Complementos de Amazon EKS disponibles desde AWS - Amazon EKS
Amazon VPC CNI plugin for KubernetesCoreDNSKube-proxyControlador CSI de Amazon EBSControlador CSI de Amazon EFSMountpoint para el controlador CSI de Amazon S3Controlador de instantáneas CSIAWS Distro para OpenTelemetryAgente de Amazon GuardDutyAgente de Amazon CloudWatch ObservabilityAgente de Pod Identity de EKS

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Complementos de Amazon EKS disponibles desde AWS

Los siguientes complementos de Amazon EKS están disponibles para crearlos en el clúster. Puede ver la lista más actualizada de complementos disponibles mediante eksctl, la AWS Management Console o la AWS CLI. Para ver todos los complementos disponibles o instalar un complemento, consulte Creación de un complemento de Amazon EKS. Si un complemento requiere permisos de IAM, debe tener un proveedor de IAM OpenID Connect (OIDC) para el clúster. Para determinar si ya tiene uno o si debe crearlo, consulte Creación de un proveedor de OIDC de IAM para su clúster. Puede actualizar o eliminar un complemento una vez que lo haya instalado.

Puede utilizar cualquiera de los siguientes complementos de Amazon EKS.

Descripción Más información

Proporcione redes de VPC nativas para su clúster.

 Amazon VPC CNI plugin for Kubernetes

Un servidor de DNS flexible y extensible que puede servir como el DNS del clúster de Kubernetes.

 CoreDNS
Mantenga las reglas de red en cada nodo de Amazon EC2. Kube-proxy
Proporcione almacenamiento de Amazon EBS para su clúster. Controlador CSI de Amazon EBS
Proporcione almacenamiento de Amazon EFS para el clúster. Controlador CSI de Amazon EFS
Proporcione almacenamiento de Amazon S3 para el clúster. Mountpoint para el controlador CSI de Amazon S3
Habilite el uso de la funcionalidad de captura de instantáneas en controladores de CSI compatibles, como el controlador de CSI de Amazon EBS. Controlador de instantáneas CSI
Distribución segura, lista para la producción y compatible con AWS del proyecto OpenTelemetry. AWS Distro para OpenTelemetry
Servicio de supervisión de seguridad que analiza y procesa los orígenes de datos fundacionales, incluidos los eventos de administración de AWS CloudTrail y los registros de flujo de Amazon VPC. Amazon GuardDuty también procesa características, como los registros de auditoría de Kubernetes y la supervisión del tiempo de ejecución. Agente de Amazon GuardDuty
Servicio de supervisión y observabilidad proporcionado por AWS. Este complemento instala el agente de CloudWatch y habilita tanto CloudWatch Application Signals como Información de contenedores de Amazon CloudWatch con una observabilidad mejorada para Amazon EKS Agente de Amazon CloudWatch Observability
Ofrece la posibilidad de administrar las credenciales de las aplicaciones, de un modo similar a cómo los perfiles de instancia de EC2 proporcionan credenciales a instancias de EC2. Agente de Pod Identity de EKS

Amazon VPC CNI plugin for Kubernetes

El complemento Amazon VPC CNI plugin for Kubernetes de Amazon EKS es un complemento de interfaz de red de contenedores (CNI) de Kubernetes que proporciona redes de VPC nativas para el clúster. El tipo autoadministrado o administrado de este complemento se instala en cada nodo de Amazon EC2 de forma predeterminada. Para obtener más información, consulte Kubernetes container network interface (CNI) plugin.

El nombre del complemento de Amazon EKS es vpc-cni.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Si el clúster usa la familia IPv4, se requieren los permisos de la AmazonEKS_CNI_Policy. Si el clúster utiliza la familia IPv6, entonces debe crear una política de IAM con los permisos del modo IPv6. Puede crear un rol de IAM, asociarle una de las políticas y anotar la cuenta de servicio de Kubernetes utilizada por el complemento con el siguiente comando.

Reemplace my-cluster con el nombre del clúster y reemplace AmazonEKSVPCCNIRole con el nombre para su rol. Si el clúster usa la familia IPv6, reemplace AmazonEKS_CNI_Policy por el nombre de la política que creó. Este comando requiere que tenga eksctl instalado en su dispositivo. Si necesita usar una herramienta diferente para crear el rol, asociarle la política y anotar la cuenta de servicio de Kubernetes, consulte Asignación de roles de IAM a cuentas de servicio de Kubernetes.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

Actualización de la información

Solo puede actualizar una versión secundaria a la vez. Por ejemplo, si su versión actual es la 1.29.x-eksbuild.y y desea actualizarla a la 1.31.x-eksbuild.y, primero debe actualizarla a la 1.30.x-eksbuild.y y luego a la 1.31.x-eksbuild.y. Para obtener más información acerca de la actualización de complementos, consulte Actualizar el complemento Amazon VPC CNI plugin for Kubernetes de Amazon EKS.

CoreDNS

El complemento de CoreDNS de Amazon EKS es un servidor de DNS flexible y extensible que puede servir como el DNS del clúster de Kubernetes. El tipo autoadministrado o administrado de este complemento se instaló de forma predeterminada cuando se creó el clúster. Al lanzar un clúster de Amazon EKS con al menos un nodo, se implementan dos réplicas de la imagen de CoreDNS de forma predeterminada, independientemente del número de nodos implementados en el clúster. Los Pods CoreDNS proporcionan resolución de nombres para todos los Pods del clúster. Los Pods CoreDNS se pueden implementar en los nodos de Fargate si el clúster incluye un Definición de qué Pods usarán AWS Fargate cuando se lancen con un espacio de nombres que coincida con el espacio de nombres para la deployment de CoreDNS.

El nombre del complemento de Amazon EKS es coredns.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información sobre CoreDNS, consulte Using CoreDNS for Service Discovery y Customizing DNS Service en la documentación de Kubernetes.

Kube-proxy

El complemento de Kube-proxy de Amazon EKS mantiene las reglas de red en cada nodo de Amazon EC2. Permite la comunicación de red con sus Pods. De forma predeterminada, el tipo autoadministrado o administrado de este complemento se instala en cada nodo de Amazon EC2 en el clúster.

El nombre del complemento de Amazon EKS es kube-proxy.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Actualización de la información

Antes de actualizar la versión actual, tenga en cuenta los siguientes requisitos:

Información adicional

Para obtener más información sobre kube-proxy, consulte kube-proxy en la documentación de Kubernetes.

Controlador CSI de Amazon EBS

El complemento del controlador de CSI de Amazon EBS para Amazon EKS es un complemento de interfaz de almacenamiento de contenedores (CSI) de Kubernetes que proporciona almacenamiento de Amazon EBS para el clúster.

El nombre del complemento de Amazon EKS es aws-ebs-csi-driver.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Los permisos de la política administrada AmazonEBSCSIDriverPolicyAWS son obligatorios. Cree un rol de IAM y adjunte la política administrada del rol de IAM con el siguiente comando. Reemplace my-cluster con el nombre del clúster y reemplace AmazonEKS_EBS_CSI_DriverRole con el nombre para su rol. Este comando requiere que tenga eksctl instalado en su dispositivo. Si necesita usar una herramienta diferente o necesita usar una clave de KMS personalizada para el cifrado, consultePaso 1: Crear un rol de IAM.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

Información adicional

Para obtener más información sobre el complemento, consulte Almacenamiento de volúmenes de Kubernetes con Amazon EBS.

Controlador CSI de Amazon EFS

El complemento del controlador de CSI de Amazon EFS para Amazon EKS es un complemento de interfaz de almacenamiento de contenedores (CSI) de Kubernetes que proporciona almacenamiento de Amazon EFS para el clúster.

El nombre del complemento de Amazon EKS es aws-efs-csi-driver.

Permisos de IAM necesarios

Permisos de IAM requeridos: este complemento utiliza la capacidad roles de IAM para cuentas de servicio de Amazon EKS. Los permisos de la política administrada AmazonEFSCSIDriverPolicy de AWS son obligatorios. Cree un rol de IAM y adjunte la política administrada del rol de IAM con los siguientes comandos. Reemplace my-cluster con el nombre del clúster y reemplace AmazonEKS_EFS_CSI_DriverRole con el nombre para su rol. Estos comandos requieren que tenga eksctl instalado en su dispositivo. Si necesita utilizar una herramienta diferente, consulte Paso 1: Crear un rol de IAM.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Información adicional

Para obtener más información sobre el complemento, consulte Almacenamiento de un sistema de archivos elástico con Amazon EFS.

Mountpoint para el controlador CSI de Amazon S3

El complemento del controlador de CSI de Mountpoint para Amazon S3 de Amazon EKS es un complemento de interfaz de almacenamiento de contenedores (CSI) de Kubernetes que proporciona almacenamiento de Amazon S3 para el clúster.

El nombre del complemento de Amazon EKS es aws-mountpoint-s3-csi-driver.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. El rol de IAM que se cree requerirá una política que dé acceso a S3. Siga las recomendaciones de permisos de Mountpoint IAM al crear la política. Como alternativa, puede utilizar la política administrada de AWS AmazonS3FullAccess, pero esta política administrada concede más permisos de los necesarios para Mountpoint.

Cree un rol de IAM y adjunte la política a él con los siguientes comandos. Reemplace my-cluster por el nombre de su clúster, region-code por el código de Región de AWS correcto, AmazonEKS_S3_CSI_DriverRole por el nombre de su rol y AmazonEKS_S3_CSI_DriverRole_ARN por el ARN del rol. Estos comandos requieren que tenga eksctl instalado en su dispositivo. Para obtener instrucciones sobre cómo utilizar la consola de IAM o AWS CLI, consulte Creación de un rol de IAM.

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

Información adicional

Para obtener más información sobre el complemento, consulte Acceso a los objetos de Amazon S3 mediante Mountpoint para Amazon S3 con el controlador CSI.

Controlador de instantáneas CSI

El controlador de instantáneas de la interfaz de almacenamiento de contenedores (CSI) permite el uso de la funcionalidad de captura de instantáneas en controladores de CSI compatibles, como el controlador de CSI de Amazon EBS.

El nombre del complemento de Amazon EKS es snapshot-controller.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información sobre el complemento, consulte Habilitación de la funcionalidad de instantáneas para volúmenes de CSI.

AWS Distro para OpenTelemetry

El complemento de AWS Distro para OpenTelemetry de Amazon EKS es una distribución segura, lista para la producción y compatible con AWS del proyecto OpenTelemetry. Para obtener más información, consulte AWS Distro for OpenTelemetry en GitHub.

El nombre del complemento de Amazon EKS es adot.

Permisos de IAM necesarios

Este complemento solo requiere permisos de IAM si utiliza uno de los recursos personalizados configurados previamente que se pueden elegir mediante una configuración avanzada.

Información adicional

Para obtener más información, consulte Getting Started with AWS Distro for OpenTelemetry using EKS Add-Ons en la documentación de AWS Distro para OpenTelemetry.

ADOT requiere que el cert-manager esté implementado en el clúster como requisito previo, de lo contrario, este complemento no funcionará si se implementa directamente mediante la propiedad cluster_addons de Amazon EKS Terraform. Para obtener más información sobre los requisitos, consulte Requisitos para iniciar con AWS Distro para OpenTelemetry mediante los complementos de EKS en la AWS Distro para la documentación de OpenTelemetry.

Agente de Amazon GuardDuty

El complemento del agente de Amazon GuardDuty de Amazon EKS es un servicio de supervisión de seguridad que analiza y procesa los orígenes de datos fundacionales, incluidos los eventos de administración de AWS CloudTrail y los registros de flujo de Amazon VPC. Amazon GuardDuty también procesa características, como los registros de auditoría de Kubernetes y la supervisión del tiempo de ejecución.

El nombre del complemento de Amazon EKS es aws-guardduty-agent.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información, consulte Runtime Monitoring for Amazon EKS clusters in Amazon GuardDuty.

  • Para detectar posibles amenazas de seguridad en sus clústeres de Amazon EKS, habilite el monitoreo del tiempo de ejecución de Amazon GuardDuty e implemente el agente de seguridad de GuardDuty en sus clústeres de Amazon EKS.

Agente de Amazon CloudWatch Observability

El complemento del agente de observabilidad de Amazon CloudWatch de Amazon EKS es el servicio de supervisión y observabilidad que ofrece AWS. Este complemento instala el CloudWatch Agent y habilita tanto CloudWatch Application Signals como CloudWatch Container Insights con una observabilidad mejorada para Amazon EKS. Para obtener más información, consulte Agente de Amazon CloudWatch.

El nombre del complemento de Amazon EKS es amazon-cloudwatch-observability.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Los permisos de las políticas administradas AWSXrayWriteOnlyAccess y CloudWatchAgentServerPolicy de AWS son obligatorios. Puede crear un rol de IAM, asociarle políticas administradas y anotar la cuenta de servicio de Kubernetes utilizada por el complemento con el siguiente comando. Reemplace my-cluster con el nombre del clúster y reemplace AmazonEKS_Observability_role con el nombre para su rol. Este comando requiere que tenga eksctl instalado en su dispositivo. Si necesita usar una herramienta diferente para crear el rol, asociarle la política y anotar la cuenta de servicio de Kubernetes, consulte Asignación de roles de IAM a cuentas de servicio de Kubernetes.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

Información adicional

Para obtener más información, consulte Instale el agente de CloudWatch.

Agente de Pod Identity de EKS

El complemento del agente de Pod Identity de EKS de Amazon EKS ofrece la posibilidad de administrar las credenciales de sus aplicaciones, de un modo similar a cómo los perfiles de instancias de EC2 proporcionan credenciales a instancias de EC2.

El nombre del complemento de Amazon EKS es eks-pod-identity-agent.

Permisos de IAM necesarios

Este complemento utiliza los permisos del Rol de IAM de nodo de Amazon EKS.

Actualización de la información

Solo puede actualizar una versión secundaria a la vez. Por ejemplo, si su versión actual es la 1.29.x-eksbuild.y y desea actualizarla a la 1.31.x-eksbuild.y, primero debe actualizarla a la 1.30.x-eksbuild.y y luego a la 1.31.x-eksbuild.y. Para obtener más información acerca de la actualización de complementos, consulte Actualizar el complemento Amazon VPC CNI plugin for Kubernetes de Amazon EKS.