aws efs csi driver

O driver Amazon Elastic File System Container Storage Interface (CSI) implementa a especificação CSI para orquestradores de contêineres para gerenciar o ciclo de vida dos sistemas de arquivos Amazon EFS.

O driver CSI do Amazon EFS oferece suporte ao provisionamento dinâmico e ao provisionamento estático. Atualmente, o Provisionamento Dinâmico cria um ponto de acesso para cada PV. Isso significa que um sistema de arquivos Amazon EFS deve ser criado manualmente na AWS primeiro e deve ser fornecido como uma entrada para o parâmetro da classe de armazenamento. Para provisionamento estático, primeiro o sistema de arquivos do Amazon EFS precisa ser criado manualmente na AWS. Depois disso, ele pode ser montado dentro de um contêiner como um volume usando o driver.

As seguintes interfaces CSI são implementadas:

• Serviço de controlador: CreateVolume, DeleteVolume, ControllerGetCapabilities, ValidateVolumeCapabilities
• Serviço de nó: NodePublishVolume, NodeUnpublishVolume, NodeGetCapabilities, NodeGetInfo, NodeGetId, NodeGetVolumeStats
• Serviço de identidade: GetPluginInfo, GetPluginCapabilities, Probe

Observação

• O intervalo de ID do grupo Posix personalizado para o diretório raiz do ponto de acesso deve incluir os parâmetros gidRangeStart e gidRangeEnd . Esses parâmetros serão opcionais somente se ambos forem omitidos. Se você especificar um, o outro se tornará obrigatório.
• Ao usar um intervalo de ID de grupo Posix personalizado, existe a possibilidade de o driver ficar sem IDs de grupo POSIX disponíveis. Sugerimos garantir que o intervalo de IDs de grupo personalizado seja grande o suficiente ou criar uma nova classe de armazenamento com um novo sistema de arquivos para provisionar volumes adicionais.
• az no parâmetro da classe de armazenamento não deve ser confundido com a opção de montagem efs-utils az . A opção az mount é usada para montagem cross-az ou efs one zone file system mount na mesma conta aws do cluster.
• Usando o provisionamento dinâmico, a imposição da identidade do usuário é sempre aplicada.
• Quando a aplicação do usuário está habilitada, o Amazon EFS substitui os IDs de usuário e de grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos.
• O uid/gid configurado no ponto de acesso é o uid/gid especificado na classe de armazenamento, um valor no gidRangeStart-gidRangeEnd (usado como uid/gid) especificado na classe de armazenamento ou é um valor selecionado pelo driver não há uid/gid ou gidRange especificado.
• Sugerimos usar o provisionamento estático se você não quiser usar a imposição de identidade do usuário.

Se você quiser passar quaisquer outras mountOptions para o driver CSI do Amazon EFS durante a montagem, elas poderão ser transmitidas por meio do volume persistente ou dos objetos da classe de armazenamento, dependendo se o provisionamento estático ou dinâmico for usado. A seguir estão exemplos de algumas mountOptions que podem ser passadas:

• lookupcache : especifica como o kernel gerencia seu cache de entradas de diretório para um determinado ponto de montagem. O modo pode ser todos, nenhum, pos ou positivo. Cada modo possui funções diferentes e para mais informações você pode consultar este link.
• iam : use a identidade IAM do pod do nó CSI para autenticar com o Amazon EFS.

Ao usar o driver EFS CSI, esteja ciente de que a opção de montagem noresvport está habilitada por padrão. Isto significa que o cliente pode usar qualquer porta de origem disponível para comunicação, não apenas as portas reservadas.

Uma das vantagens de usar o Amazon EFS é que ele fornece criptografia em suporte de trânsito usando TLS. Usando criptografia em trânsito, os dados serão criptografados durante sua transição pela rede para o serviço Amazon EFS. Isso fornece uma camada extra de defesa profunda para aplicativos que exigem conformidade rigorosa com a segurança.

A criptografia em trânsito é habilitada por padrão na versão master branch do driver. Para desativá-lo e montar volumes usando NFSv4 simples, defina o campo volumeAttributes encryptInTransit como "false" em seu manifesto de volume persistente. Para obter um exemplo de manifesto, consulte o exemplo de criptografia em trânsito.

Observação
O Kubernetes versão 1.13 ou posterior será necessário se você estiver usando esse recurso no Kubernetes.

As seções a seguir são específicas do Kubernetes. Se você for um usuário do Kubernetes, use-o para obter recursos de driver, etapas de instalação e exemplos.

Observação
Você pode encontrar imagens de versões anteriores do efs-csi-driver aqui

• Provisionamento estático – o sistema de arquivos do Amazon EFS precisa ser criado manualmente primeiro e, em seguida, pode ser montado dentro do contêiner como um volume persistente (PV) usando o driver.
• Provisionamento dinâmico – usa uma solicitação de volume persistente (PVC) para provisionar dinamicamente um volume persistente (PV). Ao criar um PVC, o kuberenetes solicita ao Amazon EFS que crie um ponto de acesso em um sistema de arquivos que será usado para montar o PV.
• Opções de montagem - As opções de montagem podem ser especificadas no volume persistente (PV) ou na classe de armazenamento para provisionamento dinâmico para definir como o volume deve ser montado.
• Criptografia de dados em trânsito – os sistemas de arquivos do Amazon EFS são montados com criptografia em trânsito habilitada por padrão na versão da ramificação mestre do driver.
• Montagem entre contas – sistemas de arquivos do Amazon EFS de diferentes contas da AWS podem ser montados em um cluster do Amazon EKS.
• Multiarch – a imagem do driver CSI do Amazon EFS agora é multiarch no ECR

Observação
Como o Amazon EFS é um sistema de arquivos elástico, ele não impõe nenhuma capacidade do sistema de arquivos. O valor real da capacidade de armazenamento no volume persistente e na declaração de volume persistente não é usado ao criar o sistema de arquivos. No entanto, como a capacidade de armazenamento é um campo obrigatório do Kubernetes, você deve especificar o valor e pode usar qualquer valor válido para a capacidade.

Considerações

• O driver CSI do Amazon EFS não é compatível com imagens de contêiner baseadas no Windows.
• Não é possível usar o provisionamento dinâmico de volume persistente com nós do Fargate, mas você pode usar o provisionamento estático.
• O provisionamento dinâmico requer 1.2 ou posterior do driver. Você pode provisionar estaticamente volumes persistentes usando a versão 1.1 do driver em qualquer versão de cluster do Amazon EKS compatível.
• A versão 1.3.2 ou posterior deste driver oferece suporte à arquitetura Arm64, incluindo instâncias baseadas em Amazon EC2 Graviton.
• A versão 1.4.2 ou posterior deste driver oferece suporte ao uso de FIPS para montagem de sistemas de arquivos. Para obter mais informações sobre como habilitar o FIPS, consulte Helm.
• Anote as cotas de recursos do Amazon EFS. Por exemplo, há uma cota de 1.000 pontos de acesso que podem ser criados para cada sistema de arquivos do Amazon EFS. Para obter mais informações, consulte https://docs.aws.amazon.com/efs/latest/ug/limits.html#limits-efs-resources-per-account-per-region.

Existem possíveis condições de corrida na inicialização do nó (especialmente quando um nó está ingressando no cluster pela primeira vez) onde pods/processos que dependem do driver EFS CSI podem agir em um nó antes que o driver EFS CSI possa inicializar e ficar totalmente pronto. Para combater isso, o driver EFS CSI contém um recurso para remover automaticamente uma contaminação do nó na inicialização. Este recurso foi introduzido a partir da versão v1.7.2 do driver EFS CSI e da versão v2.5.2 de seu gráfico Helm. Os usuários podem contaminar seus nós quando ingressam no cluster e/ou na inicialização, para evitar que outros pods sejam executados e/ou agendados no nó antes que o driver EFS CSI fique pronto.

Este recurso é ativado por padrão e os administradores de cluster devem usar o taint efs.csi.aws.com/agent-not-ready:NoExecute (qualquer efeito funcionará, mas NoExecute é recomendado). Por exemplo, os grupos de nós gerenciados EKS oferecem suporte à contaminação automática de nós.

Pré-requisitos

• Um provedor OpenID Connect (OIDC) existente do AWS Identity and Access Management (IAM) para seu cluster. Para determinar se você já tem um ou para criar um, consulte Criando um provedor IAM OIDC para seu cluster.
• A AWS CLI instalada e configurada em seu dispositivo ou AWS CloudShell. Para instalar a versão mais recente, consulte Instalação, atualização e desinstalação da AWS CLI e Configuração rápida com aws configure no Guia do usuário do AWS Command Line Interface. A versão da AWS CLI instalada no AWS CloudShell também pode ter várias versões anteriores à versão mais recente. Para atualizá-lo, consulte Instalar a AWS CLI em seu diretório inicial no Guia do usuário do AWS CloudShell.
• A ferramenta de linha de comando kubectl está instalada no seu dispositivo ou no AWS CloudShell. A versão pode ser igual ou até uma versão secundária anterior ou posterior à versão Kubernetes do seu cluster. Para instalar ou atualizar kubectl , consulte Instalando ou atualizando kubectl .

Observação
Um pod em execução no AWS Fargate monta automaticamente um sistema de arquivos Amazon EFS, sem precisar das etapas manuais de instalação do driver descritas nesta página.

O driver requer permissão do IAM para se comunicar com o Amazon EFS para gerenciar o volume em nome do usuário. Existem vários métodos para conceder permissão IAM ao driver:

• Usando o complemento EKS Pod Identity – Instale o complemento EKS Pod Identity em seu cluster EKS. Isso não precisa que o driver efs-csi seja instalado através do complemento EKS, ele pode ser usado independentemente do método de instalação do driver efs-csi. Se esse método de instalação for usado, a política AmazonEFSCSIDriverPolicy deverá ser adicionada à função do IAM do grupo de nós do cluster.
• Usando a função do IAM para conta de serviço – Crie uma função do IAM para contas de serviço com as permissões necessárias em iam-policy-example.json. Remova o comentário das anotações e coloque o ARN da função do IAM no manifesto da conta de serviço. Para ver exemplos de etapas, consulte Criar uma política e uma função do IAM para o Amazon EKS.
• Usando o perfil de instância do IAM – conceda a todos os nós do trabalhador as permissões necessárias anexando a política ao perfil da instância do trabalhador.

Existem várias opções para implantar o driver. A seguir estão alguns exemplos.

Este procedimento requer Helm V3 ou posterior. Para instalar ou atualizar o Helm, consulte Usar o Helm com o Amazon EKS.

Para instalar o driver usando Helm

1. Adicione o repositório Helm.

   helm repo add aws-efs-csi-driver https://kubernetes-sigs.github.io/aws-efs-csi-driver/

2. Atualize o repositório.

   helm repo update aws-efs-csi-driver

3. Instale uma versão do driver usando o gráfico do Helm.

   helm upgrade --install aws-efs-csi-driver --namespace kube-system aws-efs-csi-driver/aws-efs-csi-driver

   Para especificar um repositório de imagens, adicione o argumento a seguir. Substitua o endereço do repositório pelo endereço da imagem do contêiner do cluster.

   --set image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/aws-efs-csi-driver

   Se você já criou uma conta de serviço seguindo Criar uma política e função do IAM para o Amazon EKS, adicione os argumentos a seguir.

   --set controller.serviceAccount.create=false 
   --set controller.serviceAccount.name=efs-csi-controller-sa

   Se você não tiver acesso de saída à Internet, adicione os argumentos a seguir.

   --set sidecars.livenessProbe.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/livenessprobe 
   --set sidecars.node-driver-registrar.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-node-driver-registrar 
   --set sidecars.csiProvisioner.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-provisioner

   Para forçar o driver CSI do Amazon EFS a usar FIPS para montar o sistema de arquivos, adicione o argumento a seguir.

   --set useFips=true

Observação
hostNetwork: true (deve ser adicionado em especificação/implantação em instalações do Kubernetes onde os metadados da AWS não podem ser acessados ​​pela rede do pod. Para corrigir o seguinte erro NoCredentialProviders: no valid providers in chain este parâmetro deve ser adicionado.)

Se você quiser fazer download da imagem com um manifesto, recomendamos primeiro tentar estas etapas para extrair imagens seguras do registro privado do Amazon ECR.

Para instalar o driver usando imagens armazenadas no registro privado do Amazon ECR

1. Baixe o manifesto. Substitua release-XX pelo branch desejado. Recomendamos usar a versão mais recente lançada. Para obter uma lista de filiais ativas, consulte Filiais.

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/ecr/?ref=release-2.X " > private-ecr-driver.yaml

   Observação
   Se você encontrar um problema que não consegue resolver adicionando permissões do IAM, tente as etapas do Manifesto (registro público).

2. No comando a seguir, substitua region-code pela região da AWS em que seu cluster está. Em seguida, execute o comando modificado para substituir us-west-2 no arquivo pela sua região da AWS.

   sed -i.bak -e ' s|us-west-2|region-code| ' private-ecr-driver.yaml

3. Substitua account no comando a seguir pela conta dos registros de imagem de contêiner da Amazon para a região da AWS em que seu cluster está e execute o comando modificado para substituir 602401143452 no arquivo.

   sed -i.bak -e ' s|602401143452|account| ' private-ecr-driver.yaml

4. Se você já criou uma conta de serviço seguindo Criar uma política e função do IAM para o Amazon EKS, edite o arquivo private-ecr-driver.yaml . Remova as linhas a seguir que criam uma conta de serviço Kubernetes.

    apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---
   

5. Aplique o manifesto.

   kubectl apply -f private-ecr-driver.yaml

Em algumas situações, talvez você não consiga adicionar as permissões necessárias do IAM para extrair do registro privado do Amazon ECR. Um exemplo desse cenário é se o principal do IAM não tiver permissão para se autenticar na conta de outra pessoa. Quando isso for verdade, você poderá usar o registro público do Amazon ECR.

Para instalar o driver usando imagens armazenadas no registro público do Amazon ECR

1. Baixe o manifesto. Substitua release-XX pelo branch desejado. Recomendamos usar a versão mais recente lançada. Para obter uma lista de filiais ativas, consulte Filiais.

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.X " > public-ecr-driver.yaml

2. Se você já criou uma conta de serviço seguindo Criar uma política e função do IAM, edite o arquivo public-ecr-driver.yaml . Remova as linhas a seguir que criam uma conta de serviço Kubernetes.

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---

3. Aplique o manifesto.

   kubectl apply -f public-ecr-driver.yaml

Depois de implantar o driver, você pode prosseguir para estas seções:

• Crie um sistema de arquivos do Amazon EFS para o Amazon EKS
• Exemplos

Habilitar o parâmetro vol-metrics-opt-in ativa a coleta de dados de inode e de uso de disco. Essa funcionalidade, especialmente em cenários com sistemas de arquivos maiores, pode resultar em um aumento no uso de memória devido à agregação detalhada das informações do sistema de arquivos. Aconselhamos os usuários com sistemas de arquivos de grande escala a considerar esse aspecto ao utilizar esse recurso.

Se você deseja atualizar para a versão mais recente lançada:

kubectl apply -k " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " 

Se você deseja atualizar para uma versão específica, primeiro personalize o arquivo yaml do driver localmente:

kubectl kustomize " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " > driver.yaml

Em seguida, atualize todas as linhas que fazem referência image: amazon/aws-efs-csi-driver para a versão desejada (por exemplo, para image: amazon/aws-efs-csi-driver:v2.1.0 ) no arquivo yaml e implante o driver yaml de novo:

kubectl apply -f driver.yaml

Antes de seguir os exemplos, você precisa:

• Familiarize-se com como configurar o Kubernetes na AWS e como criar o sistema de arquivos Amazon EFS.
• Ao criar um sistema de arquivos do Amazon EFS, certifique-se de que ele esteja acessível no cluster Kubernetes. Isso pode ser conseguido criando o sistema de arquivos dentro da mesma VPC do cluster Kubernetes ou usando peering de VPC.
• Instale o driver CSI do Amazon EFS seguindo as etapas de instalação.

• Provisionamento estático
• Provisionamento dinâmico
• Criptografia em trânsito
• Acessando o sistema de arquivos de vários pods
• Consumir Amazon EFS em StatefulSets
• Montar subcaminho
• Use pontos de acesso

• O driver CSI do Amazon EFS oferece suporte ao uso do botocore para recuperar o endereço IP do ponto de montagem quando o nome DNS não pode ser resolvido, por exemplo, quando o usuário está montando um sistema de arquivos em outro VPC, o botocore vem pré-instalado no driver efs-csi, que pode resolver esse problema de DNS.
• Pré-requisitos da política IAM para usar este recurso:
  Permita elasticfilesystem:DescribeMountTargets e ec2:DescribeAvailabilityZones em sua política anexada à função de conta de serviço do Amazon EKS. Consulte o exemplo de política aqui.

• Consulte a documentação do desenvolvedor CSI Spec e Kubernetes CSI para obter um entendimento básico do driver CSI antes de começar.

• Se você estiver prestes a atualizar o arquivo de política iam, atualize também a política efs em weaveworks/eksctl https://github.com/weaveworks/eksctl/blob/main/pkg/cfn/builder/statement.go */

• Golang 1.13.4+

As dependências são gerenciadas através do módulo go. Para construir o projeto, primeiro ative o go mod usando export GO111MODULE=on , para construir o projeto execute: make

Para executar todos os testes unitários, execute: make test

Para obter registros e solucionar problemas do driver, consulte Troubleshooting/README.md.

Esta biblioteca está licenciada sob a licença Apache 2.0.