このページの改善にご協力ください
本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。
AWS アドオン
以下の アマゾン EKS アドオンをクラスターで作成できます。eksctl、AWS Management Console、または AWS CLI を使用して、使用可能なアドオンの最新リストを表示できます。使用可能なすべてのアドオンを確認したり、アドオンをインストールしたりするにはアマゾン EKS アドオンを作成する を参照してください。アドオンが IAM アクセス権限を要求する場合、クラスター用に IAM OpenID Connect (OIDC) プロバイダーが必要です。既に存在しているかどうかを確認する、または作成するには「クラスターの IAM OIDC プロバイダーを作成する」を参照してください。アドオンはインストール後に、作成または削除できます。詳細については「アマゾン EKS アドオンを更新する」または「クラスターから アマゾン EKS アドオンを削除する」を参照してください。アマゾン EKS ハイブリッドノード で EKS アドオンを実行する際の考慮事項の詳細については「ハイブリッドノードのアドオンを構成する」を参照してください。
次の アマゾン EKS アドオンのいずれかを使用できます。
| 説明 | 詳細はこちら | 互換性のあるコンピューティングタイプ |
|---|---|---|
|
クラスターのためにネイティブ VPC ネットワークを提供する |
EC2 |
|
|
Kubernetes クラスター DNS として機能できる柔軟で拡張可能な DNS サーバー |
EC2、Fargate、EKS 自動モード、アマゾン EKS ハイブリッドノード |
|
|
各 アマゾン EC2 ノードのネットワークルールを管理する |
EC2、アマゾン EKS ハイブリッドノード |
|
|
クラスターのために アマゾン EBS ストレージを提供する |
EC2 |
|
|
クラスターのために アマゾン EFS ストレージを提供する |
EC2、EKS 自動モード |
|
|
クラスターのために アマゾン S3 ストレージを提供する |
EC2、EKS 自動モード |
|
|
追加ノードのヘルス問題を検出する |
EC2 |
|
|
アマゾン EBS CSI ドライバーなどの互換性のある CSI ドライバーでスナップショット機能の使用を有効にする |
EC2、Fargate、EKS 自動モード、アマゾン EKS ハイブリッドノード |
|
|
SageMaker HyperPod タスクガバナンスはAmazon EKS クラスター内のチーム間のコンピューティングリソースの割り当てと使用状況を最適化し、タスクの優先順位付けとリソース共有の非効率性に対処します。 |
EC2、EKS 自動モード |
|
|
ネットワークフローデータを収集して Amazon CloudWatch に報告する Kubernetes エージェント。クラスターノード間の TCP 接続を包括的にモニタリングできます。 |
EC2、EKS 自動モード |
|
|
オープンテレメトリー プロジェクトの、安全かつ本番に対応した、AWS によってサポートされているディストリビューション |
EC2、Fargate、EKS 自動モード、アマゾン EKS ハイブリッドノード |
|
|
AWS CloudTrail 管理イベントや アマゾン VPC フローログなどの基本的なデータソースを分析および処理するセキュリティモニタリングサービス。アマゾン ガードデューティ はKubernetes 監査ログやランタイムモニタリングなどの機能も処理します |
EC2、EKS 自動モード |
|
|
AWS によって提供されるモニタリングおよびオブザーバビリティサービス。このアドオンは CloudWatch エージェントをインストールし、アマゾン EKS のオブザーバビリティが強化された CloudWatch アプリケーションシグナルと CloudWatch コンテナインサイトの両方を有効にします |
EC2、EKS 自動モード、アマゾン EKS ハイブリッドノード |
|
|
EC2 インスタンスプロファイルから EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能。 |
EC2、アマゾン EKS ハイブリッドノード |
アマゾン VPC CNI Kubernetes用プラグイン
Amazon VPC CNI plugin for Kubernetes アマゾン EKS アドオンはクラスターにネイティブ VPC ネットワークを提供する Kubernetes コンテナネットワークインターフェイス (CNI) プラグインです。このアドオンのセルフマネージドタイプまたはマネージドタイプが、デフォルトで各 アマゾン EC2 ノードにインストールされます。詳細については「Kubernetesコンテナネットワークインターフェース(CNI)プラグイン
注記
このアドオンを アマゾン EKS 自動モード クラスターにインストールする必要はありません。詳細については「アマゾン EKS 自動モードl の考慮事項」を参照してください。
アマゾン EKS アドオン名は vpc-cni です。
必要な IAM 許可
このアドオンはアマゾン EKS のサービスアカウント用の IAM 役割機能を使用します。詳細については「サービスアカウントの IAM ロール」を参照してください。
クラスターが IPv4 ファミリーを使用する場合はアマゾンEKS_CNI_Policy のアクセス権限が必要です。クラスターが IPv6 ファミリーを使用する場合はIPv6 モード
マイクラスター をクラスターの名前に置き換え、アマゾンEKSVPCCNIRole を役割の名前に置き換えます。クラスターが IPv6 ファミリを使用する場合はアマゾンEKS_CNI_Policy を作成したポリシーの名前に置き換えてください。このコマンドを使用するにはデバイスに eksctl
eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \ --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve
情報を更新する
一度に更新できるマイナーバージョンは 1 つのみです。例えば、現在のバージョンが 1.28. で、これを x-eksbuild.y
1.30. に更新する場合は現在のバージョンを x-eksbuild.y
1.29. に更新してから、再度 x-eksbuild.y
1.30. に更新する必要があります。アドオンの更新の詳細については「Amazon VPC CNI を更新する (Amazon EKS アドオン)」を参照してください。x-eksbuild.y
CoreDNS
CoreDNS アマゾン EKS アドオンはKubernetes クラスター DNS として機能できる柔軟で拡張可能な DNS サーバーです。このアドオンのセルフマネージドタイプまたはマネージドタイプが、クラスターの作成時にデフォルトでインストールされました。1 つ以上のノードで アマゾン EKS クラスターを起動すると、クラスターにデプロイされたノード数に関係なく、デフォルトで CoreDNS イメージの 2 つのレプリカがデプロイされます。CoreDNS の Pods はクラスター内のすべての Pods の名前解決を行います。クラスターに Fargate プロファイルが含まれ、名前空間が CoreDNS デプロイの名前空間と一致している場合、CoreDNS Pods を Fargate ノードにデプロイできます。詳細については「起動時にどの Pods が AWS Fargate を使用するのかを定義する」を参照してください。
注記
このアドオンを アマゾン EKS 自動モード クラスターにインストールする必要はありません。詳細については「アマゾン EKS 自動モードl の考慮事項」を参照してください。
アマゾン EKS アドオン名は coredns です。
必要な IAM 許可
このアドオンには許可は必要ありません。
追加情報
CoreDNS の詳細についてはKubernetes ドキュメントの「サービス・ディスカバリーにCoreDNSを使用する
Kube-proxy
Kube-proxy アマゾン EKS アドオンは各 アマゾン EC2 ノードのネットワークルールを維持します。これにより、Pods とのネットワーク通信が可能になります。このアドオンのセルフマネージドタイプまたはマネージドタイプが、デフォルトでクラスター内の各 アマゾン EC2 ノードにインストールされます。
注記
このアドオンを アマゾン EKS 自動モード クラスターにインストールする必要はありません。詳細については「アマゾン EKS 自動モードl の考慮事項」を参照してください。
アマゾン EKS アドオン名は kube-proxy です。
必要な IAM 許可
このアドオンには許可は必要ありません。
情報を更新する
現在のバージョンを更新する前に、次の要件を考慮してください:
-
アマゾン EKS クラスターの
Kube-proxyはKubernetes と同じ互換性およびスキューポリシーが適用されます。
追加情報
kube-proxy の詳細についてはKubernetes ドキュメントの「kube-proxy
アマゾン EBS CSI ドライバー
アマゾン EBS CSI ドライバー アマゾン EKS アドオンはクラスターのために アマゾン EBS ストレージを提供する Kubernetes コンテナ・ストレージ・インターフェース (CSI) プラグインです。
注記
このアドオンを アマゾン EKS 自動モード クラスターにインストールする必要はありません。自動モード にはブロックストレージ機能があります。詳細については「ステートフルワークロードのサンプルを EKS Auto Mode にデプロイする」を参照してください。
アマゾン EKS アドオン名は aws-ebs-csi-driver です。
必要な IAM 許可
このアドオンはアマゾン EKS のサービスアカウント用の IAM 役割機能を使用します。詳細については「サービスアカウントの IAM ロール」を参照してください。アマゾンEBSCSIドライバーポリシー AWS マネージドポリシーの許可が必要です。次のコマンドで IAM 役割を作成して、それにマネージドポリシーをアタッチできます。マイクラスター をクラスターの名前に置き換え、アマゾンEKS_EBS_CSI_DriverRole を役割の名前に置き換えます。このコマンドを使用するにはデバイスに eksctl
eksctl create iamserviceaccount \ --name ebs-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \ --approve
追加情報
アドオンの詳細については「Amazon EBS を利用して Kubernetes ボリュームを保存する」を参照してください。
アマゾン EFS CSI ドライバー
アマゾン EFS CSI ドライバー アマゾン EKS アドオンはクラスターのために アマゾン EFS ストレージを提供する Kubernetes コンテナ・ストレージ・インターフェース (CSI) プラグインです。
アマゾン EKS アドオン名は aws-efs-csi-driver です。
必要な IAM 許可
必要な IAM アクセス権限 — このアドオンは アマゾン EKS の サービスアカウントの IAM 役割機能を利用します。詳細については「サービスアカウントの IAM ロール」を参照してください。アマゾンEFSCSIドライバーポリシー AWS マネージドポリシーの許可が必要です。次のコマンドで IAM 役割を作成して、その役割にマネージドポリシーをアタッチできます。マイクラスター をクラスターの名前に置き換え、アマゾンEKS_EFS_CSI_DriverRole を役割の名前に置き換えます。これらのコマンドを使用するにはデバイスに eksctl
export cluster_name=my-cluster export role_name=AmazonEKS_EFS_CSI_DriverRole eksctl create iamserviceaccount \ --name efs-csi-controller-sa \ --namespace kube-system \ --cluster $cluster_name \ --role-name $role_name \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \ --approve TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \ sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/') aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
追加情報
アドオンの詳細については「Amazon EFS で伸縮自在なファイルシステムを保存する」を参照してください。
Mountpoint for アマゾン S3 CSI ドライバー
Mountpoint for アマゾン S3 CSI ドライバー アマゾン EKS アドオンはクラスターのために アマゾン S3 ストレージを提供する Kubernetes コンテナ・ストレージ・インターフェース (CSI) プラグインです。
アマゾン EKS アドオン名は aws-mountpoint-s3-csi-driver です。
必要な IAM 許可
このアドオンはアマゾン EKS のサービスアカウント用の IAM 役割機能を使用します。詳細については「サービスアカウントの IAM ロール」を参照してください。
作成される IAM 役割には S3 へのアクセスを許可するポリシーが必要です。ポリシーを作成するときはMountpoint IAM アクセス許可の推奨事項
次のコマンドで IAM 役割を作成して、その役割にマネージドポリシーをアタッチできます。マイクラスター をクラスターの名前に、地域コード を正しい AWS リージョンコードに、アマゾンEKS_S3_CSI_DriverRole を役割の名前に、アマゾンEKS_S3_CSI_DriverRole_ARN を役割 ARN に置き換えます。これらのコマンドを使用するにはデバイスに eksctl
CLUSTER_NAME=my-cluster REGION=region-code ROLE_NAME=AmazonEKS_S3_CSI_DriverRole POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN eksctl create iamserviceaccount \ --name s3-csi-driver-sa \ --namespace kube-system \ --cluster $CLUSTER_NAME \ --attach-policy-arn $POLICY_ARN \ --approve \ --role-name $ROLE_NAME \ --region $REGION \ --role-only
追加情報
アドオンの詳細については「Mountpoint for Amazon S3 CSI ドライバーを使用して Amazon S3 オブジェクトにアクセスする」を参照してください。
CSI スナップショットコントローラー
コンテナ・ストレージ・インターフェース (CSI) スナップショットコントローラーを使用すると、アマゾン EBS CSI ドライバーなどの互換性のある CSI ドライバーのスナップショット機能を使用できます。
アマゾン EKS アドオン名は snapshot-controller です。
必要な IAM 許可
このアドオンには許可は必要ありません。
追加情報
アドオンの詳細については「CSI ボリュームのためにスナップショット機能を有効にする」を参照してください。
Amazon SageMaker HyperPod タスクガバナンス
SageMaker HyperPod タスクガバナンスはリソースの割り当てを合理化し、Amazon EKS クラスターのチームやプロジェクト全体でコンピューティングリソースを効率的に活用できるように設計されています。これにより、管理者は次の設定を行うことができます。
-
さまざまなタスクの優先度
-
各チームのコンピューティング割り当て
-
各チームがアイドル状態のコンピューティングリソースを貸し借りする方法
-
チームが自らのタスクを先取りした場合
HyperPod タスクガバナンスは Amazon EKS クラスターオブザーバビリティも提供し、クラスター容量をリアルタイムで可視化します。これにはコンピューティングの可用性と使用状況、チームの割り当てと使用状況、タスクの実行と待機時間に関する情報が含まれ、情報に基づいた意思決定とプロアクティブなリソース管理のための設定を行います。
アマゾン EKS アドオン名は amazon-sagemaker-hyperpod-taskgovernance です。
必要な IAM 許可
このアドオンには許可は必要ありません。
追加情報
アドオンの詳細についてはSageMaker HyperPod タスクガバナンス」を参照してください。
ネットワーク・フロー・モニター の AWS
Amazon CloudWatch ネットワーク・フロー・モニター エージェントはクラスター内のすべてのノードから TCP 接続統計を収集し、ネットワークフローレポートを Amazon CloudWatch ネットワーク・フロー・モニター 摂取 APIs。
アマゾン EKS アドオン名は aws-network-flow-monitoring-agent です。
必要な IAM 許可
このアドオンには IAM 権限が必要です。
アドオンに CloudWatchNetworkFlowMonitorAgentPublishPolicy 管理ポリシーを添付する必要があります。
必要な IAM セットアップの詳細についてはアマゾン CloudWatch ネットワーク・フロー・モニター エージェント GitHub リポジトリの「IAM ポリシー
管理ポリシーの詳細については、Amazon CloudWatch ユーザーガイドの CloudWatchNetworkFlowMonitorAgentPublishPolicy を参照してください。
追加情報
アドオンの詳細についてはAmazon CloudWatch ネットワーク・フロー・モニター エージェント GitHub リポジトリ
ノードモニタリングエージェント
ノードモニタリングエージェントの アマゾン EKS アドオンは追加ノードヘルスの問題を検出できます。これらの追加のヘルスシグナルはオプションのノード自動修復機能でも活用でき、必要に応じてノードを自動的に置き換えることができます。
注記
このアドオンを アマゾン EKS 自動モード クラスターにインストールする必要はありません。詳細については「アマゾン EKS 自動モードl の考慮事項」を参照してください。
アマゾン EKS アドオン名は eks-node-monitoring-agent です。
必要な IAM 許可
このアドオンに追加の許可は必要ありません。
追加情報
詳細については「ノードの自動修復を有効にし、ノードのヘルス問題を調査する」を参照してください。
AWS オープンテレメトリー用ディストロ
AWS オープンテレメトリー用ディストロ アマゾン EKS アドオンは安全な本番環境対応の、AWS によってサポートされている オープンテレメトリー プロジェクトのディストリビューションです。詳細についてはGitHub で「AWS オープンテレメトリー用ディストロ
アマゾン EKS アドオン名は adot です。
必要な IAM 許可
このアドオンには詳細設定でオプトインできる事前設定されたカスタムリソースの 1 つを使用している場合のみ IAM 許可が必要です。
追加情報
詳細についてはドキュメントAWS 用ディストロ OpenTelemetry の「EKS アドオンを使用した AWS オープンテレメトリー用ディストロ の開始方法
ADOT では前提条件として cert-manager がクラスターにデプロイされている必要があります。そうでなければ、https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latestcluster_addons プロパティを使用して直接デプロイした場合、このアドオンは機能しません。その他の要件についてはドキュメントAWS 用ディストロ OpenTelemetry の「EKS アドオンを使用した AWS オープンテレメトリー用ディストロ を始めるための要件
アマゾン ガードデューティ エージェント
アマゾン ガードデューティ エージェントの アマゾン EKS アドオンはAWS CloudTrail 管理イベントや アマゾン VPC フローログなどの基本的なデータソースを分析および処理するセキュリティモニタリングサービスです。アマゾン ガードデューティ はKubernetes 監査ログやランタイムモニタリングなどの機能も処理します。
アマゾン EKS アドオン名は aws-guardduty-agent です。
必要な IAM 許可
このアドオンには許可は必要ありません。
追加情報
詳細については「アマゾンガードデューティにおけるアマゾン EKSクラスタのランタイム・モニタリング」を参照してください。
-
アマゾン EKS クラスターで潜在的なセキュリティの脅威を検出するにはアマゾン ガードデューティ ランタイムモニタリングを有効にし、ガードデューティ セキュリティエージェントを アマゾン EKS クラスターにデプロイします。
アマゾン CloudWatch 観測可能エージェント
アマゾン CloudWatch 観測可能エージェント アマゾン EKS アドオンはAWS が提供するモニタリングおよびオブザーバビリティサービスです。このアドオンは CloudWatch エージェントをインストールし、アマゾン EKS のオブザーバビリティが強化された CloudWatch アプリケーションシグナルと CloudWatch コンテナインサイトの両方を有効にします。詳細については「アマゾン CloudWatch エージェント」を参照してください。
アマゾン EKS アドオン名は amazon-cloudwatch-observability です。
必要な IAM 許可
このアドオンはアマゾン EKS のサービスアカウント用の IAM 役割機能を使用します。詳細については「サービスアカウントの IAM ロール」を参照してください。AWSXrayWriteOnlyAccessマイクラスター をクラスターの名前に置き換え、アマゾンEKS_Observability_role を役割の名前に置き換えます。このコマンドを使用するにはデバイスに eksctl
eksctl create iamserviceaccount \ --name cloudwatch-agent \ --namespace amazon-cloudwatch \ --cluster my-cluster \ --role-name AmazonEKS_Observability_Role \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \ --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \ --approve
追加情報
詳細については「CloudWatch エージェントのインストール」を参照してください。
EKS Pod Identity エージェント
アマゾン EKS ポッド・アイデンティティー Agent アマゾン EKS アドオンはEC2 インスタンスプロファイルから EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能を提供します。
注記
このアドオンを アマゾン EKS 自動モード クラスターにインストールする必要はありません。アマゾン EKS 自動モード は EKS ポッド・アイデンティティー と統合されています。詳細については「アマゾン EKS 自動モードl の考慮事項」を参照してください。
アマゾン EKS アドオン名は eks-pod-identity-agent です。
必要な IAM 許可
Amazon EKS ノード IAM 役割からのこのアドオンユーザーのアクセス許可。
情報を更新する
一度に更新できるマイナーバージョンは 1 つのみです。例えば、現在のバージョンが 1.28.x-eksbuild.y で、これを 1.30.x-eksbuild.y に更新する場合は現在のバージョンを 1.29.x-eksbuild.y に更新してから、再度 1.30.x-eksbuild.y に更新する必要があります。アドオンの更新の詳細については「Amazon VPC CNI を更新する (Amazon EKS アドオン)」を参照してください。
