AWS Add-Ons - Amazon EKS

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Add-Ons

Die folgenden Amazon-EKS-Add-Ons können in Ihrem Cluster erstellt werden. Sie können die aktuelle Liste der verfügbaren Add-Ons mithilfe eksctl der AWS Management Console oder der AWS CLI anzeigen. Informationen zu allen verfügbaren Add-Ons oder zur Installation eines Add-Ons finden Sie unter Ein Amazon EKS-Add-on erstellen. Wenn für ein Add-on IAM-Berechtigungen erforderlich sind, benötigen Sie einen IAM OpenID Connect (OIDC) -Anbieter für Ihren Cluster. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster. Sie können ein Add-on erstellen oder löschen, nachdem Sie es installiert haben. Weitere Informationen finden Sie unter Ein Amazon EKS-Add-on aktualisieren oder Ein Amazon EKS-Add-on aus einem Cluster entfernen. Weitere Informationen zu Überlegungen, die speziell für die Ausführung von EKS-Add-Ons mit Amazon EKS-Hybridknoten gelten, finden Sie unterAdd-Ons für Hybridknoten konfigurieren.

Sie können jedes der folgenden Amazon EKS-Add-Ons verwenden.

Beschreibung Weitere Informationen Kompatible Compute-Typen

Stellen Sie native VPC-Netzwerke für Ihren Cluster bereit

Amazon-VPC-CNI-Plug-In für Kubernetes

EC2

Ein flexibler, erweiterbarer DNS-Server, der als Kubernetes-Cluster-DNS dienen kann

CoreDNS

EC2, Fargate, EKS-Automatikmodus, EKS-Hybridknoten

Pflegen Sie die Netzwerkregeln auf jedem EC2 Amazon-Knoten

Kube-proxy

EC2, EKS-Hybridknoten

Stellen Sie Amazon EBS-Speicher für Ihren Cluster bereit

Amazon-EBS-CSI-Treiber

EC2

Stellen Sie Amazon EFS-Speicher für Ihren Cluster bereit

Amazon EFS-CSI-Treiber

EC2, Automatischer EKS-Modus

Stellen Sie Amazon FSx for Lustre-Speicher für Ihren Cluster bereit

Amazon FSx CSI-Treiber

EC2, EKS-Automatikmodus

Stellen Sie Amazon S3 S3-Speicher für Ihren Cluster bereit

Mountpoint für Amazon S3 CSI-Treiber

EC2, EKS-Automatikmodus

Erkennen Sie weitere Probleme mit dem Zustand des Knotens

Agent zur Knotenüberwachung

EC2, EKS-Hybridknoten

Aktivieren Sie die Verwendung der Snapshot-Funktionalität in kompatiblen CSI-Treibern, z. B. dem Amazon EBS CSI-Treiber

CSI-Snapshot-Controller

EC2, Fargate, EKS-Automatikmodus, EKS-Hybridknoten

SageMaker HyperPod Task Governance optimiert die Zuweisung und Nutzung von Rechenressourcen durch Teams in Amazon EKS-Clustern und behebt so Ineffizienzen bei der Priorisierung von Aufgaben und der gemeinsamen Nutzung von Ressourcen.

SageMaker HyperPod Amazon-Aufgabenverwaltung

EC2, Automatischer EKS-Modus,

Ein Kubernetes-Agent, der Netzwerkflussdaten sammelt und an Amazon CloudWatch meldet und so eine umfassende Überwachung von TCP-Verbindungen zwischen Clusterknoten ermöglicht.

AWS Network Flow Monitor-Agent

EC2, EKS-Automatikmodus

Sicherer, produktionsreifer, AWS unterstützter Vertrieb des Projekts OpenTelemetry

AWS Distribution für OpenTelemetry

EC2, Fargate, EKS-Automatikmodus, EKS-Hybridknoten

Sicherheitsüberwachungsservice, der grundlegende Datenquellen analysiert und verarbeitet, darunter AWS CloudTrail Verwaltungsereignisse und Amazon VPC-Flow-Logs. Amazon verarbeitet GuardDuty auch Funktionen wie Kubernetes-Audit-Logs und Laufzeitüberwachung

GuardDuty Amazon-Vertreter

EC2, EKS-Automatikmodus

Überwachungs- und Beobachtbarkeitsservice von AWS. Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für Amazon EKS

Amazon CloudWatch Observability-Agent

EC2, EKS-Automatikmodus, EKS-Hybridknoten

Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Instanzprofile Anmeldeinformationen für EC2 Instanzen bereitstellen

EKS Pod Identity Agent

EC2, EKS-Hybridknoten

Aktivieren Sie den Cert-Manager, um X.509-Zertifikate von AWS einer privaten CA auszustellen. Erfordert den Cert-Manager.

AWS Privater CA-Connector für Kubernetes

EC2, Fargate, EKS-Automatikmodus, EKS-Hybridknoten

Amazon-VPC-CNI-Plug-In für Kubernetes

Das Amazon VPC CNI-Plug-In für Kubernetes Amazon EKS ist ein Kubernetes Container Network Interface (CNI) -Plugin, das native VPC-Netzwerke für Ihren Cluster bereitstellt. Der selbstverwaltete oder verwaltete Typ dieses Add-ons ist standardmäßig auf jedem EC2 Amazon-Knoten installiert. Weitere Informationen finden Sie unter Kubernetes Container Network Interface (CNI) -Plugin.

Anmerkung

Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.

Der Name des Amazon EKS-Add-ons lautetvpc-cni.

Erforderliche IAM-Berechtigungen

Dieses Add-on verwendet die Funktion IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten.

Wenn Ihr Cluster die IPv4-Familie verwendet, sind die Berechtigungen in der AmazonEKS_CNI_Policy erforderlich. Wenn Ihr Cluster die IPv6 Familie verwendet, müssen Sie eine IAM-Richtlinie mit den Berechtigungen im IPv6 Modus erstellen. Sie können eine IAM-Rolle erstellen, ihr eine der Richtlinien zuordnen und das vom Add-on verwendete Kubernetes-Dienstkonto mit dem folgenden Befehl mit Anmerkungen versehen.

Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKSVPCCNIRole durch den Namen Ihrer Rolle. Wenn der Cluster die IPv6-Familie verwendet, ersetzen Sie AmazonEKS_CNI_Policy durch den Namen der Richtlinie, die Sie erstellt haben. Dieser Befehl setzt voraus, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, die Richtlinie daran anzuhängen und das Kubernetes-Dienstkonto mit Anmerkungen zu versehen, finden Sie unter. Zuweisen von IAM-Rollen zu Kubernetes-Dienstkonten

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \ --role-only --attach-policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy --approve

Informationen aktualisieren

Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.28.x-eksbuild.y ist und Sie auf 1.30.x-eksbuild.y aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf 1.29.x-eksbuild.y und dann auf 1.30.x-eksbuild.y aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Aktualisieren Sie das Amazon VPC CNI (Amazon EKS-Add-on).

CoreDNS

Das CoreDNS Amazon EKS Add-on ist ein flexibler, erweiterbarer DNS-Server, der als Kubernetes-Cluster-DNS dienen kann. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons wurde standardmäßig installiert, als Sie Ihren Cluster erstellt haben. Wenn Sie einen Amazon-EKS-Cluster mit mindestens einem Knoten starten, werden standardmäßig zwei Replikate des CoreDNS-Image bereitgestellt, unabhängig von der Anzahl der in Ihrem Cluster bereitgestellten Knoten. Die CoreDNS-Pods bieten eine Namensauflösung für alle Pods im Cluster. Sie können die CoreDNS-Pods auf Fargate-Knoten bereitstellen, wenn Ihr Cluster ein Fargate-Profil mit einem Namespace enthält, der dem Namespace für die CoreDNS-Bereitstellung entspricht. Weitere Informationen finden Sie unter Definieren Sie, welche Pods AWS Fargate beim Start verwenden.

Anmerkung

Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.

Der Name des Amazon EKS-Add-ons lautetcoredns.

Erforderliche IAM-Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen zu CoreDNS finden Sie in der Kubernetes-Dokumentation unter CoreDNS for Service Discovery und Customizing DNS Service.

Kube-proxy

Das Kube-proxy Amazon EKS-Add-on verwaltet die Netzwerkregeln auf jedem EC2 Amazon-Knoten. Es ermöglicht die Netzwerkkommunikation mit Ihren Pods. Der selbstverwaltete oder verwaltete Typ dieses Add-ons ist standardmäßig auf jedem EC2 Amazon-Knoten in Ihrem Cluster installiert.

Anmerkung

Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.

Der Name des Amazon EKS-Add-ons lautetkube-proxy.

Erforderliche IAM-Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Informationen aktualisieren

Bevor Sie Ihre aktuelle Version aktualisieren, sollten Sie die folgenden Anforderungen berücksichtigen:

Zusätzliche Informationen

Weitere Informationen kube-proxy finden Sie unter kube-proxy in der Kubernetes-Dokumentation.

Amazon-EBS-CSI-Treiber

Das Amazon EBS CSI-Treiber Amazon EKS-Add-on ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon EBS-Speicher für Ihren Cluster bereitstellt.

Anmerkung

Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Der automatische Modus beinhaltet eine Blockspeicherfunktion. Weitere Informationen finden Sie unter Bereitstellen eines statusbehafteten Beispiel-Workloads im automatischen Modus von EKS.

Der Name des Amazon EKS-Add-ons lautetaws-ebs-csi-driver.

Erforderliche IAM-Berechtigungen

Dieses Add-on nutzt die IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in der von Amazon EBSCSIDriver Policy AWS verwalteten Richtlinie sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_EBS_CSI_DriverRole durch den Namen Ihrer Rolle. Dieser Befehl setzt voraus, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool oder einen benutzerdefinierten KMS-Schlüssel für die Verschlüsselung verwenden müssen, finden Sie weitere Informationen unter Schritt 1: Erstellen einer IAM-Rolle.

eksctl create iamserviceaccount \ --name ebs-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \ --approve

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unter. Verwenden Sie Kubernetes-Volumenspeicher mit Amazon EBS

Amazon EFS-CSI-Treiber

Das Amazon EKS-Add-on für den Amazon EFS-CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon EFS-Speicher für Ihren Cluster bereitstellt.

Der Name des Amazon EKS-Add-ons lautetaws-efs-csi-driver.

Erforderliche IAM-Berechtigungen

Erforderliche IAM-Berechtigungen — Dieses Add-on nutzt die IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in der von Amazon EFSCSIDriver Policy AWS verwalteten Richtlinie sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_EFS_CSI_DriverRole durch den Namen Ihrer Rolle. Diese Befehle setzen voraus, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, finden Sie Informationen unter Schritt 1: Erstellen einer IAM-Rolle.

export cluster_name=my-cluster export role_name=AmazonEKS_EFS_CSI_DriverRole eksctl create iamserviceaccount \ --name efs-csi-controller-sa \ --namespace kube-system \ --cluster $cluster_name \ --role-name $role_name \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \ --approve TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \ sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/') aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unter. Verwenden Sie elastischen Dateisystemspeicher mit Amazon EFS

Amazon FSx CSI-Treiber

Das Amazon EKS-Add-on für Amazon FSx CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon FSx for Lustre-Speicher für Ihren Cluster bereitstellt.

Der Name des Amazon EKS-Add-ons lautetaws-fsx-csi-driver.

Anmerkung
  • Bereits vorhandene Amazon FSx CSI-Treiberinstallationen im Cluster können zu Fehlern bei der Installation von Add-Ons führen. Wenn Sie versuchen, die Amazon EKS-Add-On-Version zu installieren, während ein FSx Nicht-EKS-CSI-Treiber vorhanden ist, schlägt die Installation aufgrund von Ressourcenkonflikten fehl. Verwenden Sie die OVERWRITE Markierung während der Installation, um dieses Problem zu beheben:

    aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE
  • Das Amazon FSx CSI Driver EKS-Add-On benötigt den EKS Pod Identity-Agenten für die Authentifizierung. Ohne diese Komponente schlägt das Add-on mit dem Fehler fehl Amazon EKS Pod Identity agent is not installed in the cluster und verhindert Volume-Operationen. Installieren Sie den Pod Identity-Agenten vor oder nach der Bereitstellung des FSx CSI-Treiber-Add-ons. Weitere Informationen finden Sie unter Richten Sie den Amazon EKS Pod Identity Agent ein.

Erforderliche IAM-Berechtigungen

Dieses Add-on nutzt die IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in der von Amazon FSx FullAccess AWS verwalteten Richtlinie sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_FSx_CSI_DriverRole durch den Namen Ihrer Rolle. Dieser Befehl setzt voraus, dass Sie eksctl auf Ihrem Gerät installiert haben.

eksctl create iamserviceaccount \ --name fsx-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_FSx_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/AmazonFSxFullAccess \ --approve

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unter. Verwenden Sie leistungsstarken App-Speicher mit Amazon FSx for Lustre

Mountpoint für Amazon S3 CSI-Treiber

Das Amazon EKS-Add-on Mountpoint for Amazon S3 CSI Driver ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon S3 S3-Speicher für Ihren Cluster bereitstellt.

Der Name des Amazon EKS-Add-ons lautetaws-mountpoint-s3-csi-driver.

Erforderliche IAM-Berechtigungen

Dieses Add-on verwendet die Funktion IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten.

Für die erstellte IAM-Rolle ist eine Richtlinie erforderlich, die Zugriff auf S3 gewährt. Folgen Sie bei der Erstellung der Richtlinie den Empfehlungen für Mountpoint IAM-Berechtigungen. Alternativ können Sie die AWS verwaltete Richtlinie AmazonS3 verwendenFullAccess, aber diese verwaltete Richtlinie gewährt mehr Berechtigungen, als für Mountpoint erforderlich sind.

Sie können eine IAM-Rolle erstellen und ihr Ihre Richtlinie mit dem folgenden Befehl anfügen. my-clusterErsetzen Sie es durch den Namen Ihres Clusters, region-code durch den richtigen AWS Regionalcode, AmazonEKS_S3_CSI_DriverRole durch den Namen für Ihre Rolle und AmazonEKS_S3_CSI_DriverRole_ARN durch den Rollen-ARN. Diese Befehle setzen voraus, dass Sie eksctl auf Ihrem Gerät installiert haben. Anweisungen zur Verwendung der IAM-Konsole oder AWS CLI finden Sie unterSchritt 2: Erstellen einer IAM-Rolle.

CLUSTER_NAME=my-cluster REGION=region-code ROLE_NAME=AmazonEKS_S3_CSI_DriverRole POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN eksctl create iamserviceaccount \ --name s3-csi-driver-sa \ --namespace kube-system \ --cluster $CLUSTER_NAME \ --attach-policy-arn $POLICY_ARN \ --approve \ --role-name $ROLE_NAME \ --region $REGION \ --role-only

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterGreifen Sie mit dem Mountpoint for Amazon S3 CSI-Treiber auf Amazon S3-Objekte zu.

CSI-Snapshot-Controller

Der Container Storage Interface (CSI) -Snapshot-Controller ermöglicht die Verwendung der Snapshot-Funktionalität in kompatiblen CSI-Treibern, wie dem Amazon EBS CSI-Treiber.

Der Name des Amazon EKS-Add-ons lautetsnapshot-controller.

Erforderliche IAM-Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterSnapshot-Funktionalität für CSI-Volumes aktivieren.

SageMaker HyperPod Amazon-Aufgabenverwaltung

SageMaker HyperPod Task Governance ist ein robustes Managementsystem, das entwickelt wurde, um die Ressourcenzuweisung zu optimieren und eine effiziente Nutzung der Rechenressourcen durch Teams und Projekte für Ihre Amazon EKS-Cluster sicherzustellen. Dies bietet Administratoren die Möglichkeit, Folgendes festzulegen:

  • Prioritätsstufen für verschiedene Aufgaben

  • Berechne die Zuteilung für jedes Team

  • Wie jedes Team ungenutzte Rechenleistung leiht und ausleiht

  • Wenn ein Team seinen eigenen Aufgaben zuvorkommt

HyperPod Task Governance bietet auch Amazon EKS-Cluster-Observability und bietet so Echtzeiteinblicke in die Clusterkapazität. Dazu gehören die Verfügbarkeit und Nutzung von Rechenleistung, Teamzuweisung und -auslastung sowie Informationen zur Ausführung und Wartezeit von Aufgaben, sodass Sie fundierte Entscheidungen treffen und Ihre Ressourcen proaktiv verwalten können.

Der Name des Amazon EKS-Add-ons lautetamazon-sagemaker-hyperpod-taskgovernance.

Erforderliche IAM-Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unter SageMaker HyperPod Task-Governance

AWS Network Flow Monitor-Agent

Der Amazon CloudWatch Network Flow Monitor Agent ist eine Kubernetes-Anwendung, die TCP-Verbindungsstatistiken von allen Knoten in einem Cluster sammelt und Netzwerkflussberichte für Amazon CloudWatch Network Flow Monitor Ingestion veröffentlicht. APIs

Der Name des Amazon EKS-Add-ons lautetaws-network-flow-monitoring-agent.

Erforderliche IAM-Berechtigungen

Für dieses Add-on sind IAM-Berechtigungen erforderlich.

Sie müssen die CloudWatchNetworkFlowMonitorAgentPublishPolicy verwaltete Richtlinie an das Add-on anhängen.

Weitere Informationen zum erforderlichen IAM-Setup finden Sie unter IAM-Richtlinie im Amazon CloudWatch Network Flow Monitor GitHub Agent-Repository.

Weitere Informationen zur verwalteten Richtlinie finden Sie CloudWatchNetworkFlowMonitorAgentPublishPolicyim CloudWatch Amazon-Benutzerhandbuch.

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie im Amazon CloudWatch Network Flow Monitor Agent GitHub Repo.

Agent zur Knotenüberwachung

Das Amazon EKS-Add-on für den Knotenüberwachungsagenten kann zusätzliche Probleme mit dem Knotenstatus erkennen. Diese zusätzlichen Gesundheitssignale können auch durch die optionale Funktion zur auto Reparatur von Knoten genutzt werden, um Knoten bei Bedarf automatisch auszutauschen.

Anmerkung

Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.

Der Name des Amazon EKS-Add-ons lauteteks-node-monitoring-agent.

Erforderliche IAM-Berechtigungen

Für dieses Add-on sind keine zusätzlichen Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen finden Sie unter Aktivieren Sie die auto Knotenreparatur und untersuchen Sie Probleme mit dem Knotenstatus.

AWS Distribution für OpenTelemetry

Das Add-on AWS Distro for OpenTelemetry Amazon EKS ist eine sichere, produktionsbereite und AWS unterstützte Distribution des Projekts. OpenTelemetry Weitere Informationen finden Sie unter AWS Distro for on. OpenTelemetry GitHub

Der Name des Amazon EKS-Add-ons lautetadot.

Erforderliche IAM-Berechtigungen

Für dieses Add-on sind nur IAM-Berechtigungen erforderlich, wenn Sie eine der vorkonfigurierten benutzerdefinierten Ressourcen verwenden, für die Sie sich über die erweiterte Konfiguration anmelden können.

Zusätzliche Informationen

Weitere Informationen finden Sie in der Dokumentation unter Erste Schritte mit AWS Distro für die OpenTelemetry Verwendung von EKS-Add-Ons in der AWS Distro. OpenTelemetry

ADOT setzt voraus, dass das cert-manager Add-on auf dem Cluster bereitgestellt wird. Andernfalls funktioniert dieses Add-on nicht, wenn es direkt über https://registry.terraform bereitgestellt wird. io/modules/terraform-aws-modules/eks/aws/latestcluster_addonsEigentum. Weitere Anforderungen finden Sie in der Dokumentation unter Anforderungen für die ersten Schritte mit AWS Distro für die OpenTelemetry Verwendung von EKS-Add-Ons in der AWS Distro. OpenTelemetry

GuardDuty Amazon-Vertreter

Das Amazon EKS-Add-on für GuardDuty Agenten sammelt Laufzeitereignisse (Dateizugriff, Prozessausführung, Netzwerkverbindungen) von Ihren EKS-Clusterknoten zur Analyse durch GuardDuty Runtime Monitoring. GuardDuty selbst (nicht der Agent) ist der Sicherheitsüberwachungsdienst, der grundlegende Datenquellen wie AWS CloudTrail Verwaltungsereignisse und Amazon VPC-Flow-Logs sowie Funktionen wie Kubernetes-Auditprotokolle und Laufzeitüberwachung analysiert und verarbeitet.

Der Name des Amazon EKS-Add-ons lautetaws-guardduty-agent.

Erforderliche IAM-Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen finden Sie unter Laufzeitüberwachung für Amazon EKS-Cluster in Amazon GuardDuty.

  • Um potenzielle Sicherheitsbedrohungen in Ihren Amazon EKS-Clustern zu erkennen, aktivieren Sie Amazon GuardDuty Runtime Monitoring und stellen Sie den GuardDuty Security Agent auf Ihren Amazon EKS-Clustern bereit.

Amazon CloudWatch Observability-Agent

Der Amazon CloudWatch Observability-Agent Amazon EKS erweitert den Überwachungs- und Observabilitätsservice von. AWS Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für Amazon EKS. Weitere Informationen finden Sie unter Amazon CloudWatch Agent.

Der Name des Amazon EKS-Add-ons lautetamazon-cloudwatch-observability.

Erforderliche IAM-Berechtigungen

Dieses Add-on verwendet die Funktion IAM-Rollen für Dienstkonten von Amazon EKS. Weitere Informationen finden Sie unter IAM-Rollen für Servicekonten. Die Berechtigungen in den AWSXrayWriteOnlyAccessund den CloudWatchAgentServerPolicy AWS verwalteten Richtlinien sind erforderlich. Sie können eine IAM-Rolle erstellen, ihr die verwalteten Richtlinien anhängen und das vom Add-on verwendete Kubernetes-Dienstkonto mit dem folgenden Befehl mit Anmerkungen versehen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_Observability_role durch den Namen Ihrer Rolle. Dieser Befehl setzt voraus, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, die Richtlinie daran anzuhängen und das Kubernetes-Dienstkonto mit Anmerkungen zu versehen, finden Sie unter. Zuweisen von IAM-Rollen zu Kubernetes-Dienstkonten

eksctl create iamserviceaccount \ --name cloudwatch-agent \ --namespace amazon-cloudwatch \ --cluster my-cluster \ --role-name AmazonEKS_Observability_Role \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/AWSXrayWriteOnlyAccess \ --attach-policy-arn arn:aws: iam::aws:policy/CloudWatchAgentServerPolicy \ --approve

Zusätzliche Informationen

Weitere Informationen finden Sie unter Den Agenten installieren. CloudWatch

AWS Privater CA-Connector für Kubernetes

Der AWS Private CA Connector for Kubernetes ist ein Add-on für Cert-Manager, mit dem Benutzer Zertifikate von einer AWS privaten Zertifizierungsstelle (Private CA) erhalten können.AWS

  • Der Name des Amazon EKS-Add-ons lautetaws-privateca-connector-for-kubernetes.

  • Der Add-On-Namespace istaws-privateca-issuer.

Dieses Add-on erfordertcert-manager. cert-managerist auf Amazon EKS als Community-Add-on verfügbar. Weitere Informationen zu diesem Add-on finden Sie unterZertifikatsmanager. Weitere Informationen zur Installation von Add-Ons finden Sie unterEin Amazon EKS-Add-on erstellen.

Erforderliche IAM-Berechtigungen

Für dieses Add-on sind IAM-Berechtigungen erforderlich.

Verwenden Sie EKS Pod Identities, um die AWSPrivateCAConnectorForKubernetesPolicy IAM-Richtlinie an das aws-privateca-issuer Kubernetes-Dienstkonto anzuhängen. Weitere Informationen finden Sie unter Verwenden Sie Pod Identities, um einem Amazon EKS-Add-on eine IAM-Rolle zuzuweisen.

Informationen zu den erforderlichen Berechtigungen finden Sie AWSPrivateCAConnectorForKubernetesPolicyin der Referenz zu verwalteten AWS Richtlinien.

Zusätzliche Informationen

Weitere Informationen finden Sie im Repository AWS Private CA Issuer for Kubernetes GitHub .

Weitere Informationen zur Konfiguration des Add-ons finden Sie unter values.yaml im Repo. aws-privateca-issuer GitHub Vergewissern Sie sich, dass die Version von values.yaml mit der Version des auf Ihrem Cluster installierten Add-ons übereinstimmt.

Dieses Add-on toleriert den CriticalAddonsOnly Makel, der vom EKS Auto Mode verwendet wird. system NodePool Weitere Informationen finden Sie unter Führen Sie wichtige Add-Ons auf dedizierten Instanzen aus.

EKS Pod Identity Agent

Das Amazon EKS Pod Identity Agent Amazon EKS Add-on bietet die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Instance-Profile Anmeldeinformationen für EC2 Instances bereitstellen.

Anmerkung

Sie müssen dieses Add-on nicht auf Amazon EKS Auto Mode-Clustern installieren. Amazon EKS Auto Mode ist in EKS Pod Identity integriert. Weitere Informationen finden Sie unter Überlegungen zum Amazon EKS Auto Mode.

Der Name des Amazon EKS-Add-ons lauteteks-pod-identity-agent.

Erforderliche IAM-Berechtigungen

Für das Pod Identity Agent-Add-On selbst ist keine IAM-Rolle erforderlich. Es verwendet die Berechtigungen der Amazon EKS-Knoten-IAM-Rolle, um zu funktionieren, benötigt jedoch keine dedizierte IAM-Rolle für das Add-on.

Informationen aktualisieren

Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.28.x-eksbuild.y ist und Sie auf 1.30.x-eksbuild.y aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf 1.29.x-eksbuild.y und dann auf 1.30.x-eksbuild.y aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Ein Amazon EKS-Add-on aktualisieren.