Verfügbare EKS Amazon-Add-Ons von AWS

Die folgenden EKS Amazon-Add-Ons können in Ihrem Cluster erstellt werden. Sie können die aktuelle Liste der verfügbaren Add-Ons mit eksctl AWS Management Console, dem oder dem einsehen AWS CLI. Informationen zu allen verfügbaren Add-Ons oder zur Installation eines Add-Ons finden Sie unter Ein EKS Amazon-Add-on erstellen. Wenn für ein Add-On IAM Berechtigungen erforderlich sind, benötigen Sie einen IAM OpenID Connect (OIDC) -Anbieter für Ihren Cluster. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie Erstellen Sie einen IAM OIDC Anbieter für Ihren Cluster. Sie können ein Add-on aktualisieren oder löschen, nachdem Sie es installiert haben.

Sie können jedes der folgenden EKS Amazon-Add-Ons verwenden.

Beschreibung	Weitere Informationen
Stellen Sie native VPC Netzwerke für Ihren Cluster bereit	Amazon VPC CNI plugin for Kubernetes
Ein flexibler, erweiterbarer DNS Server, der Kubernetes als Cluster dienen kann DNS	Kern DNS
Pflegen Sie die Netzwerkregeln auf jedem EC2 Amazon-Knoten	Kube-proxy
Stellen Sie EBS Amazon-Speicher für Ihren Cluster bereit	EBSCSIAmazon-Fahrer
Stellen Sie EFS Amazon-Speicher für Ihren Cluster bereit	EFSCSIAmazon-Fahrer
Stellen Sie Amazon S3 S3-Speicher für Ihren Cluster bereit	Mountpointfür Amazon S3 CSI S3-Treiber
Aktivieren Sie die Verwendung der Snapshot-Funktionalität in kompatiblen CSI Treibern, z. B. dem EBS CSI Amazon-Treiber	CSISnapshot-Controller
Sicherer, produktionsreifer und AWS unterstützter Vertrieb des Projekts OpenTelemetry	AWS Distribution für OpenTelemetry
Sicherheitsüberwachungsservice, der grundlegende Datenquellen wie AWS CloudTrail Verwaltungsereignisse und Amazon VPC Flow-Logs analysiert und verarbeitet. Amazon verarbeitet GuardDuty auch Funktionen wie Kubernetes Auditprotokolle und Laufzeitüberwachung	Amazon GuardDuty Agent
Überwachungs- und Beobachtbarkeitsservice von AWS. Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für Amazon EKS	Amazon CloudWatch Observability-Agent
Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Instance-Profile Anmeldeinformationen für Instances bereitstellen EC2	EKSPod Identity Agent

Amazon VPC CNI plugin for Kubernetes

Das Amazon VPC CNI plugin for Kubernetes EKS Amazon-Add-on ist ein Kubernetes Container-Netzwerkinterface (CNI) -Plugin, das native VPC Netzwerke für Ihren Cluster bereitstellt. Der selbstverwaltete oder verwaltete Typ dieses Add-ons ist standardmäßig auf jedem EC2 Amazon-Knoten installiert. Weitere Informationen finden Sie unter KubernetesContainer-Netzwerkschnittstelle (CNI) -Plugin.

Der Name des EKS Amazon-Add-ons lautetvpc-cni.

Erforderliche IAM Berechtigungen

Dieses Add-on nutzt die IAMFunktionen Rollen für Servicekonten von AmazonEKS. Wenn Ihr Cluster die IPv4 Familie verwendet, sind die Berechtigungen in der Amazon EKS _ CNI _Policy erforderlich. Wenn Ihr Cluster die IPv6 Familie verwendet, müssen Sie eine IAM Richtlinie mit den Berechtigungen im IPv6Modus erstellen. Sie können eine IAM Rolle erstellen, ihr eine der Richtlinien zuordnen und das vom Add-on verwendete Kubernetes Dienstkonto mit dem folgenden Befehl mit Anmerkungen versehen.

Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKSVPCCNIRole durch den Namen Ihrer Rolle. Wenn der Cluster die IPv6-Familie verwendet, ersetzen Sie AmazonEKS_CNI_Policy durch den Namen der Richtlinie, die Sie erstellt haben. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, ihr die Richtlinie zuzuordnen und das Kubernetes-Servicekonto mit Anmerkungen zu versehen, siehe KubernetesDienstkonten IAM Rollen zuweisen.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

Informationen aktualisieren

Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.28.x-eksbuild.y ist und Sie auf 1.30.x-eksbuild.y aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf 1.29.x-eksbuild.y und dann auf 1.30.x-eksbuild.y aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Aktualisierung des Amazon VPC CNI plugin for Kubernetes EKS Amazon-Add-ons.

Kern DNS

Das Core DNS Amazon EKS Add-on ist ein flexibler, erweiterbarer DNS Server, der als Kubernetes Cluster DNS dienen kann. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons wurde standardmäßig installiert, als Sie Ihren Cluster erstellt haben. Wenn Sie einen EKS Amazon-Cluster mit mindestens einem Knoten starten, werden standardmäßig zwei Replikate des CoreDNS Images bereitgestellt, unabhängig von der Anzahl der in Ihrem Cluster bereitgestellten Knoten. Die CoreDNS-Pods bieten die Namensauflösung für alle Pods im Cluster. Sie können CoreDNS-Pods auf Fargate-Knoten bereitstellen, wenn Ihr Cluster ein Definieren Sie, welche Pods Verwendung AWS Fargate beim Start verwendet wird mit einem Namespace enthält, der dem Namespace für die CoreDNS-deployment entspricht.

Der Name des EKS Amazon-Add-ons lautetcoredns.

Erforderliche IAM Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen zu Core DNS finden Sie in der Kubernetes Dokumentation unter Verwenden von Core DNS für Service Discovery und Anpassen von DNS Service.

Kube-proxy

Das Kube-proxy EKS Amazon-Add-on verwaltet die Netzwerkregeln auf jedem EC2 Amazon-Knoten. Es ermöglicht die Netzwerkkommunikation zu Ihren Pods. Der selbstverwaltete oder verwaltete Typ dieses Add-ons ist standardmäßig auf jedem EC2 Amazon-Knoten in Ihrem Cluster installiert.

Der Name des EKS Amazon-Add-ons lautetkube-proxy.

Erforderliche IAM Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Informationen aktualisieren

Bevor Sie Ihre aktuelle Version aktualisieren, sollten Sie die folgenden Anforderungen berücksichtigen:

• Kube-proxyhat auf einem EKS Amazon-Cluster dieselbe Kompatibilitäts- und Schrägstellungsrichtlinie wie Kubernetes.

Zusätzliche Informationen

Weitere Informationen kube-proxy dazu finden Sie kube-proxyin der Kubernetes Dokumentation.

EBSCSIAmazon-Fahrer

Das EBS CSI EKS Amazon-Treiber-Amazon-Add-on ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das EBS Amazon-Speicher für Ihren Cluster bereitstellt.

Der Name des EKS Amazon-Add-ons lautetaws-ebs-csi-driver.

Erforderliche Berechtigungen IAM

Dieses Add-on nutzt die IAMFunktionen „Rollen für Dienstkonten“ von AmazonEKS. Die Berechtigungen in der AmazonEBSCSIDriverPolicy AWS verwalteten Richtlinie sind erforderlich. Mit dem folgenden Befehl können Sie eine IAM Rolle erstellen und ihr die verwaltete Richtlinie zuordnen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_EBS_CSI_DriverRole durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool oder einen benutzerdefinierten KMSSchlüssel für die Verschlüsselung verwenden müssen, finden Sie weitere Informationen unterSchritt 1: Erstellen Sie eine IAM Rolle.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterKubernetesVolumen speichern bei Amazon EBS.

EFSCSIAmazon-Fahrer

Das EFS CSI EKS Amazon-Treiber-Amazon-Add-on ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das EFS Amazon-Speicher für Ihren Cluster bereitstellt.

Der Name des EKS Amazon-Add-ons lautetaws-efs-csi-driver.

Erforderliche Berechtigungen IAM

Erforderliche IAM Berechtigungen — Dieses Add-on nutzt die IAMFunktionen „Rollen für Dienstkonten“ von AmazonEKS. Die Berechtigungen in der AmazonEFSCSIDriverPolicy AWS verwalteten Richtlinie sind erforderlich. Mit den folgenden Befehlen können Sie eine IAM Rolle erstellen und ihr die verwaltete Richtlinie zuordnen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_EFS_CSI_DriverRole durch den Namen Ihrer Rolle. Diese Befehle erfordern, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, finden Sie Informationen unter Schritt 1: Erstellen Sie eine IAM Rolle.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterSpeichern Sie ein elastisches Dateisystem bei Amazon EFS.

Mountpointfür Amazon S3 CSI S3-Treiber

Das EKS Amazon-Add-on Mountpoint für Amazon S3 CSI S3-Treiber ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon S3-Speicher für Ihren Cluster bereitstellt.

Der Name des EKS Amazon-Add-ons lautetaws-mountpoint-s3-csi-driver.

Erforderliche IAM Berechtigungen

Dieses Add-on nutzt die IAMFunktionen Rollen für Servicekonten von AmazonEKS. Für die erstellte IAM Rolle ist eine Richtlinie erforderlich, die Zugriff auf S3 gewährt. Folgen Sie bei der Erstellung der Richtlinie den Empfehlungen für Mountpoint IAM Berechtigungen. Sie können auch die AWS verwaltete Richtlinie verwenden AmazonS3FullAccess, aber diese verwaltete Richtlinie gewährt mehr Berechtigungen, als erforderlich sindMountpoint.

Mit den folgenden Befehlen können Sie eine IAM Rolle erstellen und ihr Ihre Richtlinie zuordnen. Ersetzen my-cluster mit dem Namen Ihres Clusters, region-code mit dem richtigen AWS-Region Code AmazonEKS_S3_CSI_DriverRole mit dem Namen für deine Rolle und AmazonEKS_S3_CSI_DriverRole_ARN mit der RolleARN. Diese Befehle erfordern, dass Sie eksctl auf Ihrem Gerät installiert haben. Anweisungen zur Verwendung der IAM Konsole oder AWS CLI finden Sie unterErstellen Sie eine IAM-Rolle.

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterGreifen Sie mit dem Mountpoint for Amazon S3-Treiber auf Amazon S3-Objekte zu CSI.

CSISnapshot-Controller

Der Container Storage Interface (CSI) Snapshot-Controller ermöglicht die Verwendung der Snapshot-Funktionalität in kompatiblen CSI Treibern, wie dem EBS CSI Amazon-Treiber.

Der Name des EKS Amazon-Add-ons lautetsnapshot-controller.

Erforderliche Berechtigungen IAM

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterSnapshot-Funktionalität für CSI Volumes aktivieren.

AWS Distribution für OpenTelemetry

Das EKS Add-on AWS Distro for OpenTelemetry Amazon ist eine sichere, produktionsbereite und AWS unterstützte Distribution des Projekts. OpenTelemetry Weitere Informationen finden Sie unter AWS Distro for on. OpenTelemetry GitHub

Der Name des EKS Amazon-Add-ons lautetadot.

Erforderliche IAM Berechtigungen

Für dieses Add-on sind nur dann IAM Berechtigungen erforderlich, wenn Sie eine der vorkonfigurierten benutzerdefinierten Ressourcen verwenden, für die Sie sich über die erweiterte Konfiguration anmelden können.

Zusätzliche Informationen

Weitere Informationen finden Sie in der Dokumentation unter Erste Schritte mit AWS Distro für die OpenTelemetry Verwendung von EKS Add-Ons in der AWS Distro. OpenTelemetry

ADOTerfordert als Voraussetzung, dass dieses Add-on auf dem Cluster bereitgestellt cert-manager wird. Andernfalls funktioniert dieses Add-on nicht, wenn es direkt über die Amazon EKS cluster_addons Terraform-Eigenschaft bereitgestellt wird. Weitere Anforderungen finden Sie in der Dokumentation unter Anforderungen für die ersten Schritte mit AWS Distro für die OpenTelemetry Verwendung von EKS Add-Ons in der AWS Distro. OpenTelemetry

Amazon GuardDuty Agent

Das Amazon GuardDuty EKS Agent-Amazon-Add-on ist ein Sicherheitsüberwachungsservice, der grundlegende Datenquellen wie AWS CloudTrail Verwaltungsereignisse und VPC Amazon-Flow-Logs analysiert und verarbeitet. Amazon verarbeitet GuardDuty auch Funktionen wie Kubernetes Audit-Logs und Laufzeitüberwachung.

Der Name des EKS Amazon-Add-ons lautetaws-guardduty-agent.

Erforderliche IAM Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen finden Sie unter Laufzeitüberwachung für EKS Amazon-Cluster in Amazon GuardDuty.

• Um potenzielle Sicherheitsbedrohungen in Ihren EKS Amazon-Clustern zu erkennen, aktivieren Sie Amazon GuardDuty Runtime Monitoring und stellen Sie den GuardDuty Security Agent auf Ihren EKS Amazon-Clustern bereit.

Amazon CloudWatch Observability-Agent

Der Amazon CloudWatch Observability-Agent Amazon hat den EKS Überwachungs- und Observabilitätsservice von hinzugefügt. AWS Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für AmazonEKS. Weitere Informationen finden Sie unter Amazon CloudWatch Agent.

Der Name des EKS Amazon-Add-ons lautetamazon-cloudwatch-observability.

Erforderliche IAM Berechtigungen

Dieses Add-on nutzt die IAMFunktionen Rollen für Servicekonten von AmazonEKS. Die Berechtigungen in den AWSXrayWriteOnlyAccessund den CloudWatchAgentServerPolicy AWS verwalteten Richtlinien sind erforderlich. Sie können eine IAM Rolle erstellen, ihr die verwalteten Richtlinien anhängen und das vom Add-on verwendete Kubernetes Dienstkonto mit dem folgenden Befehl mit Anmerkungen versehen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_Observability_role durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, ihr die Richtlinie zuzuordnen und das Kubernetes-Servicekonto mit Anmerkungen zu versehen, siehe KubernetesDienstkonten IAM Rollen zuweisen.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

Zusätzliche Informationen

Weitere Informationen finden Sie unter Installieren des CloudWatch Agenten.

EKSPod Identity Agent

Das Amazon EKS Add-on Amazon EKS Pod Identity Agent bietet die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Instance-Profile Anmeldeinformationen für EC2 Instances bereitstellen.

Der Name des EKS Amazon-Add-ons lauteteks-pod-identity-agent.

Erforderliche IAM Berechtigungen

Dieses Add-on verwendet Berechtigungen aus demAmazon-EKS-Knoten-IAM-Rolle.

Informationen aktualisieren

Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.28.x-eksbuild.y ist und Sie auf 1.30.x-eksbuild.y aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf 1.29.x-eksbuild.y und dann auf 1.30.x-eksbuild.y aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Aktualisierung des Amazon VPC CNI plugin for Kubernetes EKS Amazon-Add-ons.