aws efs csi driver

Le pilote Amazon Elastic File System Container Storage Interface (CSI) implémente la spécification CSI pour les orchestrateurs de conteneurs afin de gérer le cycle de vie des systèmes de fichiers Amazon EFS.

Le pilote Amazon EFS CSI prend en charge le provisionnement dynamique et le provisionnement statique. Actuellement, Dynamic Provisioning crée un point d’accès pour chaque PV. Cela signifie qu'un système de fichiers Amazon EFS doit d'abord être créé manuellement sur AWS et doit être fourni en entrée du paramètre de classe de stockage. Pour le provisionnement statique, le système de fichiers Amazon EFS doit d'abord être créé manuellement sur AWS. Après cela, il peut être monté dans un conteneur en tant que volume à l'aide du pilote.

Les interfaces CSI suivantes sont implémentées :

• Service de contrôleur : CreateVolume, DeleteVolume, ControllerGetCapabilities, ValidateVolumeCapabilities
• Service de nœud : NodePublishVolume, NodeUnpublishVolume, NodeGetCapabilities, NodeGetInfo, NodeGetId, NodeGetVolumeStats
• Service d'identité : GetPluginInfo, GetPluginCapabilities, Sonde

Note

• La plage d’ID de groupe Posix personnalisée pour le répertoire racine du point d’accès doit inclure les paramètres gidRangeStart et gidRangeEnd . Ces paramètres sont facultatifs uniquement si les deux sont omis. Si vous en précisez un, l’autre devient obligatoire.
• Lors de l'utilisation d'une plage d'ID de groupe Posix personnalisée, il est possible que le pilote manque d'ID de groupe POSIX disponibles. Nous vous suggérons de vous assurer que la plage d'ID de groupe personnalisé est suffisamment grande ou de créer une nouvelle classe de stockage avec un nouveau système de fichiers pour provisionner des volumes supplémentaires.
• az sous le paramètre de classe de stockage ne doit pas être confondu avec l'option de montage efs-utils az . L'option de montage az est utilisée pour le montage cross-az ou le montage du système de fichiers efs à une zone dans le même compte aws que le cluster.
• Grâce au provisionnement dynamique, l’application de l’identité des utilisateurs est toujours appliquée.
• Lorsque l'application des règles utilisateur est activée, Amazon EFS remplace les ID d'utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers.
• L'uid/gid configuré sur le point d'accès est soit l'uid/gid spécifié dans la classe de stockage, soit une valeur dans gidRangeStart-gidRangeEnd (utilisé à la fois comme uid/gid) spécifié dans la classe de stockage, ou est une valeur sélectionnée par le pilote. aucun uid/gid ou gidRange n'est spécifié.
• Nous vous suggérons d'utiliser le provisionnement statique si vous ne souhaitez pas utiliser l'application de l'identité des utilisateurs.

Si vous souhaitez transmettre d'autres options de montage au pilote Amazon EFS CSI lors du montage, elles peuvent être transmises via les objets Volume persistant ou Classe de stockage, selon que l'approvisionnement statique ou dynamique est utilisé. Voici des exemples de certaines options de montage qui peuvent être transmises :

• lookupcache : Spécifie comment le noyau gère son cache d'entrées de répertoire pour un point de montage donné. Le mode peut être l'un de tous, aucun, pos ou positif. Chaque mode a des fonctions différentes et pour plus d'informations, vous pouvez vous référer à ce lien.
• iam : utilisez l'identité IAM du CSI Node Pod pour vous authentifier auprès d'Amazon EFS.

Lorsque vous utilisez le pilote EFS CSI, sachez que l'option de montage noresvport est activée par défaut. Cela signifie que le client peut utiliser n'importe quel port source disponible pour la communication, pas seulement les ports réservés.

L'un des avantages de l'utilisation d'Amazon EFS est qu'il fournit une prise en charge du chiffrement en transit à l'aide de TLS. Grâce au chiffrement en transit, les données seront chiffrées lors de leur transition sur le réseau vers le service Amazon EFS. Cela fournit une couche supplémentaire de défense en profondeur pour les applications qui nécessitent une conformité stricte en matière de sécurité.

Le chiffrement en transit est activé par défaut dans la version de branche principale du pilote. Pour le désactiver et monter des volumes à l'aide de NFSv4 simple, définissez le champ volumeAttributes encryptInTransit sur "false" dans votre manifeste de volume persistant. Pour un exemple de manifeste, consultez l’exemple de chiffrement en transit.

Note
Kubernetes version 1.13 ou ultérieure est requise si vous utilisez cette fonctionnalité dans Kubernetes.

Les sections suivantes sont spécifiques à Kubernetes. Si vous êtes un utilisateur Kubernetes, utilisez-le pour les fonctionnalités du pilote, les étapes d'installation et les exemples.

Note
Vous pouvez trouver les images des versions précédentes du pilote efs-csi-driver ici

• Approvisionnement statique : le système de fichiers Amazon EFS doit d'abord être créé manuellement, puis il peut être monté dans le conteneur en tant que volume persistant (PV) à l'aide du pilote.
• Approvisionnement dynamique : utilise une réclamation de volume persistant (PVC) pour approvisionner dynamiquement un volume persistant (PV). Lors de la création d'un PVC, kuberenetes demande à Amazon EFS de créer un point d'accès dans un système de fichiers qui sera utilisé pour monter le PV.
• Options de montage : les options de montage peuvent être spécifiées dans le volume persistant (PV) ou la classe de stockage pour le provisionnement dynamique afin de définir la manière dont le volume doit être monté.
• Chiffrement des données en transit : les systèmes de fichiers Amazon EFS sont montés avec le chiffrement en transit activé par défaut dans la version de branche principale du pilote.
• Montage entre comptes : les systèmes de fichiers Amazon EFS de différents comptes AWS peuvent être montés à partir d'un cluster Amazon EKS.
• Multiarch - L'image du pilote Amazon EFS CSI est désormais multiarch sur ECR

Note
Étant donné qu'Amazon EFS est un système de fichiers élastique, il n'impose pas vraiment de capacité au système de fichiers. La valeur réelle de la capacité de stockage dans le volume persistant et la revendication de volume persistant n'est pas utilisée lors de la création du système de fichiers. Cependant, comme la capacité de stockage est un champ obligatoire par Kubernetes, vous devez spécifier la valeur et vous pouvez utiliser n'importe quelle valeur valide pour la capacité.

Considérations

• Le pilote Amazon EFS CSI n'est pas compatible avec les images de conteneurs Windows.
• Vous ne pouvez pas utiliser le provisionnement dynamique de volumes persistants avec les nœuds Fargate, mais vous pouvez utiliser le provisionnement statique.
• Le provisionnement dynamique nécessite 1.2 ou ultérieure du pilote. Vous pouvez provisionner de manière statique des volumes persistants à l'aide de la version 1.1 du pilote sur n'importe quelle version de cluster Amazon EKS prise en charge.
• La version 1.3.2 ou ultérieure de ce pilote prend en charge l'architecture Arm64, y compris les instances basées sur Amazon EC2 Graviton.
• La version 1.4.2 ou ultérieure de ce pilote prend en charge l'utilisation de FIPS pour le montage des systèmes de fichiers. Pour plus d’informations sur l’activation de FIPS, consultez Helm.
• Prenez note des quotas de ressources pour Amazon EFS. Par exemple, il existe un quota de 1 000 points d'accès qui peuvent être créés pour chaque système de fichiers Amazon EFS. Pour plus d'informations, consultez https://docs.aws.amazon.com/efs/latest/ug/limits.html#limits-efs-resources-per-account-per-region.

Il existe des conditions de concurrence potentielles au démarrage du nœud (en particulier lorsqu'un nœud rejoint le cluster pour la première fois) dans lesquelles les pods/processus qui s'appuient sur le pilote EFS CSI peuvent agir sur un nœud avant que le pilote EFS CSI ne puisse démarrer et être entièrement prêt. Pour lutter contre cela, le pilote EFS CSI contient une fonctionnalité permettant de supprimer automatiquement une souillure du nœud au démarrage. Cette fonctionnalité a été introduite à partir de la version v1.7.2 du pilote EFS CSI et de la version v2.5.2 de sa charte Helm. Les utilisateurs peuvent corrompre leurs nœuds lorsqu'ils rejoignent le cluster et/ou au démarrage, pour empêcher d'autres pods de s'exécuter et/ou d'être planifiés sur le nœud avant que le pilote EFS CSI ne soit prêt.

Cette fonctionnalité est activée par défaut et les administrateurs de cluster doivent utiliser la teinte efs.csi.aws.com/agent-not-ready:NoExecute (n'importe quel effet fonctionnera, mais NoExecute est recommandé). Par exemple, les groupes de nœuds gérés EKS prennent automatiquement en charge la contamination des nœuds.

Conditions préalables

• Un fournisseur AWS Identity and Access Management (IAM) OpenID Connect (OIDC) existant pour votre cluster. Pour déterminer si vous en avez déjà un ou pour en créer un, consultez Création d'un fournisseur IAM OIDC pour votre cluster.
• L'AWS CLI installée et configurée sur votre appareil ou AWS CloudShell. Pour installer la dernière version, consultez Installation, mise à jour et désinstallation de l'AWS CLI et Configuration rapide avec aws configure dans le Guide de l'utilisateur de l'interface de ligne de commande AWS. La version AWS CLI installée dans AWS CloudShell peut également être plusieurs versions inférieures à la dernière version. Pour le mettre à jour, consultez Installation de l'AWS CLI dans votre répertoire personnel dans le Guide de l'utilisateur AWS CloudShell.
• L'outil de ligne de commande kubectl est installé sur votre appareil ou sur AWS CloudShell. La version peut être identique ou jusqu'à une version mineure antérieure ou ultérieure à la version Kubernetes de votre cluster. Pour installer ou mettre à niveau kubectl , consultez Installation ou mise à jour kubectl .

Note
Un pod exécuté sur AWS Fargate monte automatiquement un système de fichiers Amazon EFS, sans avoir besoin des étapes d'installation manuelle du pilote décrites sur cette page.

Le pilote nécessite l'autorisation IAM pour communiquer avec Amazon EFS afin de gérer le volume au nom de l'utilisateur. Il existe plusieurs méthodes pour accorder l'autorisation IAM au pilote :

• Utilisation du module complémentaire EKS Pod Identity - Installez le module complémentaire EKS Pod Identity sur votre cluster EKS. Cela ne nécessite pas que le pilote efs-csi soit installé via le module complémentaire EKS, il peut être utilisé quelle que soit la méthode d'installation du pilote efs-csi. Si cette méthode d'installation est utilisée, la stratégie AmazonEFSCSIDriverPolicy doit être ajoutée au rôle IAM du groupe de nœuds du cluster.
• Utilisation du rôle IAM pour le compte de service – Créez un rôle IAM pour les comptes de service avec les autorisations requises dans iam-policy-example.json. Décommentez les annotations et placez l'ARN du rôle IAM dans le manifeste du compte de service. Pour obtenir des exemples d'étapes, consultez Créer une stratégie et un rôle IAM pour Amazon EKS.
• Utilisation du profil d'instance IAM – Accordez à tous les nœuds de travail les autorisations requises en attachant la stratégie au profil d'instance du travailleur.

Il existe plusieurs options pour déployer le pilote. Voici quelques exemples.

Cette procédure nécessite Helm V3 ou version ultérieure. Pour installer ou mettre à niveau Helm, consultez Utilisation de Helm avec Amazon EKS.

Pour installer le pilote à l'aide de Helm

1. Ajoutez le dépôt Helm.

   helm repo add aws-efs-csi-driver https://kubernetes-sigs.github.io/aws-efs-csi-driver/

2. Mettez à jour le dépôt.

   helm repo update aws-efs-csi-driver

3. Installez une version du pilote à l'aide de la charte Helm.

   helm upgrade --install aws-efs-csi-driver --namespace kube-system aws-efs-csi-driver/aws-efs-csi-driver

   Pour spécifier un référentiel d'images, ajoutez l'argument suivant. Remplacez l'adresse du référentiel par l'adresse de l'image du conteneur du cluster.

   --set image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/aws-efs-csi-driver

   Si vous avez déjà créé un compte de service en suivant Créer une stratégie et un rôle IAM pour Amazon EKS, ajoutez les arguments suivants.

   --set controller.serviceAccount.create=false 
   --set controller.serviceAccount.name=efs-csi-controller-sa

   Si vous ne disposez pas d'un accès sortant à Internet, ajoutez les arguments suivants.

   --set sidecars.livenessProbe.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/livenessprobe 
   --set sidecars.node-driver-registrar.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-node-driver-registrar 
   --set sidecars.csiProvisioner.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-provisioner

   Pour forcer le pilote Amazon EFS CSI à utiliser FIPS pour monter le système de fichiers, ajoutez l'argument suivant.

   --set useFips=true

Note
hostNetwork: true (doit être ajouté sous spécification/déploiement sur les installations Kubernetes où les métadonnées AWS ne sont pas accessibles depuis le réseau de pods. Pour corriger l'erreur suivante NoCredentialProviders: no valid providers in chain ce paramètre doit être ajouté.)

Si vous souhaitez télécharger l'image avec un manifeste, nous vous recommandons d'essayer d'abord ces étapes pour extraire les images sécurisées du registre privé Amazon ECR.

Pour installer le pilote à l'aide d'images stockées dans le registre privé Amazon ECR

1. Téléchargez le manifeste. Remplacez release-XX par la branche souhaitée. Nous vous recommandons d'utiliser la dernière version publiée. Pour obtenir la liste des branches actives, voir Branches.

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/ecr/?ref=release-2.X " > private-ecr-driver.yaml

   Note
   Si vous rencontrez un problème que vous ne parvenez pas à résoudre en ajoutant des autorisations IAM, essayez plutôt les étapes du manifeste (registre public).

2. Dans la commande suivante, remplacez region-code par la région AWS dans laquelle se trouve votre cluster. Exécutez ensuite la commande modifiée pour remplacer us-west-2 dans le fichier par votre région AWS.

   sed -i.bak -e ' s|us-west-2|region-code| ' private-ecr-driver.yaml

3. Remplacez account dans la commande suivante par le compte des registres d'images de conteneurs Amazon pour la région AWS dans laquelle se trouve votre cluster, puis exécutez la commande modifiée pour remplacer 602401143452 dans le fichier.

   sed -i.bak -e ' s|602401143452|account| ' private-ecr-driver.yaml

4. Si vous avez déjà créé un compte de service en suivant Créer une stratégie et un rôle IAM pour Amazon EKS, puis modifiez le fichier private-ecr-driver.yaml . Supprimez les lignes suivantes qui créent un compte de service Kubernetes.

    apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---
   

5. Appliquez le manifeste.

   kubectl apply -f private-ecr-driver.yaml

Dans certaines situations, vous ne pourrez peut-être pas ajouter les autorisations IAM nécessaires pour extraire du registre privé Amazon ECR. Un exemple de ce scénario est si votre principal IAM n'est pas autorisé à s'authentifier avec le compte de quelqu'un d'autre. Lorsque cela est vrai, vous pouvez utiliser le registre public Amazon ECR.

Pour installer le pilote à l'aide d'images stockées dans le registre public Amazon ECR

1. Téléchargez le manifeste. Remplacez release-XX par la branche souhaitée. Nous vous recommandons d'utiliser la dernière version publiée. Pour obtenir la liste des branches actives, voir Branches.

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.X " > public-ecr-driver.yaml

2. Si vous avez déjà créé un compte de service en suivant Créer une stratégie et un rôle IAM, modifiez le fichier public-ecr-driver.yaml . Supprimez les lignes suivantes qui créent un compte de service Kubernetes.

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---

3. Appliquez le manifeste.

   kubectl apply -f public-ecr-driver.yaml

Après avoir déployé le pilote, vous pouvez passer à ces sections :

• Créer un système de fichiers Amazon EFS pour Amazon EKS
• Exemples

L'activation du paramètre vol-metrics-opt-in active la collecte des données d'inode et d'utilisation du disque. Cette fonctionnalité, en particulier dans les scénarios avec des systèmes de fichiers plus volumineux, peut entraîner une augmentation de l'utilisation de la mémoire en raison de l'agrégation détaillée des informations du système de fichiers. Nous conseillons aux utilisateurs disposant de systèmes de fichiers à grande échelle de prendre en compte cet aspect lors de l'utilisation de cette fonctionnalité.

Si vous souhaitez mettre à jour vers la dernière version publiée :

kubectl apply -k " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " 

Si vous souhaitez mettre à jour vers une version spécifique, personnalisez d'abord le fichier yaml du pilote localement :

kubectl kustomize " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " > driver.yaml

Ensuite, mettez à jour toutes les lignes faisant référence image: amazon/aws-efs-csi-driver vers la version souhaitée (par exemple, vers image: amazon/aws-efs-csi-driver:v2.1.0 ) dans le fichier yaml et déployez le pilote yaml encore:

kubectl apply -f driver.yaml

Avant de suivre les exemples, vous devez :

• Familiarisez-vous avec la configuration de Kubernetes sur AWS et la création du système de fichiers Amazon EFS.
• Lors de la création d'un système de fichiers Amazon EFS, assurez-vous qu'il est accessible depuis le cluster Kubernetes. Cela peut être réalisé en créant le système de fichiers dans le même VPC que le cluster Kubernetes ou en utilisant l'appairage de VPC.
• Installez le pilote Amazon EFS CSI en suivant les étapes d'installation.

• Approvisionnement statique
• Approvisionnement dynamique
• Chiffrement en transit
• Accéder au système de fichiers à partir de plusieurs pods
• Consommer Amazon EFS dans StatefulSets
• Monter le sous-chemin
• Utiliser les points d'accès

• Le pilote Amazon EFS CSI prend en charge l'utilisation de botocore pour récupérer l'adresse IP de la cible de montage lorsque le nom DNS ne peut pas être résolu. Par exemple, lorsque l'utilisateur monte un système de fichiers dans un autre VPC, botocore est préinstallé sur efs-csi-driver, ce qui peut résoudre ce problème DNS.
• Conditions préalables de la politique IAM pour utiliser cette fonctionnalité :
  Autorisez elasticfilesystem:DescribeMountTargets et ec2:DescribeAvailabilityZones dans votre stratégie attachée au rôle de compte de service Amazon EKS, reportez-vous à l'exemple de stratégie ici.

• Veuillez consulter les spécifications CSI et la documentation du développeur Kubernetes CSI pour obtenir une compréhension de base du pilote CSI avant de commencer.

• Si vous êtes sur le point de mettre à jour le fichier de stratégie iam, veuillez également mettre à jour la stratégie efs dans weaveworks/eksctl https://github.com/weaveworks/eksctl/blob/main/pkg/cfn/builder/statement.go */

• Golang 1.13.4+

Les dépendances sont gérées via le module go. Pour construire le projet, activez d'abord go mod en utilisant export GO111MODULE=on , pour construire le projet, exécutez : make

Pour exécuter tous les tests unitaires, exécutez : make test

Pour extraire les journaux et dépanner le pilote, consultez dépannage/README.md.

Cette bibliothèque est sous licence Apache 2.0.