EKSModules complémentaires Amazon disponibles auprès de AWS - Amazon EKS
Amazon VPC CNI plugin for KubernetesNoyau DNSKube-proxyEBSCSIChauffeur AmazonEFSCSIChauffeur AmazonMountpointpour Amazon S3 CSI DriverCSIcontrôleur SnapshotAWS Distro pour OpenTelemetryAmazon GuardDuty agentAgent Amazon CloudWatch ObservabilityEKSAgent d'identité Pod

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

EKSModules complémentaires Amazon disponibles auprès de AWS

Les EKS modules complémentaires Amazon suivants peuvent être créés sur votre cluster. Vous pouvez consulter la liste la plus récente des modules complémentaires disponibles à l'aide du eksctl AWS Management Console, ou du AWS CLI. Pour voir tous les modules complémentaires disponibles ou pour installer un module complémentaire, consultez Création d'un EKS module complémentaire Amazon. Si un module complémentaire nécessite IAM des autorisations, vous devez disposer d'un fournisseur IAM OpenID Connect (OIDC) pour votre cluster. Pour déterminer si vous en avez un, ou pour en créer un, consultez Créez un IAM OIDC fournisseur pour votre cluster. Vous pouvez mettre à jour ou supprimer un module complémentaire après l'avoir installé.

Vous pouvez utiliser l'un des EKS modules complémentaires Amazon suivants.

Description En savoir plus

Fournissez un VPC réseau natif à votre cluster

 Amazon VPC CNI plugin for Kubernetes

Un DNS serveur flexible et extensible qui peut servir de Kubernetes cluster DNS

 Noyau DNS
Maintenir les règles du réseau sur chaque EC2 nœud Amazon Kube-proxy
Fournissez un EBS espace de stockage Amazon pour votre cluster EBSCSIChauffeur Amazon
Fournissez un EFS espace de stockage Amazon pour votre cluster EFSCSIChauffeur Amazon
Fournissez un espace de stockage Amazon S3 pour votre cluster Mountpointpour Amazon S3 CSI Driver
Activez l'utilisation de la fonctionnalité de capture instantanée dans CSI les pilotes compatibles, tels que le EBS CSI pilote Amazon CSIcontrôleur Snapshot
Distribution sécurisée, prête pour la production et AWS prise en charge du projet OpenTelemetry AWS Distro pour OpenTelemetry
Service de surveillance de la sécurité qui analyse et traite les sources de données de base, notamment les événements AWS CloudTrail de gestion et les journaux de VPC flux Amazon. Amazon traite GuardDuty également des fonctionnalités, telles que les journaux Kubernetes d'audit et la surveillance du temps d'exécution Amazon GuardDuty agent
Service de surveillance et d'observabilité fourni par AWS. Ce module complémentaire installe l' CloudWatch agent et active à la fois CloudWatch Application Signals et CloudWatch Container Insights avec une meilleure observabilité pour Amazon EKS Agent Amazon CloudWatch Observability
Possibilité de gérer les informations d'identification de vos applications, de la même manière que les profils d'EC2instance fournissent des informations d'identification aux EC2 instances EKSAgent d'identité Pod

Amazon VPC CNI plugin for Kubernetes

Le EKS module complémentaire Amazon VPC CNI plugin for Kubernetes Amazon est un plugin d'interface réseau de Kubernetes conteneurs (CNI) qui fournit une VPC mise en réseau native à votre cluster. Le type autogéré ou géré de ce module complémentaire est installé sur chaque EC2 nœud Amazon, par défaut. Pour plus d'informations, consultez le plugin Kubernetes Container Network Interface (CNI).

Le nom du EKS module complémentaire Amazon estvpc-cni.

IAMAutorisations requises

Ce module complémentaire utilise les IAMrôles pour les comptes de service d'AmazonEKS. Si votre cluster utilise cette IPv4 famille, les autorisations indiquées dans Amazon EKS _ CNI _Policy sont requises. Si votre cluster utilise la IPv6 famille, vous devez créer une IAM politique avec les autorisations en IPv6mode. Vous pouvez créer un IAM rôle, y associer l'une des politiques et annoter le compte de Kubernetes service utilisé par le module complémentaire à l'aide de la commande suivante.

Remplacez my-cluster par le nom de votre cluster et AmazonEKSVPCCNIRole par le nom que vous souhaitez pour votre rôle. Si votre cluster utilise la famille IPv6, remplacez AmazonEKS_CNI_Policy par le nom de la politique que vous avez créée. Pour pouvoir utiliser cette commande, eksctl doit être installé sur votre appareil. Si vous devez utiliser un autre outil pour créer le rôle, y attacher la politique et annoter le compte de service Kubernetes, consultez Attribuer IAM des rôles aux comptes Kubernetes de service.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

Informations de mise à jour

Vous ne pouvez mettre à jour qu'une seule version mineure à la fois. Par exemple, si votre version actuelle est 1.28.x-eksbuild.y et que vous voulez la mettre à jour vers 1.30.x-eksbuild.y, vous devez d'abord mettre à jour votre version actuelle vers 1.29.x-eksbuild.y et ensuite la mettre à nouveau à jour vers 1.30.x-eksbuild.y. Pour plus d'informations sur la mise à jour du module complémentaire, consultez la rubrique Mettre à jour le EKS module complémentaire Amazon VPC CNI plugin for Kubernetes Amazon.

Noyau DNS

Le EKS module complémentaire DNS Amazon Core est un DNS serveur flexible et extensible qui peut servir de Kubernetes clusterDNS. Le type autogéré ou géré de ce module complémentaire a été installé par défaut lorsque vous avez créé votre cluster. Lorsque vous lancez un EKS cluster Amazon avec au moins un nœud, deux répliques de l'CoreDNSimage sont déployées par défaut, quel que soit le nombre de nœuds déployés dans votre cluster. Les Pods CoreDNS fournissent une résolution de noms pour tous les Pods du cluster. Vous pouvez déployer les CoreDNS Pods sur les nœuds Fargate si votre cluster comprend un Définissez quelle Pods utilisation AWS Fargate lors du lancement avec un espace de noms qui correspond à l'espace de noms pour les CoreDNS deployment.

Le nom du EKS module complémentaire Amazon estcoredns.

IAMAutorisations requises

Ce module complémentaire ne nécessite aucune autorisation.

Informations supplémentaires

Pour en savoir plus sur CoreDNS, consultez la section Utilisation de Core DNS pour la découverte de services et la personnalisation du DNS service dans la Kubernetes documentation.

Kube-proxy

Le EKS module complémentaire Kube-proxy Amazon gère les règles du réseau sur chaque EC2 nœud Amazon. Il permet la communication réseau avec vos Pods. Le type autogéré ou géré de ce module complémentaire est installé par défaut sur chaque EC2 nœud Amazon de votre cluster.

Le nom du EKS module complémentaire Amazon estkube-proxy.

IAMAutorisations requises

Ce module complémentaire ne nécessite aucune autorisation.

Informations de mise à jour

Avant de mettre à jour votre version actuelle, tenez compte des exigences suivantes :

Informations supplémentaires

Pour en savoir pluskube-proxy, consultez kube-proxyla Kubernetes documentation.

EBSCSIChauffeur Amazon

Le EKS module complémentaire Amazon EBS CSI Driver Amazon est un plugin Kubernetes Container Storage Interface (CSI) qui fournit du EBS stockage Amazon pour votre cluster.

Le nom du EKS module complémentaire Amazon estaws-ebs-csi-driver.

IAMAutorisations requises

Ce module complémentaire utilise la fonctionnalité IAMdes rôles pour les comptes de service d'AmazonEKS. Les autorisations de la politique AmazonEBSCSIDriverPolicy AWS gérée sont obligatoires. Vous pouvez créer un IAM rôle et y associer la politique gérée à l'aide de la commande suivante. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_EBS_CSI_DriverRole par le nom que vous souhaitez pour votre rôle. Pour pouvoir utiliser cette commande, eksctl doit être installé sur votre appareil. Si vous devez utiliser un autre outil ou une KMSclé personnalisée pour le chiffrement, consultezÉtape 1 : créer un IAM rôle.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

Informations supplémentaires

Pour en savoir plus sur le module complémentaire, consultezStockez Kubernetes des volumes avec Amazon EBS.

EFSCSIChauffeur Amazon

Le EKS module complémentaire Amazon EFS CSI Driver Amazon est un plugin Kubernetes Container Storage Interface (CSI) qui fournit du EFS stockage Amazon pour votre cluster.

Le nom du EKS module complémentaire Amazon estaws-efs-csi-driver.

IAMAutorisations requises

IAMAutorisations requises — Ce module complémentaire utilise les IAMrôles pour les fonctionnalités des comptes de service d'AmazonEKS. Les autorisations de la politique AmazonEFSCSIDriverPolicy AWS gérée sont obligatoires. Vous pouvez créer un IAM rôle et y associer la politique gérée à l'aide des commandes suivantes. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_EFS_CSI_DriverRole par le nom que vous souhaitez pour votre rôle. Ces commandes nécessitent que eksctl soit installé sur votre périphérique. Si vous devez utiliser un autre outil, voir Étape 1 : Création d'un IAM rôle.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Informations supplémentaires

Pour en savoir plus sur le module complémentaire, consultezStockez un système de fichiers élastique avec Amazon EFS.

Mountpointpour Amazon S3 CSI Driver

Le EKS module complémentaire Amazon Mountpoint pour Amazon S3 CSI Driver est un plug-in Kubernetes Container Storage Interface (CSI) qui fournit un stockage Amazon S3 pour votre cluster.

Le nom du EKS module complémentaire Amazon estaws-mountpoint-s3-csi-driver.

IAMAutorisations requises

Ce module complémentaire utilise les IAMrôles pour les comptes de service d'AmazonEKS. Le IAM rôle créé nécessitera une politique donnant accès à S3. Suivez les recommandations relatives aux Mountpoint IAM autorisations lors de la création de la politique. Vous pouvez également utiliser la politique AWS gérée AmazonS3FullAccess, mais cette politique gérée accorde plus d'autorisations que nécessaireMountpoint.

Vous pouvez créer un IAM rôle et y associer votre politique à l'aide des commandes suivantes. Remplacez my-cluster avec le nom de votre cluster, region-code avec le bon Région AWS code, AmazonEKS_S3_CSI_DriverRole avec le nom de votre rôle, et AmazonEKS_S3_CSI_DriverRole_ARN avec le rôleARN. Ces commandes nécessitent que eksctl soit installé sur votre périphérique. Pour obtenir des instructions sur l'utilisation de la IAM console ou AWS CLI consultezcréer un rôle IAM ;.

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

Informations supplémentaires

Pour en savoir plus sur le module complémentaire, consultezAccédez aux objets Amazon S3 avec le pilote Mountpoint pour Amazon S3 CSI.

CSIcontrôleur Snapshot

Le contrôleur de capture d'écran Container Storage Interface (CSI) permet d'utiliser la fonctionnalité de capture instantanée dans des CSI pilotes compatibles, tels que le EBS CSI pilote Amazon.

Le nom du EKS module complémentaire Amazon estsnapshot-controller.

IAMAutorisations requises

Ce module complémentaire ne nécessite aucune autorisation.

Informations supplémentaires

Pour en savoir plus sur le module complémentaire, consultezActiver la fonctionnalité de capture instantanée pour les CSI volumes.

AWS Distro pour OpenTelemetry

Le EKS module complémentaire AWS Distro for OpenTelemetry Amazon est une distribution sécurisée, prête pour la production et AWS prise en charge du projet. OpenTelemetry Pour plus d'informations, consultez AWS Distro for OpenTelemetry on GitHub.

Le nom du EKS module complémentaire Amazon estadot.

IAMAutorisations requises

Ce module complémentaire ne nécessite IAM des autorisations que si vous utilisez l'une des ressources personnalisées préconfigurées qui peuvent être activées par le biais de la configuration avancée.

Informations supplémentaires

Pour plus d'informations, consultez Getting Started with AWS Distro pour OpenTelemetry l'utilisation des EKS modules complémentaires dans la AWS distribution pour OpenTelemetry obtenir de la documentation.

ADOTnécessite qu'il cert-manager soit déployé sur le cluster comme condition préalable, sinon ce module complémentaire ne fonctionnera pas s'il est déployé directement à l'aide de la propriété Amazon EKS Terraformcluster_addons. Pour plus d'informations, consultez la section Conditions requises pour démarrer avec AWS Distro pour OpenTelemetry l'utilisation des EKS modules complémentaires dans la AWS distribution pour OpenTelemetry obtenir de la documentation.

Amazon GuardDuty agent

Le EKS module complémentaire Amazon GuardDuty agent Amazon est un service de surveillance de la sécurité qui analyse et traite les sources de données fondamentales, notamment les événements AWS CloudTrail de gestion et les journaux de VPC flux Amazon. Amazon traite GuardDuty également des fonctionnalités, telles que les journaux Kubernetes d'audit et la surveillance du temps d'exécution.

Le nom du EKS module complémentaire Amazon estaws-guardduty-agent.

IAMAutorisations requises

Ce module complémentaire ne nécessite aucune autorisation.

Informations supplémentaires

Pour plus d'informations, consultez la section Surveillance du temps d'exécution pour les EKS clusters Amazon sur Amazon GuardDuty.

  • Pour détecter les menaces de sécurité potentielles dans vos EKS clusters Amazon, activez la surveillance du GuardDuty temps d'exécution Amazon et déployez l'agent de GuardDuty sécurité sur vos EKS clusters Amazon.

Agent Amazon CloudWatch Observability

L'agent Amazon CloudWatch Observability (Amazon) ajoute EKS le service de surveillance et d'observabilité fourni par. AWS Ce module complémentaire installe l' CloudWatch agent et active à la fois CloudWatch Application Signals et CloudWatch Container Insights avec une meilleure observabilité pour Amazon. EKS Pour plus d'informations, consultez Amazon CloudWatch Agent.

Le nom du EKS module complémentaire Amazon estamazon-cloudwatch-observability.

IAMAutorisations requises

Ce module complémentaire utilise les IAMrôles pour les comptes de service d'AmazonEKS. Les autorisations indiquées dans AWSXrayWriteOnlyAccesset dans les politiques CloudWatchAgentServerPolicy AWS gérées sont obligatoires. Vous pouvez créer un IAM rôle, y associer les politiques gérées et annoter le compte de Kubernetes service utilisé par le module complémentaire à l'aide de la commande suivante. Remplacez my-cluster par le nom de votre cluster et AmazonEKS_Observability_role par le nom que vous souhaitez pour votre rôle. Pour pouvoir utiliser cette commande, eksctl doit être installé sur votre appareil. Si vous devez utiliser un autre outil pour créer le rôle, y attacher la politique et annoter le compte de service Kubernetes, consultez Attribuer IAM des rôles aux comptes Kubernetes de service.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

Informations supplémentaires

Pour plus d'informations, consultez la section Installation de l' CloudWatch agent.

EKSAgent d'identité Pod

Le EKS module complémentaire Amazon EKS Pod Identity Agent (Amazon) permet de gérer les informations d'identification de vos applications, de la même manière que les profils d'EC2instance fournissent des informations d'identification aux EC2 instances.

Le nom du EKS module complémentaire Amazon esteks-pod-identity-agent.

IAMAutorisations requises

Ce module complémentaire utilise les autorisations duRôle IAM de nœud Amazon EKS.

Informations de mise à jour

Vous ne pouvez mettre à jour qu'une seule version mineure à la fois. Par exemple, si votre version actuelle est 1.28.x-eksbuild.y et que vous voulez la mettre à jour vers 1.30.x-eksbuild.y, vous devez d'abord mettre à jour votre version actuelle vers 1.29.x-eksbuild.y et ensuite la mettre à nouveau à jour vers 1.30.x-eksbuild.y. Pour plus d'informations sur la mise à jour du module complémentaire, consultez la rubrique Mettre à jour le EKS module complémentaire Amazon VPC CNI plugin for Kubernetes Amazon.