aws efs csi driver

Amazon Elastic File System CSI(컨테이너 스토리지 인터페이스) 드라이버는 Amazon EFS 파일 시스템의 수명 주기를 관리하기 위해 컨테이너 오케스트레이터에 대한 CSI 사양을 구현합니다.

Amazon EFS CSI 드라이버는 동적 프로비저닝과 정적 프로비저닝을 지원합니다. 현재 Dynamic Provisioning은 각 PV에 대한 액세스 포인트를 생성합니다. 이는 Amazon EFS 파일 시스템이 먼저 AWS에서 수동으로 생성되어야 하며 스토리지 클래스 매개변수에 대한 입력으로 제공되어야 함을 의미합니다. 정적 프로비저닝의 경우 먼저 AWS에서 Amazon EFS 파일 시스템을 수동으로 생성해야 합니다. 그런 다음 드라이버를 사용하여 컨테이너 내부에 볼륨으로 마운트할 수 있습니다.

다음 CSI 인터페이스가 구현됩니다.

• 컨트롤러 서비스: CreateVolume, DeleteVolume, ControllerGetCapabilities, ValidateVolumeCapabilities
• 노드 서비스: NodePublishVolume, NodeUnpublishVolume, NodeGetCapability, NodeGetInfo, NodeGetId, NodeGetVolumeStats
• ID 서비스: GetPluginInfo, GetPluginCapability, 프로브

메모

• 액세스 포인트 루트 디렉토리의 사용자 정의 Posix 그룹 ID 범위에는 gidRangeStart 및 gidRangeEnd 매개변수가 모두 포함되어야 합니다. 이러한 매개변수는 둘 다 생략된 경우에만 선택사항입니다. 하나를 지정하면 다른 하나는 필수가 됩니다.
• 사용자 정의 Posix 그룹 ID 범위를 사용하는 경우 드라이버에서 사용 가능한 POSIX 그룹 ID가 부족할 가능성이 있습니다. 사용자 정의 그룹 ID 범위가 충분히 큰지 확인하거나 추가 볼륨을 프로비저닝하기 위해 새 파일 시스템으로 새 스토리지 클래스를 생성하는 것이 좋습니다.
• 스토리지 클래스 매개변수 아래의 az efs-utils 탑재 옵션 az 와 혼동하지 마세요. az mount 옵션은 클러스터와 동일한 aws 계정 내에서 cross-az mount 또는 efs 단일 영역 파일 시스템 마운트에 사용됩니다.
• 동적 프로비저닝을 사용하면 사용자 ID 적용이 항상 적용됩니다.
• 사용자 적용이 활성화되면 Amazon EFS는 NFS 클라이언트의 사용자 및 그룹 ID를 모든 파일 시스템 작업에 대해 액세스 포인트에 구성된 자격 증명으로 바꿉니다.
• 액세스 포인트에 구성된 uid/gid는 스토리지 클래스에 지정된 uid/gid이거나 스토리지 클래스에 지정된 gidRangeStart-gidRangeEnd(uid/gid로 모두 사용됨)의 값이거나 드라이버에서 선택한 값입니다. uid/gid가 없거나 gidRange가 지정되었습니다.
• 사용자 ID 시행을 사용하지 않으려면 정적 프로비저닝을 사용하는 것이 좋습니다.

탑재하는 동안 Amazon EFS CSI 드라이버에 다른 mountOptions를 전달하려는 경우 정적 또는 동적 프로비저닝이 사용되는지 여부에 따라 영구 볼륨 또는 스토리지 클래스 객체를 통해 전달할 수 있습니다. 다음은 전달할 수 있는 일부 mountOptions의 예입니다.

• lookupcache : 커널이 특정 마운트 지점에 대한 디렉터리 항목 캐시를 관리하는 방법을 지정합니다. 모드는 모두, 없음, pos 또는 양수 중 하나일 수 있습니다. 각 모드에는 서로 다른 기능이 있으며 자세한 내용은 이 링크를 참조하세요.
• iam : CSI 노드 포드의 IAM 자격 증명을 사용하여 Amazon EFS에 인증합니다.

EFS CSI 드라이버를 사용하는 경우 noresvport 마운트 옵션이 기본적으로 활성화되어 있다는 점에 유의하세요. 이는 클라이언트가 예약된 포트뿐만 아니라 사용 가능한 모든 소스 포트를 통신에 사용할 수 있음을 의미합니다.

Amazon EFS 사용의 장점 중 하나는 TLS를 사용하여 전송 중 암호화 지원을 제공한다는 것입니다. 전송 중 암호화를 사용하면 데이터가 네트워크를 통해 Amazon EFS 서비스로 전환되는 동안 암호화됩니다. 이는 엄격한 보안 규정 준수가 필요한 애플리케이션에 대한 추가 심층 방어 계층을 제공합니다.

전송 중 암호화는 드라이버의 마스터 분기 버전에서 기본적으로 활성화됩니다. 이를 비활성화하고 일반 NFSv4를 사용하여 볼륨을 마운트하려면 영구 볼륨 매니페스트에서 volumeAttributes 필드 encryptInTransit "false" 로 설정합니다. 매니페스트 예시는 전송 중 암호화 예시를 참조하세요.

메모
Kubernetes에서 이 기능을 사용하려면 Kubernetes 버전 1.13 이상이 필요합니다.

다음 섹션은 Kubernetes에만 적용됩니다. Kubernetes 사용자인 경우 드라이버 기능, 설치 단계 및 예제를 위해 이를 사용하세요.

메모
여기에서 이전 efs-csi-driver 버전의 이미지를 찾을 수 있습니다.

• 정적 프로비저닝 - Amazon EFS 파일 시스템을 먼저 수동으로 생성해야 하며, 그런 다음 드라이버를 사용하여 컨테이너 내에 영구 볼륨(PV)으로 탑재할 수 있습니다.
• 동적 프로비저닝 - 영구 볼륨 클레임(PVC)을 사용하여 영구 볼륨(PV)을 동적으로 프로비저닝합니다. PVC 생성 시 kuberenetes는 Amazon EFS에 PV를 탑재하는 데 사용할 파일 시스템에 액세스 포인트를 생성하도록 요청합니다.
• 탑재 옵션 - 볼륨 탑재 방법을 정의하기 위해 동적 프로비저닝을 위한 영구 볼륨(PV) 또는 스토리지 클래스에 탑재 옵션을 지정할 수 있습니다.
• 전송 중 데이터 암호화 - Amazon EFS 파일 시스템은 드라이버의 마스터 브랜치 버전에서 기본적으로 활성화된 전송 중 암호화를 사용하여 탑재됩니다.
• 교차 계정 마운트 - 다른 aws 계정의 Amazon EFS 파일 시스템을 Amazon EKS 클러스터에서 마운트할 수 있습니다.
• 멀티아크 - Amazon EFS CSI 드라이버 이미지는 이제 ECR에서 멀티아크입니다.

메모
Amazon EFS는 탄력적 파일 시스템이므로 파일 시스템 용량을 실제로 적용하지 않습니다. 영구 볼륨 및 영구 볼륨 청구의 실제 저장 용량 값은 파일 시스템 생성 시 사용되지 않습니다. 하지만 스토리지 용량은 Kubernetes의 필수 필드이므로 값을 지정해야 하며 용량에 대해 유효한 값을 사용할 수 있습니다.

고려사항

• Amazon EFS CSI 드라이버는 Windows 기반 컨테이너 이미지와 호환되지 않습니다.
• Fargate 노드에서는 동적 영구 볼륨 프로비저닝을 사용할 수 없지만 정적 프로비저닝은 사용할 수 있습니다.
• 동적 프로비저닝에는 1.2 이상의 드라이버가 필요합니다. 지원되는 모든 Amazon EKS 클러스터 버전에서 드라이버 버전 1.1 사용하여 영구 볼륨을 정적으로 프로비저닝할 수 있습니다.
• 이 드라이버 버전 1.3.2 이상은 Amazon EC2 Graviton 기반 인스턴스를 포함하여 Arm64 아키텍처를 지원합니다.
• 이 드라이버 버전 1.4.2 이상에서는 파일 시스템 마운트에 FIPS 사용을 지원합니다. FIPS를 활성화하는 방법에 대한 자세한 내용은 Helm을 참조하세요.
• Amazon EFS의 리소스 할당량을 기록해 두십시오. 예를 들어 각 Amazon EFS 파일 시스템에 대해 생성할 수 있는 액세스 포인트 할당량은 1000개입니다. 자세한 내용은 https://docs.aws.amazon.com/efs/latest/ug/limits.html#limits-efs-resources-per-account-per-region을 참조하십시오.

EFS CSI 드라이버가 시작되어 완전히 준비되기 전에 EFS CSI 드라이버를 사용하는 포드/프로세스가 노드에서 작동할 수 있는 노드 시작 시(특히 노드가 처음 클러스터에 참여할 때) 잠재적인 경쟁 조건이 있습니다. 이 문제를 해결하기 위해 EFS CSI 드라이버에는 시작 시 노드에서 오염을 자동으로 제거하는 기능이 포함되어 있습니다. 이 기능은 EFS CSI 드라이버 버전 v1.7.2와 Helm 차트 버전 v2.5.2에서 도입되었습니다. 사용자는 EFS CSI 드라이버가 준비되기 전에 노드에서 다른 포드가 실행 및/또는 예약되는 것을 방지하기 위해 클러스터에 가입하거나 시작할 때 노드를 오염시킬 수 있습니다.

이 기능은 기본적으로 활성화되며 클러스터 관리자는 taint efs.csi.aws.com/agent-not-ready:NoExecute 를 사용해야 합니다(모든 효과는 작동하지만 NoExecute 권장됨). 예를 들어 EKS 관리형 노드 그룹은 자동으로 노드 오염을 지원합니다.

전제 조건

• 클러스터에 대한 기존 AWS Identity and Access Management(IAM) OpenID Connect(OIDC) 공급자. 이미 가지고 있는지 확인하거나 새로 생성하려면 클러스터에 대한 IAM OIDC 공급자 생성을 참조하십시오.
• 장치 또는 AWS CloudShell에 설치 및 구성된 AWS CLI. 최신 버전을 설치하려면 AWS Command Line Interface 사용 설명서에서 AWS CLI 설치, 업데이트 및 제거와 aws configure 사용한 빠른 구성을 참조하십시오. AWS CloudShell에 설치된 AWS CLI 버전은 최신 버전보다 여러 버전이 뒤떨어져 있을 수도 있습니다. 업데이트하려면 AWS CloudShell 사용 설명서의 홈 디렉터리에 AWS CLI 설치를 참조하십시오.
• kubectl 명령줄 도구는 장치 또는 AWS CloudShell에 설치됩니다. 버전은 클러스터의 Kubernetes 버전과 같거나 최대 1개의 마이너 버전 이전 또는 이후 버전일 수 있습니다. kubectl 설치하거나 업그레이드하려면 kubectl 설치 또는 업데이트를 참조하세요.

메모
AWS Fargate에서 실행되는 포드는 이 페이지에 설명된 수동 드라이버 설치 단계 없이 Amazon EFS 파일 시스템을 자동으로 탑재합니다.

드라이버가 사용자를 대신하여 볼륨을 관리하기 위해 Amazon EFS와 통신하려면 IAM 권한이 필요합니다. 드라이버 IAM 권한을 부여하는 방법에는 여러 가지가 있습니다.

• EKS 포드 ID 추가 기능 사용 - EKS 클러스터에 EKS 포드 ID 추가 기능을 설치합니다. EKS 추가 기능을 통해 efs-csi-driver를 설치할 필요가 없으며 efs-csi-driver 설치 방법에 관계없이 사용할 수 있습니다. 이 설치 방법을 사용하는 경우 AmazonEFSCSIDriverPolicy 정책을 클러스터 노드 그룹의 IAM 역할에 추가해야 합니다.
• 서비스 계정에 대한 IAM 역할 사용 – iam-policy-example.json에서 필요한 권한이 있는 서비스 계정에 대한 IAM 역할을 생성합니다. 주석의 주석 처리를 제거하고 IAM 역할 ARN을 서비스 계정 매니페스트에 넣습니다. 예제 단계는 Amazon EKS에 대한 IAM 정책 및 역할 생성을 참조하십시오.
• IAM 인스턴스 프로필 사용 – 작업자의 인스턴스 프로필에 정책을 연결하여 필요한 권한이 있는 모든 작업자 노드를 부여합니다.

드라이버 배포에는 여러 가지 옵션이 있습니다. 다음은 몇 가지 예입니다.

이 절차에는 Helm V3 이상이 필요합니다. Helm을 설치하거나 업그레이드하려면 Amazon EKS와 함께 Helm 사용을 참조하십시오.

Helm을 사용하여 드라이버를 설치하려면

1. Helm 저장소를 추가합니다.

   helm repo add aws-efs-csi-driver https://kubernetes-sigs.github.io/aws-efs-csi-driver/

2. 저장소를 업데이트하세요.

   helm repo update aws-efs-csi-driver

3. Helm 차트를 사용하여 드라이버 릴리스를 설치합니다.

   helm upgrade --install aws-efs-csi-driver --namespace kube-system aws-efs-csi-driver/aws-efs-csi-driver

   이미지 저장소를 지정하려면 다음 인수를 추가하세요. 저장소 주소를 클러스터의 컨테이너 이미지 주소로 바꿉니다.

   --set image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/aws-efs-csi-driver

   Amazon EKS에 대한 IAM 정책 및 역할 생성에 따라 서비스 계정을 이미 생성한 경우 다음 인수를 추가합니다.

   --set controller.serviceAccount.create=false 
   --set controller.serviceAccount.name=efs-csi-controller-sa

   인터넷에 대한 아웃바운드 액세스 권한이 없으면 다음 인수를 추가하십시오.

   --set sidecars.livenessProbe.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/livenessprobe 
   --set sidecars.node-driver-registrar.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-node-driver-registrar 
   --set sidecars.csiProvisioner.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-provisioner

   Amazon EFS CSI 드라이버가 파일 시스템 탑재에 FIPS를 사용하도록 하려면 다음 인수를 추가합니다.

   --set useFips=true

메모
hostNetwork: true (팟 네트워크에서 AWS 메타데이터에 접근할 수 없는 kubernetes 설치의 사양/배포 아래에 추가해야 합니다. 다음 오류 NoCredentialProviders: no valid providers in chain 을 수정하려면 이 매개변수를 추가해야 합니다.)

매니페스트가 포함된 이미지를 다운로드하려면 먼저 다음 단계를 시도하여 프라이빗 Amazon ECR 레지스트리에서 보안 이미지를 가져오는 것이 좋습니다.

프라이빗 Amazon ECR 레지스트리에 저장된 이미지를 사용하여 드라이버를 설치하려면

1. 매니페스트를 다운로드합니다. release-XX 원하는 분기로 바꾸십시오. 최신 릴리스 버전을 사용하는 것이 좋습니다. 활성 분기 목록은 분기를 참조하세요.

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/ecr/?ref=release-2.X " > private-ecr-driver.yaml

   메모
   IAM 권한을 추가하여 해결할 수 없는 문제가 발생하는 경우 대신 매니페스트(공용 레지스트리) 단계를 시도해 보세요.

2. 다음 명령에서 region-code 클러스터가 있는 AWS 지역으로 바꿉니다. 그런 다음 수정된 명령을 실행하여 파일의 us-west-2 AWS 지역으로 바꿉니다.

   sed -i.bak -e ' s|us-west-2|region-code| ' private-ecr-driver.yaml

3. 다음 명령의 account 클러스터가 있는 AWS 리전에 대한 Amazon 컨테이너 이미지 레지스트리의 계정으로 바꾼 다음 수정된 명령을 실행하여 파일의 602401143452 바꿉니다.

   sed -i.bak -e ' s|602401143452|account| ' private-ecr-driver.yaml

4. Amazon EKS에 대한 IAM 정책 및 역할 생성에 따라 서비스 계정을 이미 생성한 경우 private-ecr-driver.yaml 파일을 편집합니다. Kubernetes 서비스 계정을 생성하는 다음 줄을 제거합니다.

    apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---
   

5. 매니페스트를 적용합니다.

   kubectl apply -f private-ecr-driver.yaml

상황에 따라 프라이빗 Amazon ECR 레지스트리에서 가져오는 데 필요한 IAM 권한을 추가하지 못할 수도 있습니다. 이 시나리오의 한 가지 예는 IAM 주체가 다른 사람의 계정으로 인증할 수 없는 경우입니다. 이것이 사실이라면 퍼블릭 Amazon ECR 레지스트리를 사용할 수 있습니다.

퍼블릭 Amazon ECR 레지스트리에 저장된 이미지를 사용하여 드라이버를 설치하려면

1. 매니페스트를 다운로드합니다. release-XX 원하는 분기로 바꾸십시오. 최신 릴리스 버전을 사용하는 것이 좋습니다. 활성 분기 목록은 분기를 참조하세요.

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.X " > public-ecr-driver.yaml

2. IAM 정책 및 역할 생성에 따라 서비스 계정을 이미 생성한 경우 public-ecr-driver.yaml 파일을 편집합니다. Kubernetes 서비스 계정을 생성하는 다음 줄을 제거합니다.

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---

3. 매니페스트를 적용합니다.

   kubectl apply -f public-ecr-driver.yaml

드라이버를 배포한 후 다음 섹션을 계속할 수 있습니다.

• Amazon EKS용 Amazon EFS 파일 시스템 생성
• 예

vol-metrics-opt-in 매개변수를 활성화하면 inode 및 디스크 사용량 데이터 수집이 활성화됩니다. 특히 대규모 파일 시스템이 있는 시나리오에서는 이 기능을 사용하면 파일 시스템 정보의 상세한 집계로 인해 메모리 사용량이 증가할 수 있습니다. 대규모 파일 시스템을 사용하는 사용자는 이 기능을 활용할 때 이 측면을 고려하는 것이 좋습니다.

최신 릴리스 버전으로 업데이트하려는 경우:

kubectl apply -k " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " 

특정 버전으로 업데이트하려면 먼저 드라이버 yaml 파일을 로컬에서 사용자 지정하세요.

kubectl kustomize " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " > driver.yaml

그런 다음 yaml 파일에서 image: amazon/aws-efs-csi-driver 참조하는 모든 줄을 원하는 버전(예: image: amazon/aws-efs-csi-driver:v2.1.0 )으로 업데이트하고 드라이버 yaml을 배포합니다. 다시:

kubectl apply -f driver.yaml

예제를 따르기 전에 다음을 수행해야 합니다.

• AWS에서 Kubernetes를 설정하는 방법과 Amazon EFS 파일 시스템을 생성하는 방법을 익히십시오.
• Amazon EFS 파일 시스템을 생성할 때 Kubernetes 클러스터에서 액세스할 수 있는지 확인하십시오. 이는 Kubernetes 클러스터와 동일한 VPC 내에 파일 시스템을 생성하거나 VPC 피어링을 사용하여 달성할 수 있습니다.
• 설치 단계에 따라 Amazon EFS CSI 드라이버를 설치합니다.

• 정적 프로비저닝
• 동적 프로비저닝
• 전송 중 암호화
• 여러 포드에서 파일 시스템에 액세스
• StatefulSet에서 Amazon EFS 사용
• 마운트 하위 경로
• 액세스 포인트 사용

• Amazon EFS CSI 드라이버는 DNS 이름을 확인할 수 없을 때 botocore를 사용하여 탑재 대상 IP 주소를 검색하도록 지원합니다. 예를 들어 사용자가 다른 VPC에 파일 시스템을 탑재하는 경우 botocore는 이 DNS 문제를 해결할 수 있는 efs-csi-driver에 사전 설치되어 제공됩니다.
• 이 기능을 사용하기 위한 IAM 정책 전제 조건은 다음과 같습니다.
  Amazon EKS 서비스 계정 역할에 연결된 정책에서 elasticfilesystem:DescribeMountTargets 및 ec2:DescribeAvailabilityZones 작업을 허용합니다. 여기에서 예제 정책을 참조하세요.

• 시작하기 전에 CSI 사양 및 Kubernetes CSI 개발자 문서를 통해 CSI 드라이버에 대한 기본적인 이해를 얻으세요.

• iam 정책 파일을 업데이트하려는 경우 weaveworks/eksctl https://github.com/weaveworks/eksctl/blob/main/pkg/cfn/builder/statement.go */에서 efs 정책도 업데이트하세요.

• 골랭 1.13.4+

종속성은 go 모듈을 통해 관리됩니다. 프로젝트를 빌드하려면 먼저 export GO111MODULE=on 사용하여 go mod를 켜고 프로젝트를 빌드하려면 다음을 실행 make .

모든 단위 테스트를 실행하려면 다음을 실행하세요. make test

로그를 가져와 드라이버 문제를 해결하려면 문제 해결/README.md를 참조하세요.

이 라이브러리는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다.