aws efs csi driver

Der Amazon Elastic File System Container Storage Interface (CSI)-Treiber implementiert die CSI-Spezifikation für Container-Orchestratoren, um den Lebenszyklus von Amazon EFS-Dateisystemen zu verwalten.

Der Amazon EFS CSI-Treiber unterstützt dynamische Bereitstellung und statische Bereitstellung. Derzeit erstellt Dynamic Provisioning einen Zugangspunkt für jedes PV. Das bedeutet, dass zunächst manuell in AWS ein Amazon EFS-Dateisystem erstellt werden muss und als Eingabe für den Speicherklassenparameter bereitgestellt werden sollte. Für die statische Bereitstellung muss das Amazon EFS-Dateisystem zunächst manuell in AWS erstellt werden. Anschließend kann es mit dem Treiber als Volume in einem Container gemountet werden.

Folgende CSI-Schnittstellen sind implementiert:

• Controller-Dienst: CreateVolume, DeleteVolume, ControllerGetCapabilities, ValidateVolumeCapabilities
• Knotendienst: NodePublishVolume, NodeUnpublishVolume, NodeGetCapabilities, NodeGetInfo, NodeGetId, NodeGetVolumeStats
• Identitätsdienst: GetPluginInfo, GetPluginCapabilities, Probe

Notiz

• Der benutzerdefinierte Posix-Gruppen-ID-Bereich für das Access Point-Stammverzeichnis muss die Parameter gidRangeStart und gidRangeEnd enthalten. Diese Parameter sind nur dann optional, wenn beide weggelassen werden. Wenn Sie eines angeben, wird das andere obligatorisch.
• Bei Verwendung eines benutzerdefinierten Posix-Gruppen-ID-Bereichs besteht die Möglichkeit, dass dem Treiber die verfügbaren POSIX-Gruppen-IDs ausgehen. Wir empfehlen, sicherzustellen, dass der benutzerdefinierte Gruppen-ID-Bereich groß genug ist, oder eine neue Speicherklasse mit einem neuen Dateisystem zu erstellen, um zusätzliche Volumes bereitzustellen.
• az unter dem Speicherklassenparameter ist nicht mit der Mountoption az von efs-utils zu verwechseln. Die Option az mount“ wird für die Cross-Az-Mount- oder EFS-One-Zone-Dateisystem-Mount innerhalb desselben AWS-Kontos wie der Cluster verwendet.
• Bei der dynamischen Bereitstellung wird immer die Durchsetzung der Benutzeridentität angewendet.
• Wenn die Benutzerdurchsetzung aktiviert ist, ersetzt Amazon EFS die Benutzer- und Gruppen-IDs des NFS-Clients durch die auf dem Zugriffspunkt konfigurierte Identität für alle Dateisystemvorgänge.
• Die auf dem Zugriffspunkt konfigurierte UID/GID ist entweder die in der Speicherklasse angegebene UID/GID, ein in der Speicherklasse angegebener Wert im gidRangeStart-gidRangeEnd (wird sowohl als UID/GID verwendet) als auch ein vom Treiber ausgewählter Wert ist keine uid/gid oder gidRange angegeben.
• Wir empfehlen die Verwendung einer statischen Bereitstellung, wenn Sie die Durchsetzung der Benutzeridentität nicht nutzen möchten.

Wenn Sie beim Mounten andere mountOptions an den Amazon EFS CSI-Treiber übergeben möchten, können diese über das Persistent Volume oder die Storage Class-Objekte übergeben werden, je nachdem, ob statische oder dynamische Bereitstellung verwendet wird. Im Folgenden finden Sie Beispiele für einige mountOptions, die übergeben werden können:

• lookupcache : Gibt an, wie der Kernel seinen Cache mit Verzeichniseinträgen für einen bestimmten Mountpunkt verwaltet. Der Modus kann „Alle“, „Keine“, „Pos“ oder „Positiv“ sein. Jeder Modus hat unterschiedliche Funktionen. Weitere Informationen finden Sie unter diesem Link.
• iam : Verwenden Sie die IAM-Identität des CSI-Knoten-Pods zur Authentifizierung bei Amazon EFS.

Beachten Sie bei Verwendung des EFS-CSI-Treibers, dass die Mount-Option noresvport standardmäßig aktiviert ist. Das bedeutet, dass der Client jeden verfügbaren Quellport für die Kommunikation nutzen kann, nicht nur die reservierten Ports.

Einer der Vorteile der Verwendung von Amazon EFS besteht darin, dass es Unterstützung für die Verschlüsselung bei der Übertragung mithilfe von TLS bietet. Mithilfe der Verschlüsselung während der Übertragung werden Daten während der Übertragung über das Netzwerk zum Amazon EFS-Dienst verschlüsselt. Dies bietet eine zusätzliche Ebene der Tiefenverteidigung für Anwendungen, die eine strenge Einhaltung der Sicherheitsvorschriften erfordern.

Die Verschlüsselung während der Übertragung ist in der Master-Branch-Version des Treibers standardmäßig aktiviert. Um es zu deaktivieren und Volumes mit einfachem NFSv4 bereitzustellen, setzen Sie das volumeAttributes Feld encryptInTransit in Ihrem persistenten Volume-Manifest auf "false" . Ein Beispielmanifest finden Sie im Beispiel für die Verschlüsselung während der Übertragung.

Notiz
Kubernetes Version 1.13 oder höher ist erforderlich, wenn Sie diese Funktion in Kubernetes verwenden.

Die folgenden Abschnitte sind Kubernetes-spezifisch. Wenn Sie ein Kubernetes-Benutzer sind, finden Sie hier Treiberfunktionen, Installationsschritte und Beispiele.

Notiz
Hier finden Sie Bilder früherer efs-csi-Treiberversionen

• Statische Bereitstellung – Das Amazon EFS-Dateisystem muss zuerst manuell erstellt werden, dann kann es mithilfe des Treibers als persistentes Volume (PV) im Container bereitgestellt werden.
• Dynamische Bereitstellung – Verwendet einen Persistent Volume Claim (PVC), um ein Persistent Volume (PV) dynamisch bereitzustellen. Beim Erstellen eines PVC fordert Kuberenetes Amazon EFS auf, einen Zugriffspunkt in einem Dateisystem zu erstellen, der zum Mounten des PV verwendet wird.
• Mount-Optionen – Mount-Optionen können im persistenten Volume (PV) oder in der Speicherklasse für dynamische Bereitstellung angegeben werden, um zu definieren, wie das Volume gemountet werden soll.
• Verschlüsselung von Daten während der Übertragung – Amazon EFS-Dateisysteme werden mit standardmäßig aktivierter Verschlüsselung während der Übertragung in der Master-Zweigversion des Treibers bereitgestellt.
• Kontoübergreifende Bereitstellung – Amazon EFS-Dateisysteme aus verschiedenen AWS-Konten können über einen Amazon EKS-Cluster bereitgestellt werden.
• Multiarch – Das Amazon EFS CSI-Treiber-Image ist jetzt Multiarch auf ECR

Notiz
Da es sich bei Amazon EFS um ein elastisches Dateisystem handelt, wird die Dateisystemkapazität nicht wirklich erzwungen. Der tatsächliche Speicherkapazitätswert im persistenten Volume und im persistenten Volume-Anspruch wird beim Erstellen des Dateisystems nicht verwendet. Da es sich bei der Speicherkapazität jedoch um ein Pflichtfeld von Kubernetes handelt, müssen Sie den Wert angeben und können jeden gültigen Wert für die Kapazität verwenden.

Überlegungen

• Der Amazon EFS CSI-Treiber ist nicht mit Windows-basierten Container-Images kompatibel.
• Sie können mit Fargate-Knoten keine dynamische persistente Volume-Bereitstellung verwenden, Sie können jedoch die statische Bereitstellung verwenden.
• Für die dynamische Bereitstellung ist die Treiberversion 1.2 oder höher erforderlich. Sie können persistente Volumes mit Version 1.1 des Treibers auf jeder unterstützten Amazon EKS-Clusterversion statisch bereitstellen.
• Version 1.3.2 oder höher dieses Treibers unterstützt die Arm64-Architektur, einschließlich Amazon EC2 Graviton-basierter Instances.
• Version 1.4.2 oder höher dieses Treibers unterstützt die Verwendung von FIPS zum Mounten von Dateisystemen. Weitere Informationen zum Aktivieren von FIPS finden Sie unter Helm.
• Beachten Sie die Ressourcenkontingente für Amazon EFS. Beispielsweise gibt es ein Kontingent von 1000 Zugriffspunkten, die für jedes Amazon EFS-Dateisystem erstellt werden können. Weitere Informationen finden Sie unter https://docs.aws.amazon.com/efs/latest/ug/limits.html#limits-efs-resources-per-account-per-region.

Beim Knotenstart gibt es potenzielle Race-Bedingungen (insbesondere, wenn ein Knoten zum ersten Mal dem Cluster beitritt), bei denen Pods/Prozesse, die auf den EFS-CSI-Treiber angewiesen sind, auf einem Knoten agieren können, bevor der EFS-CSI-Treiber gestartet werden kann und vollständig bereit ist. Um dem entgegenzuwirken, enthält der EFS-CSI-Treiber eine Funktion zum automatischen Entfernen eines Taints vom Knoten beim Start. Diese Funktion wurde ab Version v1.7.2 des EFS-CSI-Treibers und Version v2.5.2 seines Helm-Charts eingeführt. Benutzer können ihre Knoten beim Beitritt zum Cluster und/oder beim Start beflecken, um zu verhindern, dass andere Pods ausgeführt und/oder auf dem Knoten geplant werden, bevor der EFS-CSI-Treiber bereit ist.

Diese Funktion ist standardmäßig aktiviert und Clusteradministratoren sollten den Taint efs.csi.aws.com/agent-not-ready:NoExecute verwenden (jeder Effekt funktioniert, aber NoExecute wird empfohlen). Beispielsweise unterstützen EKS-verwaltete Knotengruppen das automatische Verfälschen von Knoten.

Voraussetzungen

• Ein vorhandener AWS Identity and Access Management (IAM) OpenID Connect (OIDC)-Anbieter für Ihren Cluster. Um festzustellen, ob Sie bereits einen haben, oder um einen zu erstellen, lesen Sie Erstellen eines IAM-OIDC-Anbieters für Ihren Cluster.
• Die auf Ihrem Gerät oder AWS CloudShell installierte und konfigurierte AWS CLI. Informationen zur Installation der neuesten Version finden Sie unter Installieren, Aktualisieren und Deinstallieren der AWS CLI und Schnellkonfiguration mit aws configure im AWS Command Line Interface-Benutzerhandbuch. Die in der AWS CloudShell installierte AWS CLI-Version kann auch mehrere Versionen hinter der neuesten Version zurückliegen. Informationen zum Aktualisieren finden Sie unter Installieren von AWS CLI in Ihrem Home-Verzeichnis im AWS CloudShell-Benutzerhandbuch.
• Das Befehlszeilentool kubectl ist auf Ihrem Gerät oder AWS CloudShell installiert. Die Version kann mit der Kubernetes-Version Ihres Clusters identisch oder bis zu einer Nebenversion früher oder später als diese sein. Informationen zum Installieren oder Aktualisieren von kubectl finden Sie unter Installieren oder Aktualisieren von kubectl .

Notiz
Ein Pod, der auf AWS Fargate läuft, mountet automatisch ein Amazon EFS-Dateisystem, ohne dass die auf dieser Seite beschriebenen manuellen Treiberinstallationsschritte erforderlich sind.

Der Treiber benötigt die IAM-Berechtigung, mit Amazon EFS zu kommunizieren, um das Volume im Namen des Benutzers zu verwalten. Es gibt mehrere Methoden, um dem Fahrer IAM-Berechtigungen zu erteilen:

• Verwenden des EKS-Pod-Identity-Add-ons – Installieren Sie das EKS-Pod-Identity-Add-on in Ihrem EKS-Cluster. Dafür muss der EFS-CSI-Treiber nicht über das EKS-Add-on installiert werden, er kann unabhängig von der Installationsmethode des EFS-CSI-Treibers verwendet werden. Wenn diese Installationsmethode verwendet wird, muss die AmazonEFSCSIDriverPolicy -Richtlinie zur IAM-Rolle der Knotengruppe des Clusters hinzugefügt werden.
• IAM-Rolle für Dienstkonto verwenden – Erstellen Sie eine IAM-Rolle für Dienstkonten mit den erforderlichen Berechtigungen in iam-policy-example.json. Kommentieren Sie Anmerkungen aus und fügen Sie den IAM-Rollen-ARN in das Dienstkonto-Manifest ein. Beispielschritte finden Sie unter Erstellen einer IAM-Richtlinie und -Rolle für Amazon EKS.
• Verwenden des IAM-Instanzprofils – Gewähren Sie allen Worker-Knoten die erforderlichen Berechtigungen, indem Sie die Richtlinie an das Instanzprofil des Workers anhängen.

Für die Bereitstellung des Treibers gibt es mehrere Möglichkeiten. Im Folgenden finden Sie einige Beispiele.

Für dieses Verfahren ist Helm V3 oder höher erforderlich. Informationen zum Installieren oder Aktualisieren von Helm finden Sie unter Verwenden von Helm mit Amazon EKS.

So installieren Sie den Treiber mit Helm

1. Fügen Sie das Helm-Repo hinzu.

   helm repo add aws-efs-csi-driver https://kubernetes-sigs.github.io/aws-efs-csi-driver/

2. Aktualisieren Sie das Repo.

   helm repo update aws-efs-csi-driver

3. Installieren Sie eine Version des Treibers mithilfe des Helm-Charts.

   helm upgrade --install aws-efs-csi-driver --namespace kube-system aws-efs-csi-driver/aws-efs-csi-driver

   Um ein Image-Repository anzugeben, fügen Sie das folgende Argument hinzu. Ersetzen Sie die Repository-Adresse durch die Container-Image-Adresse des Clusters.

   --set image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/aws-efs-csi-driver

   Wenn Sie bereits ein Dienstkonto erstellt haben, indem Sie „Eine IAM-Richtlinie und -Rolle für Amazon EKS erstellen“ befolgen, fügen Sie die folgenden Argumente hinzu.

   --set controller.serviceAccount.create=false 
   --set controller.serviceAccount.name=efs-csi-controller-sa

   Wenn Sie keinen ausgehenden Zugriff auf das Internet haben, fügen Sie die folgenden Argumente hinzu.

   --set sidecars.livenessProbe.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/livenessprobe 
   --set sidecars.node-driver-registrar.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-node-driver-registrar 
   --set sidecars.csiProvisioner.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-provisioner

   Um zu erzwingen, dass der Amazon EFS CSI-Treiber FIPS zum Mounten des Dateisystems verwendet, fügen Sie das folgende Argument hinzu.

   --set useFips=true

Notiz
hostNetwork: true (sollte unter spec/deployment auf Kubernetes-Installationen hinzugefügt werden, bei denen AWS-Metadaten nicht über das Pod-Netzwerk erreichbar sind. Um den folgenden Fehler NoCredentialProviders: no valid providers in chain zu beheben, sollte dieser Parameter hinzugefügt werden.)

Wenn Sie das Bild mit einem Manifest herunterladen möchten, empfehlen wir, zunächst diese Schritte auszuprobieren, um gesicherte Bilder aus der privaten Amazon ECR-Registrierung abzurufen.

Zur Installation des Treibers mithilfe von Bildern, die in der privaten Amazon ECR-Registrierung gespeichert sind

1. Laden Sie das Manifest herunter. Ersetzen Sie release-XX durch Ihren gewünschten Zweig. Wir empfehlen die Verwendung der neuesten veröffentlichten Version. Eine Liste der aktiven Zweige finden Sie unter Zweige.

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/ecr/?ref=release-2.X " > private-ecr-driver.yaml

   Notiz
   Wenn Sie auf ein Problem stoßen, das Sie nicht durch Hinzufügen von IAM-Berechtigungen lösen können, versuchen Sie stattdessen die Schritte „Manifest“ (öffentliche Registrierung).

2. Ersetzen Sie im folgenden Befehl region-code durch die AWS-Region, in der sich Ihr Cluster befindet. Führen Sie dann den geänderten Befehl aus, um us-west-2 in der Datei durch Ihre AWS-Region zu ersetzen.

   sed -i.bak -e ' s|us-west-2|region-code| ' private-ecr-driver.yaml

3. Ersetzen Sie account im folgenden Befehl durch das Konto aus den Amazon-Container-Image-Registrierungen für die AWS-Region, in der sich Ihr Cluster befindet, und führen Sie dann den geänderten Befehl aus, um 602401143452 in der Datei zu ersetzen.

   sed -i.bak -e ' s|602401143452|account| ' private-ecr-driver.yaml

4. Wenn Sie bereits ein Dienstkonto erstellt haben, indem Sie „Eine IAM-Richtlinie und -Rolle für Amazon EKS erstellen“ befolgen, bearbeiten Sie die Datei „ private-ecr-driver.yaml . Entfernen Sie die folgenden Zeilen, die ein Kubernetes-Dienstkonto erstellen.

    apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---
   

5. Wenden Sie das Manifest an.

   kubectl apply -f private-ecr-driver.yaml

In einigen Situationen können Sie möglicherweise nicht die erforderlichen IAM-Berechtigungen hinzufügen, um Daten aus der privaten Amazon ECR-Registrierung abzurufen. Ein Beispiel für dieses Szenario ist, wenn Ihr IAM-Prinzipal sich nicht mit dem Konto einer anderen Person authentifizieren darf. Wenn dies zutrifft, können Sie die öffentliche Amazon ECR-Registrierung verwenden.

Zur Installation des Treibers mithilfe von Bildern, die in der öffentlichen Amazon ECR-Registrierung gespeichert sind

1. Laden Sie das Manifest herunter. Ersetzen Sie release-XX durch Ihren gewünschten Zweig. Wir empfehlen die Verwendung der neuesten veröffentlichten Version. Eine Liste der aktiven Zweige finden Sie unter Zweige.

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.X " > public-ecr-driver.yaml

2. Wenn Sie bereits ein Dienstkonto erstellt haben, indem Sie „Eine IAM-Richtlinie und -Rolle erstellen“ befolgen, bearbeiten Sie die Datei public-ecr-driver.yaml . Entfernen Sie die folgenden Zeilen, die ein Kubernetes-Dienstkonto erstellen.

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---

3. Wenden Sie das Manifest an.

   kubectl apply -f public-ecr-driver.yaml

Nach der Bereitstellung des Treibers können Sie mit den folgenden Abschnitten fortfahren:

• Erstellen Sie ein Amazon EFS-Dateisystem für Amazon EKS
• Beispiele

Durch die Aktivierung des vol-metrics-opt-in-Parameters wird die Erfassung von Inode- und Festplattennutzungsdaten aktiviert. Diese Funktionalität kann insbesondere in Szenarien mit größeren Dateisystemen aufgrund der detaillierten Aggregation von Dateisysteminformationen zu einem Anstieg der Speichernutzung führen. Wir empfehlen Benutzern mit großen Dateisystemen, diesen Aspekt bei der Nutzung dieser Funktion zu berücksichtigen.

Wenn Sie auf die neueste veröffentlichte Version aktualisieren möchten:

kubectl apply -k " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " 

Wenn Sie auf eine bestimmte Version aktualisieren möchten, passen Sie zunächst die Treiber-YAML-Datei lokal an:

kubectl kustomize " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " > driver.yaml

Aktualisieren Sie dann alle Zeilen, die auf image: amazon/aws-efs-csi-driver verweisen, auf die gewünschte Version (z. B. auf image: amazon/aws-efs-csi-driver:v2.1.0 ) in der Yaml-Datei und stellen Sie den Treiber yaml bereit wieder:

kubectl apply -f driver.yaml

Bevor Sie den Beispielen folgen, müssen Sie Folgendes tun:

• Machen Sie sich mit der Einrichtung von Kubernetes auf AWS und der Erstellung eines Amazon EFS-Dateisystems vertraut.
• Stellen Sie beim Erstellen eines Amazon EFS-Dateisystems sicher, dass vom Kubernetes-Cluster darauf zugegriffen werden kann. Dies kann erreicht werden, indem das Dateisystem innerhalb derselben VPC wie der Kubernetes-Cluster erstellt oder VPC-Peering verwendet wird.
• Installieren Sie den Amazon EFS CSI-Treiber gemäß den Installationsschritten.

• Statische Bereitstellung
• Dynamische Bereitstellung
• Verschlüsselung während der Übertragung
• Zugriff auf das Dateisystem von mehreren Pods aus
• Nutzen Sie Amazon EFS in StatefulSets
• Unterpfad einbinden
• Verwenden Sie Zugangspunkte

• Der Amazon EFS CSI-Treiber unterstützt die Verwendung von Botocore zum Abrufen der Mount-Ziel-IP-Adresse, wenn der DNS-Name nicht aufgelöst werden kann, z. B. wenn der Benutzer ein Dateisystem in einer anderen VPC mountet. Botocore ist auf dem efs-csi-driver vorinstalliert, wodurch dieses DNS-Problem gelöst werden kann.
• IAM-Richtlinienvoraussetzungen für die Verwendung dieser Funktion:
  Erlauben Sie die Aktionen elasticfilesystem:DescribeMountTargets und ec2:DescribeAvailabilityZones in Ihrer Richtlinie, die an die Rolle des Amazon EKS-Dienstkontos angehängt ist. Eine Beispielrichtlinie finden Sie hier.

• Bitte lesen Sie die CSI-Spezifikation und die Kubernetes CSI-Entwicklerdokumentation durch, um ein grundlegendes Verständnis des CSI-Treibers zu erlangen, bevor Sie beginnen.

• Wenn Sie die IAM-Richtliniendatei aktualisieren möchten, aktualisieren Sie bitte auch die EFS-Richtlinie in weaveworks/eksctl https://github.com/weaveworks/eksctl/blob/main/pkg/cfn/builder/statement.go */

• Golang 1.13.4+

Abhängigkeiten werden über das Go-Modul verwaltet. Um das Projekt zu erstellen, schalten Sie zunächst go mod mit export GO111MODULE=on ein. Um das Projekt zu erstellen, führen Sie Folgendes aus: make

Um alle Komponententests auszuführen, führen Sie Folgendes aus: make test

Informationen zum Abrufen von Protokollen und zur Fehlerbehebung für den Treiber finden Sie unter Troubleshooting/README.md.

Diese Bibliothek ist unter der Apache 2.0-Lizenz lizenziert.