Contribuisci a migliorare questa pagina
Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.
Componenti aggiuntivi AWS
Nel tuo cluster puoi creare i seguenti componenti aggiuntivi di Amazon EKS. È possibile visualizzare l’elenco più aggiornato dei componenti aggiuntivi disponibili, utilizzando eksctl, Console di gestione AWS o AWS CLI. Per visualizzare tutti i componenti aggiuntivi disponibili o per installare un componente aggiuntivo, consulta la pagina Creare un componente aggiuntivo Amazon EKS. Se un componente aggiuntivo richiede autorizzazioni IAM, è necessario disporre di un provider OpenID Connect (OIDC) IAM per il cluster. Per stabilire se ne possiedi uno o per crearne uno, consulta Per creare un provider di identità IAM OIDC per il cluster. È possibile creare o eliminare un componente aggiuntivo dopo averlo installato. Per ulteriori informazioni, consulta Aggiornamento di un componente aggiuntivo di Amazon EKS o Rimozione di un componente aggiuntivo Amazon EKS da un cluster. Per ulteriori informazioni su considerazioni specifiche in merito all’esecuzione di componenti aggiuntivi EKS con Amazon EKS Hybrid Nodes, consulta Configurare componenti aggiuntivi per nodi ibridi.
È possibile utilizzare uno dei seguenti componenti aggiuntivi di Amazon EKS.
| Descrizione | Ulteriori informazioni | Tipi di elaborazione compatibili |
|---|---|---|
|
Fornire una rete VPC nativa per il tuo cluster |
EC2 |
|
|
Un server DNS flessibile ed estensibile che può fungere da cluster DNS Kubernetes |
EC2, Fargate, modalità automatica EKS, nodi ibridi EKS |
|
|
Mantenere le regole di rete su ciascun nodo Amazon EC2 |
Nodi ibridi EC2, EKS |
|
|
Fornisci l’archiviazione Amazon EBS per il cluster |
EC2 |
|
|
Fornire l’archiviazione Amazon EBS per il cluster |
EC2, modalità automatica EKS |
|
|
Fornire l’archiviazione di Amazon FSx per Lustre per il cluster |
EC2, modalità automatica EKS |
|
|
Fornire l’archiviazione Amazon S3 per il cluster |
EC2, modalità automatica EKS |
|
|
Rilevare ulteriori problemi di integrità dei nodi |
Nodi ibridi EC2, EKS |
|
|
Abilitare l’utilizzo della funzionalità snapshot nei driver CSI compatibili, come il driver CSI per Amazon EBS. |
EC2, Fargate, modalità automatica EKS, nodi ibridi EKS |
|
|
La governance delle attività di SageMaker HyperPod ottimizza l’allocazione e l’utilizzo delle risorse di calcolo tra i team nei cluster Amazon EKS, risolvendo le inefficienze nella prioritizzazione delle attività e nella condivisione delle risorse. |
EC2, modalità automatica EKS, |
|
|
Il componente aggiuntivo di osservabilità di Amazon SageMaker HyperPod offre funzionalità complete di monitoraggio e osservabilità per i cluster HyperPod. |
Componente aggiuntivo di osservabilità di Amazon SageMaker HyperPod |
EC2, modalità automatica EKS, |
|
L’operatore di formazione di Amazon SageMaker HyperPod consente una formazione distribuita efficiente sui cluster Amazon EKS con funzionalità avanzate di pianificazione e gestione delle risorse. |
EC2, modalità automatica EKS |
|
|
Un agente Kubernetes che raccoglie e riporta i dati del flusso di rete ad Amazon CloudWatch, abilitando il monitoraggio completo delle connessioni TCP tra i nodi del cluster. |
EC2, modalità automatica EKS |
|
|
Distribuzione sicura, pronta per la produzione e supportata da AWS del progetto OpenTelemetry. |
EC2, Fargate, modalità automatica EKS, nodi ibridi EKS |
|
|
Servizio di monitoraggio della sicurezza che analizza ed elabora le origini dati fondamentali, inclusi gli eventi di gestione di AWS CloudTrail e i log di flusso di Amazon VPC. Amazon GuardDuty elabora anche funzionalità, come i log di audit di Kubernetes e il monitoraggio del runtime. |
EC2, modalità automatica EKS |
|
|
Servizio di monitoraggio e osservabilità fornito da AWS. Questo componente aggiuntivo installa Agente di CloudWatch e abilita sia CloudWatch Application Signals che CloudWatch Container Insights con una migliore osservabilità per Amazon EKS. |
EC2, modalità automatica EKS, nodi ibridi EKS |
|
|
Possibilità di gestire le credenziali per le applicazioni, analogamente al modo in cui i profili dell’istanza EC2 forniscono le credenziali alle istanze EC2 |
Nodi ibridi EC2, EKS |
|
|
Abilita cert-manager a emettere certificati X.509 da Private CA AWS. Richiede cert-manager. |
EC2, Fargate, modalità automatica EKS, nodi ibridi EKS |
|
|
Genera metriche Prometheus sulle prestazioni dei dispositivi di rete SR-IOV |
EC2 |
Plug-in CNI di Amazon VPC per Kubernetes
Il componente aggiuntivo Amazon EKS del plugin CNI di Amazon VPC per Kubernetes è un plugin di interfaccia di rete container (CNI) Kubernetes che fornisce una rete VPC nativa per il cluster. Il tipo autogestito o gestito di questo componente aggiuntivo è installato su ogni nodo Amazon EC2 per impostazione predefinita. Per ulteriori informazioni, consulta Plugin di interfaccia di rete container (CNI) Kubernetes.
Nota
Non è necessario installare questo componente aggiuntivo sui cluster in modalità automatica EKS di Amazon. Per ulteriori informazioni, consulta Considerazioni per la modalità automatica di Amazon EKS.
Il nome del componente aggiuntivo di Amazon EKS è vpc-cni.
Autorizzazioni IAM richieste
Questo componente aggiuntivo utilizza i ruoli IAM per gli account di servizio di Amazon EKS. Per ulteriori informazioni, consulta Ruoli IAM per gli account di servizio.
Se il cluster utilizza la famiglia IPv4, sono necessarie le autorizzazioni in AmazonEKS_CNI_Policy. Se il cluster utilizza la famiglia IPv6, è necessario creare una policy IAM con le autorizzazioni in modalità IPv6
Sostituisci my-cluster con il nome del tuo cluster e AmazonEKSVPCCNIRole con il nome del ruolo. Se il tuo cluster utilizza la famiglia IPv6, sostituisci AmazonEKS_CNI_Policy con il nome della policy che hai creato. Questo comando richiede che eksctl
eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \ --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve
Aggiornare le informazioni
Puoi aggiornare solo una versione secondaria alla volta. Ad esempio, se la versione corrente è 1.28. e desideri aggiornarla a x-eksbuild.y
1.30., devi prima eseguire l'aggiornamento a x-eksbuild.y
1.29. e quindi l'aggiornamento a x-eksbuild.y
1.30.. Per ulteriori informazioni sull'aggiornamento del componente aggiuntivo, consulta Aggiornamento di CNI di Amazon VPC (componente aggiuntivo Amazon EKS).x-eksbuild.y
CoreDNS
Il componente aggiuntivo CoreDNS per Amazon EKS è un server DNS flessibile ed estensibile che può fungere da DNS del cluster di Kubernetes. Il tipo autogestito o gestito di questo componente aggiuntivo è stato installato, per impostazione predefinita, al momento della creazione del cluster. Quando si avvia un cluster Amazon EKS con almeno un nodo, due repliche dell'immagine CoreDNS vengono distribuite per impostazione predefinita, indipendentemente dal numero di nodi distribuiti nel cluster. I contenitori CoreDNS forniscono la risoluzione dei nomi per tutti i pod del cluster. È possibile implementare i pod CoreDNS ai nodi Fargate se il cluster include un profilo Fargate con uno namespace che corrisponde al namespace per l’implementazione di CoreDNS. Per ulteriori informazioni, consulta Definisci quali pod utilizzano AWS Fargate durante l’avvio
Nota
Non è necessario installare questo componente aggiuntivo sui cluster in modalità automatica EKS di Amazon. Per ulteriori informazioni, consulta Considerazioni per la modalità automatica di Amazon EKS.
Il nome del componente aggiuntivo di Amazon EKS è coredns.
Autorizzazioni IAM richieste
Questo componente aggiuntivo non richiede alcuna autorizzazione.
Informazioni aggiuntive
Per ulteriori informazioni su CoreDNS, consulta Utilizzo di CoreDNS per il rilevamento servizi
Kube-proxy
Il componente aggiuntivo di Amazon EKS Kube-proxy mantiene le regole di rete su ciascun nodo Amazon EC2. Consente la comunicazione di rete con i tuoi pod. Il tipo autogestito o gestito di questo componente aggiuntivo è installato su ogni nodo Amazon EC2 nel cluster per impostazione predefinita.
Nota
Non è necessario installare questo componente aggiuntivo sui cluster in modalità automatica EKS di Amazon. Per ulteriori informazioni, consulta Considerazioni per la modalità automatica di Amazon EKS.
Il nome del componente aggiuntivo di Amazon EKS è kube-proxy.
Autorizzazioni IAM richieste
Questo componente aggiuntivo non richiede alcuna autorizzazione.
Aggiornare le informazioni
Prima di aggiornare la versione corrente, considera i seguenti requisiti:
-
Kube-proxysu un cluster Amazon EKS ha la stessa policy di compatibilità e disallineamento di Kubernetes.
Informazioni aggiuntive
Per ulteriori informazioni su kube-proxy, consulta kube-proxy
Driver CSI per Amazon EBS
Il componente aggiuntivo di Amazon EKS per il driver CSI per Amazon EBS è un plugin di interfaccia di archiviazione del container (CSI) Kubernetes che fornisce archiviazione Amazon EBS per il cluster.
Nota
Non è necessario installare questo componente aggiuntivo sui cluster in modalità automatica EKS di Amazon. La modalità automatica include una funzionalità di archiviazione a blocchi. Per ulteriori informazioni, consulta Implementazione di un carico di lavoro stateful esemplificativo in modalità automatica EKS.
Il nome del componente aggiuntivo di Amazon EKS è aws-ebs-csi-driver.
Autorizzazioni IAM richieste
Questo componente aggiuntivo usa i ruoli IAM per gli account di servizio di Amazon EKS. Per ulteriori informazioni, consulta Ruoli IAM per gli account di servizio. Le autorizzazioni nella policy AmazonEBSCSIDriverPolicy gestita da AWS sono obbligatorie. Puoi creare un ruolo IAM e collegarvi la policy gestita con il seguente comando. Sostituisci my-cluster con il nome del tuo cluster e AmazonEKS_EBS_CSI_DriverRole con il nome del ruolo. Questo comando richiede che eksctl
eksctl create iamserviceaccount \ --name ebs-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \ --approve
Informazioni aggiuntive
Per ulteriori informazioni sul componente aggiuntivo, consulta Utilizzare il volume di archiviazione Kubernetes con Amazon EBS.
Driver CSI per Amazon EFS
Il componente aggiuntivo di Amazon EKS per il driver EFS per Amazon EBS è un plugin di interfaccia di archiviazione del container (CSI) Kubernetes che fornisce archiviazione Amazon EFS per il cluster.
Il nome del componente aggiuntivo di Amazon EKS è aws-efs-csi-driver.
Autorizzazioni IAM richieste
Autorizzazioni IAM richieste: questo componente aggiuntivo usa la funzionalità Ruoli IAM per gli account di servizio di Amazon EKS. Per ulteriori informazioni, consulta Ruoli IAM per gli account di servizio. Le autorizzazioni nella policy AmazonEFSCSIDriverPolicy gestita da AWS sono obbligatorie. Puoi creare un ruolo IAM e collegarvi la policy gestita con i seguenti comandi. Sostituisci my-cluster con il nome del tuo cluster e AmazonEKS_EFS_CSI_DriverRole con il nome del ruolo. Questi comandi richiedono l’installazione di eksctl
export cluster_name=my-cluster export role_name=AmazonEKS_EFS_CSI_DriverRole eksctl create iamserviceaccount \ --name efs-csi-controller-sa \ --namespace kube-system \ --cluster $cluster_name \ --role-name $role_name \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \ --approve TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \ sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/') aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
Informazioni aggiuntive
Per ulteriori informazioni sul componente aggiuntivo, consulta Utilizzo dell’archiviazione di file system elastici con Amazon EFS.
Driver CSI per Amazon FSx
Il componente aggiuntivo di Amazon EKS per il driver CSI per Amazon FSx è un plugin di interfaccia di archiviazione del container (CSI) Kubernetes che fornisce archiviazione Amazon FSx per Lustre per il cluster.
Il nome del componente aggiuntivo di Amazon EKS è aws-fsx-csi-driver.
Nota
-
Le installazioni preesistenti del driver CSI di Amazon FSx nel cluster possono causare errori di installazione dei componenti aggiuntivi. Quando tenti di installare la versione del componente aggiuntivo Amazon EKS mentre esiste un driver CSI FSx non EKS, l’installazione avrà esito negativo a causa di conflitti di risorse. Usa il flag
OVERWRITEdurante l’installazione per risolvere il problema:aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE -
il componente aggiuntivo Amazon FSx CSI Driver EKS richiede l’agente EKS Pod Identity per l’autenticazione. Senza questo componente, il componente aggiuntivo fallirà con l’errore
Amazon EKS Pod Identity agent is not installed in the cluster, impedendo le operazioni di volume. Installa l’agente Pod Identity prima o dopo l’implementazione del componente aggiuntivo FSx CSI Driver. Per ulteriori informazioni, consulta Configurazione dell’agente Amazon EKS Pod Identity.
Autorizzazioni IAM richieste
Questo componente aggiuntivo usa i ruoli IAM per gli account di servizio di Amazon EKS. Per ulteriori informazioni, consulta Ruoli IAM per gli account di servizio. Le autorizzazioni nella policy AmazonFSxFullAccess gestita da AWS sono obbligatorie. Puoi creare un ruolo IAM e collegarvi la policy gestita con il seguente comando. Sostituisci my-cluster con il nome del tuo cluster e AmazonEKS_FSx_CSI_DriverRole con il nome del ruolo. Questo comando richiede che eksctl
eksctl create iamserviceaccount \ --name fsx-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_FSx_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/AmazonFSxFullAccess \ --approve
Informazioni aggiuntive
Per ulteriori informazioni sul componente aggiuntivo, consulta Usa l’archiviazione delle app ad alte prestazioni con Amazon FSx per Lustre.
Driver CSI di Mountpoint per Amazon S3
Il componente aggiuntivo Mountpoint per Amazon S3 di Amazon EKS per il driver CSI è un plugin di interfaccia di archiviazione del container (CSI) Kubernetes che fornisce archiviazione Amazon S3 per il cluster.
Il nome del componente aggiuntivo di Amazon EKS è aws-mountpoint-s3-csi-driver.
Autorizzazioni IAM richieste
Questo componente aggiuntivo utilizza i ruoli IAM per gli account di servizio di Amazon EKS. Per ulteriori informazioni, consulta Ruoli IAM per gli account di servizio.
Il ruolo IAM creato richiederà una policy che fornisca l'accesso a S3. Segui i Suggerimenti sulle autorizzazioni IAM di Mountpoint
Puoi creare un ruolo IAM e collegarvi la policy gestita con i seguenti comandi. Sostituisci my-cluster con il nome del cluster, region-code con il codice regione AWS corretto,AmazonEKS_S3_CSI_DriverRole con il nome del ruolo e AmazonEKS_S3_CSI_DriverRole_ARN con l’ARN del ruolo. Questi comandi richiedono l’installazione di eksctl
CLUSTER_NAME=my-cluster REGION=region-code ROLE_NAME=AmazonEKS_S3_CSI_DriverRole POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN eksctl create iamserviceaccount \ --name s3-csi-driver-sa \ --namespace kube-system \ --cluster $CLUSTER_NAME \ --attach-policy-arn $POLICY_ARN \ --approve \ --role-name $ROLE_NAME \ --region $REGION \ --role-only
Informazioni aggiuntive
Per ulteriori informazioni sul componente aggiuntivo, consulta Accedere agli oggetti Amazon S3 con il driver CSI Mountpoint per Amazon S3.
Controller snapshot CSI
Il controller di snapshot dell’interfaccia di archiviazione di container (CSI) consente l’uso della funzionalità snapshot nei driver CSI compatibili, come il driver CSI di Amazon EBS.
Il nome del componente aggiuntivo di Amazon EKS è snapshot-controller.
Autorizzazioni IAM richieste
Questo componente aggiuntivo non richiede alcuna autorizzazione.
Informazioni aggiuntive
Per ulteriori informazioni sul componente aggiuntivo, consulta Abilitare la funzionalità snapshot per i volumi CSI.
Governance delle attività di Amazon SageMaker HyperPod
La governance delle attività di SageMaker HyperPod è un solido sistema di gestione progettato per semplificare l’allocazione delle risorse e garantire un utilizzo efficiente delle risorse di calcolo tra team e progetti per i cluster Amazon EKS. Questa funzionalità offre agli amministratori la possibilità di impostare:
-
Livelli di priorità per varie attività
-
Allocazione delle risorse di calcolo per ogni team
-
In che modo ogni team presta e prende in prestito risorse di calcolo inattive
-
Se un team rende prerilasciabili le proprie attività
La governance delle attività di HyperPod offre anche l’osservabilità dei cluster Amazon EKS, garantendo una visibilità in tempo reale sulla capacità dei cluster. Ciò include la disponibilità e l’utilizzo delle risorse di calcolo, l’allocazione e l’utilizzo del team e le informazioni sull’esecuzione delle attività e sui tempi di attesa, per consentirti di prendere decisioni informate e gestire in modo proattivo le risorse.
Il nome del componente aggiuntivo di Amazon EKS è amazon-sagemaker-hyperpod-taskgovernance.
Autorizzazioni IAM richieste
Questo componente aggiuntivo non richiede alcuna autorizzazione.
Informazioni aggiuntive
Per ulteriori informazioni sul componente aggiuntivo, consulta governance delle attività di SageMaker HyperPod
Componente aggiuntivo di osservabilità di Amazon SageMaker HyperPod
Il componente aggiuntivo di osservabilità di Amazon SageMaker HyperPod offre funzionalità complete di monitoraggio e osservabilità per i cluster HyperPod. Questo componente aggiuntivo implementa e gestisce automaticamente i componenti di monitoraggio essenziali, tra cui node exporter, DCGM exporter, kube-state-metrics ed EFA exporter. Raccoglie e inoltra i parametri a un’istanza Prometheus gestita da Amazon (AMP) designata dal cliente ed espone un endpoint OTLP per metriche personalizzate e acquisizione di eventi dai job di addestramento dei clienti.
Il componente aggiuntivo si integra con il più ampio ecosistema HyperPod acquisendo metriche da vari componenti, tra cui il componente aggiuntivo governance delle attività HyperPod, operatore di formazione HyperPod, Kubeflow e KEDA. Tutte le metriche raccolte sono centralizzate in Prometheus gestito da Amazon, che consente ai clienti di ottenere una visione unificata dell’osservabilità tramite i dashboard di Grafana gestito da Amazon. Ciò fornisce una visibilità completa sull’integrità del cluster, sull’utilizzo delle risorse e sulle prestazioni del job di addestramento nell’intero ambiente HyperPod.
Il nome del componente aggiuntivo di Amazon EKS è amazon-sagemaker-hyperpod-observability.
Autorizzazioni IAM richieste
Questo componente aggiuntivo utilizza i ruoli IAM per gli account di servizio di Amazon EKS. Per ulteriori informazioni, consulta Ruoli IAM per gli account di servizio. Di seguito sono elencate le policy gestite richieste:
-
AmazonPrometheusRemoteWriteAccess: per la scrittura remota delle metriche a partire dal cluster fino ad AMP -
CloudWatchAgentServerPolicy: per la scrittura remota dei log a partire dal cluster fino a CloudWatch
Informazioni aggiuntive
Per ulteriori informazioni sul componente aggiuntivo e sulle sue funzionalità, consulta Osservabilità di SageMaker HyperPod.
Operatore di addestramento Amazon SageMaker HyperPod
L’operatore di addestramento di Amazon SageMaker HyperPod ti aiuta ad accelerare lo sviluppo di modelli di IA generativa gestendo in modo efficiente l’addestramento distribuito su cluster GPU di grandi dimensioni. Introduce funzionalità intelligenti di ripristino dai guasti, rilevamento delle interruzioni e gestione a livello di processo che riducono al minimo le interruzioni dell’addestramento e riducono i costi. A differenza dell’infrastruttura di addestramento tradizionale che richiede il riavvio completo del processo in caso di guasto, questo operatore implementa un ripristino chirurgico del processo per garantire il corretto funzionamento dei job di addestramento.
L’operatore utilizza anche le funzioni di osservabilità e di monitoraggio dello stato di integrità di HyperPod, che forniscono visibilità in tempo reale sull’esecuzione dell’addestramento e monitoraggio automatico di metriche critiche come i picchi di perdita e la riduzione del throughput. È possibile definire le policy di ripristino tramite semplici configurazioni YAML senza modifiche al codice, che consentono di rispondere rapidamente e ripristinare gli stati irreversibili dell’addestramento. Queste funzionalità di monitoraggio e ripristino interagiscono per garantire prestazioni di addestramento ottimali riducendo al minimo il sovraccarico operativo.
Il nome del componente aggiuntivo di Amazon EKS è amazon-sagemaker-hyperpod-training-operator.
Per ulteriori informazioni, consulta Utilizzo dell’operatore di addestramento HyperPod nella Guida per gli sviluppatori Amazon SageMaker.
Autorizzazioni IAM richieste
Questo componente aggiuntivo richiede le autorizzazioni IAM e utilizza EKS Pod Identity.
AWS suggerisce la policy gestita da AmazonSageMakerHyperPodTrainingOperatorAccess.
Per ulteriori informazioni, consulta Installazione dell’operatore di addestramento nella Guida per gli sviluppatori Amazon SageMaker.
Informazioni aggiuntive
Per ulteriori informazioni sul componente aggiuntivo, consulta Operatore di addestramento SageMaker HyperPod.
Agente di monitoraggio del flusso di rete AWS
L’agente del monitoraggio del flusso di rete Amazon CloudWatch è un’applicazione Kubernetes che raccoglie le statistiche di connessione TCP da tutti i nodi di un cluster e pubblica report sul flusso di rete sulle API di importazione del monitoraggio del flusso di rete Amazon CloudWatch.
Il nome del componente aggiuntivo di Amazon EKS è aws-network-flow-monitoring-agent.
Autorizzazioni IAM richieste
Questo componente aggiuntivo richiede autorizzazioni IAM.
Quindi, è necessario aggiungere la policy gestita da CloudWatchNetworkFlowMonitorAgentPublishPolicy a tale componente aggiuntivo.
Per ulteriori informazioni sulla configurazione IAM richiesta, consulta Policy IAM
Per ulteriori informazioni sulla policy gestita, consulta CloudWatchNetworkFlowMonitorAgentPublishPolicy nella Guida per l’utente di Amazon CloudWatch.
Informazioni aggiuntive
Per ulteriori informazioni sul componente aggiuntivo, consulta Repository GitHub dell’agente di monitoraggio del flusso di rete Amazon CloudWatch
Agente di monitoraggio del nodo
Il componente aggiuntivo Amazon EKS dell’agente di monitoraggio dei nodi è in grado di rilevare ulteriori problemi di integrità dei nodi. Questi segnali di integrità aggiuntivi possono essere sfruttati anche dalla funzione opzionale di riparazione automatica dei nodi per sostituire automaticamente i nodi secondo necessità.
Nota
Non è necessario installare questo componente aggiuntivo sui cluster in modalità automatica EKS di Amazon. Per ulteriori informazioni, consulta Considerazioni per la modalità automatica di Amazon EKS.
Il nome del componente aggiuntivo di Amazon EKS è eks-node-monitoring-agent.
Autorizzazioni IAM richieste
Questo componente aggiuntivo non richiede alcuna autorizzazione supplementare.
Informazioni aggiuntive
Per ulteriori informazioni, consulta Abilita la riparazione automatica dei nodi e analizza i problemi di integrità dei nodi.
AWS Distro for OpenTelemetry
Il componente aggiuntivo AWS Distro per OpenTelemetry di Amazon EKS è una distribuzione supportata da AWS, sicura e pronta per la produzione, per il progetto OpenTelemetry. Per ulteriori informazioni, consulta AWS Distro for OpenTelemetry
Il nome del componente aggiuntivo di Amazon EKS è adot.
Autorizzazioni IAM richieste
Questo componente aggiuntivo richiede le autorizzazioni IAM solo se si utilizza una delle risorse personalizzate preconfigurate a cui è possibile accedere tramite la configurazione avanzata.
Informazioni aggiuntive
Per ulteriori informazioni, consulta Nozioni di base di AWS Distro per OpenTelemetry tramite i componenti aggiuntivi EKS
ADOT richiede che il componente aggiuntivo cert-manager sia implementato sul cluster come prerequisito, altrimenti questo componente aggiuntivo non funzionerà se implementato direttamente utilizzando la proprietà cluster_addons https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest
Agente Amazon GuardDuty
Il componente aggiuntivo di Amazon EKS dell’agente Amazon GuardDuty raccoglie gli eventi di runtime (accesso ai file, esecuzione dei processi, connessioni di rete) dai nodi del cluster EKS per l’analisi tramite il monitoraggio del runtime GuardDuty. GuardDuty stesso (non l’agente) è il servizio di monitoraggio della sicurezza che analizza ed elabora l’origine dati fondamentale, tra cui gli eventi di gestione di AWS CloudTrail e i log di flusso di Amazon VPC, oltre a funzionalità come i log di verifica Kubernetes e il monitoraggio del runtime.
Il nome del componente aggiuntivo di Amazon EKS è aws-guardduty-agent.
Autorizzazioni IAM richieste
Questo componente aggiuntivo non richiede alcuna autorizzazione.
Informazioni aggiuntive
Per ulteriori informazioni, consulta Monitoraggio del runtime per i cluster Amazon EKS in Amazon GuardDuty.
-
Per rilevare potenziali minacce alla sicurezza nei tuoi cluster Amazon EKS, abilita il monitoraggio del runtime di Amazon GuardDuty e implementa l'agente di sicurezza GuardDuty nei tuoi cluster Amazon EKS.
Agente Osservabilità di Amazon CloudWatch
Il componente aggiuntivo di Amazon CloudWatch dell’agente di osservabilità di Amazon CloudWatch è il servizio monitoraggio e osservabilità fornito da AWS. Questo componente aggiuntivo installa Agente di CloudWatch e abilita sia CloudWatch Application Signals che CloudWatch Container Insights con una migliore osservabilità per Amazon EKS. Per maggiori informazioni, consulta Agente di Amazon CloudWatch.
Il nome del componente aggiuntivo di Amazon EKS è amazon-cloudwatch-observability.
Autorizzazioni IAM richieste
Questo componente aggiuntivo utilizza i ruoli IAM per gli account di servizio di Amazon EKS. Per ulteriori informazioni, consulta Ruoli IAM per gli account di servizio. Le autorizzazioni nelle policy AWSXrayWriteOnlyAccessmy-cluster con il nome del tuo cluster e AmazonEKS_Observability_role con il nome del ruolo. Questo comando richiede che eksctl
eksctl create iamserviceaccount \ --name cloudwatch-agent \ --namespace amazon-cloudwatch \ --cluster my-cluster \ --role-name AmazonEKS_Observability_Role \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \ --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \ --approve
Informazioni aggiuntive
Per ulteriori informazioni, consulta Installare l’agente CloudWatch.
AWS Private CA Connector per Kubernetes
Il connettore della CA privata AWS per Kubernetes è un componente aggiuntivo per cert-manager che consente agli utenti di ottenere certificati dall’autorità di certificazione privata AWS (CA privata AWS).
-
Il nome del componente aggiuntivo di Amazon EKS è
aws-privateca-connector-for-kubernetes. -
Il namespace del componente aggiuntivo è
aws-privateca-issuer.
Questo componente aggiuntivo richiede cert-manager. cert-manager è disponibile su Amazon EKS come componente aggiuntivo della community. Per ulteriori informazioni su questo componente aggiuntivo, consulta Gestione certificati. Per ulteriori informazioni sui componenti aggiuntivi di installazione, consulta Creare un componente aggiuntivo Amazon EKS.
Autorizzazioni IAM richieste
Questo componente aggiuntivo richiede autorizzazioni IAM.
Usa EKS Pod Identity per collegare la policy IAM AWSPrivateCAConnectorForKubernetesPolicy all’account del servizio Kubernetes aws-privateca-issuer. Per ulteriori informazioni, consulta Utilizzo di Pod Identity per assegnare un ruolo IAM a un componente aggiuntivo Amazon EKS.
Per informazioni sulle autorizzazioni richieste, consulta AWSPrivateCAConnectorForKubernetesPolic nel riferimento della policy gestita da AWS.
Informazioni aggiuntive
Per ulteriori informazioni, consulta Repository GitHub dell’emettitore CA privata AWS per Kubernetes
Per ulteriori informazioni sulla configurazione del componente aggiuntivo, consulta values.yamlaws-privateca-issuer. Verifica che la versione di values.yaml corrisponda alla versione del componente aggiuntivo installato sul cluster.
Questo componente aggiuntivo tollera taint CriticalAddonsOnly utilizzato dal NodePool system della modalità automatica EKS. Per ulteriori informazioni, consulta Eseguire componenti aggiuntivi critici su istanze dedicate.
Agente EKS Pod Identity
Il componente aggiuntivo di Amazon EKS dell’agente Pod Identity fornisce la possibilità di gestire le credenziali per le applicazioni, analogamente al modo in cui i profili dell’istanza Amazon EC2 forniscono le credenziali alle istanze Amazon EC2.
Nota
Non è necessario installare questo componente aggiuntivo sui cluster in modalità automatica EKS di Amazon. La modalità automatica EKS di Amazon si integra con Pod Identity EKS. Per ulteriori informazioni, consulta Considerazioni per la modalità automatica di Amazon EKS.
Il nome del componente aggiuntivo di Amazon EKS è eks-pod-identity-agent.
Autorizzazioni IAM richieste
Il componente aggiuntivo dell’agente Pod Identity di per sé non richiede un ruolo IAM. Utilizza le autorizzazioni del ruolo IAM del nodo Amazon EKS per funzionare, ma non necessita di un ruolo IAM dedicato per il componente aggiuntivo.
Aggiornare le informazioni
Puoi aggiornare solo una versione secondaria alla volta. Ad esempio, se la versione corrente è 1.28.x-eksbuild.y e desideri aggiornarla a 1.30.x-eksbuild.y, devi prima eseguire l'aggiornamento a 1.29.x-eksbuild.y e quindi l'aggiornamento a 1.30.x-eksbuild.y. Per ulteriori informazioni sull'aggiornamento del componente aggiuntivo, consulta Aggiornamento di un componente aggiuntivo di Amazon EKS.
Esportatore di metriche di rete SR-IOV
Il componente aggiuntivo di Amazon EKS dell’esportazione di metriche di rete SR-IOV raccoglie ed espone le metriche sui dispositivi di rete SR-IOV in formato Prometheus. Consente il monitoraggio delle prestazioni della rete SR-IOV su nodi bare metal EKS. L’esportatore funziona come DaemOnSet su nodi con interfacce di rete compatibili con SR-IOV ed esporta metriche che possono essere scansionate da Prometheus.
Nota
Questo componente aggiuntivo richiede nodi con interfacce di rete compatibili con SR-IOV.
| Proprietà | Valore |
|---|---|
|
Nome del componente aggiuntivo |
|
|
Spazio dei nomi |
|
|
Documentazione |
Repository di GitHub dell’esportatore di metriche di rete SR-IOV |
|
Nome account del servizio |
Nessuno |
|
Policy gestite da IAM |
Nessuno |
|
Autorizzazioni IAM personalizzate |
Nessuno |
