**Unterstützung für die Verbesserung dieser Seite beitragen**
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon-EKS-Add-ons
Ein Add-on ist eine Software, die unterstützende Betriebsfunktionen für Kubernetes-Anwendungen bereitstellt, aber nicht anwendungsspezifisch ist. Dazu gehören Software wie Observability-Agenten oder Kubernetes-Treiber, die es dem Cluster ermöglichen, mit den zugrunde liegenden AWS Ressourcen für Netzwerke, Berechnungen und Speicher zu interagieren. Zusatzsoftware wird in der Regel von der Kubernetes-Community, Cloud-Anbietern oder Drittanbietern entwickelt und verwaltet. AWS Amazon EKS installiert automatisch selbstverwaltete Add-Ons wie das Amazon-VPC-CNI-Plugin für Kubernetes, `kube-proxy` und CoreDNS für jeden Cluster. Beachten Sie, dass das VPC-CNI-Add-On nicht mit Amazon EKS Hybrid Nodes kompatibel ist und nicht in Hybridknoten bereitgestellt wird. Sie können die Standardkonfiguration der Add-ons ändern und sie bei Bedarf aktualisieren.
Amazon-EKS-Add-ons bieten die Installation und Verwaltung eines ausgewählten Satzes von Add-ons für Amazon-EKS-Cluster. Alle Amazon EKS-Add-Ons enthalten die neuesten Sicherheitspatches und Bugfixes und sind für die Verwendung AWS mit Amazon EKS validiert. Mit Amazon-EKS-Add-ons können Sie konsequent sicherstellen, dass Ihre Amazon-EKS-Cluster sicher und stabil sind und den Arbeitsaufwand reduzieren, den Sie für die Installation, Konfiguration und Aktualisierung von Add-ons benötigen. Wenn ein selbstverwaltetes Add-on wie `kube-proxy` bereits auf Ihrem Cluster ausgeführt wird und als Amazon-EKS-Add-on verfügbar ist, können Sie das Amazon-EKS-Add-on `kube-proxy` installieren, um die Vorteile der Funktionen von Amazon-EKS-Add-ons zu nutzen.
Sie können bestimmte von Amazon EKS verwaltete Konfigurationsfelder für Amazon-EKS-Add-ons über die Amazon EKS API aktualisieren. Sie können auch Konfigurationsfelder, die nicht von Amazon EKS verwaltet werden, direkt im Kubernetes-Cluster ändern, sobald das Add-on gestartet wird. Dazu gehört das Definieren spezifischer Konfigurationsfelder für ein Add-on, falls zutreffend. Diese Änderungen werden von Amazon EKS nicht überschrieben, sobald sie vorgenommen wurden. Dies ist möglich mit der serverseitigen Anwendungsfunktion von Kubernetes. Weitere Informationen finden Sie unter [Felder für die Anpassung von Amazon-EKS-Add-Ons festlegen](kubernetes-field-management.md).
Sie können Amazon-EKS-Add-Ons mit allen Amazon-EKS-Knotentypen verwenden. Weitere Informationen finden Sie unter [Verwaltung von Datenverarbeitungsressourcen mithilfe von Knoten](eks-compute.md).
Sie können Amazon EKS-Add-Ons mithilfe der Amazon EKS-API, AWS CLI und hinzufügen AWS-Managementkonsole, aktualisieren oder löschen`eksctl`. Sie können Amazon-EKS-Add-ons auch mit [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-eks-addon.html) erstellen.
## Überlegungen
Beachten Sie Folgendes, wenn Sie Amazon-EKS-Add-Ons verwenden:
+ Um Add-ons für den Cluster zu konfigurieren, muss der [IAM–Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) über IAM-Berechtigungen verfügen, um mit Add-ons zu arbeiten. Weitere Informationen finden Sie in den Aktionen mit `Addon` in ihrem Namen in [Von Amazon Elastic Kubernetes Service definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions).
+ Amazon-EKS-Add-ons werden auf den Knoten ausgeführt, die Sie für Ihren Cluster bereitstellen oder konfigurieren. Zu den Knotentypen gehören EC2 Amazon-Instances, Fargate und Hybridknoten.
+ Sie können Felder ändern, die nicht von Amazon EKS verwaltet werden, um die Installation eines Amazon-EKS-Add-Ons anzupassen. Weitere Informationen finden Sie unter [Felder für die Anpassung von Amazon-EKS-Add-Ons festlegen](kubernetes-field-management.md).
+ Wenn Sie einen Cluster mit den Add-Ons Amazon EKS AWS-Managementkonsole`kube-proxy`, Amazon VPC CNI für Kubernetes und CoreDNS erstellen, werden Amazon EKS Add-Ons automatisch zu Ihrem Cluster hinzugefügt. Wenn Sie `config` verwenden, um Ihren Cluster mit einer `eksctl`-Datei zu erstellen, kann `eksctl`den Cluster auch mit Amazon-EKS-Add-ons erstellen. Wenn Sie einen Cluster mit `eksctl` ohne eine `config`-Datei oder mit einem anderen Tool erstellen, werden die selbstverwalteten `kube-proxy`, Amazon-VPC-CNI-Plugin für Kubernetes und CoreDNS-Add-Ons anstelle der Amazon-EKS-Add-Ons installiert. Sie können sie entweder selbst verwalten oder die Amazon-EKS-Add-ons nach der Clustererstellung manuell hinzufügen. Unabhängig von der Methode, die Sie zum Erstellen Ihres Clusters verwenden, wird das VPC-CNI-Add-On nicht auf Hybridknoten installiert.
+ Die `eks:addon-cluster-admin` `ClusterRoleBinding` verknüpft das `cluster-admin` `ClusterRole` mit der `eks:addon-manager`-Kubernetes-Identität. Die Rolle verfügt über die erforderlichen Berechtigungen für die `eks:addon-manager`-Identität, um Kubernetes-Namespaces zu erstellen und Add-Ons in Namespaces zu installieren. Wenn `eks:addon-cluster-admin` `ClusterRoleBinding` entfernt wird, funktioniert der Amazon-EKS-Cluster weiterhin, Amazon EKS kann jedoch keine Add-Ons mehr verwalten. Alle Cluster ab den folgenden Plattformversionen verwenden das neue `ClusterRoleBinding`.
+ Eine Teilmenge der EKS-Add-Ons von AWS wurde auf ihre Kompatibilität mit Amazon EKS Hybrid Nodes überprüft. Weitere Informationen finden Sie in der Kompatibilitätstabelle unter [AWS Add-Ons](workloads-add-ons-available-eks.md).
## Benutzerdefinierter Namespace für Add-Ons
Für Community- und AWS Add-Ons können Sie bei der Erstellung des Add-ons optional einen benutzerdefinierten Namespace angeben. Wenn Sie ein Add-On in einem bestimmten Namespace installieren, müssen Sie das Add-On entfernen und neu erstellen, um seinen Namespace zu ändern.
Wenn Sie keinen Namespace angeben, wird der vordefinierte Namespace für das Add-on verwendet.
Verwenden Sie benutzerdefinierte Namespaces für eine bessere Organisation und Isolierung von Add-on-Objekten innerhalb Ihres EKS-Clusters. Diese Flexibilität ermöglicht es Ihnen, Add-Ons an Ihre betrieblichen Anforderungen und Ihre vorhandene Namespace-Strategie anzupassen.
Sie können beim Erstellen eines Add-Ons einen benutzerdefinierten Namespace festlegen. Weitere Informationen finden Sie unter [Erstellung eines Amazon-EKS-Add-Ons](creating-an-add-on.md).
### Vordefinierten Namespace für Add-Ons abrufen
Der vordefinierte Namespace für ein Add-On ist der Namespace, in dem es installiert wird, wenn Sie keinen angeben.
Um den vordefinierten Namespace für ein Add-On abzurufen, verwenden Sie den folgenden Befehl:
```
aws eks describe-addon-versions --addon-name --query "addons[].defaultNamespace"
```
Beispielausgabe:
```
[
"kube-system"
]
```
## Überlegungen zu Amazon EKS Auto Mode
Amazon EKS Auto Mode umfasst Funktionen, die wesentliche Cluster-Funktionalitäten bereitstellen, darunter:
+ Pod-Netzwerke
+ Service-Netzwerke
+ Cluster DNS
+ Auto Scaling
+ Blockspeicher
+ Load Balancer Controller
+ Pod Identity Agent
+ Knotenüberwachungsagent
Mit der automatischen Berechnungsfunktion werden viele häufig verwendete EKS-Add-Ons überflüssig, darunter:
+ Amazon VPC CNI
+ kube-proxy
+ CoreDNS
+ Amazon-EBS-CSI-Treiber
+ EKS Pod Identity Agent
Wenn Ihr Cluster den automatischen Modus jedoch mit anderen Rechenoptionen wie selbstverwalteten EC2 Instances, Managed Node Groups oder AWS Fargate kombiniert, bleiben diese Add-Ons weiterhin erforderlich. AWS hat EKS-Add-Ons um Anti-Affinitätsregeln erweitert, die automatisch sicherstellen, dass Add-On-Pods nur für unterstützte Compute-Typen geplant werden. Darüber hinaus können Benutzer jetzt die `DescribeAddonVersions`-API der EKS-Add-Ons nutzen, um die unterstützten ComputeTypes für jedes Add-On und seine spezifischen Versionen zu überprüfen. Darüber hinaus laufen die oben aufgeführten Controller im EKS-Automatikmodus auf der AWS eigenen Infrastruktur. Daher werden sie möglicherweise nicht in Ihren Konten angezeigt, es sei denn, Sie verwenden EKS Auto Mode mit anderen Rechnertypen. In diesem Fall werden die Controller angezeigt, die Sie in Ihrem Cluster installiert haben.
Wenn Sie EKS Auto Mode in einem vorhandenen Cluster aktivieren möchten, müssen Sie möglicherweise die Version bestimmter Add-Ons aktualisieren. Weitere Informationen finden Sie unter [Erforderliche Add-On-Versionen](auto-enable-existing.md#auto-addons-required) EKS Auto Mode.
## Support
AWS veröffentlicht mehrere Arten von Add-Ons mit unterschiedlichen Unterstützungsstufen.
+ ** AWS -Add-Ons:** Diese Add-Ons werden von AWS entwickelt und vollständig unterstützt.
+ Verwenden Sie ein AWS Add-on, um mit anderen AWS Diensten wie Amazon EFS zu arbeiten.
+ Weitere Informationen finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md).
+ ** AWS Marketplace-Add-ons:** Diese Add-Ons werden von einem unabhängigen AWS Partner gescannt AWS und von diesem unterstützt.
+ Nutzen Sie ein Marktplatz-Add-On, um Ihrem Cluster wertvolle und anspruchsvolle Features hinzuzufügen, wie beispielsweise die Überwachung mit Splunk.
+ Weitere Informationen finden Sie unter [AWS Marketplace-Add-ons](workloads-add-ons-available-vendors.md).
+ **Community-Add-Ons**: Diese Add-Ons werden von der Open-Source-Community gescannt, AWS aber von ihr unterstützt.
+ Verwenden Sie ein Community-Add-On, um die Installation gängiger Open-Source-Software wie Kubernetes Metrics Server zu vereinfachen.
+ Community-Add-Ons werden aus dem Quellcode von gepackt AWS. AWS validiert nur Community-Add-Ons auf Versionskompatibilität.
+ Weitere Informationen finden Sie unter [Community-Erweiterungen](community-addons.md).
Die folgende Tabelle enthält Einzelheiten zum Support-Umfang für jeden Add-On-Typ:
| Kategorie | Feature | AWS Add-Ons | AWS Marketplace-Add-ons | Community-Erweiterungen |
| --- | --- | --- | --- | --- |
| Entwicklung | Gebaut von AWS | Ja | Nein | Ja |
| Entwicklung | Validiert von AWS | Ja | Nein | Ja\$1 |
| Entwicklung | Vom AWS Partner validiert | Nein | Ja | Nein |
| Wartung | Gescannt von AWS | Ja | Ja | Ja |
| Wartung | Gepatcht von AWS | Ja | Nein | Ja |
| Wartung | Vom Partner gepatcht AWS | Nein | Ja | Nein |
| Distribution | Veröffentlicht von AWS | Ja | Nein | Ja |
| Distribution | Herausgegeben von AWS Partner | Nein | Ja | Nein |
| Support | Grundlegende Installationsunterstützung von AWS | Ja | Ja | Ja |
| Support | Umfassender AWS Support | Ja | Nein | Nein |
| Support | AWS Umfassender Partner-Support | Nein | Ja | Nein |
`*`: Die Validierung für Community-Add-Ons umfasst nur die Kubernetes-Versionskompatibilität. Wenn Sie beispielsweise ein Community-Add-on auf einem Cluster installieren, prüfen Sie, AWS ob es mit der Kubernetes-Version Ihres Clusters kompatibel ist.
AWS Marketplace-Add-Ons können zusätzliche Softwareabhängigkeiten von externen Quellen außerhalb von herunterladen AWS. Diese externen Abhängigkeiten werden von nicht gescannt oder validiert AWS. Berücksichtigen Sie Ihre Sicherheitsanforderungen bei der Bereitstellung von AWS Marketplace-Add-Ons, die externe Abhängigkeiten abrufen.
# AWS Add-Ons
Die folgenden Amazon-EKS-Add-Ons können in Ihrem Cluster erstellt werden. Sie können die aktuelle Liste der verfügbaren Add-Ons mithilfe `eksctl` der AWS-Managementkonsole oder der AWS CLI anzeigen. Informationen zu allen verfügbaren Add-Ons oder zur Installation eines Add-Ons finden Sie unter [Erstellung eines Amazon-EKS-Add-Ons](creating-an-add-on.md). Wenn ein Add-On IAM-Berechtigungen erfordert, müssen Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md). Sie können ein Add-On erstellen oder löschen, nachdem Sie es installiert haben. Für weitere Informationen siehe [Aktualisierung eines Amazon-EKS-Add-Ons](updating-an-add-on.md) oder [Entfernung eines Amazon-EKS-Add-Ons aus einem Cluster](removing-an-add-on.md). Weitere Informationen zu den spezifischen Überlegungen zur Ausführung von EKS-Add-Ons mit Amazon EKS Hybrid Nodes finden Sie unter [Konfiguration von Add-Ons für Hybridknoten](hybrid-nodes-add-ons.md).
Sie können jedes der folgenden Amazon-EKS-Add-Ons verwenden.
| Description | Weitere Informationen | Kompatible Rechentypen |
| --- | --- | --- |
| Bereitstellung eines nativen VPC-Netzwerks für Ihren Cluster | [Amazon-VPC-CNI-Plugin für Kubernetes](#add-ons-vpc-cni) | EC2 |
| Ein flexibler, erweiterbarer DNS-Server, der als DNS für den Kubernetes-Cluster dienen kann | [CoreDNS](#add-ons-coredns) | EC2, Fargate, EKS Auto Mode, EKS-Hybridknoten |
| Verwaltung der Netzwerkregeln auf jedem Amazon-EC2-Knoten | [`Kube-proxy`](#add-ons-kube-proxy) | EC2, EKS-Hybridknoten |
| Bereitstellung von Amazon-EBS-Speicher für Ihren Cluster | [Amazon-EBS-CSI-Treiber](#add-ons-aws-ebs-csi-driver) | EC2 |
| Bereitstellung von Amazon-EFS-Speicher für Ihren Cluster | [Amazon EFS-CSI-Treiber](#add-ons-aws-efs-csi-driver) | EC2, EKS Auto Mode |
| Stellen Sie Amazon FSx for Lustre-Speicher für Ihren Cluster bereit | [Amazon FSx CSI-Treiber](#add-ons-aws-fsx-csi-driver) | EC2, EKS Auto Mode |
| Bereitstellung von Amazon-S3-Speicher für Ihren Cluster | [CSI-Treiber für Mountpoint für Amazon S3](#mountpoint-for-s3-add-on) | EC2, EKS Auto Mode |
| Erkennen zusätzlicher Knotenintegritätsprobleme | [Knotenüberwachungsagent](#add-ons-eks-node-monitoring-agent) | EC2, EKS-Hybridknoten |
| Aktivierung der Verwendung der Snapshot-Funktionalität in kompatiblen CSI-Treibern, wie beispielsweise dem Amazon-EBS-CSI-Treiber | [CSI-Snapshot-Controller](#addons-csi-snapshot-controller) | EC2, Fargate, EKS Auto Mode, EKS-Hybridknoten |
| SageMaker HyperPod Task Governance optimiert die Zuweisung und Nutzung von Rechenressourcen durch Teams in Amazon EKS-Clustern und behebt so Ineffizienzen bei der Priorisierung von Aufgaben und der gemeinsamen Nutzung von Ressourcen. | [SageMaker HyperPod Amazon-Aufgabenverwaltung](#addons-hyperpod) | EC2, EKS Auto Mode, |
| Amazon SageMaker HyperPod Observability AddOn bietet umfassende Überwachungs- und Beobachtbarkeitsfunktionen für HyperPod Cluster. | [Amazon SageMaker HyperPod Observability-Zusatzmodul](#addons-hyperpod-observability) | EC2, EKS Auto Mode, |
| Amazon SageMaker HyperPod Training Operator ermöglicht effiziente verteilte Schulungen auf Amazon EKS-Clustern mit erweiterten Planungs- und Ressourcenverwaltungsfunktionen. | [SageMaker HyperPod Amazon-Schulungsleiter](#addons-hyperpod-training-operator) | EC2, EKS Auto Mode |
| Amazon SageMaker HyperPod Inference Operator ermöglicht die Bereitstellung und Verwaltung von leistungsstarken KI-Inferenz-Workloads mit optimierter Ressourcennutzung und Kosteneffizienz. | [SageMaker HyperPod Amazon-Inferenzoperator](#addons-hyperpod-inference-operator) | EC2, EKS Auto Mode |
| Ein Kubernetes-Agent, der Netzwerkflussdaten sammelt und an Amazon CloudWatch meldet und so eine umfassende Überwachung von TCP-Verbindungen zwischen Clusterknoten ermöglicht. | [AWS Network Flow Monitor-Agent](#addons-network-flow) | EC2, EKS Auto Mode |
| Sicherer, produktionsreifer und AWS unterstützter Vertrieb des Projekts OpenTelemetry | [AWS Distribution für OpenTelemetry](#add-ons-adot) | EC2, Fargate, EKS Auto Mode, EKS-Hybridknoten |
| Sicherheitsüberwachungsservice, der grundlegende Datenquellen analysiert und verarbeitet, darunter AWS CloudTrail Verwaltungsereignisse und Amazon VPC-Flow-Logs. Amazon verarbeitet GuardDuty auch Funktionen wie Kubernetes-Audit-Logs und Laufzeitüberwachung | [GuardDuty Amazon-Vertreter](#add-ons-guard-duty) | EC2, EKS Auto Mode |
| Überwachungs- und Beobachtbarkeitsservice bereitgestellt von AWS. Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für Amazon EKS | [Amazon CloudWatch Observability-Agent](#amazon-cloudwatch-observability) | EC2, EKS Auto Mode, EKS-Hybridknoten |
| Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2- Instance-Profile Anmeldeinformationen für EC2-Instances bereitstellen | [EKS Pod Identity Agent](#add-ons-pod-id) | EC2, EKS-Hybridknoten |
| Aktivieren Sie den Cert-Manager, um X.509-Zertifikate von Private CA auszustellen. AWS Erfordert cert-manager. | [AWS Privater CA-Connector für Kubernetes](#add-ons-aws-privateca-connector) | EC2, Fargate, EKS Auto Mode, EKS-Hybridknoten |
| Generierung von Prometheus-Metriken zur Leistung von SR-IOV-Netzwerkgeräten | [SR-IOV-Netzwerkmetrik-Exportprogramm](#add-ons-sriov-network-metrics-exporter) | EC2 |
| Rufen Sie Geheimnisse aus AWS Secrets Manager und Parameter aus dem AWS Systems Manager Parameter Store ab und mounten Sie sie als Dateien in Kubernetes-Pods. | [AWS Secrets Store CSI-Treiberanbieter](#add-ons-aws-secrets-store-csi-driver-provider) | EC2, EKS Auto Mode, EKS-Hybridknoten |
| Mit Spaces können Sie Code-Editor-Anwendungen erstellen JupyterLab und verwalten, um interaktive ML-Workloads auszuführen. | [Amazon SageMaker Spaces](#add-ons-amazon-sagemaker-spaces) | Hyperpod |
## Amazon-VPC-CNI-Plugin für Kubernetes
Das Amazon-VPC-CNI-Plugin für das Kubernetes Amazon-EKS-Add-On ist ein Kubernetes Container Network Interface (CNI)-Plugin, das native VPC-Netzwerke für Ihren Cluster bereitstellt. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons ist standardmäßig auf jedem Amazon-EC2-Knoten installiert. Weitere Informationen finden Sie unter [Kubernetes Container Network Interface (CNI)-Plugin](https://kubernetes.io/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/).
**Anmerkung**
Sie müssen dieses Add-On nicht in Clustern von Amazon EKS Auto Mode installieren. Weitere Informationen finden Sie unter [Überlegungen zu Amazon EKS Auto Mode](eks-add-ons.md#addon-consider-auto).
Der Name des Amazon-EKS-Add-Ons lautet `vpc-cni`.
### Erforderliche IAM-Berechtigungen
Dieses Add-on verwendet die IAM-Rollen für die Servicekontofunktion von Amazon EKS. Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](iam-roles-for-service-accounts.md).
Wenn Ihr Cluster die `IPv4`-Familie verwendet, sind die Berechtigungen in der [AmazonEKS\$1CNI\$1Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html) erforderlich. [Wenn Ihr Cluster die `IPv6` Familie verwendet, müssen Sie [eine IAM-Richtlinie mit den Berechtigungen im IPv6 Modus erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html).](https://github.com/aws/amazon-vpc-cni-k8s/blob/master/docs/iam-policy.md#ipv6-mode) Sie können eine IAM-Rolle erstellen, ihr eine der Richtlinien anfügen und das vom Add-On verwendete Kubernetes-Servicekonto mit dem folgenden Befehl kommentieren.
Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *AmazonEKSVPCCNIRole* durch den Namen Ihrer Rolle. Wenn der Cluster die `IPv6`-Familie verwendet, ersetzen Sie *AmazonEKS\$1CNI\$1Policy* durch den Namen der Richtlinie, die Sie erstellt haben. Dieser Befehl erfordert, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, ihr die Richtlinie zuzuordnen und das Kubernetes-Servicekonto mit Annotationen zu versehen, siehe [IAM-Rollen Kubernetes-Servicekonten zuweisen](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy --approve
```
### Aktualisieren der Informationen
Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise `1.28.x-eksbuild.y ` ist und Sie auf `1.30.x-eksbuild.y ` aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf `1.29.x-eksbuild.y ` und dann auf `1.30.x-eksbuild.y ` aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter [Aktualisieren der Amazon VPC CNI (Amazon-EKS-Add-On)](vpc-add-on-update.md).
## CoreDNS
CoreDNS-Amazon-EKS-Add-On ist ein flexibler, erweiterbarer DNS-Server, der als Kubernetes-Cluster-DNS dienen kann. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons wurde standardmäßig installiert, als Sie Ihren Cluster erstellt haben. Wenn Sie einen Amazon-EKS-Cluster mit mindestens einem Knoten starten, werden standardmäßig zwei Replikate des CoreDNS-Image bereitgestellt, unabhängig von der Anzahl der in Ihrem Cluster bereitgestellten Knoten. Die CoreDNS-Pods bieten eine Namensauflösung für alle Pods im Cluster. Sie können CoreDNS-Pods in Fargate-Knoten bereitstellen, wenn Ihr Cluster ein Fargate-Profil mit einem Namespace enthält, der mit dem Namespace für die CoreDNS-Bereitstellung übereinstimmt. Weitere Informationen finden Sie unter [Festlegung, welche Pods beim Start AWS Fargate verwenden](fargate-profile.md).
**Anmerkung**
Sie müssen dieses Add-On nicht in Clustern von Amazon EKS Auto Mode installieren. Weitere Informationen finden Sie unter [Überlegungen zu Amazon EKS Auto Mode](eks-add-ons.md#addon-consider-auto).
Der Name des Amazon-EKS-Add-Ons lautet `coredns`.
### Erforderliche IAM-Berechtigungen
Dieses Add-On erfordert keine Berechtigungen.
### Zusätzliche Informationen
Weitere Informationen zu CoreDNS finden Sie unter [Verwenden von CoreDNS für die Serviceerkennung](https://kubernetes.io/docs/tasks/administer-cluster/coredns/) und [Anpassen des DNS-Services](https://kubernetes.io/docs/tasks/administer-cluster/dns-custom-nameservers/) in der Kubernetes-Dokumentation.
## `Kube-proxy`
Das `Kube-proxy`-Amazon-EKS-Add-On verwaltet Netzwerkregeln auf jedem Amazon-EC2-Knoten. Es ermöglicht die Netzwerkkommunikation zu Ihren Pods. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons wird standardmäßig auf jedem Amazon-EC2-Knoten in Ihrem Cluster installiert.
**Anmerkung**
Sie müssen dieses Add-On nicht in Clustern von Amazon EKS Auto Mode installieren. Weitere Informationen finden Sie unter [Überlegungen zu Amazon EKS Auto Mode](eks-add-ons.md#addon-consider-auto).
Der Name des Amazon-EKS-Add-Ons lautet `kube-proxy`.
### Erforderliche IAM-Berechtigungen
Dieses Add-On erfordert keine Berechtigungen.
### Aktualisieren der Informationen
Bevor Sie Ihre aktuelle Version aktualisieren, sollten Sie die folgenden Anforderungen berücksichtigen:
+ `Kube-proxy` in einem Amazon-EKS-Cluster verfügt über die gleiche [Kompatibilitäts- und Skew-Richtlinie wie Kubernetes](https://kubernetes.io/releases/version-skew-policy/#kube-proxy).
### Zusätzliche Informationen
Weitere Informationen zu `kube-proxy` finden Sie unter [kube-proxy](https://kubernetes.io/docs/reference/command-line-tools-reference/kube-proxy/) in der Kubernetes-Dokumentation.
## Amazon-EBS-CSI-Treiber
Das Amazon-EKS-Add-On für Amazon-EBS-CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI)-Plugin, das Amazon-EBS-Speicher für Ihren Cluster bereitstellt.
**Anmerkung**
Sie müssen dieses Add-On nicht in Clustern von Amazon EKS Auto Mode installieren. Der Automatikmodus umfasst eine Block-Speicherfunktion. Weitere Informationen finden Sie unter [Bereitstellung einer Beispiel-Workload mit Statusverwaltung in EKS Auto Mode](sample-storage-workload.md).
Der Name des Amazon-EKS-Add-Ons lautet `aws-ebs-csi-driver`.
### Erforderliche IAM-Berechtigungen
Dieses Add-On nutzt die IAM-Rollen für Servicekonten-Funktionalität von Amazon EKS. Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](iam-roles-for-service-accounts.md). Die Berechtigungen in der von [Amazon EBSCSIDriver Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicy.html) AWS verwalteten Richtlinie sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *AmazonEKS\$1EBS\$1CSI\$1DriverRole* durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool oder einen benutzerdefinierten [KMS-Schlüssel](https://aws.amazon.com/kms/) für die Verschlüsselung verwenden müssen, finden Sie weitere Informationen unter [Schritt 1: Erstellen einer IAM-Rolle](ebs-csi.md#csi-iam-role).
```
eksctl create iamserviceaccount \
--name ebs-csi-controller-sa \
--namespace kube-system \
--cluster my-cluster \
--role-name AmazonEKS_EBS_CSI_DriverRole \
--role-only \
--attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
--approve
```
### Zusätzliche Informationen
Weitere Informationen zum Add-On finden Sie unter [Kubernetes-Volume-Speicher mit Amazon EBS verwenden](ebs-csi.md).
## Amazon EFS-CSI-Treiber
Das Amazon-EKS-Add-On für Amazon-EFS-CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI)-Plugin, das Amazon-EFS-Speicher für Ihren Cluster bereitstellt.
Der Name des Amazon-EKS-Add-Ons lautet `aws-efs-csi-driver`.
### Erforderliche IAM-Berechtigungen
**Erforderliche IAM-Berechtigungen** – Dieses Add-On nutzt die Funktion IAM-Rollen für Servicekonten von Amazon EKS. Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](iam-roles-for-service-accounts.md). Die Berechtigungen in der von [Amazon EFSCSIDriver Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEFSCSIDriverPolicy.html) AWS verwalteten Richtlinie sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *AmazonEKS\$1EFS\$1CSI\$1DriverRole* durch den Namen Ihrer Rolle. Diese Befehle erfordern, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, finden Sie Informationen unter [Schritt 1: Erstellen einer IAM-Rolle](efs-csi.md#efs-create-iam-resources).
```
export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
--name efs-csi-controller-sa \
--namespace kube-system \
--cluster $cluster_name \
--role-name $role_name \
--role-only \
--attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
--approve
TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
```
### Zusätzliche Informationen
Weitere Informationen zum Add-On finden Sie unter [Verwendung von elastischem Dateisystemspeicher mit Amazon EFS](efs-csi.md).
## Amazon FSx CSI-Treiber
Das Amazon EKS-Add-on für Amazon FSx CSI-Treiber ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon FSx for Lustre-Speicher für Ihren Cluster bereitstellt.
Der Name des Amazon-EKS-Add-Ons lautet `aws-fsx-csi-driver`.
**Anmerkung**
Bereits vorhandene Amazon FSx CSI-Treiberinstallationen im Cluster können zu Fehlern bei der Installation von Add-Ons führen. Wenn Sie versuchen, die Amazon EKS-Add-On-Version zu installieren, während ein FSx Nicht-EKS-CSI-Treiber vorhanden ist, schlägt die Installation aufgrund von Ressourcenkonflikten fehl. Verwenden Sie während der Installation das Flag `OVERWRITE`, um dieses Problem zu beheben:
```
aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE
```
Das Amazon FSx CSI Driver EKS-Add-On benötigt den EKS Pod Identity-Agenten für die Authentifizierung. Ohne diese Komponente schlägt das Add-On mit dem Fehler `Amazon EKS Pod Identity agent is not installed in the cluster` fehl, wodurch Volume-Operationen verhindert werden. Installieren Sie den Pod Identity-Agenten vor oder nach der Bereitstellung des FSx CSI-Treiber-Add-ons. Weitere Informationen finden Sie unter [Einrichtung des Amazon-EKS-Pod-Identity-Agenten](pod-id-agent-setup.md).
### Erforderliche IAM-Berechtigungen
Dieses Add-On nutzt die IAM-Rollen für Servicekonten-Funktionalität von Amazon EKS. Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](iam-roles-for-service-accounts.md). Die Berechtigungen in der von [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) AWS verwalteten Richtlinie sind erforderlich. Sie können eine IAM-Rolle erstellen und ihr die verwaltete Richtlinie mit dem folgenden Befehl anfügen. Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *AmazonEKS\$1FSx\$1CSI\$1DriverRole* durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben.
```
eksctl create iamserviceaccount \
--name fsx-csi-controller-sa \
--namespace kube-system \
--cluster my-cluster \
--role-name AmazonEKS_FSx_CSI_DriverRole \
--role-only \
--attach-policy-arn arn:aws: iam::aws:policy/AmazonFSxFullAccess \
--approve
```
### Zusätzliche Informationen
Weitere Informationen zum Add-On finden Sie unter [Verwendung von leistungsstarkem App-Speicher mit Amazon FSx für Lustre](fsx-csi.md).
## CSI-Treiber für Mountpoint für Amazon S3
Das Amazon-EKS-Add-On für CSI-Treiber für Mountpoint für Amazon S3 ist ein Kubernetes Container Storage Interface (CSI)-Plugin, das Amazon-S3-Speicher für Ihren Cluster bereitstellt.
Der Name des Amazon-EKS-Add-Ons lautet `aws-mountpoint-s3-csi-driver`.
### Erforderliche IAM-Berechtigungen
Dieses Add-on verwendet die IAM-Rollen für die Servicekontofunktion von Amazon EKS. Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](iam-roles-for-service-accounts.md).
Für die erstellte IAM-Rolle ist eine Richtlinie erforderlich, die Zugriff auf S3 gewährt. Folgen Sie bei der Erstellung der Richtlinie den [Empfehlungen für Mountpoint-IAM-Berechtigungen](https://github.com/awslabs/mountpoint-s3/blob/main/doc/CONFIGURATION.md#iam-permissions). Alternativ können Sie die AWS verwaltete Richtlinie [AmazonS3](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor) verwendenFullAccess, aber diese verwaltete Richtlinie gewährt mehr Berechtigungen, als für Mountpoint erforderlich sind.
Sie können eine IAM-Rolle erstellen und ihr Ihre Richtlinie mit dem folgenden Befehl anfügen. *my-cluster*Ersetzen Sie es durch den Namen Ihres Clusters, *region-code* durch den richtigen AWS Regionalcode, *AmazonEKS\$1S3\$1CSI\$1DriverRole* durch den Namen für Ihre Rolle und *AmazonEKS\$1S3\$1CSI\$1DriverRole\$1ARN* durch den Rollen-ARN. Diese Befehle erfordern, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Anweisungen zur Verwendung der IAM-Konsole oder AWS CLI finden Sie unter[Schritt 2: Erstellen einer IAM-Rolle](s3-csi-create.md#s3-create-iam-role).
```
CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
--name s3-csi-driver-sa \
--namespace kube-system \
--cluster $CLUSTER_NAME \
--attach-policy-arn $POLICY_ARN \
--approve \
--role-name $ROLE_NAME \
--region $REGION \
--role-only
```
### Zusätzliche Informationen
Weitere Informationen zum Add-On finden Sie unter [Zugriff auf Amazon-S3-Objekte mit dem CSI-Treiber für Mountpoint für Amazon S3](s3-csi.md).
## CSI-Snapshot-Controller
Der Container Storage Interface (CSI)-Snapshot-Controller ermöglicht die Verwendung der Snapshot-Funktion in kompatiblen CSI-Treibern, wie dem Amazon-EBS-CSI-Treiber.
Der Name des Amazon-EKS-Add-Ons lautet `snapshot-controller`.
### Erforderliche IAM-Berechtigungen
Dieses Add-On erfordert keine Berechtigungen.
### Zusätzliche Informationen
Weitere Informationen zum Add-On finden Sie unter [Snapshot-Funktion für CSI-Volumes aktivieren](csi-snapshot-controller.md).
## SageMaker HyperPod Amazon-Aufgabenverwaltung
SageMaker HyperPod Task Governance ist ein robustes Managementsystem, das entwickelt wurde, um die Ressourcenzuweisung zu optimieren und eine effiziente Nutzung der Rechenressourcen durch Teams und Projekte für Ihre Amazon EKS-Cluster sicherzustellen. Dadurch haben Administratoren die Möglichkeit, Folgendes festzulegen:
+ Prioritätsstufen für verschiedene Aufgaben
+ Rechenkapazitätszuweisung für jedes Team
+ Wie jedes Team ungenutzte Rechenleistung verleiht und ausleiht
+ Wenn ein Team seine eigenen Aufgaben vorwegnimmt
HyperPod Task Governance bietet auch Amazon EKS-Cluster-Observability und bietet so Echtzeiteinblicke in die Clusterkapazität. Dazu gehört die Verfügbarkeit und Nutzung von Rechenleistung, die Zuweisung und Auslastung von Teams sowie Informationen zu Aufgabenausführung und Wartezeiten, sodass Sie fundierte Entscheidungen treffen und Ressourcen proaktiv verwalten können.
Der Name des Amazon-EKS-Add-Ons lautet `amazon-sagemaker-hyperpod-taskgovernance`.
### Erforderliche IAM-Berechtigungen
Dieses Add-On erfordert keine Berechtigungen.
### Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie unter [SageMaker HyperPod Task Governance](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-operate-console-ui-governance.html)
## Amazon SageMaker HyperPod Observability-Zusatzmodul
Das Amazon SageMaker HyperPod Observability Add-on bietet umfassende Überwachungs- und Beobachtbarkeitsfunktionen für HyperPod Cluster. Dieses Add-on implementiert und verwaltet automatisch wichtige Überwachungskomponenten wie den Node-Exporter, den DCGM-Exporter und den EFA-Exporter. kube-state-metrics Es erfasst Metriken und leitet diese an eine vom Kunden festgelegte Amazon Managed Prometheus (AMP)-Instance weiter. Darüber hinaus stellt es einen OTLP-Endpunkt für benutzerdefinierte Metriken und die Erfassung von Ereignissen aus Kunden-Trainingsaufträgen bereit.
Das Add-on lässt sich in das breitere HyperPod Ökosystem integrieren, indem es Metriken aus verschiedenen Komponenten wie dem HyperPod Task Governance-Add-on, Training Operator, HyperPod Kubeflow und KEDA abruft. Alle erfassten Metriken werden in Amazon Managed Prometheus zentralisiert, sodass Kunden über Dashboards zu Amazon Managed Grafana eine einheitliche Übersicht erhalten. Dies bietet end-to-end Einblick in den Zustand des Clusters, die Ressourcennutzung und die Leistung der Schulungsaufgaben in der gesamten Umgebung. HyperPod
Der Name des Amazon-EKS-Add-Ons lautet `amazon-sagemaker-hyperpod-observability`.
### Erforderliche IAM-Berechtigungen
Dieses Add-on verwendet die IAM-Rollen für die Servicekontofunktion von Amazon EKS. Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](iam-roles-for-service-accounts.md). Die folgenden verwalteten Richtlinien sind erforderlich.
+ `AmazonPrometheusRemoteWriteAccess` – für Schreibmetriken aus der Ferne vom Cluster zu AMP
+ `CloudWatchAgentServerPolicy`- für das Remote-Schreiben der Protokolle vom Cluster in CloudWatch
### Zusätzliche Informationen
Weitere Informationen über das Add-on und seine Funktionen finden Sie unter [SageMaker HyperPod Observability](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-observability-cluster.html).
## SageMaker HyperPod Amazon-Schulungsleiter
Der Amazon SageMaker HyperPod Training Operator hilft Ihnen dabei, die Entwicklung generativer KI-Modelle zu beschleunigen, indem er verteilte Schulungen über große GPU-Cluster effizient verwaltet. Er bietet intelligente Funktionen zur Fehlerbehebung, Erkennung von Blockierungen und Verwaltungsfunktionen auf Prozessebene, die Trainingsunterbrechungen minimieren und Kosten senken. Im Gegensatz zur herkömmlichen Trainingsinfrastruktur, bei der der Job bei Ausfällen komplett neu gestartet werden muss, implementiert dieser Operator die Wiederherstellung chirurgischer Prozesse, um einen reibungslosen Ablauf Ihrer Trainingsaufgaben zu gewährleisten.
Der Operator arbeitet auch mit HyperPod den Funktionen zur Zustandsüberwachung und Beobachtbarkeit und bietet so Echtzeiteinblicke in die Trainingsausführung sowie die automatische Überwachung kritischer Kennzahlen wie Verlustspitzen und Durchsatzeinbußen. Sie können Wiederherstellungsrichtlinien durch einfache YAML-Konfigurationen ohne Codeänderungen definieren, sodass Sie schnell auf nicht wiederherstellbare Trainingszustände reagieren und diese beheben können. Diese Überwachungs- und Wiederherstellungsfunktionen sorgen gemeinsam für eine optimale Trainingsleistung bei minimalem Betriebsaufwand.
Der Name des Amazon-EKS-Add-Ons lautet `amazon-sagemaker-hyperpod-training-operator`.
Weitere Informationen finden Sie unter [Using the HyperPod Training Operator](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-eks-operator.html) im *Amazon SageMaker Developer Guide*.
### Erforderliche IAM-Berechtigungen
Dieses Add-On erfordert IAM-Berechtigungen und verwendet EKS Pod Identity.
AWS schlägt die `AmazonSageMakerHyperPodTrainingOperatorAccess` [verwaltete Richtlinie](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html) vor.
Weitere Informationen finden Sie unter [Installation des Training Operators](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-eks-operator-install.html#sagemaker-eks-operator-install-operator) im *Amazon SageMaker Developer Guide*.
### Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie unter [SageMaker HyperPod Training Operator](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-eks-operator.html).
## SageMaker HyperPod Amazon-Inferenzoperator
Amazon SageMaker HyperPod bietet eine end-to-end Erfahrung, die den gesamten Lebenszyklus der KI-Entwicklung unterstützt, von interaktiven Experimenten und Schulungen bis hin zu Inferenz- und Workflows nach dem Training. Es bietet jetzt eine umfassende Inferenzplattform, die die Flexibilität von Kubernetes mit der operativen Exzellenz eines verwalteten Erlebnisses kombiniert. Stellen Sie Ihre GenAI-Modelle mit Zuverlässigkeit auf Unternehmensniveau bereit, skalieren und optimieren Sie sie mit derselben HyperPod Rechenleistung während des gesamten Modelllebenszyklus.
Amazon SageMaker HyperPod bietet flexible Bereitstellungsschnittstellen, mit denen Sie Modelle über mehrere Methoden bereitstellen können, darunter kubectl, Python SDK, Amazon SageMaker Studio UI oder HyperPod CLI. Diese Funktion bietet erweiterte Autoscaling-Funktionen mit dynamischer Ressourcenzuweisung, die sich automatisch an den Bedarf anpasst. Darüber hinaus umfasst sie umfassende Beobachtungs- und Überwachungsfunktionen, die wichtige Messwerte wie time-to-first-token Latenz und GPU-Auslastung verfolgen, um Sie bei der Leistungsoptimierung zu unterstützen.
Der Name des Amazon-EKS-Add-Ons lautet `amazon-sagemaker-hyperpod-inference`.
### Methoden zur Installation
Sie können dieses Add-on mit einer der folgenden Methoden installieren:
+ **SageMaker Konsole (empfohlen)**: Bietet eine optimierte Installation mit geführter Konfiguration.
+ **EKS Add-ons Console oder CLI**: Erfordert die manuelle Installation von Abhängigkeits-Add-Ons vor der Installation des Inferenzoperators. Die erforderlichen Abhängigkeiten finden Sie im Abschnitt „Voraussetzungen“ weiter unten.
### Voraussetzungen
Stellen Sie vor der Installation des Inferenzoperator-Add-ons über die EKS Add-ons Console oder CLI sicher, dass die folgenden Abhängigkeiten installiert sind.
Erforderliche EKS-Add-Ons:
+ Amazon S3 Mountpoint CSI-Treiber (Mindestversion: v1.14.1-eksbuild.1)
+ Metrics Server (Mindestversion: v0.7.2-eksbuild.4)
+ Amazon FSx CSI-Treiber (Mindestversion: v1.6.0-eksbuild.1)
+ Cert Manager (Mindestversion: v1.18.2-eksbuild.2)
[Detaillierte Installationsanweisungen für jede Abhängigkeit finden Sie unter Installation des Inferenzoperators.](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html)
### Erforderliche IAM-Berechtigungen
Dieses Add-on benötigt IAM-Berechtigungen und verwendet OIDC/IRSA.
Die folgenden verwalteten Richtlinien werden empfohlen, da sie die Mindestberechtigungen für den Gültigkeitsbereich bereitstellen:
+ `AmazonSageMakerHyperPodInferenceAccess`— bietet Administratorrechte, die für die Einrichtung des Inferenzoperators erforderlich sind
+ `AmazonSageMakerHyperPodGatedModelAccess`- bietet SageMaker HyperPod Zugriff auf geschützte Modelle in SageMaker Jumpstart (z. B. Meta Llama, GPT-Neo)
Weitere Informationen finden Sie unter [Installation des](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html) Inferenzoperators.
### Zusätzliche Informationen
Weitere Informationen über den SageMaker HyperPod Amazon-Inferenzoperator finden Sie unter [SageMaker HyperPod Inferenzoperator](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment.html).
Informationen zur Fehlerbehebung finden Sie unter [Problembehandlung bei der SageMaker HyperPod Modellbereitstellung.](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-ts.html)
## AWS Network Flow Monitor-Agent
Der Amazon CloudWatch Network Flow Monitor Agent ist eine Kubernetes-Anwendung, die TCP-Verbindungsstatistiken von allen Knoten in einem Cluster sammelt und Netzwerkflussberichte für Amazon CloudWatch Network Flow Monitor Ingestion veröffentlicht. APIs
Der Name des Amazon-EKS-Add-Ons lautet `aws-network-flow-monitoring-agent`.
### Erforderliche IAM-Berechtigungen
Für dieses Add-On sind IAM -Berechtigungen erforderlich.
Sie müssen die von `CloudWatchNetworkFlowMonitorAgentPublishPolicy` verwaltete Richtlinie an das AddO-n anfügen.
Weitere Informationen zum erforderlichen IAM-Setup finden Sie unter [IAM-Richtlinie](https://github.com/aws/network-flow-monitor-agent?tab=readme-ov-file#iam-policy) im Amazon CloudWatch Network Flow Monitor GitHub Agent-Repository.
Weitere Informationen zur verwalteten Richtlinie finden Sie [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/security-iam-awsmanpol-network-flow-monitor.html#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy)im CloudWatch Amazon-Benutzerhandbuch.
### Zusätzliche Informationen
Weitere Informationen über das Add-on finden Sie im [Amazon CloudWatch Network Flow Monitor Agent GitHub Repo](https://github.com/aws/network-flow-monitor-agent?tab=readme-ov-file).
## Knotenüberwachungsagent
Das Amazon-EKS-Add-On für den Knoten-Überwachungsagent kann zusätzliche Probleme mit der Knotenintegrität erkennen. Diese zusätzlichen Zustandssignale können auch vom optionalen automatischen Knotenreparaturfeature genutzt werden, um Knoten bei Bedarf automatisch zu ersetzen.
**Anmerkung**
Sie müssen dieses Add-On nicht in Clustern von Amazon EKS Auto Mode installieren. Weitere Informationen finden Sie unter [Überlegungen zu Amazon EKS Auto Mode](eks-add-ons.md#addon-consider-auto).
Der Name des Amazon-EKS-Add-Ons lautet `eks-node-monitoring-agent`.
### Erforderliche IAM-Berechtigungen
Dieses Add-On erfordert keine zusätzlichen Berechtigungen.
### Zusätzliche Informationen
Weitere Informationen finden Sie unter [Erkennen Sie Probleme mit dem Knotenstatus und aktivieren Sie die automatische Knotenreparatur](node-health.md).
## AWS Distribution für OpenTelemetry
Das Add-on AWS Distro for OpenTelemetry Amazon EKS ist eine sichere, produktionsbereite und AWS unterstützte Distribution des Projekts. OpenTelemetry Weitere Informationen finden Sie unter [AWS Distro](https://aws-otel.github.io/) for on. OpenTelemetry GitHub
Der Name des Amazon-EKS-Add-Ons lautet `adot`.
### Erforderliche IAM-Berechtigungen
Für dieses Add-On sind nur dann IAM-Berechtigungen erforderlich, wenn Sie eine der vorkonfigurierten benutzerdefinierten Ressourcen verwenden, die über die erweiterte Konfiguration aktiviert werden können.
### Zusätzliche Informationen
Weitere Informationen finden Sie in der Dokumentation unter [Erste Schritte mit AWS Distro für die OpenTelemetry Verwendung von EKS-Add-Ons](https://aws-otel.github.io/docs/getting-started/adot-eks-add-on) in der AWS Distro. OpenTelemetry
ADOT setzt voraus, dass das `cert-manager` Add-on auf dem Cluster bereitgestellt wird. Andernfalls funktioniert dieses Add-on nicht, wenn es direkt über https://registry.terraform bereitgestellt wird. io/modules/terraform-aws-modules/eks/aws/latest`cluster_addons`Eigentum. Weitere Anforderungen finden Sie in der Dokumentation unter [Anforderungen für die ersten Schritte mit AWS Distro für die OpenTelemetry Verwendung von EKS-Add-Ons](https://aws-otel.github.io/docs/getting-started/adot-eks-add-on/requirements) in der AWS Distro. OpenTelemetry
## GuardDuty Amazon-Vertreter
Das Amazon EKS-Add-on für GuardDuty Agenten sammelt [Laufzeitereignisse](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-collected-events.html) (Dateizugriff, Prozessausführung, Netzwerkverbindungen) von Ihren EKS-Clusterknoten zur Analyse durch GuardDuty Runtime Monitoring. GuardDuty selbst (nicht der Agent) ist der Sicherheitsüberwachungsdienst, der [grundlegende Datenquellen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html) wie AWS CloudTrail Verwaltungsereignisse und Amazon VPC-Flow-Logs sowie [Funktionen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html) wie Kubernetes-Auditprotokolle und Laufzeitüberwachung analysiert und verarbeitet.
Der Name des Amazon-EKS-Add-Ons lautet `aws-guardduty-agent`.
### Erforderliche IAM-Berechtigungen
Dieses Add-On erfordert keine Berechtigungen.
### Zusätzliche Informationen
Weitere Informationen finden Sie unter [Laufzeitüberwachung für Amazon EKS-Cluster in Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html).
+ Um potenzielle Sicherheitsbedrohungen in Ihren Amazon EKS-Clustern zu erkennen, aktivieren Sie Amazon GuardDuty Runtime Monitoring und stellen Sie den GuardDuty Security Agent auf Ihren Amazon EKS-Clustern bereit.
## Amazon CloudWatch Observability-Agent
Der Amazon CloudWatch Observability-Agent Amazon EKS erweitert den Überwachungs- und Observabilitätsservice von. AWS Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für Amazon EKS. Weitere Informationen finden Sie unter [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html).
Der Name des Amazon-EKS-Add-Ons lautet `amazon-cloudwatch-observability`.
### Erforderliche IAM-Berechtigungen
Dieses Add-on verwendet die IAM-Rollen für die Servicekontofunktion von Amazon EKS. Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](iam-roles-for-service-accounts.md). Die Berechtigungen in den [AWSXrayWriteOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess)und den [CloudWatchAgentServerPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy) AWS verwalteten Richtlinien sind erforderlich. Sie können eine IAM-Rolle erstellen, ihr die verwalteten Richtlinien anfügen und das vom Add-On verwendete Kubernetes-Servicekonto mit dem folgenden Befehl annotieren. Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *AmazonEKS\$1Observability\$1role* durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, ihr die Richtlinie zuzuordnen und das Kubernetes-Servicekonto mit Annotationen zu versehen, siehe [IAM-Rollen Kubernetes-Servicekonten zuweisen](associate-service-account-role.md).
```
eksctl create iamserviceaccount \
--name cloudwatch-agent \
--namespace amazon-cloudwatch \
--cluster my-cluster \
--role-name AmazonEKS_Observability_Role \
--role-only \
--attach-policy-arn arn:aws: iam::aws:policy/AWSXrayWriteOnlyAccess \
--attach-policy-arn arn:aws: iam::aws:policy/CloudWatchAgentServerPolicy \
--approve
```
### Zusätzliche Informationen
Weitere Informationen finden [Sie unter Den CloudWatch Agenten installieren](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Observability-EKS-addon.html).
## AWS Privater CA-Connector für Kubernetes
Der AWS Private CA Connector for Kubernetes ist ein Add-on für Cert-Manager, mit dem Benutzer Zertifikate von einer AWS privaten Zertifizierungsstelle (Private CA) erhalten können.AWS
+ Der Name des Amazon-EKS-Add-Ons lautet `aws-privateca-connector-for-kubernetes`.
+ Der Add-On-Namespace lautet `aws-privateca-issuer`.
Dieses Add-On erfordert `cert-manager`. `cert-manager` ist in Amazon EKS als Community-Add-On verfügbar. Weitere Informationen zu diesem Add-On finden Sie unter [Cert Manager](community-addons.md#addon-cert-manager). Weitere Informationen zur Installation von Add-Ons finden Sie unter [Erstellung eines Amazon-EKS-Add-Ons](creating-an-add-on.md).
### Erforderliche IAM-Berechtigungen
Für dieses Add-On sind IAM-Berechtigungen erforderlich.
Verwenden Sie EKS Pod Identities, um die `AWSPrivateCAConnectorForKubernetesPolicy`-IAM-Richtlinie an das `aws-privateca-issuer`-Kubernetes-Servicekonto anzufügen. Weitere Informationen finden Sie unter [Verwendung von Pod Identities zum Zuweisen einer IAM-Rolle zu einem Amazon-EKS-Add-On](update-addon-role.md).
Informationen zu den erforderlichen Berechtigungen finden Sie [AWSPrivateCAConnectorForKubernetesPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateCAConnectorForKubernetesPolicy.html)in der Managed Policy Reference. AWS
### Zusätzliche Informationen
Weitere Informationen finden Sie im Repository [AWS Private CA Issuer for Kubernetes GitHub ](https://github.com/cert-manager/aws-privateca-issuer).
Weitere Informationen zur Konfiguration des Add-ons finden Sie unter [values.yaml](https://github.com/cert-manager/aws-privateca-issuer/blob/main/charts/aws-pca-issuer/values.yaml) im Repo. `aws-privateca-issuer` GitHub Bestätigen Sie, dass die Version von values.yaml mit der Version des in Ihrem Cluster installierten Add-Ons übereinstimmt.
Dieses Add-on toleriert den `CriticalAddonsOnly` Makel, der im automatischen Modus von EKS verwendet wird. `system` NodePool Weitere Informationen finden Sie unter [Kritische Add-Ons in dedizierten Instances ausführen](critical-workload.md).
## EKS Pod Identity Agent
Amazon-EKS-Add-On für EKS Pod Identity Agent bietet die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie Amazon-EC2-Instance-Profile Anmeldeinformationen für Amazon-EC2-Instances bereitstellen.
**Anmerkung**
Sie müssen dieses Add-On nicht in Clustern von Amazon EKS Auto Mode installieren. Amazon EKS Auto Mode ist in EKS Pod Identity integriert. Weitere Informationen finden Sie unter [Überlegungen zu Amazon EKS Auto Mode](eks-add-ons.md#addon-consider-auto).
Der Name des Amazon-EKS-Add-Ons lautet `eks-pod-identity-agent`.
### Erforderliche IAM-Berechtigungen
Das Pod-Identity-Agent-Add-On selbst erfordert keine IAM-Rolle. Es nutzt Berechtigungen der [IAM-Rolle des Amazon-EKS-Knotens](create-node-role.md), benötigt jedoch keine dedizierte IAM-Rolle für das Add-On.
### Aktualisieren der Informationen
Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise `1.28.x-eksbuild.y` ist und Sie auf `1.30.x-eksbuild.y` aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf `1.29.x-eksbuild.y` und dann auf `1.30.x-eksbuild.y` aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter [Aktualisierung eines Amazon-EKS-Add-Ons](updating-an-add-on.md).
## SR-IOV-Netzwerkmetrik-Exportprogramm
Das Amazon-EKS-Add-On für das SR-IOV-Netzwerkmetrik-Exportprogramm erfasst und stellt Metriken zu SR-IOV-Netzwerkgeräten im Prometheus-Format bereit. Es ermöglicht die Überwachung der SR-IOV-Netzwerkleistung in EKS-Bare-Metal-Knoten. Der Exporter läuft als DaemonSet On-Knoten mit SR-IOV-capable Netzwerkschnittstellen und exportiert Metriken, die von Prometheus gescrappt werden können.
**Anmerkung**
Für dieses Add-on sind Knoten mit Netzwerkschnittstellen erforderlich. SR-IOV-capable
| Eigenschaft | Wert |
| --- | --- |
| Add-On-Name | `sriov-network-metrics-exporter` |
| Namespace | `monitoring` |
| Dokumentation | [Das SR-IOV Network Metrics Exporter-Repository GitHub ](https://github.com/k8snetworkplumbingwg/sriov-network-metrics-exporter) |
| Servicekonto-Name | Keine |
| Verwaltete IAM-Richtlinie | Keine |
| Benutzerdefinierte IAM-Berechtigungen | Keine |
### AWS Secrets Store CSI-Treiberanbieter
Der AWS Anbieter für den Secrets Store CSI Driver ist ein Add-on, mit dem AWS Secrets Manager und Parameter aus dem AWS Systems Manager Parameter Store abgerufen und als Dateien in Kubernetes-Pods bereitgestellt werden können.
### Erforderliche IAM-Berechtigungen
Für das Add-on sind keine IAM-Berechtigungen erforderlich. Anwendungs-Pods benötigen jedoch IAM-Berechtigungen, um Secrets aus AWS Secrets Manager und Parameter aus dem AWS Systems Manager Parameter Store abzurufen. Nach der Installation des Add-ons muss der Zugriff über IAM Roles for Service Accounts (IRSA) oder EKS Pod Identity konfiguriert werden. Informationen zur Verwendung von IRSA finden Sie in der Secrets Manager [IRSA-Setup-Dokumentation](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating_ascp_irsa.html). Informationen zur Verwendung von EKS Pod Identity finden Sie in der [Setup-Dokumentation für Secrets Manager Pod Identity](https://docs.aws.amazon.com/secretsmanager/latest/userguide/ascp-pod-identity-integration.html).
AWS schlägt die `AWSSecretsManagerClientReadOnlyAccess` [verwaltete Richtlinie](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-policies.html#security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess) vor.
Weitere Informationen zu den erforderlichen Berechtigungen finden Sie `AWSSecretsManagerClientReadOnlyAccess` in der Referenz zu AWS verwalteten Richtlinien.
### Zusätzliche Informationen
[Weitere Informationen finden Sie im secrets-store-csi-driver GitHub -provider-aws-Repository.](https://github.com/aws/secrets-store-csi-driver-provider-aws)
Weitere Informationen zum Add-on finden Sie in der [AWS Secrets Manager Manager-Dokumentation für das Add-on](https://docs.aws.amazon.com/secretsmanager/latest/userguide/ascp-eks-installation.html).
## Amazon SageMaker Spaces
Das Amazon SageMaker Spaces-Add-on ermöglicht die Ausführung IDEs von Notebooks auf EKS- oder HyperPod -EKS-Clustern. Administratoren können die EKS-Konsole verwenden, um das Add-on auf ihrem Cluster zu installieren und Standardspeicherkonfigurationen wie Bilder, Rechenressourcen, lokalen Speicher für Notebook-Einstellungen (zusätzlicher Speicher, der an ihre Spaces angehängt werden muss), Dateisysteme und Initialisierungsskripten zu definieren.
KI-Entwickler können kubectl verwenden, um Spaces zu erstellen, zu aktualisieren und zu löschen. Sie haben die Flexibilität, von Administratoren bereitgestellte Standardkonfigurationen zu verwenden oder Einstellungen anzupassen. KI-Entwickler können mithilfe ihres lokalen VS Codes, ihres Webbrowsers, der sie hostet, oder ihrer CodeEditor IDE auf einer benutzerdefinierten DNS-Domain IDEs, and/or die von ihren Administratoren konfiguriert wurde, auf ihre Bereiche in HyperPod EKS JupyterLab oder -EKS zugreifen. Sie können auch die Portweiterleitungsfunktion von Kubernetes verwenden, um auf Bereiche in ihren Webbrowsern zuzugreifen.
Der Name des Amazon-EKS-Add-Ons lautet `amazon-sagemaker-spaces`.
### Erforderliche IAM-Berechtigungen
Für dieses Add-On sind IAM-Berechtigungen erforderlich. Weitere Informationen zur erforderlichen IAM-Einrichtung finden Sie unter Einrichtung von [IAM-Berechtigungen](https://docs.aws.amazon.com/sagemaker/latest/dg/permission-setup.html) im *Amazon SageMaker Developer Guide*.
### Zusätzliche Informationen
Weitere Informationen über das Add-on und seine Funktionen finden Sie unter [SageMaker AI Notebooks HyperPod](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-ide.html) im *Amazon SageMaker Developer Guide*.
# Community-Erweiterungen
Sie können AWS APIs Community-Add-Ons wie den Kubernetes Metrics Server installieren. Sie haben die Möglichkeit, Community-Add-Ons als Amazon-EKS-Add-Ons zu installieren, um die Komplexität der Wartung der Software auf mehreren Clustern zu reduzieren.
Sie können beispielsweise die AWS API, CLI oder die Management Console verwenden, um Community-Add-Ons zu installieren. Sie können während der Cluster-Erstellung ein Community-Add-On installieren.
Sie verwalten Community-Add-Ons genauso wie vorhandene Amazon-EKS-Add-Ons. Community-Add-Ons unterscheiden sich von vorhandenen Add-Ons dadurch, dass sie einen einzigartigen Support-Umfang bieten.
**Anmerkung**
Die Verwendung von Community-Add-Ons liegt in Ihrem Ermessen. Im Rahmen des [Modells der gemeinsamen Verantwortung](security.md) zwischen Ihnen und Ihnen wird erwartet AWS, dass Sie wissen, was Sie für diese Drittanbieter-Plugins in Ihrem Cluster installieren. Sie sind auch dafür verantwortlich, dass die Community-Add-Ons Ihren Cluster-Sicherheitsanforderungen entsprechen. Weitere Informationen finden Sie unter [Support für in EKS bereitgestellte Software](related-projects.md#oss-scope).
Community-Add-Ons wurden nicht von entwickelt AWS. AWS validiert nur Community-Add-Ons auf Versionskompatibilität. Wenn Sie beispielsweise ein Community-Add-on auf einem Cluster installieren, wird AWS geprüft, ob es mit der Kubernetes-Version Ihres Clusters kompatibel ist.
Wichtig ist, dass Community-Add-Ons AWS nicht vollständig unterstützt werden. AWS unterstützt nur Lebenszyklusvorgänge, die mithilfe von Add-Ons ausgeführt werden AWS APIs, z. B. das Installieren von Add-Ons oder das Löschen von Add-Ons
Wenn Sie Support für ein Community-Add-On benötigen, nutzen Sie die vorhandenen Projektressourcen. Sie können beispielsweise ein GitHub Problem im Repository für das Projekt erstellen.
## Add-On-Typ ermitteln
Sie können die AWS CLI verwenden, um den Typ eines Amazon EKS-Add-ons zu bestimmen.
Verwenden Sie den folgenden CLI-Befehl, um Informationen zu einem Add-On abzurufen. Sie können `metrics-server` durch den Namen eines beliebigen Add-Ons ersetzen.
```
aws eks describe-addon-versions --addon-name metrics-server
```
Überprüfen Sie die CLI-Ausgabe für das `owner`-Feld.
```
{
"addons": [
{
"addonName": "metrics-server",
"type": "observability",
"owner": "community",
"addonVersions": [
```
Wenn der Wert von gleich `owner` ist`community`, handelt es sich bei dem Add-On um ein Community-Add-On. AWS bietet nur Unterstützung für die Installation, Aktualisierung und Deinstallation des Add-ons. Wenn Sie Fragen zur Funktionalität und zum Betrieb des Add-ons selbst haben, nutzen Sie Community-Ressourcen wie GitHub Issues.
## Community-Add-On installieren oder aktualisieren
Sie installieren oder aktualisieren Community-Add-Ons auf dieselbe Weise wie andere Amazon-EKS-Add-Ons.
+ [Erstellung eines Amazon-EKS-Add-Ons](creating-an-add-on.md)
+ [Aktualisierung eines Amazon-EKS-Add-Ons](updating-an-add-on.md)
+ [Entfernung eines Amazon-EKS-Add-Ons aus einem Cluster](removing-an-add-on.md)
## Verfügbare Community-Add-Ons
Die folgenden Community-Add-Ons sind bei Amazon EKS verfügbar.
+ [Kubernetes-Metriken-Server](#kubernetes-metrics-server)
+ [kube-state-metrics](#kube-state-metrics)
+ [Prometheus-Knoten-Exporter](#prometheus-node-exporter)
+ [Cert Manager](#addon-cert-manager)
+ [Externes DNS](#external-dns)
+ [Fluent Bit](#fluent-bit)
### Kubernetes-Metriken-Server
Der Kubernetes-Metriken-Server ist eine skalierbare und effiziente Quelle für Container-Ressourcen-Metriken für die in Kubernetes integrierten Pipelines zur automatischen Skalierung. Es erfasst Ressourcenmetriken von Kubelets und stellt sie über die Metrik-API im Kubernetes-Apiserver zur Verfügung, damit sie vom Horizontal Pod Autoscaler und Vertical Pod Autoscaler genutzt werden können.
| Eigenschaft | Wert |
| --- | --- |
| Add-On-Name | `metrics-server` |
| Namespace | `kube-system` |
| Dokumentation | [GitHub Readme](https://github.com/kubernetes-sigs/metrics-server) |
| Servicekonto-Name | Keine |
| Verwaltete IAM-Richtlinie | Keine |
| Benutzerdefinierte IAM-Berechtigungen | Keine |
### kube-state-metrics
Add-On-Agent zum Generieren und Bereitstellen von Metriken auf Cluster-Ebene.
Der Status von Kubernetes-Objekten in der Kubernetes-API kann als Metriken dargestellt werden. Ein sogenannter Add-On-Agent kube-state-metrics kann eine Verbindung zum Kubernetes-API-Server herstellen und einen HTTP-Endpunkt mit Metriken bereitstellen, die aus dem Status einzelner Objekte im Cluster generiert werden. Es werden verschiedene Informationen über den Status von Objekten angezeigt, wie Beschriftungen und Annotationen, Startup- und Beendigungszeiten, Status oder die Phase, in der sich das Objekt derzeit befindet.
| Eigenschaft | Wert |
| --- | --- |
| Add-On-Name | `kube-state-metrics` |
| Namespace | `kube-state-metrics` |
| Dokumentation | [Metriken für Kubernetes-Objektzustände](https://kubernetes.io/docs/concepts/cluster-administration/kube-state-metrics/) in der Kubernetes-Dokumentation |
| Servicekonto-Name | Keine |
| Verwaltete IAM-Richtlinie | Keine |
| Benutzerdefinierte IAM-Berechtigungen | Keine |
### Prometheus-Knoten-Exporter
Prometheus-Exporter für Hardware- und Betriebssystemmetriken, die von \$1NIX-Kernels bereitgestellt werden, geschrieben in Go mit pluggbaren Metrik-Kollektoren. Der Prometheus-Knoten-Exporter stellt eine Vielzahl von hardware- und kernellastigen Metriken bereit.
| Eigenschaft | Wert |
| --- | --- |
| Add-On-Name | `prometheus-node-exporter` |
| Namespace | `prometheus-node-exporter` |
| Dokumentation | [Überwachung von Linux-Host-Metriken mit dem Knoten-Exporter](https://prometheus.io/docs/guides/node-exporter/#monitoring-linux-host-metrics-with-the-node-exporter) in Prometheus-Dokumentation |
| Servicekonto-Name | Keine |
| Verwaltete IAM-Richtlinie | Keine |
| Benutzerdefinierte IAM-Berechtigungen | Keine |
### Cert Manager
Cert Manager kann zur Verwaltung der Erstellung und Erneuerung von Zertifikaten verwendet werden.
| Eigenschaft | Wert |
| --- | --- |
| Add-On-Name | `cert-manager` |
| Namespace | `cert-manager` |
| Dokumentation | [Cert-Manager-Dokumente](https://cert-manager.io/docs/) |
| Servicekonto-Name | Keine |
| Verwaltete IAM-Richtlinie | Keine |
| Benutzerdefinierte IAM-Berechtigungen | Keine |
### Externes DNS
Mit dem Add-On Externes DNS EKS können Sie Route53-DNS-Einträge über Kubernetes-Ressourcen verwalten.
Externe DNS-Berechtigungen können für die gehosteten Zonen, die Sie verwalten möchten, auf `route53:ChangeResourceRecordSets`, `route53:ListHostedZones` und `route53:ListResourceRecordSets` reduziert werden.
| Eigenschaft | Wert |
| --- | --- |
| Add-On-Name | `external-dns` |
| Namespace | `external-dns` |
| Dokumentation | [GitHub Readme](https://github.com/kubernetes-sigs/external-dns) |
| Servicekonto-Name | `external-dns` |
| Verwaltete IAM-Richtlinie | ` arn:aws: iam::aws:policy/AmazonRoute53FullAccess` |
| Benutzerdefinierte IAM-Berechtigungen | Keine |
### Fluent Bit
Fluent Bit ist ein unkomplizierter und leistungsstarker Protokollprozessor und -weiterleiter. Es ermöglicht Ihnen, Daten data/logs aus verschiedenen Quellen zu sammeln, zu vereinheitlichen und an mehrere Ziele zu senden, darunter Amazon CloudWatch Logs, Amazon S3 und Amazon Kinesis Data Firehose. Fluent Bit wurde im Hinblick auf Leistung und Ressourceneffizienz entwickelt und ist daher ideal für Kubernetes-Umgebungen.
Dieses Add-On erfordert in der Standardkonfiguration keine IAM-Berechtigungen. Möglicherweise müssen Sie diesem Add-on jedoch IAM-Berechtigungen erteilen, wenn Sie einen Ausgabespeicherort konfigurieren. AWS Weitere Informationen finden Sie unter [Verwendung von Pod Identities zum Zuweisen einer IAM-Rolle zu einem Amazon-EKS-Add-On](update-addon-role.md).
| Eigenschaft | Wert |
| --- | --- |
| Add-On-Name | `fluent-bit` |
| Namespace | `fluent-bit` |
| Dokumentation | [Fluent-Bit-Dokumentation](https://docs.fluentbit.io/manual/) |
| Servicekonto-Name | `fluent-bit` |
| Verwaltete IAM-Richtlinie | Keine |
| Benutzerdefinierte IAM-Berechtigungen | Keine |
## Zuordnungen anzeigen
Sie können die Open-Source-Zuordnungen und Lizenzinformationen für Community-Add-Ons herunterladen.
1. Ermitteln Sie den Namen und die Version des Add-Ons, für das Sie die Zuordnungen herunterladen möchten.
1. Aktualisieren Sie den folgenden Befehl mit dem Namen und der Version:
```
curl -O https://amazon-eks-docs.s3.amazonaws.com/attributions///attributions.zip
```
Beispiel:
```
curl -O https://amazon-eks-docs.s3.amazonaws.com/attributions/kube-state-metrics/v2.14.0-eksbuild.1/attributions.zip
```
1. Verwenden Sie den Befehl, um die Datei herunterzuladen.
Verwenden Sie diese ZIP-Datei, um Informationen zu den Lizenz-Zuordnungen anzuzeigen.
# AWS Marketplace-Add-ons
Zusätzlich zur vorherigen Liste der Amazon-EKS-Add-Ons können Sie auch eine große Auswahl an Amazon-EKS-Add-Ons für Betriebssoftware von unabhängigen Softwareanbietern hinzufügen. Wählen Sie ein Add-on aus, um mehr darüber und seine Installationsanforderungen zu erfahren.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/IIPj119mspc?rel=0)
## Accuknox
Der Add-On-Name lautet `accuknox_kubearmor` und der Namespace ist `kubearmor`. Accuknox veröffentlicht das Add-On.
Informationen zum Add-on finden Sie KubeArmor in der KubeArmor Dokumentation unter [Erste Schritte mit](https://docs.kubearmor.io/kubearmor/quick-links/deployment_guide).
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Akuity
Der Add-On-Name lautet `akuity_agent` und der Namespace ist `akuity`. Akuity veröffentlicht das Add-On.
Informationen zur Verwendung des Add-Ons finden Sie unter [Installieren des Akuity-Agenten in Amazon EKS mit dem Akuity-EKS-Add-On](https://docs.akuity.io/tutorials/eks-addon-agent-install/) in der Dokumentation zur Akuity-Plattform.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Calyptia
Der Add-On-Name lautet `calyptia_fluent-bit` und der Namespace ist `calytia-fluentbit`. Calyptia veröffentlicht das Add-On.
Informationen zum Add-on finden Sie unter [Erste Schritte mit dem Calyptia-Haupt-Agent](https://docs.akuity.io/tutorials/eks-addon-agent-install/) auf der Calyptia-Dokumentations-Website.
### Servicekonto-Name
Der Name des Servicekontos lautet `clyptia-fluentbit`.
### AWS verwaltete IAM-Richtlinie
Dieses Add-On verwendet die von `AWSMarketplaceMeteringRegisterUsage` verwaltete Richtlinie. Weitere Informationen finden Sie [AWSMarketplaceMeteringRegisterUsage](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceMeteringRegisterUsage.html)im Referenzhandbuch für AWS verwaltete Richtlinien.
### Befehl zum Erstellen der erforderlichen IAM-Rolle
Für den folgenden Befehl ist es erforderlich, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md). Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *my-calyptia-role* durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen und das Kubernetes-Servicekonto zu annotieren, lesen Sie [IAM-Rollen Kubernetes-Servicekonten zuweisen](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name service-account-name --namespace calyptia-fluentbit --cluster my-cluster --role-name my-calyptia-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/AWSMarketplaceMeteringRegisterUsage --approve
```
## Cisco-Beobachtbarkeits-Collector
Der Add-On-Name lautet `cisco_cisco-cloud-observability-collectors` und der Namespace ist `appdynamics`. Cisco veröffentlicht das Add-On.
Informationen zum Add-on finden Sie unter [Verwenden der Cisco Cloud Observability AWS Marketplace-Add-Ons](https://docs.appdynamics.com/observability/cisco-cloud-observability/en/kubernetes-and-app-service-monitoring/install-kubernetes-and-app-service-monitoring-with-amazon-elastic-kubernetes-service/use-the-cisco-cloud-observability-aws-marketplace-add-ons) in der AppDynamics Cisco-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Cisco-Beobachtbarkeits-Operator
Der Add-On-Name lautet `cisco_cisco-cloud-observability-operators` und der Namespace ist `appdynamics`. Cisco veröffentlicht das Add-On.
Informationen zum Add-on finden Sie unter [Verwenden der Cisco Cloud Observability AWS Marketplace-Add-Ons](https://docs.appdynamics.com/observability/cisco-cloud-observability/en/kubernetes-and-app-service-monitoring/install-kubernetes-and-app-service-monitoring-with-amazon-elastic-kubernetes-service/use-the-cisco-cloud-observability-aws-marketplace-add-ons) in der AppDynamics Cisco-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## CLOUDSOFT
Der Add-On-Name lautet `cloudsoft_cloudsoft-amp` und der Namespace ist `cloudsoft-amp`. CLOUDSOFT veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Amazon-EKS-ADDON](https://docs.cloudsoft.io/operations/configuration/aws-eks-addon.html) in der CLOUDSOFT-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Cribl
Der Add-On-Name lautet `cribl_cribledge` und der Namespace ist `cribledge`. Cribl veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Installieren des Cribl-Amazon-EKS-Add-Ons für Edge](https://docs.cribl.io/edge/usecase-edge-aws-eks/) in der Cribl-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Dynatrace
Der Add-On-Name lautet `dynatrace_dynatrace-operator` und der Namespace ist `dynatrace`. Dynatrace veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Kubernetes-Überwachung](https://www.dynatrace.com/technologies/kubernetes-monitoring/) in der Dynatrace-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Datree
Der Add-On-Name lautet `datree_engine-pro` und der Namespace ist `datree`. Datree veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Amazon-EKS-Integration](https://hub.datree.io/integrations/eks-integration) in der Datree-Dokumentation.
### Servicekonto-Name
Der Name des Dienstkontos lautet datree-webhook-server-awsmp.
### AWS verwaltete IAM-Richtlinie
Die verwaltete Richtlinie ist AWSLicenseManagerConsumptionPolicy. Weitere Informationen finden Sie [AWSLicenseManagerConsumptionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLicenseManagerConsumptionPolicy.html)im Referenzhandbuch für AWS verwaltete Richtlinien..
### Befehl zum Erstellen der erforderlichen IAM-Rolle
Für den folgenden Befehl ist es erforderlich, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md). Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *my-datree-role* durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen und das Kubernetes-Servicekonto zu annotieren, lesen Sie [IAM-Rollen Kubernetes-Servicekonten zuweisen](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name datree-webhook-server-awsmp --namespace datree --cluster my-cluster --role-name my-datree-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/service-role/AWSLicenseManagerConsumptionPolicy --approve
```
### Benutzerdefinierte Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Datadog
Der Add-On-Name lautet `datadog_operator` und der Namespace ist `datadog-agent`. Datadog veröffentlicht das Add-On.
Informationen zum Add-on finden Sie unter [Installieren des Datadog-Agenten in Amazon EKS mit dem Datadog-Operator-Add-On](https://docs.datadoghq.com/containers/guide/operator-eks-addon/?tab=console) in der Datadog-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Groundcover
Der Add-On-Name lautet `groundcover_agent` und der Namespace lautet `groundcover`. Groundcover veröffentlicht das Add-On.
Informationen zum Add-on finden Sie unter [Installieren des Groundcover-Amazon-EKS-Add-Ons](https://docs.groundcover.com/docs/~/changes/VhDDAl1gy1VIO3RIcgxD/configuration/customization-guide/customize-deployment/eks-add-on) in der Groundcover-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## IBM Instana
Der Add-On-Name lautet `instana-agent` und der Namespace ist `instana-agent`. IBM veröffentlicht das Add-On.
Informationen zum Add-on finden Sie unter [Implementieren von Observability für Amazon EKS-Workloads mithilfe des Instana Amazon EKS-Add-ons](https://aws.amazon.com/blogs/ibm-redhat/implement-observability-for-amazon-eks-workloads-using-the-instana-amazon-eks-add-on/) und [Überwachen und Optimieren der Amazon EKS-Kosten mit IBM Instana und Kubecost](https://aws.amazon.com/blogs/ibm-redhat/monitor-and-optimize-amazon-eks-costs-with-ibm-instana-and-kubecost/) im Blog. AWS
Instana-Beobachtbarkeit (Instana) bietet ein Amazon-EKS-Add-On, das Instana-Agenten in Amazon-EKS-Clustern bereitstellt. Kunden können dieses Add-On verwenden, um Leistungsdaten in Echtzeit zu erfassen und zu analysieren und so Einblicke in ihre containerisierten Anwendungen zu gewinnen. Das Amazon-EKS-Add-On von Instana bietet Sichtbarkeit über Ihre Kubernetes-Umgebungen hinweg. Nach der Bereitstellung erkennt der Instana-Agent automatisch Komponenten innerhalb Ihrer Amazon-EKS-Cluster, darunter Knoten, Namespaces, Bereitstellungen, Services und Pods.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Grafana Labs
Der Add-On-Name lautet `grafana-labs_kubernetes-monitoring` und der Namespace ist `monitoring`. Grafana Labs veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Konfigurieren der Kubernetes-Überwachung als Add-On mit Amazon EKS](https://grafana.com/docs/grafana-cloud/monitor-infrastructure/kubernetes-monitoring/configuration/config-aws-eks/) in der Grafana-Labs-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Guance
+ **Publisher** – GUANCE
+ **Name (Name** – `guance_datakit`
+ **Namespace** – `datakit`
+ **Servicekonto-Name** – Ein Servicekonto wird mit diesem Add-On nicht verwendet.
+ **Von AWS verwaltete IAM-Richtlinie** – Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
+ **Benutzerdefinierte IAM-Berechtigungen** – Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
+ **Anweisungen zur Einrichtung und Verwendung** – Lesen Sie [Verwenden des Amazon-EKS-Add-Ons](https://docs.guance.com/en/datakit/datakit-eks-deploy/#add-on-install) in der Guance-Dokumentation.
## HA Proxy
Der Name lautet `haproxy-technologies_kubernetes-ingress-ee` und der Namespace ist `haproxy-controller`. HA Proxy veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Amazon-EKS-Integration](https://hub.datree.io/integrations/eks-integration) in der Datree-Dokumentation.
### Servicekonto-Name
Der Name des Servicekontos lautet `customer defined`.
### AWS verwaltete IAM-Richtlinie
Die verwaltete Richtlinie ist AWSLicenseManagerConsumptionPolicy. Weitere Informationen finden Sie [AWSLicenseManagerConsumptionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLicenseManagerConsumptionPolicy.html)im Referenzhandbuch für AWS verwaltete Richtlinien..
### Befehl zum Erstellen der erforderlichen IAM-Rolle
Für den folgenden Befehl ist es erforderlich, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md). Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *my-haproxy-role* durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen und das Kubernetes-Servicekonto zu annotieren, lesen Sie [IAM-Rollen Kubernetes-Servicekonten zuweisen](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name service-account-name --namespace haproxy-controller --cluster my-cluster --role-name my-haproxy-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/service-role/AWSLicenseManagerConsumptionPolicy --approve
```
### Benutzerdefinierte Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Kpow
Der Add-On-Name lautet `factorhouse_kpow` und der Namespace ist `factorhouse`. Factorhouse veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [AWS Marketplace LM](https://docs.kpow.io/installation/aws-marketplace-lm/) in der Kpow-Dokumentation.
### Servicekonto-Name
Der Name des Servicekontos lautet `kpow`.
### AWS verwaltete IAM-Richtlinie
Die verwaltete Richtlinie ist AWSLicenseManagerConsumptionPolicy. Weitere Informationen finden Sie [AWSLicenseManagerConsumptionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLicenseManagerConsumptionPolicy.html)im Referenzhandbuch für AWS verwaltete Richtlinien..
### Befehl zum Erstellen der erforderlichen IAM-Rolle
Für den folgenden Befehl ist es erforderlich, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md). Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *my-kpow-role* durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen und das Kubernetes-Servicekonto zu annotieren, lesen Sie [IAM-Rollen Kubernetes-Servicekonten zuweisen](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name kpow --namespace factorhouse --cluster my-cluster --role-name my-kpow-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/service-role/AWSLicenseManagerConsumptionPolicy --approve
```
### Benutzerdefinierte Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Kubecost
Der Add-On-Name lautet `kubecost_kubecost` und der Namespace ist `kubecost`. Kubecost veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Integration der AWS -Cloud- Fakturierung](https://docs.kubecost.com/install-and-configure/install/cloud-integration/aws-cloud-integrations) in der Kubecost-Dokumentation.
Sie müssen die [Speichern von Kubernetes-Volumes mit Amazon EBS](ebs-csi.md) auf Ihrem Cluster installiert haben. Andernfalls erhalten Sie eine Fehlermeldung.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Kasten
Der Add-On-Name lautet `kasten_k10` und der Namespace ist `kasten-io`. Kasten von Veeam veröffentlicht das Add-On.
Informationen zum Add-on finden Sie unter [Installation von K10 unter AWS Verwendung des Amazon EKS Add-ons](https://docs.kasten.io/latest/install/aws-eks-addon/aws-eks-addon.html) in der Kasten-Dokumentation.
Sie müssen den Amazon-EBS-CSI-Treiber mit einem Standard-`StorageClass` auf Ihrem Cluster installiert haben.
### Servicekonto-Name
Der Name des Servicekontos lautet `k10-k10`.
### AWS verwaltete IAM-Richtlinie
Die verwaltete Richtlinie ist AWSLicenseManagerConsumptionPolicy. Weitere Informationen finden Sie [AWSLicenseManagerConsumptionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLicenseManagerConsumptionPolicy.html)im Referenzhandbuch für AWS verwaltete Richtlinien..
### Befehl zum Erstellen der erforderlichen IAM-Rolle
Für den folgenden Befehl ist es erforderlich, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md). Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *my-kasten-role* durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie [eksctl](https://eksctl.io) auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen und das Kubernetes-Servicekonto zu annotieren, lesen Sie [IAM-Rollen Kubernetes-Servicekonten zuweisen](associate-service-account-role.md).
```
eksctl create iamserviceaccount --name k10-k10 --namespace kasten-io --cluster my-cluster --role-name my-kasten-role \
--role-only --attach-policy-arn arn:aws: iam::aws:policy/service-role/AWSLicenseManagerConsumptionPolicy --approve
```
### Benutzerdefinierte Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Kong
Der Add-On-Name lautet `kong_konnect-ri` und der Namespace ist `kong`. Kong veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Installieren des EKS-Add-Ons für Kong-Gateway](https://kong.github.io/aws-marketplace-addon-kong-gateway/) in der Kong-Dokumentation.
Sie müssen die [Speichern von Kubernetes-Volumes mit Amazon EBS](ebs-csi.md) auf Ihrem Cluster installiert haben. Andernfalls erhalten Sie eine Fehlermeldung.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## LeakSignal
Der Name des Add-ons lautet `leaksignal_leakagent` und der Namespace ist`leakagent`. LeakSignal veröffentlicht das Add-on.
Informationen zum Add-on finden Sie in der Dokumentation unter https://www.leaksignal.com/docs/ LeakAgent /Deployment/AWS%20EKS%20Addon/ [Das Add-on installieren] LeakAgent LeakSignal
Sie müssen die [Speichern von Kubernetes-Volumes mit Amazon EBS](ebs-csi.md) auf Ihrem Cluster installiert haben. Andernfalls erhalten Sie eine Fehlermeldung.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## NetApp
Der Name des Add-ons lautet `netapp_trident-operator` und der Namespace ist`trident`. NetApp veröffentlicht das Add-on.
Informationen zum Add-on finden Sie in der NetApp Dokumentation unter [Konfiguration des Trident EKS-Add-ons](https://docs.netapp.com/us-en/trident/trident-use/trident-aws-addon.html).
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## New Relic
Der Add-On-Name lautet `new-relic_kubernetes-operator` und der Namespace ist `newrelic`. New Relic veröffentlicht das Add-On.
Informationen zum Add-on finden Sie unter [Installieren des New-Relic-Add-Ons für EKS](https://docs.newrelic.com/docs/infrastructure/amazon-integrations/connect/eks-add-on) in der New-Relic-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Rafay
Der Add-On-Name lautet `rafay-systems_rafay-operator` und der Namespace ist `rafay-system`. Rafay veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Installieren des Rafay-Amazon-EKS-Add-Ons](https://docs.rafay.co/clusters/import/eksaddon/) in der Rafay-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Rad Security
+ **Publisher** – RAD SECURITY
+ **Name (Name** – `rad-security_rad-security`
+ **Namespace** – `ksoc`
+ **Servicekonto-Name** – Ein Servicekonto wird mit diesem Add-On nicht verwendet.
+ **Von AWS verwaltete IAM-Richtlinie** – Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
+ **Benutzerdefinierte IAM-Berechtigungen** – Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
+ **Anweisungen zur Einrichtung und Verwendung** — Weitere Informationen finden Sie unter [Installation von Rad Through The AWS Marketplace](https://docs.rad.security/docs/installing-ksoc-in-the-aws-marketplace) in der Rad Security-Dokumentation.
## SolarWinds
+ **Publisher** – SOLARWINDS
+ **Name (Name** – `solarwinds_swo-k8s-collector-addon`
+ **Namespace** – `solarwinds`
+ **Servicekonto-Name** – Ein Servicekonto wird mit diesem Add-On nicht verwendet.
+ **Von AWS verwaltete IAM-Richtlinie** – Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
+ **Benutzerdefinierte IAM-Berechtigungen** – Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
+ **Anweisungen zur Einrichtung und Verwendung** — siehe [Überwachen eines Amazon EKS-Clusters](https://documentation.solarwinds.com/en/success_center/observability/content/configure/configure-kubernetes.htm#MonitorAmazonEKS) in der SolarWinds Dokumentation.
## Solo
Der Add-On-Name lautet `solo-io_istio-distro` und der Namespace ist `istio-system`. Solo veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Installation von Istio](https://docs.solo.io/gloo-mesh-enterprise/main/setup/install/eks_addon/) in der Solo.io-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Snyk
+ **Publisher** – SNYK
+ **Name (Name** – `snyk_runtime-sensor`
+ **Namespace** – `snyk_runtime-sensor`
+ **Servicekonto-Name** – Ein Servicekonto wird mit diesem Add-On nicht verwendet.
+ **Von AWS verwaltete IAM-Richtlinie** – Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
+ **Benutzerdefinierte IAM-Berechtigungen** – Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
+ **Anleitung zur Einrichtung und Verwendung** – Beachten Sie den [Snyk-Laufzeitsensor](https://docs.snyk.io/integrate-with-snyk/snyk-runtime-sensor) in der Snyk-Benutzerdokumentation.
## Stormforge
Der Add-On-Name lautet `stormforge_optimize-Live` und der Namespace ist `stormforge-system`. Stormforge veröffentlicht das Add-On.
Informationen zum Add-on finden Sie in [der StormForge Dokumentation unter Installation des StormForge Agenten](https://docs.stormforge.io/optimize-live/getting-started/install-v2/).
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## SUSE
+ **Publisher** – SUSE
+ **Name (Name** – `suse_observability-agent`
+ **Namespace** – `suse-observability`
+ **Servicekonto-Name** – Ein Servicekonto wird mit diesem Add-On nicht verwendet.
+ **Von AWS verwaltete IAM-Richtlinie** – Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
+ **Benutzerdefinierte IAM-Berechtigungen** – Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
+ **Anweisungen zur Einrichtung und Verwendung** – Lesen Sie [Schnellstart](https://docs.stackstate.com/get-started/k8s-quick-start-guide#amazon-eks) in der SUSE-Dokumentation.
## Splunk
Der Add-On-Name lautet `splunk_splunk-otel-collector-chart` und der Namespace ist `splunk-monitoring`. Splunk veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Installieren des Splunk-Add-Ons für Amazon EKS](https://help.splunk.com/en/splunk-observability-cloud/manage-data/splunk-distribution-of-the-opentelemetry-collector/get-started-with-the-splunk-distribution-of-the-opentelemetry-collector/collector-for-kubernetes/kubernetes-eks-add-on) in der Splunk-Dokumentation
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Teleport
Der Add-On-Name lautet `teleport_teleport` und der Namespace ist `teleport`. Teleport veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Funktionsweise von Teleport](https://goteleport.com/how-it-works/) in der Teleport-Dokumentation.
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Tetrate
Der Add-On-Name lautet `tetrate-io_istio-distro` und der Namespace ist `istio-system`. Tetrate Io veröffentlicht das Add-On.
Informationen zum Add-On finden Sie auf der Website von [Tetrate Istio Distro](https://tetratelabs.io/).
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Upbound Universal Crossplane
Der Add-On-Name lautet `upbound_universal-crossplane` und der Namespace ist `upbound-system`. Upbound veröffentlicht das Add-On.
Informationen zum Add-On finden Sie unter [Upbound Universal Crossplane (UXP)](https://docs.upbound.io/uxp/) in der Upbound-Dokumentation
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
## Upwind
Der Add-On-Name lautet `upwind` und der Namespace ist `upwind`. Upwind veröffentlicht das Add-On.
Informationen zum Add-On finden Sie in der [Upwind-Dokumentation](https://docs.upwind.io/install-sensor/kubernetes/install?installation-method=amazon-eks-addon).
### Servicekonto-Name
Ein Servicekonto wird mit diesem Add-On nicht verwendet.
### AWS verwaltete IAM-Richtlinie
Eine verwaltete Richtlinie wird mit diesem Add-On nicht verwendet.
### Benutzerdefinierte IAM-Berechtigungen
Benutzerdefinierte Berechtigungen werden mit diesem Add-On nicht verwendet.
# Erstellung eines Amazon-EKS-Add-Ons
Amazon-EKS-Add-Ons sind Zusatzsoftware für Amazon-EKS-Cluster. Alle Amazon-EKS-Add-Ons:
+ Sie enthalten die neuesten Sicherheits-Patches und Fehlerbehebungen.
+ Sind für die Verwendung AWS mit Amazon EKS validiert.
+ Sie reduzieren den Arbeitsaufwand für die Verwaltung der Add-On-Software.
Sie können ein Amazon EKS-Add-on mithilfe `eksctl` der AWS-Managementkonsole oder der AWS CLI erstellen. Wenn das Add-On eine IAM-Rolle erfordert, finden Sie weitere Informationen zum Erstellen der Rolle in den Details zum jeweiligen Add-On unter [Amazon-EKS-Add-Ons](eks-add-ons.md).
## Voraussetzungen
Führen Sie Folgendes aus, bevor Sie ein Add-On erstellen:
+ Der Cluster muss vorhanden sein, bevor Sie ein Add-On dafür erstellen. Weitere Informationen finden Sie unter [Amazon-EKS-Cluster erstellen](create-cluster.md).
+ Überprüfen Sie, ob Ihr Add-On eine IAM-Rolle erfordert. Weitere Informationen finden Sie unter [Kompatibilität der Add-On-Version von Amazon EKS mit einem Cluster überprüfen](addon-compat.md).
+ Stellen Sie sicher, dass die Amazon-EKS-Add-On-Version mit Ihrem Cluster kompatibel ist. Weitere Informationen finden Sie unter [Kompatibilität der Add-On-Version von Amazon EKS mit einem Cluster überprüfen](addon-compat.md).
+ Vergewissern Sie sich, dass Version 0.190.0 oder höher des `eksctl` Befehlszeilentools auf Ihrem Computer installiert ist oder. AWS CloudShell Weitere Informationen finden Sie unter [Installation](https://eksctl.io/installation/) auf der `eksctl`-Website.
## Verfahren
Sie können ein Amazon EKS-Add-on mithilfe `eksctl` der AWS-Managementkonsole oder der AWS CLI erstellen. Wenn das Add-On eine IAM-Rolle erfordert, finden Sie in den Details zum jeweiligen Add-On unter [Verfügbare Amazon-EKS-Add-Ons von AWS](workloads-add-ons-available-eks.md) Einzelheiten zum Erstellen der Rolle.
## Add-On erstellen (eksctl)
1. Zeigen Sie die Namen der Add-Ons an, die für eine Cluster-Version verfügbar sind. Ersetzen Sie *1.35* durch die Version Ihres Clusters.
```
eksctl utils describe-addon-versions --kubernetes-version 1.35 | grep AddonName
```
Eine Beispielausgabe sieht wie folgt aus.
```
"AddonName": "aws-ebs-csi-driver",
"AddonName": "coredns",
"AddonName": "kube-proxy",
"AddonName": "vpc-cni",
"AddonName": "adot",
"AddonName": "dynatrace_dynatrace-operator",
"AddonName": "upbound_universal-crossplane",
"AddonName": "teleport_teleport",
"AddonName": "factorhouse_kpow",
[...]
```
1. Zeigen Sie die Versionen des Add-Ons an, die für das Add-On verfügbar sind, das Sie erstellen möchten. Ersetzen Sie *1.35* durch die Version Ihres Clusters. Ersetzen Sie *name-of-addon* mit dem Namen des Add-Ons, für das Sie die Versionen anzeigen möchten. Der Name muss einer der Namen sein, die in den vorherigen Schritten zurückgegeben wurden.
```
eksctl utils describe-addon-versions --kubernetes-version 1.35 --name name-of-addon | grep AddonVersion
```
Die folgende Ausgabe ist ein Beispiel dafür, was für das Add-On mit dem Namen `vpc-cni` zurückgegeben wird. Sie können sehen, dass das Add-On in mehreren Versionen verfügbar ist.
```
"AddonVersions": [
"AddonVersion": "v1.12.0-eksbuild.1",
"AddonVersion": "v1.11.4-eksbuild.1",
"AddonVersion": "v1.10.4-eksbuild.1",
"AddonVersion": "v1.9.3-eksbuild.1",
```
1. Stellen Sie fest, ob es sich bei dem Add-on, das Sie erstellen möchten, um ein Amazon EKS- oder AWS Marketplace-Add-On handelt. Der AWS Marketplace enthält Add-Ons von Drittanbietern, für die Sie zusätzliche Schritte ausführen müssen, um das Add-on zu erstellen.
```
eksctl utils describe-addon-versions --kubernetes-version 1.35 --name name-of-addon | grep ProductUrl
```
Wenn keine Ausgabe zurückgegeben wird, handelt es sich bei dem Add-On um ein Amazon EKS. Wenn die Ausgabe zurückgegeben wird, handelt es sich bei dem Add-On um ein AWS Marketplace-Add-On. Die folgende Ausgabe bezieht sich auf ein Add-On mit dem Namen `teleport_teleport`.
```
"ProductUrl": "https://aws.amazon.com/marketplace/pp?sku=3bda70bb-566f-4976-806c-f96faef18b26"
```
Sie können mehr über das Add-on im AWS Marketplace mit der zurückgegebenen URL erfahren. Wenn für das Add-on ein Abonnement erforderlich ist, können Sie das Add-on über den AWS Marketplace abonnieren. Wenn Sie ein Add-on im AWS Marketplace erstellen möchten, muss der [IAM-Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal), den Sie zum Erstellen des Add-ons verwenden, über die Berechtigung verfügen, die [AWSServiceRoleForAWSLicenseManagerRole](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager-role-core.html)serviceverknüpfte Rolle zu erstellen. Weitere Informationen zum Zuweisen von Berechtigungen zu einer IAM-Entität finden Sie unter [Hinzufügen und Entfernen von IAM-Identitäts-Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im IAM-Benutzerhandbuch.
1. Erstellen Sie ein Amazon-EKS-Add-On. Kopieren Sie den Befehl und ersetzen Sie ihn *user-data* wie folgt:
+ Ersetzen Sie *my-cluster* mit dem Namen Ihres Clusters.
+ Ersetzen Sie *name-of-addon* durch den Namen des Add-Ons, das Sie erstellen möchten.
+ Wenn Sie eine Version des Add-ons verwenden möchten, die älter als die neueste Version ist, *latest* ersetzen Sie sie durch die Versionsnummer, die in der Ausgabe eines vorherigen Schritts zurückgegeben wurde, den Sie verwenden möchten.
+ Wenn das Add-On eine Servicekonto-Rolle verwendet, ersetzen Sie *111122223333* durch Ihre Konto-ID und *role-name* durch den Namen der Rolle. Anweisungen zum Erstellen einer Rolle für Ihr Servicekonto finden Sie in der Dokumentation für das Add-On, das Sie erstellen. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md). Die Angabe einer Servicekonto-Rolle setzt voraus, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen für Ihren Cluster verfügen, oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md).
Wenn das Add-On keine Servicekonto-Rolle verwendet, löschen Sie `--service-account-role-arn arn:aws: iam::111122223333:role/role-name`.
+ Dieser Beispielbefehl überschreibt die Konfiguration aller vorhandenen selbstverwalteten Versionen des Add-Ons, falls es eine gibt. Wenn Sie die Konfiguration eines vorhandenen selbstverwalteten Add-Ons nicht überschreiben möchten, entfernen Sie die *--force* Option. Wenn Sie die Option entfernen und das Amazon-EKS-Add-On die Konfiguration eines vorhandenen selbstverwalteten Add-Ons benötigt, scheitert die Erstellung des Amazon-EKS-Add-Ons mit einer Fehlermeldung, die Sie bei der Behebung des Konflikts unterstützt. Stellen Sie vor der Angabe dieser Option sicher, dass das Amazon-EKS-Add-On keine Einstellungen verwaltet, die Sie verwalten müssen, da diese Einstellungen mit dieser Option überschrieben werden.
```
eksctl create addon --cluster my-cluster --name name-of-addon --version latest \
--service-account-role-arn arn:aws: iam::111122223333:role/role-name --force
```
Sie finden eine Liste mit allen verfügbaren Optionen für den Befehl.
```
eksctl create addon --help
```
Weitere Informationen zu verfügbaren Optionen finden Sie unter [Add-Ons](https://eksctl.io/usage/addons/) in der `eksctl`-Dokumentation.
## Add-on erstellen (Konsole)AWS
1. Öffnen Sie die [Amazon-EKS-Konsole](https://console.aws.amazon.com/eks/home#/clusters).
1. Wählen Sie im linken Navigationsbereich **Cluster** aus.
1. Wählen Sie den Namen des Clusters, für den Sie das Add-On erstellen möchten.
1. Wählen Sie die Registerkarte **Add-ons**.
1. Wählen Sie **Weitere Add-Ons erhalten**.
1. Wählen Sie auf der Seite **Select add-ons** (Add-Ons auswählen) die Add-Ons aus, die Sie Ihrem Cluster hinzufügen möchten. Sie können so viele **Amazon EKS-Add-Ons** und ** AWS Marketplace-Add-Ons** hinzufügen, wie Sie benötigen.
Für ** AWS Marketplace-Add-Ons** muss der [IAM-Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal), den Sie zum Erstellen des Add-ons verwenden, über Berechtigungen zum Lesen von Berechtigungen für das Add-on aus dem verfügen. AWS LicenseManager AWS LicenseManager erfordert eine [AWSServiceRoleForAWSLicenseManagerRole](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager-role-core.html)serviceverknüpfte Rolle (SLR), die es AWS Ressourcen ermöglicht, Lizenzen in Ihrem Namen zu verwalten. Das SLR ist eine einmalige Anforderung pro Konto, und Sie müssen keine separaten SLRs für jedes Add-On oder jeden Cluster erstellen. Weitere Informationen zum Zuweisen von Berechtigungen zu einem [IAM-Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) finden Sie unter [Hinzufügen und Entfernen von IAM-Identitäts-Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im IAM-Benutzerhandbuch.
Wenn die ** AWS Marketplace-Add-Ons**, die Sie installieren möchten, nicht aufgeführt sind, können Sie auf die Seitennummerierung klicken, um zusätzliche Seitenergebnisse anzuzeigen, oder im Suchfeld suchen. In den **Filtering options** (Filteroptionen) können Sie auch nach **category** (Kategorie), **vendor** (Anbieter) oder **pricing model** (Preismodell) filtern und dann die Add-ons aus den Suchergebnissen auswählen. Nachdem Sie die Add-Ons ausgewählt haben, die Sie installieren möchten, wählen Sie **Weiter**.
1. Gehen Sie auf der Seite **Konfigurieren ausgewählter Add-Ons-Einstellungen** wie folgt vor:
1. Wählen Sie **View subscription options** (Abonnementoptionen anzeigen), um das Formular **Subscription options** (Abonnementoptionen) zu öffnen. Lesen Sie die Abschnitte **Pricing details** (Preisinformationen) und **Legal** (Rechtliche Hinweise) und klicken Sie dann auf **Subscribe** (Abonnieren), um fortzufahren.
1. Wählen Sie für **Version** die Version aus, welche Sie installieren möchten. Wir empfehlen die als **neueste** Version markierte Version, es sei denn, das einzelne Add-On, das Sie erstellen, empfiehlt eine andere Version. Um festzustellen, ob ein Add-On über eine empfohlene Version verfügt, lesen Sie die Dokumentation für das Add-On, das Sie erstellen. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md).
1. Sie haben zwei Möglichkeiten, Rollen für Add-Ons zu konfigurieren: IAM-Rolle für EKS-Pod-Identitäten und IAM-Rollen für Servicekonten (IRSA). Befolgen Sie die entsprechenden nachfolgenden Schritte für die von Ihnen bevorzugte Option. Wenn für alle von Ihnen ausgewählten Add-Ons **Abonnement erforderlich** ist unter **Status**, wählen Sie **Weiter** aus. Sie können [diese Add-Ons konfigurieren](updating-an-add-on.md), wenn Sie sie nach der Erstellung Ihres Clusters abonniert haben. Für die Add-Ons, die kein **Abonnement erforderlich** unter **Status** haben, gehen Sie wie folgt vor:
1. Für die **IAM-Rolle Pod Identity für Servicekonto** können Sie entweder eine vorhandene IAM-Rolle EKS Pod Identity verwenden oder mithilfe der Schaltfläche **Empfohlene Rolle erstellen** eine neue Rolle erstellen. In diesem Feld werden nur Optionen mit der entsprechenden Vertrauensrichtlinie bereitgestellt. Wenn keine Rolle zur Auswahl steht, verfügen Sie über keine vorhandene Rolle mit einer passenden Vertrauensrichtlinie. Um eine IAM-Rolle EKS Pod Identity für Servicekonten der ausgewählten Add-On zu konfigurieren, wählen Sie **Empfohlene Rolle erstellen** aus. Der Assistent zur Rollenerstellung wird in einem separaten Fenster geöffnet. Der Assistent füllt die Rolleninformationen automatisch wie folgt aus. Führen Sie für jedes Add-On, für das Sie die IAM-Rolle EKS Pod Identity erstellen möchten, die folgenden Schritte im IAM-Assistenten aus.
+ Im Schritt **Vertrauenswürdige Entität auswählen** sind die AWS Serviceoption für **EKS** und der Anwendungsfall für **EKS — Pod Identity** vorausgewählt, und die entsprechende Vertrauensrichtlinie wird automatisch für das Add-on ausgefüllt. Beispielsweise wird die Rolle mit der entsprechenden Vertrauensrichtlinie erstellt, die den IAM-Prinzipal pods.eks.amazonaws.com enthält, wie in [Vorteile von EKS-Pod-Identitäten](pod-identities.md#pod-id-benefits) beschrieben. Wählen Sie **Weiter** aus.
+ Im Schritt **Berechtigungen hinzufügen** wird die entsprechende verwaltete Richtlinie für die Rollenrichtlinie für das Add-On vorausgewählt. Beispielsweise wird für das Add-On für Amazon VPC CNI die Rolle mit der verwalteten Richtlinie `AmazonEKS_CNI_Policy` erstellt, wie in [Amazon-VPC-CNI-Plugin für Kubernetes](workloads-add-ons-available-eks.md#add-ons-vpc-cni) beschrieben. Wählen Sie **Weiter** aus.
+ Im Schritt **Name, überprüfen und erstellen** wird unter **Rollenname** automatisch der Standardrollenname für das Add-On eingetragen. **Für das **Amazon VPC CNI-Add-on** wird die Rolle beispielsweise mit dem Namen Amazon erstellt. EKSPod IdentityAmazon VPCCNIRole** Unter **Beschreibung** wird die Standardbeschreibung automatisch mit der entsprechenden Beschreibung für das Add-On eingetragen. Für das Amazon VPC CNI-Add-on wird die Rolle beispielsweise mit der Beschreibung **Erlaubt Pods, die im Amazon EKS-Cluster ausgeführt** werden, den Zugriff auf AWS Ressourcen erstellt. Zeigen Sie unter **Vertrauensrichtlinie** die ausgefüllte Vertrauensrichtlinie für das Add-On an. Wählen Sie **Rolle erstellen** aus.
HINWEIS: Durch Beibehalten des Standard-Rollennamens kann EKS die Rolle für Add-Ons in neuen Clustern oder beim Hinzufügen von Add-Ons zu vorhandenen Clustern vorab auswählen. Sie können diesen Namen weiterhin überschreiben, und die Rolle steht dann für das Add-On in Ihren Clustern zur Verfügung, muss jedoch manuell aus der Dropdown-Liste ausgewählt werden.
1. Informationen zu Add-Ons, bei denen unter **Status** nicht die Option **Abonnement erforderlich** angezeigt wird und bei denen Sie Rollen mithilfe von IRSA konfigurieren möchten, finden Sie in der Dokumentation des Add-Ons, das Sie erstellen, um eine IAM-Richtlinie zu erstellen und sie einer Rolle zuzuordnen. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md). Die Auswahl einer IAM-Rolle erfordert, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen für Ihren Cluster verfügen, oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md).
1. Wählen Sie **Optional configuration settings** (Optionale Konfigurationseinstellungen) aus.
1. Wenn für das Add-On eine Konfiguration erforderlich ist, geben Sie diese in das Feld **Configuration values** (Konfigurationswerte) ein. Um festzustellen, ob für das Add-On Konfigurationsinformationen erforderlich sind, lesen Sie die Dokumentation für das Add-On, das Sie erstellen. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md).
1. Wählen Sie eine der verfügbaren Optionen für die **Konfliktlösungsmethode** aus. Wenn Sie **Überschreiben** für **Konfliktlösungsmethode** auswählen, können eine oder mehrere der Einstellungen für das vorhandene Add-On mit den Einstellungen des Amazon-EKS-Add-Ons überschrieben werden. Wenn Sie diese Option nicht aktivieren und ein Konflikt mit Ihren vorhandenen Einstellungen vorliegt, schlägt der Vorgang fehl. Sie können die sich daraus ergebende Fehlermeldung heranziehen, um den Konflikt zu beheben. Stellen Sie vor der Auswahl dieser Option sicher, dass das Amazon-EKS-Add-On keine Einstellungen verwaltet, die Sie selbst verwalten müssen.
1. Wenn Sie das Add-On in einem bestimmten Namespace installieren möchten, geben Sie diesen in das Feld **Namespace** ein. Für Add-Ons AWS und Community-Erweiterungen können Sie einen benutzerdefinierten Kubernetes-Namespace definieren, in dem das Add-on installiert werden soll. Weitere Informationen finden Sie unter [Benutzerdefinierter Namespace für Add-Ons](eks-add-ons.md#custom-namespace).
1. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Überprüfen und hinzufügen** die Option **Erstellen** aus. Nachdem die Installation der Add-Ons abgeschlossen ist, werden Ihre installierten Add-Ons angezeigt.
1. Wenn für eines der von Ihnen installierten Add-Ons ein Abonnement erforderlich ist, gehen Sie wie folgt vor:
1. Wählen Sie die Schaltfläche **Subscribe** (Abonnieren) in der unteren rechten Ecke für das Add-On. Sie werden auf die Seite für das Add-on im AWS Marketplace weitergeleitet. Lesen Sie die Informationen zum Add-On, z. B. die **Product Overview** (Produktübersicht) und die **Pricing Information** (Preisinformationen).
1. Wählen Sie oben rechts auf der Add-on-Seite die Schaltfläche **Continue to Subscribe** (Mit dem Abonnement fortfahren) aus.
1. Lesen Sie sich die **** (Allgemeinen Geschäftsbedingungen) durch. Wenn Sie damit einverstanden sind, wählen Sie **Accept Terms** (Bedingungen akzeptieren) aus. Die Bearbeitung des Abonnements kann mehrere Minuten dauern. Während das Abonnement bearbeitet wird, ist die Schaltfläche **Return to Amazon EKS Console** (Zurück zur Amazon-EKS-Konsole) ausgegraut.
1. Sobald die Bearbeitung des Abonnements abgeschlossen ist, ist die Schaltfläche **Return to Amazon EKS Console** (Zurück zur Amazon-EKS-Konsole) nicht mehr ausgegraut. Wählen Sie die Schaltfläche aus, um zur Registerkarte **Add-ons** (Add-Ons) der Amazon-EKS-Konsole für Ihren Cluster zurückzukehren.
1. Wählen Sie für das Add-On, das Sie abonniert haben, **Remove and reinstall** (Entfernen und erneut installieren) und dann **Reinstall add-on** (Add-On erneut installieren) aus. Die Installation des Add-Ons kann einige Minuten dauern. Wenn die Installation abgeschlossen ist, können Sie das Add-On konfigurieren.
## Add-on erstellen (AWS CLI)
1. Sie müssen Version `2.12.3` oder höher oder Version `1.27.160` oder höher der AWS Befehlszeilenschnittstelle (AWS CLI) auf Ihrem Gerät installiert und konfiguriert haben oder AWS CloudShell. Um Ihre aktuelle Version zu überprüfen, verwenden Sie `aws --version | cut -d / -f2 | cut -d ' ' -f1`. Paketmanager wie `yum``apt-get`, oder Homebrew für macOS liegen oft mehrere Versionen hinter der neuesten Version der AWS CLI. Informationen zur Installation der neuesten Version finden Sie unter [Installation](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) und [Schnellkonfiguration mit aws configure](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) im *Benutzerhandbuch für die AWS Befehlszeilenschnittstelle*. Die AWS CLI-Version, in der installiert ist, AWS CloudShell kann auch mehrere Versionen hinter der neuesten Version liegen. Informationen zur Aktualisierung finden Sie im * AWS CloudShell Benutzerhandbuch* unter [AWS CLI in Ihrem Home-Verzeichnis installieren](https://docs.aws.amazon.com/cloudshell/latest/userguide/vm-specs.html#install-cli-software).
1. Bestimmen Sie, welche Add-Ons verfügbar sind. Sie können alle verfügbaren Add-Ons, ihren Typ und ihren Publisher anzeigen. Sie können auch die URL für Add-Ons sehen, die über den AWS Marketplace erhältlich sind. Ersetzen Sie *1.35* durch die Version Ihres Clusters.
```
aws eks describe-addon-versions --kubernetes-version 1.35 \
--query 'addons[].{MarketplaceProductUrl: marketplaceInformation.productUrl, Name: addonName, Owner: owner Publisher: publisher, Type: type}' --output table
```
Eine Beispielausgabe sieht wie folgt aus.
```
---------------------------------------------------------------------------------------------------------------------------------------------------------
| DescribeAddonVersions |
+---------------------------------------------------------------+-------------------------------+------------------+--------------+---------------------+
| MarketplaceProductUrl | Name | Owner | Publisher | Type |
+---------------------------------------------------------------+-------------------------------+------------------+--------------+---------------------+
| None | aws-ebs-csi-driver | aws | eks | storage |
| None | coredns | aws | eks | networking |
| None | kube-proxy | aws | eks | networking |
| None | vpc-cni | aws | eks | networking |
| None | adot | aws | eks | observability |
| https://aws.amazon.com/marketplace/pp/prodview-brb73nceicv7u | dynatrace_dynatrace-operator | aws-marketplace | dynatrace | monitoring |
| https://aws.amazon.com/marketplace/pp/prodview-uhc2iwi5xysoc | upbound_universal-crossplane | aws-marketplace | upbound | infra-management |
| https://aws.amazon.com/marketplace/pp/prodview-hd2ydsrgqy4li | teleport_teleport | aws-marketplace | teleport | policy-management |
| https://aws.amazon.com/marketplace/pp/prodview-vgghgqdsplhvc | factorhouse_kpow | aws-marketplace | factorhouse | monitoring |
| [...] | [...] | [...] | [...] | [...] |
+---------------------------------------------------------------+-------------------------------+------------------+--------------+---------------------+
```
Ihre Ausgabe ist möglicherweise anders. In dieser Beispielausgabe sind drei verschiedene Add-Ons vom Typ `networking` und fünf Add-Ons mit einem Publisher vom Typ `eks` verfügbar. Für die Add-Ons mit `aws-marketplace` in der `Owner`-Spalte ist möglicherweise ein Abonnement erforderlich, bevor Sie sie installieren können. Sie können die URL besuchen, um mehr über das Add-On zu erfahren und es zu abonnieren.
1. Sie können anzeigen, welche Versionen für jedes Add-On verfügbar sind. Ersetzen Sie *1.35* durch die Version Ihres Clusters und *vpc-cni* durch den Namen eines Add-Ons, das im vorherigen Schritt zurückgegeben wurde.
```
aws eks describe-addon-versions --kubernetes-version 1.35 --addon-name vpc-cni \
--query 'addons[].addonVersions[].{Version: addonVersion, Defaultversion: compatibilities[0].defaultVersion}' --output table
```
Eine Beispielausgabe sieht wie folgt aus.
```
------------------------------------------
| DescribeAddonVersions |
+-----------------+----------------------+
| Defaultversion | Version |
+-----------------+----------------------+
| False | v1.12.0-eksbuild.1 |
| True | v1.11.4-eksbuild.1 |
| False | v1.10.4-eksbuild.1 |
| False | v1.9.3-eksbuild.1 |
+-----------------+----------------------+
```
Die Version `True` in der `Defaultversion`-Spalte ist standardmäßig die Version, mit der das Add-On erstellt wurde.
1. (Optional) Finden Sie die Konfigurationsoptionen für das von Ihnen gewählte Add-On, indem Sie den folgenden Befehl ausführen:
```
aws eks describe-addon-configuration --addon-name vpc-cni --addon-version v1.12.0-eksbuild.1
```
```
{
"addonName": "vpc-cni",
"addonVersion": "v1.12.0-eksbuild.1",
"configurationSchema": "{\"$ref\":\"#/definitions/VpcCni\",\"$schema\":\"http://json-schema.org/draft-06/schema#\",\"definitions\":{\"Cri\":{\"additionalProperties\":false,\"properties\":{\"hostPath\":{\"$ref\":\"#/definitions/HostPath\"}},\"title\":\"Cri\",\"type\":\"object\"},\"Env\":{\"additionalProperties\":false,\"properties\":{\"ADDITIONAL_ENI_TAGS\":{\"type\":\"string\"},\"AWS_VPC_CNI_NODE_PORT_SUPPORT\":{\"format\":\"boolean\",\"type\":\"string\"},\"AWS_VPC_ENI_MTU\":{\"format\":\"integer\",\"type\":\"string\"},\"AWS_VPC_K8S_CNI_CONFIGURE_RPFILTER\":{\"format\":\"boolean\",\"type\":\"string\"},\"AWS_VPC_K8S_CNI_CUSTOM_NETWORK_CFG\":{\"format\":\"boolean\",\"type\":\"string\"},\"AWS_VPC_K8S_CNI_EXTERNALSNAT\":{\"format\":\"boolean\",\"type\":\"string\"},\"AWS_VPC_K8S_CNI_LOGLEVEL\":{\"type\":\"string\"},\"AWS_VPC_K8S_CNI_LOG_FILE\":{\"type\":\"string\"},\"AWS_VPC_K8S_CNI_RANDOMIZESNAT\":{\"type\":\"string\"},\"AWS_VPC_K8S_CNI_VETHPREFIX\":{\"type\":\"string\"},\"AWS_VPC_K8S_PLUGIN_LOG_FILE\":{\"type\":\"string\"},\"AWS_VPC_K8S_PLUGIN_LOG_LEVEL\":{\"type\":\"string\"},\"DISABLE_INTROSPECTION\":{\"format\":\"boolean\",\"type\":\"string\"},\"DISABLE_METRICS\":{\"format\":\"boolean\",\"type\":\"string\"},\"DISABLE_NETWORK_RESOURCE_PROVISIONING\":{\"format\":\"boolean\",\"type\":\"string\"},\"ENABLE_POD_ENI\":{\"format\":\"boolean\",\"type\":\"string\"},\"ENABLE_PREFIX_DELEGATION\":{\"format\":\"boolean\",\"type\":\"string\"},\"WARM_ENI_TARGET\":{\"format\":\"integer\",\"type\":\"string\"},\"WARM_PREFIX_TARGET\":{\"format\":\"integer\",\"type\":\"string\"}},\"title\":\"Env\",\"type\":\"object\"},\"HostPath\":{\"additionalProperties\":false,\"properties\":{\"path\":{\"type\":\"string\"}},\"title\":\"HostPath\",\"type\":\"object\"},\"Limits\":{\"additionalProperties\":false,\"properties\":{\"cpu\":{\"type\":\"string\"},\"memory\":{\"type\":\"string\"}},\"title\":\"Limits\",\"type\":\"object\"},\"Resources\":{\"additionalProperties\":false,\"properties\":{\"limits\":{\"$ref\":\"#/definitions/Limits\"},\"requests\":{\"$ref\":\"#/definitions/Limits\"}},\"title\":\"Resources\",\"type\":\"object\"},\"VpcCni\":{\"additionalProperties\":false,\"properties\":{\"cri\":{\"$ref\":\"#/definitions/Cri\"},\"env\":{\"$ref\":\"#/definitions/Env\"},\"resources\":{\"$ref\":\"#/definitions/Resources\"}},\"title\":\"VpcCni\",\"type\":\"object\"}}}"
}
```
Die Ausgabe ist ein standardmäßiges JSON-Schema.
Hier ist ein Beispiel für gültige Konfigurationswerte im JSON-Format, die mit dem obigen Schema funktionieren.
```
{
"resources": {
"limits": {
"cpu": "100m"
}
}
}
```
Hier ist ein Beispiel für gültige Konfigurationswerte im YAML-Format, die mit dem obigen Schema funktionieren.
```
resources:
limits:
cpu: 100m
```
1. Stellen Sie fest, ob das Add-On IAM-Berechtigungen erfordert. In diesem Fall müssen Sie (1) festlegen, ob Sie EKS Pod Identity oder IAM-Rollen für Servicekonten (IRSA) verwenden möchten, (2) die ARN der IAM-Rolle bestimmen, die mit dem Add-On verwendet werden soll, und (3) den Namen des Kubernetes-Servicekontos festlegen, das vom Add-On verwendet wird. Weitere Informationen finden Sie unter [Abrufen von IAM-Informationen zu einem Amazon-EKS-Add-On](retreive-iam-info.md).
+ Amazon EKS empfiehlt die Verwendung von EKS Pod Identities, sofern das Add-On dies unterstützt. Dies erfordert, dass der [Pod Identity Agent auf Ihrem Cluster installiert ist](pod-identities.md). Weitere Informationen zur Verwendung von Pod Identities mit Add-Ons finden Sie unter [IAM-Rollen für Amazon-EKS-Add-Ons](add-ons-iam.md).
+ Wenn das Add-On oder Ihr Cluster nicht für EKS Pod Identities eingerichtet ist, verwenden Sie IRSA. [Bestätigen Sie, dass IRSA auf Ihrem Cluster eingerichtet ist. ](iam-roles-for-service-accounts.md)
+ [Überprüfen Sie die Dokumentation zu Amazon-EKS-Add-Ons, um festzustellen, ob das Add-On IAM-Berechtigungen und den Namen des zugehörigen Kubernetes-Servicekontos erfordert. ](eks-add-ons.md)
1. Erstellen Sie ein Amazon-EKS-Add-On. Kopieren Sie den folgenden Befehl auf Ihr Gerät. Nehmen Sie nach Bedarf die folgenden Änderungen am Befehl vor und führen Sie anschließend den geänderten Befehl aus:
+ Ersetzen Sie *my-cluster* mit dem Namen Ihres Clusters.
+ Ersetzen Sie *vpc-cni* durch einen Add-On-Namen, der in der Ausgabe des vorherigen Schritts zurückgegeben wurde, den Sie erstellen möchten.
+ Ersetzen Sie *version-number* durch die in der Ausgabe des vorherigen Schritts zurückgegebene Version, die Sie verwenden möchten.
+ Wenn Sie das Add-On in einem benutzerdefinierten Kubernetes-Namespace installieren möchten, fügen Sie die `--namespace-config 'namespace=`-Option hinzu. Diese Option ist nur für AWS Community-Add-Ons verfügbar. Weitere Informationen finden Sie unter [Benutzerdefinierter Namespace für Add-Ons](eks-add-ons.md#custom-namespace).
+ Wenn für das Add-on keine IAM-Berechtigungen erforderlich sind, löschen Sie ** es.
+ Führen Sie eine der folgenden Aktionen aus:
+ Wenn für das Add-on (1) IAM-Berechtigungen erforderlich sind und (2) Ihr Cluster EKS-Pod-Identitäten verwendet, ** ersetzen Sie es durch die folgende Pod-Identitätszuordnung. Ersetzen Sie es ** durch den Namen des Dienstkontos, der vom Add-on verwendet wird. Durch ** den ARN einer IAM-Rolle ersetzen. Die Rolle muss über die von EKS Pod Identities geforderte Vertrauensrichtlinie verfügen.
```
--pod-identity-associations 'serviceAccount=,roleArn='
```
+ Wenn für das Add-on (1) IAM-Berechtigungen erforderlich sind und (2) Ihr Cluster IRSA verwendet, ** ersetzen Sie es durch die folgende IRSA-Konfiguration. *111122223333*Ersetzen Sie es durch Ihre Konto-ID und *role-name* den Namen einer vorhandenen IAM-Rolle, die Sie erstellt haben. Anweisungen zum Erstellen der Rolle finden Sie in der Dokumentation für das Add-On, das Sie erstellen. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md). Die Angabe einer Servicekonto-Rolle setzt voraus, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen für Ihren Cluster verfügen, oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md).
```
--service-account-role-arn arn:aws::iam::111122223333:role/role-name
```
+ Diese Beispielbefehle überschreiben die Option `--configuration-values` von gegebenenfalls vorhandenen selbstverwalteten Versionen des Add-Ons. Ersetzen Sie diese durch die gewünschten Konfigurationswerte, z. B. eine Zeichenfolge oder eine Dateieingabe. Wenn Sie keine Konfigurationswerte angeben möchten, löschen Sie die `--configuration-values`-Option. Wenn Sie nicht möchten, dass die AWS CLI die Konfiguration eines vorhandenen selbstverwalteten Add-Ons überschreibt, entfernen Sie die *--resolve-conflicts OVERWRITE* Option. Wenn Sie die Option entfernen und das Amazon-EKS-Add-On die Konfiguration eines vorhandenen selbstverwalteten Add-Ons benötigt, scheitert die Erstellung des Amazon-EKS-Add-Ons mit einer Fehlermeldung, die Sie bei der Behebung des Konflikts unterstützt. Stellen Sie vor der Angabe dieser Option sicher, dass das Amazon-EKS-Add-On keine Einstellungen verwaltet, die Sie verwalten müssen, da diese Einstellungen mit dieser Option überschrieben werden.
```
aws eks create-addon --cluster-name my-cluster --addon-name vpc-cni --addon-version version-number \
--configuration-values '{"resources":{"limits":{"cpu":"100m"}}}' --resolve-conflicts OVERWRITE
```
```
aws eks create-addon --cluster-name my-cluster --addon-name vpc-cni --addon-version version-number \
--configuration-values 'file://example.yaml' --resolve-conflicts OVERWRITE
```
Eine vollständige Liste der verfügbaren Optionen finden Sie unter ` [create-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/create-addon.html) ` in der Amazon-EKS-Befehlszeilenreferenz. Wenn für das von Ihnen erstellte Add-On `aws-marketplace` in der `Owner`-Spalte eines vorherigen Schritts aufgeführt ist, kann die Erstellung fehlschlagen und Sie erhalten eine Fehlermeldung ähnlich der folgenden.
```
{
"addon": {
"addonName": "addon-name",
"clusterName": "my-cluster",
"status": "CREATE_FAILED",
"addonVersion": "version",
"health": {
"issues": [
{
"code": "AddonSubscriptionNeeded",
"message": "You are currently not subscribed to this add-on. To subscribe, visit the AWS Marketplace console, agree to the seller EULA, select the pricing type if required, then re-install the add-on"
}
]
}
}
}
```
Wenn Sie einen Fehler erhalten, der dem Fehler in der vorherigen Ausgabe ähnelt, besuchen Sie die URL in der Ausgabe eines vorherigen Schritts, um das Add-On zu abonnieren. Führen Sie den `create-addon`-Befehl nach dem Abonnieren erneut aus.
# Aktualisierung eines Amazon-EKS-Add-Ons
Amazon EKS aktualisiert das Add-On nicht automatisch, wenn neue Versionen veröffentlicht werden oder nachdem Sie Ihren Cluster auf eine neue Kubernetes-Nebenversion aktualisiert haben. Um ein Add-On für einen vorhandenen Cluster zu aktualisieren, müssen Sie das Update initiieren. Nachdem Sie das Update initiiert haben, aktualisiert Amazon EKS das Add-On für Sie. Lesen Sie vor dem Aktualisieren eines Add-Ons die aktuelle Dokumentation für das Add-On. Eine Liste der verfügbaren Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md). Wenn das Add-On eine IAM-Rolle erfordert, finden Sie in den Details zum jeweiligen Add-On unter [Verfügbare Amazon-EKS-Add-Ons von AWS](workloads-add-ons-available-eks.md) Einzelheiten zum Erstellen der Rolle.
## Voraussetzungen
Führen Sie Folgendes aus, bevor Sie ein Add-On erstellen:
+ Überprüfen Sie, ob Ihr Add-On eine IAM-Rolle erfordert. Weitere Informationen finden Sie unter [Amazon-EKS-Add-ons](eks-add-ons.md).
+ Stellen Sie sicher, dass die Amazon-EKS-Add-On-Version mit Ihrem Cluster kompatibel ist. Weitere Informationen finden Sie unter [Kompatibilität der Add-On-Version von Amazon EKS mit einem Cluster überprüfen](addon-compat.md).
## Verfahren
Sie können ein Amazon EKS-Add-on mit `eksctl` AWS-Managementkonsole, der oder der AWS CLI aktualisieren.
## Add-On aktualisieren (eksctl)
1. Bestimmen Sie die aktuellen Add-Ons und Add-On-Versionen, die auf Ihrem Cluster installiert sind. Ersetzen Sie *my-cluster* mit dem Namen Ihres Clusters.
```
eksctl get addon --cluster my-cluster
```
Eine Beispielausgabe sieht wie folgt aus.
```
NAME VERSION STATUS ISSUES IAMROLE UPDATE AVAILABLE
coredns v1.8.7-eksbuild.2 ACTIVE 0
kube-proxy v1.23.7-eksbuild.1 ACTIVE 0 v1.23.8-eksbuild.2
vpc-cni v1.10.4-eksbuild.1 ACTIVE 0 v1.12.0-eksbuild.1,v1.11.4-eksbuild.1,v1.11.3-eksbuild.1,v1.11.2-eksbuild.1,v1.11.0-eksbuild.1
```
IIhre Ausgabe sieht möglicherweise anders aus, je nachdem, welche Add-Ons und Versionen Sie auf Ihrem Cluster haben. Sie können sehen, dass in der vorherigen Beispielausgabe für zwei vorhandene Add-Ons auf dem Cluster neuere Versionen in der `UPDATE AVAILABLE`-Spalte verfügbar sind.
1. Aktualisieren Sie das Add-On.
1. Kopieren Sie den folgenden Befehl auf Ihr Gerät. Nehmen Sie nach Bedarf die folgenden Änderungen am Befehl vor:
+ Ersetzen Sie *my-cluster* mit dem Namen Ihres Clusters.
+ *region-code*Ersetzen Sie es durch die AWS Region, in der sich Ihr Cluster befindet.
+ Ersetzen Sie *vpc-cni* durch den Namen eines Add-Ons, das in der Ausgabe des vorherigen Schritts zurückgegeben wurde, das Sie aktualisieren möchten.
+ Wenn Sie eine ältere Version als die neueste verfügbare Version aktualisieren möchten, dann ersetzen Sie *latest* durch die Versionsnummer, die in der Ausgabe des vorherigen Schritts zurückgegeben wurde, die Sie verwenden möchten. Für einige Add-Ons gibt es empfohlene Versionen. Weitere Informationen finden Sie in der Dokumentation für das Add-On, das Sie aktualisieren. Eine Liste der Add-Ons finden Sie unter[AWS Add-Ons](workloads-add-ons-available-eks.md). **\$1** Wenn das Add-on ein Kubernetes-Dienstkonto und eine IAM-Rolle verwendet, *111122223333* ersetzen Sie es durch Ihre Konto-ID und *role-name* durch den Namen einer vorhandenen IAM-Rolle, die Sie erstellt haben. Anweisungen zum Erstellen der Rolle finden Sie in der Dokumentation für das Add-On, das Sie erstellen. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md). Die Angabe einer Servicekonto-Rolle setzt voraus, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen für Ihren Cluster verfügen, oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md).
Wenn das Add-On kein Kubernetes-Servicekonto und keine IAM-Rolle verwendet, löschen Sie die Zeile `serviceAccountRoleARN: arn:aws: iam::111122223333:role/role-name `.
+ Die *preserve*-Option behält die vorhandenen Werte für das Add-On bei. Wenn Sie benutzerdefinierte Werte für Add-On-Einstellungen festgelegt haben und diese Option nicht verwenden, überschreibt Amazon EKS Ihre Werte mit seinen Standardwerten. Wenn Sie diese Option verwenden, empfehlen wir, dass Sie alle Feld- und Wertänderungen auf einem Nicht-Produktionscluster testen, bevor Sie das Add-on auf Ihrem Produktionscluster aktualisieren. Wenn Sie diesen Wert auf `overwrite` ändern, werden alle Einstellungen auf die Amazon-EKS-Standardwerte geändert. Wenn Sie benutzerdefinierte Werte für Einstellungen festgelegt haben, werden diese möglicherweise mit den Amazon-EKS-Standardwerten überschrieben. Wenn Sie diesen Wert auf `none` ändern, ändert Amazon EKS den Wert der Einstellungen nicht, aber die Aktualisierung schlägt möglicherweise fehl. Wenn das Update fehlschlägt, erhalten Sie eine Fehlermeldung, die Sie bei der Behebung des Konflikts unterstützt.
```
cat >update-addon.yaml <
1. Öffnen Sie die [Amazon-EKS-Konsole](https://console.aws.amazon.com/eks/home#/clusters).
1. Wählen Sie im linken Navigationsbereich **Cluster** aus.
1. Wählen Sie den Namen des Clusters, für den Sie das Add-On aktualisieren möchten.
1. Wählen Sie die Registerkarte **Add-ons**.
1. Wählen Sie das Add-On, das Sie aktualisieren möchten.
1. Wählen Sie **Bearbeiten** aus.
1. Gehen Sie auf der *name of addon* Seite „**Konfigurieren**“ wie folgt vor:
1. Wählen Sie die **Version** aus, die Sie verwenden möchten. Das Add-On verfügt möglicherweise über eine empfohlene Version. Weitere Informationen finden Sie in der Dokumentation für das Add-On, das Sie aktualisieren. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md).
1. Sie haben zwei Möglichkeiten, Rollen für Add-Ons zu konfigurieren: IAM-Rolle für EKS-Pod-Identitäten und IAM-Rollen für Servicekonten (IRSA). Befolgen Sie die entsprechenden nachfolgenden Schritte für die von Ihnen bevorzugte Option. Wenn für alle von Ihnen ausgewählten Add-Ons **Abonnement erforderlich** ist unter **Status**, wählen Sie **Weiter** aus. Für die Add-Ons, die kein **Abonnement erforderlich** unter **Status** haben, gehen Sie wie folgt vor:
1. Für die **IAM-Rolle Pod Identity für Servicekonto** können Sie entweder eine vorhandene IAM-Rolle EKS Pod Identity verwenden oder mithilfe der Schaltfläche **Empfohlene Rolle erstellen** eine neue Rolle erstellen. In diesem Feld werden nur Optionen mit der entsprechenden Vertrauensrichtlinie bereitgestellt. Wenn keine Rolle zur Auswahl steht, verfügen Sie über keine vorhandene Rolle mit einer passenden Vertrauensrichtlinie. Um eine IAM-Rolle EKS Pod Identity für Servicekonten der ausgewählten Add-On zu konfigurieren, wählen Sie **Empfohlene Rolle erstellen** aus. Der Assistent zur Rollenerstellung wird in einem separaten Fenster geöffnet. Der Assistent füllt die Rolleninformationen automatisch wie folgt aus. Führen Sie für jedes Add-On, für das Sie die IAM-Rolle EKS Pod Identity erstellen möchten, die folgenden Schritte im IAM-Assistenten aus.
+ Im Schritt **Vertrauenswürdige Entität auswählen** sind die AWS Serviceoption für **EKS** und der Anwendungsfall für **EKS — Pod Identity** vorausgewählt, und die entsprechende Vertrauensrichtlinie wird automatisch für das Add-on ausgefüllt. Beispielsweise wird die Rolle mit der entsprechenden Vertrauensrichtlinie erstellt, die den IAM-Prinzipal pods.eks.amazonaws.com enthält, wie in [Vorteile von EKS-Pod-Identitäten](pod-identities.md#pod-id-benefits) beschrieben. Wählen Sie **Weiter** aus.
+ Im Schritt **Berechtigungen hinzufügen** wird die entsprechende verwaltete Richtlinie für die Rollenrichtlinie für das Add-On vorausgewählt. Beispielsweise wird für das Add-On für Amazon VPC CNI die Rolle mit der verwalteten Richtlinie `AmazonEKS_CNI_Policy` erstellt, wie in [Amazon-VPC-CNI-Plugin für Kubernetes](workloads-add-ons-available-eks.md#add-ons-vpc-cni) beschrieben. Wählen Sie **Weiter** aus.
+ Im Schritt **Name, überprüfen und erstellen** wird unter **Rollenname** automatisch der Standardrollenname für das Add-On eingetragen. **Für das **Amazon VPC CNI-Add-on** wird die Rolle beispielsweise mit dem Namen Amazon erstellt. EKSPod IdentityAmazon VPCCNIRole** Unter **Beschreibung** wird die Standardbeschreibung automatisch mit der entsprechenden Beschreibung für das Add-On eingetragen. Für das Amazon VPC CNI-Add-on wird die Rolle beispielsweise mit der Beschreibung **Erlaubt Pods, die im Amazon EKS-Cluster ausgeführt** werden, den Zugriff auf AWS Ressourcen erstellt. Zeigen Sie unter **Vertrauensrichtlinie** die ausgefüllte Vertrauensrichtlinie für das Add-On an. Wählen Sie **Rolle erstellen** aus.
**Anmerkung**
Durch die Beibehaltung des Standardrollennamens kann EKS die Rolle für Add-Ons in neuen Clustern oder beim Hinzufügen von Add-Ons zu bestehenden Clustern vorab auswählen. Sie können diesen Namen weiterhin überschreiben, und die Rolle steht dann für das Add-On in Ihren Clustern zur Verfügung, muss jedoch manuell aus der Dropdown-Liste ausgewählt werden.
1. Informationen zu Add-Ons, bei denen unter **Status** nicht die Option **Abonnement erforderlich** angezeigt wird und bei denen Sie Rollen mithilfe von IRSA konfigurieren möchten, finden Sie in der Dokumentation des Add-Ons, das Sie erstellen, um eine IAM-Richtlinie zu erstellen und sie einer Rolle zuzuordnen. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md). Die Auswahl einer IAM-Rolle erfordert, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen für Ihren Cluster verfügen, oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md).
1. Erweitern Sie **Optionale Konfigurationseinstellungen**.
1. Geben Sie unter **Konfigurationswerte** alle Add-On-spezifischen Konfigurationsinformationen ein. Weitere Informationen finden Sie in der Dokumentation für das Add-On, das Sie aktualisieren. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md) … Wählen Sie für die **Konfliktlösungsmethode** eine der Optionen aus. Wenn Sie benutzerdefinierte Werte für Add-On-Einstellungen festgelegt haben, empfehlen wir die Option **Preserve** (Beibehalten). Wenn Sie diese Option nicht auswählen, überschreibt Amazon EKS Ihre Werte mit seinen Standardwerten. Wenn Sie diese Option verwenden, empfehlen wir, dass Sie alle Feld- und Wertänderungen auf einem Nicht-Produktionscluster testen, bevor Sie das Add-on auf Ihrem Produktionscluster aktualisieren. Wenn Sie diesen Wert auf „Überschreiben“ ändern, werden alle Einstellungen auf die Amazon-EKS-Standardwerte geändert. Wenn Sie benutzerdefinierte Werte für Einstellungen festgelegt haben, werden diese möglicherweise mit den Amazon-EKS-Standardwerten überschrieben. Wenn Sie diesen Wert auf „Keine“ ändern, ändert Amazon EKS den Wert keiner der Einstellungen, aber die Aktualisierung schlägt möglicherweise fehl. Wenn das Update fehlschlägt, erhalten Sie eine Fehlermeldung, die Sie bei der Behebung des Konflikts unterstützt.
1. Wählen Sie **Änderungen speichern ** aus.
## Add-on aktualisieren (AWS CLI)
1. Sie müssen Version `2.12.3` oder höher oder Version `1.27.160` oder höher der AWS Befehlszeilenschnittstelle (AWS CLI) auf Ihrem Gerät installiert und konfiguriert haben oder AWS CloudShell. Um Ihre aktuelle Version zu überprüfen, verwenden Sie `aws --version | cut -d / -f2 | cut -d ' ' -f1`. Paketmanager wie `yum``apt-get`, oder Homebrew für macOS liegen oft mehrere Versionen hinter der neuesten Version der AWS CLI. Informationen zur Installation der neuesten Version finden Sie unter [Installation](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) und [Schnellkonfiguration mit aws configure](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) im *Benutzerhandbuch für die AWS Befehlszeilenschnittstelle*. Die AWS CLI-Version, in der installiert ist, AWS CloudShell kann auch mehrere Versionen hinter der neuesten Version liegen. Informationen zur Aktualisierung finden Sie im * AWS CloudShell Benutzerhandbuch* unter [AWS CLI in Ihrem Home-Verzeichnis installieren](https://docs.aws.amazon.com/cloudshell/latest/userguide/vm-specs.html#install-cli-software).
1. Hier finden Sie eine Liste der installierten Add-Ons. Ersetzen Sie *my-cluster* mit dem Namen Ihres Clusters.
```
aws eks list-addons --cluster-name my-cluster
```
Eine Beispielausgabe sieht wie folgt aus.
```
{
"addons": [
"coredns",
"kube-proxy",
"vpc-cni"
]
}
```
1. Zeigen Sie die aktuelle Version des Add-Ons an, die Sie aktualisieren möchten. Ersetzen Sie *my-cluster* mit Ihrem Clusternamen und *vpc-cni* mit dem Namen des Add-Ons, das Sie aktualisieren möchten.
```
aws eks describe-addon --cluster-name my-cluster --addon-name vpc-cni --query "addon.addonVersion" --output text
```
Eine Beispielausgabe sieht wie folgt aus.
```
v1.10.4-eksbuild.1
```
1. Bestimmen Sie, welche Versionen des Add-Ons für die Version Ihres Clusters verfügbar sind. *1.35*Ersetzen Sie es durch die Version Ihres Clusters und *vpc-cni* durch den Namen des Add-ons, das Sie aktualisieren möchten.
```
aws eks describe-addon-versions --kubernetes-version 1.35 --addon-name vpc-cni \
--query 'addons[].addonVersions[].{Version: addonVersion, Defaultversion: compatibilities[0].defaultVersion}' --output table
```
Eine Beispielausgabe sieht wie folgt aus.
```
------------------------------------------
| DescribeAddonVersions |
+-----------------+----------------------+
| Defaultversion | Version |
+-----------------+----------------------+
| False | v1.12.0-eksbuild.1 |
| True | v1.11.4-eksbuild.1 |
| False | v1.10.4-eksbuild.1 |
| False | v1.9.3-eksbuild.1 |
+-----------------+----------------------+
```
Die Version `True` in der `Defaultversion`-Spalte ist standardmäßig die Version, mit der das Add-On erstellt wurde.
1. Aktualisieren Sie Ihr Add-on. Kopieren Sie den folgenden Befehl auf Ihr Gerät. Nehmen Sie bei Bedarf die folgenden Änderungen am Befehl vor, und führen Sie dann den geänderten Befehl aus. Weitere Informationen zu diesem Befehl finden Sie unter [update-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/update-addon.html) in der Amazon-EKS-Befehlszeilenreferenz.
+ Ersetzen Sie *my-cluster* mit dem Namen Ihres Clusters.
+ Ersetzen Sie *vpc-cni* durch den Namen des Add-Ons, das Sie aktualisieren möchten und das in der Ausgabe eines vorherigen Schritts zurückgegeben wurde.
+ Ersetzen Sie *version-number* durch die in der Ausgabe des vorherigen Schritts zurückgegebene Version, auf die Sie aktualisieren möchten. Für einige Add-Ons gibt es empfohlene Versionen. Weitere Informationen finden Sie in der Dokumentation für das Add-On, das Sie aktualisieren. Eine Liste der Add-Ons finden Sie unter[AWS Add-Ons](workloads-add-ons-available-eks.md). **\$1** Wenn das Add-on ein Kubernetes-Dienstkonto und eine IAM-Rolle verwendet, *111122223333* ersetzen Sie es durch Ihre Konto-ID und *role-name* durch den Namen einer vorhandenen IAM-Rolle, die Sie erstellt haben. Anweisungen zum Erstellen der Rolle finden Sie in der Dokumentation für das Add-On, das Sie erstellen. Eine Liste der Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md). Die Angabe einer Servicekonto-Rolle setzt voraus, dass Sie über einen IAM OpenID Connect (OIDC)-Anbieter für Ihren Cluster verfügen. Um festzustellen, ob Sie über einen solchen für Ihren Cluster verfügen, oder um einen zu erstellen, lesen Sie [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md).
Wenn das Add-On kein Kubernetes-Servicekonto und keine IAM-Rolle verwendet, löschen Sie die Zeile `serviceAccountRoleARN: arn:aws: iam::111122223333:role/role-name `.
+ Die `--resolve-conflicts PRESERVE`-Option behält die vorhandenen Werte für das Add-On bei. Wenn Sie benutzerdefinierte Werte für Add-On-Einstellungen festgelegt haben und diese Option nicht verwenden, überschreibt Amazon EKS Ihre Werte mit seinen Standardwerten. Wenn Sie diese Option verwenden, empfehlen wir, dass Sie alle Feld- und Wertänderungen auf einem Nicht-Produktionscluster testen, bevor Sie das Add-on auf Ihrem Produktionscluster aktualisieren. Wenn Sie diesen Wert auf `OVERWRITE` ändern, werden alle Einstellungen auf die Amazon-EKS-Standardwerte geändert. Wenn Sie benutzerdefinierte Werte für Einstellungen festgelegt haben, werden diese möglicherweise mit den Amazon-EKS-Standardwerten überschrieben. Wenn Sie diesen Wert auf `NONE` ändern, ändert Amazon EKS den Wert der Einstellungen nicht, aber die Aktualisierung schlägt möglicherweise fehl. Wenn das Update fehlschlägt, erhalten Sie eine Fehlermeldung, die Sie bei der Behebung des Konflikts unterstützt.
+ Wenn Sie die gesamte benutzerdefinierte Konfiguration entfernen möchten, führen Sie das Update mit der *--configuration-values '\$1\$1'*-Option durch. Dadurch werden alle benutzerdefinierten Konfigurationen auf die Standardwerte zurückgesetzt. Wenn Sie Ihre benutzerdefinierte Konfiguration nicht ändern möchten, geben Sie das Kennzeichen nicht an. *--configuration-values* Wenn Sie eine benutzerdefinierte Konfiguration anpassen möchten, ersetzen Sie *\$1\$1* durch die neuen Parameter.
```
aws eks update-addon --cluster-name my-cluster --addon-name vpc-cni --addon-version version-number \
--service-account-role-arn arn:aws: iam::111122223333:role/role-name --configuration-values '{}' --resolve-conflicts PRESERVE
```
1. Überprüfen Sie den Status des Updates. *my-cluster*Ersetzen Sie es durch den Namen Ihres Clusters und *vpc-cni* durch den Namen des Add-ons, das Sie aktualisieren.
```
aws eks describe-addon --cluster-name my-cluster --addon-name vpc-cni
```
Eine Beispielausgabe sieht wie folgt aus.
```
{
"addon": {
"addonName": "vpc-cni",
"clusterName": "my-cluster",
"status": "UPDATING",
}
}
```
Das Update ist abgeschlossen, wenn der Status `ACTIVE` ist.
# Kompatibilität der Add-On-Version von Amazon EKS mit einem Cluster überprüfen
Bevor Sie ein Amazon-EKS-Add-On erstellen, müssen Sie sicherstellen, dass die Version des Amazon-EKS-Add-Ons mit Ihrem Cluster kompatibel ist.
Verwenden Sie die [describe-addon-versions API](https://docs.aws.amazon.com/eks/latest/APIReference/API_DescribeAddonVersions.html), um die verfügbaren Versionen von EKS-Add-Ons aufzulisten und aufzulisten, welche Kubernetes-Versionen jede Addon-Version unterstützt.
1. Stellen Sie sicher, dass die AWS CLI installiert ist und mit ihr funktioniert`aws sts get-caller-identity`. Wenn dieser Befehl nicht funktioniert, erfahren Sie, wie [Sie mit der AWS CLI beginnen können.](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
1. Bestimmen Sie den Namen des Add-Ons, für das Sie Informationen zur Versionskompatibilität abrufen möchten, z. B. `amazon-cloudwatch-observability`.
1. Bestimmen Sie die Kubernetes-Version Ihres Clusters, z. B. `1.35`.
1. Verwenden Sie die AWS CLI, um die Addon-Versionen abzurufen, die mit der Kubernetes-Version Ihres Clusters kompatibel sind.
```
aws eks describe-addon-versions --addon-name amazon-cloudwatch-observability --kubernetes-version 1.35
```
Eine Beispielausgabe sieht wie folgt aus.
```
{
"addons": [
{
"addonName": "amazon-cloudwatch-observability",
"type": "observability",
"addonVersions": [
{
"addonVersion": "vX.X.X-eksbuild.X",
"architecture": [
"amd64",
"arm64"
],
"computeTypes": [
"ec2",
"auto",
"hybrid"
],
"compatibilities": [
{
"clusterVersion": "1.35",
"platformVersions": [
"*"
],
"defaultVersion": true
}
],
}
]
}
]
}
```
Diese Ausgabe zeigt, dass die Add-On-Version `vX.X.X-eksbuild.X` mit der Kubernetes-Clusterversion `1.35` kompatibel ist.
## Kompatibilität von Add-Ons mit Datenverarbeitungstypen
Das `computeTypes`-Feld in der Ausgabe `describe-addon-versions` gibt die Kompatibilität eines Add-Ons mit EKS Auto Mode verwaltete Knoten oder Hybridknoten an. Die markierten Add-Ons `auto` funktionieren mit der cloudbasierten, AWS verwalteten Infrastruktur von EKS Auto Mode, wohingegen die markierten Add-Ons auf lokalen Knoten ausgeführt `hybrid` werden können, die mit der EKS-Cloud-Steuerebene verbunden sind.
Weitere Informationen finden Sie unter [Überlegungen zu Amazon EKS Auto Mode](eks-add-ons.md#addon-consider-auto).
# Entfernung eines Amazon-EKS-Add-Ons aus einem Cluster
Sie können ein Amazon EKS-Add-on mithilfe `eksctl` der oder der AWS-Managementkonsole AWS CLI aus Ihrem Cluster entfernen.
Wenn Sie ein Amazon-EKS-Add-On aus einem Cluster entfernen:
+ Es gibt keine Ausfallzeit für die Funktionalität, die das Add-On bereitstellt.
+ Wenn Sie IAM-Rollen für Servicekonten (IRSA) verwenden und das Add-On einer IAM-Rolle zugeordnet ist, wird die IAM-Rolle nicht entfernt.
+ Wenn Sie Pod Identities verwenden, werden alle Pod-Identity-Zuordnungen, die dem Add-On gehören, entfernt. Wenn Sie die `--preserve` Option für die AWS CLI angeben, werden die Verknüpfungen beibehalten.
+ Amazon EKS beendet die Verwaltung der Einstellungen für das Add-On.
+ Die Konsole benachrichtigt Sie nicht mehr, wenn neue Versionen verfügbar sind.
+ Sie können das Add-on nicht mit irgendwelchen AWS Tools oder aktualisieren APIs.
+ Sie können die Add-On-Software auf Ihrem Cluster beibehalten, damit Sie sie selbst verwalten können, oder Sie können die Add-On-Software aus Ihrem Cluster entfernen. Sie sollten die Add-On-Software nur dann aus Ihrem Cluster entfernen, wenn keine Ressourcen in Ihrem Cluster von der Funktionalität abhängen, die das Add-On bereitstellt.
## Voraussetzungen
Führen Sie Folgendes aus, bevor Sie ein Add-On erstellen:
+ Ein vorhandener Amazon-EKS-Cluster. Informationen zum Bereitstellen finden Sie unter [Erste Schritte mit Amazon EKS](getting-started.md).
+ Überprüfen Sie, ob Ihr Add-On eine IAM-Rolle erfordert. Die Ausgabe des obigen Befehls sieht in etwa folgendermaßen aus (JSON format).
+ Version `0.215.0` oder höher des `eksctl`-Befehlszeilen-Tools, das auf Ihrem Computer oder in der AWS CloudShell installiert ist. Informationen zum Installieren und Aktualisieren von `eksctl` finden Sie in der Dokumentation zu `eksctl` unter [Installation](https://eksctl.io/installation).
## Verfahren
Beim Entfernen eines Amazon-EKS-Add-Ons stehen Ihnen zwei Optionen zur Verfügung:
+ **Beibehalten von Add-on-Software auf Ihrem Cluster** – Diese Option entfernt die Amazon-EKS-Verwaltung aller Einstellungen. Amazon EKS wird außerdem die Möglichkeit aufgehoben, Sie über Updates zu informieren und das Amazon-EKS-Add-on automatisch zu aktualisieren, nachdem Sie ein Update eingeleitet haben. Es behält jedoch die Add-on-Software auf Ihrem Cluster bei. Diese Option macht das Add-on zu einem selbstverwalteten Add-on statt einem Amazon-EKS-Add-on. Bei dieser Option gibt es keine Ausfallzeiten für das Add-On.
+ **Entfernen Sie die Add-on-Software vollständig aus Ihrem Cluster** – Wir empfehlen, dass Sie das Amazon-EKS-Add-on nur aus Ihrem Cluster entfernen, wenn auf Ihrem Cluster keine Ressourcen vorhanden sind, die davon abhängig sind.
Sie können ein Amazon EKS-Add-on mithilfe `eksctl` der AWS-Managementkonsole oder der AWS CLI entfernen.
### Add-on entfernen (eksctl)
1. Bestimmen Sie die aktuell auf Ihrem Cluster installierten Add-Ons. Ersetzen Sie *my-cluster* mit dem Namen Ihres Clusters.
```
eksctl get addon --cluster my-cluster
```
Eine Beispielausgabe sieht wie folgt aus.
```
NAME VERSION STATUS ISSUES IAMROLE UPDATE AVAILABLE
coredns v1.8.7-eksbuild.2 ACTIVE 0
kube-proxy v1.23.7-eksbuild.1 ACTIVE 0
vpc-cni v1.10.4-eksbuild.1 ACTIVE 0
[...]
```
IIhre Ausgabe sieht möglicherweise anders aus, je nachdem, welche Add-Ons und Versionen Sie auf Ihrem Cluster haben.
1. Entfernen Sie das Add-On. Ersetzen Sie *my-cluster* mit dem Namen Ihres Clusters und *name-of-add-on* mit dem Namen des Add-Ons, das in der Ausgabe des vorherigen Schritts zurückgegeben wurde. Wenn Sie die *--preserve* Option entfernen, wird die Zusatzsoftware nicht mehr von Amazon EKS verwaltet, sondern auch aus Ihrem Cluster gelöscht.
```
eksctl delete addon --cluster my-cluster --name name-of-addon --preserve
```
Weitere Informationen zum Entfernen von Add-Ons finden Sie unter [Entfernung von Add-Ons](https://eksctl.io/usage/addons/#deleting-addons) in der `eksctl`-Dokumentation.
### Add-on entfernen (AWS Konsole)
1. Öffnen Sie die [Amazon-EKS-Konsole](https://console.aws.amazon.com/eks/home#/clusters).
1. Wählen Sie im linken Navigationsbereich **Cluster** aus.
1. Wählen Sie den Namen des Clusters aus, für den Sie das Amazon-EKS-Add-On entfernen möchten.
1. Wählen Sie die Registerkarte **Add-ons**.
1. Wählen Sie das Add-On aus, das Sie entfernen möchten.
1. Wählen Sie **Remove (Entfernen)** aus.
1. Gehen **Sie im *name of addon* Bestätigungsdialogfeld Entfernen:** wie folgt vor:
1. Wenn Amazon EKS die Verwaltung von Einstellungen für das Add-on einstellen soll, wählen Sie **Auf dem Cluster beibehalten**. Tun Sie dies, wenn Sie die Add-on-Software auf Ihrem Cluster behalten möchten. Auf diese Weise können Sie alle Einstellungen des Add-ons selbst verwalten.
1. Geben Sie den Add-On-Namen ein.
1. Wählen Sie **Remove (Entfernen)** aus.
### Add-on entfernen (AWS CLI)
1. Sie benötigen eine Version `0.215.0` oder eine neuere Version des `eksctl` Befehlszeilentools, das auf Ihrem Gerät installiert ist oder AWS CloudShell. Informationen zum Installieren und Aktualisieren von `eksctl` finden Sie in der Dokumentation zu `eksctl` unter [Installation](https://eksctl.io/installation).
1. Hier finden Sie eine Liste der installierten Add-Ons. Ersetzen Sie *my-cluster* mit dem Namen Ihres Clusters.
```
aws eks list-addons --cluster-name my-cluster
```
Eine Beispielausgabe sieht wie folgt aus.
```
{
"addons": [
"coredns",
"kube-proxy",
"vpc-cni",
"name-of-addon"
]
}
```
1. Entfernen Sie das installierte Add-On. Ersetzen Sie *my-cluster* durch den Namen Ihres Clusters und *name-of-add-on* durch den Namen des Add-Ons, das Sie entfernen. Durch das Entfernen *--preserve* wird die Zusatzsoftware aus Ihrem Cluster gelöscht.
```
aws eks delete-addon --cluster-name my-cluster --addon-name name-of-addon --preserve
```
Die gekürzte Beispielausgabe lautet wie folgt.
```
{
"addon": {
"addonName": "name-of-add-on",
"clusterName": "my-cluster",
"status": "DELETING",
}
}
```
1. Überprüfen Sie den Status der Entfernung. *my-cluster*Ersetzen Sie es durch den Namen Ihres Clusters und *name-of-addon* durch den Namen des Add-ons, das Sie entfernen möchten.
```
aws eks describe-addon --cluster-name my-cluster --addon-name name-of-addon
```
Nachdem das Add-On entfernt wurde, sieht die Beispielausgabe wie folgt aus.
```
An error occurred (ResourceNotFoundException) when calling the DescribeAddon operation: No addon: name-of-addon found in cluster: my-cluster
```
# IAM-Rollen für Amazon-EKS-Add-Ons
Bestimmte Amazon-EKS-Add-Ons erfordern IAM-Rollen und -Berechtigungen, um AWS-APIs aufzurufen. Das Add-On für Amazon-VPC-CNI ruft beispielsweise bestimmte AWS-APIs auf, um die Netzwerkressourcen in Ihrem Konto zu konfigurieren. Für diese Add-Ons muss über IAM eine Berechtigung gewährt werden. Genauer gesagt muss das Servicekonto des Pods, in dem das Add-On ausgeführt wird, einer IAM-Rolle mit einer bestimmten IAM-Richtlinie zugeordnet werden.
Die empfohlene Methode zum Gewähren von AWS-Berechtigungen für Cluster-Workloads ist die Verwendung des Amazon-EKS-Features für Pod Identities. Sie können eine **Pod-Identity-Zuordnung** verwenden, um das Servicekonto eines Add-Ons einer IAM-Rolle zuzuordnen. Wenn ein Pod ein Servicekonto mit einer Zuordnung verwendet, legt Amazon EKS Umgebungsvariablen in den Containern des Pods fest. Die Umgebungsvariablen konfigurieren die AWS-SDKs, einschließlich der AWS-CLI, für die Verwendung der Anmeldeinformationen für EKS Pod Identity. Weitere Informationen finden Sie unter [Erfahren Sie, wie EKS Pod Identity Pods Zugriff auf AWS-Services gewährt](pod-identities.md).
Amazon-EKS-Add-Ons können Sie bei der Verwaltung des Lebenszyklus von Pod-Identity-Zuordnungen unterstützen, die dem Add-On entsprechen. Beispielsweise können Sie ein Amazon-EKS-Add-On und die erforderliche Pod-Identity-Zuordnung mit einem einzigen API-Aufruf erstellen oder aktualisieren. Amazon EKS stellt auch eine API zum Abrufen empfohlener IAM-Richtlinien zur Verfügung.
1. Überprüfen Sie, ob der [Amazon EKS Pod Identity Agent](pod-id-agent-setup.md) in Ihrem Cluster eingerichtet ist.
1. Ermitteln Sie mithilfe der `describe-addon-versions` AWS-CLI-Operation, ob das Add-On, das Sie installieren möchten, IAM-Berechtigungen erfordert. Wenn es sich beim `requiresIamPermissions`-Flag um `true` handelt, sollten Sie die `describe-addon-configurations`-Operation verwenden, um die vom Add-On benötigten Berechtigungen zu ermitteln. Die Antwort enthält eine Liste mit vorgeschlagenen verwalteten IAM-Richtlinien.
1. Rufen Sie den Namen des Kubernetes- Servicekontos und die IAM-Richtlinie mithilfe der `describe-addon-configuration`-CLI-Operation ab. Bewerten Sie den Umfang der vorgeschlagenen Richtlinie anhand Ihrer Sicherheitsanforderungen.
1. Erstellen Sie eine IAM-Rolle mithilfe der vorgeschlagenen Berechtigungsrichtlinie und der von Pod Identity benötigten Vertrauensrichtlinie. Weitere Informationen finden Sie unter [Erstellen Sie eine Pod Identity-Zuordnung (AWS Konsole)](pod-id-association.md#pod-id-association-create).
1. Erstellen oder aktualisieren Sie ein Amazon-EKS-Add-On mithilfe der CLI. Geben Sie mindestens eine Pod-Identity-Zuordnung an. Eine Pod-Identity-Zuordnung besteht aus dem Namen eines Kubernetes-Servicekontos und der ARN der IAM-Rolle.
+ Pod-Identitätszuordnungen, die mithilfe der Add-On-APIs erstellt wurden, sind Eigentum des jeweiligen Add-Ons. Wenn Sie das Add-On löschen, wird auch die Pod-Identity-Zuordnung gelöscht. Sie können diese kaskadenartige Löschung verhindern, indem Sie beim Löschen eines Add-Ons über die AWS-CLI oder API die entsprechende `preserve`-Option verwenden. Bei Bedarf können Sie die Pod-Identity-Zuordnung auch direkt aktualisieren oder löschen. Add-Ons können keine vorhandenen Pod-Identity-Zuordnungen übernehmen. Sie müssen die vorhandene Zuordnung löschen und sie mithilfe eines Vorgangs zu Add-On-Erstellung oder -Aktualisierung neu erstellen.
+ Amazon EKS empfiehlt die Verwendung von Pod-Identity-Zuordnungen zur Verwaltung von IAM-Berechtigungen für Add-Ons. Die bisherige Methode, IAM-Rollen für Servicekonten (IRSA), wird weiterhin unterstützt. Sie können sowohl eine IRSA-`serviceAccountRoleArn` als auch eine Pod-Identity-Zuordnung für ein Add-On festlegen. Wenn der EKS-Pod-Identity-Agent auf dem Cluster installiert ist, wird die `serviceAccountRoleArn` ignoriert, und EKS verwendet die bereitgestellte Pod-Identity-Zuordnung. Wenn die Pod Identity nicht aktiviert ist, wird die `serviceAccountRoleArn` verwendet.
+ Wenn Sie die Pod-Identity-Zuordnungen für ein vorhandenes Add-On aktualisieren, initiiert Amazon EKS einen fortlaufenden Neustart der Add-On-Pods.
# Abrufen von IAM-Informationen zu einem Amazon-EKS-Add-On
Bevor Sie ein Add-On erstellen, ermitteln Sie mithilfe der AWS-CLI:
+ Ob das Add-On IAM-Berechtigungen benötigt
+ Die empfohlene zu verwendende IAM-Richtlinie
## Verfahren
1. Bestimmen Sie den Namen des Add-ons, das Sie installieren möchten, und die Kubernetes-Version Ihres Clusters. Weitere Informationen zu Add-ons finden Sie unter [Amazon-EKS-Add-ons](eks-add-ons.md).
1. Verwenden Sie die AWS-CLI, um zu bestimmen, ob das AddO-n IAM-Berechtigungen erfordert.
```
aws eks describe-addon-versions \
--addon-name \
--kubernetes-version
```
Zum Beispiel:
```
aws eks describe-addon-versions \
--addon-name aws-ebs-csi-driver \
--kubernetes-version 1.30
```
Sehen Sie sich die folgende Beispielausgabe an. Beachten Sie, dass `requiresIamPermissions` `true` ist und die Standard-Add-On-Version darstellt. Sie müssen die Add-On-Version angeben, wenn Sie die empfohlene IAM-Richtlinie abrufen.
```
{
"addons": [
{
"addonName": "aws-ebs-csi-driver",
"type": "storage",
"addonVersions": [
{
"addonVersion": "v1.31.0-eksbuild.1",
"architecture": [
"amd64",
"arm64"
],
"compatibilities": [
{
"clusterVersion": "1.30",
"platformVersions": [
"*"
],
"defaultVersion": true
}
],
"requiresConfiguration": false,
"requiresIamPermissions": true
},
[...]
```
1. Wenn das Add-On IAM-Berechtigungen erfordert, verwenden Sie die AWS-CLI, um eine empfohlene IAM-Richtlinie abzurufen.
```
aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name \
--addon-version
```
Zum Beispiel:
```
aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name aws-ebs-csi-driver \
--addon-version v1.31.0-eksbuild.1
```
Überprüfen Sie die folgende Ausgabe. Beachten Sie den `recommendedManagedPolicies`.
```
[
{
"serviceAccount": "ebs-csi-controller-sa",
"recommendedManagedPolicies": [
"arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy"
]
}
]
```
1. Erstellen Sie eine IAM-Rolle und fügen Sie die empfohlene verwaltete Richtlinie an. Alternativ können Sie die verwaltete Richtlinie überprüfen und die Berechtigungen entsprechend einschränken. Weitere Informationen finden Sie unter [Erstellen Sie eine Pod Identity-Zuordnung (AWS Konsole)](pod-id-association.md#pod-id-association-create).
## Unterstützungsreferenz für Pod Identity
Die folgende Tabelle gibt an, ob bestimmte Amazon-EKS-Add-Ons EKS Pod Identity unterstützen.
| Add-On-Name | Unterstützung für Pod Identity | Erforderliche Mindestversion |
| --- | --- | --- |
| [Amazon-EBS-CSI-Treiber](workloads-add-ons-available-eks.md#add-ons-aws-ebs-csi-driver) | Ja | v1.26.0-eksbuild.1 |
| [Amazon VPC CNI](workloads-add-ons-available-eks.md#add-ons-vpc-cni) | Ja | v1.15.5-eksbuild.1 |
| [Amazon EFS-CSI-Treiber](workloads-add-ons-available-eks.md#add-ons-aws-efs-csi-driver) | Ja | v2.0.5-eksbuild.1 |
| [AWS Distro for OpenTelemetry](workloads-add-ons-available-eks.md#add-ons-adot) | Ja | v0.94.1-eksbuild.1 |
| [CSI-Treiber für Mountpoint für Amazon S3](workloads-add-ons-available-eks.md#mountpoint-for-s3-add-on) | Nein | N/A |
| [Amazon-CloudWatch-Beobachtbarkeits-Agent](workloads-add-ons-available-eks.md#amazon-cloudwatch-observability) | Ja | v3.1.0-eksbuild.1 |
Diese Tabelle wurde zuletzt am 28. Oktober 2024 aktualisiert.
# Verwendung von Pod Identities zum Zuweisen einer IAM-Rolle zu einem Amazon-EKS-Add-On
Bestimmte Amazon-EKS-Add-Ons erfordern IAM-Rollen und -Berechtigungen. Bevor Sie ein Amazon-EKS-Add-On aktualisieren, um eine Pod-Identity-Zuordnung zu verwenden, überprüfen Sie die zu verwendende Rolle und Richtlinie. Weitere Informationen finden Sie unter [Abrufen von IAM-Informationen zu einem Amazon-EKS-Add-On](retreive-iam-info.md).
1. Bestimmen Sie:
+ `cluster-name` – Den Namen des Clusters, auf dem das Add-On installiert werden soll.
+ `addon-name` – Den Namen des zu installierenden Add-ons.
+ `service-account-name` – Den Namen des vom Add-On verwendeten Kubernetes- Servicekontos.
+ `iam-role-arn` – Die ARN einer IAM-Rolle mit ausreichenden Berechtigungen für das Add-On. Die Rolle muss über die erforderliche Vertrauensrichtlinie für die EKS Pod Identity verfügen. Weitere Informationen finden Sie unter [Erstellen Sie eine Pod Identity-Zuordnung (AWS Konsole)](pod-id-association.md#pod-id-association-create).
1. Aktualisieren Sie das Add-on mithilfe der AWS-CLI. Sie können beim Erstellen eines Add-Ons mit derselben `--pod-identity-assocations`-Syntax auch Pod-Identity-Zuordnungen angeben. Beachten Sie, dass beim Angeben von Pod-Identity-Zuordnungen beim Aktualisieren eines Add-Ons alle vorherigen Pod-Identity-Zuordnungen überschrieben werden.
```
aws eks update-addon --cluster-name \
--addon-name \
--pod-identity-associations 'serviceAccount=,roleArn='
```
Zum Beispiel:
```
aws eks update-addon --cluster-name mycluster \
--addon-name aws-ebs-csi-driver \
--pod-identity-associations 'serviceAccount=ebs-csi-controller-sa,roleArn=arn:aws:iam::123456789012:role/StorageDriver'
```
1. Überprüfen Sie, ob die Pod-Identity-Zuordnung erstellt wurde:
```
aws eks list-pod-identity-associations --cluster-name
```
Wenn Sie erfolgreich waren, sollte die Ausgabe folgendermaßen oder ähnlich aussehen. Notieren Sie sich die OwnerARN des EKS-Add-Ons.
```
{
"associations": [
{
"clusterName": "mycluster",
"namespace": "kube-system",
"serviceAccount": "ebs-csi-controller-sa",
"associationArn": "arn:aws:eks:us-west-2:123456789012:podidentityassociation/mycluster/a-4wvljrezsukshq1bv",
"associationId": "a-4wvljrezsukshq1bv",
"ownerArn": "arn:aws:eks:us-west-2:123456789012:addon/mycluster/aws-ebs-csi-driver/9cc7ce8c-2e15-b0a7-f311-426691cd8546"
}
]
}
```
# Entfernung von Pod-Identity-Zuordnungen aus einem Amazon-EKS-Add-On
Entfernen Sie die Pod-Identity-Zuordnungen aus einem Amazon-EKS-Add-On.
1. Bestimmen Sie:
+ `cluster-name` – Den Namen des EKS-Clusters, auf dem das Add-On installiert werden soll.
+ `addon-name` – Den Namen des zu installierenden Amazon-EKS-Add-Ons.
1. Aktualisieren Sie das Add-On, um ein leeres Array mit Pod-ldentity-Zuordnungen anzugeben.
```
aws eks update-addon --cluster-name \
--addon-name \
--pod-identity-associations "[]"
```
# Fehlerbehebung bei Pod Identities für EKS-Add-Ons
Wenn bei Ihren Add-Ons beim Ausführen von AWS-API-, SDK- oder CLI-Operationen Fehler auftreten, überprüfen Sie Folgendes:
+ Der Pod Identity Agent ist in Ihrem Cluster installiert.
+ Informationen zur Installation des Pod Identity Agent finden Sie unter [Einrichtung des Amazon-EKS-Pod-Identity-Agenten](pod-id-agent-setup.md).
+ Das Add-On verfügt über eine gültige Pod-Identity-Zuordnung.
+ Verwenden Sie die AWS-CLI, um die Zuordnungen für den vom AddO-n verwendeten Servicekonto-Namen abzurufen.
```
aws eks list-pod-identity-associations --cluster-name
```
+ Die IAM-Rolle verfügt über die erforderliche Vertrauensrichtlinie für Pod Identities.
+ Verwenden Sie die AWS-CLI, um die Vertrauensrichtlinie für ein Add-On abzurufen.
```
aws iam get-role --role-name --query Role.AssumeRolePolicyDocument
```
+ Die IAM-Rolle verfügt über die erforderlichen Berechtigungen für das Add-On.
+ Verwenden Sie AWS CloudTrail, um `AccessDenied` oder `UnauthorizedOperation`-Ereignisse zu überprüfen.
+ Der Name des Servicekontos in der Pod-Identity-Zuordnung entspricht dem vom Add-On verwendeten Namen des Servicekontos.
+ Informationen zu den verfügbaren Add-Ons finden Sie unter [AWS Add-Ons](workloads-add-ons-available-eks.md).
+ Konfiguration von MutatingWebhookConfiguration mit dem Namen `pod-identity-webhook` überprüfen
+ `admissionReviewVersions` des Webhooks muss `v1beta1` sein und ist mit `v1` nicht kompatibel.
# Felder für die Anpassung von Amazon-EKS-Add-Ons festlegen
Amazon-EKS-Add-ons werden in Ihrem Cluster unter Verwendung von bewährten Standardkonfigurationen installiert. Weitere Informationen zum Hinzufügen eines Amazon-EKS-Add-ons zu Ihrem Cluster finden Sie unter [Amazon-EKS-Add-ons](eks-add-ons.md).
Möglicherweise möchten Sie die Konfiguration eines Amazon-EKS-Add-ons anpassen, um erweiterte Funktionen zu aktivieren. Amazon EKS verwendet das serverseitige Feature Kubernetes, um die Verwaltung eines Add-Ons durch Amazon EKS zu ermöglichen, ohne Ihre Einstellungen zu überschreiben, die nicht von Amazon EKS verwaltet werden. Weitere Informationen dazu finden Sie unter [Serverseitiges Anwenden](https://kubernetes.io/docs/reference/using-api/server-side-apply/) in der Kubernetes-Dokumentation. Um dies zu erreichen, verwaltet Amazon EKS einen Mindestsatz von Feldern für jedes Add-on, das installiert wird. Sie können alle Felder problemlos ändern, die nicht von Amazon EKS oder einem anderen Prozess der Kubernetes-Steuerebene verwaltet werden, z. B. `kube-controller-manager`.
**Wichtig**
Das Ändern eines von Amazon EKS verwalteten Felds verhindert, dass Amazon EKS das Add-on verwaltet und kann dazu führen, dass Ihre Änderungen überschrieben werden, wenn ein Add-on aktualisiert wird.
## Syntax für Feldmanagement
Wenn Sie Details für ein Kubernetes-Objekt anzeigen, werden sowohl verwaltete als auch nicht verwaltete Felder in der Ausgabe zurückgegeben. Verwaltete Felder können einer der folgenden Typen sein:
+ **Vollständig verwaltet** – Alle Schlüssel für das Feld werden von Amazon EKS verwaltet. Änderungen an einem beliebigen Wert verursachen einen Konflikt.
+ **Teilweise verwaltet** – Einige Schlüssel für das Feld werden von Amazon EKS verwaltet. Nur Änderungen an den Schlüsseln, die explizit von Amazon EKS verwaltet werden, verursachen einen Konflikt.
Beide Arten von Feldern sind gekennzeichnet mit `manager: eks`.
Jeder Schlüssel ist entweder ein `.`, welches das Feld darstellt, das immer einem leeren Satz zugeordnet wird, oder eine Zeichenfolge, die ein Unterfeld oder Element darstellt. Die Ausgabe für die Feldverwaltung besteht aus folgenden Angabetypen:
+ `f:name `, wobei *name* der Name eines Feldes in einer Liste ist.
+ `k:keys `, wo *keys* sich eine Karte der Felder eines Listenelements befindet.
+ `v:value `, wobei *value* der exakte JSON-formatierte Wert eines Listenelements ist.
+ `i:index `, wobei *index* die Position eines Elements in der Liste ist.
Die folgenden Ausgabeteile für das CoreDNS Add-on veranschaulichen die vorherigen Angaben:
+ **Vollständig verwaltete Felder** – Wenn ein verwaltetes Feld ein `f:` (Feld) festgelegt hat, aber keinen `k:` (Schlüssel), dann wird das gesamte Feld verwaltet. Änderungen an Werten in diesem Feld verursachen einen Konflikt.
In der folgenden Ausgabe sehen Sie, dass der Container mit dem Namen `coredns` verwaltet von `eks`. Die`args`, `image` und `imagePullPolicy` Unterfelder werden auch verwaltet von `eks`. Änderungen an Werten in diesen Feldern verursachen einen Konflikt.
```
[...]
f:containers:
k:{"name":"coredns"}:
.: {}
f:args: {}
f:image: {}
f:imagePullPolicy: {}
[...]
manager: eks
[...]
```
+ **Teilweise verwaltete Felder** – Wenn für einen verwalteten Schlüssel ein Wert angegeben ist, werden die angegebenen Schlüssel für dieses Feld verwaltet. Das Ändern der angegebenen Schlüssel führt zu einem Konflikt.
In der folgenden Ausgabe sehen Sie, dass `eks` die `config-volume` und `tmp` Volumes verwaltet, welche mit dem `name`-Schlüssel eingestellt wurden.
```
[...]
f:volumes:
k:{"name":"config-volume"}:
.: {}
f:configMap:
f:items: {}
f:name: {}
f:name: {}
k:{"name":"tmp"}:
.: {}
f:name: {}
[...]
manager: eks
[...]
```
+ **Hinzufügen von Schlüsseln zu teilweise verwalteten Feldern** – Wenn nur ein bestimmter Schlüsselwert verwaltet wird, können Sie sicher zusätzliche Schlüssel wie Argumente zu einem Feld hinzufügen, ohne einen Konflikt zu verursachen. Wenn Sie zusätzliche Schlüssel hinzufügen, stellen Sie sicher, dass das Feld nicht zuerst verwaltet wird. Das Hinzufügen oder Ändern eines verwalteten Werts verursacht einen Konflikt.
In der folgenden Ausgabe sehen Sie, dass sowohl der Schlüssel `name` als auch das Feld `name` verwaltet werden. Das Hinzufügen oder Ändern eines Containernamens verursacht einen Konflikt mit diesem verwalteten Schlüssel.
```
[...]
f:containers:
k:{"name":"coredns"}:
[...]
f:name: {}
[...]
manager: eks
[...]
```
## Verfahren
Sie können `kubectl` verwenden, um zu sehen, welche Felder von Amazon EKS für ein Amazon EKS Add-on verwaltet werden.
Sie können alle Felder problemlos ändern, die nicht von Amazon EKS oder einem anderen Prozess der Kubernetes-Steuerebene verwaltet werden, z. B. `kube-controller-manager`.
1. Bestimmen Sie das Add-on, das Sie überprüfen möchten. Eine Übersicht aller in Ihrem Cluster DaemonSets bereitgestellten `deployments` und bereitgestellten Daten finden Sie unter[Kubernetes-Ressourcen anzeigen in der AWS-Managementkonsole](view-kubernetes-resources.md).
1. Führen Sie den folgenden Befehl aus, um die verwalteten Felder für ein Add-on anzuzeigen:
```
kubectl get type/add-on-name -n add-on-namespace -o yaml
```
Sie können beispielsweise die verwalteten Felder für das CoreDNS Add-on mit dem folgenden Befehl sehen.
```
kubectl get deployment/coredns -n kube-system -o yaml
```
Die Feldverwaltung wird im folgenden Abschnitt in der zurückgegebenen Ausgabe aufgeführt.
```
[...]
managedFields:
- apiVersion: apps/v1
fieldsType: FieldsV1
fieldsV1:
[...]
```
**Anmerkung**
Wenn `managedFields` in der Ausgabe nicht angezeigt wird, fügen Sie dem Befehl `--show-managed-fields` hinzu, und führen Sie ihn erneut aus. Die Version von `kubectl`, die Sie verwenden, bestimmt, ob verwaltete Felder standardmäßig zurückgegeben werden.
## Nächste Schritte
Passen Sie die Felder an, die nicht AWS Ihrem Add-on gehören.