Complementos do Amazon EKS disponíveis da AWS - Amazon EKS
Amazon VPC CNI plugin for KubernetesCoreDNSKube-proxyDriver da CSI do Amazon EBSDriver da CSI do Amazon EFSMountpoint para driver da CSI do Amazon S3Controlador de snapshots da CSIAWS Distro para OpenTelemetryagente do Amazon GuardDutyAgente do Amazon CloudWatch ObservabilityEKS Pod Identity Agent

Ajudar a melhorar esta página

Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.

Complementos do Amazon EKS disponíveis da AWS

Os complementos do Amazon EKS a seguir estão disponíveis para serem criados no seu cluster. Sempre é possível ver a lista mais atual de complementos disponíveis usando eksctl, o AWS Management Console ou a AWS CLI. Para ver todos os complementos disponíveis ou instalar um complemento, consulte Criar um complemento do Amazon EKS. Se um complemento precisar de permissões do IAM, você deve ter um provedor do IAM OpenID Connect (OIDC) para seu cluster. Para determinar se você já tem um ou se precisa criar um, consulte Criar um provedor OIDC do IAM para o cluster. Você pode atualizar ou excluir um complemento após instalá-lo.

É possível usar qualquer um dos complementos do Amazon EKS a seguir.

Descrição Saiba mais

Fornecer uma rede VPC nativa para seu cluster

 Amazon VPC CNI plugin for Kubernetes

Um servidor DNS flexível e extensível que pode servir como o DNS de cluster do Kubernetes

 CoreDNS
Manter as regras de rede em cada nó do Amazon EC2 Kube-proxy
Fornecer armazenamento do Amazon EBS para seu cluster Driver da CSI do Amazon EBS
Fornecer armazenamento do Amazon EFS para seu cluster Driver da CSI do Amazon EFS
Fornecer armazenamento do Amazon S3 para seu cluster Mountpoint para driver da CSI do Amazon S3
Habilite o uso da funcionalidade de captura de snapshots em drivers da CSI compatíveis, como o driver da CSI do Amazon EBS Controlador de snapshots da CSI
Distribuição do projeto OpenTelemetry segura, pronta para produção e com suporte da AWS AWS Distro para OpenTelemetry
Serviço de monitoramento de segurança que analisa e processa fontes de dados básicas, incluindo eventos de gerenciamento do AWS CloudTrail e logs de fluxo da Amazon VPC. O Amazon GuardDuty também processa recursos como logs de auditoria do Kubernetes e monitoramento de runtime agente do Amazon GuardDuty
Serviço de monitoramento e observabilidade fornecido pela AWS. Esse complemento instala o CloudWatch Agent e habilita o CloudWatch Application Signals e o CloudWatch Container Insights com observabilidade aprimorada para o Amazon EKS Agente do Amazon CloudWatch Observability
Capacidade de gerenciar credenciais para suas aplicações de forma semelhante a como os perfis de instância do EC2 fornecem credenciais para instâncias do EC2 EKS Pod Identity Agent

Amazon VPC CNI plugin for Kubernetes

O complemento Amazon VPC CNI plugin for Kubernetes do Amazon EKS é um plug-in de Container Network Interface (CNI) do Kubernetes que fornece rede VPC nativa para seu cluster. O tipo autogerenciado ou gerenciado desse complemento é instalado por padrão em cada nó do Amazon EC2. Para obter mais informações, consulte Plug-in de Container Network Interface (CNI) do Kubernetes.

O nome do complemento do Amazon EKS é vpc-cni.

Permissões obrigatórias do IAM

Este complemento usa o recurso de perfis do IAM para contas de serviço do Amazon EKS. Se seu cluster usar a família IPv4, é necessário ter as permissões na AmazonEKS_CNI_Policy. Se o seu cluster utilizar a família IPv6, é necessário criar uma política do IAM com as permissões no modo IPv6. Você pode criar um perfil do IAM, anexar uma das políticas a ele e anotar a conta de serviço do Kubernetes usada pelo complemento com o comando a seguir.

Substitua my-cluster pelo nome do seu cluster e substitua AmazonEKSVPCCNIRole pelo nome desejado para o seu perfil. Se seu cluster usar a família IPv6, substitua AmazonEKS_CNI_Policy pelo nome da política que você criou. Esse comando requer que você tenha o eksctl instalado no dispositivo. Se você precisar usar uma ferramenta diferente para criar o perfil, anexar a política a ele e anotar na conta de serviço do Kubernetes, consulte Atribuir perfis do IAM às contas de serviço do Kubernetes.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

Informações sobre a atualização

Você só pode atualizar uma versão secundária de cada vez. Por exemplo, se a versão atual for 1.28.x-eksbuild.y e você quiser atualizar para 1.30.x-eksbuild.y, será necessário atualizar sua versão atual para 1.29.x-eksbuild.y e depois atualizá-la novamente para a versão 1.30.x-eksbuild.y. Para obter mais informações sobre como atualizar o complemento, consulte Atualizar o complemento Amazon VPC CNI plugin for Kubernetes do Amazon EKS.

CoreDNS

O complemento CoreDNS do Amazon EKS é um servidor DNS flexível e extensível que pode servir como DNS de cluster do Kubernetes. Por padrão, o tipo autogerenciado ou gerenciado desse complemento foi instalado quando você criou seu cluster. Quando você executa um cluster do Amazon EKS com pelo menos um nó, duas réplicas da imagem do CoreDNS são implantadas por padrão, independentemente do número de nós implantados em seu cluster. Os CoreDNS Pods fornecem resolução de nomes para todos os Pods no cluster. É possível implantar os Pods do CoreDNS em nós do Fargate se o seu cluster incluir um Defina quais Pods usarão o AWS Fargate quando em execução com um namespace correspondente ao namespace para a deployment do CoreDNS.

O nome do complemento do Amazon EKS é coredns.

Permissões obrigatórias do IAM

Este complemento não exige nenhuma permissão.

Mais informações

Para saber mais sobre o CoreDNS, consulte Usar o CoreDNS para descoberta de serviços e Personalizar o serviço de DNS na documentação do Kubernetes.

Kube-proxy

O complemento Kube-proxy do Amazon EKS mantém as regras de rede em cada nó do Amazon EC2. Esse componente viabiliza a comunicação de rede com seus Pods. O tipo autogerenciado ou gerenciado desse complemento é instalado por padrão em cada nó do Amazon EC2 em seu cluster.

O nome do complemento do Amazon EKS é kube-proxy.

Permissões obrigatórias do IAM

Este complemento não exige nenhuma permissão.

Informações sobre a atualização

Antes de atualizar sua versão atual, considere os seguintes requisitos:

Mais informações

Para saber mais sobre o kube-proxy, consulte kube-proxy na documentação do Kubernetes.

Driver da CSI do Amazon EBS

O complemento de driver da CSI do Amazon EBS do Amazon EKS é um plug-in de Container Storage Interface (CSI) do Kubernetes que fornece armazenamento do Amazon EBS para o cluster.

O nome do complemento do Amazon EKS é aws-ebs-csi-driver.

Permissões obrigatórias do IAM

Este complemento utiliza o recurso de perfis do IAM para contas de serviço do Amazon EKS. As permissões na AmazonEBSCSIDriverPolicyAWS política gerenciada são obrigatórias. Você pode criar um perfil do IAM e anexar a política gerenciada a ela com o seguinte comando. Substitua my-cluster pelo nome do seu cluster e substitua AmazonEKS_EBS_CSI_DriverRole pelo nome desejado para o seu perfil. Esse comando requer que você tenha o eksctl instalado no dispositivo. Se você precisar usar uma ferramenta diferente ou precisar usar uma chave KMS personalizada para criptografia, consulte Etapa 1: Criar uma função do IAM.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

Mais informações

Para saber mais a respeito do complemento, consulte Armazene volumes do Kubernetes com o Amazon EBS.

Driver da CSI do Amazon EFS

O complemento de driver da CSI do Amazon EFS do Amazon EKS é um plug-in de Container Storage Interface (CSI) do Kubernetes que fornece armazenamento do Amazon EFS para o cluster.

O nome do complemento do Amazon EKS é aws-efs-csi-driver.

Permissões obrigatórias do IAM

Permissões necessárias do IAM: este complemento utiliza perfis do IAM para recursos de contas de serviço do Amazon EKS. As permissões na AmazonEFSCSIDriverPolicyAWS política gerenciada são obrigatórias. Você pode criar um perfil do IAM e anexar a política gerenciada a ele com o seguinte comando. Substitua my-cluster pelo nome do seu cluster e substitua AmazonEKS_EFS_CSI_DriverRole pelo nome desejado para o seu perfil. Esse comando requer que o eksctl esteja instalado no seu dispositivo. Se precisar usar outra ferramenta, consulte Etapa 1: Criar uma função do IAM.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Mais informações

Para saber mais a respeito do complemento, consulte Armazenar um sistema de arquivos elástico com o Amazon EFS.

Mountpoint para driver da CSI do Amazon S3

O complemento de driver da CSI do Mountpoint para Amazon S3 do Amazon EKS é um plug-in de Container Storage Interface (CSI) do Kubernetes que fornece armazenamento do Amazon S3 para o cluster.

O nome do complemento do Amazon EKS é aws-mountpoint-s3-csi-driver.

Permissões obrigatórias do IAM

Este complemento usa o recurso de perfis do IAM para contas de serviço do Amazon EKS. O perfil do IAM criado exigirá uma política que conceda acesso ao S3. Siga as recomendações de permissões do IAM do Mountpoint ao criar a política. Como alternativa, é possível usar a política AmazonS3FullAccess gerenciada pela AWS, mas essa política gerenciada concede mais permissões do que as necessárias para o Mountpoint.

Você pode criar um perfil do IAM e anexar a política gerenciada a ele com os comandos a seguir. Substitua my-cluster pelo nome do seu cluster, region-code pelo código da Região da AWS correta, AmazonEKS_S3_CSI_DriverRole pelo nome do seu perfil e AmazonEKS_S3_CSI_DriverRole_ARN pelo ARN do perfil. Esse comando requer que o eksctl esteja instalado no seu dispositivo. Para obter instruções sobre como usar o console do IAM ou AWS CLI, consulte Criar um perfil do IAM.

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

Mais informações

Para saber mais a respeito do complemento, consulte Acessar objetos do Amazon S3 com o driver CSI do Mountpoint para Amazon S3.

Controlador de snapshots da CSI

O controlador de snapshots da Container Storage Interface (CSI) permite utilizar a funcionalidade de captura de snapshots em drivers da CSI compatíveis, como o driver da CSI do Amazon EBS.

O nome do complemento do Amazon EKS é snapshot-controller.

Permissões obrigatórias do IAM

Este complemento não exige nenhuma permissão.

Mais informações

Para saber mais a respeito do complemento, consulte Habilitar a funcionalidade de snapshot para volumes CSI.

AWS Distro para OpenTelemetry

O complemento AWS Distro for OpenTelemetry do Amazon EKS uma distribuição segura, pronta para produção e com suporte da AWS do projeto OpenTelemetry. Para obter mais informações, consulte AWS Distro for OpenTelemetry no GitHub.

O nome do complemento do Amazon EKS é adot.

Permissões obrigatórias do IAM

Esse complemento só exigirá permissões do IAM se você estiver usando um dos recursos personalizados pré-configurados que podem ser recusados na configuração avançada.

Mais informações

Para obter informações adicionais, consulte Conceitos básicos do AWS Distro para OpenTelemetry usando complementos do EKS na documentação do AWS Distro para OpenTelemetry.

O ADOT exige que o cert-manager seja implantado no cluster como um pré-requisito, caso contrário, esse complemento não funcionará se implantado diretamente usando a propriedade cluster_addons do Amazon EKS Terraform. Para obter mais requisitos, consulte Requisitos para começar a usar o AWS Distro para OpenTelemetry usando complementos do EKS na documentação do AWS Distro para OpenTelemetry.

agente do Amazon GuardDuty

O complemento de agente do Amazon GuardDuty do Amazon EKS é um serviço de monitoramento de segurança que analisa e processa fontes de dados básicas, incluindo eventos de gerenciamento do AWS CloudTrail e logs de fluxo da Amazon VPC. O Amazon GuardDuty também processa recursos, como logs de auditoria do Kubernetes e monitoramentos de runtime.

O nome do complemento do Amazon EKS é aws-guardduty-agent.

Permissões obrigatórias do IAM

Este complemento não exige nenhuma permissão.

Mais informações

Para obter mais informações, consulte Monitoramento do runtime para clusters do Amazon EKS no Amazon GuardDuty.

  • Para detectar possíveis ameaças de segurança em seus clusters do Amazon EKS, habilite o monitoramento de runtime do Amazon GuardDuty e implante o agente de segurança do GuardDuty em seus clusters do Amazon EKS.

Agente do Amazon CloudWatch Observability

O complemento de agente do Amazon CloudWatch Observability do Amazon EKS aprimora o serviço de monitoramento e observabilidade fornecido pela AWS. Esse complemento instala o CloudWatch Agent e habilita o CloudWatch Application Signals e o CloudWatch Container Insights com observabilidade aprimorada para o Amazon EKS. Para obter mais informações, consulte Agente do Amazon CloudWatch.

O nome do complemento do Amazon EKS é amazon-cloudwatch-observability.

Permissões obrigatórias do IAM

Este complemento usa o recurso de perfis do IAM para contas de serviço do Amazon EKS. As permissões nas políticas gerenciadas pela AWS AWSXrayWriteOnlyAccess e CloudWatchAgentServerPolicy são necessárias. Você pode criar um perfil do IAM, anexar as políticas gerenciadas a ele e anotar a conta de serviço do Kubernetes usada pelo complemento com o comando a seguir. Substitua my-cluster pelo nome do seu cluster e substitua AmazonEKS_Observability_role pelo nome desejado para o seu perfil. Esse comando requer que você tenha o eksctl instalado no dispositivo. Se você precisar usar uma ferramenta diferente para criar o perfil, anexar a política a ele e anotar na conta de serviço do Kubernetes, consulte Atribuir perfis do IAM às contas de serviço do Kubernetes.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

Mais informações

Para saber mais, consulte Instalar o agente do CloudWatch.

EKS Pod Identity Agent

O complemento Amazon EKS Pod Identity Agent do Amazon EKS permite gerenciar credenciais para suas aplicações de forma semelhante a como os perfis de instância do EC2 fornecem credenciais para instâncias do EC2.

O nome do complemento do Amazon EKS é eks-pod-identity-agent.

Permissões obrigatórias do IAM

Este complemento usa permissões do Perfil do IAM em nós do Amazon EKS.

Informações sobre a atualização

Você só pode atualizar uma versão secundária de cada vez. Por exemplo, se a versão atual for 1.28.x-eksbuild.y e você quiser atualizar para 1.30.x-eksbuild.y, será necessário atualizar sua versão atual para 1.29.x-eksbuild.y e depois atualizá-la novamente para a versão 1.30.x-eksbuild.y. Para obter mais informações sobre como atualizar o complemento, consulte Atualizar o complemento Amazon VPC CNI plugin for Kubernetes do Amazon EKS.