Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS modules complémentaires
Les modules complémentaires Amazon EKS suivants peuvent être créés sur votre cluster. Vous pouvez consulter la liste la plus récente des modules complémentaires disponibles à l'aide eksctl de la AWS Management Console CLI ou de la AWS CLI. Pour voir tous les modules complémentaires disponibles ou pour installer un module complémentaire, consultez Création d'un module complémentaire Amazon EKS. Si un module complémentaire nécessite des autorisations IAM, vous devez disposer d'un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un, ou pour en créer un, consultez Créer un fournisseur d'identité OIDC IAM pour votre cluster. Vous pouvez créer ou supprimer un module complémentaire après l'avoir installé. Pour plus d’informations, consultez Mettre à jour un module complémentaire Amazon EKS ou Supprimer un module complémentaire Amazon EKS d'un cluster. Pour plus d'informations sur les considérations spécifiques à l'exécution de modules complémentaires EKS avec Amazon EKS Hybrid Nodes, consultezConfiguration des modules complémentaires pour les nœuds hybrides.
Vous pouvez utiliser l'un des modules complémentaires Amazon EKS suivants.
| Description | En savoir plus | Types de calcul compatibles |
|---|---|---|
|
Fournissez un réseau VPC natif à votre cluster |
EC2 |
|
|
Un serveur DNS flexible et extensible qui peut servir de DNS du cluster Kubernetes |
EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
|
|
Maintenir les règles du réseau sur chaque EC2 nœud Amazon |
EC2, Nœuds hybrides EKS |
|
|
Fournissez un espace de stockage Amazon EBS pour votre cluster |
EC2 |
|
|
Fournissez un espace de stockage Amazon EFS pour votre cluster |
EC2, Mode automatique EKS |
|
|
Fournissez un espace de stockage Amazon FSx for Lustre pour votre cluster |
EC2, Mode automatique EKS |
|
|
Fournissez un espace de stockage Amazon S3 pour votre cluster |
EC2, Mode automatique EKS |
|
|
Détectez d'autres problèmes de santé des nœuds |
EC2, Nœuds hybrides EKS |
|
|
Activez l'utilisation de la fonctionnalité de capture instantanée dans les pilotes CSI compatibles, tels que le pilote Amazon EBS CSI |
EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
|
|
SageMaker HyperPod la gouvernance des tâches optimise l'allocation et l'utilisation des ressources informatiques entre les équipes dans les clusters Amazon EKS, remédiant ainsi aux inefficiences en matière de priorisation des tâches et de partage des ressources. |
EC2, Mode automatique EKS, |
|
|
Amazon SageMaker HyperPod Observability AddOn fournit des fonctionnalités complètes de surveillance et d'observabilité pour HyperPod les clusters. |
Module complémentaire Amazon SageMaker HyperPod Observability |
EC2, Mode automatique EKS, |
|
Un agent Kubernetes qui collecte et transmet les données de flux réseau à Amazon CloudWatch, permettant ainsi une surveillance complète des connexions TCP entre les nœuds du cluster. |
EC2, Mode automatique EKS |
|
|
Distribution sécurisée, prête pour la production et AWS prise en charge du projet OpenTelemetry |
EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
|
|
Service de surveillance de la sécurité qui analyse et traite les sources de données de base, notamment les événements AWS CloudTrail de gestion et les journaux de flux Amazon VPC. Amazon traite GuardDuty également des fonctionnalités, telles que les journaux d'audit Kubernetes et la surveillance du temps d'exécution |
EC2, Mode automatique EKS |
|
|
Service de surveillance et d'observabilité fourni par AWS. Ce module complémentaire installe l' CloudWatch agent et active à la fois CloudWatch Application Signals et CloudWatch Container Insights avec une observabilité améliorée pour Amazon EKS |
EC2, mode automatique EKS, nœuds hybrides EKS |
|
|
Possibilité de gérer les informations d'identification de vos applications, de la même manière que les profils d' EC2 instance fournissent des informations d'identification aux EC2 instances |
EC2, Nœuds hybrides EKS |
|
|
Activez cert-manager pour émettre des certificats X.509 à partir de AWS Private CA. Nécessite un gestionnaire de certificats. |
EC2, Fargate, mode automatique EKS, nœuds hybrides EKS |
Plugin CNI Amazon VPC pour Kubernetes
Le plug-in Amazon VPC CNI pour Kubernetes Le module complémentaire Amazon EKS est un plug-in d'interface réseau de conteneurs (CNI) Kubernetes qui fournit un réseau VPC natif à votre cluster. Le type autogéré ou géré de ce module complémentaire est installé sur chaque EC2 nœud Amazon, par défaut. Pour plus d'informations, consultez la section Plug-in CNI (Kubernetes Container Network Interface)
Note
Il n'est pas nécessaire d'installer ce module complémentaire sur les clusters Amazon EKS Auto Mode. Pour de plus amples informations, veuillez consulter Considérations relatives au mode automatique d'Amazon EKS.
Le nom du module complémentaire Amazon EKS estvpc-cni.
Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d'Amazon EKS. Pour de plus amples informations, veuillez consulter Rôles IAM pour les comptes de service.
Si votre cluster utilise la famille IPv4, les autorisations définies dans la politique AmazonEKS_CNI_Policy sont requises. Si votre cluster utilise cette IPv6 famille, vous devez créer une politique IAM avec les autorisations en IPv6 mode.
Remplacez my-cluster par le nom de votre cluster et AmazonEKSVPCCNIRole par le nom que vous souhaitez pour votre rôle. Si votre cluster utilise la famille IPv6, remplacez AmazonEKS_CNI_Policy par le nom de la politique que vous avez créée. Cette commande nécessite que eksctl
eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \ --role-only --attach-policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy --approve
Informations de mise à jour
Vous ne pouvez mettre à jour qu'une seule version mineure à la fois. Par exemple, si votre version actuelle est 1.28. et que vous voulez la mettre à jour vers x-eksbuild.y
1.30., vous devez d'abord mettre à jour votre version actuelle vers x-eksbuild.y
1.29. et ensuite la mettre à nouveau à jour vers x-eksbuild.y
1.30.. Pour plus d'informations sur la mise à jour du module complémentaire, consultez la rubrique Mettre à jour le Amazon VPC CNI (module complémentaire Amazon EKS).x-eksbuild.y
CoreDNS
Le module complémentaire CoreDNS Amazon EKS est un serveur DNS flexible et extensible qui peut servir de DNS du cluster Kubernetes. Le type autogéré ou géré de ce module complémentaire a été installé par défaut lorsque vous avez créé votre cluster. Lorsque vous lancez un cluster Amazon EKS avec au moins un nœud, deux réplicas de l'image CoreDNS sont déployés par défaut, quel que soit le nombre de nœuds déployés dans votre cluster. Les pods CoreDNS fournissent une résolution de noms pour tous les pods du cluster. Vous pouvez déployer les pods CoreDNS sur les nœuds Fargate si votre cluster inclut un profil Fargate avec un espace de noms correspondant à l'espace de noms pour le déploiement de CoreDNS. Pour de plus amples informations, consultez Définissez quels pods utilisent AWS Fargate lors de leur lancement.
Note
Il n'est pas nécessaire d'installer ce module complémentaire sur les clusters Amazon EKS Auto Mode. Pour de plus amples informations, veuillez consulter Considérations relatives au mode automatique d'Amazon EKS.
Le nom du module complémentaire Amazon EKS estcoredns.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Informations supplémentaires
Pour en savoir plus sur CoreDNS, consultez les sections Utilisation de CoreDNS pour la découverte de services et
Kube-proxy
Le module complémentaire Kube-proxy Amazon EKS gère les règles réseau sur chaque EC2 nœud Amazon. Il permet la communication réseau avec vos Pods. Le type autogéré ou géré de ce module complémentaire est installé par défaut sur chaque EC2 nœud Amazon de votre cluster.
Note
Il n'est pas nécessaire d'installer ce module complémentaire sur les clusters Amazon EKS Auto Mode. Pour de plus amples informations, veuillez consulter Considérations relatives au mode automatique d'Amazon EKS.
Le nom du module complémentaire Amazon EKS estkube-proxy.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Informations de mise à jour
Avant de mettre à jour votre version actuelle, tenez compte des exigences suivantes :
-
Kube-proxysur un cluster Amazon EKS a la même politique de compatibilité et de distorsion que Kubernetes.
Informations supplémentaires
Pour en savoir pluskube-proxy, consultez kube-proxy dans la documentation de Kubernetes
Pilote CSI Amazon EBS
Le pilote Amazon EBS CSI (module complémentaire Amazon EKS) est un plugin Kubernetes Container Storage Interface (CSI) qui fournit un stockage Amazon EBS pour votre cluster.
Note
Il n'est pas nécessaire d'installer ce module complémentaire sur les clusters Amazon EKS Auto Mode. Le mode automatique inclut une fonctionnalité de stockage par blocs. Pour de plus amples informations, veuillez consulter Déployer un exemple de charge de travail dynamique en mode automatique EKS.
Le nom du module complémentaire Amazon EKS estaws-ebs-csi-driver.
Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d'Amazon EKS. Pour de plus amples informations, veuillez consulter Rôles IAM pour les comptes de service. Les autorisations définies dans la EBSCSIDriverpolitique AWS gérée par Amazon Policy sont obligatoires. Vous pouvez créer un rôle IAM et y attacher la politique gérée à l'aide de la commande suivante. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_EBS_CSI_DriverRole par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que eksctl
eksctl create iamserviceaccount \ --name ebs-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \ --approve
Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultezUtiliser le stockage en volume Kubernetes avec Amazon EBS.
Pilote CSI Amazon EFS
Le pilote Amazon EFS CSI (module complémentaire Amazon EKS) est un plugin Kubernetes Container Storage Interface (CSI) qui fournit un stockage Amazon EFS pour votre cluster.
Le nom du module complémentaire Amazon EKS estaws-efs-csi-driver.
Autorisations IAM requises
Autorisations IAM requises — Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d'Amazon EKS. Pour de plus amples informations, veuillez consulter Rôles IAM pour les comptes de service. Les autorisations définies dans la EFSCSIDriverpolitique AWS gérée par Amazon Policy sont obligatoires. Vous pouvez créer un rôle IAM et y attacher la politique gérée à l'aide des commandes suivantes. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_EFS_CSI_DriverRole par le nom que vous souhaitez pour votre rôle. Ces commandes nécessitent que eksctl
export cluster_name=my-cluster export role_name=AmazonEKS_EFS_CSI_DriverRole eksctl create iamserviceaccount \ --name efs-csi-controller-sa \ --namespace kube-system \ --cluster $cluster_name \ --role-name $role_name \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \ --approve TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \ sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/') aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultezUtiliser le stockage de système de fichiers élastique avec Amazon EFS.
pilote Amazon FSx CSI
Le module complémentaire Amazon EKS du pilote Amazon FSx CSI est un plugin Kubernetes Container Storage Interface (CSI) qui fournit le stockage Amazon FSx for Lustre pour votre cluster.
Le nom du module complémentaire Amazon EKS estaws-fsx-csi-driver.
Note
-
Les installations préexistantes du pilote Amazon FSx CSI dans le cluster peuvent provoquer l'échec de l'installation des modules complémentaires. Lorsque vous tentez d'installer la version complémentaire Amazon EKS alors qu'un pilote FSx CSI autre qu'EKS existe, l'installation échoue en raison de conflits de ressources. Utilisez le
OVERWRITEdrapeau lors de l'installation pour résoudre ce problème :aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE -
Le module complémentaire Amazon FSx CSI Driver EKS nécessite l'agent EKS Pod Identity pour l'authentification. Sans ce composant, le module complémentaire échouera avec l'erreur
Amazon EKS Pod Identity agent is not installed in the cluster, empêchant ainsi les opérations de volume. Installez l'agent Pod Identity avant ou après le déploiement du module complémentaire FSx CSI Driver. Pour de plus amples informations, veuillez consulter Configuration de l'agent d'identité Amazon EKS Pod.
Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d'Amazon EKS. Pour de plus amples informations, veuillez consulter Rôles IAM pour les comptes de service. Les autorisations définies dans la politique FSx FullAccess AWS gérée par Amazon sont obligatoires. Vous pouvez créer un rôle IAM et y attacher la politique gérée à l'aide de la commande suivante. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_FSx_CSI_DriverRole par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que eksctl
eksctl create iamserviceaccount \ --name fsx-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_FSx_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/AmazonFSxFullAccess \ --approve
Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultezUtilisez un stockage d'applications performant avec Amazon FSx for Lustre.
Pilote CSI Mountpoint pour Amazon S3
Le module complémentaire Amazon EKS du pilote CSI Mountpoint pour Amazon S3 est un plugin Kubernetes Container Storage Interface (CSI) qui fournit un stockage Amazon S3 à votre cluster.
Le nom du module complémentaire Amazon EKS estaws-mountpoint-s3-csi-driver.
Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d'Amazon EKS. Pour de plus amples informations, veuillez consulter Rôles IAM pour les comptes de service.
Le rôle IAM créé nécessitera une stratégie d'accès à S3. Suivez les recommandations relatives aux autorisations IAM de Mountpoint
Vous pouvez créer un rôle IAM et y attacher votre politique à l'aide des commandes suivantes. Remplacez-le my-cluster par le nom de votre cluster, region-code par le code de AWS région correct, AmazonEKS_S3_CSI_DriverRole par le nom de votre rôle et AmazonEKS_S3_CSI_DriverRole_ARN par l'ARN du rôle. Ces commandes nécessitent que eksctl
CLUSTER_NAME=my-cluster REGION=region-code ROLE_NAME=AmazonEKS_S3_CSI_DriverRole POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN eksctl create iamserviceaccount \ --name s3-csi-driver-sa \ --namespace kube-system \ --cluster $CLUSTER_NAME \ --attach-policy-arn $POLICY_ARN \ --approve \ --role-name $ROLE_NAME \ --region $REGION \ --role-only
Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultezAccédez aux objets Amazon S3 avec le pilote CSI Mountpoint pour Amazon S3.
Contrôleur d'instantané CSI
Le contrôleur de capture instantanée CSI (Container Storage Interface) permet d'utiliser la fonctionnalité de capture instantanée dans les pilotes CSI compatibles, tels que le pilote Amazon EBS CSI.
Le nom du module complémentaire Amazon EKS estsnapshot-controller.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultezActiver la fonctionnalité de capture instantanée pour les volumes CSI.
Gouvernance des SageMaker HyperPod tâches Amazon
SageMaker HyperPod la gouvernance des tâches est un système de gestion robuste conçu pour rationaliser l'allocation des ressources et garantir une utilisation efficace des ressources informatiques au sein des équipes et des projets pour vos clusters Amazon EKS. Cela permet aux administrateurs de définir :
-
Niveaux de priorité pour différentes tâches
-
Calculez l'allocation pour chaque équipe
-
Comment chaque équipe prête et emprunte des ressources informatiques inutilisées
-
Si une équipe préempte ses propres tâches
HyperPod la gouvernance des tâches fournit également l'observabilité du cluster Amazon EKS, offrant une visibilité en temps réel sur la capacité du cluster. Cela inclut la disponibilité et l'utilisation du calcul, la répartition et l'utilisation des équipes, ainsi que les informations sur l'exécution des tâches et les temps d'attente, vous permettant ainsi de prendre des décisions éclairées et de gérer les ressources de manière proactive.
Le nom du module complémentaire Amazon EKS estamazon-sagemaker-hyperpod-taskgovernance.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultez la section Gouvernance des SageMaker HyperPod tâches
Module complémentaire Amazon SageMaker HyperPod Observability
Le module complémentaire Amazon SageMaker HyperPod Observability fournit des fonctionnalités complètes de surveillance et d'observabilité pour HyperPod les clusters. Ce module complémentaire déploie et gère automatiquement les composants de surveillance essentiels, notamment l'exportateur de nœuds, l'exportateur DCGM et l'exportateur EFA. kube-state-metrics Il collecte et transmet les métriques à une instance Amazon Managed Prometheus (AMP) désignée par le client et expose un point de terminaison OTLP pour les métriques personnalisées et l'ingestion d'événements liés aux tâches de formation des clients.
Le module complémentaire s'intègre à l'ensemble de l' HyperPod écosystème en extrayant les métriques de divers composants, notamment le module complémentaire HyperPod Task Governance, HyperPod Training Operator, Kubeflow et KEDA. Toutes les mesures collectées sont centralisées dans Amazon Managed Prometheus, ce qui permet aux clients d'obtenir une vue unifiée de l'observabilité via les tableaux de bord Amazon Managed Grafana. Cela fournit une end-to-end visibilité sur l'état du cluster, l'utilisation des ressources et les performances des tâches de formation dans l'ensemble de HyperPod l'environnement.
Le nom du module complémentaire Amazon EKS estamazon-sagemaker-hyperpod-observability.
Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d'Amazon EKS. Pour de plus amples informations, veuillez consulter Rôles IAM pour les comptes de service. Les politiques gérées suivantes sont requises :
-
AmazonPrometheusRemoteWriteAccess- pour écrire à distance des métriques du cluster vers AMP -
CloudWatchAgentServerPolicy- pour écrire à distance les journaux du cluster vers CloudWatch
Informations supplémentaires
Pour en savoir plus sur le module complémentaire et ses fonctionnalités, consultez SageMaker HyperPod Observabilité.
AWS Agent de surveillance du flux réseau
L'agent Amazon CloudWatch Network Flow Monitor est une application Kubernetes qui collecte les statistiques de connexion TCP à partir de tous les nœuds d'un cluster et publie des rapports sur le flux réseau dans Amazon CloudWatch Network Flow Monitor Ingestion. APIs
Le nom du module complémentaire Amazon EKS estaws-network-flow-monitoring-agent.
Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM.
Vous devez associer la politique CloudWatchNetworkFlowMonitorAgentPublishPolicy gérée au module complémentaire.
Pour plus d'informations sur la configuration IAM requise, consultez la politique IAM
Pour plus d'informations sur la politique gérée, consultez CloudWatchNetworkFlowMonitorAgentPublishPolicyle guide de CloudWatch l'utilisateur Amazon.
Informations supplémentaires
Pour en savoir plus sur le module complémentaire, consultez le GitHub dépôt de l'agent Amazon CloudWatch Network Flow Monitor.
Agent de surveillance des nœuds
Le module complémentaire Amazon EKS de l'agent de surveillance des nœuds peut détecter d'autres problèmes de santé des nœuds. Ces signaux de santé supplémentaires peuvent également être exploités par la fonction optionnelle de réparation automatique des nœuds pour remplacer automatiquement les nœuds selon les besoins.
Note
Il n'est pas nécessaire d'installer ce module complémentaire sur les clusters Amazon EKS Auto Mode. Pour de plus amples informations, veuillez consulter Considérations relatives au mode automatique d'Amazon EKS.
Le nom du module complémentaire Amazon EKS esteks-node-monitoring-agent.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation supplémentaire.
Informations supplémentaires
Pour de plus amples informations, veuillez consulter Activez la réparation automatique des nœuds et étudiez les problèmes de santé des nœuds.
AWS Distro pour OpenTelemetry
Le module complémentaire AWS Distro for OpenTelemetry Amazon EKS est une distribution sécurisée, prête pour la production et AWS prise en charge du projet. OpenTelemetry Pour plus d'informations, consultez AWS Distro for OpenTelemetry
Le nom du module complémentaire Amazon EKS estadot.
Autorisations IAM requises
Ce module complémentaire ne nécessite des autorisations IAM que si vous utilisez l'une des ressources personnalisées préconfigurées auxquelles vous pouvez accéder via une configuration avancée.
Informations supplémentaires
Pour plus d'informations, consultez Getting Started with AWS Distro pour OpenTelemetry l'utilisation des modules complémentaires EKS
ADOT exige que le cert-manager module complémentaire soit déployé sur le cluster comme condition préalable, sinon ce module complémentaire ne fonctionnera pas s'il est déployé directement à l'aide du https://registry.terraform. io/modules/terraform-aws-modules/eks/aws/latestcluster_addonspropriété. Pour plus d'informations sur les exigences, reportez-vous à la section Conditions requises pour démarrer avec AWS Distro pour OpenTelemetry l'utilisation des modules complémentaires EKS
GuardDuty Agent Amazon
Le module complémentaire Amazon EKS de l' GuardDuty agent Amazon collecte les événements d'exécution (accès aux fichiers, exécution des processus, connexions réseau) à partir des nœuds de votre cluster EKS pour les analyser par GuardDuty Runtime Monitoring. GuardDuty lui-même (et non l'agent) est le service de surveillance de la sécurité qui analyse et traite les sources de données fondamentales, notamment les événements de AWS CloudTrail gestion et les journaux de flux Amazon VPC, ainsi que des fonctionnalités telles que les journaux d'audit Kubernetes et la surveillance du temps d'exécution.
Le nom du module complémentaire Amazon EKS estaws-guardduty-agent.
Autorisations IAM requises
Ce module complémentaire ne nécessite aucune autorisation.
Informations supplémentaires
Pour plus d'informations, consultez la section Surveillance du temps d'exécution pour les clusters Amazon EKS sur Amazon GuardDuty.
-
Pour détecter les menaces de sécurité potentielles dans vos clusters Amazon EKS, activez la surveillance de l' GuardDuty exécution Amazon et déployez l'agent de GuardDuty sécurité sur vos clusters Amazon EKS.
Agent Amazon CloudWatch Observability
L'agent Amazon CloudWatch Observability (Amazon EKS) ajoute le service de surveillance et d'observabilité fourni par. AWS Ce module complémentaire installe l' CloudWatch agent et active à la fois CloudWatch Application Signals et CloudWatch Container Insights avec une observabilité améliorée pour Amazon EKS. Pour plus d'informations, consultez Amazon CloudWatch Agent.
Le nom du module complémentaire Amazon EKS estamazon-cloudwatch-observability.
Autorisations IAM requises
Ce module complémentaire utilise les rôles IAM pour la fonctionnalité des comptes de service d'Amazon EKS. Pour de plus amples informations, veuillez consulter Rôles IAM pour les comptes de service. Les autorisations indiquées dans les politiques gérées link :iam/home#/policies/arn:aws: iam : :aws :policy/AWSXrayWriteOnlyAccess[AWSXrayWriteOnlyAccess,type="console"] and link:iam/home#/policies/arn:aws: iam : :aws:policy/ CloudWatchAgentServerPolicy [CloudWatchAgentServerPolicy, type="console "] sont obligatoires. AWS Vous pouvez créer un rôle IAM, y associer les politiques gérées et annoter le compte de service Kubernetes utilisé par le module complémentaire à l'aide de la commande suivante. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_Observability_role par le nom que vous souhaitez pour votre rôle. Cette commande nécessite que eksctl
eksctl create iamserviceaccount \ --name cloudwatch-agent \ --namespace amazon-cloudwatch \ --cluster my-cluster \ --role-name AmazonEKS_Observability_Role \ --role-only \ --attach-policy-arn arn:aws: iam::aws:policy/AWSXrayWriteOnlyAccess \ --attach-policy-arn arn:aws: iam::aws:policy/CloudWatchAgentServerPolicy \ --approve
Informations supplémentaires
Pour plus d'informations, consultez la section Installation de l' CloudWatch agent.
AWS Connecteur CA privé pour Kubernetes
Le connecteur AWS Private CA pour Kubernetes est un module complémentaire pour cert-manager qui permet aux utilisateurs d'obtenir des certificats auprès d'une autorité de certification privée (autorité de certification AWS privée).AWS
-
Le nom du module complémentaire Amazon EKS est
aws-privateca-connector-for-kubernetes. -
L'espace de noms du module complémentaire est
aws-privateca-issuer.
Ce module complémentaire nécessitecert-manager. cert-managerest disponible sur Amazon EKS en tant que module complémentaire communautaire. Pour plus d'informations sur ce module complémentaire, consultezResponsable des certificats. Pour plus d'informations sur l'installation de modules complémentaires, consultezCréation d'un module complémentaire Amazon EKS.
Autorisations IAM requises
Ce module complémentaire nécessite des autorisations IAM.
Utilisez EKS Pod Identities pour associer la politique AWSPrivateCAConnectorForKubernetesPolicy IAM au compte de service aws-privateca-issuer Kubernetes. Pour de plus amples informations, veuillez consulter Utilisez Pod Identities pour attribuer un rôle IAM à un module complémentaire Amazon EKS.
Pour plus d'informations sur les autorisations requises, consultez le AWSPrivateCAConnectorForKubernetesPolicymanuel AWS Managed Policy Reference.
Informations supplémentaires
Pour plus d'informations, consultez le référentiel AWS Private CA Issuer for Kubernetes GitHub
Pour plus d'informations sur la configuration du module complémentaire, consultez values.yaml dans le dépôtaws-privateca-issuer GitHub Vérifiez que la version de values.yaml correspond à la version du module complémentaire installé sur votre cluster.
Ce module complémentaire tolère les CriticalAddonsOnly taches produites par le mode automatique system NodePool d'EKS. Pour de plus amples informations, veuillez consulter Exécutez des modules complémentaires critiques sur des instances dédiées.
Agent d'identité du pod EKS
Le module complémentaire Amazon EKS Pod Identity Agent Amazon EKS permet de gérer les informations d'identification de vos applications, de la même manière que les profils d' EC2 instance fournissent des informations d'identification aux EC2 instances.
Note
Il n'est pas nécessaire d'installer ce module complémentaire sur les clusters Amazon EKS Auto Mode. Le mode automatique d'Amazon EKS s'intègre à EKS Pod Identity. Pour de plus amples informations, veuillez consulter Considérations relatives au mode automatique d'Amazon EKS.
Le nom du module complémentaire Amazon EKS esteks-pod-identity-agent.
Autorisations IAM requises
Le module complémentaire Pod Identity Agent lui-même ne nécessite pas de rôle IAM. Il utilise les autorisations du rôle IAM du nœud Amazon EKS pour fonctionner, mais il n'a pas besoin d'un rôle IAM dédié pour le module complémentaire.
Informations de mise à jour
Vous ne pouvez mettre à jour qu'une seule version mineure à la fois. Par exemple, si votre version actuelle est 1.28.x-eksbuild.y et que vous voulez la mettre à jour vers 1.30.x-eksbuild.y, vous devez d'abord mettre à jour votre version actuelle vers 1.29.x-eksbuild.y et ensuite la mettre à nouveau à jour vers 1.30.x-eksbuild.y. Pour plus d'informations sur la mise à jour du module complémentaire, consultez la rubrique Mettre à jour un module complémentaire Amazon EKS.
