Complementos de Amazon EKS disponibles desde AWS

Los siguientes complementos de Amazon EKS están disponibles para crearlos en el clúster. Puede ver la lista más actualizada de complementos disponibles mediante eksctl, la AWS Management Console o la AWS CLI. Para ver todos los complementos disponibles o instalar un complemento, consulte Cómo crear un complemento de Amazon EKS. Si un complemento requiere permisos de IAM, debe tener un proveedor de IAM OpenID Connect (OIDC) para el clúster. Para determinar si ya tiene uno o si debe crearlo, consulte Creación de un proveedor de OIDC de IAM para su clúster. Puede crear o eliminar un complemento una vez que lo haya instalado. Para obtener más información, consulte Actualización de un complemento de Amazon EKS o Cómo eliminar un complemento de Amazon EKS de un clúster.

Puede utilizar cualquiera de los siguientes complementos de Amazon EKS.

Complemento CNI de Amazon VPC para Kubernetes

El complemento Amazon VPC CNI plugin for Kubernetes de Amazon EKS es un complemento de interfaz de red de contenedores (CNI) de Kubernetes que proporciona redes de VPC nativas para el clúster. El tipo autoadministrado o administrado de este complemento se instala en cada nodo de Amazon EC2 de forma predeterminada. Para obtener más información, consulte Complemento de Interfaz de red de contenedores (CNI) de Kubernetes.

El nombre del complemento de Amazon EKS es vpc-cni.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio.

Si el clúster usa la familia IPv4, se requieren los permisos de la AmazonEKS_CNI_Policy. Si el clúster utiliza la familia IPv6, entonces debe crear una política de IAM con los permisos del modo IPv6. Puede crear un rol de IAM, asociarle una de las políticas y anotar la cuenta de servicio de Kubernetes utilizada por el complemento con el siguiente comando.

Reemplace my-cluster por el nombre del clúster y AmazonEKSVPCCNIRole por el nombre del rol. Si el clúster usa la familia IPv6, reemplace AmazonEKS_CNI_Policy por el nombre de la política que creó. Este comando requiere que tenga eksctl instalado en su dispositivo. Si necesita usar una herramienta diferente para crear el rol, asociarle la política y anotar la cuenta de servicio de Kubernetes, consulte Asignación de roles de IAM a cuentas de servicio de Kubernetes.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

Actualización de la información

Solo puede actualizar una versión secundaria a la vez. Por ejemplo, si su versión actual es la 1.28.x-eksbuild.y y desea actualizarla a la 1.30.x-eksbuild.y , primero debe actualizarla a la 1.29.x-eksbuild.y y luego a la 1.30.x-eksbuild.y . Para obtener más información acerca de la actualización de complementos, consulte Actualizar el CNI de Amazon VPC (complemento de Amazon EKS).

CoreDNS

El complemento de CoreDNS de Amazon EKS es un servidor de DNS flexible y extensible que puede servir como el DNS del clúster de Kubernetes. El tipo autoadministrado o administrado de este complemento se instaló de forma predeterminada cuando se creó el clúster. Al lanzar un clúster de Amazon EKS con al menos un nodo, se implementan dos réplicas de la imagen de CoreDNS de forma predeterminada, independientemente del número de nodos implementados en el clúster. Los Pods CoreDNS proporcionan resolución de nombres para todos los Pods del clúster. Los Pods CoreDNS se pueden implementar en los nodos de Fargate si el clúster incluye un perfil de Fargate con un espacio de nombres que coincida con el espacio de nombres para la implementación de CoreDNS. Para obtener más información, consulte Cómo definir los Pods que deben lanzarse en AWS Fargate

El nombre del complemento de Amazon EKS es coredns.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información sobre CoreDNS, consulte Using CoreDNS for Service Discovery y Customizing DNS Service en la documentación de Kubernetes.

Kube-proxy

El complemento de Kube-proxy de Amazon EKS mantiene las reglas de red en cada nodo de Amazon EC2. Permite la comunicación de red con sus Pods. De forma predeterminada, el tipo autoadministrado o administrado de este complemento se instala en cada nodo de Amazon EC2 en el clúster.

El nombre del complemento de Amazon EKS es kube-proxy.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Actualización de la información

Antes de actualizar la versión actual, tenga en cuenta los siguientes requisitos:

Información adicional

Para obtener más información sobre kube-proxy, consulte kube-proxy en la documentación de Kubernetes.

Controlador CSI de Amazon EBS

El complemento del controlador de CSI de Amazon EBS para Amazon EKS es un complemento de interfaz de almacenamiento de contenedores (CSI) de Kubernetes que proporciona almacenamiento de Amazon EBS para el clúster.

El nombre del complemento de Amazon EKS es aws-ebs-csi-driver.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio. Los permisos de la política administrada AmazonEBSCSIDriverPolicy de AWS son obligatorios. Cree un rol de IAM y adjunte la política administrada del rol de IAM con el siguiente comando. Reemplace my-cluster por el nombre del clúster y AmazonEKS_EBS_CSI_DriverRole por el nombre del rol. Este comando requiere que tenga eksctl instalado en su dispositivo. Si necesita usar una herramienta diferente o necesita usar una clave de KMS personalizada para el cifrado, consultePaso 1: Crear un rol de IAM.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

Información adicional

Para obtener más información sobre el complemento, consulte Almacenamiento de volúmenes de Kubernetes con Amazon EBS.

Controlador CSI de Amazon EFS

El complemento del controlador de CSI de Amazon EFS para Amazon EKS es un complemento de interfaz de almacenamiento de contenedores (CSI) de Kubernetes que proporciona almacenamiento de Amazon EFS para el clúster.

El nombre del complemento de Amazon EKS es aws-efs-csi-driver.

Permisos de IAM necesarios

Permisos de IAM requeridos: este complemento utiliza la capacidad roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio. Los permisos de la política administrada AmazonEFSCSIDriverPolicy de AWS son obligatorios. Cree un rol de IAM y adjunte la política administrada del rol de IAM con los siguientes comandos. Reemplace my-cluster por el nombre del clúster y AmazonEKS_EFS_CSI_DriverRole por el nombre del rol. Estos comandos requieren que tenga eksctl instalado en su dispositivo. Si necesita utilizar una herramienta diferente, consulte Paso 1: Crear un rol de IAM.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Información adicional

Para obtener más información sobre el complemento, consulte Almacenamiento de un sistema de archivos elástico con Amazon EFS.

Mountpoint para el controlador CSI de Amazon S3

El complemento del controlador de CSI de Mountpoint para Amazon S3 de Amazon EKS es un complemento de interfaz de almacenamiento de contenedores (CSI) de Kubernetes que proporciona almacenamiento de Amazon S3 para el clúster.

El nombre del complemento de Amazon EKS es aws-mountpoint-s3-csi-driver.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio.

El rol de IAM que se cree requerirá una política que dé acceso a S3. Siga las recomendaciones de permisos de Mountpoint IAM al crear la política. Como alternativa, puede utilizar la política administrada AmazonS3FullAccess de AWS , pero esta política administrada concede más permisos de los necesarios para Mountpoint.

Cree un rol de IAM y adjunte la política a él con los siguientes comandos. Reemplace my-cluster por el nombre de su clúster, region-code por el código de región de AWS correcto, AmazonEKS_S3_CSI_DriverRole por el nombre de su rol y AmazonEKS_S3_CSI_DriverRole_ARN por el ARN del rol. Estos comandos requieren que tenga eksctl instalado en su dispositivo. Para obtener instrucciones sobre cómo utilizar la consola de IAM o AWS CLI, consulte Creación de un rol de IAM.

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

Información adicional

Para obtener más información sobre el complemento, consulte Acceso a los objetos de Amazon S3 mediante Mountpoint para Amazon S3 con el controlador CSI.

Controlador de instantáneas CSI

El controlador de instantáneas de la interfaz de almacenamiento de contenedores (CSI) permite el uso de la funcionalidad de captura de instantáneas en controladores de CSI compatibles, como el controlador de CSI de Amazon EBS.

El nombre del complemento de Amazon EKS es snapshot-controller.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información sobre el complemento, consulte Habilitación de la funcionalidad de instantáneas para volúmenes de CSI.

AWS Distro para OpenTelemetry

El complemento de AWS Distro para OpenTelemetry de Amazon EKS es una distribución segura, lista para la producción y compatible con AWS del proyecto OpenTelemetry. Para obtener más información, consulte AWS Distro for OpenTelemetry en GitHub.

El nombre del complemento de Amazon EKS es adot.

Permisos de IAM necesarios

Este complemento solo requiere permisos de IAM si utiliza uno de los recursos personalizados configurados previamente que se pueden utilizar mediante una configuración avanzada.

Información adicional

Para obtener más información, consulte Introducción al uso de complementos de Amazon EKS en AWS Distro for OpenTelemetry en la documentación de AWS Distro for OpenTelemetry.

ADOT requiere que cert-manager esté implementado en el clúster como requisito previo; de lo contrario, este complemento no funcionará si se implementa directamente mediante la propiedad cluster_addons https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest. Para obtener más información sobre los requisitos, consulte Requisitos para iniciar con AWS Distro for OpenTelemetry mediante los complementos de Amazon EKS en la documentación de AWS for OpenTelemetry.

Agente Amazon GuardDuty

El complemento del agente de Amazon GuardDuty de Amazon EKS es un servicio de supervisión de seguridad que analiza y procesa los orígenes de datos fundacionales, incluidos los eventos de administración de AWS CloudTrail y los registros de flujo de Amazon VPC. Amazon GuardDuty también procesa características, como los registros de auditoría de Kubernetes y la supervisión del tiempo de ejecución.

El nombre del complemento de Amazon EKS es aws-guardduty-agent.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información, consulte Runtime Monitoring for Amazon EKS clusters in Amazon GuardDuty.

Agente de Amazon CloudWatch Observability

El complemento del agente de observabilidad de Amazon CloudWatch de Amazon EKS es el servicio de supervisión y observabilidad que ofrece AWS. Este complemento instala el CloudWatch Agent y habilita tanto CloudWatch Application Signals como CloudWatch Container Insights con una observabilidad mejorada para Amazon EKS. Para obtener más información, consulte Agente de Amazon CloudWatch.

El nombre del complemento de Amazon EKS es amazon-cloudwatch-observability.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio. Los permisos de las políticas administradas AWSXrayWriteOnlyAccess y CloudWatchAgentServerPolicy de AWS son obligatorios. Puede crear un rol de IAM, asociarle políticas administradas y anotar la cuenta de servicio de Kubernetes utilizada por el complemento con el siguiente comando. Reemplace my-cluster por el nombre del clúster y AmazonEKS_Observability_role por el nombre del rol. Este comando requiere que tenga eksctl instalado en su dispositivo. Si necesita usar una herramienta diferente para crear el rol, asociarle la política y anotar la cuenta de servicio de Kubernetes, consulte Asignación de roles de IAM a cuentas de servicio de Kubernetes.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

Información adicional

Para obtener más información, consulte Instale el agente de CloudWatch.

Agente de Pod Identity de EKS

El complemento del agente de Pod Identity de EKS de Amazon EKS ofrece la posibilidad de administrar las credenciales de sus aplicaciones, de un modo similar a cómo los perfiles de instancias de EC2 proporcionan credenciales a instancias de EC2.

El nombre del complemento de Amazon EKS es eks-pod-identity-agent.

Permisos de IAM necesarios

Este complemento utiliza los permisos del Rol de IAM de nodo de Amazon EKSrol de IAM del nodo de Amazon EKS.

Actualización de la información

Solo puede actualizar una versión secundaria a la vez. Por ejemplo, si su versión actual es la 1.28.x-eksbuild.y y desea actualizarla a la 1.30.x-eksbuild.y, primero debe actualizarla a la 1.29.x-eksbuild.y y luego a la 1.30.x-eksbuild.y. Para obtener más información acerca de la actualización de complementos, consulte Actualizar el CNI de Amazon VPC (complemento de Amazon EKS).