AWS에서 사용할 수 있는 Amazon EKS 추가 기능

다음과 같은 Amazon EKS 추가 기능을 사용하여 클러스터를 생성할 수 있습니다. eksctl, AWS Management Console 또는 AWS CLI를 사용하여 사용할 수 있는 추가 기능의 최신 목록을 언제든지 볼 수 있습니다. 사용 가능한 모든 추가 기능을 보거나 추가 기능을 설치하려면 Amazon EKS 추가 기능 생성 섹션을 참조하세요. 추가 기능에 IAM 권한이 필요한 경우 클러스터에 대한 IAMOpenID Connect(OIDC) 공급자가 있어야 합니다. 제공업체가 있는지 아니면 생성해야 하는지 확인하려면 클러스터에 대한 IAM OIDC 공급자 생성 섹션을 참조하세요. 추가 기능을 설치한 후 추가 기능을 업데이트하거나 삭제할 수 있습니다. 자세한 내용은 Amazon EKS 추가 기능 업데이트 또는 클러스터에서 Amazon EKS 추가 기능 제거을 참조하세요.

다음 Amazon EKS 추가 기능을 사용할 수 있습니다.

Kubernetes용 Amazon VPC CNI 플러그 인

Amazon VPC CNI plugin for Kubernetes Amazon EKS 추가 기능은 클러스터에 네이티브 VPC 네트워킹을 제공하는 Kubernetes 컨테이너 네트워크 인터페이스(CNI) 플러그인입니다. 이 추가 기능의 자체 관리형 또는 관리형 유형은 기본적으로 각 Amazon EC2 노드에 설치됩니다. 자세한 내용은 Kubernetes container network interface (CNI) 플러그인을 참조하세요.

Amazon EKS 추가 기능 이름은 vpc-cni입니다.

필수 IAM 권한

이 추가 기능은 Amazon EKS의 서비스 계정에 대한 IAM 역할 기능을 활용합니다. 자세한 내용은 서비스 계정에 대한 IAM 역할 단원을 참조하십시오.

클러스터에서 IPv4 패밀리를 사용하는 경우 AmazonEKS_CNI_Policy의 권한이 필요합니다. 클러스터에서 IPv6 패밀리를 사용하는 경우 IPv6 모드에서 해당 권한이 있는 IAM 정책을 만들어야 합니다. 다음 명령을 사용하여 IAM 역할을 생성하고, 정책 중 하나를 이 역할에 연결하고, 추가 기능에서 사용하는 Kubernetes 서비스 계정에 주석을 달 수 있습니다.

my-cluster를 클러스터 이름으로 바꾸고 AmazonEKSVPCCNIRole을 역할의 이름으로 바꿉니다. 클러스터에서 IPv6 패밀리를 사용하는 경우 AmazonEKS_CNI_Policy를 생성한 정책의 이름으로 바꿉니다. 이 명령을 사용하려면 디바이스에 eksctl가 설치되어 있어야 합니다. 다른 도구를 사용하여 역할을 생성하고 이 역할에 정책을 연결하고, Kubernetes 서비스 계정에 주석을 추가해야 하는 경우 Kubernetes 서비스 계정에 IAM 역할 할당 섹션을 참조하세요.

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

정보 업데이트

한 번에 하나의 마이너 버전만 업데이트할 수 있습니다. 예를 들어 현재 버전이 1.28.x-eksbuild.y 인데 1.30.x-eksbuild.y (으)로 업데이트하려는 경우 현재 버전을 1.29.x-eksbuild.y (으)로 먼저 업데이트한 다음에 1.30.x-eksbuild.y (으)로 업데이트해야 합니다. 추가 기능을 업데이트하는 방법에 대한 자세한 내용은 Amazon VPC CNI(Amazon EKS 애드온) 업데이트하기 부분을 참조하세요.

CoreDNS

CoreDNS Amazon EKS 추가 기능은 Kubernetes 클러스터 DNS 역할을 할 수 있는 유연하고 확장 가능한 DNS 서버입니다. 이 추가 기능의 자체 관리형 또는 관리형 유형은 기본적으로 클러스터를 만들 때 설치되었습니다. 하나 이상의 노드가 있는 Amazon EKS 클러스터를 시작하면 클러스터에 배포된 노드 수에 관계없이 CoreDNS 이미지의 복제본 2개가 기본적으로 배포됩니다. CoreDNS Pods는 클러스터의 모든 Pods의 이름을 확인합니다. 클러스터에 CoreDNS 배포용 네임스페이스와 일치하는 네임스페이스가 있는 Fargate 프로파일이 포함된 경우 CoreDNS Pods를 Fargate 노드에 배포할 수 있습니다. 자세한 내용은 시작 시 AWS Fargate를 사용하는 Pods 정의 단원을 참조하세요.

Amazon EKS 추가 기능 이름은 coredns입니다.

필수 IAM 권한

이 추가 기능에는 권한이 필요하지 않습니다.

추가 정보

CoreDNS에 대해 자세히 알아보려면 Kubernetes 설명서에서 Using CoreDNS for Service Discovery 및 Customizing DNS Service를 참조하세요.

Kube-proxy

Kube-proxy Amazon EKS 추가 기능은 각 Amazon EC2 노드에서 네트워크 규칙을 유지합니다. 이를 통해 Pods와의 네트워크 통신이 가능합니다. 이 추가 기능의 자체 관리형 또는 관리형 유형은 기본적으로 클러스터의 각 Amazon EC2 노드에 설치됩니다.

Amazon EKS 추가 기능 이름은 kube-proxy입니다.

필수 IAM 권한

이 추가 기능에는 권한이 필요하지 않습니다.

정보 업데이트

현재 버전을 업데이트하기 전에 다음 요구 사항을 고려하세요.

추가 정보

kube-proxy에 대한 자세한 내용은 Kubernetes 설명서의 kube-proxy를 참조하세요.

Amazon EBS CSI 드라이버

Amazon EBS CSI 드라이버 Amazon EKS 추가 기능은 클러스터에 Amazon EBS 스토리지를 제공하는 Kubernetes 컨테이너 스토리지 인터페이스(CSI) 플러그인입니다.

Amazon EKS 추가 기능 이름은 aws-ebs-csi-driver입니다.

필수 IAM 권한

이 추가 기능은 Amazon EKS의 서비스 계정에 대한 IAM 역할 기능을 활용합니다. 자세한 내용은 서비스 계정에 대한 IAM 역할 단원을 참조하십시오. AmazonEBSCSIDriverPolicy AWS관리형 정책의 권한이 필요합니다. IAM 역할을 생성하고 다음 명령을 사용하여 관리형 정책을 연결할 수 있습니다. my-cluster를 클러스터 이름으로 바꾸고 AmazonEKS_EBS_CSI_DriverRole을 역할의 이름으로 바꿉니다. 이 명령을 사용하려면 디바이스에 eksctl가 설치되어 있어야 합니다. 다른 도구를 사용해야 하거나 암호화에 사용자 지정 KMS 키를 사용해야 하는 경우 1단계 - IAM 역할 생성 섹션을 참조하세요.

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

추가 정보

추가 기능에 대한 자세한 내용은 Amazon EBS에 Kubernetes 볼륨 저장 섹션을 참조하세요.

Amazon EFS CSI 드라이버

Amazon EFS CSI 드라이버 Amazon EKS 추가 기능은 클러스터에 Amazon EFS 스토리지를 제공하는 Kubernetes 컨테이너 스토리지 인터페이스(CSI) 플러그인입니다.

Amazon EKS 추가 기능 이름은 aws-efs-csi-driver입니다.

필수 IAM 권한

필수 IAM 권한 – 이 추가 기능은 Amazon EKS의 서비스 계정에 대한 IAM 역할 기능을 활용합니다. 자세한 내용은 서비스 계정에 대한 IAM 역할 단원을 참조하십시오. AmazonEFSCSIDriverPolicy AWS관리형 정책의 권한이 필요합니다. IAM 역할을 생성하고 다음 명령을 사용하여 관리형 정책을 연결할 수 있습니다. my-cluster를 클러스터 이름으로 바꾸고 AmazonEKS_EFS_CSI_DriverRole을 역할의 이름으로 바꿉니다. 이러한 명령을 사용하려면 디바이스에 eksctl이(가) 설치되어 있어야 합니다. 다른 도구를 사용해야 하는 경우 1단계 - IAM 역할 생성을(를) 참조하세요.

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

추가 정보

추가 기능에 대한 자세한 내용은 Amazon EFS를 사용한 탄력적 파일 시스템 저장 섹션을 참조하세요.

Mountpoint for Amazon S3 CSI 드라이버

Amazon S3 CSI 드라이버용 Mountpoint Amazon EKS 추가 기능은 클러스터에 Amazon S3 스토리지를 제공하는 Kubernetes 컨테이너 스토리지 인터페이스(CSI) 플러그인입니다.

Amazon EKS 추가 기능 이름은 aws-mountpoint-s3-csi-driver입니다.

필수 IAM 권한

이 추가 기능은 Amazon EKS의 서비스 계정에 대한 IAM 역할 기능을 활용합니다. 자세한 내용은 서비스 계정에 대한 IAM 역할 단원을 참조하십시오.

생성된 IAM 역할에는 S3에 대한 액세스 권한을 부여하는 정책이 필요합니다. 정책을 생성할 때 Mountpoint IAM 권한 권장 사항을 따르세요. 또는 AWS 관리형 정책 AmazonS3FullAccess를 사용할 수 있지만 이 관리형 정책은 Mountpoint에 필요한 것보다 더 많은 권한을 부여합니다.

IAM 역할을 생성하고 다음 명령을 사용하여 정책을 연결할 수 있습니다. my-cluster를 클러스터 이름으로, region-code를 올바른 AWS 리전 코드로, AmazonEKS_S3_CSI_DriverRole을 역할 이름으로, AmazonEKS_S3_CSI_ DriverRole_ARN을 역할 ARN으로 바꿉니다. 이러한 명령을 사용하려면 디바이스에 eksctl이(가) 설치되어 있어야 합니다. IAM 콘솔 또는 AWS CLI 사용에 대한 지침은 IAM 역할 생성 섹션을 참조하세요.

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

추가 정보

추가 기능에 대한 자세한 내용은 Mountpoint for Amazon S3 CSI 드라이버를 통해 Amazon S3 객체에 액세스 섹션을 참조하세요.

CSI 스냅샷 컨트롤러

컨테이너 스토리지 인터페이스(CSI) 스냅샷 컨트롤러를 사용하면 Amazon EBS CSI 드라이버와 같은 호환 CSI 드라이버에서 스냅샷 기능을 사용할 수 있습니다.

Amazon EKS 추가 기능 이름은 snapshot-controller입니다.

필수 IAM 권한

이 추가 기능에는 권한이 필요하지 않습니다.

추가 정보

추가 기능에 대한 자세한 내용은 CSI 볼륨의 스냅샷 기능 활성화 섹션을 참조하세요.

AWS Distro for OpenTelemetry

AWS Distro for OpenTelemetry Amazon EKS 추가 기능은 OpenTelemetry 프로젝트의 안전하고 프로덕션 준비가 된 AWS 지원 배포입니다. 자세한 내용은 GitHub의 AWS Distro for OpenTelemetry를 참조하세요.

Amazon EKS 추가 기능 이름은 adot입니다.

필수 IAM 권한

이 추가 기능에는 고급 구성을 통해 옵트인할 수 있는 사전 구성된 사용자 지정 리소스 중 하나를 사용하는 경우에만 IAM 권한이 필요합니다.

추가 정보

자세한 내용은 OpenTelemetry 설명서용 AWS Distro에서 EKS 애드온을 사용하여 OpenTelemetry용 AWS Distro 시작하기를 참조하세요.

ADOT는 cert-manager가 클러스터에 사전 조건으로 배포되어야 합니다. 그렇지 않으면 https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest cluster_addons 속성을 사용하여 직접 배포하는 경우 이 추가 기능이 작동하지 않습니다. 자세한 요구 사항은 OpenTelemetry용 설명서 AWS Distro에서 EKS 애드온을 사용하여 OpenTelemetry용 AWS Distro을 시작하기 위한 요구 사항을 참조하세요.

Amazon GuardDuty 에이전트

Amazon GuardDuty 에이전트 Amazon EKS 추가 기능은 AWS CloudTrail 관리 이벤트 및 Amazon VPC 흐름 로그를 포함한 기본 데이터 소스를 분석하고 처리하는 보안 모니터링 서비스입니다. 또한 Amazon GuardDuty는Kubernetes 감사 로그 및 런타임 모니터링과 같은 기능을 처리합니다.

Amazon EKS 추가 기능 이름은 aws-guardduty-agent입니다.

필수 IAM 권한

이 추가 기능에는 권한이 필요하지 않습니다.

추가 정보

자세한 내용은 Runtime Monitoring for Amazon EKS clusters in Amazon GuardDuty를 참조하세요.

Amazon CloudWatch Observability 에이전트

Amazon CloudWatch 관찰성 에이전트 Amazon EKS 추가 기능은 AWS에서 제공하는 모니터링 및 관찰성 서비스입니다. 이 추가 기능은 CloudWatch 에이전트를 설치하고 Amazon EKS의 향상된 관찰성을 통해 CloudWatch Application Signals와 CloudWatch Container Insights를 모두 활성화합니다. 자세한 내용은 Amazon CloudWatch 에이전트를 참조하세요.

Amazon EKS 추가 기능 이름은 amazon-cloudwatch-observability입니다.

필수 IAM 권한

이 추가 기능은 Amazon EKS의 서비스 계정에 대한 IAM 역할 기능을 활용합니다. 자세한 내용은 서비스 계정에 대한 IAM 역할 단원을 참조하십시오. AWSXrayWriteOnlyAccess 및 CloudWatchAgentServerPolicy AWS 관리형 정책의 권한이 필요합니다. 다음 명령을 사용하여 IAM 역할을 생성하고, 관리형 정책을 이 역할에 연결하고, 추가 기능에서 사용하는 Kubernetes 서비스 계정에 주석을 달 수 있습니다. my-cluster를 클러스터 이름으로 바꾸고 AmazonEKS_Observability_role을 역할의 이름으로 바꿉니다. 이 명령을 사용하려면 디바이스에 eksctl가 설치되어 있어야 합니다. 다른 도구를 사용하여 역할을 생성하고 이 역할에 정책을 연결하고, Kubernetes 서비스 계정에 주석을 추가해야 하는 경우 Kubernetes 서비스 계정에 IAM 역할 할당 섹션을 참조하세요.

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

추가 정보

자세한 내용은 CloudWatch 에이전트 설치를 참조하세요.

EKS Pod Identity Agent

Amazon EKS Pod Identity 에이전트 Amazon EKS 추가 기능은 EC2 인스턴스 프로파일이 EC2 인스턴스에 자격 증명을 제공하는 방식과 유사하게 애플리케이션에 대한 자격 증명을 관리하는 기능을 제공합니다.

Amazon EKS 추가 기능 이름은 eks-pod-identity-agent입니다.

필수 IAM 권한

Amazon EKS 노드 IAM 역할Amazon EKS 노드 IAM 역할의 이 추가 기능 사용자 권한입니다.

정보 업데이트

한 번에 하나의 마이너 버전만 업데이트할 수 있습니다. 예를 들어 현재 버전이 1.28.x-eksbuild.y인데 1.30.x-eksbuild.y(으)로 업데이트하려는 경우 현재 버전을 1.29.x-eksbuild.y(으)로 먼저 업데이트한 다음에 1.30.x-eksbuild.y(으)로 업데이트해야 합니다. 추가 기능을 업데이트하는 방법에 대한 자세한 내용은 Amazon VPC CNI(Amazon EKS 애드온) 업데이트하기 부분을 참조하세요.