Verfügbare EKS Amazon-Add-Ons von AWS - Amazon EKS
Amazon VPC CNI plugin for KubernetesKern DNSKube-proxyEBSCSIAmazon-TreiberEFSCSIAmazon-TreiberMountpoint für Amazon S3 CSI S3-TreiberCSISnapshot-ControllerAWS Distribution für OpenTelemetryAmazon GuardDuty AgentAmazon CloudWatch Observability-AgentEKSPod Identity Agent

Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verfügbare EKS Amazon-Add-Ons von AWS

Die folgenden EKS Amazon-Add-Ons können in Ihrem Cluster erstellt werden. Sie können die aktuelle Liste der verfügbaren Add-Ons mit eksctl AWS Management Console, dem oder dem einsehen AWS CLI. Informationen zu allen verfügbaren Add-Ons oder zur Installation eines Add-Ons finden Sie unter Ein EKS Amazon-Add-on erstellen. Wenn für ein Add-on IAM Berechtigungen erforderlich sind, benötigen Sie eine IAM OpenID Connect (OIDC) Anbieter für Ihren Cluster. Um festzustellen, ob Sie über einen solchen verfügen oder um einen zu erstellen, lesen Sie Erstelle eine IAM OIDC Anbieter für Ihren Cluster. Sie können ein Add-on aktualisieren oder löschen, nachdem Sie es installiert haben.

Sie können jedes der folgenden EKS Amazon-Add-Ons verwenden.

Beschreibung Weitere Informationen

Stellen Sie native VPC Netzwerke für Ihren Cluster bereit

 Amazon VPC CNI plugin for Kubernetes

Ein flexibler, erweiterbarer DNS Server, der als Kubernetes Cluster DNS

 Kern DNS
Pflegen Sie die Netzwerkregeln auf jedem EC2 Amazon-Knoten Kube-proxy
Stellen Sie EBS Amazon-Speicher für Ihren Cluster bereit EBSCSIAmazon-Treiber
Stellen Sie EFS Amazon-Speicher für Ihren Cluster bereit EFSCSIAmazon-Treiber
Stellen Sie Amazon S3 S3-Speicher für Ihren Cluster bereit Mountpoint für Amazon S3 CSI S3-Treiber
Aktivieren Sie die Verwendung der Snapshot-Funktionalität in kompatiblen CSI Treibern, z. B. dem EBS CSI Amazon-Treiber CSISnapshot-Controller
Sicherer, produktionsreifer und AWS unterstützter Vertrieb des Projekts OpenTelemetry AWS Distribution für OpenTelemetry
Sicherheitsüberwachungsservice, der grundlegende Datenquellen wie AWS CloudTrail Verwaltungsereignisse und Amazon VPC Flow-Logs analysiert und verarbeitet. Amazon verarbeitet GuardDuty auch Funktionen wie Kubernetes Audit-Logs und Laufzeitüberwachung Amazon GuardDuty Agent
Überwachungs- und Beobachtbarkeitsservice von AWS. Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für Amazon EKS Amazon CloudWatch Observability-Agent
Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Instance-Profile Anmeldeinformationen für Instances bereitstellen EC2 EKSPod Identity Agent

Amazon VPC CNI plugin for Kubernetes

Das Tool Amazon VPC CNI plugin for Kubernetes Das EKS Amazon-Add-on ist ein Kubernetes Container-Netzwerkschnittstelle (CNI) -Plugin, das systemeigene VPC Netzwerke für Ihren Cluster bereitstellt. Der selbstverwaltete oder verwaltete Typ dieses Add-ons ist standardmäßig auf jedem EC2 Amazon-Knoten installiert. Weitere Informationen finden Sie unter Kubernetes Container-Netzwerkschnittstelle (CNI) -Plugin.

Der Name des EKS Amazon-Add-ons lautetvpc-cni.

Erforderliche IAM Berechtigungen

Dieses Add-on nutzt die IAMFunktionen Rollen für Servicekonten von AmazonEKS. Wenn Ihr Cluster die IPv4 Familie verwendet, sind die Berechtigungen in der Amazon EKS _ CNI _Policy erforderlich. Wenn Ihr Cluster die IPv6 Familie verwendet, müssen Sie eine IAM Richtlinie mit den Berechtigungen im IPv6Modus erstellen. Sie können eine IAM Rolle erstellen, ihr eine der Richtlinien zuordnen und Anmerkungen zu den Kubernetes Dienstkonto, das vom Add-on mit dem folgenden Befehl verwendet wird.

Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKSVPCCNIRole durch den Namen Ihrer Rolle. Wenn der Cluster die IPv6-Familie verwendet, ersetzen Sie AmazonEKS_CNI_Policy durch den Namen der Richtlinie, die Sie erstellt haben. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, fügen Sie ihr die Richtlinie bei und fügen Sie Anmerkungen hinzu Kubernetes Dienstkonto, sieheAssign IAM Rollen zu Kubernetes Dienstkonten.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

Informationen aktualisieren

Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.29.x-eksbuild.y ist und Sie auf 1.31.x-eksbuild.y aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf 1.30.x-eksbuild.y und dann auf 1.31.x-eksbuild.y aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Aktualisierung der Amazon VPC CNI plugin for Kubernetes EKSAmazon-Zusatzprodukt.

Kern DNS

Das Core DNS Amazon EKS Add-on ist ein flexibler, erweiterbarer DNS Server, der als Kubernetes ClusterDNS. Der selbstverwaltete oder verwaltete Typ dieses Add-Ons wurde standardmäßig installiert, als Sie Ihren Cluster erstellt haben. Wenn Sie einen EKS Amazon-Cluster mit mindestens einem Knoten starten, werden zwei Replikate des CoreDNS Images werden standardmäßig bereitgestellt, unabhängig von der Anzahl der in Ihrem Cluster bereitgestellten Knoten. Das Tool CoreDNS Pods stellen Sie die Namensauflösung für alle bereit Pods im Cluster. Sie können das bereitstellen CoreDNS Pods zu Fargate-Knoten, wenn Ihr Cluster einen Definieren Sie, welche Pods Verwendung AWS Fargate beim Start verwendet wird mit einem Namespace enthält, der dem Namespace für den entspricht CoreDNS deployment.

Der Name des EKS Amazon-Add-ons lautetcoredns.

Erforderliche IAM Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen zu Core DNS finden Sie unter Verwenden von Core DNS für Service Discovery und Anpassen von DNS Service in der Kubernetes -Dokumentation.

Kube-proxy

Das Kube-proxy EKS Amazon-Add-on verwaltet die Netzwerkregeln auf jedem EC2 Amazon-Knoten. Es ermöglicht die Netzwerkkommunikation zu Ihrem Pods. Der selbstverwaltete oder verwaltete Typ dieses Add-ons ist standardmäßig auf jedem EC2 Amazon-Knoten in Ihrem Cluster installiert.

Der Name des EKS Amazon-Add-ons lautetkube-proxy.

Erforderliche IAM Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Informationen aktualisieren

Bevor Sie Ihre aktuelle Version aktualisieren, sollten Sie die folgenden Anforderungen berücksichtigen:

Zusätzliche Informationen

Weitere Informationen dazu finden kube-proxy Sie kube-proxyin der Kubernetes -Dokumentation.

EBSCSIAmazon-Treiber

Das EBS CSI EKS Amazon-Treiber-Amazon-Add-on ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das EBS Amazon-Speicher für Ihren Cluster bereitstellt.

Der Name des EKS Amazon-Add-ons lautetaws-ebs-csi-driver.

Erforderliche Berechtigungen IAM

Dieses Add-on nutzt die IAMFunktionen „Rollen für Dienstkonten“ von AmazonEKS. Die Berechtigungen in der AmazonEBSCSIDriverPolicy AWS verwalteten Richtlinie sind erforderlich. Mit dem folgenden Befehl können Sie eine IAM Rolle erstellen und ihr die verwaltete Richtlinie zuordnen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_EBS_CSI_DriverRole durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool oder einen benutzerdefinierten KMSSchlüssel für die Verschlüsselung verwenden müssen, finden Sie weitere Informationen unterSchritt 1: Eine IAM Rolle erstellen.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterSpeichern Kubernetes Volumen mit Amazon EBS.

EFSCSIAmazon-Treiber

Das EFS CSI EKS Amazon-Treiber-Amazon-Add-on ist ein Kubernetes Container Storage Interface (CSI) -Plugin, das EFS Amazon-Speicher für Ihren Cluster bereitstellt.

Der Name des EKS Amazon-Add-ons lautetaws-efs-csi-driver.

Erforderliche Berechtigungen IAM

Erforderliche IAM Berechtigungen — Dieses Add-on nutzt die IAMFunktionen „Rollen für Dienstkonten“ von AmazonEKS. Die Berechtigungen in der AmazonEFSCSIDriverPolicy AWS verwalteten Richtlinie sind erforderlich. Mit den folgenden Befehlen können Sie eine IAM Rolle erstellen und ihr die verwaltete Richtlinie zuordnen. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_EFS_CSI_DriverRole durch den Namen Ihrer Rolle. Diese Befehle erfordern, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, finden Sie Informationen unter Schritt 1: Erstellen Sie eine IAM Rolle.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterSpeichern Sie ein elastisches Dateisystem bei Amazon EFS.

Mountpoint für Amazon S3 CSI S3-Treiber

Das Tool Mountpoint für Amazon S3 CSI Driver ist das EKS Amazon-Add-on ein Kubernetes Container Storage Interface (CSI) -Plugin, das Amazon S3 S3-Speicher für Ihren Cluster bereitstellt.

Der Name des EKS Amazon-Add-ons lautetaws-mountpoint-s3-csi-driver.

Erforderliche IAM Berechtigungen

Dieses Add-on nutzt die IAMFunktionen Rollen für Servicekonten von AmazonEKS. Für die erstellte IAM Rolle ist eine Richtlinie erforderlich, die Zugriff auf S3 gewährt. Folgen Sie dem Mountpoint IAMEmpfehlungen zu Berechtigungen bei der Erstellung der Richtlinie. Alternativ können Sie die AWS verwaltete Richtlinie verwenden AmazonS3FullAccess, aber diese verwaltete Richtlinie gewährt mehr Berechtigungen, als für Mountpoint.

Mit den folgenden Befehlen können Sie eine IAM Rolle erstellen und ihr Ihre Richtlinie zuordnen. Ersetzen my-cluster mit dem Namen Ihres Clusters, region-code mit dem richtigen AWS-Region Code, AmazonEKS_S3_CSI_DriverRole mit dem Namen für deine Rolle und AmazonEKS_S3_CSI_DriverRole_ARN mit der RolleARN. Diese Befehle erfordern, dass Sie eksctl auf Ihrem Gerät installiert haben. Anweisungen zur Verwendung der IAM Konsole oder AWS CLI finden Sie unterErstellen Sie eine IAM-Rolle.

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterGreifen Sie mit dem Mountpoint for Amazon S3-Treiber auf Amazon S3-Objekte zu CSI.

CSISnapshot-Controller

Der Container Storage Interface (CSI) Snapshot-Controller ermöglicht die Verwendung der Snapshot-Funktionalität in kompatiblen CSI Treibern, wie dem EBS CSI Amazon-Treiber.

Der Name des EKS Amazon-Add-ons lautetsnapshot-controller.

Erforderliche IAM Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen über das Add-on finden Sie unterSnapshot-Funktionalität für CSI Volumes aktivieren.

AWS Distribution für OpenTelemetry

Das EKS Add-on AWS Distro for OpenTelemetry Amazon ist eine sichere, produktionsbereite und AWS unterstützte Distribution des Projekts. OpenTelemetry Weitere Informationen finden Sie unter AWS Distro for on. OpenTelemetry GitHub

Der Name des EKS Amazon-Add-ons lautetadot.

Erforderliche IAM Berechtigungen

Für dieses Add-on sind nur dann IAM Berechtigungen erforderlich, wenn Sie eine der vorkonfigurierten benutzerdefinierten Ressourcen verwenden, für die Sie sich über die erweiterte Konfiguration anmelden können.

Zusätzliche Informationen

Weitere Informationen finden Sie unter Erste Schritte mit AWS Distro für OpenTelemetry Verwenden von EKS Add-Ons in der AWS Distribution für OpenTelemetry -Dokumentation.

ADOTerfordert als Voraussetzung, dass dieses Add-on auf dem Cluster bereitgestellt cert-manager wird. Andernfalls funktioniert dieses Add-on nicht, wenn es direkt über die Amazon EKS cluster_addons Terraform-Eigenschaft bereitgestellt wird. Weitere Anforderungen finden Sie unter Voraussetzungen für die ersten Schritte mit AWS Distro für OpenTelemetry Verwenden von EKS Add-Ons in der AWS Distribution für OpenTelemetry -Dokumentation.

Amazon GuardDuty Agent

Das Amazon GuardDuty EKS Agent-Amazon-Add-on ist ein Sicherheitsüberwachungsservice, der grundlegende Datenquellen wie AWS CloudTrail Verwaltungsereignisse und VPC Amazon-Flow-Logs analysiert und verarbeitet. Amazon verarbeitet GuardDuty auch Funktionen wie Kubernetes Audit-Logs und Laufzeitüberwachung.

Der Name des EKS Amazon-Add-ons lautetaws-guardduty-agent.

Erforderliche IAM Berechtigungen

Für dieses Add-on sind keine Berechtigungen erforderlich.

Zusätzliche Informationen

Weitere Informationen finden Sie unter Laufzeitüberwachung für EKS Amazon-Cluster in Amazon GuardDuty.

  • Um potenzielle Sicherheitsbedrohungen in Ihren EKS Amazon-Clustern zu erkennen, aktivieren Sie Amazon GuardDuty Runtime Monitoring und stellen Sie den GuardDuty Security Agent auf Ihren EKS Amazon-Clustern bereit.

Amazon CloudWatch Observability-Agent

Der Amazon CloudWatch Observability-Agent Amazon hat den EKS Überwachungs- und Observabilitätsservice von hinzugefügt. AWS Dieses Add-on installiert den CloudWatch Agenten und aktiviert sowohl CloudWatch Application Signals als auch CloudWatch Container Insights mit verbesserter Observability für AmazonEKS. Weitere Informationen finden Sie unter Amazon CloudWatch Agent.

Der Name des EKS Amazon-Add-ons lautetamazon-cloudwatch-observability.

Erforderliche IAM Berechtigungen

Dieses Add-on nutzt die IAMFunktionen Rollen für Servicekonten von AmazonEKS. Die Berechtigungen in den AWSXrayWriteOnlyAccessund den CloudWatchAgentServerPolicy AWS verwalteten Richtlinien sind erforderlich. Sie können eine IAM Rolle erstellen, ihr die verwalteten Richtlinien anhängen und Anmerkungen zu den Kubernetes Dienstkonto, das vom Add-on mit dem folgenden Befehl verwendet wird. Ersetzen Sie my-cluster durch den Namen Ihres Clusters und AmazonEKS_Observability_role durch den Namen Ihrer Rolle. Dieser Befehl erfordert, dass Sie eksctl auf Ihrem Gerät installiert haben. Wenn Sie ein anderes Tool verwenden müssen, um die Rolle zu erstellen, fügen Sie ihr die Richtlinie bei und fügen Sie Anmerkungen hinzu Kubernetes Dienstkonto, sieheAssign IAM Rollen zu Kubernetes Dienstkonten.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

Zusätzliche Informationen

Weitere Informationen finden Sie unter Den CloudWatch Agenten installieren.

EKSPod Identity Agent

Das Amazon EKS Add-on Amazon EKS Pod Identity Agent bietet die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Instance-Profile Anmeldeinformationen für EC2 Instances bereitstellen.

Der Name des EKS Amazon-Add-ons lauteteks-pod-identity-agent.

Erforderliche IAM Berechtigungen

Dieses Add-on verwendet Berechtigungen vonAmazon-EKS-Knoten-IAM-Rolle.

Informationen aktualisieren

Sie können jeweils nur eine Nebenversion aktualisieren. Wenn Ihre aktuelle Version beispielsweise 1.29.x-eksbuild.y ist und Sie auf 1.31.x-eksbuild.y aktualisieren möchten, müssen Sie zuerst ihre aktuelle Version auf 1.30.x-eksbuild.y und dann auf 1.31.x-eksbuild.y aktualisieren. Weitere Informationen zum Aktualisieren des Add-ons finden Sie unter Aktualisierung der Amazon VPC CNI plugin for Kubernetes EKSAmazon-Zusatzprodukt.