協助改進此頁面

若要為本使用者指南貢獻內容，請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

AWS 附加元件

您可在叢集上建立下列 Amazon EKS 附加元件。您可使用 eksctl、AWS 管理主控台 或 AWS CLI 來檢視最新的可用附加元件清單。若要查看所有可用的附加元件或安裝附加元件，請參閱 建立 Amazon EKS 附加元件。如果附加元件需要 IAM 許可，則您必須擁有叢集的 IAM OpenID Connect (OIDC) 提供者。若要判斷您是否已經擁有一個，或是需要建立一個，請參閱 為您的叢集建立 IAM OIDC 身分提供者。您可建立附加元件，或在安裝之後將其刪除。如需詳細資訊，請參閱 更新 Amazon EKS 附加元件 或 從叢集移除 Amazon EKS 附加元件 。若要了解藉助 Amazon EKS 混合節點來執行 EKS 附加元件特定考量的相關詳細資訊，請參閱 設定混合節點的附加元件。

您可使用以下任意 Amazon EKS 附加元件。

Kubernetes 專用 Amazon VPC CNI 外掛程式

適用於 Kubernetes Amazon EKS 附加元件的 Amazon VPC CNI 外掛程式是一種 Kubernetes 容器網路介面 (CNI) 外掛程式，能夠針對您的叢集提供原生 VPC 聯網。此附加元件的自我管理類型或受管類型預設會安裝在每個 Amazon EC2 節點上。如需詳細資訊，請參閱 Kubernetes 容器網路介面 (CNI) 外掛程式。

Amazon EKS 附加元件名稱是 vpc-cni。

所需的 IAM 許可

此附加元件會利用 Amazon EKS 的服務帳戶的 IAM 角色功能。如需詳細資訊，請參閱 服務帳戶的 IAM 角色。

如果您的叢集使用 IPv4 系列，則需要 AmazonEKS_CNI_Policy 中的許可。如果您的叢集使用 IPv6 系列，則必須在 IPv6 模式下建立具有許可的 IAM 政策。您可以建立 IAM 角色，將其中一個政策連接至該角色，並使用下列命令為附加元件使用的 Kubernetes 服務帳戶加上注釋。

將 my-cluster 取代為您的叢集名稱，並將 AmazonEKSVPCCNIRole 取代為您的角色名稱。如果您的叢集使用 IPv6 系列，則請將 AmazonEKS_CNI_Policy 取代為您建立的政策名稱。此命令要求您在裝置上安裝 eksctl。如果您需要使用其他工具來建立角色、為其附加政策並註釋 Kubernetes 服務帳戶，請參閱 將 IAM 角色指派給 Kubernetes 服務帳戶。

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

更新資訊

您一次只能更新一個次要版本。例如，如果目前的版本是 1.28.x-eksbuild.y ，並且您想要更新至 1.30.x-eksbuild.y ，則您必須將目前的版本更新至 1.29.x-eksbuild.y ，然後再更新至 1.30.x-eksbuild.y 。如需更新附加元件的詳細資訊，請參閱 更新 Amazon VPC CNI (Amazon EKS 附件元件)。

CoreDNS

CoreDNS Amazon EKS 附加元件是一個靈活、可擴展的 DNS 伺服器，可作為 Kubernetes 集群 DNS。根據預設，在您建立叢集時，會安裝此附加元件的自我管理類型或受管理類型。當您啟動具有至少一個節點的 Amazon EKS 叢集時，依預設會部署兩個 CoreDNS 映像複本，而不論叢集中部署的節點數量為何。CoreDNS Pod 為叢集中的所有 Pod 提供名稱解析。如果您的叢集包含 Fargate Profile，且該設定檔的命名空間與 CoreDNS 的命名空間相符，您可將 CoreDNS Pod 部署至 Fargate 節點。如需詳細資訊，請參閱定義哪些 Pod 在啟動時會使用 AWS Fargate

Amazon EKS 附加元件名稱是 coredns。

所需的 IAM 許可

此附加元件無須任何許可。

其他資訊

若要了解 CoreDNS 的相關詳細資訊，請參閱 Kubernetes 文件中的使用 CoreDNS 進行服務探索和自訂 DNS 服務。

Kube-proxy

Kube-proxy Amazon EKS 附加元件會維護每個 Amazon EC2 節點上的網路規則。其可以與您的 Pod 進行網路通訊。此附加元件的自我管理類型或受管類型預設會安裝在叢集的每個 Amazon EC2 節點上。

Amazon EKS 附加元件名稱是 kube-proxy。

所需的 IAM 許可

此附加元件無須任何許可。

更新資訊

在更新目前版本之前，請考量下列需求：

其他資訊

若要了解 kube-proxy 的相關詳細資訊，請參閱 Kubernetes 文件中的 kube-proxy。

Amazon EBS CSI 驅動程式

Amazon EBS CSI 驅動程式 Amazon EKS 附加元件是一種 Kubernetes Container Storage Interface (CSI) 外掛程式，能夠針對您的叢集提供 Amazon EBS 儲存體。

Amazon EKS 附加元件名稱是 aws-ebs-csi-driver。

所需的 IAM 許可

此附加元件會利用 Amazon EKS 的服務帳戶的 IAM 角色功能。如需詳細資訊，請參閱 服務帳戶的 IAM 角色。AmazonEBSCSIDriverPolicy AWS 受管政策中的許可為必要項目。建立 IAM 角色，並按照下列命令連接受管政策。使用您的叢集名稱取代 my-cluster，並使用您的角色名稱取代 AmazonEKS_EBS_CSI_DriverRole。此命令要求您在裝置上安裝 eksctl。如果您需要使用其他工具，或需要使用自訂 KMS 金鑰進行加密，請參閱 步驟 1：建立 IAM 角色。

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

其他資訊

若要了解附加元件的相關詳細資訊，請參閱 透過 Amazon EBS 使用 Kubernetes 磁碟區儲存。

Amazon EFS CSI 驅動程式

Amazon EFS CSI 驅動程式 Amazon EKS 附加元件是一種 Kubernetes Container Storage Interface (CSI) 外掛程式，能夠針對您的叢集提供 Amazon EFS 儲存體。

Amazon EKS 附加元件名稱是 aws-efs-csi-driver。

所需的 IAM 許可

必要的 IAM 許可 – 此附加元件會利用 Amazon EKS 的服務帳戶的 IAM 角色功能。如需詳細資訊，請參閱 服務帳戶的 IAM 角色。AmazonEFSCSIDriverPolicy AWS 受管政策中的許可為必要項目。您可以建立 IAM 角色，並使用下列命令連接受管政策。使用您的叢集名稱取代 my-cluster，並使用您的角色名稱取代 AmazonEKS_EFS_CSI_DriverRole。這些命令要求您在裝置上安裝 eksctl。如果您需要使用其他工具，請參閱 步驟 1：建立 IAM 角色。

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

其他資訊

若要了解附加元件的相關詳細資訊，請參閱 透過 Amazon EFS 使用彈性檔案系統儲存。

Amazon FSx CSI 驅動程式

Amazon FSx CSI 驅動程式 Amazon EKS 附加元件是一種 Kubernetes Container Storage Interface (CSI) 外掛程式，能夠針對您的叢集提供 Amazon FSx for Lustre 儲存體。

Amazon EKS 附加元件名稱是 aws-fsx-csi-driver。

所需的 IAM 許可

此附加元件會利用 Amazon EKS 的服務帳戶的 IAM 角色功能。如需詳細資訊，請參閱 服務帳戶的 IAM 角色。AmazonFSxFullAccess AWS 受管政策中的許可為必要項目。建立 IAM 角色，並按照下列命令連接受管政策。使用您的叢集名稱取代 my-cluster，並使用您的角色名稱取代 AmazonEKS_FSx_CSI_DriverRole。此命令要求您在裝置上安裝 eksctl。

eksctl create iamserviceaccount \
    --name fsx-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_FSx_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AmazonFSxFullAccess \
    --approve

其他資訊

若要了解附加元件的相關詳細資訊，請參閱 搭配 Amazon FSx for Lustre 使用高效能應用程式儲存。

適用於 Amazon S3 的掛載點 CSI 驅動程式

適用於 Amazon S3 的掛載點 CSI 驅動程式 Amazon EKS 附加元件是一種 Kubernetes Container Storage Interface (CSI) 外掛程式，能夠針對您的叢集提供 Amazon S3 儲存。

Amazon EKS 附加元件名稱是 aws-mountpoint-s3-csi-driver。

所需的 IAM 許可

此附加元件會利用 Amazon EKS 的服務帳戶的 IAM 角色功能。如需詳細資訊，請參閱 服務帳戶的 IAM 角色。

建立的 IAM 角色將需要提供 S3 存取權的政策。建立政策時，請遵循掛載點 IAM 許可建議。或者，您可以使用 AWS 受管政策 AmazonS3FullAccess，但是此受管政策授予的許可會超過掛載點所需的許可。

您可以建立 IAM 角色，並使用下列命令將政策連接至該角色。使用您叢集的名稱取代 my-cluster，使用正確的 AWS 區域代碼取代 region-code，使用您角色的名稱取代 AmazonEKS_S3_CSI_DriverRole，使用角色 ARN 取代 AmazonEKS_S3_CSI_DriverRole_ARN。這些命令要求您在裝置上安裝 eksctl。如需使用 IAM 主控台或 AWS CLI 的說明，請參閱 步驟 2：建立 IAM 角色。

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

其他資訊

若要了解附加元件的相關詳細資訊，請參閱 使用適用於 Amazon S3 的掛載點 CSI 驅動程式存取 Amazon S3 物件 。

CSI 快照器控制器

容器儲存介面 (CSI) 快照控制器可讓您在相容的 CSI 驅動程式 (例如 Amazon EBS CSI 驅動程式) 中使用快照拍攝功能。

Amazon EKS 附加元件名稱是 snapshot-controller。

所需的 IAM 許可

此附加元件無須任何許可。

其他資訊

若要了解附加元件的相關詳細資訊，請參閱 啟用 CSI 磁碟區的快照功能。

Amazon SageMaker HyperPod 任務治理

SageMaker HyperPod 任務治理是強大的管理系統，旨在簡化資源配置，並確保 Amazon EKS 叢集跨團隊和專案有效利用運算資源。這讓管理員能夠設定：

HyperPod 任務治理也提供 Amazon EKS 叢集可觀測性，提供叢集容量的即時可見性。這包括運算可用性和使用情況、團隊配置和使用率，以及任務執行和等待時間資訊，讓您為明智的決策和主動資源管理做好準備。

Amazon EKS 附加元件名稱是 amazon-sagemaker-hyperpod-taskgovernance。

所需的 IAM 許可

此附加元件無須任何許可。

其他資訊

如需了解附加元件的相關詳細資訊，請參閱 SageMaker HyperPod 任務治理

Amazon SageMaker HyperPod 可觀測性附加元件

Amazon SageMaker HyperPod 可觀測性附加元件為 HyperPod 叢集帶來了全方位的監控與可觀測性功能。此附加元件可自動部署及管理必要的監控元件，包括節點匯出工具、DCGM 匯出工具、kube-state-metrics，以及 EFA 匯出工具。該附加元件還可收集指標，將其轉傳至客戶指定的 Amazon Managed Prometheus (AMP) 執行個體，以及公開自訂指標的 OTLP 端點及客戶訓練任務的事件擷取。

附加元件藉由從各種元件中湊集指標，包括 HyperPod 任務治理附加元件、HyperPod 訓練運算子、Kubeflow 及 KEDA 等，可與更廣泛的 HyperPod 生態系統整合。收集的所有指標均集中於 Amazon Managed Prometheus，從而支援客戶透過 Amazon Managed Grafana 儀表板來實現統一的可觀測性檢視。這提供了整個 HyperPod 環境中叢集運作狀態、資源使用率及訓練任務效能的端對端可視性。

Amazon EKS 附加元件名稱是 amazon-sagemaker-hyperpod-observability。

所需的 IAM 許可

此附加元件會利用 Amazon EKS 的服務帳戶的 IAM 角色功能。如需詳細資訊，請參閱 服務帳戶的 IAM 角色。需要下列受管政策：

其他資訊

如需了解附加元件及其功能的相關詳細資訊，請參閱 SageMaker HyperPod 可觀測性。

Amazon SageMaker HyperPod 訓練運算子

Amazon SageMaker HyperPod 訓練運算子透過跨大型 GPU 叢集有效管理分散式訓練，協助您加速生成式 AI 模型開發。它引入智慧型故障復原、當掉任務偵測和程序層級管理功能，將訓練中斷減至最低並降低成本。與發生故障時需要完整重新啟動任務的傳統訓練基礎結構不同，此運算子會實作手術程序復原，讓您的訓練任務順利執行。

運算子也會使用 HyperPod 的運作狀態監控和可觀測性函數，提供訓練執行的即時可見性，並自動監控損失尖峰和輸送量降低等關鍵指標。您可以透過簡單的 YAML 組態定義復原政策，而無需變更程式碼，可讓您快速回應無法復原的訓練狀態並從中復原。這些監控和復原功能會共同運作，以維持最佳的訓練效能，同時將操作負荷降至最低。

Amazon EKS 附加元件名稱是 amazon-sagemaker-hyperpod-training-operator。

如需詳細資訊，請參閱 Amazon SageMaker 開發人員指南中的使用 HyperPod 訓練運算子。

所需的 IAM 許可

此附加元件需要 IAM 許可，以及使用 EKS Pod 身分識別。

AWS 建議使用 AmazonSageMakerHyperPodTrainingOperatorAccess 受管政策。

如需詳細資訊，請參閱 Amazon SageMaker 開發人員指南中的安裝訓練運算子。

其他資訊

如需了解附加元件的相關詳細資訊，請參閱 SageMaker HyperPod 訓練運算子。

AWS 網路流量監視器代理程式

Amazon CloudWatch 網路流量監視器代理程式是一種 Kubernetes 應用程式，能夠從叢集的所有節點收集 TCP 連線統計資料，然後將網路流量報告發布至 Amazon CloudWatch Network Flow Monitor Ingestion API。

Amazon EKS 附加元件名稱是 aws-network-flow-monitoring-agent。

所需的 IAM 許可

此附加元件需要 IAM 許可。

您需要將 CloudWatchNetworkFlowMonitorAgentPublishPolicy 受管政策連接至該附加元件。

若要了解必要 IAM 設定的相關詳細資訊，請參閱 Amazon CloudWatch 網路流量監視器代理程式 GitHub 儲存庫上的 IAM 政策。

若要了解受管政策的相關詳細資訊，請參閱《Amazon CloudWatch 使用者指南》中的 CloudWatchNetworkFlowMonitorAgentPublishPolicy。

其他資訊

如需了解附加元件的相關詳細資訊，請參閱 Amazon CloudWatch 網路流量監視器代理程式 GitHub 儲存庫。

節點監控代理程式

節點監控代理程式 Amazon EKS 附加元件可偵測額外的節點運作狀態問題。選用節點自動修復功能還可善用這些額外的運作狀態訊號，依據需要來自動修復節點。

Amazon EKS 附加元件名稱是 eks-node-monitoring-agent。

所需的 IAM 許可

此附加元件無須額外許可。

其他資訊

如需詳細資訊，請參閱 啟用節點自動修復並調查節點運作狀態問題。

適用於 OpenTelemetry 的 AWS Distro

AWS Distro for OpenTelemetry Amazon EKS 附加元件是一個安全、可立即生產的、AWS 支援的 OpenTelemetry 專案的發行版。如需詳細資訊，請參閱 GitHub 上的 AWS Distro for OpenTelemetry。

Amazon EKS 附加元件名稱是 adot。

所需的 IAM 許可

只有當您使用其中一個可透過進階配置選擇加入的預先設定自訂資源時，此附加元件才需要 IAM 許可。

其他資訊

如需詳細資訊，請參閱 AWS Distro for OpenTelemetry 文件中的使用 EKS 附加元件的 AWS Distro for OpenTelemetry 入門。

作為先決條件，ADOT 要求將 cert-manager 附加元件部署在叢集上，否則若直接使用 https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest cluster_addons 屬性部署，則此附加元件不會運作。如有更多需求，請參閱 AWS Distro for OpenTelemetry 文件中的使用 EKS 附加元件的 AWS Distro for OpenTelemetry 入門要求。

Amazon GuardDuty 代理程式

Amazon GuardDuty 代理程式 Amazon EKS 附加元件可從您的 EKS 叢集節點收集執行時期事件 (檔案存取、程序執行、網路連線)，以便 GuardDuty 運行監控進行分析。GuardDuty 本身 (非代理程式) 是安全監控服務，能夠分析及處理包括 AWS CloudTrail 管理事件與 Amazon VPC 流量日誌在內的基礎資料來源，以及 Kubernetes 稽核日誌與運行監控等功能。

Amazon EKS 附加元件名稱是 aws-guardduty-agent。

所需的 IAM 許可

此附加元件無須任何許可。

其他資訊

如需詳細資訊，請參閱 Amazon GuardDuty 中 Amazon EKS 叢集的運行監控。

Amazon CloudWatch 可觀測性代理程式

AWS 提供 Amazon CloudWatch 可觀測性代理程式 Amazon EKS 附加元件監控與可觀測性服務。此附加元件會安裝 CloudWatch 代理程式，並搭配 Amazon EKS 的增強可觀測性，啟用 CloudWatch Application Signals 和 CloudWatch Container Insights。如需詳細資訊，請參閱 Amazon CloudWatch 代理程式。

Amazon EKS 附加元件名稱是 amazon-cloudwatch-observability。

所需的 IAM 許可

此附加元件會利用 Amazon EKS 的服務帳戶的 IAM 角色功能。如需詳細資訊，請參閱 服務帳戶的 IAM 角色。AWSXrayWriteOnlyAccess 和 CloudWatchAgentServerPolicy AWS 受管政策中的許可為必要條件。您可以建立 IAM 角色，為該角色附加受管政策，並使用下列命令為附加元件使用的 Kubernetes 服務帳戶加上注釋。使用您的叢集名稱取代 my-cluster，並使用您的角色名稱取代 AmazonEKS_Observability_role。此命令要求您在裝置上安裝 eksctl。如果您需要使用其他工具來建立角色、為其附加政策並註釋 Kubernetes 服務帳戶，請參閱 將 IAM 角色指派給 Kubernetes 服務帳戶。

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

其他資訊

如需詳細資訊，請參閱安裝 CloudWatch 代理程式。

AWS適用於 Kubernetes 的私有 CA 連接器

適用於 Kubernetes 的 AWS Private CA Connector 是一種 cert-manager 附加元件，能夠支援使用者從 AWS 私有憑證認證機構 (AWS Private CA) 獲取憑證。

此附加元件要求使用 cert-manager。Amazon EKS 提供了 cert-manager 作為社群附加元件。若要了解此附加元件的相關詳細資訊，請參閱 Cert Manager。若要了解安裝附加元件的相關詳細資訊，請參閱 建立 Amazon EKS 附加元件。

所需的 IAM 許可

此附加元件需要 IAM 許可。

使用 EKS Pod 身分識別，連接 AWSPrivateCAConnectorForKubernetesPolicy IAM 政策與 Kubernetes aws-privateca-issuer 服務帳戶。如需詳細資訊，請參閱 使用 Pod 身分識別指派 IAM 角色到 Amazon EKS 附加元件。

若要了解必要許可的相關資訊，請參閱《AWS 受管政策參考》中的 AWSPrivateCAConnectorForKubernetesPolicy。

其他資訊

如需詳細資訊，請參閱適用於 Kubernetes GitHub 儲存庫的 AWS Private CA 發行者。

若要了解設定附加元件的相關詳細資訊，請參閱 aws-privateca-issuer GitHub 儲存庫中的 values.yaml。請確認 values.yaml 版本與叢集上安裝的附加元件版本是否相符。

此附加元件可容忍 EKS 自動模式的 system NodePool 所用的 CriticalAddonsOnly 污點。如需詳細資訊，請參閱 在專用執行個體上執行關鍵附加元件。

EKS Pod 身分識別代理程式

EKS Pod 身分識別代理程式 Amazon EKS 附加元件提供管理應用程式憑證的功能，類似 Amazon EC2 執行個體設定檔將憑證提供給 Amazon EC2 執行個體的方式。

Amazon EKS 附加元件名稱是 eks-pod-identity-agent。

所需的 IAM 許可

Pod 身分識別代理程式附加元件本身無須 IAM 角色。該附加元件使用 Amazon EKS 節點 IAM 角色的許可來運作，但不需要用於附加元件的專用 IAM 角色。

更新資訊

您一次只能更新一個次要版本。例如，如果目前的版本是 1.28.x-eksbuild.y，並且您想要更新至 1.30.x-eksbuild.y，則您必須將目前的版本更新至 1.29.x-eksbuild.y，然後再更新至 1.30.x-eksbuild.y。如需更新附加元件的詳細資訊，請參閱 更新 Amazon EKS 附加元件。

SR-IOV 網路指標匯出工具

SR-IOV 網路指標匯出工具 Amazon EKS 附加元件使用 Prometheus 格式，來收集及公開 SR-IOV 網路裝置的相關指標。該附加元件支援在 EKS 裸機節點上監控 SR-IOV 網路效能。匯出工具在搭載 SR-IOV-capable 網路介面的節點上作為 DaemonSet 來執行，然後匯出 Prometheus 可湊集的指標。