EKSComponenti aggiuntivi Amazon disponibili da AWS

I seguenti EKS componenti aggiuntivi di Amazon sono disponibili per la creazione sul tuo cluster. Puoi visualizzare l'elenco più aggiornato dei componenti aggiuntivi disponibili utilizzandoeksctl, il AWS Management Console, o il. AWS CLI Per visualizzare tutti i componenti aggiuntivi disponibili o per installare un componente aggiuntivo, consulta la pagina Creazione di un EKS componente aggiuntivo Amazon. Se un componente aggiuntivo richiede IAM autorizzazioni, è necessario disporre di un provider IAM OpenID Connect (OIDC) per il cluster. Per stabilire se ne possiedi uno o per crearne uno, consulta Crea un IAM OIDC provider per il tuo cluster. Puoi aggiornare o eliminare un componente aggiuntivo dopo averlo installato.

Puoi utilizzare uno dei seguenti EKS componenti aggiuntivi Amazon.

Descrizione	Ulteriori informazioni
Fornisci una VPC rete nativa per il tuo cluster	Amazon VPC CNI plugin for Kubernetes
Un DNS server flessibile ed estensibile che può fungere Kubernetes da cluster DNS	Nucleo DNS
Mantieni le regole di rete su ogni EC2 nodo Amazon	Kube-proxy
Fornisci EBS storage Amazon per il tuo cluster	EBSCSIAutista Amazon
Fornisci EFS storage Amazon per il tuo cluster	EFSCSIAutista Amazon
Fornisci storage Amazon S3 per il tuo cluster	Mountpointper Amazon S3 Driver CSI
Abilita l'uso della funzionalità snapshot nei CSI driver compatibili, come il driver Amazon EBS CSI	CSIcontroller snapshot
Distribuzione del progetto sicura, pronta per la produzione e AWS supportata OpenTelemetry	AWS Distro per OpenTelemetry
Servizio di monitoraggio della sicurezza che analizza ed elabora le fonti di dati fondamentali, inclusi gli eventi di AWS CloudTrail gestione e i log di VPC flusso di Amazon. Amazon elabora GuardDuty anche funzionalità, come i registri di Kubernetes controllo e il monitoraggio del runtime.	Amazon GuardDuty agente
Servizio di monitoraggio e osservabilità fornito da. AWS Questo componente aggiuntivo installa l' CloudWatch agente e abilita sia CloudWatch Application Signals che CloudWatch Container Insights con una migliore osservabilità per Amazon EKS	Agente Amazon CloudWatch Observability
Capacità di gestire le credenziali per le applicazioni, in modo simile al modo in cui i profili di istanza forniscono le credenziali alle EC2 istanze EC2	EKSPod Identity Agent

Amazon VPC CNI plugin for Kubernetes

Il EKS componente aggiuntivo Amazon VPC CNI plugin for Kubernetes Amazon è un plug-in di interfaccia di rete per Kubernetes contenitori (CNI) che fornisce una VPC rete nativa per il tuo cluster. Il tipo autogestito o gestito di questo componente aggiuntivo è installato su ogni EC2 nodo Amazon, per impostazione predefinita. Per ulteriori informazioni, consulta il plug-in KubernetesContainer Network Interface (CNI).

Il nome del EKS componente aggiuntivo Amazon èvpc-cni.

Autorizzazioni richieste IAM

Questo componente aggiuntivo utilizza i IAMruoli per la funzionalità degli account di servizio di AmazonEKS. Se il tuo cluster utilizza la IPv4 famiglia, sono necessarie le autorizzazioni in Amazon EKS _ CNI _Policy. Se il tuo cluster utilizza la IPv6 famiglia, devi creare una IAM policy con le autorizzazioni in modalità. IPv6 È possibile creare un IAM ruolo, allegare una delle politiche ad esso e annotare l'account di Kubernetes servizio utilizzato dal componente aggiuntivo con il seguente comando.

Sostituisci my-cluster con il nome del cluster e AmazonEKSVPCCNIRole con il nome del ruolo. Se il tuo cluster utilizza la famiglia IPv6, sostituisci AmazonEKS_CNI_Policy con il nome della policy che hai creato. Questo comando richiede che eksctl sia installato sul tuo dispositivo. Se devi utilizzare uno strumento diverso per creare il ruolo, collegarvi la policy e prendere nota dell'account del servizio Kubernetes, consulta la pagina Assegnazione di IAM ruoli agli account di Kubernetes servizio.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

Aggiornare le informazioni

Puoi aggiornare solo una versione secondaria alla volta. Ad esempio, se la versione corrente è 1.28.x-eksbuild.y e desideri aggiornarla a 1.30.x-eksbuild.y, devi prima eseguire l'aggiornamento a 1.29.x-eksbuild.y e quindi l'aggiornamento a 1.30.x-eksbuild.y. Per ulteriori informazioni sull'aggiornamento del componente aggiuntivo, consulta Aggiornamento del EKS componente aggiuntivo Amazon VPC CNI plugin for Kubernetes Amazon.

Nucleo DNS

Il EKS componente aggiuntivo Core DNS Amazon è un DNS server flessibile ed estensibile che può fungere da cluster. Kubernetes DNS Il tipo autogestito o gestito di questo componente aggiuntivo è stato installato, per impostazione predefinita, al momento della creazione del cluster. Quando avvii un EKS cluster Amazon con almeno un nodo, per impostazione predefinita vengono distribuite due repliche dell'CoreDNSimmagine, indipendentemente dal numero di nodi distribuiti nel cluster. I Pods CoreDNS forniscono la risoluzione dei nomi per tutti i Pods del cluster. Puoi implementare i Pods CoreDNS sui nodi Fargate se il cluster include un Definisci quale Pods utilizzo al AWS Fargate momento del lancio con uno spazio dei nomi che corrisponde allo spazio per deployment CoreDNS.

Il nome del EKS componente aggiuntivo Amazon ècoredns.

Autorizzazioni richieste IAM

Questo componente aggiuntivo non richiede alcuna autorizzazione.

Informazioni aggiuntive

Per ulteriori informazioni su CoreDNS, consulta Using Core DNS for Service Discovery and Customizing DNS Service nella documentazione. Kubernetes

Kube-proxy

Il EKS componente aggiuntivo Kube-proxy Amazon mantiene le regole di rete su ogni EC2 nodo Amazon. Consente la comunicazione di rete con i tuoi Pods. Il tipo autogestito o gestito di questo componente aggiuntivo è installato su ogni EC2 nodo Amazon del cluster, per impostazione predefinita.

Il nome del EKS componente aggiuntivo Amazon èkube-proxy.

Autorizzazioni richieste IAM

Questo componente aggiuntivo non richiede alcuna autorizzazione.

Aggiorna le informazioni

Prima di aggiornare la versione corrente, considera i seguenti requisiti:

• Kube-proxysu un EKS cluster Amazon ha la stessa politica di compatibilità e inclinazione di Kubernetes.

Informazioni aggiuntive

Per ulteriori informazionikube-proxy, consulta kube-proxyla Kubernetes documentazione.

EBSCSIAutista Amazon

Il EBS CSI driver Amazon Amazon EKS add-on è un plug-in Kubernetes Container Storage Interface (CSI) che fornisce EBS storage Amazon per il tuo cluster.

Il nome del EKS componente aggiuntivo Amazon èaws-ebs-csi-driver.

Autorizzazioni richieste IAM

Questo componente aggiuntivo utilizza i IAMruoli per la funzionalità degli account di servizio di Amazon. EKS Le autorizzazioni nella politica AmazonEBSCSIDriverPolicy AWS gestita sono obbligatorie. È possibile creare un IAM ruolo e allegare ad esso la politica gestita con il comando seguente. Sostituisci my-cluster con il nome del cluster e AmazonEKS_EBS_CSI_DriverRole con il nome del ruolo. Questo comando richiede che eksctl sia installato sul tuo dispositivo. Se è necessario utilizzare uno strumento diverso o è necessario utilizzare una KMSchiave personalizzata per la crittografia, vedereFase 1: Creare un ruolo IAM.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

Informazioni aggiuntive

Per ulteriori informazioni sul componente aggiuntivo, consultaArchivia Kubernetes volumi con Amazon EBS.

EFSCSIAutista Amazon

Il EFS CSI driver Amazon Amazon EKS add-on è un plug-in Kubernetes Container Storage Interface (CSI) che fornisce EFS storage Amazon per il tuo cluster.

Il nome del EKS componente aggiuntivo Amazon èaws-efs-csi-driver.

Autorizzazioni richieste IAM

IAMAutorizzazioni richieste: questo componente aggiuntivo utilizza i IAMruoli per la funzionalità degli account di servizio di Amazon. EKS Le autorizzazioni nella politica AmazonEFSCSIDriverPolicy AWS gestita sono obbligatorie. È possibile creare un IAM ruolo e allegare ad esso la politica gestita con i seguenti comandi. Sostituisci my-cluster con il nome del cluster e AmazonEKS_EFS_CSI_DriverRole con il nome del ruolo. Questi comandi richiedono l'installazione di eksctl sul tuo dispositivo. Se hai bisogno di usare uno strumento diverso, vedi Fase 1: Creare un IAM ruolo.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Informazioni aggiuntive

Per ulteriori informazioni sul componente aggiuntivo, consultaArchivia un file system elastico con Amazon EFS.

Mountpointper Amazon S3 Driver CSI

Il EKS componente aggiuntivo Amazon Mountpoint per Amazon S3 CSI Driver è un plug-in Kubernetes Container Storage Interface (CSI) che fornisce storage Amazon S3 per il tuo cluster.

Il nome del EKS componente aggiuntivo Amazon èaws-mountpoint-s3-csi-driver.

Autorizzazioni richieste IAM

Questo componente aggiuntivo utilizza i IAMruoli per la funzionalità degli account di servizio di AmazonEKS. Il IAM ruolo creato richiederà una policy che dia accesso a S3. Segui i consigli sulle Mountpoint IAM autorizzazioni durante la creazione della policy. In alternativa, puoi utilizzare la politica AWS gestita AmazonS3FullAccess, ma questa politica gestita concede più autorizzazioni di quelle per cui sono necessarie. Mountpoint

Puoi creare un IAM ruolo e allegare la tua politica con i seguenti comandi. Replace (Sostituisci) my-cluster con il nome del tuo cluster, region-code con il Regione AWS codice corretto, AmazonEKS_S3_CSI_DriverRole con il nome del ruolo che ricopri, e AmazonEKS_S3_CSI_DriverRole_ARN con il ruoloARN. Questi comandi richiedono l'installazione di eksctl sul tuo dispositivo. Per istruzioni sull'uso della IAM console oppure AWS CLI, consultaCreare un ruolo IAM..

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

Informazioni aggiuntive

Per ulteriori informazioni sul componente aggiuntivo, consultaAccedi agli oggetti Amazon S3 con il driver Mountpoint per Amazon S3 CSI.

CSIcontroller snapshot

Il controller snapshot Container Storage Interface (CSI) consente l'uso della funzionalità snapshot in CSI driver compatibili, come il driver Amazon EBSCSI.

Il nome del EKS componente aggiuntivo Amazon èsnapshot-controller.

Autorizzazioni richieste IAM

Questo componente aggiuntivo non richiede alcuna autorizzazione.

Informazioni aggiuntive

Per ulteriori informazioni sul componente aggiuntivo, consulta. Abilita la funzionalità snapshot per i volumi CSI

AWS Distro per OpenTelemetry

Il EKS componente aggiuntivo AWS Distro for OpenTelemetry Amazon è una distribuzione del progetto sicura, pronta per la produzione e AWS supportata. OpenTelemetry Per ulteriori informazioni, consulta AWS Distro for on. OpenTelemetry GitHub

Il nome del EKS componente aggiuntivo Amazon èadot.

Autorizzazioni richieste IAM

Questo componente aggiuntivo richiede IAM le autorizzazioni solo se utilizzi una delle risorse personalizzate preconfigurate a cui è possibile accedere tramite la configurazione avanzata.

Informazioni aggiuntive

Per ulteriori informazioni, consulta la sezione Guida introduttiva a AWS Distro per l'OpenTelemetryutilizzo dei EKS componenti aggiuntivi nella distribuzione per la documentazione. AWS OpenTelemetry

ADOTrichiede che cert-manager sia distribuito sul cluster come prerequisito, altrimenti questo componente aggiuntivo non funzionerà se distribuito direttamente utilizzando la proprietà Amazon Terraform. EKS cluster_addons Per ulteriori requisiti, consulta Requisiti per iniziare a usare AWS Distro per l'OpenTelemetryutilizzo di EKS componenti aggiuntivi nella distribuzione per la documentazione. AWS OpenTelemetry

Amazon GuardDuty agente

L' Amazon GuardDuty agente Amazon EKS Add-on è un servizio di monitoraggio della sicurezza che analizza ed elabora le fonti di dati fondamentali, inclusi gli eventi di AWS CloudTrail gestione e i log di flusso di AmazonVPC. Amazon elabora GuardDuty anche funzionalità, come i registri Kubernetes di controllo e il monitoraggio del runtime.

Il nome del EKS componente aggiuntivo Amazon èaws-guardduty-agent.

Autorizzazioni richieste IAM

Questo componente aggiuntivo non richiede alcuna autorizzazione.

Informazioni aggiuntive

Per ulteriori informazioni, consulta Runtime Monitoring for Amazon EKS clusters in Amazon GuardDuty.

• Per rilevare potenziali minacce alla sicurezza nei tuoi EKS cluster Amazon, abilita il monitoraggio del GuardDuty runtime di Amazon e distribuisci il GuardDuty security agent nei tuoi cluster AmazonEKS.

Agente Amazon CloudWatch Observability

L'agente Amazon CloudWatch Observability Amazon è il EKS componente aggiuntivo del servizio di monitoraggio e osservabilità fornito da. AWS Questo componente aggiuntivo installa l' CloudWatch agente e abilita sia CloudWatch Application Signals che CloudWatch Container Insights con una migliore osservabilità per Amazon. EKS Per ulteriori informazioni, consulta Amazon CloudWatch Agent.

Il nome del EKS componente aggiuntivo Amazon èamazon-cloudwatch-observability.

Autorizzazioni richieste IAM

Questo componente aggiuntivo utilizza i IAMruoli per la funzionalità degli account di servizio di AmazonEKS. Le autorizzazioni contenute nelle politiche AWSXrayWriteOnlyAccessCloudWatchAgentServerPolicy AWS gestite sono obbligatorie. È possibile creare un IAM ruolo, allegare le politiche gestite e annotare l'account di Kubernetes servizio utilizzato dal componente aggiuntivo con il seguente comando. Sostituisci my-cluster con il nome del cluster e AmazonEKS_Observability_role con il nome del ruolo. Questo comando richiede che eksctl sia installato sul tuo dispositivo. Se devi utilizzare uno strumento diverso per creare il ruolo, collegarvi la policy e prendere nota dell'account del servizio Kubernetes, consulta la pagina Assegnazione di IAM ruoli agli account di Kubernetes servizio.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

Informazioni aggiuntive

Per ulteriori informazioni, consulta Installare l' CloudWatch agente.

EKSPod Identity Agent

Il EKS componente aggiuntivo Amazon EKS Pod Identity Agent Amazon offre la possibilità di gestire le credenziali per le applicazioni, in modo simile al modo in cui i profili di EC2 istanza forniscono le credenziali alle istanze. EC2

Il nome del EKS componente aggiuntivo Amazon èeks-pod-identity-agent.

Autorizzazioni richieste IAM

Questo componente aggiuntivo utilizza le autorizzazioni di. Ruolo IAM del nodo Amazon EKS

Aggiorna le informazioni

Puoi aggiornare solo una versione secondaria alla volta. Ad esempio, se la versione corrente è 1.28.x-eksbuild.y e desideri aggiornarla a 1.30.x-eksbuild.y, devi prima eseguire l'aggiornamento a 1.29.x-eksbuild.y e quindi l'aggiornamento a 1.30.x-eksbuild.y. Per ulteriori informazioni sull'aggiornamento del componente aggiuntivo, consulta Aggiornamento del EKS componente aggiuntivo Amazon VPC CNI plugin for Kubernetes Amazon.