**Aidez à améliorer cette page**
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Modules complémentaires Amazon EKS
Un module complémentaire est un logiciel qui fournit des capacités opérationnelles de prise en charge aux applications Kubernetes, mais qui n'est pas spécifique à l'application. Cela inclut des logiciels tels que des agents d'observabilité ou des pilotes Kubernetes qui permettent au cluster d'interagir avec les AWS ressources sous-jacentes pour la mise en réseau, le calcul et le stockage. Les logiciels complémentaires sont généralement conçus et maintenus par la communauté Kubernetes, par des fournisseurs de cloud tels que ou par des fournisseurs AWS tiers. Amazon EKS installe automatiquement des modules complémentaires autogérés tels que le plug-in Amazon VPC CNI pour Kubernetes, `kube-proxy`, et CoreDNS pour chaque cluster. Notez que le module complémentaire VPC CNI n’est pas compatible avec les nœuds hybrides Amazon EKS et ne se déploie pas sur les nœuds hybrides. Vous pouvez modifier la configuration par défaut des modules complémentaires et les mettre à jour quand vous le souhaitez.
Les modules complémentaires Amazon EKS fournissent l'installation et la gestion d'un ensemble organisé de modules complémentaires pour les clusters Amazon EKS. Tous les modules complémentaires Amazon EKS incluent les derniers correctifs de sécurité et corrections de bogues et sont validés par Amazon EKS AWS pour fonctionner avec Amazon EKS. Les modules complémentaires Amazon EKS vous permettent de garantir systématiquement que vos clusters Amazon EKS sont sécurisés et stables. Ils vous permettent aussi de réduire le travail nécessaire pour installer, configurer et mettre à jour les modules complémentaires. Si un module complémentaire autogéré tel que `kube-proxy` est déjà en cours d'exécution sur votre cluster et est disponible en tant que module complémentaire Amazon EKS, vous pouvez installer le module complémentaire Amazon EKS `kube-proxy` pour commencer à bénéficier des fonctionnalités des modules complémentaires Amazon EKS.
Vous pouvez mettre à jour des champs de configuration spécifiques gérés par Amazon EKS pour les modules complémentaires Amazon EKS via l'API Amazon EKS. Une fois le module complémentaire démarré, vous pouvez également modifier les champs de configuration non gérés par Amazon EKS directement dans le cluster Kubernetes. Cela inclut la définition de champs de configuration spécifiques pour un module complémentaire, le cas échéant. Ces modifications ne sont pas remplacées par Amazon EKS une fois qu'elles sont effectuées. Ceci est rendu possible par la fonction apply côté serveur de Kubernetes. Pour de plus amples informations, veuillez consulter [Déterminez les champs que vous pouvez personnaliser pour les modules complémentaires Amazon EKS](kubernetes-field-management.md).
Vous pouvez utiliser des modules complémentaires Amazon EKS avec n'importe quel type de nœud Amazon EKS. Pour de plus amples informations, veuillez consulter [Gestion des ressources de calcul à l’aide de nœuds](eks-compute.md).
Vous pouvez ajouter, mettre à jour ou supprimer des modules complémentaires Amazon EKS à l'aide de l'API Amazon EKS AWS Management Console, de la AWS CLI et`eksctl`. Vous pouvez également créer des modules complémentaires Amazon EKS à l'aide de [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-eks-addon.html).
## Considérations
Tenez compte des éléments suivants lorsque vous utilisez les modules complémentaires Amazon EKS :
+ Pour configurer des modules complémentaires pour le cluster, votre [principal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) doit disposer des autorisations IAM pour utiliser des modules complémentaires. Pour plus d'informations, consultez les actions ayant `Addon` dans leur nom dans [Actions définies par Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions).
+ Les modules complémentaires Amazon EKS s'exécutent sur les nœuds que vous approvisionnez ou configurez pour votre cluster. Les types de nœuds comprennent les instances Amazon EC2, Fargate et les nœuds hybrides.
+ Vous pouvez modifier les champs qui ne sont pas gérés par Amazon EKS pour personnaliser l’installation d’un module complémentaire Amazon EKS. Pour de plus amples informations, veuillez consulter [Déterminez les champs que vous pouvez personnaliser pour les modules complémentaires Amazon EKS](kubernetes-field-management.md).
+ Si vous créez un cluster avec les modules AWS Management Console complémentaires Amazon EKS`kube-proxy`, Amazon VPC CNI pour Kubernetes et CoreDNS Amazon EKS sont automatiquement ajoutés à votre cluster. Si vous utilisez `eksctl` pour créer votre cluster avec un fichier `config`, `eksctl` peut également créer le cluster avec les modules complémentaires Amazon EKS. Si vous créez votre cluster avec `eksctl` sans fichier `config` ou à l’aide d’un autre outil, les modules complémentaires auto-gérés `kube-proxy`, Amazon VPC CNI plug-in pour Kubernetes et CoreDNS sont installés à la place des modules complémentaires Amazon EKS. Vous pouvez les gérer vous-même ou ajouter manuellement les modules complémentaires Amazon EKS après la création du cluster. Quelle que soit la méthode utilisée pour créer votre cluster, le module complémentaire VPC CNI ne s’installe pas sur les nœuds hybrides.
+ La ressource `eks:addon-cluster-admin` `ClusterRoleBinding` lie la ressource `cluster-admin` `ClusterRole` à l’identité Kubernetes `eks:addon-manager`. Le rôle dispose des autorisations nécessaires pour que l’identité `eks:addon-manager` puisse créer des espaces de noms Kubernetes et installer des modules complémentaires dans les espaces de noms. Si la ressource `ClusterRoleBinding` `eks:addon-cluster-admin` est supprimée, le cluster Amazon EKS continuera de fonctionner, mais Amazon EKS ne sera plus en mesure de gérer les modules complémentaires. Tous les clusters qui démarrent avec les versions de plateforme suivantes utilisent la nouvelle ressource `ClusterRoleBinding`.
+ La compatibilité d'un sous-ensemble de AWS modules complémentaires EKS avec Amazon EKS Hybrid Nodes a été validée. Pour plus d’informations, consultez le tableau de compatibilité sur [AWS modules complémentaires](workloads-add-ons-available-eks.md).
## Espace de noms personnalisé pour les modules complémentaires
Pour la communauté et les AWS modules complémentaires, vous pouvez éventuellement spécifier un espace de noms personnalisé lors de la création du module complémentaire. Une fois que vous avez installé un module complémentaire dans un espace de noms spécifique, vous devez le supprimer et le recréer pour modifier son espace de noms.
Si vous ne spécifiez pas d’espace de noms, l’espace de noms prédéfini pour le module complémentaire sera utilisé.
Utilisez des espaces de noms personnalisés pour mieux organiser et isoler les objets complémentaires au sein de votre cluster EKS. Cette flexibilité vous aide à aligner les modules complémentaires sur vos besoins opérationnels et votre stratégie existante en matière d’espace de noms.
Vous pouvez définir un espace de noms personnalisé lors de la création d’un module complémentaire. Pour de plus amples informations, veuillez consulter [Créer un module complémentaire Amazon EKS](creating-an-add-on.md).
### Obtenir un espace de noms prédéfini pour le module complémentaire
L’espace de noms prédéfini pour un module complémentaire est l’espace de noms dans lequel il sera installé si vous n’en spécifiez pas.
Pour obtenir l’espace de noms prédéfini d’un module complémentaire, utilisez la commande suivante :
```
aws eks describe-addon-versions --addon-name --query "addons[].defaultNamespace"
```
Exemple de sortie :
```
[
"kube-system"
]
```
## Considérations relatives au mode automatique Amazon EKS
Le mode automatique Amazon EKS comprend des fonctionnalités qui offrent des fonctionnalités essentielles pour les clusters, notamment :
+ Mise en réseau des pods
+ Réseau de services
+ DNS de cluster
+ Autoscaling
+ Stockage en mode bloc
+ Contrôleur d’équilibreur de charge
+ Agent d’identité du pod
+ Agent de surveillance des nœuds
Avec le calcul en mode automatique, de nombreux modules complémentaires EKS couramment utilisés deviennent redondants, tels que :
+ CNI Amazon VPC
+ kube-proxy
+ CoreDNS
+ Pilote CSI Amazon EBS
+ Agent d'identité du pod EKS
Toutefois, si votre cluster combine le mode automatique avec d'autres options de calcul telles que les instances EC2 autogérées, les groupes de nœuds gérés ou Fargate, ces modules AWS complémentaires restent nécessaires. AWS a amélioré les modules complémentaires EKS avec des règles anti-affinité qui garantissent automatiquement que les modules complémentaires sont planifiés uniquement sur les types de calcul pris en charge. De plus, les utilisateurs peuvent désormais exploiter l’API des modules complémentaires EKS `DescribeAddonVersions` pour vérifier les types de calcul pris en charge pour chaque module complémentaire et ses versions spécifiques. De plus, avec le mode EKS Auto, les contrôleurs répertoriés ci-dessus fonctionnent sur AWS une infrastructure propre. Il est donc possible que vous ne les voyiez même pas dans vos comptes, sauf si vous utilisez le mode automatique EKS avec d'autres types de calcul, auquel cas vous verrez les contrôleurs que vous avez installés sur votre cluster.
Si vous prévoyez d’activer le mode automatique EKS sur un cluster existant, vous devrez peut-être mettre à niveau la version de certains modules complémentaires. Pour plus d’informations, consultez [Versions requises des modules complémentaires](auto-enable-existing.md#auto-addons-required) pour le mode automatique EKS.
## Support
AWS publie plusieurs types de modules complémentaires avec différents niveaux de support.
+ **Modules complémentaires AWS :** Ces modules complémentaires sont conçus et entièrement pris en charge par AWS.
+ Utilisez un AWS module complémentaire pour travailler avec d'autres AWS services, tels qu'Amazon EFS.
+ Pour de plus amples informations, veuillez consulter [AWS modules complémentaires](workloads-add-ons-available-eks.md).
+ ** AWS Modules complémentaires Marketplace :** ces modules complémentaires sont analysés AWS et pris en charge par un AWS partenaire indépendant.
+ Utilisez un module complémentaire du Marketplace pour ajouter des fonctionnalités utiles et sophistiquées à votre cluster, telles que la surveillance avec Splunk.
+ Pour de plus amples informations, veuillez consulter [AWS Modules complémentaires Marketplace](workloads-add-ons-available-vendors.md).
+ **Modules complémentaires communautaires** : Ces modules complémentaires sont analysés par la communauté open source AWS mais pris en charge par celle-ci.
+ Utilisez un module complémentaire communautaire pour réduire la complexité de l’installation de logiciels open source courants, tels que Kubernetes Metrics Server.
+ Les modules complémentaires communautaires sont fournis à partir du code source par AWS. AWS valide uniquement les modules complémentaires communautaires pour la compatibilité des versions.
+ Pour de plus amples informations, veuillez consulter [Modules complémentaires communautaires](community-addons.md).
Le tableau suivant détaille l’étendue de la prise en charge pour chaque type de module complémentaire :
| Catégorie | Fonctionnalité | AWS modules complémentaires | AWS Modules complémentaires Marketplace | Modules complémentaires communautaires |
| --- | --- | --- | --- | --- |
| Développement | Construit par AWS | Oui | Non | Oui |
| Développement | Validé par AWS | Oui | Non | Oui\$1 |
| Développement | Validé par le AWS partenaire | Non | Oui | Non |
| Maintenance | Scanné par AWS | Oui | Oui | Oui |
| Maintenance | Corrigé par AWS | Oui | Non | Oui |
| Maintenance | Corrigé par un partenaire AWS | Non | Oui | Non |
| Distribution | Publié par AWS | Oui | Non | Oui |
| Distribution | Publié par AWS Partner | Non | Oui | Non |
| Support | Support d'installation de base par AWS | Oui | Oui | Oui |
| Support | AWS Support complet | Oui | Non | Non |
| Support | Support complet AWS pour les partenaires | Non | Oui | Non |
`*` : La validation des modules complémentaires communautaires inclut uniquement la compatibilité des versions de Kubernetes. Par exemple, si vous installez un module complémentaire communautaire sur un cluster, vérifiez AWS s'il est compatible avec la version Kubernetes de votre cluster.
AWS Les modules complémentaires Marketplace peuvent télécharger des dépendances logicielles supplémentaires à partir de sources externes extérieures à AWS. Ces dépendances externes ne sont ni scannées ni validées par AWS. Tenez compte de vos exigences en matière de sécurité lorsque vous déployez des modules complémentaires AWS Marketplace qui récupèrent des dépendances externes.
# AWS modules complémentaires
Les modules complémentaires Amazon EKS suivants peuvent être créés sur votre cluster. Vous pouvez consulter la liste la plus récente des modules complémentaires disponibles à l'aide `eksctl` de la AWS Management Console CLI ou de la AWS CLI. Pour voir tous les modules complémentaires disponibles ou pour installer un module complémentaire, consultez [Créer un module complémentaire Amazon EKS](creating-an-add-on.md). Si un module complémentaire nécessite des autorisations IAM, vous devez disposer d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un, ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md). Vous pouvez créer ou supprimer un module complémentaire après l'avoir installé. Pour plus d’informations, consultez [Mettre à jour un module complémentaire Amazon EKS](updating-an-add-on.md) ou [Supprimer un module complémentaire Amazon EKS d’un cluster](removing-an-add-on.md). Pour plus d’informations sur les considérations spécifiques à l’exécution des modules complémentaires EKS avec des nœuds hybrides Amazon EKS, consultez [Configurer les modules complémentaires pour les nœuds hybrides](hybrid-nodes-add-ons.md).
Vous pouvez utiliser l’un des modules complémentaires Amazon EKS suivants.
| Description | En savoir plus | Types de calcul compatibles |
| --- | --- | --- |
| Fournir un réseau VPC natif pour votre cluster | [Plug-in CNI Amazon VPC pour Kubernetes](#add-ons-vpc-cni) | EC2 |
| Un serveur DNS flexible et extensible qui peut servir de DNS pour le cluster Kubernetes | [CoreDNS](#add-ons-coredns) | EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
| Maintenir les règles réseau sur chaque nœud Amazon EC2 | [`Kube-proxy`](#add-ons-kube-proxy) | EC2, nœuds hybrides EKS |
| Fournir un stockage Amazon EBS pour votre cluster | [Pilote CSI Amazon EBS](#add-ons-aws-ebs-csi-driver) | EC2 |
| Fournir un stockage Amazon EFS pour votre cluster | [Pilote CSI Amazon EFS](#add-ons-aws-efs-csi-driver) | EC2, mode automatique EKS |
| Fournissez un espace de stockage Amazon S3 Files pour votre cluster | [Pilote CSI Amazon EFS](#add-ons-aws-efs-csi-driver) | EC2, mode automatique EKS |
| Fournissez un espace de stockage Amazon FSx for Lustre pour votre cluster | [pilote Amazon FSx CSI](#add-ons-aws-fsx-csi-driver) | EC2, mode automatique EKS |
| Fournir un stockage Amazon S3 pour votre cluster | [Pilote CSI Mountpoint pour Amazon S3](#mountpoint-for-s3-add-on) | EC2, mode automatique EKS |
| Détecter les problèmes supplémentaires d’état des nœuds | [Agent de surveillance des nœuds](#add-ons-eks-node-monitoring-agent) | EC2, nœuds hybrides EKS |
| Activer l’utilisation de la fonctionnalité d’instantané dans les pilotes CSI compatibles, tels que le pilote Amazon EBS CSI | [Contrôleur d'instantané CSI](#addons-csi-snapshot-controller) | EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
| SageMaker HyperPod la gouvernance des tâches optimise l'allocation et l'utilisation des ressources informatiques entre les équipes dans les clusters Amazon EKS, remédiant ainsi aux inefficiences en matière de priorisation des tâches et de partage des ressources. | [Gouvernance des SageMaker HyperPod tâches Amazon](#addons-hyperpod) | EC2, mode automatique EKS, |
| Amazon SageMaker HyperPod Observability AddOn fournit des fonctionnalités complètes de surveillance et d'observabilité pour HyperPod les clusters. | [Module complémentaire Amazon SageMaker HyperPod Observability](#addons-hyperpod-observability) | EC2, mode automatique EKS, |
| Amazon SageMaker HyperPod Training Operator permet une formation distribuée efficace sur les clusters Amazon EKS grâce à des fonctionnalités avancées de planification et de gestion des ressources. | [Opérateur SageMaker HyperPod de formation Amazon](#addons-hyperpod-training-operator) | EC2, mode automatique EKS |
| Amazon SageMaker HyperPod Inference Operator permet le déploiement et la gestion de charges de travail d'inférence basées sur l'IA à hautes performances avec une utilisation des ressources et une rentabilité optimisées. | [Opérateur SageMaker HyperPod d'inférence Amazon](#addons-hyperpod-inference-operator) | EC2, mode automatique EKS |
| Un agent Kubernetes qui collecte et transmet les données de flux réseau à Amazon CloudWatch, permettant ainsi une surveillance complète des connexions TCP entre les nœuds du cluster. | [AWS Agent de surveillance du flux réseau](#addons-network-flow) | EC2, mode automatique EKS |
| Distribution sécurisée, prête pour la production et AWS prise en charge du projet OpenTelemetry | [AWS Distro pour OpenTelemetry](#add-ons-adot) | EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
| Service de surveillance de la sécurité qui analyse et traite les sources de données de base, notamment les événements AWS CloudTrail de gestion et les journaux de flux Amazon VPC. Amazon traite GuardDuty également des fonctionnalités, telles que les journaux d'audit Kubernetes et la surveillance du temps d'exécution | [GuardDuty Agent Amazon](#add-ons-guard-duty) | EC2, mode automatique EKS |
| Service de surveillance et d’observabilité fourni par AWS. Ce module complémentaire installe l' CloudWatch agent et active à la fois CloudWatch Application Signals et CloudWatch Container Insights avec une observabilité améliorée pour Amazon EKS | [Agent Amazon CloudWatch Observability](#amazon-cloudwatch-observability) | EC2, mode automatique EKS, nœuds hybrides EKS |
| Possibilité de gérer les informations d’identification de vos applications, de la même manière que les profils d’instance EC2 fournissent des informations d’identification aux instances EC2 | [Agent d'identité du pod EKS](#add-ons-pod-id) | EC2, nœuds hybrides EKS |
| Activez cert-manager pour émettre des certificats X.509 à partir de AWS Private CA. Nécessite cert-manager. | [AWS Connecteur CA privé pour Kubernetes](#add-ons-aws-privateca-connector) | EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
| Génère des métriques Prometheus sur les performances des périphériques réseau SR-IOV | [Exportateur de métriques réseau SR-IOV](#add-ons-sriov-network-metrics-exporter) | EC2 |
| Récupérez des AWS secrets dans Secrets Manager et des paramètres dans le magasin de paramètres de AWS Systems Manager et montez-les sous forme de fichiers dans des pods Kubernetes. | [AWS Fournisseur de pilotes CSI Secrets Store](#add-ons-aws-secrets-store-csi-driver-provider) | EC2, mode automatique EKS, nœuds hybrides EKS |
| Avec Spaces, vous pouvez créer JupyterLab et gérer des applications d'éditeur de code pour exécuter des charges de travail ML interactives. | [Amazon SageMaker Spaces](#add-ons-amazon-sagemaker-spaces) | Hyperpode |
## Plug-in CNI Amazon VPC pour Kubernetes
Le module complémentaire CNI VPC pour Kubernetes Amazon EKS est un module complémentaire d’interface réseau de conteneur (CNI) Kubernetes qui fournit une mise en réseau VPC native pour votre cluster. Le type autogéré ou géré de ce module complémentaire est installé sur chaque nœud Amazon EC2, par défaut. Pour plus d’informations, consultez [Module complémentaire d’interface réseau de conteneur (CNI) Kubernetes](https://kubernetes.io/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/).
**Note**
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Pour de plus amples informations, veuillez consulter [Considérations relatives au mode automatique Amazon EKS](eks-add-ons.md#addon-consider-auto).
Le nom du module complémentaire Amazon EKS est `vpc-cni`.
### Autorisations IAM requises
Ce module complémentaire utilise la fonctionnalité de rôles IAM pour les comptes de service d’Amazon EKS. Pour de plus amples informations, veuillez consulter [Rôles IAM pour les comptes de service](iam-roles-for-service-accounts.md).
Si votre cluster utilise la famille `IPv4`, les autorisations définies dans la politique [AmazonEKS\$1CNI\$1Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html) sont requises. Si votre cluster utilise cette `IPv6` famille, vous devez [créer une politique IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) avec les autorisations en [IPv6 mode.](https://github.com/aws/amazon-vpc-cni-k8s/blob/master/docs/iam-policy.md#ipv6-mode) Vous pouvez créer un rôle IAM, y associer l’une des politiques et annoter le compte de service Kubernetes utilisé par le module complémentaire à l’aide de la commande suivante.
Remplacez *my-cluster* par le nom de votre cluster et *AmazonEKSVPCCNIRole* par le nom que vous souhaitez pour votre rôle. Si votre cluster utilise la famille `IPv6`, remplacez *AmazonEKS\$1CNI\$1Policy* par le nom de la politique que vous avez créée. Cette commande nécessite que [eksctl](https://eksctl.io) soit installé sur votre appareil. Si vous devez utiliser un autre outil pour créer le rôle, y associer la politique et annoter le compte de service Kubernetes, consultez [Attribution de rôles IAM aux comptes de service Kubernetes](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy --approve
```
### Mise à jour des informations
Vous ne pouvez mettre à jour qu'une seule version mineure à la fois. Par exemple, si votre version actuelle est `1.28.x-eksbuild.y ` et que vous voulez la mettre à jour vers `1.30.x-eksbuild.y `, vous devez d'abord mettre à jour votre version actuelle vers `1.29.x-eksbuild.y ` et ensuite la mettre à nouveau à jour vers `1.30.x-eksbuild.y `. Pour plus d'informations sur la mise à jour du module complémentaire, consultez la rubrique [Mettre à jour le CNI Amazon VPC (module complémentaire Amazon EKS)](vpc-add-on-update.md).
## CoreDNS
Le module complémentaire CoreDNS Amazon EKS est un serveur DNS flexible et extensible qui peut servir de DNS pour le cluster Kubernetes. Le type autogéré ou géré de ce module complémentaire a été installé par défaut lorsque vous avez créé votre cluster. Lorsque vous lancez un cluster Amazon EKS avec au moins un nœud, deux réplicas de l'image CoreDNS sont déployés par défaut, quel que soit le nombre de nœuds déployés dans votre cluster. Les pods CoreDNS fournissent une résolution de noms pour tous les pods du cluster. Vous pouvez déployer les pod CoreDNS sur les nœuds Fargate si votre cluster comprend un profil Fargate avec un espace de noms qui correspond à l’espace de noms du déploiement CoreDNS. Pour de plus amples informations, consultez [Définissez quels pods utilisent AWS Fargate lors de leur lancement](fargate-profile.md).
**Note**
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Pour de plus amples informations, veuillez consulter [Considérations relatives au mode automatique Amazon EKS](eks-add-ons.md#addon-consider-auto).
Le nom du module complémentaire Amazon EKS est `coredns`.
### Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
### Informations supplémentaires
Pour en savoir plus sur CoreDNS, consultez [Utilisation de CoreDNS pour la découverte de services](https://kubernetes.io/docs/tasks/administer-cluster/coredns/) et [Personnalisation du service DNS](https://kubernetes.io/docs/tasks/administer-cluster/dns-custom-nameservers/) dans la documentation Kubernetes.
## `Kube-proxy`
Le module complémentaire `Kube-proxy` Amazon EKS gère les règles réseau sur chaque nœud Amazon EC2. Il permet la communication réseau avec vos pods. Le type autogéré ou géré de ce module complémentaire est installé par défaut sur chaque nœud Amazon EC2 de votre cluster.
**Note**
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Pour de plus amples informations, veuillez consulter [Considérations relatives au mode automatique Amazon EKS](eks-add-ons.md#addon-consider-auto).
Le nom du module complémentaire Amazon EKS est `kube-proxy`.
### Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
### Mise à jour des informations
Avant de mettre à jour votre version actuelle, veuillez tenir compte des exigences suivantes :
+ `Kube-proxy` sur un cluster Amazon EKS a la même [politique de compatibilité et de décalage que Kubernetes](https://kubernetes.io/releases/version-skew-policy/#kube-proxy).
### Informations supplémentaires
Pour en savoir plus sur `kube-proxy`, consultez [kube-proxy](https://kubernetes.io/docs/reference/command-line-tools-reference/kube-proxy/) dans la documentation Kubernetes.
## Pilote CSI Amazon EBS
Le module complémentaire Amazon EKS, le pilote CSI Amazon EBS, est un module complémentaire Kubernetes Container Storage Interface (CSI) qui fournit un stockage Amazon EBS pour votre cluster.
**Note**
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Le mode automatique inclut une fonctionnalité de stockage en bloc. Pour de plus amples informations, veuillez consulter [Déployer un exemple de charge de travail avec état dans le mode automatique EKS](sample-storage-workload.md).
Le nom du module complémentaire Amazon EKS est `aws-ebs-csi-driver`.
### Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d’Amazon EKS. Pour de plus amples informations, veuillez consulter [Rôles IAM pour les comptes de service](iam-roles-for-service-accounts.md). Ce module complémentaire nécessite l'une des politiques AWS gérées suivantes : [Amazon EBSCSIDriver PolicyV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicyV2.html) pour le cadrage basé sur les balises, [Amazon EBSCSIDriver EKSCluster ScopedPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverEKSClusterScopedPolicy.html) pour l'isolation à l'échelle du cluster ou [EBSCSIDriverAmazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicy.html) Policy si vous ne souhaitez aucune restriction basée sur les balises. Vous pouvez créer un rôle IAM et y attacher la politique gérée à l'aide de la commande suivante. Remplacez *my-cluster* par le nom de votre cluster et *AmazonEKS\$1EBS\$1CSI\$1DriverRole* par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que [eksctl](https://eksctl.io) soit installé sur votre appareil. Si vous devez utiliser un autre outil ou une [clé KMS](https://aws.amazon.com/kms/) personnalisée pour le chiffrement, reportez-vous à la section [Étape 1 : Créer un rôle IAM](ebs-csi.md#csi-iam-role).
En cas de migration depuis`AmazonEBSCSIDriverPolicy`, consultez la section Migration de la politique du [pilote EBS CSI](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918).
```
eksctl create iamserviceaccount \
--name ebs-csi-controller-sa \
--namespace kube-system \
--cluster my-cluster \
--role-name AmazonEKS_EBS_CSI_DriverRole \
--role-only \
--attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicyV2 \
--approve
```
### Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez [Utilisez le stockage de volumes Kubernetes avec Amazon EBS](ebs-csi.md).
## Pilote CSI Amazon EFS
Le pilote Amazon EFS CSI (module complémentaire Amazon EKS) est un plugin Kubernetes Container Storage Interface (CSI) qui fournit le stockage Amazon EFS et Amazon S3 Files pour votre cluster.
Le nom du module complémentaire Amazon EKS est `aws-efs-csi-driver`.
### Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d’Amazon EKS. Pour de plus amples informations, veuillez consulter [Rôles IAM pour les comptes de service](iam-roles-for-service-accounts.md).
La politique AWS gérée spécifique dont vous avez besoin dépend du type de système de fichiers que vous souhaitez utiliser :
+ **Pour les systèmes de fichiers Amazon EFS uniquement** : joignez la [EFSCSIDriverpolitique gérée par Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEFSCSIDriverPolicy.html) Policy.
+ **Pour le système de fichiers Amazon S3 uniquement** : joignez la politique `AmazonS3FilesCSIDriverPolicy` gérée.
+ **Pour les systèmes de fichiers Amazon EFS et Amazon S3** : joignez à la fois les politiques `AmazonS3FilesCSIDriverPolicy` gérées `AmazonEFSCSIDriverPolicy` et les politiques gérées.
Vous pouvez créer un rôle IAM et y attacher la politique gérée à l'aide des commandes suivantes. Remplacez *my-cluster* par le nom de votre cluster et *AmazonEKS\$1EFS\$1CSI\$1DriverRole* par le nom que vous souhaitez pour votre rôle. L'exemple suivant joint le `AmazonEFSCSIDriverPolicy` pour les systèmes de fichiers Amazon EFS. Si vous utilisez un système de fichiers Amazon S3, remplacez l'ARN de la politique par` arn:aws: iam::aws:policy/service-role/AmazonS3FilesCSIDriverPolicy`. Si vous utilisez les deux types de systèmes de fichiers, ajoutez un `--attach-policy-arn` indicateur supplémentaire avec le deuxième ARN de politique. Ces commandes nécessitent que [eksctl](https://eksctl.io) soit installé sur votre appareil. Si vous devez utiliser un autre outil, consultez [Étape 1 : Créer un rôle IAM](efs-csi.md#efs-create-iam-resources) Amazon EFS ou [Étape 1 : créer des rôles IAM](s3files-csi.md#s3files-create-iam-resources) Amazon S3 Files.
```
export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
--name efs-csi-controller-sa \
--namespace kube-system \
--cluster $cluster_name \
--role-name $role_name \
--role-only \
--attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
--approve
TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
```
**Note**
L'exemple ci-dessus permet uniquement de configurer. `efs-csi-controller-sa` Si vous utilisez des systèmes de fichiers Amazon S3, vous devez également les configurer`efs-csi-node-sa`. Consultez [Étape 1 : créer des rôles IAM](s3files-csi.md#s3files-create-iam-resources) la configuration complète de S3 Files IAM.
### Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez [Utilisation du stockage en système de fichiers Elastic avec Amazon EFS](efs-csi.md).
## pilote Amazon FSx CSI
Le module complémentaire Amazon EKS du pilote Amazon FSx CSI est un plugin Kubernetes Container Storage Interface (CSI) qui fournit le stockage Amazon FSx for Lustre pour votre cluster.
Le nom du module complémentaire Amazon EKS est `aws-fsx-csi-driver`.
**Note**
Les installations préexistantes du pilote Amazon FSx CSI dans le cluster peuvent provoquer l'échec de l'installation des modules complémentaires. Lorsque vous tentez d'installer la version complémentaire Amazon EKS alors qu'un pilote FSx CSI autre qu'EKS existe, l'installation échoue en raison de conflits de ressources. Utilisez l’indicateur `OVERWRITE` lors de l’installation pour résoudre ce problème :
```
aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE
```
Le module complémentaire Amazon FSx CSI Driver EKS prend en charge l'authentification via EKS Pod Identity ou IAM Roles for Service Accounts (IRSA). Pour utiliser EKS Pod Identity, installez l'agent Pod Identity avant ou après le déploiement du module complémentaire FSx CSI Driver. Pour de plus amples informations, veuillez consulter [Configurer l’agent de l’identité du pod Amazon EKS](pod-id-agent-setup.md). Pour utiliser IRSA à la place, voir[Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md).
### Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d’Amazon EKS. Pour de plus amples informations, veuillez consulter [Rôles IAM pour les comptes de service](iam-roles-for-service-accounts.md). Les autorisations définies dans la politique FSx FullAccess AWS gérée par [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) sont obligatoires. Vous pouvez créer un rôle IAM et y attacher la politique gérée à l'aide de la commande suivante. Remplacez *my-cluster* par le nom de votre cluster et *AmazonEKS\$1FSx\$1CSI\$1DriverRole* par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que [eksctl](https://eksctl.io) soit installé sur votre appareil.
```
eksctl create iamserviceaccount \
--name fsx-csi-controller-sa \
--namespace kube-system \
--cluster my-cluster \
--role-name AmazonEKS_FSx_CSI_DriverRole \
--role-only \
--attach-policy-arn arn:aws: iam::aws:policy/AmazonFSxFullAccess \
--approve
```
### Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez [Utilisez un stockage d’applications haute performance avec Amazon FSx pour Lustre](fsx-csi.md).
## Pilote CSI Mountpoint pour Amazon S3
Le module complémentaire Amazon EKS, le pilote CSI Mountpoint pour Amazon S3, est un module complémentaire Kubernetes Container Storage Interface (CSI) qui fournit un stockage Amazon S3 pour votre cluster.
Le nom du module complémentaire Amazon EKS est `aws-mountpoint-s3-csi-driver`.
### Autorisations IAM requises
Ce module complémentaire utilise la fonctionnalité de rôles IAM pour les comptes de service d’Amazon EKS. Pour de plus amples informations, veuillez consulter [Rôles IAM pour les comptes de service](iam-roles-for-service-accounts.md).
Le rôle IAM créé nécessitera une stratégie d'accès à S3. Veuillez suivre les [Recommandations relatives aux autorisations IAM pour Mountpoint](https://github.com/awslabs/mountpoint-s3/blob/main/doc/CONFIGURATION.md#iam-permissions) lors de la création de la politique. Vous pouvez également utiliser la politique AWS gérée [AmazonS3 FullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor), mais cette politique gérée accorde plus d'autorisations que ce qui est nécessaire pour Mountpoint.
Vous pouvez créer un rôle IAM et y attacher votre politique à l'aide des commandes suivantes. Remplacez-le *my-cluster* par le nom de votre cluster, *region-code* par le code de AWS région correct, *AmazonEKS\$1S3\$1CSI\$1DriverRole* par le nom de votre rôle et *AmazonEKS\$1S3\$1CSI\$1DriverRole\$1ARN* par l'ARN du rôle. Ces commandes nécessitent que [eksctl](https://eksctl.io) soit installé sur votre appareil. Pour obtenir des instructions sur l'utilisation de la console ou de la AWS CLI IAM, consultez[Étape 2 : Créer un rôle IAM](s3-csi-create.md#s3-create-iam-role).
```
CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
--name s3-csi-driver-sa \
--namespace kube-system \
--cluster $CLUSTER_NAME \
--attach-policy-arn $POLICY_ARN \
--approve \
--role-name $ROLE_NAME \
--region $REGION \
--role-only
```
### Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez [Accéder aux objets Amazon S3 avec le pilote CSI Mountpoint pour Amazon S3](s3-csi.md).
## Contrôleur d'instantané CSI
Le contrôleur d’instantanés Container Storage Interface (CSI) permet d’utiliser la fonctionnalité d’instantanés dans les pilotes CSI compatibles, tels que le pilote CSI Amazon EBS.
Le nom du module complémentaire Amazon EKS est `snapshot-controller`.
### Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
### Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez [Activer la fonctionnalité d’instantané pour les volumes CSI](csi-snapshot-controller.md).
## Gouvernance des SageMaker HyperPod tâches Amazon
SageMaker HyperPod la gouvernance des tâches est un système de gestion robuste conçu pour rationaliser l'allocation des ressources et garantir une utilisation efficace des ressources informatiques au sein des équipes et des projets pour vos clusters Amazon EKS. Cela permet aux administrateurs de définir :
+ des niveaux de priorité pour différentes tâches ;
+ l’allocation de ressources de calcul pour chaque équipe ;
+ comment chaque équipe prête et emprunte des ressources de calcul inactives ;
+ si une équipe préempte ses propres tâches.
HyperPod la gouvernance des tâches fournit également l'observabilité du cluster Amazon EKS, offrant une visibilité en temps réel sur la capacité du cluster. Cela inclut la disponibilité et l’utilisation des ressources informatiques, l’allocation et l’utilisation par équipe, ainsi que des informations sur l’exécution des tâches et les temps d’attente, vous permettant ainsi de prendre des décisions éclairées et de gérer vos ressources de manière proactive.
Le nom du module complémentaire Amazon EKS est `amazon-sagemaker-hyperpod-taskgovernance`.
### Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
### Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultez la section [Gouvernance des SageMaker HyperPod tâches](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-operate-console-ui-governance.html)
## Module complémentaire Amazon SageMaker HyperPod Observability
Le module complémentaire Amazon SageMaker HyperPod Observability fournit des fonctionnalités complètes de surveillance et d'observabilité pour HyperPod les clusters. Ce module complémentaire déploie et gère automatiquement les composants de surveillance essentiels, notamment l'exportateur de nœuds, l'exportateur DCGM et l'exportateur EFA. kube-state-metrics Il collecte et transmet les métriques à une instance Amazon Managed Prometheus (AMP) désignée par la clientèle et expose un point de terminaison OTLP pour les métriques personnalisées et l’ingestion d’événements provenant des tâches d’entraînement de la clientèle.
Le module complémentaire s'intègre à l'ensemble de l' HyperPod écosystème en extrayant les métriques de divers composants, notamment le module complémentaire HyperPod Task Governance, HyperPod Training Operator, Kubeflow et KEDA. Toutes les métriques collectées sont centralisées dans Amazon Managed Prometheus, ce qui permet aux clients d’obtenir une vue d’observabilité unifiée via les tableaux de bord Amazon Managed Grafana. Cela fournit une end-to-end visibilité sur l'état du cluster, l'utilisation des ressources et les performances des tâches de formation dans l'ensemble de HyperPod l'environnement.
Le nom du module complémentaire Amazon EKS est `amazon-sagemaker-hyperpod-observability`.
### Autorisations IAM requises
Ce module complémentaire utilise la fonctionnalité de rôles IAM pour les comptes de service d’Amazon EKS. Pour de plus amples informations, veuillez consulter [Rôles IAM pour les comptes de service](iam-roles-for-service-accounts.md). Les politiques gérées suivantes sont requises :
+ `AmazonPrometheusRemoteWriteAccess` : pour l’écriture à distance des métriques du cluster vers AMP
+ `CloudWatchAgentServerPolicy`- pour écrire à distance les journaux du cluster vers CloudWatch
### Informations supplémentaires
Pour en savoir plus sur le module complémentaire et ses fonctionnalités, consultez [SageMaker HyperPod Observabilité](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-observability-cluster.html).
## Opérateur SageMaker HyperPod de formation Amazon
L'opérateur de SageMaker HyperPod formation Amazon vous aide à accélérer le développement de modèles d'IA générative en gérant efficacement la formation distribuée sur de grands clusters de GPU. Il intègre des fonctionnalités intelligentes de restauration après panne, de détection des interruptions de tâche et de gestion au niveau des processus qui minimisent les interruptions d’entraînement et réduisent les coûts. Contrairement à l’infrastructure d’entraînement traditionnelle qui nécessite le redémarrage complet des tâches en cas de défaillance, cet opérateur met en œuvre la récupération chirurgicale des processus pour maintenir le bon déroulement de vos tâches d’entraînement.
L'opérateur utilise également les fonctions de surveillance HyperPod de l'état de santé et d'observabilité de l'opérateur, qui fournissent une visibilité en temps réel sur l'exécution de la formation et une surveillance automatique des indicateurs critiques tels que les pics de pertes et la dégradation du débit. Vous pouvez définir des politiques de récupération par le biais de configurations YAML simples sans modifier le code, ce qui vous permet de réagir rapidement et de récupérer à partir d’états d’entraînement irrécupérables. Ces capacités de surveillance et de récupération fonctionnent ensemble pour maintenir des performances de formation optimales tout en minimisant les frais généraux opérationnels.
Le nom du module complémentaire Amazon EKS est `amazon-sagemaker-hyperpod-training-operator`.
Pour plus d'informations, consultez la section [Utilisation de l'opérateur de HyperPod formation](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-eks-operator.html) dans le manuel *Amazon SageMaker Developer Guide*.
### Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM et utilise l’identité du pod Amazon EKS.
AWS suggère la [politique `AmazonSageMakerHyperPodTrainingOperatorAccess` gérée](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html).
Pour plus d'informations, consultez la section [Installation de l'opérateur de formation](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-eks-operator-install.html#sagemaker-eks-operator-install-operator) dans le manuel *Amazon SageMaker Developer Guide*.
### Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultez la section [SageMaker HyperPod Formation des opérateurs](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-eks-operator.html).
## Opérateur SageMaker HyperPod d'inférence Amazon
Amazon SageMaker HyperPod propose une end-to-end expérience qui prend en charge le cycle de vie complet du développement de l'IA, de l'expérimentation interactive à la formation, en passant par les flux de travail d'inférence et de post-formation. Elle fournit désormais une plateforme d'inférence complète qui associe la flexibilité de Kubernetes à l'excellence opérationnelle d'une expérience gérée. Déployez, dimensionnez et optimisez vos modèles GenAI avec une fiabilité de niveau professionnel en utilisant le même HyperPod calcul tout au long du cycle de vie du modèle.
Amazon SageMaker HyperPod propose des interfaces de déploiement flexibles qui vous permettent de déployer des modèles par le biais de plusieurs méthodes, notamment kubectl, le SDK Python, l'interface utilisateur Amazon SageMaker Studio ou la CLI. HyperPod Cette fonctionnalité fournit des fonctionnalités avancées de mise à l'échelle automatique avec une allocation dynamique des ressources qui s'ajuste automatiquement en fonction de la demande. En outre, il inclut des fonctionnalités complètes d'observabilité et de surveillance qui suivent les indicateurs critiques tels que time-to-first-token la latence et l'utilisation du GPU pour vous aider à optimiser les performances.
Le nom du module complémentaire Amazon EKS est `amazon-sagemaker-hyperpod-inference`.
### Méthodes d'installation
Vous pouvez installer ce module complémentaire en utilisant l'une des méthodes suivantes :
+ **SageMaker Console (recommandée)** : fournit une expérience d'installation rationalisée grâce à une configuration guidée.
+ **Console ou CLI EKS Add-ons** : nécessite l'installation manuelle des modules complémentaires de dépendance avant d'installer l'opérateur d'inférence. Consultez la section sur les conditions préalables ci-dessous pour connaître les dépendances requises.
### Conditions préalables
Avant d'installer le module complémentaire d'opérateur d'inférence via la console EKS Add-ons ou la CLI, assurez-vous que les dépendances suivantes sont installées.
Modules complémentaires EKS requis :
+ Pilote CSI Amazon S3 Mountpoint (version minimale : v1.14.1-eksbuild.1)
+ Serveur de métriques (version minimale : v0.7.2-eksbuild.4)
+ Pilote Amazon FSx CSI (version minimale : v1.6.0-eksbuild.1)
+ Gestionnaire de certificats (version minimale : v1.18.2-eksbuild.2)
Pour obtenir des instructions d'installation détaillées pour chaque dépendance, voir [Installation de l'opérateur d'inférence](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html).
### Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM et utilise OIDC/IRSA.
Les politiques gérées suivantes sont recommandées car elles fournissent les autorisations limitées minimales :
+ `AmazonSageMakerHyperPodInferenceAccess`- fournit les privilèges d'administrateur requis pour configurer l'opérateur d'inférence
+ `AmazonSageMakerHyperPodGatedModelAccess`- donne SageMaker HyperPod accès à des modèles sécurisés dans SageMaker Jumpstart (par exemple, Meta Llama, GPT-Neo)
Pour plus d'informations, consultez la section [Installation de l'opérateur d'inférence](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html).
### Informations supplémentaires
Pour en savoir plus sur l'opérateur d' SageMaker HyperPod inférence Amazon, consultez Opérateur [SageMaker HyperPod d'inférence](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment.html).
Pour obtenir des informations de dépannage, consultez la section [Résolution des problèmes liés au déploiement du SageMaker HyperPod modèle](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-ts.html).
## AWS Agent de surveillance du flux réseau
L'agent Amazon CloudWatch Network Flow Monitor est une application Kubernetes qui collecte les statistiques de connexion TCP à partir de tous les nœuds d'un cluster et publie des rapports sur le flux réseau dans Amazon CloudWatch Network Flow Monitor Ingestion. APIs
Le nom du module complémentaire Amazon EKS est `aws-network-flow-monitoring-agent`.
### Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM.
Vous devez associer la politique gérée `CloudWatchNetworkFlowMonitorAgentPublishPolicy` au module complémentaire.
Pour plus d'informations sur la configuration IAM requise, consultez la [politique IAM](https://github.com/aws/network-flow-monitor-agent?tab=readme-ov-file#iam-policy) sur le référentiel d'agents GitHub Amazon CloudWatch Network Flow Monitor.
Pour plus d'informations sur la politique gérée, consultez [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/security-iam-awsmanpol-network-flow-monitor.html#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy)le guide de CloudWatch l'utilisateur Amazon.
### Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultez le [ GitHub dépôt de l'agent Amazon CloudWatch Network Flow Monitor.](https://github.com/aws/network-flow-monitor-agent?tab=readme-ov-file)
## Agent de surveillance des nœuds
Le module complémentaire Amazon EKS de l’agent de surveillance des nœuds permet de détecter d’autres problèmes d’état des nœuds. Ces signaux d’état supplémentaires peuvent également être exploités par la fonctionnalité optionnelle de réparation automatique des nœuds afin de remplacer automatiquement les nœuds si nécessaire.
**Note**
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Pour de plus amples informations, veuillez consulter [Considérations relatives au mode automatique Amazon EKS](eks-add-ons.md#addon-consider-auto).
Le nom du module complémentaire Amazon EKS est `eks-node-monitoring-agent`.
### Autorisations IAM requises
Ce module complémentaire ne nécessite pas d’autorisations supplémentaires.
### Informations supplémentaires
Pour de plus amples informations, veuillez consulter [Détectez les problèmes de santé des nœuds et activez la réparation automatique des nœuds](node-health.md).
## AWS Distro pour OpenTelemetry
Le module complémentaire AWS Distro for OpenTelemetry Amazon EKS est une distribution sécurisée, prête pour la production et AWS prise en charge du projet. OpenTelemetry Pour plus d'informations, consultez [AWS Distro for OpenTelemetry](https://aws-otel.github.io/) on GitHub.
Le nom du module complémentaire Amazon EKS est `adot`.
### Autorisations IAM requises
Ce module complémentaire ne nécessite des autorisations IAM que si vous utilisez l’une des ressources personnalisées préconfigurées qui peuvent être activées via la configuration avancée.
### Informations supplémentaires
Pour plus d'informations, consultez [Getting Started with AWS Distro pour OpenTelemetry l'utilisation des modules complémentaires EKS](https://aws-otel.github.io/docs/getting-started/adot-eks-add-on) dans la AWS distribution pour OpenTelemetry obtenir de la documentation.
ADOT exige que le `cert-manager` module complémentaire soit déployé sur le cluster comme condition préalable, sinon ce module complémentaire ne fonctionnera pas s'il est déployé directement à l'aide du https://registry.terraform. io/modules/terraform-aws-modules/eks/aws/latest`cluster_addons`propriété. Pour plus d'informations sur les exigences, reportez-vous à la section [Conditions requises pour démarrer avec AWS Distro pour OpenTelemetry l'utilisation des modules complémentaires EKS](https://aws-otel.github.io/docs/getting-started/adot-eks-add-on/requirements) dans la AWS distribution pour OpenTelemetry obtenir de la documentation.
## GuardDuty Agent Amazon
Le module complémentaire Amazon EKS de l' GuardDuty agent Amazon collecte les [événements d'exécution](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-collected-events.html) (accès aux fichiers, exécution des processus, connexions réseau) à partir des nœuds de votre cluster EKS pour les analyser par GuardDuty Runtime Monitoring. GuardDuty lui-même (et non l'agent) est le service de surveillance de la sécurité qui analyse et traite les [sources de données fondamentales](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html), notamment les événements de AWS CloudTrail gestion et les journaux de flux Amazon VPC, ainsi que des fonctionnalités [telles](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html) que les journaux d'audit Kubernetes et la surveillance du temps d'exécution.
Le nom du module complémentaire Amazon EKS est `aws-guardduty-agent`.
### Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
### Informations supplémentaires
Pour plus d'informations, consultez la section [Surveillance du temps d'exécution pour les clusters Amazon EKS sur Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html).
+ Pour détecter les menaces de sécurité potentielles dans vos clusters Amazon EKS, activez la surveillance de l' GuardDuty exécution Amazon et déployez l'agent de GuardDuty sécurité sur vos clusters Amazon EKS.
## Agent Amazon CloudWatch Observability
L'agent Amazon CloudWatch Observability (Amazon EKS) ajoute le service de surveillance et d'observabilité fourni par. AWS Ce module complémentaire installe l' CloudWatch agent et active à la fois CloudWatch Application Signals et CloudWatch Container Insights avec une observabilité améliorée pour Amazon EKS. Pour plus d'informations, consultez [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html).
Le nom du module complémentaire Amazon EKS est `amazon-cloudwatch-observability`.
### Autorisations IAM requises
Ce module complémentaire utilise la fonctionnalité de rôles IAM pour les comptes de service d’Amazon EKS. Pour de plus amples informations, veuillez consulter [Rôles IAM pour les comptes de service](iam-roles-for-service-accounts.md). Les autorisations indiquées dans [AWSXrayWriteOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess)et dans les politiques [CloudWatchAgentServerPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy) AWS gérées sont obligatoires. Vous pouvez créer un rôle IAM, y associer les politiques gérées et annoter le compte de service Kubernetes utilisé par le module complémentaire à l’aide de la commande suivante. Remplacez *my-cluster* par le nom de votre cluster et *AmazonEKS\$1Observability\$1role* par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que [eksctl](https://eksctl.io) soit installé sur votre appareil. Si vous devez utiliser un autre outil pour créer le rôle, y associer la politique et annoter le compte de service Kubernetes, consultez [Attribution de rôles IAM aux comptes de service Kubernetes](associate-service-account-role.md).
```
eksctl create iamserviceaccount \
--name cloudwatch-agent \
--namespace amazon-cloudwatch \
--cluster my-cluster \
--role-name AmazonEKS_Observability_Role \
--role-only \
--attach-policy-arn arn:aws: iam::aws:policy/AWSXrayWriteOnlyAccess \
--attach-policy-arn arn:aws: iam::aws:policy/CloudWatchAgentServerPolicy \
--approve
```
### Informations supplémentaires
Pour plus d'informations, consultez la section [Installation de l' CloudWatch agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Observability-EKS-addon.html).
## AWS Connecteur CA privé pour Kubernetes
Le connecteur AWS Private CA pour Kubernetes est un module complémentaire pour cert-manager qui permet aux utilisateurs d'obtenir des certificats auprès d'une autorité de certification privée (autorité de certification AWS privée).AWS
+ Le nom du module complémentaire Amazon EKS est `aws-privateca-connector-for-kubernetes`.
+ L’espace de noms du module complémentaire est `aws-privateca-issuer`.
Ce module complémentaire nécessite `cert-manager`. `cert-manager` est disponible sur Amazon EKS en tant que module complémentaire communautaire. Pour plus d’informations sur ce module complémentaire, consultez [Gestionnaire de certificats](community-addons.md#addon-cert-manager). Pour plus d’informations sur l’installation des modules complémentaires, consultez [Créer un module complémentaire Amazon EKS](creating-an-add-on.md).
### Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM.
Utilisez les identités du pod EKS pour associer la politique IAM `AWSPrivateCAConnectorForKubernetesPolicy` au compte de service Kubernetes `aws-privateca-issuer`. Pour de plus amples informations, veuillez consulter [Utiliser les identités du pod pour attribuer un rôle IAM à un module complémentaire Amazon EKS](update-addon-role.md).
Pour plus d'informations sur les autorisations requises, consultez le [AWSPrivateCAConnectorForKubernetesPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateCAConnectorForKubernetesPolicy.html)manuel AWS Managed Policy Reference.
### Informations supplémentaires
Pour plus d'informations, consultez le référentiel [AWS Private CA Issuer for Kubernetes GitHub ](https://github.com/cert-manager/aws-privateca-issuer).
Pour plus d'informations sur la configuration du module complémentaire, consultez [values.yaml dans le dépôt](https://github.com/cert-manager/aws-privateca-issuer/blob/main/charts/aws-pca-issuer/values.yaml). `aws-privateca-issuer` GitHub Veuillez vérifier que la version de values.yaml correspond à la version du module complémentaire installé sur votre cluster.
Ce module complémentaire tolère les `CriticalAddonsOnly` taches produites par le mode automatique `system` NodePool d'EKS. Pour de plus amples informations, veuillez consulter [Exécutez les modules complémentaires critiques sur des instances dédiées.](critical-workload.md).
## Agent d'identité du pod EKS
Le module complémentaire Agent d’identité du pod Amazon EKS permet de gérer les informations d’identification de vos applications, de la même manière que les profils d’instance EC2 fournissent des informations d’identification aux instances EC2.
**Note**
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Le mode automatique Amazon EKS s’intègre à l’identité du pod Amazon EKS. Pour de plus amples informations, veuillez consulter [Considérations relatives au mode automatique Amazon EKS](eks-add-ons.md#addon-consider-auto).
Le nom du module complémentaire Amazon EKS est `eks-pod-identity-agent`.
### Autorisations IAM requises
Le module complémentaire Agent d’identité du pod Amazon EKS ne nécessite pas de rôle IAM. Il utilise les autorisations du [rôle IAM du nœud Amazon EKS](create-node-role.md) pour fonctionner, mais ne nécessite pas de rôle IAM dédié pour le module complémentaire.
### Mise à jour des informations
Vous ne pouvez mettre à jour qu'une seule version mineure à la fois. Par exemple, si votre version actuelle est `1.28.x-eksbuild.y` et que vous voulez la mettre à jour vers `1.30.x-eksbuild.y`, vous devez d'abord mettre à jour votre version actuelle vers `1.29.x-eksbuild.y` et ensuite la mettre à nouveau à jour vers `1.30.x-eksbuild.y`. Pour plus d'informations sur la mise à jour du module complémentaire, consultez la rubrique [Mettre à jour un module complémentaire Amazon EKS](updating-an-add-on.md).
## Exportateur de métriques réseau SR-IOV
Le module complémentaire Exportateur de métriques réseau SR-IOV Amazon EKS collecte et expose les métriques relatives aux périphériques réseau SR-IOV au format Prometheus. Il permet de surveiller les performances du réseau SR-IOV sur les nœuds de matériel nu EKS. L'exportateur fonctionne comme un nœud DaemonSet doté d'interfaces SR-IOV-capable réseau et exporte des métriques qui peuvent être récupérées par Prometheus.
**Note**
Ce module complémentaire nécessite des nœuds dotés d'interfaces SR-IOV-capable réseau.
| Propriété | Value |
| --- | --- |
| Nom du module complémentaire | `sriov-network-metrics-exporter` |
| Namespace | `monitoring` |
| Documentation | [Dépôt de l'exportateur de métriques réseau SR-IOV GitHub ](https://github.com/k8snetworkplumbingwg/sriov-network-metrics-exporter) |
| Nom du compte de service | Aucune |
| Politique IAM gérée | Aucune |
| Autorisations IAM personnalisées | Aucune |
### AWS Fournisseur de pilotes CSI Secrets Store
Le AWS fournisseur du pilote CSI Secrets Store est un module complémentaire qui permet de récupérer des AWS secrets depuis Secrets Manager et des paramètres depuis AWS Systems Manager Parameter Store et de les monter sous forme de fichiers dans des pods Kubernetes.
### Autorisations IAM requises
Le module complémentaire ne nécessite pas d'autorisations IAM. Toutefois, les modules d'application nécessiteront des autorisations IAM pour récupérer les AWS secrets depuis Secrets Manager et les paramètres depuis le magasin de paramètres AWS Systems Manager. Après avoir installé le module complémentaire, l'accès doit être configuré via IAM Roles for Service Accounts (IRSA) ou EKS Pod Identity. Pour utiliser IRSA, reportez-vous à la documentation de [configuration de Secrets Manager IRSA](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating_ascp_irsa.html). Pour utiliser EKS Pod Identity, reportez-vous à la [documentation de configuration de Secrets Manager Pod Identity](https://docs.aws.amazon.com/secretsmanager/latest/userguide/ascp-pod-identity-integration.html).
AWS suggère la [politique `AWSSecretsManagerClientReadOnlyAccess` gérée](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-policies.html#security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess).
Pour plus d'informations sur les autorisations requises, consultez `AWSSecretsManagerClientReadOnlyAccess` la référence des politiques AWS gérées.
### Informations supplémentaires
[Pour plus d'informations, consultez le référentiel secrets-store-csi-driver -provider-awsGitHub .](https://github.com/aws/secrets-store-csi-driver-provider-aws)
Pour en savoir plus sur le module complémentaire, consultez sa [documentation relative àAWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/ascp-eks-installation.html).
## Amazon SageMaker Spaces
Le module complémentaire Amazon SageMaker Spaces permet d'exécuter IDEs des blocs-notes sur des clusters EKS ou HyperPod -EKS. Les administrateurs peuvent utiliser la console EKS pour installer le module complémentaire sur leur cluster et définir des configurations d'espace par défaut telles que les images, les ressources de calcul, le stockage local pour les paramètres du bloc-notes (stockage supplémentaire à associer à leurs espaces), les systèmes de fichiers et les scripts d'initialisation.
Les développeurs d'IA peuvent utiliser kubectl pour créer, mettre à jour et supprimer des espaces. Ils ont la possibilité d'utiliser les configurations par défaut fournies par les administrateurs ou de personnaliser les paramètres. Les développeurs d'IA peuvent accéder à leurs espaces sur EKS ou HyperPod -EKS à l'aide de leur code VS local IDEs, de and/or leur navigateur Web qui héberge leur espace JupyterLab ou de leur CodeEditor IDE sur un domaine DNS personnalisé configuré par leurs administrateurs. Ils peuvent également utiliser la fonction de redirection de port de Kubernetes pour accéder aux espaces de leurs navigateurs Web.
Le nom du module complémentaire Amazon EKS est `amazon-sagemaker-spaces`.
### Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM. Pour plus d'informations sur la configuration IAM requise, consultez la section Configuration des [autorisations IAM dans le manuel](https://docs.aws.amazon.com/sagemaker/latest/dg/permission-setup.html) *Amazon SageMaker Developer Guide*.
### Informations supplémentaires
Pour en savoir plus sur le module complémentaire et ses fonctionnalités, consultez [SageMaker AI Notebooks HyperPod dans le](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-ide.html) manuel *Amazon SageMaker Developer Guide*.
# Modules complémentaires communautaires
Vous pouvez l'utiliser AWS APIs pour installer des modules complémentaires communautaires, tels que le serveur Kubernetes Metrics. Vous pouvez choisir d’installer ces modules complémentaires communautaires sous forme de modules complémentaires Amazon EKS afin de réduire la complexité de gestion du logiciel sur plusieurs clusters.
Par exemple, vous pouvez utiliser l' AWS API, la CLI ou la console de gestion pour installer des modules complémentaires communautaires. Il est également possible d’installer un module complémentaire communautaire lors de la création d’un cluster.
Vous gérez ces modules complémentaires communautaires de la même manière que les modules complémentaires Amazon EKS existants. Les modules complémentaires communautaires se distinguent des modules complémentaires existants par un champ d’assistance spécifique.
**Note**
L’utilisation des modules complémentaires communautaires est à votre discrétion. Dans le cadre du [modèle de responsabilité partagée](security.md) entre vous et AWS, vous êtes censé comprendre ce que vous installez dans votre cluster pour ces plugins tiers. Vous êtes également responsable de la conformité de ces modules complémentaires communautaires avec vos exigences de sécurité de cluster. Pour de plus amples informations, veuillez consulter [Prise en charge des logiciels déployés sur EKS](related-projects.md#oss-scope).
Les modules complémentaires communautaires ne sont pas créés par AWS. AWS valide uniquement les modules complémentaires communautaires pour la compatibilité des versions. Par exemple, si vous installez un module complémentaire communautaire sur un cluster, vérifiez AWS s'il est compatible avec la version Kubernetes de votre cluster.
Surtout, AWS ne fournit pas un support complet pour les modules complémentaires communautaires. AWS prend uniquement en charge les opérations de cycle de vie effectuées à l'aide de modules complémentaires AWS APIs, telles que l'installation ou la suppression de modules complémentaires.
Si vous avez besoin d’une assistance technique pour un module complémentaire communautaire, vous devez utiliser les ressources existantes du projet. Par exemple, vous pouvez créer un GitHub problème sur le dépôt du projet.
## Détermination du type de module complémentaire
Vous pouvez utiliser la AWS CLI pour déterminer le type d'un module complémentaire Amazon EKS.
Exécutez la commande CLI suivante pour extraire des informations détaillées sur un module complémentaire. Vous pouvez remplacer `metrics-server` par le nom de n’importe quel module complémentaire.
```
aws eks describe-addon-versions --addon-name metrics-server
```
Vérifiez le résultat de la commande CLI dans le champ `owner`.
```
{
"addons": [
{
"addonName": "metrics-server",
"type": "observability",
"owner": "community",
"addonVersions": [
```
Si la valeur de `owner` est`community`, le module complémentaire est un module complémentaire communautaire. AWS fournit uniquement un support pour l'installation, la mise à jour et la suppression du module complémentaire. Si vous avez des questions sur les fonctionnalités et le fonctionnement du module complémentaire lui-même, utilisez les ressources communautaires telles que GitHub les problèmes.
## Installation ou mise à jour d’un module complémentaire communautaire
L’installation ou la mise à jour des modules complémentaires communautaires se fait de la même manière que pour les autres modules complémentaires Amazon EKS.
+ [Créer un module complémentaire Amazon EKS](creating-an-add-on.md)
+ [Mettre à jour un module complémentaire Amazon EKS](updating-an-add-on.md)
+ [Supprimer un module complémentaire Amazon EKS d’un cluster](removing-an-add-on.md)
## Modules complémentaires communautaires disponibles
Les modules complémentaires communautaires suivants sont disponibles à partir d’Amazon EKS.
+ [Serveur de métriques Kubernetes](#kubernetes-metrics-server)
+ [kube-state-metrics](#kube-state-metrics)
+ [Exportateur de nœuds Prometheus](#prometheus-node-exporter)
+ [Gestionnaire de certificats](#addon-cert-manager)
+ [DNS externe](#external-dns)
+ [Fluent Bit](#fluent-bit)
### Serveur de métriques Kubernetes
Le serveur de métriques Kubernetes est une source évolutive et efficace de métriques sur les ressources des conteneurs, utilisée dans les pipelines de mise à l’échelle automatique intégrés à Kubernetes. Il collecte les métriques de ressources à partir des Kubelets et les rend accessibles dans l’API Server de Kubernetes via l’API Metrics, utilisée par le Horizontal Pod Autoscaler et le Vertical Pod Autoscaler.
| Propriété | Value |
| --- | --- |
| Nom du module complémentaire | `metrics-server` |
| Namespace | `kube-system` |
| Documentation | [GitHub Readme](https://github.com/kubernetes-sigs/metrics-server) |
| Nom du compte de service | Aucune |
| Politique IAM gérée | Aucune |
| Autorisations IAM personnalisées | Aucune |
### kube-state-metrics
Agent de module complémentaire conçu pour générer et exposer des métriques au niveau du cluster.
L’état des objets Kubernetes présents dans l’API Kubernetes peut être exposé sous forme de métriques. Un agent complémentaire appelé kube-state-metrics peut se connecter au serveur d'API Kubernetes et exposer un point de terminaison HTTP avec des métriques générées à partir de l'état des objets individuels du cluster. Il expose diverses informations telles que les étiquettes et annotations, les temps de démarrage et d’arrêt, l’état ou la phase actuelle de l’objet.
| Propriété | Value |
| --- | --- |
| Nom du module complémentaire | `kube-state-metrics` |
| Namespace | `kube-state-metrics` |
| Documentation | [Métriques relatives aux états des objets Kubernetes](https://kubernetes.io/docs/concepts/cluster-administration/kube-state-metrics/) dans la documentation Kubernetes |
| Nom du compte de service | Aucune |
| Politique IAM gérée | Aucune |
| Autorisations IAM personnalisées | Aucune |
### Exportateur de nœuds Prometheus
Exportateur Prometheus chargé de collecter les métriques matérielles et système d’exploitation exposées par les noyaux de systèmes de type \$1NIX, développé en Go et doté de collecteurs de métriques modulables. L’exportateur de nœuds Prometheus expose une large gamme de métriques liées au matériel et au noyau.
| Propriété | Value |
| --- | --- |
| Nom du module complémentaire | `prometheus-node-exporter` |
| Namespace | `prometheus-node-exporter` |
| Documentation | [Surveillance des métriques des hôtes Linux avec l’exportateur de nœuds](https://prometheus.io/docs/guides/node-exporter/#monitoring-linux-host-metrics-with-the-node-exporter) dans la documentation Prometheus |
| Nom du compte de service | Aucune |
| Politique IAM gérée | Aucune |
| Autorisations IAM personnalisées | Aucune |
### Gestionnaire de certificats
Le gestionnaire de certificats permet de gérer la création et le renouvellement des certificats.
| Propriété | Value |
| --- | --- |
| Nom du module complémentaire | `cert-manager` |
| Namespace | `cert-manager` |
| Documentation | [Documents relatifs au gestionnaire de certificats](https://cert-manager.io/docs/) |
| Nom du compte de service | Aucune |
| Politique IAM gérée | Aucune |
| Autorisations IAM personnalisées | Aucune |
### DNS externe
Le module complémentaire EKS DNS externe peut être utilisé pour gérer les enregistrements DNS Route53 via les ressources Kubernetes.
Les autorisations DNS externes peuvent être réduites à `route53:ChangeResourceRecordSets`, `route53:ListHostedZones` et `route53:ListResourceRecordSets`pour les zones hébergées que vous souhaitez administrer.
| Propriété | Value |
| --- | --- |
| Nom du module complémentaire | `external-dns` |
| Namespace | `external-dns` |
| Documentation | [GitHub Readme](https://github.com/kubernetes-sigs/external-dns) |
| Nom du compte de service | `external-dns` |
| Politique IAM gérée | ` arn:aws: iam::aws:policy/AmazonRoute53FullAccess` |
| Autorisations IAM personnalisées | Aucune |
### Fluent Bit
Fluent Bit est un processeur et collecteur de journaux léger et à haut rendement. Il vous permet data/logs de collecter des données à partir de différentes sources, de les unifier et de les envoyer vers plusieurs destinations, notamment Amazon CloudWatch Logs, Amazon S3 et Amazon Data Firehose. Fluent Bit est conçu pour offrir d’excellentes performances et une grande efficacité en matière d’utilisation des ressources, ce qui le rend idéal pour les environnements Kubernetes.
Ce module complémentaire ne nécessite pas d’autorisations IAM dans sa configuration par défaut. Toutefois, vous devrez peut-être accorder à ce module complémentaire des autorisations IAM si vous configurez un emplacement AWS de sortie. Pour de plus amples informations, veuillez consulter [Utiliser les identités du pod pour attribuer un rôle IAM à un module complémentaire Amazon EKS](update-addon-role.md).
| Propriété | Value |
| --- | --- |
| Nom du module complémentaire | `fluent-bit` |
| Namespace | `fluent-bit` |
| Documentation | [Documentation Fluent Bit](https://docs.fluentbit.io/manual/) |
| Nom du compte de service | `fluent-bit` |
| Politique IAM gérée | Aucune |
| Autorisations IAM personnalisées | Aucune |
## Consultation des attributions
Vous pouvez télécharger les attributions open source et les informations de licence pour les modules complémentaires communautaires.
1. Déterminez le nom et la version du module complémentaire pour lequel vous souhaitez télécharger les attributions.
1. Mettez à jour la commande suivante avec le nom et la version :
```
curl -O https://amazon-eks-docs.s3.amazonaws.com/attributions///attributions.zip
```
Par exemple :
```
curl -O https://amazon-eks-docs.s3.amazonaws.com/attributions/kube-state-metrics/v2.14.0-eksbuild.1/attributions.zip
```
1. Exécutez la commande pour télécharger le fichier.
Utilisez ensuite le fichier ZIP obtenu pour consulter les informations sur les licences et attributions.
# AWS Modules complémentaires Marketplace
Outre la liste précédente de modules complémentaires Amazon EKS, vous pouvez également ajouter une large sélection de modules complémentaires Amazon EKS pour logiciels opérationnels proposés par des fournisseurs indépendants de logiciels. Sélectionnez un module complémentaire pour en savoir plus à son sujet et sur les conditions d'installation de celui-ci.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/IIPj119mspc?rel=0)
## Accuknox
Le nom du module complémentaire est `accuknox_kubearmor` et l’espace de noms est `kubearmor`. Accuknox diffuse le module complémentaire.
Pour plus d'informations sur le module complémentaire, consultez [Getting Started with KubeArmor](https://docs.kubearmor.io/kubearmor/quick-links/deployment_guide) dans la KubeArmor documentation.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Akuity
Le nom du module complémentaire est `akuity_agent` et l’espace de noms est `akuity`. Akuity diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [Installation de l’agent Akuity sur Amazon EKS avec le module complémentaire Akuity pour Amazon EKS](https://docs.akuity.io/tutorials/eks-addon-agent-install/) dans la documentation de la plateforme Akuity.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Calyptia
Le nom du module complémentaire est `calyptia_fluent-bit` et l’espace de noms est `calyptia-fluentbit`. Calyptia diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [Prise en main de Calyptia Core Agent](https://docs.akuity.io/tutorials/eks-addon-agent-install/) sur le site Web de documentation Calyptia.
### Nom du compte de service
Le nom du compte de service est `calyptia-fluentbit`.
### AWS politique IAM gérée
Ce module complémentaire utilise la politique gérée `AWSMarketplaceMeteringRegisterUsage`. Pour plus d'informations, consultez [AWSMarketplaceMeteringRegisterUsage](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceMeteringRegisterUsage.html)le Guide de référence des politiques AWS gérées.
### Commande pour créer le rôle IAM requis
La commande suivante nécessite que vous disposiez d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un, ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md). Remplacez *my-cluster* par le nom de votre cluster et *my-calyptia-role* par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que [eksctl](https://eksctl.io) soit installé sur votre appareil. Si vous devez utiliser un autre outil pour créer le rôle et annoter le compte de service Kubernetes, consultez [Attribution de rôles IAM aux comptes de service Kubernetes](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name service-account-name --namespace calyptia-fluentbit --cluster my-cluster --role-name my-calyptia-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/AWSMarketplaceMeteringRegisterUsage --approve
```
## Collecteur d’observabilité Cisco
Le nom du module complémentaire est `cisco_cisco-cloud-observability-collectors` et l’espace de noms est `appdynamics`. Cisco publie ce module complémentaire.
Pour plus d'informations sur le module complémentaire, voir [Utiliser les modules complémentaires Cisco Cloud Observability AWS Marketplace](https://docs.appdynamics.com/observability/cisco-cloud-observability/en/kubernetes-and-app-service-monitoring/install-kubernetes-and-app-service-monitoring-with-amazon-elastic-kubernetes-service/use-the-cisco-cloud-observability-aws-marketplace-add-ons) dans la AppDynamics documentation Cisco.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Opérateur d’observabilité Cisco
Le nom du module complémentaire est `cisco_cisco-cloud-observability-operators` et l’espace de noms est `appdynamics`. Cisco publie ce module complémentaire.
Pour plus d'informations sur le module complémentaire, voir [Utiliser les modules complémentaires Cisco Cloud Observability AWS Marketplace](https://docs.appdynamics.com/observability/cisco-cloud-observability/en/kubernetes-and-app-service-monitoring/install-kubernetes-and-app-service-monitoring-with-amazon-elastic-kubernetes-service/use-the-cisco-cloud-observability-aws-marketplace-add-ons) dans la AppDynamics documentation Cisco.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## CLOUDSOFT
Le nom du module complémentaire est `cloudsoft_cloudsoft-amp` et l’espace de noms est `cloudsoft-amp`. CLOUDSOFT diffuse ce module complémentaire.
Pour plus d’informations sur ce module complémentaire, consultez [Module complémentaire Amazon EKS](https://docs.cloudsoft.io/operations/configuration/aws-eks-addon.html) dans la documentation CLOUDSOFT.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Cribl
Le nom du module complémentaire est `cribl_cribledge` et l’espace de noms est `cribledge`. Cribl diffuse ce module complémentaire.
Pour plus d’informations sur ce module complémentaire, consultez la section [Installation du module complémentaire Cribl pour Amazon EKS pour Edge](https://docs.cribl.io/edge/usecase-edge-aws-eks/) dans la documentation Cribl
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Dynatrace
Le nom du module complémentaire est `dynatrace_dynatrace-operator` et l’espace de noms est `dynatrace`. Dynatrace diffuse ce module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [Surveillance Kubernetes](https://www.dynatrace.com/technologies/kubernetes-monitoring/) dans la documentation Dynatrace.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Datree
Le nom du module complémentaire est `datree_engine-pro` et l’espace de noms est `datree`. Datree publie ce module complémentaire.
Pour plus d'informations sur le module complémentaire, consultez la section [Intégration d'Amazon EKS](https://hub.datree.io/integrations/eks-integration) dans la documentation de Datree.
### Nom du compte de service
Le nom du compte de service est datree-webhook-server-awsmp.
### AWS politique IAM gérée
La politique gérée est AWSLicenseManagerConsumptionPolicy. Pour plus d'informations, consultez [AWSLicenseManagerConsumptionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLicenseManagerConsumptionPolicy.html)le Guide de référence des politiques AWS gérées.
### Commande pour créer le rôle IAM requis
La commande suivante nécessite que vous disposiez d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un, ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md). Remplacez *my-cluster* par le nom de votre cluster et *my-datree-role* par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que [eksctl](https://eksctl.io) soit installé sur votre appareil. Si vous devez utiliser un autre outil pour créer le rôle et annoter le compte de service Kubernetes, consultez [Attribution de rôles IAM aux comptes de service Kubernetes](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name datree-webhook-server-awsmp --namespace datree --cluster my-cluster --role-name my-datree-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/service-role/AWSLicenseManagerConsumptionPolicy --approve
```
### Autorisations personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Datadog
Le nom du module complémentaire est `datadog_operator` et l’espace de noms est `datadog-agent`. Datadog diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [Installation de l’agent Datadog sur Amazon EKS avec le module complémentaire Opérateur Datadog](https://docs.datadoghq.com/containers/guide/operator-eks-addon/?tab=console) dans la documentation Datadog.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Groundcover
Le nom du module complémentaire est `groundcover_agent` et l’espace de noms est `groundcover`. Groundcover diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [Installation du module complémentaire Groundcover pour Amazon EKS](https://docs.groundcover.com/docs/~/changes/VhDDAl1gy1VIO3RIcgxD/configuration/customization-guide/customize-deployment/eks-add-on) dans la documentation Groundcover.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## IBM Instana
Le nom du module complémentaire est `instana-agent` et l’espace de noms est `instana-agent`. IBM diffuse le module complémentaire.
Pour plus d'informations sur le module complémentaire, consultez [Implémenter l'observabilité pour les charges de travail Amazon EKS à l'aide du module complémentaire Instana Amazon EKS](https://aws.amazon.com/blogs/ibm-redhat/implement-observability-for-amazon-eks-workloads-using-the-instana-amazon-eks-add-on/) [et surveillez et optimisez les coûts Amazon EKS avec IBM Instana et](https://aws.amazon.com/blogs/ibm-redhat/monitor-and-optimize-amazon-eks-costs-with-ibm-instana-and-kubecost/) Kubecost sur le blog. AWS
Observabilité Instana (Instana) propose un module complémentaire Amazon EKS qui déploie des agents Instana sur les clusters Amazon EKS. Les clients peuvent utiliser ce module complémentaire pour collecter et analyser des données de performances en temps réel afin d’obtenir des informations sur leurs applications conteneurisées. Le module complémentaire Instana pour Amazon EKS offre une visibilité sur l’ensemble de vos environnements Kubernetes. Une fois déployé, l’agent Instana détecte automatiquement les composants de vos clusters Amazon EKS, notamment les nœuds, les espaces de noms, les déploiements, les services et les pods.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Grafana Labs
Le nom du module complémentaire est `grafana-labs_kubernetes-monitoring` et l’espace de noms est `monitoring`. Grafana Labs diffuse ce module complémentaire.
Pour plus d’informations sur ce module complémentaire, consultez [Configurer la surveillance Kubernetes en tant que module complémentaire avec Amazon EKS](https://grafana.com/docs/grafana-cloud/monitor-infrastructure/kubernetes-monitoring/configuration/config-aws-eks/) dans la documentation Grafana Labs.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Guance
+ **Diffuseur** : GUANCE
+ **Nom** – `guance_datakit`
+ **Espace de noms** – `datakit`
+ **Nom du compte de service** : aucun compte de service n’est utilisé avec ce module complémentaire.
+ **Politique IAM gérée par AWS ** : aucune politique gérée n’est utilisée avec ce module complémentaire.
+ **Autorisations IAM personnalisées** : aucune autorisation personnalisée n’est utilisée avec ce module complémentaire.
+ **Instructions de configuration et d’utilisation** : consultez [Utilisation du module complémentaire Amazon EKS](https://docs.guance.com/en/datakit/datakit-eks-deploy/#add-on-install) dans la documentation Guance.
## HA Proxy
Son nom est `haproxy-technologies_kubernetes-ingress-ee` et son espace de noms est `haproxy-controller`. HA Proxy diffuse le module complémentaire.
Pour plus d'informations sur le module complémentaire, consultez la section [Intégration d'Amazon EKS](https://hub.datree.io/integrations/eks-integration) dans la documentation de Datree.
### Nom du compte de service
Le nom du compte de service est `customer defined`.
### AWS politique IAM gérée
La politique gérée est AWSLicenseManagerConsumptionPolicy. Pour plus d'informations, consultez [AWSLicenseManagerConsumptionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLicenseManagerConsumptionPolicy.html)le Guide de référence des politiques AWS gérées.
### Commande pour créer le rôle IAM requis
La commande suivante nécessite que vous disposiez d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un, ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md). Remplacez *my-cluster* par le nom de votre cluster et *my-haproxy-role* par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que [eksctl](https://eksctl.io) soit installé sur votre appareil. Si vous devez utiliser un autre outil pour créer le rôle et annoter le compte de service Kubernetes, consultez [Attribution de rôles IAM aux comptes de service Kubernetes](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name service-account-name --namespace haproxy-controller --cluster my-cluster --role-name my-haproxy-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/service-role/AWSLicenseManagerConsumptionPolicy --approve
```
### Autorisations personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Kpow
Le nom du module complémentaire est `factorhouse_kpow` et l’espace de noms est `factorhouse`. Factorhouse diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [AWS Marketplace LM](https://docs.kpow.io/installation/aws-marketplace-lm/) dans la documentation Kpow.
### Nom du compte de service
Le nom du compte de service est `kpow`.
### AWS politique IAM gérée
La politique gérée est AWSLicenseManagerConsumptionPolicy. Pour plus d'informations, consultez [AWSLicenseManagerConsumptionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLicenseManagerConsumptionPolicy.html)le Guide de référence des politiques AWS gérées.
### Commande pour créer le rôle IAM requis
La commande suivante nécessite que vous disposiez d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un, ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md). Remplacez *my-cluster* par le nom de votre cluster et *my-kpow-role* par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que [eksctl](https://eksctl.io) soit installé sur votre appareil. Si vous devez utiliser un autre outil pour créer le rôle et annoter le compte de service Kubernetes, consultez [Attribution de rôles IAM aux comptes de service Kubernetes](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name kpow --namespace factorhouse --cluster my-cluster --role-name my-kpow-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/service-role/AWSLicenseManagerConsumptionPolicy --approve
```
### Autorisations personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Kubecost
Le nom du module complémentaire est `kubecost_kubecost` et l’espace de noms est `kubecost`. Kubecost diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [Intégration de la facturation cloud AWS](https://docs.kubecost.com/install-and-configure/install/cloud-integration/aws-cloud-integrations) dans la documentation Kubecost.
Vous devez avoir installé [Stocker des volumes Kubernetes avec Amazon EBS](ebs-csi.md) sur votre cluster. Sinon, vous recevrez une erreur.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Kasten
Le nom du module complémentaire est `kasten_k10` et l’espace de noms est `kasten-io`. Kasten by Veeam diffuse le module complémentaire.
Pour plus d'informations sur le module complémentaire, consultez la section [Installation du K10 à l' AWS aide du module complémentaire Amazon EKS](https://docs.kasten.io/latest/install/aws-eks-addon/aws-eks-addon.html) dans la documentation de Kasten.
Vous devez avoir installé le pilote CSI Amazon EBS sur votre cluster avec un `StorageClass` par défaut.
### Nom du compte de service
Le nom du compte de service est `k10-k10`.
### AWS politique IAM gérée
La politique gérée est AWSLicenseManagerConsumptionPolicy. Pour plus d'informations, consultez [AWSLicenseManagerConsumptionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLicenseManagerConsumptionPolicy.html)le Guide de référence des politiques AWS gérées.
### Commande pour créer le rôle IAM requis
La commande suivante nécessite que vous disposiez d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un, ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md). Remplacez *my-cluster* par le nom de votre cluster et *my-kasten-role* par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que [eksctl](https://eksctl.io) soit installé sur votre appareil. Si vous devez utiliser un autre outil pour créer le rôle et annoter le compte de service Kubernetes, consultez [Attribution de rôles IAM aux comptes de service Kubernetes](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name k10-k10 --namespace kasten-io --cluster my-cluster --role-name my-kasten-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/service-role/AWSLicenseManagerConsumptionPolicy --approve
```
### Autorisations personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Kong
Le nom du module complémentaire est `kong_konnect-ri` et l’espace de noms est `kong`. Kong diffuse le module complémentaire.
Pour plus d’informations sur ce module complémentaire, consultez [Installation du module complémentaire Kong Gateway EKS](https://kong.github.io/aws-marketplace-addon-kong-gateway/) dans la documentation Kong.
Vous devez avoir installé [Stocker des volumes Kubernetes avec Amazon EBS](ebs-csi.md) sur votre cluster. Sinon, vous recevrez une erreur.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## LeakSignal
Le nom du module complémentaire est `leaksignal_leakagent` et l'espace de noms est`leakagent`. LeakSignal publie le module complémentaire.
Pour plus d'informations sur le module complémentaire, consultez https://www.leaksignal.com/docs/ LeakAgent /Deployment/AWS%20Eks%20Addon/ [Installer le module complémentaire] dans la documentation LeakAgent LeakSignal
Vous devez avoir installé [Stocker des volumes Kubernetes avec Amazon EBS](ebs-csi.md) sur votre cluster. Sinon, vous recevrez une erreur.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## NetApp
Le nom du module complémentaire est `netapp_trident-operator` et l'espace de noms est`trident`. NetApp publie le module complémentaire.
Pour plus d'informations sur le module complémentaire, voir [Configurer le module complémentaire Trident EKS](https://docs.netapp.com/us-en/trident/trident-use/trident-aws-addon.html) dans la NetApp documentation.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## New Relic
Le nom du module complémentaire est `new-relic_kubernetes-operator` et l’espace de noms est `newrelic`. New Relic diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [Installer le module complémentaire New Relic pour EKS](https://docs.newrelic.com/docs/infrastructure/amazon-integrations/connect/eks-add-on) dans la documentation New Relic.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Rafay
Le nom du module complémentaire est `rafay-systems_rafay-operator` et l’espace de noms est `rafay-system`. Rafay diffuse ce module complémentaire.
Pour plus d’informations sur ce module complémentaire, consultez [Installation du module complémentaire Rafay pour Amazon EKS](https://docs.rafay.co/clusters/import/eksaddon/) dans la documentation Rafay.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Rad Security
+ **Diffuseur** : RAD SECURITY
+ **Nom** – `rad-security_rad-security`
+ **Espace de noms** – `ksoc`
+ **Nom du compte de service** : aucun compte de service n’est utilisé avec ce module complémentaire.
+ **Politique IAM gérée par AWS ** : aucune politique gérée n’est utilisée avec ce module complémentaire.
+ **Autorisations IAM personnalisées** : aucune autorisation personnalisée n’est utilisée avec ce module complémentaire.
+ **Instructions de configuration et d'utilisation** — Voir [Installation de Rad Through The AWS Marketplace](https://docs.rad.security/docs/installing-ksoc-in-the-aws-marketplace) dans la documentation de Rad Security.
## SolarWinds
+ **Diffuseur** : SOLARWINDS
+ **Nom** – `solarwinds_swo-k8s-collector-addon`
+ **Espace de noms** – `solarwinds`
+ **Nom du compte de service** : aucun compte de service n’est utilisé avec ce module complémentaire.
+ **Politique IAM gérée par AWS ** : aucune politique gérée n’est utilisée avec ce module complémentaire.
+ **Autorisations IAM personnalisées** : aucune autorisation personnalisée n’est utilisée avec ce module complémentaire.
+ **Instructions de configuration et d'utilisation** : consultez la section [Surveiller un cluster Amazon EKS](https://documentation.solarwinds.com/en/success_center/observability/content/configure/configure-kubernetes.htm#MonitorAmazonEKS) dans la SolarWinds documentation.
## Solo
Le nom du module complémentaire est `solo-io_istio-distro` et l’espace de noms est `istio-system`. Solo diffuse le module complémentaire.
Pour plus d’informations sur l’extension, consultez [Installation d’Istio](https://docs.solo.io/gloo-mesh-enterprise/main/setup/install/eks_addon/) dans la documentation Solo.io.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Snyk
+ **Diffuseur** : SNYK
+ **Nom** – `snyk_runtime-sensor`
+ **Espace de noms** – `snyk_runtime-sensor`
+ **Nom du compte de service** : aucun compte de service n’est utilisé avec ce module complémentaire.
+ **Politique IAM gérée par AWS ** : aucune politique gérée n’est utilisée avec ce module complémentaire.
+ **Autorisations IAM personnalisées** : aucune autorisation personnalisée n’est utilisée avec ce module complémentaire.
+ **Instructions d’installation et d’utilisation** : consultez [Capteur d’exécution Snyk](https://docs.snyk.io/integrate-with-snyk/snyk-runtime-sensor) dans la documentation utilisateur Snyk.
## Stormforge
Le nom du module complémentaire est `stormforge_optimize-Live` et l’espace de noms est `stormforge-system`. Stormforge diffuse le module complémentaire.
Pour plus d'informations sur le module complémentaire, consultez [la section Installation de l' StormForge agent](https://docs.stormforge.io/optimize-live/getting-started/install-v2/) dans la StormForge documentation.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## SUSE
+ **Diffuseur** : SUSE
+ **Nom** – `suse_observability-agent`
+ **Espace de noms** – `suse-observability`
+ **Nom du compte de service** : aucun compte de service n’est utilisé avec ce module complémentaire.
+ **Politique IAM gérée par AWS ** : aucune politique gérée n’est utilisée avec ce module complémentaire.
+ **Autorisations IAM personnalisées** : aucune autorisation personnalisée n’est utilisée avec ce module complémentaire.
+ **Instructions d’installation et d’utilisation** : consultez [Démarrage rapide](https://docs.stackstate.com/get-started/k8s-quick-start-guide#amazon-eks) dans la documentation SUSE.
## Splunk
Le nom du module complémentaire est `splunk_splunk-otel-collector-chart` et l’espace de noms est `splunk-monitoring`. Splunk diffuse ce module complémentaire.
Pour plus d’informations sur ce module complémentaire, consultez [Installation du module complémentaire Splunk pour Amazon EKS](https://help.splunk.com/en/splunk-observability-cloud/manage-data/splunk-distribution-of-the-opentelemetry-collector/get-started-with-the-splunk-distribution-of-the-opentelemetry-collector/collector-for-kubernetes/kubernetes-eks-add-on) dans la documentation Splunk.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Teleport
Le nom du module complémentaire est `teleport_teleport` et l’espace de noms est `teleport`. Teleport diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [Fonctionnement de Teleport](https://goteleport.com/how-it-works/) dans la documentation Teleport.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Tetrate
Le nom du module complémentaire est `tetrate-io_istio-distro` et l’espace de noms est `istio-system`. Tetrate Io diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez le site Web [Tetrate Istio Distro](https://tetratelabs.io/).
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Upbound Universal Crossplane
Le nom du module complémentaire est `upbound_universal-crossplane` et l’espace de noms est `upbound-system`. Upbound diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez [Upbound Universal Crossplane (UXP)](https://docs.upbound.io/uxp/) dans la documentation Upbound.
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
## Upwind
Le nom du module complémentaire est `upwind` et l’espace de noms est `upwind`. Upwind diffuse le module complémentaire.
Pour plus d’informations sur le module complémentaire, consultez la [documentation Upwind](https://docs.upwind.io/install-sensor/kubernetes/install?installation-method=amazon-eks-addon).
### Nom du compte de service
Aucun compte de service n’est utilisé avec ce module complémentaire.
### AWS politique IAM gérée
Aucune politique gérée n’est utilisée avec ce module complémentaire.
### Autorisations IAM personnalisées
Les autorisations personnalisées ne sont pas utilisées avec ce module complémentaire.
# Créer un module complémentaire Amazon EKS
Les modules complémentaires Amazon EKS sont des logiciels complémentaires destinés aux clusters Amazon EKS. Tous les modules complémentaires Amazon EKS :
+ Inclure les derniers correctifs de sécurité et corrections de bogues.
+ Sont validés par AWS pour fonctionner avec Amazon EKS.
+ Réduire la charge de travail nécessaire à la gestion du logiciel complémentaire.
Vous pouvez créer un module complémentaire Amazon EKS à l'aide `eksctl` de l'interface de AWS Management Console ligne de commande ou de la AWS CLI. Si le module complémentaire nécessite un rôle IAM, consultez les détails du module complémentaire spécifique dans [Amazon EKS add-ons](eks-add-ons.md) pour plus d’informations sur la création du rôle.
## Conditions préalables
Avant de créer un module complémentaire, procédez comme suit :
+ Le cluster doit exister avant que vous ne puissiez créer un module complémentaire pour celui-ci. Pour de plus amples informations, veuillez consulter [Création d’un cluster Amazon EKS](create-cluster.md).
+ Vérifiez si votre module complémentaire nécessite un rôle IAM. Pour de plus amples informations, veuillez consulter [Vérification de la compatibilité de la version du module complémentaire Amazon EKS avec un cluster](addon-compat.md).
+ Vérifiez que la version du module complémentaire Amazon EKS est compatible avec votre cluster. Pour de plus amples informations, veuillez consulter [Vérification de la compatibilité de la version du module complémentaire Amazon EKS avec un cluster](addon-compat.md).
+ Vérifiez que la version 0.190.0 ou ultérieure de l'outil de ligne de `eksctl` commande est installée sur votre ordinateur ou. AWS CloudShell Pour plus d’informations, consultez [Installation](https://eksctl.io/installation/) sur le site Web `eksctl`.
## Procédure
Vous pouvez créer un module complémentaire Amazon EKS à l'aide `eksctl` de l'interface de AWS Management Console ligne de commande ou de la AWS CLI. Si le module complémentaire nécessite un rôle IAM, consultez les détails du module complémentaire spécifique dans [Modules complémentaires Amazon EKS disponibles AWS](workloads-add-ons-available-eks.md) pour plus d’informations sur la création du rôle.
## Créer un module complémentaire (eksctl)
1. Affichez les noms des modules complémentaires disponibles pour une version de cluster. Remplacez *1.35* par la version de votre cluster.
```
eksctl utils describe-addon-versions --kubernetes-version 1.35 | grep AddonName
```
L'exemple qui suit illustre un résultat.
```
"AddonName": "aws-ebs-csi-driver",
"AddonName": "coredns",
"AddonName": "kube-proxy",
"AddonName": "vpc-cni",
"AddonName": "adot",
"AddonName": "dynatrace_dynatrace-operator",
"AddonName": "upbound_universal-crossplane",
"AddonName": "teleport_teleport",
"AddonName": "factorhouse_kpow",
[...]
```
1. Consultez les versions disponibles pour le module complémentaire que vous souhaitez créer. Remplacez *1.35* par la version de votre cluster. Remplacez *name-of-addon* par le nom du module complémentaire dont vous souhaitez afficher les versions. Le nom doit être l’un des noms renvoyés à l’étape précédente.
```
eksctl utils describe-addon-versions --kubernetes-version 1.35 --name name-of-addon | grep AddonVersion
```
La sortie suivante est un exemple de ce qui est renvoyé pour le module complémentaire nommé `vpc-cni`. Vous pouvez voir que le module complémentaire dispose de plusieurs versions disponibles.
```
"AddonVersions": [
"AddonVersion": "v1.12.0-eksbuild.1",
"AddonVersion": "v1.11.4-eksbuild.1",
"AddonVersion": "v1.10.4-eksbuild.1",
"AddonVersion": "v1.9.3-eksbuild.1",
```
1. Déterminez si le module complémentaire que vous souhaitez créer est un module complémentaire Amazon EKS ou AWS Marketplace. The AWS Marketplace propose des modules complémentaires tiers qui vous obligent à effectuer des étapes supplémentaires pour créer le module complémentaire.
```
eksctl utils describe-addon-versions --kubernetes-version 1.35 --name name-of-addon | grep ProductUrl
```
Si aucune sortie n'est renvoyée, le module complémentaire est un module Amazon EKS. Si une sortie est renvoyée, le module complémentaire est un module complémentaire AWS Marketplace. La sortie suivante concerne un module complémentaire nommé `teleport_teleport`.
```
"ProductUrl": "https://aws.amazon.com/marketplace/pp?sku=3bda70bb-566f-4976-806c-f96faef18b26"
```
Vous pouvez en savoir plus sur le module complémentaire sur le AWS Marketplace avec l'URL renvoyée. Si le module complémentaire nécessite un abonnement, vous pouvez vous y abonner via le AWS Marketplace. Si vous souhaitez créer un module complémentaire depuis AWS Marketplace, le [principal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) que vous utilisez pour créer le module complémentaire doit être autorisé à créer le rôle lié à un [AWSServiceRoleForAWSLicenseManagerRole](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager-role-core.html)service. Pour plus d'informations sur l'attribution d'autorisations à une entité IAM, consultez la rubrique [Ajout et suppression d'autorisations basées sur l'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le Guide de l'utilisateur IAM.
1. Créez un module complémentaire Amazon EKS. Copiez la commande et remplacez la commande *user-data* comme suit :
+ Remplacez *my-cluster* par le nom de votre cluster.
+ Remplacez *name-of-addon* par le nom du module complémentaire que vous souhaitez créer.
+ Si vous souhaitez une version du module complémentaire antérieure à la dernière version, remplacez-la *latest* par le numéro de version renvoyé dans le résultat de l'étape précédente que vous souhaitez utiliser.
+ Si le module complémentaire utilise un rôle de compte de service, remplacez *111122223333* par votre ID de compte et *role-name* par le nom du rôle. Pour obtenir des instructions sur la création d’un rôle pour votre compte de service, consultez la documentation relative au module complémentaire que vous créez. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md). Pour spécifier un rôle de compte de service, vous devez disposer d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un pour votre cluster ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md).
Si le module complémentaire n’utilise pas de rôle de compte de service, supprimez `--service-account-role-arn arn:aws: iam::111122223333:role/role-name`.
+ Cet exemple de commande remplace la configuration de toute version autogérée existante du module complémentaire, le cas échéant. Si vous ne souhaitez pas remplacer la configuration d'un module complémentaire autogéré existant, supprimez l'*--force*option. Si vous supprimez cette option et que le module complémentaire doit remplacer la configuration d'un module complémentaire autogéré existant, la création du module complémentaire Amazon EKS échoue et vous recevez un message d'erreur pour vous aider à résoudre le conflit. Avant de spécifier cette option, assurez-vous que le module complémentaire Amazon EKS ne gère pas les paramètres que vous devez gérer, car ces paramètres sont remplacés par cette option.
```
eksctl create addon --cluster my-cluster --name name-of-addon --version latest \
--service-account-role-arn arn:aws: iam::111122223333:role/role-name --force
```
Vous pouvez consulter la liste complète des options disponibles pour la commande.
```
eksctl create addon --help
```
Pour plus d'informations sur les options disponibles, consultez [Modules complémentaires](https://eksctl.io/usage/addons/) dans la documentation `eksctl`.
## Créer un module complémentaire (AWS console)
1. Ouvrez la [console Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Dans le volet de navigation de gauche, choisissez **Clusters**.
1. Choisissez le nom du cluster pour lequel vous souhaitez créer le module complémentaire.
1. Choisissez l’onglet **Modules complémentaires**.
1. Choisissez **Obtenez plus de modules complémentaires**.
1. Sur la page **Select add-ons** (Sélectionner les modules complémentaires), choisissez les modules complémentaires que vous souhaitez ajouter à votre cluster. Vous pouvez ajouter autant de modules complémentaires **Amazon EKS et de modules** **complémentaires AWS Marketplace** que vous le souhaitez.
Pour les modules complémentaires ** AWS Marketplace**, le [principal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) que vous utilisez pour créer le module complémentaire doit être autorisé à lire les droits relatifs au module complémentaire depuis le. AWS LicenseManager AWS LicenseManager nécessite un rôle [AWSServiceRoleForAWSLicenseManagerRole](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager-role-core.html)lié au service (SLR) qui permet aux AWS ressources de gérer les licences en votre nom. Le SLR est une exigence unique, par compte, et vous n’aurez pas à créer de SLR distincts pour chaque module complémentaire ou chaque cluster. Pour plus d'informations sur l'attribution d'autorisations à un [principal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal), consultez la rubrique [Ajout et suppression d'autorisations basées sur l'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) du Guide de l'utilisateur IAM.
Si les **modules complémentaires AWS Marketplace** que vous souhaitez installer ne figurent pas dans la liste, vous pouvez cliquer sur la numérotation des pages pour afficher des résultats supplémentaires ou effectuer une recherche dans le champ de recherche. Dans les **Options de filtrage**, vous pouvez également filtrer par **catégorie**, **fournisseur**, ou **modèle de tarification** puis choisir les modules complémentaires dans les résultats de la recherche. Une fois que vous avez sélectionné les modules complémentaires que vous souhaitez installer, cliquez sur **Suivant**.
1. Sur la page **Configurer les paramètres des modules complémentaires sélectionnés**, procédez comme suit :
1. Choisissez **Afficher les options d'abonnement** pour ouvrir le formulaire des **Options d'abonnement**. Passez en revue les sections **Détails de la tarification** et **Mentions légales**, puis cliquez sur le bouton **S'abonner** pour continuer.
1. Pour la **version**, choisissez celle que vous souhaitez installer. Nous recommandons la version marquée comme la **plus récente**, à moins que le module complémentaire que vous créez ne recommande une version différente. Pour déterminer si un module complémentaire dispose d’une version recommandée, consultez la documentation relative au module complémentaire que vous créez. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md).
1. Vous disposez de deux options pour configurer les rôles des modules complémentaires : le rôle IAM EKS Pod Identities et les rôles IAM pour les comptes de service (IRSA). Suivez l’étape appropriée ci-dessous pour l’option que vous préférez. Si tous les modules complémentaires que vous avez sélectionnés ont la mention **Nécessite un abonnement** sous **Statut**, sélectionnez **Suivant**. Vous ne pouvez pas [configurer davantage ces modules complémentaires](updating-an-add-on.md) tant que vous ne vous y êtes pas abonné après la création de votre cluster. Pour les modules complémentaires qui n’ont pas la mention **Abonnement requis** sous **Statut**, procédez comme suit :
1. Pour le **rôle IAM d’identité du pod pour le compte de service**, vous pouvez soit utiliser un rôle IAM d’identité du pod EKS existant, soit en créer un à l’aide du bouton **Créer un rôle recommandé**. Ce champ ne proposera que les options correspondant à la politique de confiance appropriée. Si aucun rôle n’est sélectionnable, cela signifie qu’aucun rôle existant ne correspond à la politique de confiance. Pour configurer un rôle IAM d’identité du pod EKS pour les comptes de service du module complémentaire sélectionné, choisissez **Créer un rôle recommandé**. L’assistant de création de rôle s’ouvre dans une fenêtre séparée. L’assistant remplira automatiquement les informations relatives au rôle comme suit. Pour chaque module complémentaire pour lequel vous souhaitez créer le rôle IAM d’identité du pod EKS, suivez les étapes de l’assistant IAM comme suit.
+ À l'étape **Sélectionner une entité de confiance**, l'option de AWS service pour **EKS** et le cas d'utilisation pour **EKS - Pod Identity** sont présélectionnés, et la politique de confiance appropriée sera automatiquement renseignée pour le module complémentaire. Par exemple, le rôle sera créé avec la politique de confiance appropriée contenant le principal IAM pods.eks.amazonaws.com, comme détaillé dans [Avantages des identités du pod EKS](pod-identities.md#pod-id-benefits). Choisissez **Suivant**.
+ À l’étape **Ajouter des autorisations**, la stratégie gérée appropriée pour la stratégie de rôle est présélectionnée pour le module complémentaire. Par exemple, pour le module complémentaire Amazon VPC CNI, le rôle sera créé avec la politique gérée `AmazonEKS_CNI_Policy` telle que détaillée dans [Plug-in CNI Amazon VPC pour Kubernetes](workloads-add-ons-available-eks.md#add-ons-vpc-cni). Choisissez **Suivant**.
+ À l’étape **Nom, révision et création**, dans **Nom du rôle**, le nom de rôle par défaut est automatiquement renseigné pour le module complémentaire. **Par exemple, pour le module complémentaire **Amazon VPC CNI**, le rôle sera créé sous le nom Amazon. EKSPod IdentityAmazon VPCCNIRole** Dans **Description**, la description par défaut est automatiquement remplie avec la description appropriée pour le module complémentaire. Par exemple, pour le module complémentaire Amazon VPC CNI, le rôle sera créé avec la description **Autorise les pods exécutés dans le cluster Amazon EKS à accéder aux ressources**. AWS Dans la **stratégie de confiance**, affichez la stratégie de confiance renseignée pour le module complémentaire. Choisissez **Créer un rôle**.
REMARQUE : Conserver le nom de rôle par défaut permet à EKS de présélectionner le rôle pour les modules complémentaires dans les nouveaux clusters ou lors de l’ajout de modules complémentaires à des clusters existants. Vous pouvez toujours remplacer ce nom et le rôle sera disponible pour le module complémentaire dans tous vos clusters, mais il devra être sélectionné manuellement dans le menu déroulant.
1. Pour les modules complémentaires qui ne comportent pas la mention **Abonnement requis** sous **Statut** et pour lesquels vous souhaitez configurer des rôles à l’aide d’IRSA, consultez la documentation relative au module complémentaire que vous créez afin de créer une politique IAM et de l’associer à un rôle. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md). Pour sélectionner un rôle IAM, vous devez disposer d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un pour votre cluster ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md).
1. Sélectionnez **Optional configuration settings** (Paramètres de configuration facultatifs).
1. Si le module complémentaire nécessite une configuration, saisissez-la dans la zone **Configuration values** (Valeurs de configuration). Pour déterminer si le module complémentaire nécessite des informations de configuration, consultez la documentation du module complémentaire que vous créez. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md).
1. Choisissez l’une des options disponibles pour la **méthode de résolution des conflits**. Si vous sélectionnez **Remplacer** comme **méthode de résolution des conflits**, un ou plusieurs paramètres du module complémentaire existant peuvent être remplacés par les paramètres du module complémentaire Amazon EKS. Si vous n’activez pas cette option et qu’il y a un conflit avec vos paramètres existants, l’opération échoue. Vous pouvez utiliser le message d'erreur qui en résulte pour résoudre le conflit. Avant de sélectionner cette option, assurez-vous que le module complémentaire Amazon EKS ne gère pas les paramètres que vous devez gérer vous-même.
1. Si vous souhaitez installer le module complémentaire dans un espace de noms spécifique, saisissez-le dans le champ **Espace de noms**. Pour les modules complémentaires communautaires AWS et ceux de la communauté, vous pouvez définir un espace de noms Kubernetes personnalisé dans lequel installer le module complémentaire. Pour de plus amples informations, veuillez consulter [Espace de noms personnalisé pour les modules complémentaires](eks-add-ons.md#custom-namespace).
1. Choisissez **Suivant**.
1. Sur la page **Vérifier et ajouter**, choisissez **Créer**. Une fois l'installation des modules complémentaire terminée, vous pouvez voir les modules complémentaires installés.
1. Si l'un des modules complémentaires que vous avez installés nécessite un abonnement, procédez comme suit :
1. Cliquez sur le bouton **Subscribe** (S'abonner) dans le coin inférieur droit du module complémentaire. Vous êtes redirigé vers la page du module complémentaire AWS sur le Marketplace. Lisez les informations relatives au module complémentaire, telles que **Product Overview** (Présentation du produit) et **Pricing Information** (Informations sur la tarification).
1. Cliquez sur le bouton **Continue to Subscribe** (Continuer pour s'abonner) en haut à droite de la page du module complémentaire.
1. Lisez les **Conditions générales**. Si vous les acceptez, sélectionnez **Accept Terms** (Accepter les conditions). Le traitement de l'abonnement peut prendre plusieurs minutes. Pendant le traitement de l'abonnement, le bouton **Return to Amazon EKS Console** (Retourner à la console Amazon EKS) est grisé.
1. Une fois le traitement de l'abonnement terminé, le bouton **Return to Amazon EKS Console** (Retourner à la console Amazon EKS) n'est plus grisé. Cliquez sur le bouton pour revenir à l'onglet **Add-ons** (Modules complémentaires) de la console Amazon EKS pour votre cluster.
1. Pour le module complémentaire auquel vous êtes abonné, sélectionnez **Remove and reinstall** (Supprimer et réinstaller), puis **Reinstall add-on** (Réinstaller le module complémentaire). L'installation du module complémentaire peut prendre plusieurs minutes. Une fois l'installation terminée, vous pouvez configurer le module complémentaire.
## Créer un module complémentaire (AWS CLI)
1. Vous avez besoin d'`2.12.3`une version ou d'une version ultérieure `1.27.160` ou d'une version ultérieure de l'interface de ligne de AWS commande (AWS CLI) installée et configurée sur votre appareil ou AWS CloudShell. Pour vérifier votre version actuelle, utilisez `aws --version | cut -d / -f2 | cut -d ' ' -f1`. Les gestionnaires de packages tels que `yum``apt-get`, ou Homebrew pour macOS ont souvent plusieurs versions de retard sur la dernière version de la AWS CLI. Pour installer la dernière version, consultez la section [Installation](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) et [configuration rapide avec aws configure](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) dans le *Guide de l'utilisateur de l'interface de ligne de AWS commande*. La version de la AWS CLI installée AWS CloudShell peut également avoir plusieurs versions de retard par rapport à la dernière version. Pour le mettre à jour, consultez la section [Installation de la AWS CLI dans votre répertoire](https://docs.aws.amazon.com/cloudshell/latest/userguide/vm-specs.html#install-cli-software) de base dans le *guide de AWS CloudShell l'utilisateur*.
1. Déterminez quels modules complémentaires sont disponibles. Vous pouvez voir tous les modules complémentaires disponibles, leur type et leur éditeur. Vous pouvez également consulter l'URL des modules complémentaires disponibles AWS sur le Marketplace. Remplacez *1.35* par la version de votre cluster.
```
aws eks describe-addon-versions --kubernetes-version 1.35 \
--query 'addons[].{MarketplaceProductUrl: marketplaceInformation.productUrl, Name: addonName, Owner: owner Publisher: publisher, Type: type}' --output table
```
L'exemple qui suit illustre un résultat.
```
---------------------------------------------------------------------------------------------------------------------------------------------------------
| DescribeAddonVersions |
+---------------------------------------------------------------+-------------------------------+------------------+--------------+---------------------+
| MarketplaceProductUrl | Name | Owner | Publisher | Type |
+---------------------------------------------------------------+-------------------------------+------------------+--------------+---------------------+
| None | aws-ebs-csi-driver | aws | eks | storage |
| None | coredns | aws | eks | networking |
| None | kube-proxy | aws | eks | networking |
| None | vpc-cni | aws | eks | networking |
| None | adot | aws | eks | observability |
| https://aws.amazon.com/marketplace/pp/prodview-brb73nceicv7u | dynatrace_dynatrace-operator | aws-marketplace | dynatrace | monitoring |
| https://aws.amazon.com/marketplace/pp/prodview-uhc2iwi5xysoc | upbound_universal-crossplane | aws-marketplace | upbound | infra-management |
| https://aws.amazon.com/marketplace/pp/prodview-hd2ydsrgqy4li | teleport_teleport | aws-marketplace | teleport | policy-management |
| https://aws.amazon.com/marketplace/pp/prodview-vgghgqdsplhvc | factorhouse_kpow | aws-marketplace | factorhouse | monitoring |
| [...] | [...] | [...] | [...] | [...] |
+---------------------------------------------------------------+-------------------------------+------------------+--------------+---------------------+
```
Votre sortie peut être différente. Dans cet exemple de sortie, trois modules complémentaires différents sont disponibles par type `networking` et cinq modules complémentaires avec un éditeur de type `eks`. Les modules complémentaires `aws-marketplace` figurant dans la colonne `Owner` peuvent nécessiter un abonnement avant de pouvoir être installés. Vous pouvez consulter l'URL pour en savoir plus sur le module complémentaire et vous y abonner.
1. Vous pouvez voir quelles versions sont disponibles pour chaque module complémentaire. Remplacez *1.35* par la version de votre cluster et remplacez *vpc-cni* par le nom d'un module complémentaire renvoyé à l'étape précédente.
```
aws eks describe-addon-versions --kubernetes-version 1.35 --addon-name vpc-cni \
--query 'addons[].addonVersions[].{Version: addonVersion, Defaultversion: compatibilities[0].defaultVersion}' --output table
```
L'exemple qui suit illustre un résultat.
```
------------------------------------------
| DescribeAddonVersions |
+-----------------+----------------------+
| Defaultversion | Version |
+-----------------+----------------------+
| False | v1.12.0-eksbuild.1 |
| True | v1.11.4-eksbuild.1 |
| False | v1.10.4-eksbuild.1 |
| False | v1.9.3-eksbuild.1 |
+-----------------+----------------------+
```
La version avec `True` dans la colonne `Defaultversion` correspond à la version avec laquelle le module complémentaire est créé, par défaut.
1. (Facultatif) Recherchez les options de configuration du module complémentaire de votre choix en exécutant la commande suivante :
```
aws eks describe-addon-configuration --addon-name vpc-cni --addon-version v1.12.0-eksbuild.1
```
```
{
"addonName": "vpc-cni",
"addonVersion": "v1.12.0-eksbuild.1",
"configurationSchema": "{\"$ref\":\"#/definitions/VpcCni\",\"$schema\":\"http://json-schema.org/draft-06/schema#\",\"definitions\":{\"Cri\":{\"additionalProperties\":false,\"properties\":{\"hostPath\":{\"$ref\":\"#/definitions/HostPath\"}},\"title\":\"Cri\",\"type\":\"object\"},\"Env\":{\"additionalProperties\":false,\"properties\":{\"ADDITIONAL_ENI_TAGS\":{\"type\":\"string\"},\"AWS_VPC_CNI_NODE_PORT_SUPPORT\":{\"format\":\"boolean\",\"type\":\"string\"},\"AWS_VPC_ENI_MTU\":{\"format\":\"integer\",\"type\":\"string\"},\"AWS_VPC_K8S_CNI_CONFIGURE_RPFILTER\":{\"format\":\"boolean\",\"type\":\"string\"},\"AWS_VPC_K8S_CNI_CUSTOM_NETWORK_CFG\":{\"format\":\"boolean\",\"type\":\"string\"},\"AWS_VPC_K8S_CNI_EXTERNALSNAT\":{\"format\":\"boolean\",\"type\":\"string\"},\"AWS_VPC_K8S_CNI_LOGLEVEL\":{\"type\":\"string\"},\"AWS_VPC_K8S_CNI_LOG_FILE\":{\"type\":\"string\"},\"AWS_VPC_K8S_CNI_RANDOMIZESNAT\":{\"type\":\"string\"},\"AWS_VPC_K8S_CNI_VETHPREFIX\":{\"type\":\"string\"},\"AWS_VPC_K8S_PLUGIN_LOG_FILE\":{\"type\":\"string\"},\"AWS_VPC_K8S_PLUGIN_LOG_LEVEL\":{\"type\":\"string\"},\"DISABLE_INTROSPECTION\":{\"format\":\"boolean\",\"type\":\"string\"},\"DISABLE_METRICS\":{\"format\":\"boolean\",\"type\":\"string\"},\"DISABLE_NETWORK_RESOURCE_PROVISIONING\":{\"format\":\"boolean\",\"type\":\"string\"},\"ENABLE_POD_ENI\":{\"format\":\"boolean\",\"type\":\"string\"},\"ENABLE_PREFIX_DELEGATION\":{\"format\":\"boolean\",\"type\":\"string\"},\"WARM_ENI_TARGET\":{\"format\":\"integer\",\"type\":\"string\"},\"WARM_PREFIX_TARGET\":{\"format\":\"integer\",\"type\":\"string\"}},\"title\":\"Env\",\"type\":\"object\"},\"HostPath\":{\"additionalProperties\":false,\"properties\":{\"path\":{\"type\":\"string\"}},\"title\":\"HostPath\",\"type\":\"object\"},\"Limits\":{\"additionalProperties\":false,\"properties\":{\"cpu\":{\"type\":\"string\"},\"memory\":{\"type\":\"string\"}},\"title\":\"Limits\",\"type\":\"object\"},\"Resources\":{\"additionalProperties\":false,\"properties\":{\"limits\":{\"$ref\":\"#/definitions/Limits\"},\"requests\":{\"$ref\":\"#/definitions/Limits\"}},\"title\":\"Resources\",\"type\":\"object\"},\"VpcCni\":{\"additionalProperties\":false,\"properties\":{\"cri\":{\"$ref\":\"#/definitions/Cri\"},\"env\":{\"$ref\":\"#/definitions/Env\"},\"resources\":{\"$ref\":\"#/definitions/Resources\"}},\"title\":\"VpcCni\",\"type\":\"object\"}}}"
}
```
La sortie correspond à un schéma JSON standard.
Voici un exemple de valeurs de configuration valides, au format JSON, fonctionnant avec le schéma ci-dessus.
```
{
"resources": {
"limits": {
"cpu": "100m"
}
}
}
```
Voici un exemple de valeurs de configuration valides, au format YAML, fonctionnant avec le schéma ci-dessus.
```
resources:
limits:
cpu: 100m
```
1. Déterminez si le module complémentaire nécessite des autorisations IAM. Si tel est le cas, vous devez (1) déterminer si vous souhaitez utiliser les identités de pod EKS ou les rôles IAM pour les comptes de service (IRSA), (2) déterminer l’ARN du rôle IAM à utiliser avec le module complémentaire et (3) déterminer le nom du compte de service Kubernetes utilisé par le module complémentaire. Pour de plus amples informations, veuillez consulter [Récupérer les informations IAM sur un module complémentaire Amazon EKS](retreive-iam-info.md).
+ Amazon EKS recommande d’utiliser les identités de pod EKS si le module complémentaire le prend en charge. Pour cela, l’[agent d’identité du pod doit être installé sur votre cluster](pod-identities.md). Pour plus d’informations sur l’utilisation des identités de pod avec les modules complémentaires, consultez [Rôles IAM pour les modules complémentaires Amazon EKS](add-ons-iam.md).
+ Si le module complémentaire ou votre cluster n’est pas configuré pour les identités de pod EKS, utilisez IRSA. [Vérifiez que l’IRSA est configuré sur votre cluster.](iam-roles-for-service-accounts.md)
+ [Consultez la documentation relative aux modules complémentaires Amazon EKS afin de déterminer si le module complémentaire nécessite des autorisations IAM et le nom du compte de service Kubernetes associé.](eks-add-ons.md)
1. Créez un module complémentaire Amazon EKS. Copiez la commande qui suit sur votre appareil. Si nécessaire, apportez les modifications suivantes à la commande, puis exécutez la commande modifiée :
+ Remplacez *my-cluster* par le nom de votre cluster.
+ Remplacez *vpc-cni* par un nom de module complémentaire renvoyé dans le résultat de l'étape précédente que vous souhaitez créer.
+ Remplacez *version-number* par la version renvoyée dans le résultat de l'étape précédente que vous souhaitez utiliser.
+ Si vous souhaitez installer le module complémentaire dans un espace de noms Kubernetes personnalisé, ajoutez l’option `--namespace-config 'namespace=`. Cette option n'est disponible que pour AWS les modules complémentaires communautaires. Pour de plus amples informations, consultez [Espace de noms personnalisé pour les modules complémentaires](eks-add-ons.md#custom-namespace).
+ Si le module complémentaire ne nécessite pas d'autorisations IAM, ** supprimez-le.
+ Effectuez l’une des actions suivantes :
+ Si le module complémentaire (1) nécessite des autorisations IAM et (2) votre cluster utilise EKS Pod Identities, remplacez-le par ** l'association d'identité de pod suivante. **Remplacez-le par le nom du compte de service utilisé par le module complémentaire. Remplacez ** par l'ARN d'un rôle IAM. Le rôle doit disposer de la politique de confiance requise par les identités EKS Pod.
```
--pod-identity-associations 'serviceAccount=,roleArn='
```
+ Si le module complémentaire (1) nécessite des autorisations IAM et (2) votre cluster utilise IRSA, remplacez-le ** par la configuration IRSA suivante. *111122223333*Remplacez-le par votre identifiant de compte et *role-name* par le nom d'un rôle IAM existant que vous avez créé. Pour obtenir des instructions sur la création d’un rôle, consultez la documentation du module complémentaire que vous créez. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md). Pour spécifier un rôle de compte de service, vous devez disposer d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un pour votre cluster ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md).
```
--service-account-role-arn arn:aws::iam::111122223333:role/role-name
```
+ Cet exemple de commande remplace l'option `--configuration-values` de toute version autogérée existante du module complémentaire, le cas échéant. Remplacez cela par les valeurs de configuration souhaitées, telles qu'une chaîne ou une entrée de fichier. Si vous ne voulez pas fournir de valeurs de configuration, supprimez l’option `--configuration-values`. Si vous ne souhaitez pas que la AWS CLI remplace la configuration d'un module complémentaire autogéré existant, supprimez l'*--resolve-conflicts OVERWRITE*option. Si vous supprimez cette option et que le module complémentaire doit remplacer la configuration d'un module complémentaire autogéré existant, la création du module complémentaire Amazon EKS échoue et vous recevez un message d'erreur pour vous aider à résoudre le conflit. Avant de spécifier cette option, assurez-vous que le module complémentaire Amazon EKS ne gère pas les paramètres que vous devez gérer, car ces paramètres sont remplacés par cette option.
```
aws eks create-addon --cluster-name my-cluster --addon-name vpc-cni --addon-version version-number \
--configuration-values '{"resources":{"limits":{"cpu":"100m"}}}' --resolve-conflicts OVERWRITE
```
```
aws eks create-addon --cluster-name my-cluster --addon-name vpc-cni --addon-version version-number \
--configuration-values 'file://example.yaml' --resolve-conflicts OVERWRITE
```
Pour la liste complète des options disponibles, consultez ` [create-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/create-addon.html) ` dans la référence des lignes de commande Amazon EKS. Si le module complémentaire que vous avez créé possède `aws-marketplace` listé dans la colonne `Owner` d’une étape précédente, la création peut échouer et vous pouvez recevoir un message d’erreur similaire à l’erreur suivante.
```
{
"addon": {
"addonName": "addon-name",
"clusterName": "my-cluster",
"status": "CREATE_FAILED",
"addonVersion": "version",
"health": {
"issues": [
{
"code": "AddonSubscriptionNeeded",
"message": "You are currently not subscribed to this add-on. To subscribe, visit the AWS Marketplace console, agree to the seller EULA, select the pricing type if required, then re-install the add-on"
}
]
}
}
}
```
Si vous recevez une erreur similaire à celle de la sortie précédente, consultez l'URL figurant dans la sortie d'une étape précédente pour vous abonner au module complémentaire. Une fois abonné, exécutez à nouveau la commande `create-addon`.
# Mettre à jour un module complémentaire Amazon EKS
Amazon EKS ne met pas automatiquement à jour un module complémentaire lorsque de nouvelles versions sont publiées ou après la mise à jour de votre cluster vers une nouvelle version mineure de Kubernetes. Pour mettre à jour un module complémentaire pour un cluster existant, vous devez lancer la mise à jour. Ensuite, Amazon EKS met à jour le module complémentaire Amazon EKS pour vous. Avant de mettre à jour un module complémentaire, consultez la documentation relative au module complémentaire. Pour obtenir la liste des modules complémentaires disponibles, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md). Si le module complémentaire nécessite un rôle IAM, consultez les détails du module complémentaire spécifique dans [Modules complémentaires Amazon EKS disponibles AWS](workloads-add-ons-available-eks.md) pour plus d’informations sur la création du rôle.
## Conditions préalables
Avant de créer un module complémentaire, procédez comme suit :
+ Vérifiez si votre module complémentaire nécessite un rôle IAM. Pour de plus amples informations, veuillez consulter [Modules complémentaires Amazon EKS](eks-add-ons.md).
+ Vérifiez que la version du module complémentaire Amazon EKS est compatible avec votre cluster. Pour de plus amples informations, veuillez consulter [Vérification de la compatibilité de la version du module complémentaire Amazon EKS avec un cluster](addon-compat.md).
## Procédure
Vous pouvez mettre à jour un module complémentaire Amazon EKS à l'aide `eksctl` de l'interface de AWS Management Console ligne de commande ou de la AWS CLI.
## Mettre à jour le module complémentaire (eksctl)
1. Déterminez les modules complémentaires et les versions de modules complémentaires actuellement installés sur votre cluster. Remplacez *my-cluster* par le nom de votre cluster.
```
eksctl get addon --cluster my-cluster
```
L'exemple qui suit illustre un résultat.
```
NAME VERSION STATUS ISSUES IAMROLE UPDATE AVAILABLE
coredns v1.8.7-eksbuild.2 ACTIVE 0
kube-proxy v1.23.7-eksbuild.1 ACTIVE 0 v1.23.8-eksbuild.2
vpc-cni v1.10.4-eksbuild.1 ACTIVE 0 v1.12.0-eksbuild.1,v1.11.4-eksbuild.1,v1.11.3-eksbuild.1,v1.11.2-eksbuild.1,v1.11.0-eksbuild.1
```
Votre sortie peut être différente, en fonction des modules complémentaires et des versions dont vous disposez sur votre cluster. Vous pouvez voir que dans l'exemple de sortie précédent, deux modules complémentaires existants sur le cluster disposent de versions plus récentes disponibles dans la colonne `UPDATE AVAILABLE`.
1. Mettez à jour le module complémentaire.
1. Copiez la commande qui suit sur votre appareil. Si nécessaire, apportez les modifications suivantes à la commande :
+ Remplacez *my-cluster* par le nom de votre cluster.
+ Remplacez *region-code* par la AWS région dans laquelle se trouve votre cluster.
+ Remplacez *vpc-cni* par le nom d'un module complémentaire renvoyé dans la sortie de l'étape précédente que vous souhaitez mettre à jour.
+ Si vous souhaitez procéder à une mise à jour vers une version antérieure à la dernière version disponible, remplacez *latest* par le numéro de version renvoyé dans la sortie de l'étape précédente que vous souhaitez utiliser. Certains modules complémentaires présentent des versions recommandées. Pour plus d’informations, consultez la documentation relative au module complémentaire que vous mettez à jour. Pour obtenir la liste des modules complémentaires, consultez[AWS modules complémentaires](workloads-add-ons-available-eks.md). **\$1** Si le module complémentaire utilise un compte de service Kubernetes et un rôle IAM, remplacez-les par *111122223333* votre identifiant de compte et *role-name* par le nom d'un rôle IAM existant que vous avez créé. Pour obtenir des instructions sur la création d’un rôle, consultez la documentation du module complémentaire que vous créez. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md). Pour spécifier un rôle de compte de service, vous devez disposer d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un pour votre cluster ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md).
Si le module complémentaire n’utilise pas de compte de service Kubernetes ni de rôle IAM, supprimez la ligne `serviceAccountRoleARN: arn:aws: iam::111122223333:role/role-name `.
+ L’option *preserve* conserve les valeurs existantes pour le module complémentaire. Si vous avez défini des valeurs personnalisées pour les paramètres du module complémentaire et que vous n’utilisez pas cette option, Amazon EKS remplace vos valeurs par ses valeurs par défaut. Si vous utilisez cette option, nous vous recommandons de tester les modifications de champ et de valeur sur un cluster hors production avant de mettre à jour le module complémentaire sur votre cluster de production. Si vous remplacez cette valeur par `overwrite`, tous les paramètres sont remplacés par les valeurs par défaut d'Amazon EKS. Si vous avez défini des valeurs personnalisées pour certains paramètres, il est possible qu’elles soient remplacées par les valeurs par défaut d’Amazon EKS. Si vous remplacez cette valeur par `none`, Amazon EKS ne modifie la valeur d’aucun paramètre, mais la mise à jour risque d’échouer. Si la mise à jour échoue, vous recevez un message d'erreur pour vous aider à résoudre le conflit.
```
cat >update-addon.yaml <
1. Ouvrez la [console Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Dans le volet de navigation de gauche, choisissez **Clusters**.
1. Sélectionnez le nom du cluster que vous voulez mettre à jour le module complémentaire.
1. Choisissez l’onglet **Modules complémentaires**.
1. Sélectionnez le module complémentaire que vous voulez mettre à jour.
1. Choisissez **Modifier**.
1. Sur la *name of addon* page **Configurer**, procédez comme suit :
1. Sélectionnez la **Version** que vous voulez utiliser. Le module complémentaire peut présenter une version recommandée. Pour plus d’informations, consultez la documentation relative au module complémentaire que vous mettez à jour. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md).
1. Vous disposez de deux options pour configurer les rôles des modules complémentaires : le rôle IAM EKS Pod Identities et les rôles IAM pour les comptes de service (IRSA). Suivez l’étape appropriée ci-dessous pour l’option que vous préférez. Si tous les modules complémentaires que vous avez sélectionnés ont la mention **Nécessite un abonnement** sous **Statut**, sélectionnez **Suivant**. Pour les modules complémentaires qui n’ont pas la mention **Abonnement requis** sous **Statut**, procédez comme suit :
1. Pour le **rôle IAM d’identité du pod pour le compte de service**, vous pouvez soit utiliser un rôle IAM d’identité du pod EKS existant, soit en créer un à l’aide du bouton **Créer un rôle recommandé**. Ce champ ne proposera que les options correspondant à la politique de confiance appropriée. Si aucun rôle n’est sélectionnable, cela signifie qu’aucun rôle existant ne correspond à la politique de confiance. Pour configurer un rôle IAM d’identité du pod EKS pour les comptes de service du module complémentaire sélectionné, choisissez **Créer un rôle recommandé**. L’assistant de création de rôle s’ouvre dans une fenêtre séparée. L’assistant remplira automatiquement les informations relatives au rôle comme suit. Pour chaque module complémentaire pour lequel vous souhaitez créer le rôle IAM d’identité du pod EKS, suivez les étapes de l’assistant IAM comme suit.
+ À l'étape **Sélectionner une entité de confiance**, l'option de AWS service pour **EKS** et le cas d'utilisation pour **EKS - Pod Identity** sont présélectionnés, et la politique de confiance appropriée sera automatiquement renseignée pour le module complémentaire. Par exemple, le rôle sera créé avec la politique de confiance appropriée contenant le principal IAM pods.eks.amazonaws.com, comme détaillé dans [Avantages des identités du pod EKS](pod-identities.md#pod-id-benefits). Choisissez **Suivant**.
+ À l’étape **Ajouter des autorisations**, la stratégie gérée appropriée pour la stratégie de rôle est présélectionnée pour le module complémentaire. Par exemple, pour le module complémentaire Amazon VPC CNI, le rôle sera créé avec la politique gérée `AmazonEKS_CNI_Policy` telle que détaillée dans [Plug-in CNI Amazon VPC pour Kubernetes](workloads-add-ons-available-eks.md#add-ons-vpc-cni). Choisissez **Suivant**.
+ À l’étape **Nom, révision et création**, dans **Nom du rôle**, le nom de rôle par défaut est automatiquement renseigné pour le module complémentaire. **Par exemple, pour le module complémentaire **Amazon VPC CNI**, le rôle sera créé sous le nom Amazon. EKSPod IdentityAmazon VPCCNIRole** Dans **Description**, la description par défaut est automatiquement remplie avec la description appropriée pour le module complémentaire. Par exemple, pour le module complémentaire Amazon VPC CNI, le rôle sera créé avec la description **Autorise les pods exécutés dans le cluster Amazon EKS à accéder aux ressources**. AWS Dans la **stratégie de confiance**, affichez la stratégie de confiance renseignée pour le module complémentaire. Choisissez **Créer un rôle**.
**Note**
En conservant le nom de rôle par défaut, EKS peut présélectionner le rôle pour les modules complémentaires dans les nouveaux clusters ou lors de l’ajout de modules complémentaires à des clusters existants. Vous pouvez toujours remplacer ce nom et le rôle sera disponible pour le module complémentaire dans tous vos clusters, mais il devra être sélectionné manuellement dans le menu déroulant.
1. Pour les modules complémentaires qui ne comportent pas la mention **Abonnement requis** sous **Statut** et pour lesquels vous souhaitez configurer des rôles à l’aide d’IRSA, consultez la documentation relative au module complémentaire que vous créez afin de créer une politique IAM et de l’associer à un rôle. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md). Pour sélectionner un rôle IAM, vous devez disposer d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un pour votre cluster ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md).
1. Sélectionnez **Paramètres de configuration facultatifs**.
1. Dans **Valeurs de configuration**, saisissez toutes les informations de configuration spécifiques au module complémentaire. Pour plus d’informations, consultez la documentation relative au module complémentaire que vous mettez à jour. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md)… Pour **Méthode de résolution des conflits**, sélectionnez l’une des options. Si vous avez défini des valeurs personnalisées pour les paramètres des modules complémentaires, nous vous recommandons l'option **Preserve** (Conserver). Si vous ne sélectionnez pas cette option, Amazon EKS remplace vos valeurs par ses valeurs par défaut. Si vous utilisez cette option, nous vous recommandons de tester les modifications de champ et de valeur sur un cluster hors production avant de mettre à jour le module complémentaire sur votre cluster de production. Si vous modifiez cette valeur pour la remplacer, tous les paramètres sont remplacés par les valeurs par défaut d’Amazon EKS. Si vous avez défini des valeurs personnalisées pour certains paramètres, il est possible qu’elles soient remplacées par les valeurs par défaut d’Amazon EKS. Si vous modifiez cette valeur pour « none », Amazon EKS ne modifie la valeur d’aucun paramètre, mais la mise à jour peut échouer. Si la mise à jour échoue, vous recevez un message d'erreur pour vous aider à résoudre le conflit.
1. Sélectionnez **Enregistrer les modifications**.
## Module complémentaire de mise à jour (AWS CLI)
1. Vous avez besoin d'`2.12.3`une version ou d'une version ultérieure `1.27.160` ou d'une version ultérieure de l'interface de ligne de AWS commande (AWS CLI) installée et configurée sur votre appareil ou AWS CloudShell. Pour vérifier votre version actuelle, utilisez `aws --version | cut -d / -f2 | cut -d ' ' -f1`. Les gestionnaires de packages tels que `yum``apt-get`, ou Homebrew pour macOS ont souvent plusieurs versions de retard sur la dernière version de la AWS CLI. Pour installer la dernière version, consultez la section [Installation](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) et [configuration rapide avec aws configure](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) dans le *Guide de l'utilisateur de l'interface de ligne de AWS commande*. La version de la AWS CLI installée AWS CloudShell peut également avoir plusieurs versions de retard par rapport à la dernière version. Pour le mettre à jour, consultez la section [Installation de la AWS CLI dans votre répertoire](https://docs.aws.amazon.com/cloudshell/latest/userguide/vm-specs.html#install-cli-software) de base dans le *guide de AWS CloudShell l'utilisateur*.
1. Consultez la liste des modules complémentaires installés. Remplacez *my-cluster* par le nom de votre cluster.
```
aws eks list-addons --cluster-name my-cluster
```
L'exemple qui suit illustre un résultat.
```
{
"addons": [
"coredns",
"kube-proxy",
"vpc-cni"
]
}
```
1. Affichez la version actuelle du module complémentaire que vous souhaitez mettre à jour. Remplacez *my-cluster* par le nom de votre cluster et *vpc-cni* par le nom du module complémentaire que vous souhaitez mettre à jour.
```
aws eks describe-addon --cluster-name my-cluster --addon-name vpc-cni --query "addon.addonVersion" --output text
```
L'exemple qui suit illustre un résultat.
```
v1.10.4-eksbuild.1
```
1. Déterminez quelles versions du module complémentaire sont disponibles pour la version de votre cluster. *1.35*Remplacez-le par la version de votre cluster et *vpc-cni* par le nom du module complémentaire que vous souhaitez mettre à jour.
```
aws eks describe-addon-versions --kubernetes-version 1.35 --addon-name vpc-cni \
--query 'addons[].addonVersions[].{Version: addonVersion, Defaultversion: compatibilities[0].defaultVersion}' --output table
```
L'exemple qui suit illustre un résultat.
```
------------------------------------------
| DescribeAddonVersions |
+-----------------+----------------------+
| Defaultversion | Version |
+-----------------+----------------------+
| False | v1.12.0-eksbuild.1 |
| True | v1.11.4-eksbuild.1 |
| False | v1.10.4-eksbuild.1 |
| False | v1.9.3-eksbuild.1 |
+-----------------+----------------------+
```
La version avec `True` dans la colonne `Defaultversion` correspond à la version avec laquelle le module complémentaire est créé, par défaut.
1. Mettez à jour votre module complémentaire. Copiez la commande qui suit sur votre appareil. Si nécessaire, apportez les modifications suivantes à la commande, puis exécutez la commande modifiée. Pour plus d’informations sur cette commande, consultez [update-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/update-addon.html) dans la référence des commandes en ligne Amazon EKS.
+ Remplacez *my-cluster* par le nom de votre cluster.
+ Remplacez *vpc-cni* par le nom du module complémentaire que vous souhaitez mettre à jour renvoyé dans la sortie d'une étape précédente.
+ Remplacez *version-number* par la version renvoyée dans la sortie de l'étape précédente vers laquelle vous souhaitez effectuer la mise à jour. Certains modules complémentaires présentent des versions recommandées. Pour plus d’informations, consultez la documentation relative au module complémentaire que vous mettez à jour. Pour obtenir la liste des modules complémentaires, consultez[AWS modules complémentaires](workloads-add-ons-available-eks.md). **\$1** Si le module complémentaire utilise un compte de service Kubernetes et un rôle IAM, remplacez-les par *111122223333* votre identifiant de compte et *role-name* par le nom d'un rôle IAM existant que vous avez créé. Pour obtenir des instructions sur la création d’un rôle, consultez la documentation du module complémentaire que vous créez. Pour obtenir la liste des modules complémentaires, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md). Pour spécifier un rôle de compte de service, vous devez disposer d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un pour votre cluster ou pour en créer un, consultez [Créer un fournisseur d'identité OIDC IAM pour votre cluster](enable-iam-roles-for-service-accounts.md).
Si le module complémentaire n’utilise pas de compte de service Kubernetes ni de rôle IAM, supprimez la ligne `serviceAccountRoleARN: arn:aws: iam::111122223333:role/role-name `.
+ L’option `--resolve-conflicts PRESERVE` conserve les valeurs existantes pour le module complémentaire. Si vous avez défini des valeurs personnalisées pour les paramètres du module complémentaire et que vous n’utilisez pas cette option, Amazon EKS remplace vos valeurs par ses valeurs par défaut. Si vous utilisez cette option, nous vous recommandons de tester les modifications de champ et de valeur sur un cluster hors production avant de mettre à jour le module complémentaire sur votre cluster de production. Si vous remplacez cette valeur par `OVERWRITE`, tous les paramètres sont remplacés par les valeurs par défaut d'Amazon EKS. Si vous avez défini des valeurs personnalisées pour certains paramètres, il est possible qu’elles soient remplacées par les valeurs par défaut d’Amazon EKS. Si vous remplacez cette valeur par `NONE`, Amazon EKS ne modifie la valeur d’aucun paramètre, mais la mise à jour risque d’échouer. Si la mise à jour échoue, vous recevez un message d'erreur pour vous aider à résoudre le conflit.
+ Si vous voulez supprimer toutes les configurations personnalisées, effectuez la mise à jour à l'aide de l'option *--configuration-values '\$1\$1'*. Cela ramène toutes les configurations personnalisées aux valeurs par défaut. Si vous ne souhaitez pas modifier votre configuration personnalisée, ne fournissez pas le *--configuration-values* drapeau. Si vous voulez ajuster une configuration personnalisée, remplacez *\$1\$1* par les nouveaux paramètres.
```
aws eks update-addon --cluster-name my-cluster --addon-name vpc-cni --addon-version version-number \
--service-account-role-arn arn:aws: iam::111122223333:role/role-name --configuration-values '{}' --resolve-conflicts PRESERVE
```
1. Vérifiez l'état de la mise à jour. *my-cluster*Remplacez-le par le nom de votre cluster et *vpc-cni* par le nom du module complémentaire que vous mettez à jour.
```
aws eks describe-addon --cluster-name my-cluster --addon-name vpc-cni
```
L'exemple qui suit illustre un résultat.
```
{
"addon": {
"addonName": "vpc-cni",
"clusterName": "my-cluster",
"status": "UPDATING",
}
}
```
Lorsque la mise à jour est terminé, l'état indique `ACTIVE`.
# Vérification de la compatibilité de la version du module complémentaire Amazon EKS avec un cluster
Avant de créer un module complémentaire Amazon EKS, vous devez vérifier que sa version est compatible avec votre cluster.
Utilisez l'[describe-addon-versions API](https://docs.aws.amazon.com/eks/latest/APIReference/API_DescribeAddonVersions.html) pour répertorier les versions disponibles des modules complémentaires EKS, ainsi que les versions de Kubernetes prises en charge par chaque version d'extension.
1. Vérifiez que la AWS CLI est installée et fonctionne avec`aws sts get-caller-identity`. Si cette commande ne fonctionne pas, découvrez comment [démarrer avec la AWS CLI.](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
1. Déterminez le nom du module complémentaire pour lequel vous souhaitez obtenir des informations de compatibilité, par exemple `amazon-cloudwatch-observability`.
1. Déterminez la version Kubernetes de votre cluster, par exemple `1.35`.
1. Utilisez la AWS CLI pour récupérer les versions des modules complémentaires compatibles avec la version Kubernetes de votre cluster.
```
aws eks describe-addon-versions --addon-name amazon-cloudwatch-observability --kubernetes-version 1.35
```
L'exemple qui suit illustre un résultat.
```
{
"addons": [
{
"addonName": "amazon-cloudwatch-observability",
"type": "observability",
"addonVersions": [
{
"addonVersion": "vX.X.X-eksbuild.X",
"architecture": [
"amd64",
"arm64"
],
"computeTypes": [
"ec2",
"auto",
"hybrid"
],
"compatibilities": [
{
"clusterVersion": "1.35",
"platformVersions": [
"*"
],
"defaultVersion": true
}
],
}
]
}
]
}
```
Ce résultat indique que la version `vX.X.X-eksbuild.X` du module complémentaire est compatible avec la version `1.35` du cluster Kubernetes.
## Compatibilité des modules complémentaires avec les types de calcul
Le champ `computeTypes` du résultat `describe-addon-versions` indique la compatibilité du module complémentaire avec les nœuds gérés par le mode automatique EKS ou les nœuds hybrides. Les modules complémentaires marqués `auto` fonctionnent avec l'infrastructure AWS gérée basée sur le cloud d'EKS Auto Mode, tandis que ceux marqués `hybrid` peuvent être exécutés sur des nœuds locaux connectés au plan de contrôle cloud EKS.
Pour de plus amples informations, veuillez consulter [Considérations relatives au mode automatique Amazon EKS](eks-add-ons.md#addon-consider-auto).
# Supprimer un module complémentaire Amazon EKS d’un cluster
Vous pouvez supprimer un module complémentaire Amazon EKS de votre cluster à l'aide `eksctl` de la AWS Management Console CLI ou de la AWS CLI.
Lorsque vous supprimez un module complémentaire Amazon EKS d’un cluster :
+ Il n'y a pas de temps d'arrêt pour les fonctionnalités fournies par le module complémentaire.
+ Si vous utilisez des rôles IAM pour les comptes de service (IRSA) et que le module complémentaire est associé à un rôle IAM, ce dernier n’est pas supprimé.
+ Si vous utilisez des identités du pod, toutes les associations d’identités du pod appartenant au module complémentaire sont supprimées. Si vous spécifiez l'`--preserve`option dans la AWS CLI, les associations sont préservées.
+ Amazon EKS cesse de gérer les paramètres du module complémentaire.
+ La console cesse de vous avertir lorsque de nouvelles versions sont disponibles.
+ Vous ne pouvez pas mettre à jour le module complémentaire à l'aide d' AWS outils ou APIs.
+ Vous pouvez choisir de laisser le module complémentaire sur votre cluster afin de pouvoir le gérer automatiquement, ou le supprimer de votre cluster. Vous ne devez supprimer le module complémentaire de votre cluster que si aucune ressource sur votre cluster ne dépend de la fonctionnalité fournie par ce module complémentaire.
## Conditions préalables
Avant de créer un module complémentaire, procédez comme suit :
+ Un cluster Amazon EKS existant. Pour en déployer un, consultez [Mise en route avec Amazon EKS](getting-started.md).
+ Vérifiez si votre module complémentaire nécessite un rôle IAM. Pour plus d’informations, veuillez consulter la rubrique
+ Version `0.215.0` ou ultérieure de l'outil de ligne de commande `eksctl` installée sur votre appareil ou AWS CloudShell. Pour installer ou mettre à jour `eksctl`, consultez [Installation](https://eksctl.io/installation) dans la documentation `eksctl`.
## Procédure
Vous disposez de deux options pour supprimer un module complémentaire Amazon EKS.
+ **Conserver le logiciel complémentaire sur votre cluster** : cette option supprime la gestion de tous les paramètres par Amazon EKS. Elle supprime également la possibilité pour Amazon EKS de vous informer des mises à jour et de mettre automatiquement à jour le module complémentaire Amazon EKS après le lancement d'une mise à jour. Toutefois, elle préserve le logiciel complémentaire sur votre cluster. Cette option fait du module complémentaire une installation autogérée plutôt qu'un module complémentaire Amazon EKS. Avec cette option, il n’y a pas de durée d’indisponibilité pour le module complémentaire.
+ **Supprimer entièrement le logiciel complémentaire de votre cluster** : nous vous recommandons de supprimer le module complémentaire Amazon EKS de votre cluster uniquement si aucune ressource de votre cluster n'en dépend.
Vous pouvez supprimer un module complémentaire Amazon EKS à l'aide `eksctl` de l'interface de AWS Management Console ligne de commande ou de la AWS CLI.
### Supprimer le module complémentaire (eksctl)
1. Déterminez les modules complémentaires actuellement installés sur votre cluster. Remplacez *my-cluster* par le nom de votre cluster.
```
eksctl get addon --cluster my-cluster
```
L'exemple qui suit illustre un résultat.
```
NAME VERSION STATUS ISSUES IAMROLE UPDATE AVAILABLE
coredns v1.8.7-eksbuild.2 ACTIVE 0
kube-proxy v1.23.7-eksbuild.1 ACTIVE 0
vpc-cni v1.10.4-eksbuild.1 ACTIVE 0
[...]
```
Votre sortie peut être différente, en fonction des modules complémentaires et des versions dont vous disposez sur votre cluster.
1. Supprimer le module complémentaire. Remplacez *my-cluster* par le nom de votre cluster et *name-of-add-on* par le nom du module complémentaire renvoyé dans la sortie de l'étape précédente que vous souhaitez supprimer. Si vous supprimez *--preserve* cette option, en plus du fait qu'Amazon EKS ne gère plus le module complémentaire, le logiciel complémentaire est supprimé de votre cluster.
```
eksctl delete addon --cluster my-cluster --name name-of-addon --preserve
```
Pour plus d’informations sur la suppression des modules complémentaires, consultez [Suppression de modules complémentaires](https://eksctl.io/usage/addons/#deleting-addons) dans la documentation `eksctl`.
### Supprimer le module complémentaire (AWS console)
1. Ouvrez la [console Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Dans le volet de navigation de gauche, choisissez **Clusters**.
1. Sélectionnez le nom du cluster pour lequel vous voulez supprimer le module complémentaire Amazon EKS.
1. Choisissez l’onglet **Modules complémentaires**.
1. Sélectionnez le module complémentaire que vous voulez supprimer.
1. Cliquez sur **Supprimer**.
1. Dans la boîte de dialogue **Supprimer : *name of addon*** confirmation, procédez comme suit :
1. Si vous voulez qu'Amazon EKS cesse de gérer les paramètres du module complémentaire, sélectionnez **Conserver sur le cluster**. Faites ceci si vous voulez retenir le logiciel du module complémentaire sur votre cluster. Ceci afin que vous puissiez gérer vous-même tous les paramètres du module complémentaire.
1. Saisissez le nom du module complémentaire.
1. Cliquez sur **Supprimer**.
### Supprimer le module complémentaire (AWS CLI)
1. Vous avez besoin d'`0.215.0`une version ou d'une version ultérieure de l'outil de ligne de `eksctl` commande installée sur votre appareil ou AWS CloudShell. Pour installer ou mettre à jour `eksctl`, veuillez consulter [Installation](https://eksctl.io/installation) dans la documentation de `eksctl`.
1. Consultez la liste des modules complémentaires installés. Remplacez *my-cluster* par le nom de votre cluster.
```
aws eks list-addons --cluster-name my-cluster
```
L'exemple qui suit illustre un résultat.
```
{
"addons": [
"coredns",
"kube-proxy",
"vpc-cni",
"name-of-addon"
]
}
```
1. Supprimez le module complémentaire installé. Remplacez *my-cluster* par le nom de votre cluster et *name-of-add-on* par le nom du module complémentaire que vous souhaitez supprimer. La suppression *--preserve* supprime le logiciel complémentaire de votre cluster.
```
aws eks delete-addon --cluster-name my-cluster --addon-name name-of-addon --preserve
```
L'exemple suivant illustre le résultat abrégé.
```
{
"addon": {
"addonName": "name-of-add-on",
"clusterName": "my-cluster",
"status": "DELETING",
}
}
```
1. Vérifiez l’état de la suppression. *my-cluster*Remplacez-le par le nom de votre cluster et *name-of-addon* par le nom du module complémentaire que vous supprimez.
```
aws eks describe-addon --cluster-name my-cluster --addon-name name-of-addon
```
Une fois le module complémentaire supprimé, l’exemple de sortie est le suivant.
```
An error occurred (ResourceNotFoundException) when calling the DescribeAddon operation: No addon: name-of-addon found in cluster: my-cluster
```
# Rôles IAM pour les modules complémentaires Amazon EKS
Certains modules complémentaires Amazon EKS nécessitent des rôles IAM et des autorisations pour appeler des API AWS. Par exemple, le module complémentaire Amazon VPC CNI appelle certaines API AWS afin de configurer des ressources réseau dans votre compte. Ces modules complémentaires doivent obtenir des autorisations via IAM. Plus précisément, le compte de service du pod exécutant le module complémentaire doit être associé à un rôle IAM doté d’une politique IAM spécifique.
La méthode recommandée pour accorder des autorisations AWS aux charges de travail du cluster consiste à utiliser la fonctionnalité Amazon EKS d’identité du pod. Vous pouvez utiliser une **association d’identité du pod** pour mapper le compte de service d’un module complémentaire à un rôle IAM. Si un pod utilise un compte de service qui a une association, Amazon EKS définit des variables d’environnement dans les conteneurs du pod. Les variables d’environnement configurent les kits SDK AWS, y compris la CLI AWS, pour utiliser les informations d’identification d’identité du pod EKS. Pour plus d’informations, consultez [Découvrir comment l’identité du pod Amazon EKS accorde aux pods l’accès aux services AWS](pod-identities.md).
Les modules complémentaires Amazon EKS peuvent aider à gérer le cycle de vie des associations d’identité de pod liées à un module complémentaire. Par exemple, vous pouvez créer ou mettre à jour un module complémentaire Amazon EKS et l’association d’identité de pod correspondante en un seul appel d’API. Amazon EKS fournit aussi une API permettant d’extraire les politiques IAM recommandées.
1. Vérifiez que l’[agent d’identité du pod Amazon EKS](pod-id-agent-setup.md) est configuré sur votre cluster.
1. Déterminez si le module complémentaire que vous souhaitez installer nécessite des autorisations IAM en utilisant l’opération `describe-addon-versions` de la CLI AWS. Si le paramètre `requiresIamPermissions` est défini sur `true`, utilisez l’opération `describe-addon-configurations` pour connaître les autorisations nécessaires au module complémentaire. La réponse inclut une liste de politiques IAM gérées recommandées.
1. Extrayez le nom du compte de service Kubernetes et de la politique IAM à l’aide de l’opération `describe-addon-configuration` de la CLI. Évaluez la portée de la politique recommandée au regard de vos exigences de sécurité.
1. Créez un rôle IAM utilisant la politique d’autorisation recommandée ainsi que la politique d’approbation requise par l’identité du pod. Pour de plus amples informations, consultez [Création d'une association Pod Identity (AWS console)](pod-id-association.md#pod-id-association-create).
1. Créez ou mettez à jour un module complémentaire Amazon EKS à l’aide de la CLI. Spécifiez au moins une association d’identité de pod. Une association d’identité de pod correspond au nom d’un compte de service Kubernetes et à l’ARN du rôle IAM.
+ Les associations d’identité de pod créées via les API des modules complémentaires sont gérées par le module complémentaire concerné. Si vous supprimez le module complémentaire, l’association d’identité de pod est également supprimée. Vous pouvez éviter cette suppression en cascade en utilisant l’option `preserve` lors de la suppression d’un module complémentaire via la CLI AWS ou l’API. Vous pouvez également mettre à jour ou supprimer directement l’association d’identité de pod si nécessaire. Les modules complémentaires ne peuvent pas prendre la propriété d’associations d’identité de pod déjà existantes. Vous devez supprimer l’association existante, puis la recréer via une opération de création ou de mise à jour du module complémentaire.
+ Amazon EKS recommande d’utiliser les associations d’identité de pod pour gérer les autorisations IAM des modules complémentaires. La méthode précédente, les rôles IAM pour les comptes de service (IRSA), est toujours prise en charge. Vous pouvez spécifier à la fois un `serviceAccountRoleArn` IRSA et une association d’identité de pod pour un module complémentaire. Si l’agent d’identité de pod EKS est installé sur le cluster, le `serviceAccountRoleArn` est ignoré et EKS utilise l’association d’identité de pod fournie. Si l’identité du pod n’est pas activée, le `serviceAccountRoleArn` est utilisé.
+ Si vous mettez à jour les associations d’identité de pod d’un module complémentaire existant, Amazon EKS lance un redémarrage progressif des pods du module complémentaire.
# Récupérer les informations IAM sur un module complémentaire Amazon EKS
Avant de créer un module complémentaire, utilisez la AWS CLI pour déterminer :
+ Si le module complémentaire nécessite des autorisations IAM
+ La politique IAM suggérée à utiliser
## Procédure
1. Déterminez le nom du module complémentaire que vous voulez installer et la version Kubernetes de votre cluster. Pour plus d'informations sur les modules complémentaires, voir [Modules complémentaires Amazon EKS](eks-add-ons.md).
1. Utilisez la AWS CLI pour déterminer si le module complémentaire nécessite des autorisations IAM.
```
aws eks describe-addon-versions \
--addon-name \
--kubernetes-version
```
Par exemple :
```
aws eks describe-addon-versions \
--addon-name aws-ebs-csi-driver \
--kubernetes-version 1.30
```
Veuillez examiner l’exemple de résultat suivant. Notez que `requiresIamPermissions` est `true` et qu’il s’agit de la version par défaut du module complémentaire. Vous devez spécifier la version du module complémentaire lorsque vous récupérez la politique IAM recommandée.
```
{
"addons": [
{
"addonName": "aws-ebs-csi-driver",
"type": "storage",
"addonVersions": [
{
"addonVersion": "v1.31.0-eksbuild.1",
"architecture": [
"amd64",
"arm64"
],
"compatibilities": [
{
"clusterVersion": "1.30",
"platformVersions": [
"*"
],
"defaultVersion": true
}
],
"requiresConfiguration": false,
"requiresIamPermissions": true
},
[...]
```
1. Si le module complémentaire nécessite des autorisations IAM, utilisez la AWS CLI pour récupérer une politique IAM recommandée.
```
aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name \
--addon-version
```
Par exemple :
```
aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name aws-ebs-csi-driver \
--addon-version v1.31.0-eksbuild.1
```
Veuillez examiner l’exemple suivant. Notez le `recommendedManagedPolicies`.
```
[
{
"serviceAccount": "ebs-csi-controller-sa",
"recommendedManagedPolicies": [
"arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicyV2"
]
}
]
```
1. Créez un rôle IAM et associez-lui la stratégie gérée recommandée. Vous pouvez également examiner la stratégie gérée et réduire la portée des autorisations si nécessaire. Pour de plus amples informations, veuillez consulter [Création d'une association Pod Identity (AWS console)](pod-id-association.md#pod-id-association-create).
## Référence relative à la prise en charge de l’identité du pod
Le tableau suivant indique si certains modules complémentaires Amazon EKS prennent en charge l’identité du pod EKS.
| Nom du module complémentaire | Prise en charge de l’identité du pod | Version minimale requise |
| --- | --- | --- |
| [Pilote CSI Amazon EBS](workloads-add-ons-available-eks.md#add-ons-aws-ebs-csi-driver) | Oui | v1.26.0-eksbuild.1 |
| [CNI Amazon VPC](workloads-add-ons-available-eks.md#add-ons-vpc-cni) | Oui | v1.15.5-eksbuild.1 |
| [Pilote CSI Amazon EFS](workloads-add-ons-available-eks.md#add-ons-aws-efs-csi-driver) | Oui | v2.0.5-eksbuild.1 |
| [AWS Distro pour OpenTelemetry](workloads-add-ons-available-eks.md#add-ons-adot) | Oui | v0.94.1-eksbuild.1 |
| [Mountpoint pour Amazon S3 CSI Driver](workloads-add-ons-available-eks.md#mountpoint-for-s3-add-on) | Non | N/A |
| [Agent Amazon CloudWatch Observability](workloads-add-ons-available-eks.md#amazon-cloudwatch-observability) | Oui | v3.1.0-eksbuild.1 |
Ce tableau a été mis à jour pour la dernière fois le 28 octobre 2024.
# Utiliser les identités du pod pour attribuer un rôle IAM à un module complémentaire Amazon EKS
Certains modules complémentaires Amazon EKS nécessitent des rôles et des autorisations IAM. Avant d’ajouter ou de mettre à jour un module complémentaire Amazon EKS pour utiliser une association d’identité du pod, vérifiez le rôle et la politique à utiliser. Pour de plus amples informations, consultez [Récupérer les informations IAM sur un module complémentaire Amazon EKS](retreive-iam-info.md).
1. Déterminez :
+ `cluster-name` : le nom du cluster sur lequel installer le module complémentaire.
+ `addon-name` : le nom du module complémentaire à installer.
+ `service-account-name` : le nom du compte de service Kubernetes utilisé par le module complémentaire.
+ `iam-role-arn` : l’ARN d’un rôle IAM disposant des autorisations suffisantes pour le module complémentaire. Le rôle doit disposer de la politique d’approbation requise pour l’identité du pod EKS. Pour plus d’informations, consultez [Création d'une association Pod Identity (AWS console)](pod-id-association.md#pod-id-association-create).
1. Mettez à jour le module complémentaire à l’aide de l’interface AWS CLI. Vous pouvez également spécifier des associations d’identité du pod lors de la création d’un module complémentaire, en utilisant la même syntaxe `--pod-identity-assocations`. Notez que lorsque vous spécifiez des associations d’identité du pod lors de la mise à jour d’un module complémentaire, toutes les associations d’identité du pod précédentes sont écrasées.
```
aws eks update-addon --cluster-name \
--addon-name \
--pod-identity-associations 'serviceAccount=,roleArn='
```
Par exemple :
```
aws eks update-addon --cluster-name mycluster \
--addon-name aws-ebs-csi-driver \
--pod-identity-associations 'serviceAccount=ebs-csi-controller-sa,roleArn=arn:aws:iam::123456789012:role/StorageDriver'
```
1. Vérifiez que l’association d’identité du pod a été créée :
```
aws eks list-pod-identity-associations --cluster-name
```
Si la commande aboutit, vous devriez obtenir une sortie similaire à ce qui suit. Notez le OwnerARN du module complémentaire EKS.
```
{
"associations": [
{
"clusterName": "mycluster",
"namespace": "kube-system",
"serviceAccount": "ebs-csi-controller-sa",
"associationArn": "arn:aws:eks:us-west-2:123456789012:podidentityassociation/mycluster/a-4wvljrezsukshq1bv",
"associationId": "a-4wvljrezsukshq1bv",
"ownerArn": "arn:aws:eks:us-west-2:123456789012:addon/mycluster/aws-ebs-csi-driver/9cc7ce8c-2e15-b0a7-f311-426691cd8546"
}
]
}
```
# Supprimer les associations d’identité du pod d’un module complémentaire Amazon EKS
Supprimez les associations d’identité du pod EKS d’un module complémentaire Amazon EKS.
1. Déterminez :
+ `cluster-name` : le nom du cluster EKS sur lequel installer le module complémentaire.
+ `addon-name` : le nom du module complémentaire Amazon EKS à installer.
1. Mettez à jour le module complémentaire pour spécifier un tableau vide d’associations d’identités de pod.
```
aws eks update-addon --cluster-name \
--addon-name \
--pod-identity-associations "[]"
```
# Résolution des problèmes relatifs aux identités des pods pour les modules complémentaires EKS
Si vos modules complémentaires rencontrent des erreurs lors des opérations des API, des kits SDK ou de la CLI AWS, vérifiez les points suivants :
+ L’agent d’identité du pod est installé dans votre cluster.
+ Pour plus d’informations sur l’installation de l’agent d’identité du pod, consultez [Configurer l’agent de l’identité du pod Amazon EKS](pod-id-agent-setup.md).
+ Le module complémentaire dispose d’une association d’identité de pod valide.
+ Utilisez la CLI AWS pour extraire les associations créées pour le nom du compte de service utilisé par le module complémentaire.
```
aws eks list-pod-identity-associations --cluster-name
```
+ Le rôle IAM contient la politique d’approbation requise pour les identités des pods.
+ Utilisez la CLI AWS pour extraire la politique d’approbation d’un module complémentaire.
```
aws iam get-role --role-name --query Role.AssumeRolePolicyDocument
```
+ Le rôle IAM dispose des autorisations nécessaires pour le module complémentaire.
+ Utilisez AWS CloudTrail pour passer en revue les événements `AccessDenied` ou `UnauthorizedOperation`.
+ Le nom du compte de service indiqué dans l’association d’identité de pod correspond au nom du compte de service utilisé par le module complémentaire.
+ Pour plus d’informations sur les modules complémentaires disponibles, consultez [AWS modules complémentaires](workloads-add-ons-available-eks.md).
+ Vérifiez la configuration de MutatingWebHookConfiguration nommé `pod-identity-webhook`
+ `admissionReviewVersions` du webhook doit être `v1beta1` et ne fonctionne pas avec `v1`.
# Déterminez les champs que vous pouvez personnaliser pour les modules complémentaires Amazon EKS
Les modules complémentaires Amazon EKS sont installés sur votre cluster à l'aide des configurations standard de bonnes pratiques. Pour plus d'informations sur l'ajout d'un module complémentaire Amazon EKS à votre cluster, consultez [Modules complémentaires Amazon EKS](eks-add-ons.md).
Vous voudrez peut-être personnaliser la configuration d'un module complémentaire Amazon EKS pour activer les fonctions avancées. Amazon EKS utilise la fonction apply côté serveur de Kubernetes pour permettre la gestion d’un module complémentaire par Amazon EKS sans écraser votre configuration pour les paramètres qui ne sont pas gérés par Amazon EKS. Pour plus d'informations, consultez [apply côté serveur](https://kubernetes.io/docs/reference/using-api/server-side-apply/) dans la documentation Kubernetes. Pour ce faire, Amazon EKS gère un ensemble minimal de champs pour chaque module complémentaire qu'il installe. Vous pouvez, sans problème, modifier tous les champs qui ne sont pas gérés par Amazon EKS ou un autre processus de plan de contrôle Kubernetes tel que `kube-controller-manager`.
**Important**
La modification d'un champ géré par Amazon EKS empêche Amazon EKS de gérer le module complémentaire. Ce processus peut entraîner l'écrasement de vos modifications lors de la mise à jour d'un module complémentaire.
## Syntaxe de gestion de champs
Lorsque vous affichez les détails d'un objet Kubernetes, les champs gérés et non gérés sont renvoyés en sortie. Les champs gérés peuvent être l'un des types suivants :
+ **Entièrement géré** : toutes les clés du champ sont gérées par Amazon EKS. Les modifications apportées à une valeur provoquent un conflit.
+ **Partiellement géré** : certaines clés du champ sont gérées par Amazon EKS. Seules les modifications apportées aux clés explicitement gérées par Amazon EKS provoquent un conflit.
Les deux types de champs sont étiquetés avec `manager: eks`.
Chaque clé est soit un `.` représentant le champ lui-même, qui correspond toujours à un ensemble vide, soit une chaîne qui représente un sous-champ ou un élément. La sortie pour la gestion des champs comprend les types de déclarations suivants :
+ `f:name `, où *name* est le nom d'un champ d'une liste.
+ `k:keys `, où se *keys* trouve une carte des champs d'un élément de liste.
+ `v:value `, où *value* est la valeur exacte au format JSON formaté de l'élément d'une liste.
+ `i:index `, où *index* est la position d'un élément dans la liste.
Les parties de sortie suivantes pour le module complémentaire CoreDNS illustrent les déclarations précédentes :
+ **Champs entièrement gérés** : si un champ géré possède un (champ) `f:` spécifié, mais aucune (clé) `k:`, alors le champ entier est géré. Les modifications apportées aux valeurs de ce champ provoquent un conflit.
Dans la sortie suivante, vous pouvez voir que le conteneur nommé `coredns` est géré par `eks`. Les sous-champs `args`, `image` et `imagePullPolicy` sont également gérés par `eks`. Les modifications apportées aux valeurs de ces champs provoquent un conflit.
```
[...]
f:containers:
k:{"name":"coredns"}:
.: {}
f:args: {}
f:image: {}
f:imagePullPolicy: {}
[...]
manager: eks
[...]
```
+ **Champs partiellement gérés** : si une clé gérée a une valeur spécifiée, les clés déclarées sont gérées pour ce champ. La modification des clés spécifiées provoque un conflit.
Dans la sortie suivante, vous pouvez voir que `eks` gère les volumes `config-volume` et `tmp` définis à l'aide de la clé `name`.
```
[...]
f:volumes:
k:{"name":"config-volume"}:
.: {}
f:configMap:
f:items: {}
f:name: {}
f:name: {}
k:{"name":"tmp"}:
.: {}
f:name: {}
[...]
manager: eks
[...]
```
+ **Ajout de clés à des champs partiellement gérés** : si seule une valeur de clé spécifique est gérée, vous pouvez ajouter en toute sécurité des clés supplémentaires, telles que des arguments, à un champ sans provoquer de conflit. Si vous ajoutez des clés supplémentaires, assurez-vous d’abord que le champ n’est pas géré. L'ajout ou la modification d'une valeur gérée provoque un conflit.
Dans la sortie suivante, vous pouvez voir que la clé `name` et le champ `name` sont gérés. L'ajout ou la modification d'un nom de conteneur provoque un conflit avec cette clé gérée.
```
[...]
f:containers:
k:{"name":"coredns"}:
[...]
f:name: {}
[...]
manager: eks
[...]
```
## Procédure
Vous pouvez utiliser `kubectl` pour voir quels champs sont gérés par Amazon EKS pour tout module complémentaire Amazon EKS.
Vous pouvez, sans problème, modifier tous les champs qui ne sont pas gérés par Amazon EKS ou un autre processus de plan de contrôle Kubernetes tel que `kube-controller-manager`.
1. Déterminez le module complémentaire que vous souhaitez examiner. Pour voir l'ensemble du `deployments` terrain DaemonSets déployé sur votre cluster, consultez[Consultez les ressources Kubernetes dans le AWS Management Console](view-kubernetes-resources.md).
1. Pour afficher les champs gérés d'un module complémentaire, exécutez la commande suivante :
```
kubectl get type/add-on-name -n add-on-namespace -o yaml
```
Par exemple, vous pouvez voir les champs gérés pour le module complémentaire CoreDNS avec la commande suivante.
```
kubectl get deployment/coredns -n kube-system -o yaml
```
La gestion des champs est répertoriée dans la section suivante dans la sortie renvoyée.
```
[...]
managedFields:
- apiVersion: apps/v1
fieldsType: FieldsV1
fieldsV1:
[...]
```
**Note**
Si vous ne voyez pas `managedFields` en sortie, ajoutez `--show-managed-fields` à la commande et exécutez-la à nouveau. La version de `kubectl` que vous utilisez détermine si les champs gérés sont retournés par défaut.
## Étapes suivantes
Personnalisez les champs qui ne sont pas détenus par AWS le module complémentaire for you.