemetry
Das Add-on AWS Distro for OpenTelemetry Amazon EKS ist eine sichere, produktionsbereite und AWS unterstützte Distribution des Projekts. OpenTelemetry Weitere Informationen finden Sie unter AWS Distro
Der Name des Amazon EKS-Add-ons lautetadot
.
Erforderliche IAM-Berechtigungen
Für dieses Add-on sind nur IAM-Berechtigungen erforderlich, wenn Sie eine der vorkonfigurierten benutzerdefinierten Ressourcen verwenden, für die Sie sich über die erweiterte Konfiguration anmelden können.
Zusätzliche Informationen
Weitere Informationen finden Sie in der Dokumentation unter Erste Schritte mit AWS Distro für die OpenTelemetry Verwendung von EKS-Add-Ons
ADOT setzt voraus, dass das cert-manager
Add-on auf dem Cluster bereitgestellt wird. Andernfalls funktioniert dieses Add-on nicht, wenn es direkt über https://registry.terraform bereitgestellt wird. io/modules/terraform-aws-modules/eks/aws/latestcluster_addons
Eigentum. Weitere Anforderungen finden Sie in der Dokumentation unter Anforderungen für die ersten Schritte mit AWS Distro für die OpenTelemetry Verwendung von EKS-Add-Ons
GuardDuty Amazon-Vertreter
Das Amazon EKS-Add-on für GuardDuty Agenten sammelt Laufzeitereignisse (Dateizugriff, Prozessausführung, Netzwerkverbindungen) von Ihren EKS-Clusterknoten zur Analyse durch GuardDuty Runtime Monitoring. GuardDuty selbst (nicht der Agent) ist der Sicherheitsüberwachungsdienst, der grundlegende Datenquellen wie AWS CloudTrail Verwaltungsereignisse und Amazon VPC-Flow-Logs sowie Funktionen wie Kubernetes-Auditprotokolle und Laufzeitüberwachung analysiert und verarbeitet.
Der Name des Amazon EKS-Add-ons lautetaws-guardduty-agent
.
Erforderliche IAM-Berechtigungen
Für dieses Add-on sind keine Berechtigungen erforderlich.
Zusätzliche Informationen
Weitere Informationen finden Sie unter Laufzeitüberwachung für Amazon EKS-Cluster in Amazon GuardDuty.
-
Um potenzielle Sicherheitsbedrohungen in Ihren Amazon EKS-Clustern zu erkennen, aktivieren Sie Amazon GuardDuty Runtime Monitoring und stellen Sie den GuardDuty Security Agent auf Ihren Amazon EKS-Clustern bereit.
Amazon CloudWatch Observability-Agent
Der Amazon CloudWatch Observability-Agent Amazon EKS erweitert den Überwachungs- und Observabilitätsservice von. AWS Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für Amazon EKS. Weitere Informationen finden Sie unter Amazon CloudWatch Agent.
Der Name des Amazon EKS-Add-ons lautetamazon-cloudwatch-observability
.
Erforderliche IAM-Berechtigungen
Dieses Add-on verwendet die Funktion IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in den AWSXrayWriteOnlyAccessmy-cluster
durch den Namen Ihres Clusters und AmazonEKS_Observability_role
durch den Namen Ihrer Rolle. Dieser Befehl setzt voraus, dass Sie eksctl auf Ihrem Gerät installiert
eksctl create iamserviceaccount \ --name cloudwatch-agent \ --namespace amazon-cloudwatch \ --cluster my-cluster \ --role-name AmazonEKS_Observability_Role \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/AWSXrayWriteOnlyAccess \ --attach-policy-arn arn:aws: iam::aws:policy/CloudWatchAgentServerPolicy \ --approve
Zusätzliche Informationen
Weitere Informationen finden Sie unter Den Agenten installieren. CloudWatch
AWS Privater CA-Connector für Kubernetes
Der AWS Private CA Connector for Kubernetes ist ein Add-on für Cert-Manager, mit dem Benutzer Zertifikate von einer AWS privaten Zertifizierungsstelle (Private CA) erhalten können.AWS
-
Der Name des Amazon EKS-Add-ons lautet
aws-privateca-connector-for-kubernetes
. -
Der Add-On-Namespace ist
aws-privateca-issuer
.
Dieses Add-on erfordertcert-manager
. cert-manager
ist auf Amazon EKS als Community-Add-on verfügbar. Weitere Informationen zu diesem Add-on finden Sie unterZertifikatsmanager. Weitere Informationen zur Installation von Add-Ons finden Sie unterEin Amazon EKS-Add-on erstellen.
Erforderliche IAM-Berechtigungen
Für dieses Add-on sind IAM-Berechtigungen erforderlich.
Verwenden Sie EKS Pod Identities, um die AWSPrivateCAConnectorForKubernetesPolicy
IAM-Richtlinie an das aws-privateca-issuer
Kubernetes-Dienstkonto anzuhängen. Weitere Informationen finden Sie unter Verwenden Sie Pod Identities, um einem Amazon EKS-Add-on eine IAM-Rolle zuzuweisen.
Informationen zu den erforderlichen Berechtigungen finden Sie AWSPrivateCAConnectorForKubernetesPolicyin der Referenz zu verwalteten AWS Richtlinien.
Zusätzliche Informationen
Weitere Informationen finden Sie im Repository AWS Private CA Issuer for Kubernetes GitHub
Weitere Informationen zur Konfiguration des Add-ons finden Sie unter values.yamlaws-privateca-issuer
GitHub Vergewissern Sie sich, dass die Version von values.yaml mit der Version des auf Ihrem Cluster installierten Add-ons übereinstimmt.
Dieses Add-on toleriert den CriticalAddonsOnly
Makel, der vom EKS Auto Mode verwendet wird. system
NodePool Weitere Informationen finden Sie unter Führen Sie wichtige Add-Ons auf dedizierten Instanzen aus.
EKS Pod Identity Agent
Das Amazon EKS Pod Identity Agent Amazon EKS Add-on bietet die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Instance-Profile Anmeldeinformationen für EC2 Instances bereitstellen.
Anmerkung
Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Amazon EKS Auto Mode ist in EKS Pod Identity integriert. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.
Der Name des Amazon EKS-Add-ons lauteteks-pod-identity-agent
.
Erforderliche IAM-Berechtigungen
Für das Pod Identity Agent-Add-On selbst ist keine IAM-Rolle erforderlich. Es verwendet die Berechtigungen der Amazon EKS-Knoten-IAM-Rolle, um zu funktionieren, benötigt jedoch keine dedizierte IAM-Rolle für das Add-on.
Informationen aktualisieren
Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.28.x-eksbuild.y
ist und Sie auf 1.30.x-eksbuild.y
aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf 1.29.x-eksbuild.y
und dann auf 1.30.x-eksbuild.y
aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Ein Amazon EKS-Add-on aktualisieren.