安裝 EKS AWS Network Flow Monitor 代理程式附加元件 - Amazon CloudWatch
安裝附加元件的先決條件使用主控台安裝附加元件使用 CLI 安裝附加元件

安裝 EKS AWS Network Flow Monitor 代理程式附加元件

請依循本節中的步驟,安裝適用於 Amazon Elastic Kubernetes Service (Amazon EKS) 的 AWS Network Flow Monitor 代理程式附加元件,將 Network Flow Monitor 指標從 Kubernetes 叢集傳送至 Network Flow Monitor 後端。完成這些步驟後,AWS Network Flow Monitor Agent Pod 將在所有 Kubernetes 叢集節點上執行。

如果您使用自我管理式 Kubernetes 叢集,要遵循的安裝步驟位於上一節:安裝自我管理式 Kubernetes 執行個體的代理程式

請注意,Network Flow Monitor 不支援客戶受管字首清單 客戶受管字首清單

可以使用主控台或者搭配使用 API 命令與 AWS Command Line Interface 來安裝附加元件。

安裝附加元件的先決條件

無論您使用主控台或 CLI 來安裝 AWS Network Flow Monitor 代理程式附加元件,使用 Kubernetes 安裝附加元件需滿足幾項要求。

確保您的 Kubernetes 版本受支援

若要安裝 Network Flow Monitor 代理程式,必須具備 Kubernetes 1.25 或更高版本。

Amazon EKS Pod 身分識別代理程式附加元件安裝

可以在主控台中或使用 CLI 安裝 Amazon EKS Pod 身分識別代理程式附加元件。

Amazon EKS Pod 身分識別關聯提供了管理應用程式憑證的功能,此方式類似 Amazon EC2 執行個體設定檔為 Amazon EC2 執行個體提供憑證的方式。Amazon EKS Pod 身分識別透過其他 Amazon EKS 驗證 API 和在每個節點上執行的代理程式 Pod,為您的工作負載提供憑證。

若要進一步了解和檢視安裝 Amazon EKS Pod 身分識別附加元件的步驟,請參閱《Amazon EKS 使用者指南》中的設定 Amazon EKS Pod 身分識別代理程式

使用主控台安裝 AWS Network Flow Monitor 代理程式附加元件

依循本節中的步驟,在 Amazon EKS 主控台中安裝和設定 AWS Network Flow Monitor 代理程式附加元件。

如果您已安裝附加元件,並且在升級至新版本時遇到問題,請參閱對 EKS 代理程式安裝中的問題進行疑難排解

開始之前,請確定您已安裝 Amazon EKS Pod 身分識別代理程式附加元件。如需詳細資訊,請參閱前一章節

使用主控台安裝附加元件

  1. 在 AWS 管理主控台中,導覽至 Amazon EKS 主控台。

  2. 在安裝附加元件的頁面上,在附加元件清單中,選擇 AWS Network Flow Monitor 代理程式

  3. 設定附加元件設定。

    1. 針對附加元件存取權,選擇 EKS Pod 身分識別

    2. 若要讓 IAM 角色與附加元件搭配使用,請採用連結下列 AWS 受管政策的角色:CloudWatchNetworkFlowMonitorAgentPublishPolicy。此政策提供必要許可,讓代理程式能夠將遙測報告傳送至 Network Flow Monitor 端點。如果您還沒有附加政策的角色,請選擇建立建議的角色,遵循 IAM 主控台中的步驟來建立角色。

    3. 選擇下一步

  4. 檢閱和新增頁面上,確定附加元件組態正確無誤,然後選擇建立

使用 AWS Command Line Interface 安裝 AWS Network Flow Monitor 代理程式附加元件

依循本節中的步驟,使用 AWS Command Line Interface 安裝適用於 Amazon EKS 的 AWS Network Flow Monitor 代理程式附加元件。

1. 安裝 EKS Pod 身分識別代理程式附加元件

開始之前,請確定您已安裝 Amazon EKS Pod 身分識別代理程式附加元件。如需詳細資訊,請參閱之前的章節

2. 建立必要的 IAM 角色

AWS Network Flow Monitor 代理程式附加元件必須具有將指標傳送至 Network Flow Monitor 後端的許可。建立附加元件時,您必須連結具備必要許可的角色。建立已連結下列 AWS 受管政策的角色:CloudWatchNetworkFlowMonitorAgentPublishPolicy。您需要此 IAM 角色的 ARN 才能安裝附加元件。

3. 安裝 AWS Network Flow Monitor 代理程式附加元件

若要為您的叢集安裝 AWS Network Flow Monitor 代理程式附加元件,請執行下列命令:

aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN

結果應類似如下內容:

{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "CREATING",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }
4. 確定附加元件處於作用中狀態

檢閱安裝的 AWS Network Flow Monitor 代理程式附加元件,以確保其在您的叢集中處於作用中狀態。執行以下命令來驗證狀態是否為 ACTIVE

aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION

結果應類似如下內容:

{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "ACTIVE",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }