# 安装 EKS AWS 网络流量监测仪代理插件
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks"></a>

按照本节中的步骤，安装适用于 Amazon Elastic Kubernetes Service（Amazon EKS）的 AWS 网络流量监测仪代理插件，将网络流量监测仪指标从 Kubernetes 集群发送到网络流量监测仪后端。完成这些步骤后，AWS 网络流量监测仪代理容器组将在所有 Kubernetes 集群节点上运行。

如果您使用的是自行管理的 Kubernetes 集群，则要遵循的安装步骤位于上一节中：[为自行管理的 Kubernetes 实例安装代理](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)。

请注意，网络流量监测仪不支持客户管理的前缀列表[客户管理的前缀列表](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html)。

您可以使用控制台或使用带有 AWS Command Line Interface的 API 命令来安装该附加组件。

**Topics**
+ [安装附加组件的先决条件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [使用控制台安装附加组件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [使用 CLI 安装附加组件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [为第三方工具进行配置](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)

## 安装附加组件的先决条件
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq"></a>

无论您是使用控制台还是 CLI 来安装 AWS 网络流量监测仪代理插件，为 Kubernetes 安装该插件均需满足几个要求。

**确保 Kubernetes 版本受支持**  
安装 Network Flow Monitor 代理需要 Kubernetes 版本 1.25 或更高的版本。

**Amazon EKS 容器组身份代理附加组件安装**  
您可以在控制台中或使用 CLI 安装 Amazon EKS 容器组身份代理附加组件。  
Amazon EKS 容器组身份关联提供管理应用程序凭证的功能，类似于 Amazon EC2 实例配置文件为 Amazon EC2 实例提供凭证的方式。Amazon EKS 容器组身份通过额外的 Amazon EKS Auth API 以及在每个节点上运行的代理容器组，为工作负载提供凭证。  
要了解更多信息并查看安装 Amazon EKS 容器组身份附加组件的步骤，请参阅《Amazon EKS 用户指南》中的[设置 Amazon EKS 容器组身份代理](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html)。

## 使用控制台安装 AWS 网络流量监测仪代理插件
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console"></a>

按照本节中的步骤，在 Amazon EKS 控制台中安装和配置 AWS 网络流量监测仪代理插件。

如果您已经安装了该插件，但在升级到新版本时遇到问题，请参阅[对 EKS 代理安装相关问题进行故障排除](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation)。

在开始之前，请确保您已安装 Amazon EKS 容器组身份代理附加组件。有关更多信息，请参阅[前一章节](#NFMPodIdentity)。

**使用控制台安装附加组件**

1. 导航到 AWS 管理控制台中的 Amazon EKS 控制台。

1. 在安装插件页面的插件列表中，选择 **AWS 网络流量监测仪代理**。

1. 配置附加组件设置。

   1. 对于**附加组件的访问权限**，请选择 **EKS 容器组身份**。

   1. 要将 IAM 角色与插件配合使用，请使用附加了以下 AWS 托管策略的角色：[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。通过此策略，代理可以向 Network Flow Monitor 端点发送遥测报告。如果您尚无附加策略的角色，请选择**创建推荐角色**并按照 IAM 控制台中的步骤创建角色。

   1. 选择**下一步**。

1. 在**查看并添加**页面上，确保附加组件看上去经过妥当配置，然后选择**创建**。

## 使用 AWS Command Line Interface安装 AWS 网络流量监测仪代理插件
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli"></a>

按照本节中的步骤，使用 AWS Command Line Interface安装适用于 Amazon EKS 的 AWS 网络流量监测仪代理插件。

**1. 安装 EKS 容器组身份代理附加组件**  
在开始之前，请确保您已安装 Amazon EKS 容器组身份代理附加组件。有关更多信息，请参阅[前述章节](#NFMPodIdentity)。

**2. 创建所需的 IAM 角色**  
AWS 网络流量监测仪代理插件必须具有向网络流量监测仪后端发送指标的权限。创建附加组件时，您必须附加具有所需权限的角色。创建附加了以下 AWS 托管策略的角色：[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。您需要此 IAM 角色的 ARN 才能安装该附加组件。

**3. 安装 AWS 网络流量监测仪代理插件**  
要为集群安装 AWS 网络流量监测仪代理插件，请运行以下命令：  
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`  
结果应类似以下内容：  

```
{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "CREATING",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }
```

**4. 确保附加组件处于活动状态**  
查看已安装的 AWS 网络流量监测仪代理插件，确保该插件在集群中处于活动状态。要验证状态是否为 `ACTIVE`，请运行以下命令：  
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`  
结果应类似以下内容：  

```
{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "ACTIVE",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }
```