Complementos de AWS - Amazon EKS
Complemento CNI de Amazon VPC para KubernetesCoreDNSKube-proxyControlador CSI de Amazon EBSControlador CSI de Amazon EFSMountpoint para el controlador CSI de Amazon S3Controlador de instantáneas CSIGobernanza de tareas de Amazon SageMaker HyperPodAgente del monitor de flujo de red de AWSAgente de supervisión de nodosAWS Distro para OpenTelemetryAgente Amazon GuardDutyAgente de Amazon CloudWatch ObservabilityAgente de Pod Identity de EKS

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Elija el enlace Editar esta página en GitHub que se encuentra en el panel derecho de cada página. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Complementos de AWS

Los siguientes complementos de Amazon EKS están disponibles para crearlos en el clúster. Puede ver la lista más actualizada de complementos disponibles mediante eksctl, la AWS Management Console o la AWS CLI. Para ver todos los complementos disponibles o instalar un complemento, consulte Cómo crear un complemento de Amazon EKS. Si un complemento requiere permisos de IAM, debe tener un proveedor de IAM OpenID Connect (OIDC) para el clúster. Para determinar si ya tiene uno o si debe crearlo, consulte Creación de un proveedor de OIDC de IAM para su clúster. Puede crear o eliminar un complemento una vez que lo haya instalado. Para obtener más información, consulte Actualización de un complemento de Amazon EKS o Cómo eliminar un complemento de Amazon EKS de un clúster. Para obtener más información sobre las consideraciones específicas al ejecutar complementos de EKS con Nodos híbridos de Amazon EKS, consulte Cómo configurar complementos para nodos híbridos.

Puede utilizar cualquiera de los siguientes complementos de Amazon EKS.

Descripción Más información Tipos de computación compatibles

Proporcione redes de VPC nativas para su clúster.

Complemento CNI de Amazon VPC para Kubernetes

EC2

Un servidor de DNS flexible y extensible que puede servir como el DNS del clúster de Kubernetes.

CoreDNS

EC2, Fargate, Modo automático de EKS, Nodos híbridos de Amazon EKS

Mantenga las reglas de red en cada nodo de Amazon EC2.

Kube-proxy

EC2, Nodos híbridos de Amazon EKS

Proporcione almacenamiento de Amazon EBS para su clúster.

Controlador CSI de Amazon EBS

EC2

Proporcione almacenamiento de Amazon EFS para el clúster.

Controlador CSI de Amazon EFS

EC2, Modo automático de EKS

Proporcione almacenamiento de Amazon S3 para el clúster.

Mountpoint para el controlador CSI de Amazon S3

EC2, Modo automático de EKS

Detecte otros problemas de estado de los nodos

Agente de supervisión de nodos

EC2

Habilite el uso de la funcionalidad de captura de instantáneas en controladores de CSI compatibles, como el controlador de CSI de Amazon EBS.

Controlador de instantáneas CSI

EC2, Fargate, Modo automático de EKS, Nodos híbridos de Amazon EKS

La gobernanza de tareas de SageMaker HyperPod optimiza la asignación y el uso de los recursos de computación entre los equipos de los clústeres de Amazon EKS, abordando así las ineficiencias en la priorización de tareas y el uso compartido de recursos.

Gobernanza de tareas de Amazon SageMaker HyperPod

EC2, Modo automático de EKS,

Un agente de Kubernetes que recopila datos de flujo de red y los reporta a Amazon CloudWatch, permitiendo una supervisión integral de las conexiones TCP en los nodos del clúster.

Agente del monitor de flujo de red de AWS

EC2, Modo automático de EKS

Distribución segura, lista para la producción y compatible con AWS del proyecto OpenTelemetry.

AWS Distro para OpenTelemetry

EC2, Fargate, Modo automático de EKS, Nodos híbridos de Amazon EKS

Servicio de supervisión de seguridad que analiza y procesa los orígenes de datos fundacionales, incluidos los eventos de administración de AWS CloudTrail y los registros de flujo de Amazon VPC. Amazon GuardDuty también procesa características, como los registros de auditoría de Kubernetes y la supervisión del tiempo de ejecución.

Agente Amazon GuardDuty

EC2, Modo automático de EKS

Servicio de supervisión y observabilidad proporcionado por AWS. Este complemento instala el agente de CloudWatch y habilita tanto CloudWatch Application Signals como Información de contenedores de Amazon CloudWatch con una observabilidad mejorada para Amazon EKS

Agente de Amazon CloudWatch Observability

EC2, Modo automático de EKS, Nodos híbridos de Amazon EKS

Ofrece la posibilidad de administrar las credenciales de las aplicaciones, de un modo similar a cómo los perfiles de instancia de EC2 proporcionan credenciales a instancias de EC2.

Agente de Pod Identity de EKS

EC2, Nodos híbridos de Amazon EKS

Complemento CNI de Amazon VPC para Kubernetes

El complemento Amazon VPC CNI plugin for Kubernetes de Amazon EKS es un complemento de interfaz de red de contenedores (CNI) de Kubernetes que proporciona redes de VPC nativas para el clúster. El tipo autoadministrado o administrado de este complemento se instala en cada nodo de Amazon EC2 de forma predeterminada. Para obtener más información, consulte Complemento de Interfaz de red de contenedores (CNI) de Kubernetes.

nota

No es necesario instalar este complemento en los clústeres del modo automático de Amazon EKS. Para obtener más información, consulte Consideraciones para el modo automático de Amazon EKS.

El nombre del complemento de Amazon EKS es vpc-cni.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio.

Si el clúster usa la familia IPv4, se requieren los permisos de la AmazonEKS_CNI_Policy. Si el clúster utiliza la familia IPv6, entonces debe crear una política de IAM con los permisos del modo IPv6. Puede crear un rol de IAM, asociarle una de las políticas y anotar la cuenta de servicio de Kubernetes utilizada por el complemento con el siguiente comando.

Reemplace my-cluster por el nombre del clúster y AmazonEKSVPCCNIRole por el nombre del rol. Si el clúster usa la familia IPv6, reemplace AmazonEKS_CNI_Policy por el nombre de la política que creó. Este comando requiere que tenga eksctl instalado en su dispositivo. Si necesita usar una herramienta diferente para crear el rol, asociarle la política y anotar la cuenta de servicio de Kubernetes, consulte Asignación de roles de IAM a cuentas de servicio de Kubernetes.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

Actualización de la información

Solo puede actualizar una versión secundaria a la vez. Por ejemplo, si su versión actual es la 1.28.x-eksbuild.y y desea actualizarla a la 1.30.x-eksbuild.y , primero debe actualizarla a la 1.29.x-eksbuild.y y luego a la 1.30.x-eksbuild.y . Para obtener más información acerca de la actualización de complementos, consulte Cómo actualizar la CNI de Amazon VPC (complemento de Amazon EKS).

CoreDNS

El complemento de CoreDNS de Amazon EKS es un servidor de DNS flexible y extensible que puede servir como el DNS del clúster de Kubernetes. El tipo autoadministrado o administrado de este complemento se instaló de forma predeterminada cuando se creó el clúster. Al lanzar un clúster de Amazon EKS con al menos un nodo, se implementan dos réplicas de la imagen de CoreDNS de forma predeterminada, independientemente del número de nodos implementados en el clúster. Los Pods CoreDNS proporcionan resolución de nombres para todos los Pods del clúster. Los Pods CoreDNS se pueden implementar en los nodos de Fargate si el clúster incluye un perfil de Fargate con un espacio de nombres que coincida con el espacio de nombres para la implementación de CoreDNS. Para obtener más información, consulte Cómo definir los Pods que deben lanzarse en AWS Fargate

nota

No es necesario instalar este complemento en los clústeres del modo automático de Amazon EKS. Para obtener más información, consulte Consideraciones para el modo automático de Amazon EKS.

El nombre del complemento de Amazon EKS es coredns.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información sobre CoreDNS, consulte Using CoreDNS for Service Discovery y Customizing DNS Service en la documentación de Kubernetes.

Kube-proxy

El complemento de Kube-proxy de Amazon EKS mantiene las reglas de red en cada nodo de Amazon EC2. Permite la comunicación de red con sus Pods. De forma predeterminada, el tipo autoadministrado o administrado de este complemento se instala en cada nodo de Amazon EC2 en el clúster.

nota

No es necesario instalar este complemento en los clústeres del modo automático de Amazon EKS. Para obtener más información, consulte Consideraciones para el modo automático de Amazon EKS.

El nombre del complemento de Amazon EKS es kube-proxy.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Actualización de la información

Antes de actualizar la versión actual, tenga en cuenta los siguientes requisitos:

Información adicional

Para obtener más información sobre kube-proxy, consulte kube-proxy en la documentación de Kubernetes.

Controlador CSI de Amazon EBS

El complemento del controlador de CSI de Amazon EBS para Amazon EKS es un complemento de interfaz de almacenamiento de contenedores (CSI) de Kubernetes que proporciona almacenamiento de Amazon EBS para el clúster.

nota

No es necesario instalar este complemento en los clústeres del modo automático de Amazon EKS. El modo automático incluye una función de almacenamiento en bloque. Para obtener más información, consulte Implementación de una carga de trabajo con estado de ejemplo en el modo automático de EKS.

El nombre del complemento de Amazon EKS es aws-ebs-csi-driver.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio. Los permisos de la política administrada AmazonEBSCSIDriverPolicy de AWS son obligatorios. Cree un rol de IAM y adjunte la política administrada del rol de IAM con el siguiente comando. Reemplace my-cluster por el nombre del clúster y AmazonEKS_EBS_CSI_DriverRole por el nombre del rol. Este comando requiere que tenga eksctl instalado en su dispositivo. Si necesita usar una herramienta diferente o necesita usar una clave de KMS personalizada para el cifrado, consultePaso 1: creación de un rol de IAM.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

Información adicional

Para obtener más información sobre el complemento, consulte Almacenamiento de volúmenes de Kubernetes con Amazon EBS.

Controlador CSI de Amazon EFS

El complemento del controlador de CSI de Amazon EFS para Amazon EKS es un complemento de interfaz de almacenamiento de contenedores (CSI) de Kubernetes que proporciona almacenamiento de Amazon EFS para el clúster.

El nombre del complemento de Amazon EKS es aws-efs-csi-driver.

Permisos de IAM necesarios

Permisos de IAM requeridos: este complemento utiliza la capacidad roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio. Los permisos de la política administrada AmazonEFSCSIDriverPolicy de AWS son obligatorios. Cree un rol de IAM y adjunte la política administrada del rol de IAM con los siguientes comandos. Reemplace my-cluster por el nombre del clúster y AmazonEKS_EFS_CSI_DriverRole por el nombre del rol. Estos comandos requieren que tenga eksctl instalado en su dispositivo. Si necesita utilizar una herramienta diferente, consulte Paso 1: creación de un rol de IAM.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

Información adicional

Para obtener más información sobre el complemento, consulte Almacenamiento de un sistema de archivos elástico con Amazon EFS.

Mountpoint para el controlador CSI de Amazon S3

El complemento del controlador de CSI de Mountpoint para Amazon S3 de Amazon EKS es un complemento de interfaz de almacenamiento de contenedores (CSI) de Kubernetes que proporciona almacenamiento de Amazon S3 para el clúster.

El nombre del complemento de Amazon EKS es aws-mountpoint-s3-csi-driver.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio.

El rol de IAM que se cree requerirá una política que dé acceso a S3. Siga las recomendaciones de permisos de Mountpoint IAM al crear la política. Como alternativa, puede utilizar la política administrada AmazonS3FullAccess de AWS , pero esta política administrada concede más permisos de los necesarios para Mountpoint.

Cree un rol de IAM y adjunte la política a él con los siguientes comandos. Reemplace my-cluster por el nombre de su clúster, region-code por el código de región de AWS correcto, AmazonEKS_S3_CSI_DriverRole por el nombre de su rol y AmazonEKS_S3_CSI_DriverRole_ARN por el ARN del rol. Estos comandos requieren que tenga eksctl instalado en su dispositivo. Para obtener instrucciones sobre cómo utilizar la consola de IAM o AWS CLI, consulte Creación de un rol de IAM.

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

Información adicional

Para obtener más información sobre el complemento, consulte Acceso a los objetos de Amazon S3 mediante Mountpoint para Amazon S3 con el controlador CSI.

Controlador de instantáneas CSI

El controlador de instantáneas de la interfaz de almacenamiento de contenedores (CSI) permite el uso de la funcionalidad de captura de instantáneas en controladores de CSI compatibles, como el controlador de CSI de Amazon EBS.

El nombre del complemento de Amazon EKS es snapshot-controller.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información sobre el complemento, consulte Habilitación de la funcionalidad de instantáneas para volúmenes de CSI.

Gobernanza de tareas de Amazon SageMaker HyperPod

La gobernanza de tareas de SageMaker HyperPod es un sistema de administración sólido, diseñado para optimizar la asignación de recursos y garantizar un uso eficiente de los recursos de computación en todos los equipos y proyectos dentro de los clústeres de Amazon EKS. Esto brinda a los administradores la capacidad de establecer:

  • Niveles de prioridad para diversas tareas

  • Asignación de computación para cada equipo

  • El modo en que cada equipo presta y utiliza computación inactiva

  • Si un equipo interrumpe o reasigna sus propias tareas

Además, la gobernanza de tareas de HyperPod brinda la capacidad de observabilidad de clústeres de Amazon EKS, que ofrece visibilidad en tiempo real de la capacidad de los clústeres. Esto incluye la disponibilidad y el uso de la computación, la asignación y utilización de los equipos y la información sobre el tiempo de ejecución y espera de las tareas, lo que le permite tomar decisiones fundamentadas y administrar los recursos de forma proactiva.

El nombre del complemento de Amazon EKS es amazon-sagemaker-hyperpod-taskgovernance.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información sobre el complemento, consulte Gobernanza de tareas de Sagemaker HyperPod

Agente del monitor de flujo de red de AWS

El Agente del monitor de flujo de red de Amazon CloudWatch es una aplicación de Kubernetes que recopila estadísticas de conexión TCP de todos los nodos de un clúster y publica informes de flujo de red en las API de ingesta del Monitor de flujo de red de Amazon CloudWatch.

El nombre del complemento de Amazon EKS es aws-network-flow-monitoring-agent.

Permisos de IAM necesarios

Este complemento requiere permisos de IAM.

Debe asociar la política administrada de CloudWatchNetworkFlowMonitorAgentPublishPolicy al complemento.

Para obtener más información sobre la configuración de IAM requerida, consulte la Política de IAM en el repositorio de GitHub del Agente del Monitor de flujo de red de Amazon CloudWatch.

Para obtener más información sobre la política administrada, consulte CloudWatchNetworkFlowMonitorAgentPublishPolicy en la Guía del usuario de Amazon CloudWatch.

Información adicional

Para obtener más información sobre el complemento, consulte el repositorio de GitHub del Agente del Monitor de flujo de red de Amazon CloudWatch.

Agente de supervisión de nodos

El agente de supervisión de nodos del complemento de Amazon EKS puede detectar otros problemas de estado de los nodos. Estas señales de estado adicionales también se pueden aprovechar mediante la función opcional de reparación automática de nodos para reemplazar automáticamente los nodos según sea necesario.

nota

No es necesario instalar este complemento en los clústeres del modo automático de Amazon EKS. Para obtener más información, consulte Consideraciones para el modo automático de Amazon EKS.

El nombre del complemento de Amazon EKS es eks-node-monitoring-agent.

Permisos de IAM necesarios

Este complemento no requiere permisos adicionales.

Información adicional

Para obtener más información, consulte Cómo habilitar la reparación automática de los nodos e investigar los problemas de estado de los nodos.

AWS Distro para OpenTelemetry

El complemento de AWS Distro para OpenTelemetry de Amazon EKS es una distribución segura, lista para la producción y compatible con AWS del proyecto OpenTelemetry. Para obtener más información, consulte AWS Distro for OpenTelemetry en GitHub.

El nombre del complemento de Amazon EKS es adot.

Permisos de IAM necesarios

Este complemento solo requiere permisos de IAM si utiliza uno de los recursos personalizados configurados previamente que se pueden utilizar mediante una configuración avanzada.

Información adicional

Para obtener más información, consulte Introducción al uso de complementos de Amazon EKS en AWS Distro for OpenTelemetry en la documentación de AWS Distro for OpenTelemetry.

ADOT requiere que cert-manager esté implementado en el clúster como requisito previo; de lo contrario, este complemento no funcionará si se implementa directamente mediante la propiedad cluster_addons https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest. Para obtener más información sobre los requisitos, consulte Requisitos para iniciar con AWS Distro for OpenTelemetry mediante los complementos de Amazon EKS en la documentación de AWS for OpenTelemetry.

Agente Amazon GuardDuty

El complemento del agente de Amazon GuardDuty de Amazon EKS es un servicio de supervisión de seguridad que analiza y procesa los orígenes de datos fundacionales, incluidos los eventos de administración de AWS CloudTrail y los registros de flujo de Amazon VPC. Amazon GuardDuty también procesa características, como los registros de auditoría de Kubernetes y la supervisión del tiempo de ejecución.

El nombre del complemento de Amazon EKS es aws-guardduty-agent.

Permisos de IAM necesarios

Este complemento no requiere ningún permiso.

Información adicional

Para obtener más información, consulte Runtime Monitoring for Amazon EKS clusters in Amazon GuardDuty.

  • Para detectar posibles amenazas de seguridad en sus clústeres de Amazon EKS, habilite el monitoreo del tiempo de ejecución de Amazon GuardDuty e implemente el agente de seguridad de GuardDuty en sus clústeres de Amazon EKS.

Agente de Amazon CloudWatch Observability

El complemento del agente de observabilidad de Amazon CloudWatch de Amazon EKS es el servicio de supervisión y observabilidad que ofrece AWS. Este complemento instala el CloudWatch Agent y habilita tanto CloudWatch Application Signals como CloudWatch Container Insights con una observabilidad mejorada para Amazon EKS. Para obtener más información, consulte Agente de Amazon CloudWatch.

El nombre del complemento de Amazon EKS es amazon-cloudwatch-observability.

Permisos de IAM necesarios

Este complemento utiliza la capacidad de roles de IAM para cuentas de servicio de Amazon EKS. Para obtener más información, consulte Roles de IAM para cuentas de servicio. Los permisos de las políticas administradas AWSXrayWriteOnlyAccess y CloudWatchAgentServerPolicy de AWS son obligatorios. Puede crear un rol de IAM, asociarle políticas administradas y anotar la cuenta de servicio de Kubernetes utilizada por el complemento con el siguiente comando. Reemplace my-cluster por el nombre del clúster y AmazonEKS_Observability_role por el nombre del rol. Este comando requiere que tenga eksctl instalado en su dispositivo. Si necesita usar una herramienta diferente para crear el rol, asociarle la política y anotar la cuenta de servicio de Kubernetes, consulte Asignación de roles de IAM a cuentas de servicio de Kubernetes.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

Información adicional

Para obtener más información, consulte Instale el agente de CloudWatch.

Agente de Pod Identity de EKS

El complemento del agente de Pod Identity de EKS de Amazon EKS ofrece la posibilidad de administrar las credenciales de sus aplicaciones, de un modo similar a cómo los perfiles de instancias de EC2 proporcionan credenciales a instancias de EC2.

nota

No es necesario instalar este complemento en los clústeres del modo automático de Amazon EKS. El modo automático de Amazon EKS se integra con EKS Pod Identity. Para obtener más información, consulte Consideraciones para el modo automático de Amazon EKS.

El nombre del complemento de Amazon EKS es eks-pod-identity-agent.

Permisos de IAM necesarios

Este complemento utiliza los permisos del rol de IAM del nodo de Amazon EKS.

Actualización de la información

Solo puede actualizar una versión secundaria a la vez. Por ejemplo, si su versión actual es la 1.28.x-eksbuild.y y desea actualizarla a la 1.30.x-eksbuild.y, primero debe actualizarla a la 1.29.x-eksbuild.y y luego a la 1.30.x-eksbuild.y. Para obtener más información acerca de la actualización de complementos, consulte Cómo actualizar la CNI de Amazon VPC (complemento de Amazon EKS).