aws efs csi driver

Драйвер интерфейса хранилища контейнеров Amazon Elastic File System (CSI) реализует спецификацию CSI для оркестраторов контейнеров для управления жизненным циклом файловых систем Amazon EFS.

Драйвер Amazon EFS CSI поддерживает динамическую и статическую подготовку. В настоящее время Dynamic Provisioning создает точку доступа для каждого PV. Это означает, что файловую систему Amazon EFS необходимо сначала создать на AWS вручную и указать в качестве входных данных для параметра класса хранилища. Для статической подготовки файловую систему Amazon EFS необходимо сначала создать на AWS вручную. После этого его можно смонтировать внутри контейнера как том с помощью драйвера.

Реализованы следующие интерфейсы CSI:

• Служба контроллера: CreateVolume, DeleteVolume, ControllerGetCapabilities, ValidateVolumeCapabilities.
• Служба узла: NodePublishVolume, NodeUnpublishVolume, NodeGetCapabilities, NodeGetInfo, NodeGetId, NodeGetVolumeStats
• Служба идентификации: GetPluginInfo, GetPluginCapabilities, Probe

Примечание

• Пользовательский диапазон идентификаторов группы Posix для корневого каталога точки доступа должен включать параметры gidRangeStart и gidRangeEnd . Эти параметры являются необязательными, только если оба опущены. Если вы укажете одно, другое станет обязательным.
• При использовании пользовательского диапазона идентификаторов групп Posix существует вероятность того, что драйверу не хватит доступных идентификаторов групп POSIX. Мы предлагаем убедиться, что диапазон идентификаторов настраиваемой группы достаточно велик, или создать новый класс хранилища с новой файловой системой для предоставления дополнительных томов.
• az в параметре класса хранилища не путать с параметром монтирования efs-utils az . Параметр az mount используется для монтирования между az или для монтирования файловой системы одной зоны efs в пределах той же учетной записи aws, что и кластер.
• При использовании динамической подготовки всегда применяется принудительное использование идентификационных данных пользователя.
• Если принудительное использование пользователей включено, Amazon EFS заменяет идентификаторы пользователя и группы клиента NFS идентификаторами, настроенными в точке доступа для всех операций с файловой системой.
• uid/gid, настроенный в точке доступа, — это либо uid/gid, указанный в классе хранения, либо значение в gidRangeStart-gidRangeEnd (используется как uid/gid), указанное в классе хранения, либо значение, выбранное драйвером. не указан uid/gid или gidRange.
• Мы предлагаем использовать статическую подготовку, если вы не хотите использовать принудительное использование идентификационных данных пользователя.

Если вы хотите передать какие-либо другие параметры mountOptions драйверу Amazon EFS CSI во время монтирования, их можно передать через объекты Persistent Volume или Storage Class, в зависимости от того, используется ли статическая или динамическая подготовка. Ниже приведены примеры некоторых параметров mountOptions, которые можно передать:

• Lookupcache : определяет, как ядро ​​управляет кэшем записей каталога для данной точки монтирования. Режим может быть «один из всех», «нет», «позитивный» или «положительный». Каждый режим имеет разные функции, и для получения дополнительной информации вы можете обратиться по этой ссылке.
• iam : используйте идентификатор IAM модуля CSI Node Pod для аутентификации в Amazon EFS.

При использовании драйвера EFS CSI имейте в виду, что опция монтирования noresvport включена по умолчанию. Это означает, что клиент может использовать для связи любой доступный исходный порт, а не только зарезервированные порты.

Одним из преимуществ использования Amazon EFS является то, что он обеспечивает поддержку шифрования при передаче с использованием TLS. Используя шифрование при передаче, данные будут зашифрованы во время передачи по сети в сервис Amazon EFS. Это обеспечивает дополнительный уровень глубокоэшелонированной защиты для приложений, требующих строгого соблюдения требований безопасности.

Шифрование при передаче включено по умолчанию в версии драйвера основной ветки. Чтобы отключить его и смонтировать тома с помощью обычного NFSv4, установите для поля volumeAttributes encryptInTransit значение "false" в манифесте постоянного тома. Пример манифеста см. в примере шифрования при передаче.

Примечание
Если вы используете эту функцию в Kubernetes, требуется Kubernetes версии 1.13 или новее.

Следующие разделы относятся только к Kubernetes. Если вы являетесь пользователем Kubernetes, используйте это для информации о функциях драйвера, этапах установки и примерах.

Примечание
Вы можете найти изображения предыдущих версий efs-csi-driver здесь.

• Статическая подготовка: файловую систему Amazon EFS необходимо сначала создать вручную, а затем ее можно будет смонтировать внутри контейнера как постоянный том (PV) с помощью драйвера.
• Динамическая подготовка — использует заявку постоянного тома (PVC) для динамической подготовки постоянного тома (PV). При создании PVC kuberenetes запрашивает Amazon EFS для создания точки доступа в файловой системе, которая будет использоваться для монтирования PV.
• Параметры монтирования. Параметры монтирования можно указать в постоянном томе (PV) или классе хранилища для динамической подготовки, чтобы определить, как следует монтировать том.
• Шифрование передаваемых данных. Файловые системы Amazon EFS монтируются с включенным по умолчанию шифрование при передаче в версии драйвера основной ветки.
• Подключение к нескольким учетным записям. Файловые системы Amazon EFS из разных учетных записей aws можно подключить из кластера Amazon EKS.
• Мультиархивность: образ драйвера Amazon EFS CSI теперь является мультиархивным в ECR.

Примечание
Поскольку Amazon EFS — это эластичная файловая система, она на самом деле не требует какой-либо емкости файловой системы. Фактическое значение емкости хранилища в постоянном томе и заявке на постоянный том не используется при создании файловой системы. Однако, поскольку емкость хранилища является обязательным полем для Kubernetes, вы должны указать значение и можете использовать любое допустимое значение для емкости.

Соображения

• Драйвер Amazon EFS CSI несовместим с образами контейнеров на базе Windows.
• Вы не можете использовать динамическую подготовку постоянных томов с узлами Fargate, но можете использовать статическую подготовку.
• Для динамической подготовки требуется драйвер 1.2 или более поздней. Вы можете статически выделять постоянные тома с помощью драйвера версии 1.1 в любой поддерживаемой версии кластера Amazon EKS.
• Версия 1.3.2 или более поздняя версия этого драйвера поддерживает архитектуру Arm64, включая экземпляры Amazon EC2 Graviton.
• Версия 1.4.2 или более поздняя версия этого драйвера поддерживает использование FIPS для монтирования файловых систем. Дополнительные сведения о том, как включить FIPS, см. в Helm.
• Обратите внимание на квоты ресурсов для Amazon EFS. Например, для каждой файловой системы Amazon EFS можно создать квоту в 1000 точек доступа. Дополнительную информацию см. на странице https://docs.aws.amazon.com/efs/latest/ug/limits.html#limits-efs-resources-per-account-per-region.

При запуске узла (особенно когда узел впервые присоединяется к кластеру) возникают потенциальные условия гонки, когда модули/процессы, использующие драйвер EFS CSI, могут действовать на узле до того, как драйвер EFS CSI сможет запуститься и стать полностью готовым. Чтобы бороться с этим, драйвер EFS CSI содержит функцию автоматического удаления порчи с узла при запуске. Эта функция была представлена ​​в версии v1.7.2 драйвера EFS CSI и версии v2.5.2 его диаграммы Helm. Пользователи могут испортить свои узлы при присоединении к кластеру и/или при запуске, чтобы предотвратить запуск и/или планирование других модулей на узле до того, как драйвер EFS CSI будет готов.

Эта функция активирована по умолчанию, и администраторам кластера следует использовать taint efs.csi.aws.com/agent-not-ready:NoExecute (любой эффект будет работать, но рекомендуется NoExecute ). Например, группы управляемых узлов EKS поддерживают автоматическое изменение узлов.

Предварительные условия

• Существующий поставщик AWS Identity and Access Management (IAM) OpenID Connect (OIDC) для вашего кластера. Чтобы определить, есть ли он у вас или создать его, см. раздел Создание поставщика IAM OIDC для вашего кластера.
• Интерфейс командной строки AWS установлен и настроен на вашем устройстве или в AWS CloudShell. Чтобы установить последнюю версию, см. разделы «Установка, обновление и удаление интерфейса командной строки AWS» и «Быстрая настройка с помощью aws configure в Руководстве пользователя интерфейса командной строки AWS. Версия AWS CLI, установленная в AWS CloudShell, также может на несколько версий отставать от последней версии. Чтобы обновить его, см. раздел «Установка AWS CLI в домашний каталог» Руководства пользователя AWS CloudShell.
• Инструмент командной строки kubectl установлен на вашем устройстве или в AWS CloudShell. Версия может совпадать с версией Kubernetes вашего кластера или быть на одну дополнительную версию более ранней или более поздней. Чтобы установить или обновить kubectl , см. раздел Установка или обновление kubectl .

Примечание
Под, работающий на AWS Fargate, автоматически монтирует файловую систему Amazon EFS без необходимости ручной установки драйвера, описанной на этой странице.

Драйверу требуется разрешение IAM для взаимодействия с Amazon EFS и управления томом от имени пользователя. Существует несколько способов предоставить драйверу разрешение IAM:

• Использование надстройки EKS Pod Identity. Установите надстройку EKS Pod Identity в свой кластер EKS. Для этого не требуется установка драйвера efs-csi через надстройку EKS, его можно использовать независимо от метода установки драйвера efs-csi. Если используется этот метод установки, политику AmazonEFSCSIDriverPolicy необходимо добавить в роль IAM группы узлов кластера.
• Использование роли IAM для учетной записи службы. Создайте роль IAM для учетных записей службы с необходимыми разрешениями в iam-policy-example.json. Раскомментируйте аннотации и поместите роль IAM ARN в манифест учетной записи службы. Примеры действий см. в разделе Создание политики и роли IAM для Amazon EKS.
• Использование профиля экземпляра IAM. Предоставьте всем рабочим узлам необходимые разрешения, прикрепив политику к профилю экземпляра рабочего.

Существует несколько вариантов развертывания драйвера. Ниже приведены некоторые примеры.

Для этой процедуры требуется Helm V3 или новее. Чтобы установить или обновить Helm, см. раздел Использование Helm с Amazon EKS.

Чтобы установить драйвер с помощью Helm

1. Добавьте репозиторий Helm.

   helm repo add aws-efs-csi-driver https://kubernetes-sigs.github.io/aws-efs-csi-driver/

2. Обновите репо.

   helm repo update aws-efs-csi-driver

3. Установите версию драйвера, используя диаграмму Helm.

   helm upgrade --install aws-efs-csi-driver --namespace kube-system aws-efs-csi-driver/aws-efs-csi-driver

   Чтобы указать репозиторий изображений, добавьте следующий аргумент. Замените адрес репозитория адресом образа контейнера кластера.

   --set image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/aws-efs-csi-driver

   Если вы уже создали учетную запись службы, следуя инструкциям по созданию политики и роли IAM для Amazon EKS, добавьте следующие аргументы.

   --set controller.serviceAccount.create=false 
   --set controller.serviceAccount.name=efs-csi-controller-sa

   Если у вас нет исходящего доступа к Интернету, добавьте следующие аргументы.

   --set sidecars.livenessProbe.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/livenessprobe 
   --set sidecars.node-driver-registrar.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-node-driver-registrar 
   --set sidecars.csiProvisioner.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-provisioner

   Чтобы заставить драйвер Amazon EFS CSI использовать FIPS для монтирования файловой системы, добавьте следующий аргумент.

   --set useFips=true

Примечание
hostNetwork: true (следует добавить в раздел спецификации/развертывания в установках Kubernetes, где метаданные AWS недоступны из сети модулей. Чтобы исправить следующую ошибку NoCredentialProviders: no valid providers in chain необходимо добавить этот параметр.)

Если вы хотите загрузить образ с манифестом, мы рекомендуем сначала попробовать выполнить эти действия, чтобы получить защищенные образы из частного реестра Amazon ECR.

Установка драйвера с использованием изображений, хранящихся в частном реестре Amazon ECR.

1. Загрузите манифест. Замените release-XX на нужную ветку. Мы рекомендуем использовать последнюю выпущенную версию. Список активных ветвей см. в разделе «Ветви».

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/ecr/?ref=release-2.X " > private-ecr-driver.yaml

   Примечание
   Если вы столкнулись с проблемой, которую не удается решить путем добавления разрешений IAM, попробуйте вместо этого выполнить действия по манифесту (публичный реестр).

2. В следующей команде замените region-code на регион AWS, в котором находится ваш кластер. Затем запустите измененную команду, чтобы заменить us-west-2 в файле на ваш регион AWS.

   sed -i.bak -e ' s|us-west-2|region-code| ' private-ecr-driver.yaml

3. Замените account в следующей команде учетной записью из реестров образов контейнеров Amazon для региона AWS, в котором находится ваш кластер, а затем запустите измененную команду, чтобы заменить 602401143452 в файле.

   sed -i.bak -e ' s|602401143452|account| ' private-ecr-driver.yaml

4. Если вы уже создали учетную запись службы, следуя инструкциям по созданию политики и роли IAM для Amazon EKS, отредактируйте файл private-ecr-driver.yaml . Удалите следующие строки, которые создают учетную запись службы Kubernetes.

    apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---
   

5. Примените манифест.

   kubectl apply -f private-ecr-driver.yaml

В некоторых ситуациях вы не сможете добавить необходимые разрешения IAM для извлечения данных из частного реестра Amazon ECR. Одним из примеров этого сценария является ситуация, когда вашему субъекту IAM не разрешено проходить проверку подлинности с использованием чужой учетной записи. Если это так, вы можете использовать общедоступный реестр Amazon ECR.

Установка драйвера с использованием изображений, хранящихся в общедоступном реестре Amazon ECR.

1. Загрузите манифест. Замените release-XX на нужную ветку. Мы рекомендуем использовать последнюю выпущенную версию. Список активных ветвей см. в разделе «Ветви».

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.X " > public-ecr-driver.yaml

2. Если вы уже создали учетную запись службы, следуя инструкциям по созданию политики и роли IAM, отредактируйте файл public-ecr-driver.yaml . Удалите следующие строки, которые создают учетную запись службы Kubernetes.

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---

3. Примените манифест.

   kubectl apply -f public-ecr-driver.yaml

После развертывания драйвера вы можете перейти к этим разделам:

• Создайте файловую систему Amazon EFS для Amazon EKS.
• Примеры

Включение параметра vol-metrics-opt-in активирует сбор данных об использовании индексного дескриптора и диска. Эта функция, особенно в сценариях с большими файловыми системами, может привести к увеличению использования памяти из-за детального агрегирования информации о файловой системе. Мы советуем пользователям с крупномасштабными файловыми системами учитывать этот аспект при использовании этой функции.

Если вы хотите обновиться до последней выпущенной версии:

kubectl apply -k " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " 

Если вы хотите выполнить обновление до определенной версии, сначала настройте файл yaml драйвера локально:

kubectl kustomize " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " > driver.yaml

Затем обновите все строки, ссылающиеся на image: amazon/aws-efs-csi-driver до нужной версии (например, на image: amazon/aws-efs-csi-driver:v2.1.0 ) в файле yaml и разверните драйвер yaml. снова:

kubectl apply -f driver.yaml

Прежде чем следовать примерам, вам необходимо:

• Узнайте, как настроить Kubernetes на AWS и как создать файловую систему Amazon EFS.
• При создании файловой системы Amazon EFS убедитесь, что она доступна из кластера Kubernetes. Этого можно добиться, создав файловую систему внутри того же VPC, что и кластер Kubernetes, или используя пиринг VPC.
• Установите драйвер Amazon EFS CSI, следуя инструкциям по установке.

• Статическая подготовка
• Динамическая подготовка
• Шифрование при передаче
• Доступ к файловой системе из нескольких модулей
• Использование Amazon EFS в StatefulSets
• Подпуть монтирования
• Используйте точки доступа

• Драйвер Amazon EFS CSI поддерживает использование botocore для получения целевого IP-адреса монтирования, когда DNS-имя не может быть разрешено, например, когда пользователь монтирует файловую систему в другом VPC, botocore предустановлен в efs-csi-driver, который может решить эту проблему DNS.
• Предварительные требования политики IAM для использования этой функции:
  Разрешите действия elasticfilesystem:DescribeMountTargets и ec2:DescribeAvailabilityZones в вашей политике, прикрепленной к роли сервисной учетной записи Amazon EKS, см. пример политики здесь.

• Прежде чем приступить к работе, просмотрите спецификацию CSI и документацию разработчика Kubernetes CSI, чтобы получить базовое представление о драйвере CSI.

• Если вы собираетесь обновить файл политики iam, обновите также политику efs в weaveworks/eksctl https://github.com/weaveworks/eksctl/blob/main/pkg/cfn/builder/statement.go */

• Голанг 1.13.4+

Зависимости управляются через модуль go. Чтобы собрать проект, сначала включите go mod, используя export GO111MODULE=on , для сборки проекта запустите: make

Чтобы выполнить все модульные тесты, запустите: make test

Чтобы получить журналы и устранить неполадки с драйвером, см. Troubleshooting/README.md.

Эта библиотека распространяется по лицензии Apache 2.0.