Aidez à améliorer cette page
Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.
Modules complémentaires AWS
Les modules complémentaires Amazon EKS suivants peuvent être créés sur votre cluster. Vous pouvez consulter la liste la plus récente des modules complémentaires disponibles à l’aide d’eksctl, de la AWS Management Console ou de l’interface AWS CLI. Pour voir tous les modules complémentaires disponibles ou pour installer un module complémentaire, consultez Créer un module complémentaire Amazon EKS. Si un module complémentaire nécessite des autorisations IAM, vous devez disposer d’un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un, ou pour en créer un, consultez Créer un fournisseur d'identité OIDC IAM pour votre cluster. Vous pouvez créer ou supprimer un module complémentaire après l’avoir installé. Pour plus d’informations, consultez Mettre à jour un module complémentaire Amazon EKS ou Supprimer un module complémentaire Amazon EKS d’un cluster. Pour plus d’informations sur les considérations spécifiques à l’exécution des modules complémentaires EKS avec des nœuds hybrides Amazon EKS, consultez Configurer les modules complémentaires pour les nœuds hybrides.
Vous pouvez utiliser l’un des modules complémentaires Amazon EKS suivants.
| Description | En savoir plus | Types de calcul compatibles |
|---|---|---|
|
Fournir un réseau VPC natif pour votre cluster |
EC2 |
|
|
Un serveur DNS flexible et extensible qui peut servir de DNS pour le cluster Kubernetes |
EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
|
|
Maintenir les règles réseau sur chaque nœud Amazon EC2 |
EC2, nœuds hybrides EKS |
|
|
Fournir un stockage Amazon EBS pour votre cluster |
EC2 |
|
|
Fournir un stockage Amazon EFS pour votre cluster |
EC2, mode automatique EKS |
|
|
Fournir un stockage Amazon FSx pour Lustre pour votre cluster |
EC2, mode automatique EKS |
|
|
Fournir un stockage Amazon S3 pour votre cluster |
EC2, mode automatique EKS |
|
|
Détecter les problèmes de santé supplémentaires des nœuds |
EC2, nœuds hybrides EKS |
|
|
Activer l’utilisation de la fonctionnalité d’instantané dans les pilotes CSI compatibles, tels que le pilote Amazon EBS CSI |
EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
|
|
La gouvernance des tâches SageMaker HyperPod optimise l’allocation et l’utilisation des ressources de calcul entre les équipes dans les clusters Amazon EKS, remédiant ainsi aux inefficacités dans la hiérarchisation des tâches et le partage des ressources. |
EC2, mode automatique EKS, |
|
|
Le module complémentaire d’observabilité Amazon SageMaker HyperPod fournit des capacités complètes de surveillance et d’observabilité pour les clusters HyperPod. |
Module complémentaire d’observabilité Amazon SageMaker HyperPod |
EC2, mode automatique EKS, |
|
L’opérateur de formation Amazon SageMaker HyperPod permet un entraînement distribué efficace sur les clusters Amazon EKS grâce à des capacités avancées de planification et de gestion des ressources. |
EC2, mode automatique EKS |
|
|
Agent Kubernetes qui collecte et transmet les données de flux réseau à Amazon CloudWatch, permettant une surveillance complète des connexions TCP entre les nœuds du cluster. |
EC2, mode automatique EKS |
|
|
Distribution sécurisée, prête pour la production et prise en charge par AWS du projet OpenTelemetry |
EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
|
|
Service de surveillance de la sécurité qui analyse et traite les sources de données fondamentales, notamment les événements de gestion AWS CloudTrail et les journaux de flux Amazon VPC. Amazon GuardDuty traite également des fonctionnalités telles que les journaux d’audit Kubernetes et la surveillance de l’exécution |
EC2, mode automatique EKS |
|
|
Service de surveillance et d’observabilité fourni par AWS. Ce module complémentaire installe l’agent CloudWatch et active à la fois la vigie applicative CloudWatch et CloudWatch Container Insights avec observabilité améliorée pour Amazon EKS |
EC2, mode automatique EKS, nœuds hybrides EKS |
|
|
Possibilité de gérer les informations d’identification de vos applications, de la même manière que les profils d’instance EC2 fournissent des informations d’identification aux instances EC2 |
EC2, nœuds hybrides EKS |
|
|
Permet à cert-manager d’émettre des certificats X.509 à partir de l’autorité de certification privée AWS. Nécessite cert-manager. |
Connecteur d’autorité de certification privée AWS pour Kubernetes |
EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
|
Génère des métriques Prometheus sur les performances des périphériques réseau SR-IOV |
EC2 |
Plugin CNI Amazon VPC pour Kubernetes
Le module complémentaire CNI VPC pour Kubernetes Amazon EKS est un module complémentaire d’interface réseau de conteneur (CNI) Kubernetes qui fournit une mise en réseau VPC native pour votre cluster. Le type autogéré ou géré de ce module complémentaire est installé sur chaque nœud Amazon EC2, par défaut. Pour plus d’informations, consultez Module complémentaire d’interface réseau de conteneur (CNI) Kubernetes
Note
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Pour de plus amples informations, consultez Considérations relatives au mode automatique Amazon EKS.
Le nom du module complémentaire Amazon EKS est vpc-cni.
Autorisations IAM requises
Ce module complémentaire utilise la fonctionnalité de rôles IAM pour les comptes de service d’Amazon EKS. Pour de plus amples informations, consultez Rôles IAM pour les comptes de service.
Si votre cluster utilise la famille IPv4, les autorisations définies dans la politique AmazonEKS_CNI_Policy sont requises. Si votre cluster utilise la famille IPv6, vous devez créer une politique IAM avec les autorisations en mode IPv6
Remplacez my-cluster par le nom de votre cluster et AmazonEKSVPCCNIRole par le nom de votre rôle. Si votre cluster utilise la famille IPv6, remplacez AmazonEKS_CNI_Policy par le nom de la politique que vous avez créée. Cette commande nécessite que eksctl
eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \ --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve
Mise à jour des informations
Vous ne pouvez mettre à jour qu'une seule version mineure à la fois. Par exemple, si votre version actuelle est 1.28. et que vous voulez la mettre à jour vers x-eksbuild.y
1.30., vous devez d'abord mettre à jour votre version actuelle vers x-eksbuild.y
1.29. et ensuite la mettre à nouveau à jour vers x-eksbuild.y
1.30.. Pour plus d'informations sur la mise à jour du module complémentaire, consultez la rubrique Mettre à jour le CNI Amazon VPC (module complémentaire Amazon EKS).x-eksbuild.y
CoreDNS
Le module complémentaire CoreDNS Amazon EKS est un serveur DNS flexible et extensible qui peut servir de DNS pour le cluster Kubernetes. Le type autogéré ou géré de ce module complémentaire a été installé par défaut lorsque vous avez créé votre cluster. Lorsque vous lancez un cluster Amazon EKS avec au moins un nœud, deux réplicas de l'image CoreDNS sont déployés par défaut, quel que soit le nombre de nœuds déployés dans votre cluster. Les pods CoreDNS fournissent une résolution de noms pour tous les pods du cluster. Vous pouvez déployer les pod CoreDNS sur les nœuds Fargate si votre cluster comprend un profil Fargate avec un espace de noms qui correspond à l’espace de noms du déploiement CoreDNS. Pour plus d’informations, consultez Définissez quels pods utilisent AWS Fargate lors de leur lancement.
Note
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Pour de plus amples informations, consultez Considérations relatives au mode automatique Amazon EKS.
Le nom du module complémentaire Amazon EKS est coredns.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Informations supplémentaires
Pour en savoir plus sur CoreDNS, consultez Utilisation de CoreDNS pour la découverte de services
Kube-proxy
Le module complémentaire Kube-proxy Amazon EKS gère les règles réseau sur chaque nœud Amazon EC2. Il permet la communication réseau avec vos pods. Le type autogéré ou géré de ce module complémentaire est installé par défaut sur chaque nœud Amazon EC2 de votre cluster.
Note
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Pour de plus amples informations, consultez Considérations relatives au mode automatique Amazon EKS.
Le nom du module complémentaire Amazon EKS est kube-proxy.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Mise à jour des informations
Avant de mettre à jour votre version actuelle, veuillez tenir compte des exigences suivantes :
-
Kube-proxysur un cluster Amazon EKS a la même politique de compatibilité et de décalage que Kubernetes.
Informations supplémentaires
Pour en savoir plus sur kube-proxy, consultez kube-proxy
Pilote CSI Amazon EBS
Le module complémentaire Amazon EKS, le pilote CSI Amazon EBS, est un module complémentaire Kubernetes Container Storage Interface (CSI) qui fournit un stockage Amazon EBS pour votre cluster.
Note
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Le mode automatique inclut une fonctionnalité de stockage en bloc. Pour de plus amples informations, consultez Déployer un exemple de charge de travail avec état dans le mode automatique EKS.
Le nom du module complémentaire Amazon EKS est aws-ebs-csi-driver.
Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d’Amazon EKS. Pour de plus amples informations, consultez Rôles IAM pour les comptes de service. Les autorisations de la politique gérée par AWS AmazonEBSCSIDriverPolicy sont requises. Vous pouvez créer un rôle IAM et y attacher la politique gérée à l'aide de la commande suivante. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_EBS_CSI_DriverRole par le nom de votre rôle. Cette commande nécessite que eksctl
eksctl create iamserviceaccount \ --name ebs-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \ --approve
Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez Utilisez le stockage de volumes Kubernetes avec Amazon EBS.
Pilote CSI Amazon EFS
Le module complémentaire Amazon EKS, le pilote CSI Amazon EFS, est un plug-in Kubernetes Container Storage Interface (CSI) qui fournit un stockage Amazon EFS pour votre cluster.
Le nom du module complémentaire Amazon EKS est aws-efs-csi-driver.
Autorisations IAM requises
Autorisations IAM requises : ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d’Amazon EKS. Pour de plus amples informations, consultez Rôles IAM pour les comptes de service. Les autorisations de la politique gérée par AWS AmazonEFSCSIDriverPolicy sont requises. Vous pouvez créer un rôle IAM et y attacher la politique gérée à l'aide des commandes suivantes. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_EFS_CSI_DriverRole par le nom de votre rôle. Ces commandes nécessitent que eksctl
export cluster_name=my-cluster export role_name=AmazonEKS_EFS_CSI_DriverRole eksctl create iamserviceaccount \ --name efs-csi-controller-sa \ --namespace kube-system \ --cluster $cluster_name \ --role-name $role_name \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \ --approve TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \ sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/') aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez Utilisation du stockage en système de fichiers Elastic avec Amazon EFS.
Pilote CSI Amazon FSx
Le module complémentaire Amazon EKS du pilote CSI Amazon FSx est un plug-in Kubernetes Container Storage Interface (CSI) qui fournit le stockage Amazon FSx pour Lustre à votre cluster.
Le nom du module complémentaire Amazon EKS est aws-fsx-csi-driver.
Note
-
Les installations préexistantes du pilote Amazon FSx CSI dans le cluster peuvent entraîner des échecs d’installation des modules complémentaires. Lorsque vous essayez d’installer la version complémentaire Amazon EKS alors qu’un pilote CSI FSx non EKS existe, l’installation échoue en raison de conflits de ressources. Utilisez l’indicateur
OVERWRITElors de l’installation pour résoudre ce problème :aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE -
Le module complémentaire Amazon FSx CSI Driver EKS nécessite l’agent d’identité du pod EKS pour l’authentification. Sans ce composant, le module complémentaire échouera avec l’erreur
Amazon EKS Pod Identity agent is not installed in the cluster, empêchant les opérations sur le volume. Installez l’agent d’identité du pod avant ou après le déploiement du module complémentaire Pilote CSI FSx. Pour de plus amples informations, consultez Configurer l’agent de l’identité du pod Amazon EKS.
Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d’Amazon EKS. Pour de plus amples informations, consultez Rôles IAM pour les comptes de service. Les autorisations des politiques gérées par AWS AmazonFSxFullAccess sont requises. Vous pouvez créer un rôle IAM et y attacher la politique gérée à l'aide de la commande suivante. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_FSx_CSI_DriverRole par le nom de votre rôle. Cette commande nécessite que eksctl
eksctl create iamserviceaccount \ --name fsx-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_FSx_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/AmazonFSxFullAccess \ --approve
Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez Utilisez un stockage d’applications haute performance avec Amazon FSx pour Lustre.
Pilote CSI Mountpoint pour Amazon S3
Le module complémentaire Amazon EKS, le pilote CSI Mountpoint pour Amazon S3, est un module complémentaire Kubernetes Container Storage Interface (CSI) qui fournit un stockage Amazon S3 pour votre cluster.
Le nom du module complémentaire Amazon EKS est aws-mountpoint-s3-csi-driver.
Autorisations IAM requises
Ce module complémentaire utilise la fonctionnalité de rôles IAM pour les comptes de service d’Amazon EKS. Pour de plus amples informations, consultez Rôles IAM pour les comptes de service.
Le rôle IAM créé nécessitera une stratégie d'accès à S3. Veuillez suivre les Recommandations relatives aux autorisations IAM pour Mountpoint
Vous pouvez créer un rôle IAM et y attacher votre politique à l'aide des commandes suivantes. Remplacez my-cluster par le nom de votre cluster, region-code par le code de région AWS correct, AmazonEKS_S3_CSI_DriverRole par le nom de votre rôle et AmazonEKS_S3_CSI_DriverRole_ARN par l’ARN du rôle. Ces commandes nécessitent que eksctl
CLUSTER_NAME=my-cluster REGION=region-code ROLE_NAME=AmazonEKS_S3_CSI_DriverRole POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN eksctl create iamserviceaccount \ --name s3-csi-driver-sa \ --namespace kube-system \ --cluster $CLUSTER_NAME \ --attach-policy-arn $POLICY_ARN \ --approve \ --role-name $ROLE_NAME \ --region $REGION \ --role-only
Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez Accéder aux objets Amazon S3 avec le pilote CSI Mountpoint pour Amazon S3.
Contrôleur d’instantané CSI
Le contrôleur d’instantanés Container Storage Interface (CSI) permet d’utiliser la fonctionnalité d’instantanés dans les pilotes CSI compatibles, tels que le pilote CSI Amazon EBS.
Le nom du module complémentaire Amazon EKS est snapshot-controller.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Informations supplémentaires
Pour plus d’informations sur le module complémentaire, consultez Activer la fonctionnalité d’instantané pour les volumes CSI.
Gouvernance des tâches Amazon SageMaker HyperPod
La gouvernance des tâches SageMaker HyperPod est un système de gestion robuste conçu pour rationaliser l’allocation des ressources et garantir une utilisation efficace des ressources informatiques entre les équipes et les projets pour vos clusters Amazon EKS. Elle permet aux administrateurs et administratrices de définir :
-
Les niveaux de priorité des différentes tâches
-
L’allocation de ressources informatiques pour chaque équipe
-
La manière dont chaque équipe prête et emprunte des ressources informatiques inutilisées
-
Si une équipe préempte ses propres tâches
La gouvernance des tâches HyperPod fournit également l’observabilité des clusters Amazon EKS, offrant une visibilité en temps réel sur la capacité des clusters. Cela inclut la disponibilité et l’utilisation des ressources informatiques, l’allocation et l’utilisation par équipe, ainsi que des informations sur l’exécution des tâches et les temps d’attente, vous permettant ainsi de prendre des décisions éclairées et de gérer vos ressources de manière proactive.
Le nom du module complémentaire Amazon EKS est amazon-sagemaker-hyperpod-taskgovernance.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Informations supplémentaires
Pour plus d’informations, consultez Gouvernance des tâches SageMaker HyperPod
Module complémentaire d’observabilité Amazon SageMaker HyperPod
Le module complémentaire d’observabilité Amazon SageMaker HyperPod offre des fonctionnalités complètes de surveillance et d’observabilité pour les clusters SageMaker HyperPod. Ce module complémentaire déploie et gère automatiquement les composants de surveillance essentiels, notamment l’exportateur de nœuds, l’exportateur DCGM, kube-state-metrics et l’exportateur EFA. Il collecte et transmet les métriques à une instance Amazon Managed Prometheus (AMP) désignée par la clientèle et expose un point de terminaison OTLP pour les métriques personnalisées et l’ingestion d’événements provenant des tâches d’entraînement de la clientèle.
Le module complémentaire s’intègre à l’écosystème HyperPod plus large en récupérant les métriques de divers composants, notamment le module complémentaire HyperPod Task Governance, HyperPod Training Operator, Kubeflow et KEDA. Toutes les métriques collectées sont centralisées dans Amazon Managed Prometheus, ce qui permet aux clients d’obtenir une vue d’observabilité unifiée via les tableaux de bord Amazon Managed Grafana. Cela offre une visibilité de bout en bout sur l’état du cluster, l’utilisation des ressources et les performances des tâches d’entraînement dans l’ensemble de l’environnement HyperPod.
Le nom du module complémentaire Amazon EKS est amazon-sagemaker-hyperpod-observability.
Autorisations IAM requises
Ce module complémentaire utilise la fonctionnalité de rôles IAM pour les comptes de service d’Amazon EKS. Pour de plus amples informations, consultez Rôles IAM pour les comptes de service. Les politiques gérées suivantes sont requises :
-
AmazonPrometheusRemoteWriteAccess: pour l’écriture à distance des métriques du cluster vers AMP -
CloudWatchAgentServerPolicy: pour l’écriture à distance des journaux du cluster vers CloudWatch
Informations supplémentaires
Pour en savoir plus sur le module complémentaire et ses fonctionnalités, consultez Observabilité SageMaker HyperPod.
Opérateur d’entraînement Amazon SageMaker HyperPod
L’opérateur d’entraînement Amazon SageMaker HyperPod vous aide à accélérer le développement de modèles d’IA générative en gérant efficacement la formation distribuée sur de grands clusters de GPU. Il introduit des capacités intelligentes de récupération après défaillance, de détection des tâches bloquées et de gestion au niveau des processus qui minimisent les interruptions de formation et réduisent les coûts. Contrairement à l’infrastructure d’entraînement traditionnelle qui nécessite le redémarrage complet des tâches en cas de défaillance, cet opérateur met en œuvre une récupération chirurgicale des processus pour assurer le bon déroulement de vos tâches d’entraînement.
L’opérateur fonctionne également avec les fonctions de surveillance de l’état et d’observabilité d’HyperPod, offrant une visibilité en temps réel sur l’exécution de la formation et une surveillance automatique des métriques critiques telles que les pics de perte et la dégradation du débit. Vous pouvez définir des politiques de récupération via de simples configurations YAML sans modification du code, ce qui vous permet de réagir rapidement et de récupérer à partir d’états de formation irrécupérables. Ces capacités de surveillance et de récupération fonctionnent ensemble pour maintenir des performances de formation optimales tout en minimisant les frais généraux opérationnels.
Le nom du module complémentaire Amazon EKS est amazon-sagemaker-hyperpod-training-operator.
Pour plus d’informations, consultez Utilisation de l’opérateur d’entraînement HyperPod dans le Guide du développeur Amazon SageMaker.
Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM et utilise l’identité du pod Amazon EKS.
AWS suggère la politique gérée par AmazonSageMakerHyperPodTrainingOperatorAccess.
Pour plus d’informations, consultez Installation de l’opérateur d’entraînement dans le Guide du développeur Amazon SageMaker.
Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultez Opérateur d’entraînement SageMaker HyperPod.
Agent de surveillance des flux réseau AWS
L’agent de surveillance des flux réseau Amazon CloudWatch est une application Kubernetes qui collecte les statistiques de connexion TCP de tous les nœuds d’un cluster et diffuse des rapports sur les flux réseau vers les API d’ingestion Amazon CloudWatch Network Flow Monitor.
Le nom du module complémentaire Amazon EKS est aws-network-flow-monitoring-agent.
Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM.
Vous devez associer la politique gérée CloudWatchNetworkFlowMonitorAgentPublishPolicy au module complémentaire.
Pour plus d’informations sur la configuration IAM requise, consultez Politique IAM
Pour plus d’informations sur la politique gérée, consultez CloudWatchNetworkFlowMonitorAgentPublishPolicy dans le Guide de l’utilisateur Amazon CloudWatch.
Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultez le référentiel GitHub de l’agent de surveillance des flux réseau Amazon CloudWatch
Agent de surveillance de nœuds
Le module complémentaire Amazon EKS de l’agent de surveillance des nœuds permet de détecter d’autres problèmes liés à l’intégrité des nœuds. Ces signaux d’intégrité supplémentaires peuvent également être exploités par la fonctionnalité optionnelle de réparation automatique des nœuds afin de remplacer automatiquement les nœuds si nécessaire.
Note
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Pour de plus amples informations, consultez Considérations relatives au mode automatique Amazon EKS.
Le nom du module complémentaire Amazon EKS est eks-node-monitoring-agent.
Autorisations IAM requises
Ce module complémentaire ne nécessite pas d’autorisations supplémentaires.
Informations supplémentaires
Pour de plus amples informations, consultez Activer la réparation automatique des nœuds et étudier les problèmes d’intégrité de ces derniers.
AWS Distro for OpenTelemetry
Le module complémentaire AWS Distro for OpenTelemetry d’Amazon EKS est une distribution sécurisée, prête à l’emploi et prise en charge par AWS du projet OpenTelemetry. Pour plus d’informations, consultez AWS Distro for OpenTelemetry
Le nom du module complémentaire Amazon EKS est adot.
Autorisations IAM requises
Ce module complémentaire ne nécessite des autorisations IAM que si vous utilisez l’une des ressources personnalisées préconfigurées qui peuvent être activées via la configuration avancée.
Informations supplémentaires
Pour plus d’informations, consultez Prise en main d’AWS Distro for OpenTelemetry à l’aide des modules complémentaires EKS
ADOT nécessite que le module complémentaire cert-manager soit déployé sur le cluster comme condition préalable, sinon ce module complémentaire ne fonctionnera pas s’il est déployé directement à l’aide de la propriété cluster_addons de https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest
Agent Amazon GuardDuty
Le module complémentaire Amazon EKS, l’agent Amazon GuardDuty, collecte les événements d’exécution (accès aux fichiers, exécution des processus, connexions réseau) à partir des nœuds de votre cluster EKS pour les analyser à l’aide de la surveillance d’exécution GuardDuty. GuardDuty lui-même (et non l’agent) est le service de surveillance de la sécurité qui analyse et traite les sources de données fondamentales, notamment les événements de gestion AWS CloudTrail et les journaux de flux Amazon VPC, ainsi que les fonctionnalités telles que les journaux d’audit Kubernetes et la surveillance d’exécution.
Le nom du module complémentaire Amazon EKS est aws-guardduty-agent.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Informations supplémentaires
Pour plus d’informations, consultez Surveillance d’exécution pour les clusters Amazon EKS dans Amazon GuardDuty.
-
Pour détecter les menaces de sécurité potentielles dans vos clusters Amazon EKS, activez la surveillance de l'exécution d'Amazon GuardDuty et déployez l'agent de sécurité GuardDuty sur vos clusters Amazon EKS.
Agent Amazon CloudWatch Observability
Le module complémentaire Amazon EKS, l’agent d’observabilité Amazon CloudWatch, est le service de surveillance et d’observabilité fourni par AWS. Ce module complémentaire installe l'agent CloudWatch et active à la fois les signaux d'application CloudWatch et les informations sur les conteneurs CloudWatch avec une observabilité améliorée pour Amazon EKS. Pour plus d’informations, consultez Agent Amazon CloudWatch.
Le nom du module complémentaire Amazon EKS est amazon-cloudwatch-observability.
Autorisations IAM requises
Ce module complémentaire utilise la fonctionnalité de rôles IAM pour les comptes de service d’Amazon EKS. Pour de plus amples informations, consultez Rôles IAM pour les comptes de service. Les autorisations dans les politiques gérées par AWS AWSXrayWriteOnlyAccessmy-cluster par le nom de votre cluster et AmazonEKS_Observability_role par le nom de votre rôle. Cette commande nécessite que eksctl
eksctl create iamserviceaccount \ --name cloudwatch-agent \ --namespace amazon-cloudwatch \ --cluster my-cluster \ --role-name AmazonEKS_Observability_Role \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \ --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \ --approve
Informations supplémentaires
Pour plus d’informations, consultez Installer l’agent CloudWatch.
Connecteur d’autorité de certification privée AWS pour Kubernetes
Le connecteur CA privée AWS pour Kubernetes est un module complémentaire pour cert-manager qui permet aux utilisateurs d’obtenir des certificats auprès de l’autorité de certification privée AWS (CA privée AWS).
-
Le nom du module complémentaire Amazon EKS est
aws-privateca-connector-for-kubernetes. -
L’espace de noms du module complémentaire est
aws-privateca-issuer.
Ce module complémentaire nécessite cert-manager. cert-manager est disponible sur Amazon EKS en tant que module complémentaire communautaire. Pour plus d’informations sur ce module complémentaire, consultez Gestionnaire de certificats. Pour plus d’informations sur l’installation des modules complémentaires, consultez Créer un module complémentaire Amazon EKS.
Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM.
Utilisez les identités du pod EKS pour associer la politique IAM AWSPrivateCAConnectorForKubernetesPolicy au compte de service Kubernetes aws-privateca-issuer. Pour de plus amples informations, consultez Utiliser les identités du pod pour attribuer un rôle IAM à un module complémentaire Amazon EKS.
Pour plus d’informations sur les autorisations requises, consultez AWSPrivateCAConnectorForKubernetesPolicy dans la référence des politiques gérées par AWS.
Informations supplémentaires
Pour plus d’informations, consultez le référentiel GitHub de l’émetteur de certificats privés AWS pour Kubernetes
Pour plus d’informations sur la configuration du module complémentaire, consultez values.yamlaws-privateca-issuer. Veuillez vérifier que la version de values.yaml correspond à la version du module complémentaire installé sur votre cluster.
Ce module complémentaire tolère le rejet CriticalAddonsOnly utilisé par le NodePool system du mode automatique Amazon EKS. Pour de plus amples informations, consultez Exécutez les modules complémentaires critiques sur des instances dédiées..
Agent EKS Pod Identity
Le module complémentaire Agent d’identité du pod Amazon EKS permet de gérer les informations d’identification de vos applications, de la même manière que les profils d’instance EC2 fournissent des informations d’identification aux instances EC2.
Note
Vous n’avez pas besoin d’installer ce module complémentaire sur les clusters du mode automatique Amazon EKS. Le mode automatique Amazon EKS s’intègre à l’identité du pod Amazon EKS. Pour de plus amples informations, consultez Considérations relatives au mode automatique Amazon EKS.
Le nom du module complémentaire Amazon EKS est eks-pod-identity-agent.
Autorisations IAM requises
Le module complémentaire Agent d’identité du pod Amazon EKS ne nécessite pas de rôle IAM. Il utilise les autorisations du rôle IAM du nœud Amazon EKS pour fonctionner, mais ne nécessite pas de rôle IAM dédié pour le module complémentaire.
Mise à jour des informations
Vous ne pouvez mettre à jour qu'une seule version mineure à la fois. Par exemple, si votre version actuelle est 1.28.x-eksbuild.y et que vous voulez la mettre à jour vers 1.30.x-eksbuild.y, vous devez d'abord mettre à jour votre version actuelle vers 1.29.x-eksbuild.y et ensuite la mettre à nouveau à jour vers 1.30.x-eksbuild.y. Pour plus d'informations sur la mise à jour du module complémentaire, consultez la rubrique Mettre à jour un module complémentaire Amazon EKS.
Exportateur de métriques réseau SR-IOV
Le module complémentaire Exportateur de métriques réseau SR-IOV Amazon EKS collecte et expose les métriques relatives aux périphériques réseau SR-IOV au format Prometheus. Il permet de surveiller les performances du réseau SR-IOV sur les nœuds de matériel nu EKS. L’exportateur s’exécute en tant que DaemonSet sur les nœuds dotés d’interfaces réseau compatibles SR-IOV et exporte des métriques qui peuvent être récupérées par Prometheus.
Note
Ce module complémentaire nécessite des nœuds dotés d’interfaces réseau compatibles SR-IOV.
| Propriété | Valeur |
|---|---|
|
Nom du module complémentaire |
|
|
Espace de noms |
|
|
Documentation d’ |
Référentiel GitHub de l’exportateur de métriques réseau SR-IOV |
|
Nom du compte de service |
Aucun |
|
Politique IAM gérée |
Aucun |
|
Autorisations IAM personnalisées |
Aucun |
