**帮助改进此页面**
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。
# Amazon 插件
可在您的集群上创建以下 Amazon EKS 附加组件。您可以使用 `eksctl`、Amazon Web Services 管理控制台或 Amazon CLI 查看可用附加组件的最新列表。要查看所有可用附加组件或安装附加组件,请参阅 [创建 Amazon EKS 附加组件](creating-an-add-on.md)。如果附加组件需要 IAM 权限,则集群必须具有 IAM OpenID Connect(OIDC)提供者。要确定是否具有一个提供商,还是创建一个提供商,请参阅 [为集群创建 IAM OIDC 提供商](enable-iam-roles-for-service-accounts.md)。安装附加组件后,您可以对其进行创建或将其删除。有关更多信息,请参阅 [更新 Amazon EKS 附加组件](updating-an-add-on.md) 或 [从集群中移除 Amazon EKS 附加组件](removing-an-add-on.md)。要详细了解有关使用 Amazon EKS 混合节点功能运行 EKS 附加组件的特定注意事项,请参阅[为混合节点配置附加组件](hybrid-nodes-add-ons.md)。
您可以使用以下任何 Amazon EKS 附加组件。
| 说明 | 了解详情 | 兼容的计算类型 |
| --- | --- | --- |
| 为集群提供原生 VPC 联网 | [适用于 Kubernetes 的 Amazon VPC CNI 插件](#add-ons-vpc-cni) | EC2 |
| 一个灵活、可扩展的 DNS 服务器,可用作 Kubernetes 集群 DNS | [CoreDNS](#add-ons-coredns) | EC2、Fargate、EKS 自动模式、EKS 混合节点 |
| 在每个 Amazon EC2 节点上维护网络规则 | [`Kube-proxy`](#add-ons-kube-proxy) | EC2、EKS 混合节点 |
| 为集群提供 Amazon EBS 存储 | [Amazon EBS CSI 驱动程序](#add-ons-aws-ebs-csi-driver) | EC2 |
| 为集群提供 Amazon EFS 存储 | [Amazon EFS CSI 驱动程序](#add-ons-aws-efs-csi-driver) | EC2、EKS 自动模式 |
| 为集群提供 Amazon S3 Files 存储 | [Amazon EFS CSI 驱动程序](#add-ons-aws-efs-csi-driver) | EC2、EKS 自动模式 |
| 为集群提供适用于 Lustre 的 Amazon FSx 存储 | [Amazon FSx CSI 驱动程序](#add-ons-aws-fsx-csi-driver) | EC2、EKS 自动模式 |
| 为集群提供 Amazon S3 存储 | [适用于 Amazon S3 的 Mountpoint CSI 驱动程序](#mountpoint-for-s3-add-on) | EC2、EKS 自动模式 |
| 检测其他节点运行状况问题 | [节点监控代理](#add-ons-eks-node-monitoring-agent) | EC2、EKS 混合节点 |
| 实现在兼容的 CSI 驱动程序(例如 Amazon EBS CSI 驱动程序)中使用快照功能 | [CSI 快照控制器](#addons-csi-snapshot-controller) | EC2、Fargate、EKS 自动模式、EKS 混合节点 |
| SageMaker HyperPod 任务监管可优化 Amazon EKS 集群中各团队的计算资源分配和使用情况,从而解决任务优先级划分和资源共享效率低下的问题。 | [Amazon SageMaker HyperPod 任务监管](#addons-hyperpod) | EC2、EKS 自动模式、 |
| Amazon SageMaker HyperPod 可观测性附加组件为 HyperPod 集群提供全面的监控和可观测性功能。 | [Amazon SageMaker HyperPod 可观测性附加组件](#addons-hyperpod-observability) | EC2、EKS 自动模式、 |
| Amazon SageMaker HyperPod 训练操作程序通过高级计划和资源管理功能,在 Amazon EKS 集群上实现高效的分布式训练。 | [Amazon SageMaker HyperPod 训练操作程序](#addons-hyperpod-training-operator) | EC2、EKS 自动模式 |
| Amazon SageMaker HyperPod 推理运算符能够实现高性能人工智能推理工作负载的部署与管理,并且能够实现资源的优化利用和提高成本效率。 | [Amazon SageMaker HyperPod 推理运算符](#addons-hyperpod-inference-operator) | EC2、EKS 自动模式 |
| 一种 Kubernetes 代理程序,用于收集网络流量数据并将其报告给 Amazon CloudWatch,从而全面监控集群节点之间的 TCP 连接。 | [Amazon Network Flow Monitor Agent](#addons-network-flow) | EC2、EKS 自动模式 |
| OpenTelemetry 项目的安全、生产就绪型发行版,由 Amazon 提供支持 | [适用于 OpenTelemetry 的 Amazon Distro](#add-ons-adot) | EC2、Fargate、EKS 自动模式、EKS 混合节点 |
| 用于分析和处理基础数据源的安全监控服务,包括 Amazon CloudTrail 管理事件和 Amazon VPC 流日志等。Amazon GuardDuty 还处理 Kubernetes 审计日志和运行时监控等功能 | [Amazon GuardDuty 代理](#add-ons-guard-duty) | EC2、EKS 自动模式 |
| Amazon 提供的监控和可观测性服务。此附加组件将会安装 CloudWatch 代理,并启用 CloudWatch Application Signals 和 CloudWatch Container Insights,从而增强 Amazon EKS 的可观测性 | [Amazon CloudWatch 可观测性代理](#amazon-cloudwatch-observability) | EC2、EKS 自动模式、EKS 混合节点 |
| 能够用于管理应用程序凭证,类似于 EC2 实例配置文件为 EC2 实例提供凭证的方式 | [EKS 容器组身份代理](#add-ons-pod-id) | EC2、EKS 混合节点 |
| 启用证书管理器以从 Amazon Private CA 颁发 X.509 证书。需要证书管理器。 | [适用于 Kubernetes 的 Amazon Private CA Connector](#add-ons-aws-privateca-connector) | EC2、Fargate、EKS 自动模式、EKS 混合节点 |
| 生成有关 SR-IOV 网络设备性能的 Prometheus 指标 | [SR-IOV 网络指标导出器](#add-ons-sriov-network-metrics-exporter) | EC2 |
| 从 Amazon Secrets Manager 中检索密码,从 Amazon Systems Manager Parameter Store 中检索参数,然后将它们作为文件挂载到 Kubernetes 容器组(pod)中。 | [Amazon Secrets Store CSI Driver 提供程序](#add-ons-aws-secrets-store-csi-driver-provider) | EC2、EKS 自动模式、EKS 混合节点 |
| 借助 Spaces,您可以创建和管理 JupyterLab 和代码编辑器应用程序,以运行交互式机器学习工作负载。 | [Amazon SageMaker Spaces](#add-ons-amazon-sagemaker-spaces) | HyperPod |
## 适用于 Kubernetes 的 Amazon VPC CNI 插件
适用于 Kubernetes Amazon EKS 附加组件的 Amazon VPC CNI 插件是一种 Kubernetes 容器网络接口(CNI)插件,可为集群提供原生 VPC 联网功能。默认情况下,在每个 Amazon EC2 节点上安装自行管理的或托管类型的附加组件。有关更多信息,请参阅 [Kubernetes 容器网络接口(CNI)插件](https://kubernetes.io/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/)。
**注意**
您无需在 Amazon EKS 自动模式集群上安装此附加组件。有关更多信息,请参阅 [Amazon EKS 自动模式的注意事项](eks-add-ons.md#addon-consider-auto)。
Amazon EKS 附加组件名称为 `vpc-cni`。
### 所需的 IAM 权限
此附加组件使用 Amazon EKS 的服务账户 IAM 角色功能。有关更多信息,请参阅 [服务账户的 IAM 角色](iam-roles-for-service-accounts.md)。
如果集群使用 `IPv4` 系列,则需要 [AmazonEKS\$1CNI\$1Policy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html) 中的权限。如果集群使用 `IPv6` 系列,则必须使用 [IPv6 模式](https://github.com/aws/amazon-vpc-cni-k8s/blob/master/docs/iam-policy.md#ipv6-mode)中的权限[创建 IAM 策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。您可以创建 IAM 角色,将其中一个策略附加到该角色,并使用以下命令为附加组件使用的 Kubernetes 服务账户添加注释。
将 *my-cluster* 替换为集群名称,并将 *AmazonEKSVPCCNIRole* 替换为角色名称。如果集群使用 `IPv6` 系列,则将 *AmazonEKS\$1CNI\$1Policy* 替换为您创建的策略名称。此命令要求您为您的设备安装 [eksctl](https://eksctl.io)。如果您需要使用其他工具来创建角色、将策略附加到该角色并为 Kubernetes 服务账户添加注释,请参阅[为 Kubernetes 服务账户分配 IAM 角色](associate-service-account-role.md)。
```
eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
--role-only --attach-policy-arn arn:aws-cn:iam::aws:policy/AmazonEKS_CNI_Policy --approve
```
### 更新信息
您一次只能更新一个次要版本。例如,如果当前版本为 `1.28.x-eksbuild.y `,并且您想要更新到 `1.30.x-eksbuild.y `,则必须首先更新到 `1.29.x-eksbuild.y `,再更新到 `1.30.x-eksbuild.y `。有关更新附加组件的更多信息,请参阅 [更新 Amazon VPC CNI(Amazon EKS 附加组件)](vpc-add-on-update.md)。
## CoreDNS
CoreDNS Amazon EKS 附加组件是一个灵活、可扩展的 DNS 服务器,可用作 Kubernetes 集群 DNS。默认情况下,创建集群时会安装自行管理或托管类型的附加组件。当您启动具有至少一个节点的 Amazon EKS 集群时,无论集群中部署的节点数量如何,预设情况下都会部署 CoreDNS 镜像的两个副本。CoreDNS Pod 为集群中的所有 Pod 提供名称解析。如果集群包含命名空间与 CoreDNS 部署的命名空间相匹配的 Fargate 配置文件,则可以将 CoreDNS 容器组(pod)部署到 Fargate 节点。有关更多信息,请参阅 [定义启动时将使用 Amazon Fargate 的容器组(pod)](fargate-profile.md)。
**注意**
您无需在 Amazon EKS 自动模式集群上安装此附加组件。有关更多信息,请参阅 [Amazon EKS 自动模式的注意事项](eks-add-ons.md#addon-consider-auto)。
Amazon EKS 附加组件名称为 `coredns`。
### 所需的 IAM 权限
此附加组件不需要任何权限。
### 附加信息
要了解有关 CoreDNS 的更多信息,请参阅 Kubernetes 文档中的[使用 CoreDNS 进行服务发现](https://kubernetes.io/docs/tasks/administer-cluster/coredns/)和[自定义 DNS 服务](https://kubernetes.io/docs/tasks/administer-cluster/dns-custom-nameservers/)。
## `Kube-proxy`
`Kube-proxy` Amazon EKS 附加组件在每个 Amazon EC2 节点上维护网络规则。其可实现与容器组(pod)的网络通信。默认情况下,在集群中的每个 Amazon EC2 节点上安装自行管理或托管类型的附加组件。
**注意**
您无需在 Amazon EKS 自动模式集群上安装此附加组件。有关更多信息,请参阅 [Amazon EKS 自动模式的注意事项](eks-add-ons.md#addon-consider-auto)。
Amazon EKS 附加组件名称为 `kube-proxy`。
### 所需的 IAM 权限
此附加组件不需要任何权限。
### 更新信息
在更新当前版本之前,请注意以下要求:
+ Amazon EKS 集群上的 `Kube-proxy` 具有[与 Kubernetes 相同的兼容性和偏斜策略](https://kubernetes.io/releases/version-skew-policy/#kube-proxy)。
### 附加信息
要了解有关 `kube-proxy` 的更多信息,请参阅 Kubernetes 文档中的 [kube-proxy](https://kubernetes.io/docs/reference/command-line-tools-reference/kube-proxy/)。
## Amazon EBS CSI 驱动程序
Amazon EBS CSI 驱动程序 Amazon EKS 附加组件是一种 Kubernetes 容器存储接口(CSI)插件,可为集群提供 Amazon EBS 存储。
**注意**
您无需在 Amazon EKS 自动模式集群上安装此附加组件。自动模式包含块存储功能。有关更多信息,请参阅 [将示例有状态工作负载部署到 EKS 自动模式](sample-storage-workload.md)。
Amazon EKS 附加组件名称为 `aws-ebs-csi-driver`。
### 所需的 IAM 权限
此附加组件使用 Amazon EKS 的服务账户 IAM 角色功能。有关更多信息,请参阅 [服务账户的 IAM 角色](iam-roles-for-service-accounts.md)。此附加组件需要以下 Amazon 托管式策略之一:[AmazonEBSCSIDriverPolicyV2](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicyV2.html)(用于基于标签的范围)、[AmazonEBSCSIDriverEKSClusterScopedPolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonEBSCSIDriverEKSClusterScopedPolicy.html)(用于集群范围的隔离)或 [AmazonEBSCSIDriverPolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicy.html)(如果不想要任何基于标签的限制)。您可以使用以下命令创建 IAM 角色并将托管策略附加到其上。将 *my-cluster* 替换为您的集群的名称,并将 *AmazonEKS\$1EBS\$1CSI\$1DriverRole* 替换为您的角色的名称。此命令要求您为您的设备安装 [eksctl](https://eksctl.io)。如果您需要使用其他工具或需要使用自定义 [KMS 密钥](https://www.amazonaws.cn/kms/)进行加密,请参阅 [第 1 步:创建 IAM 角色](ebs-csi.md#csi-iam-role)。
如果从 `AmazonEBSCSIDriverPolicy` 迁移,请参阅 [EBS CSI 驱动程序策略迁移](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918)。
```
eksctl create iamserviceaccount \
--name ebs-csi-controller-sa \
--namespace kube-system \
--cluster my-cluster \
--role-name AmazonEKS_EBS_CSI_DriverRole \
--role-only \
--attach-policy-arn arn:aws-cn:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicyV2 \
--approve
```
### 附加信息
要了解有关此附加组件的更多信息,请参阅 [将 Kubernetes 卷存储与 Amazon EBS 结合使用](ebs-csi.md)。
## Amazon EFS CSI 驱动程序
Amazon EFS CSI 驱动程序 Amazon EKS 附加组件是一种 Kubernetes 容器存储接口(CSI)插件,可为集群提供 Amazon EFS 和 Amazon S3 Files 存储。
Amazon EKS 附加组件名称为 `aws-efs-csi-driver`。
### 所需的 IAM 权限
此附加组件使用 Amazon EKS 的服务账户 IAM 角色功能。有关更多信息,请参阅 [服务账户的 IAM 角色](iam-roles-for-service-accounts.md)。
需要的特定 Amazon 托管式策略取决于要使用的文件系统类型:
+ **仅限 Amazon EFS 文件系统**:附加 [AmazonEFSCSIDriverPolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonEFSCSIDriverPolicy.html) 托管式策略。
+ **仅限 Amazon S3 文件系统**:附加 `AmazonS3FilesCSIDriverPolicy` 托管式策略。
+ **对于 Amazon EFS 和 Amazon S3 文件系统**:同时附加 `AmazonEFSCSIDriverPolicy` 和 `AmazonS3FilesCSIDriverPolicy` 托管式策略。
您可以使用以下命令创建 IAM 角色并为其附加托管式策略。将 *my-cluster* 替换为您的集群的名称,并将 *AmazonEKS\$1EFS\$1CSI\$1DriverRole* 替换为您的角色的名称。以下示例对 Amazon EFS 文件系统附加 `AmazonEFSCSIDriverPolicy`:如果使用的是 Amazon S3 文件系统,请将策略 ARN 替换为 ` arn:aws-cn:iam::aws:policy/service-role/AmazonS3FilesCSIDriverPolicy`。如果同时使用这两种文件系统类型,请在第二个策略 ARN 中添加一个额外 `--attach-policy-arn` 标志。这些命令要求您的设备事先安装 [eksctl](https://eksctl.io)。如果需要使用其他工具,请参阅 [第 1 步:创建 IAM 角色](efs-csi.md#efs-create-iam-resources)(Amazon EFS)或 [步骤 1:创建 IAM 角色](s3files-csi.md#s3files-create-iam-resources)(Amazon S3 Files)。
```
export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
--name efs-csi-controller-sa \
--namespace kube-system \
--cluster $cluster_name \
--role-name $role_name \
--role-only \
--attach-policy-arn arn:aws-cn:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
--approve
TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
```
**注意**
以上示例仅配置 `efs-csi-controller-sa`。如果使用的是 Amazon S3 文件系统,则还需要配置 `efs-csi-node-sa`。有关完整的 S3 Files IAM 设置,请参阅 [步骤 1:创建 IAM 角色](s3files-csi.md#s3files-create-iam-resources)。
### 附加信息
要了解有关此附加组件的更多信息,请参阅 [将弹性文件系统存储与 Amazon EFS 结合使用](efs-csi.md)。
## Amazon FSx CSI 驱动程序
Amazon FSx CSI 驱动程序 Amazon EKS 附加组件是一种 Kubernetes 容器存储接口(CSI)插件,可为集群提供适用于 Lustre 的 Amazon FSx 存储。
Amazon EKS 附加组件名称为 `aws-fsx-csi-driver`。
**注意**
集群中预先安装的 Amazon FSx CSI 驱动程序可能会导致附加组件安装失败。当您在存在非 EKS FSx CSI 驱动程序的情况下尝试安装 Amazon EKS 附加组件版本时,由于资源冲突,安装将失败。在安装过程中使用 `OVERWRITE` 标志解决此问题:
```
aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE
```
Amazon FSx CSI 驱动程序 EKS 附加组件支持通过 EKS 容器组身份或服务账户的 IAM 角色(IRSA)进行身份验证。要使用 EKS 容器组身份,请在部署 FSx CSI 驱动程序附加组件之前或之后安装容器组身份代理。有关更多信息,请参阅 [设置 Amazon EKS 容器组身份代理](pod-id-agent-setup.md)。要改用 IRSA,请参阅 [为集群创建 IAM OIDC 提供商](enable-iam-roles-for-service-accounts.md)。
### 所需的 IAM 权限
此附加组件使用 Amazon EKS 的服务账户 IAM 角色功能。有关更多信息,请参阅 [服务账户的 IAM 角色](iam-roles-for-service-accounts.md)。[AmazonFSxFullAccess](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) Amazon 托管策略中的权限是必需的。您可以使用以下命令创建 IAM 角色并将托管策略附加到其上。将 *my-cluster* 替换为集群名称,并将 *AmazonEKS\$1FSx\$1CSI\$1DriverRole* 替换为角色名称。此命令要求您为您的设备安装 [eksctl](https://eksctl.io)。
```
eksctl create iamserviceaccount \
--name fsx-csi-controller-sa \
--namespace kube-system \
--cluster my-cluster \
--role-name AmazonEKS_FSx_CSI_DriverRole \
--role-only \
--attach-policy-arn arn:aws-cn:iam::aws:policy/AmazonFSxFullAccess \
--approve
```
### 附加信息
要了解有关此附加组件的更多信息,请参阅 [将高性能应用程序存储与适用于 Lustre 的 Amazon FSx 结合使用](fsx-csi.md)。
## 适用于 Amazon S3 的 Mountpoint CSI 驱动程序
适用于 Amazon S3 的 Mountpoint CSI 驱动程序 Amazon EKS 附加组件是一种 Kubernetes 容器存储接口(CSI)插件,可为集群提供 Amazon S3 存储。
Amazon EKS 附加组件名称为 `aws-mountpoint-s3-csi-driver`。
### 所需的 IAM 权限
此附加组件使用 Amazon EKS 的服务账户 IAM 角色功能。有关更多信息,请参阅 [服务账户的 IAM 角色](iam-roles-for-service-accounts.md)。
创建的 IAM 角色需要一个允许访问 S3 的策略。创建策略时,请遵循 [Mountpoint IAM 权限建议](https://github.com/awslabs/mountpoint-s3/blob/main/doc/CONFIGURATION.md#iam-permissions)。您也可以使用 Amazon 托管式策略 [AmazonS3FullAccess](https://console.amazonaws.cn/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor),但此托管式策略授予的权限超出了 Mountpoint 所需的权限。
您可以使用以下命令创建 IAM 角色,并为其附加策略。将 *my-cluster* 替换为您的集群的名称,将 *region-code* 替换为正确的 Amazon 区域代码,将 *AmazonEKS\$1S3\$1CSI\$1DriverRole* 替换为您的角色的名称,并将 *AmazonEKS\$1S3\$1CSI\$1DriverRole\$1ARN* 替换为角色 ARN。这些命令要求您的设备事先安装 [eksctl](https://eksctl.io)。有关如何使用 IAM 控制台或 Amazon CLI 的说明,请参阅[步骤 2:创建 IAM 角色](s3-csi-create.md#s3-create-iam-role)。
```
CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
--name s3-csi-driver-sa \
--namespace kube-system \
--cluster $CLUSTER_NAME \
--attach-policy-arn $POLICY_ARN \
--approve \
--role-name $ROLE_NAME \
--region $REGION \
--role-only
```
### 附加信息
要了解有关此附加组件的更多信息,请参阅 [使用适用于 Amazon S3 的 Mountpoint CSI 驱动程序访问适用于 Amazon S3 对象](s3-csi.md)。
## CSI 快照控制器
借助容器存储接口(CSI)快照控制器,可以在 Amazon EBS CSI 驱动程序等兼容的 CSI 驱动程序中使用快照功能。
Amazon EKS 附加组件名称为 `snapshot-controller`。
### 所需的 IAM 权限
此附加组件不需要任何权限。
### 附加信息
要了解有关此附加组件的更多信息,请参阅 [为 CSI 卷启用快照功能](csi-snapshot-controller.md)。
## Amazon SageMaker HyperPod 任务监管
SageMaker HyperPod 任务监管是一个强大的管理系统,旨在简化资源分配,并确保团队和项目高效利用 Amazon EKS 集群计算资源。这为管理员提供了设置以下方面的功能:
+ 各种任务的优先级别
+ 各个团队的计算分配
+ 各个团队如何借出和借用闲置计算
+ 某个团队是否抢占了自己的任务
HyperPod 任务监管还提供 Amazon EKS 集群可观测性功能,从而实现对集群容量的实时可见性。这包括计算可用性和使用情况、团队分配和利用率以及任务运行和等待时间信息,使您能够做出明智的决策以及主动进行资源管理。
Amazon EKS 附加组件名称为 `amazon-sagemaker-hyperpod-taskgovernance`。
### 所需的 IAM 权限
此附加组件不需要任何权限。
### 附加信息
要了解有关该附加组件的更多信息,请参阅 [SageMaker HyperPod 任务监管](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-hyperpod-eks-operate-console-ui-governance.html)
## Amazon SageMaker HyperPod 可观测性附加组件
Amazon SageMaker HyperPod 可观测性附加组件为 HyperPod 集群提供全面的监控和可观测性功能。此附加组件自动部署和管理基本的监控组件,包括节点导出器、DCGM 导出器、kube-state-metrics 和 EFA 导出器。它收集指标并将其转发给客户指定的 Amazon Managed Prometheus(AMP)实例,并公开一个 OTLP 端点,用于从客户训练作业中获取自定义指标和事件。
该附加组件通过从各种组件(包括 HyperPod 任务治理附加组件、HyperPod Training Operator、Kubeflow 和 KEDA)中抓取指标,与更广泛的 HyperPod 生态系统集成。所有收集的指标都集中在 Amazon Managed Prometheus 中,使客户能够通过 Amazon Managed Grafana 控制面板获得统一的可观测性视图。这为整个 HyperPod 环境中的集群运行状况、资源利用率和训练作业性能提供了端到端的可见性。
Amazon EKS 附加组件名称为 `amazon-sagemaker-hyperpod-observability`。
### 所需的 IAM 权限
此附加组件使用 Amazon EKS 的服务账户 IAM 角色功能。有关更多信息,请参阅 [服务账户的 IAM 角色](iam-roles-for-service-accounts.md)。需要以下托管策略:
+ `AmazonPrometheusRemoteWriteAccess`:用于将指标从集群远程写入到 AMP
+ `CloudWatchAgentServerPolicy`:用于将集群中的日志远程写入到 CloudWatch
### 附加信息
要了解有关该附加组件及其功能的更多信息,请参阅 [SageMaker HyperPod Observability](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-observability-cluster.html)。
## Amazon SageMaker HyperPod 训练操作程序
Amazon SageMaker HyperPod 训练操作程序通过高效管理大型 GPU 集群上的分布式训练,帮助您加快生成式人工智能模型的开发。它引入了智能故障恢复、挂起作业检测和进程级管理功能,可最大限度地减少训练中断并降低成本。与发生故障时需要完全重启作业的传统训练基础设施不同,此操作程序会精确执行流程恢复,以保持训练作业顺利运行。
该操作程序还可与 HyperPod 的运行状况监控和可观测性功能结合使用,支持实时查看训练执行情况,并自动监控损失激增和吞吐量下降等关键指标。无需更改代码,即可通过简单的 YAML 配置定义恢复策略,从而快速响应无法恢复的训练状态并协助完成恢复。这些监控和恢复功能协同工作,可以保持最佳训练性能,同时最大限度地减少运营开销。
Amazon EKS 附加组件名称为 `amazon-sagemaker-hyperpod-training-operator`。
有关更多信息,请参阅《Amazon SageMaker 开发人员指南》**中的[使用 HyperPod 训练操作符](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-eks-operator.html)。
### 所需的 IAM 权限
此附加组件需要 IAM 权限,并使用 EKS 容器组身份。
Amazon 建议使用 `AmazonSageMakerHyperPodTrainingOperatorAccess` [托管式策略](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)。
有关更多信息,请参阅《Amazon SageMaker Developer Guide》**中的 [Installing the training operator](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-eks-operator-install.html#sagemaker-eks-operator-install-operator)。
### 附加信息
要了解有关该附加组件的更多信息,请参阅 [SageMaker HyperPod training operator](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-eks-operator.html)。
## Amazon SageMaker HyperPod 推理运算符
Amazon SageMaker HyperPod 提供端到端体验,支持人工智能开发的整个生命周期,包括交互式实验与训练、推理以及训练后工作流程等。现在,它提供了一个全面的推理平台,将 Kubernetes 的灵活性与托管服务的卓越运营能力相结合。在整个模型生命周期内,使用相同的 HyperPod 计算资源,以企业级可靠性部署、扩展和优化生成式人工智能模型。
Amazon SageMaker HyperPod 提供了灵活的部署接口,可让您通过多种方式部署模型,包括 kubectl、Python SDK、Amazon SageMaker Studio 用户界面或 HyperPod CLI。该功能提供了先进的自动扩缩功能,并配备可根据需求自动调整的动态资源分配机制。此外,该服务还包含全面的可观测性和监控功能,这些功能可跟踪到第一个令牌的时间、延迟和 GPU 利用率等关键指标,帮助您优化性能。
Amazon EKS 附加组件名称为 `amazon-sagemaker-hyperpod-inference`。
### 安装方式
您可以使用以下方法之一安装此附加组件:
+ **SageMaker 控制台(推荐)**:通过引导式配置提供高效简洁的安装体验。
+ **EKS 附加组件控制台或 CLI**:在安装推理运算符之前,需要手动安装依赖项附加组件。有关所需的依赖项,请参阅下面的先决条件部分。
### 先决条件
在通过 EKS 附加组件控制台或 CLI 安装推理运算符附加组件之前,请确保已安装以下依赖项。
所需的 EKS 附加组件:
+ Amazon S3 Mountpoint CSI 驱动程序(最低版本:v1.14.1-eksbuild.1)
+ Metrics Server(最低版本:v0.7.2-eksbuild.4)
+ Amazon FSx CSI 驱动程序(最低版本:v1.6.0-eksbuild.1)
+ 证书管理器(最低版本:v1.18.2-eksbuild.2)
有关每个依赖项的详细安装说明,请参阅[安装推理运算符](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html)。
### 所需的 IAM 权限
此附加组件需要 IAM 权限,并使用 OIDC/IRSA。
建议使用以下托管策略,因为它们提供了最低权限范围内的权限:
+ `AmazonSageMakerHyperPodInferenceAccess`:提供设置推理运算符所需的管理员特权
+ `AmazonSageMakerHyperPodGatedModelAccess`:使 SageMaker HyperPod 能够访问 SageMaker Jumpstart 中的门控模型(例如,Meta Llama、GPT-Neo)
有关更多信息,请参阅[安装推理运算符](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html)。
### 附加信息
要了解有关 Amazon SageMaker HyperPod 推理运算符的更多信息,请参阅 [SageMaker HyperPod 推理运算符](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment.html)。
有关故障排除信息,请参阅[排除 SageMaker HyperPod 模型部署的故障](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-ts.html)。
## Amazon Network Flow Monitor Agent
Amazon CloudWatch Network Flow Monitor Agent 是一款 Kubernetes 应用程序,可从集群中的所有节点收集 TCP 连接统计数据,并将网络流量报告发布到 Amazon CloudWatch Network Flow Monitor Ingestion API。
Amazon EKS 附加组件名称为 `aws-network-flow-monitoring-agent`。
### 所需的 IAM 权限
此附加组件需要 IAM 权限。
您需要向此附加组件附加 `CloudWatchNetworkFlowMonitorAgentPublishPolicy` 托管式策略 。
有关所需 IAM 设置的更多信息,请参阅 Amazon CloudWatch Network Flow Monitor Agent GitHub 存储库中的 [IAM Policy](https://github.com/aws/network-flow-monitor-agent?tab=readme-ov-file#iam-policy)。
有关此托管式策略的更多信息,请参阅《Amazon CloudWatch 用户指南》中的 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/security-iam-awsmanpol-network-flow-monitor.html#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy)。
### 附加信息
要了解有关此附加组件的更多信息,请参阅 [Amazon CloudWatch Network Flow Monitor Agent GitHub 存储库](https://github.com/aws/network-flow-monitor-agent?tab=readme-ov-file)。
## 节点监控代理
节点监控代理 Amazon EKS 附加组件可以检测其他的节点运行状况问题。可选的节点自动修复功能也可以利用这些额外的运行状况信号,根据需要自动替换节点。
**注意**
您无需在 Amazon EKS 自动模式集群上安装此附加组件。有关更多信息,请参阅 [Amazon EKS 自动模式的注意事项](eks-add-ons.md#addon-consider-auto)。
Amazon EKS 附加组件名称为 `eks-node-monitoring-agent`。
### 所需的 IAM 权限
此附加组件不需要额外的权限。
### 附加信息
有关更多信息,请参阅 [检测节点运行状况问题并启用自动节点修复](node-health.md)。
## 适用于 OpenTelemetry 的 Amazon Distro
适用于 OpenTelemetry 的 Amazon Distro Amazon EKS 是 OpenTelemetry 项目的安全、受 Amazon 支持的生产就绪型发行版。有关更多信息,请参阅 GitHub 上的 [Amazon Distro for OpenTelemetry](https://aws-otel.github.io/)。
Amazon EKS 附加组件名称为 `adot`。
### 所需的 IAM 权限
仅在使用可通过高级配置选择加入的预配置自定义资源时,此附加组件才需要 IAM 权限。
### 附加信息
有关更多信息,请参阅适用于 OpenTelemetry 的 Amazon Distro 文档中的 [Getting Started with Amazon Distro for OpenTelemetry using EKS Add-Ons](https://aws-otel.github.io/docs/getting-started/adot-eks-add-on)。
ADOT 要求将 `cert-manager` 附加组件作为先决条件部署在集群上,否则如果使用 https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest`cluster_addons` 属性直接部署,此附加组件将无法运行。有关更多要求,请参阅适用于 OpenTelemetry 的 Amazon Distro 文档中的 [Requirements for Getting Started with Amazon Distro for OpenTelemetry using EKS Add-Ons](https://aws-otel.github.io/docs/getting-started/adot-eks-add-on/requirements)。
## Amazon GuardDuty 代理
Amazon GuardDuty 代理 Amazon EKS 附加组件将从 EKS 集群节点收集[运行时事件](https://docs.amazonaws.cn/guardduty/latest/ug/runtime-monitoring-collected-events.html)(文件访问、进程执行、网络连接),以供 GuardDuty 运行时监控进行分析。GuardDuty 本身(并非代理)是一项安全监控服务,用于分析和处理[基础数据源](https://docs.amazonaws.cn/guardduty/latest/ug/guardduty_data-sources.html),包括 Amazon CloudTrail 管理事件和 Amazon VPC 流日志,以及 Kubernetes 审计日志和运行时监控等[功能](https://docs.amazonaws.cn/guardduty/latest/ug/guardduty-features-activation-model.html)。
Amazon EKS 附加组件名称为 `aws-guardduty-agent`。
### 所需的 IAM 权限
此附加组件不需要任何权限。
### 附加信息
有关更多信息,请参阅 [Runtime Monitoring for Amazon EKS clusters in Amazon GuardDuty](https://docs.amazonaws.cn/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)。
+ 要检测 Amazon EKS 集群中的潜在安全威胁,请启用 Amazon GuardDuty 运行时监控,然后将 GuardDuty 安全代理部署到您的 Amazon EKS 集群。
## Amazon CloudWatch 可观测性代理
Amazon CloudWatch 可观测性代理 Amazon EKS 附加组件是由 Amazon 提供的监控和可观测性服务。此插件将安装 CloudWatch 代理,并启用 CloudWatch Application Signals 和 CloudWatch Container Insights,从而增强 Amazon EKS 的可观测性。有关更多信息,请参阅 [Amazon CloudWatch 代理](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)。
Amazon EKS 附加组件名称为 `amazon-cloudwatch-observability`。
### 所需的 IAM 权限
此附加组件使用 Amazon EKS 的服务账户 IAM 角色功能。有关更多信息,请参阅 [服务账户的 IAM 角色](iam-roles-for-service-accounts.md)。[AWSXrayWriteOnlyAccess](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess) 和 [CloudWatchAgentServerPolicy](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy) Amazon 托管策略中的权限是必需的。您可以创建 IAM 角色,将托管式策略附加到该角色,并使用以下命令为附加组件使用的 Kubernetes 服务账户添加注释。将 *my-cluster* 替换为您的集群的名称,并将 *AmazonEKS\$1Observability\$1role* 替换为您的角色的名称。此命令要求您为您的设备安装 [eksctl](https://eksctl.io)。如果您需要使用其他工具来创建角色、将策略附加到该角色并为 Kubernetes 服务账户添加注释,请参阅[为 Kubernetes 服务账户分配 IAM 角色](associate-service-account-role.md)。
```
eksctl create iamserviceaccount \
--name cloudwatch-agent \
--namespace amazon-cloudwatch \
--cluster my-cluster \
--role-name AmazonEKS_Observability_Role \
--role-only \
--attach-policy-arn arn:aws-cn:iam::aws:policy/AWSXrayWriteOnlyAccess \
--attach-policy-arn arn:aws-cn:iam::aws:policy/CloudWatchAgentServerPolicy \
--approve
```
### 附加信息
有关更多信息,请参阅[安装 CloudWatch 代理](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Observability-EKS-addon.html)。
## 适用于 Kubernetes 的 Amazon Private CA Connector
适用于 Kubernetes 的 Amazon Private CA Connector 是证书管理器的附加组件,允许用户从 Amazon Private Certificate Authority(Amazon Private CA)获取证书。
+ Amazon EKS 附加组件名称为 `aws-privateca-connector-for-kubernetes`。
+ 附加组件命名空间是 `aws-privateca-issuer`。
此附加组件需要 `cert-manager`,`cert-manager` 可作为社区附加组件在 Amazon EKS 上使用。有关附加组件的更多信息,请参阅[Cert Manager](community-addons.md#addon-cert-manager)。有关安装附加组件的更多信息,请参阅[创建 Amazon EKS 附加组件](creating-an-add-on.md)。
### 所需的 IAM 权限
此附加组件需要 IAM 权限。
使用 EKS 容器组身份将 `AWSPrivateCAConnectorForKubernetesPolicy` IAM 策略附加到 `aws-privateca-issuer` Kubernetes 服务账户。有关更多信息,请参阅 [使用容器组身份将 IAM 角色分配给 Amazon EKS 附加组件](update-addon-role.md)。
要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 [AWSPrivateCAConnectorForKubernetesPolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSPrivateCAConnectorForKubernetesPolicy.html)。
### 附加信息
有关更多信息,请参阅 [Amazon Private CA Issuer for Kubernetes GitHub repository](https://github.com/cert-manager/aws-privateca-issuer)。
有关配置附加组件的更多信息,请参阅 `aws-privateca-issuer` GitHub 存储库中的 [values.yaml](https://github.com/cert-manager/aws-privateca-issuer/blob/main/charts/aws-pca-issuer/values.yaml)。确认 values.yaml 版本与集群上所安装的附加组件版本相匹配。
在 EKS 自动模式下,此附加组件可容忍 `system` 节点池所使用的 `CriticalAddonsOnly` 污点。有关更多信息,请参阅 [在专用实例上运行关键附加组件](critical-workload.md)。
## EKS 容器组身份代理
Amazon EKS 容器组身份代理 Amazon EKS 附加组件提供了管理应用程序凭证的功能,类似于 EC2 实例配置文件为 EC2 实例提供凭证的方式。
**注意**
您无需在 Amazon EKS 自动模式集群上安装此附加组件。Amazon EKS 自动模式与 EKS 容器组身份集成。有关更多信息,请参阅 [Amazon EKS 自动模式的注意事项](eks-add-ons.md#addon-consider-auto)。
Amazon EKS 附加组件名称为 `eks-pod-identity-agent`。
### 所需的 IAM 权限
容器组身份代理附加组件本身不需要 IAM 角色。它通过 [Amazon EKS 节点 IAM 角色](create-node-role.md)的权限来运行,但无需为该附加组件配置专用 IAM 角色。
### 更新信息
您一次只能更新一个次要版本。例如,如果当前版本为 `1.28.x-eksbuild.y`,并且您想要更新到 `1.30.x-eksbuild.y`,则必须首先更新到 `1.29.x-eksbuild.y`,再更新到 `1.30.x-eksbuild.y`。有关更新附加组件的更多信息,请参阅 [更新 Amazon EKS 附加组件](updating-an-add-on.md)。
## SR-IOV 网络指标导出器
SR-IOV 网络指标导出器 Amazon EKS 附加组件收集并以 Prometheus 格式公开 SR-IOV 网络设备的指标。它可以监控 EKS 裸机节点上的 SR-IOV 网络性能。导出器作为 DaemonSet 在具有支持 SR-IOV 的网络接口的节点上运行,并导出可供 Prometheus 抓取的指标。
**注意**
此附加组件需要具有支持 SR-IOV 的网络接口的节点。
| 属性 | 值 |
| --- | --- |
| 附加组件名称 | `sriov-network-metrics-exporter` |
| 命名空间 | `monitoring` |
| 文档 | [SR-IOV 网络指标导出器 GitHub 存储库](https://github.com/k8snetworkplumbingwg/sriov-network-metrics-exporter) |
| 服务账户名称 | 无 |
| 托管 IAM policy | 无 |
| 自定义 IAM 权限 | 无 |
### Amazon Secrets Store CSI Driver 提供程序
Amazon Secrets Store CSI Driver 提供程序是一个附加组件,支持从 Amazon Secrets Manager 中检索密码,从 Amazon Systems Manager Parameter Store 中检索参数,并将它们作为文件挂载到 Kubernetes 容器组(pod)中。
### 所需的 IAM 权限
该附加组件不需要 IAM 权限。但是,应用程序容器组(pod)需要 IAM 权限才能从 Amazon Secrets Manager 获取密码和从 Amazon Systems Manager Parameter Store 获取参数。安装该附加组件后,必须通过服务账户的 IAM 角色(IRSA)或 EKS 容器组身份配置访问权限。要使用 IRSA,请参阅 Secrets Manager [IRSA 设置文档](https://docs.amazonaws.cn/secretsmanager/latest/userguide/integrating_ascp_irsa.html)。要使用 EKS 容器组身份,请参阅 Secrets Manager [容器组身份设置文档](https://docs.amazonaws.cn/secretsmanager/latest/userguide/ascp-pod-identity-integration.html)。
Amazon 建议使用 `AWSSecretsManagerClientReadOnlyAccess` [托管式策略](https://docs.amazonaws.cn/secretsmanager/latest/userguide/reference_available-policies.html#security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess)。
有关所需权限的更多信息,请参阅《Amazon 托管式策略参考》中的`AWSSecretsManagerClientReadOnlyAccess`。
### 附加信息
有关更多信息,请参阅 secrets-store-csi-driver-provider-aws [GitHub 存储库](https://github.com/aws/secrets-store-csi-driver-provider-aws)。
要了解有关该附加组件的更多信息,请参阅[该附加组件的 Amazon Secrets Manager 文档](https://docs.amazonaws.cn/secretsmanager/latest/userguide/ascp-eks-installation.html)。
## Amazon SageMaker Spaces
Amazon SageMaker Spaces 附加组件提供了在 EKS 或 HyperPod-EKS 集群上运行 IDE 和笔记本的功能。管理员可以使用 EKS 控制台在其集群上安装该附加组件,并定义默认空间配置,例如图像、计算资源、笔记本设置的本地存储(要附加到其空间的额外存储)、文件系统和初始化脚本。
AI 开发人员可以使用 kubectl 创建、更新和删除空间。他们可以灵活地使用管理员提供的默认配置,也可以自定义设置。AI 开发人员可以使用本地 VS Code IDE 和/或在管理员配置的自定义 DNS 域上托管 JupyterLab 或 CodeEditor IDE 的 Web 浏览器,访问他们在 EKS 或 Hypod-EKS 上的空间。他们还可以使用 kubernetes 的端口转发功能来访问 Web 浏览器中的空间。
Amazon EKS 附加组件名称为 `amazon-sagemaker-spaces`。
### 所需的 IAM 权限
此附加组件需要 IAM 权限。有关所需的 IAM 设置的更多信息,请参阅《Amazon SageMaker 开发人员指南》中的** [IAM 权限设置](https://docs.amazonaws.cn/sagemaker/latest/dg/permission-setup.html)。
### 附加信息
要了解有关该附加组件及其功能的更多信息,请参阅《Amazon SageMaker 开发人员指南》**中的 [HyperPod 上的 SageMaker AI Notebook](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-ide.html)。