aws efs csi driver

Amazon Elastic File System 容器存储接口 (CSI) 驱动程序为容器编排器实施 CSI 规范，以管理 Amazon EFS 文件系统的生命周期。

Amazon EFS CSI 驱动程序支持动态预配置和静态预配置。目前，动态配置为每个 PV 创建一个接入点。这意味着必须首先在 AWS 上手动创建 Amazon EFS 文件系统，并且应将其作为存储类参数的输入提供。对于静态预配置，需要首先在 AWS 上手动创建 Amazon EFS 文件系统。之后，可以使用驱动程序将其作为卷安装在容器内。

实现了以下 CSI 接口：

• 控制器服务：CreateVolume、DeleteVolume、ControllerGetCapability、ValidateVolumeCapability
• 节点服务：NodePublishVolume、NodeUnpublishVolume、NodeGetCapability、NodeGetInfo、NodeGetId、NodeGetVolumeStats
• 身份服务：GetPluginInfo、GetPluginCapability、探针

笔记

• Access Point 根目录的自定义 Posix 组 ID 范围必须包含gidRangeStart和gidRangeEnd参数。仅当两者都被省略时，这些参数才是可选的。如果您指定其中一项，则另一项将成为强制性的。
• 使用自定义 Posix 组 ID 范围时，驱动程序可能会用完可用的 POSIX 组 ID。我们建议确保自定义组 ID 范围足够大，或者使用新文件系统创建新存储类以配置其他卷。
• 存储类参数下的az不应与 efs-utils 挂载选项az混淆。 az挂载选项用于跨 az 挂载或在与集群相同的 aws 账户内进行 efs 单区域文件系统挂载。
• 使用动态配置，始终应用用户身份强制执行。
• 启用用户强制后，Amazon EFS 会将 NFS 客户端的用户和组 ID 替换为在访问点上为所有文件系统操作配置的身份。
• 接入点上配置的 uid/gid 可以是存储类中指定的 uid/gid、存储类中指定的 gidRangeStart-gidRangeEnd（同时用作 uid/gid）中的值，也可以是驱动程序选择的值未指定 uid/gid 或 gidRange。
• 如果您不希望使用用户身份强制执行，我们建议您使用静态配置。

如果您希望在挂载时将任何其他 mountOptions 传递给 Amazon EFS CSI 驱动程序，则可以通过持久卷或存储类对象传递它们，具体取决于使用的是静态还是动态预配置。以下是一些可以传递的 mountOptions 的示例：

• Lookupcache ：指定内核如何管理给定安装点的目录条目缓存。众数可以是全部、无、正数或正数之一。每种模式都有不同的功能，有关更多信息，您可以参考此链接。
• iam ：使用 CSI 节点 Pod 的 IAM 身份向 Amazon EFS 进行身份验证。

使用 EFS CSI 驱动程序时，请注意noresvport安装选项默认处于启用状态。这意味着客户端可以使用任何可用的源端口进行通信，而不仅仅是保留端口。

使用 Amazon EFS 的优点之一是它使用 TLS 提供传输加密支持。使用传输中加密，数据在通过网络传输到 Amazon EFS 服务期间将被加密。这为需要严格安全合规性的应用程序提供了额外的深度防御层。

默认情况下，在驱动程序的主分支版本中启用传输中加密。要禁用它并使用普通 NFSv4 挂载卷，请在持久卷清单中将volumeAttributes字段encryptInTransit设置为"false" 。有关示例清单，请参阅传输中加密示例。

笔记
如果您在 Kubernetes 中使用此功能，则需要 Kubernetes 版本 1.13 或更高版本。

以下部分是 Kubernetes 特定的。如果您是 Kubernetes 用户，请使用它来了解驱动程序功能、安装步骤和示例。

笔记
您可以从此处找到以前的 efs-csi-driver 版本的映像

• 静态配置 - 首先需要手动创建 Amazon EFS 文件系统，然后可以使用驱动程序将其作为持久卷 (PV) 安装在容器内。
• 动态配置 - 使用持久卷声明 (PVC) 动态配置持久卷 (PV)。创建 PVC 时，kuberenetes 请求 Amazon EFS 在文件系统中创建一个访问点，用于挂载 PV。
• 挂载选项 - 可以在持久卷 (PV) 或动态配置的存储类中指定挂载选项，以定义卷的挂载方式。
• 传输中数据加密 - Amazon EFS 文件系统安装时在驱动程序的主分支版本中默认启用传输中加密。
• 跨账户挂载 - 可以从 Amazon EKS 集群挂载来自不同 aws 账户的 Amazon EFS 文件系统。
• 多架构 - Amazon EFS CSI 驱动程序映像现在是 ECR 上的多架构

笔记
由于 Amazon EFS 是一个弹性文件系统，因此它并不真正强制执行任何文件系统容量。创建文件系统时不使用持久卷和持久卷声明中的实际存储容量值。但是，由于存储容量是 Kubernetes 的必填字段，因此您必须指定该值，并且可以使用任何有效的容量值。

注意事项

• Amazon EFS CSI 驱动程序与基于 Windows 的容器映像不兼容。
• 您无法将动态持久卷配置与 Fargate 节点结合使用，但可以使用静态配置。
• 动态配置需要1.2或更高版本的驱动程序。您可以在任何受支持的 Amazon EKS 集群版本上使用驱动程序版本1.1静态预置持久卷。
• 此驱动程序的版本1.3.2或更高版本支持 Arm64 架构，包括基于 Amazon EC2 Graviton 的实例。
• 该驱动程序的1.4.2或更高版本支持使用 FIPS 来挂载文件系统。有关如何启用 FIPS 的更多信息，请参阅 Helm。
• 记下 Amazon EFS 的资源配额。例如，可以为每个 Amazon EFS 文件系统创建 1000 个访问点的配额。有关更多信息，请参阅 https://docs.aws.amazon.com/efs/latest/ug/limits.html#limits-efs-resources-per-account-per-region。

节点启动时存在潜在的竞争条件（尤其是当节点首次加入集群时），依赖 EFS CSI 驱动程序的 Pod/进程可以在 EFS CSI 驱动程序启动并完全准备就绪之前对节点进行操作。为了解决这个问题，EFS CSI 驱动程序包含一项功能，可以在启动时自动删除节点中的污点。此功能是从 EFS CSI 驱动程序 v1.7.2 版本及其 Helm Chart v2.5.2 版本中引入的。用户可以在加入集群和/或启动时污染其节点，以防止其他 Pod 在 EFS CSI 驱动程序准备就绪之前在该节点上运行和/或调度。

默认情况下会激活此功能，集群管理员应使用污点efs.csi.aws.com/agent-not-ready:NoExecute （任何效果都可以，但建议使用NoExecute ）。例如，EKS 托管节点组支持自动污染节点。

先决条件

• 适用于您的集群的现有 AWS Identity and Access Management (IAM) OpenID Connect (OIDC) 提供商。要确定您是否已经拥有或要创建一个，请参阅为您的集群创建 IAM OIDC 提供程序。
• 在您的设备或 AWS CloudShell 上安装和配置的 AWS CLI。要安装最新版本，请参阅 AWS Command Line Interface 用户指南中的安装、更新和卸载 AWS CLI 和使用aws configure进行快速配置。 AWS CloudShell 中安装的 AWS CLI 版本也可能比最新版本晚几个版本。要更新它，请参阅 AWS CloudShell 用户指南中的将 AWS CLI 安装到您的主目录。
• kubectl命令行工具安装在您的设备或 AWS CloudShell 上。该版本可以与集群的 Kubernetes 版本相同，也可以比集群的 Kubernetes 版本早或晚一个小版本。要安装或升级kubectl ，请参阅安装或更新kubectl 。

笔记
在 AWS Fargate 上运行的 Pod 会自动挂载 Amazon EFS 文件系统，无需执行本页所述的手动驱动程序安装步骤。

该驱动程序需要 IAM 权限才能与 Amazon EFS 通信以代表用户管理卷。有多种方法可以授予驱动程序 IAM 权限：

• 使用 EKS Pod Identity 插件 - 将 EKS Pod Identity 插件安装到您的 EKS 集群。这不需要通过 EKS 插件安装 efs-csi-driver，无论 efs-csi-driver 的安装方法如何，都可以使用。如果使用此安装方法，则必须将AmazonEFSCSIDriverPolicy策略添加到集群节点组的 IAM 角色中。
• 对服务账户使用 IAM 角色 – 在 iam-policy-example.json 中为具有所需权限的服务账户创建 IAM 角色。取消注释注释并将 IAM 角色 ARN 放入服务账户清单中。有关示例步骤，请参阅为 Amazon EKS 创建 IAM 策略和角色。
• 使用 IAM 实例配置文件 – 通过将策略附加到工作线程的实例配置文件，向所有工作线程节点授予所需的权限。

有多种用于部署驱动程序的选项。以下是一些示例。

此过程需要 Helm V3 或更高版本。要安装或升级 Helm，请参阅将 Helm 与 A​​mazon EKS 结合使用。

使用 Helm 安装驱动程序

1. 添加 Helm 存储库。

   helm repo add aws-efs-csi-driver https://kubernetes-sigs.github.io/aws-efs-csi-driver/

2. 更新仓库。

   helm repo update aws-efs-csi-driver

3. 使用 Helm 图表安装驱动程序版本。

   helm upgrade --install aws-efs-csi-driver --namespace kube-system aws-efs-csi-driver/aws-efs-csi-driver

   要指定图像存储库，请添加以下参数。将存储库地址替换为集群的容器镜像地址。

   --set image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/aws-efs-csi-driver

   如果您已按照为 Amazon EKS 创建 IAM 策略和角色创建了服务账户，请添加以下参数。

   --set controller.serviceAccount.create=false 
   --set controller.serviceAccount.name=efs-csi-controller-sa

   如果您没有对 Internet 的出站访问权限，请添加以下参数。

   --set sidecars.livenessProbe.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/livenessprobe 
   --set sidecars.node-driver-registrar.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-node-driver-registrar 
   --set sidecars.csiProvisioner.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-provisioner

   要强制 Amazon EFS CSI 驱动程序使用 FIPS 挂载文件系统，请添加以下参数。

   --set useFips=true

笔记
hostNetwork: true （应在无法从 pod 网络访问 AWS 元数据的 kubernetes 安装的规范/部署下添加。要修复以下错误NoCredentialProviders: no valid providers in chain应添加此参数。）

如果您想要下载带有清单的映像，我们建议您首先尝试以下步骤从私有 Amazon ECR 注册表中提取受保护的映像。

使用存储在私有 Amazon ECR 注册表中的映像安装驱动程序

1. 下载清单。将release-XX替换为您所需的分支。我们建议使用最新发布的版本。有关活动分支的列表，请参阅分支。

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/ecr/?ref=release-2.X " > private-ecr-driver.yaml

   笔记
   如果您遇到无法通过添加 IAM 权限解决的问题，请尝试使用清单（公共注册表）步骤。

2. 在以下命令中，将region-code替换为您的集群所在的 AWS 区域。然后运行修改后的命令，将文件中的us-west-2替换为您的 AWS 区域。

   sed -i.bak -e ' s|us-west-2|region-code| ' private-ecr-driver.yaml

3. 将以下命令中的account替换为您的集群所在 AWS 区域的 Amazon 容器映像注册表中的帐户，然后运行修改后的命令以替换文件中的602401143452 。

   sed -i.bak -e ' s|602401143452|account| ' private-ecr-driver.yaml

4. 如果您已按照为 Amazon EKS 创建 IAM 策略和角色创建了服务账户，则编辑private-ecr-driver.yaml文件。删除以下创建 Kubernetes 服务帐户的行。

    apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---
   

5. 应用清单。

   kubectl apply -f private-ecr-driver.yaml

在某些情况下，您可能无法添加从私有 Amazon ECR 注册表中提取所需的 IAM 权限。此场景的一个示例是，如果您的 IAM 委托人不允许使用其他人的账户进行身份验证。如果是这样，您可以使用公共 Amazon ECR 注册表。

使用公共 Amazon ECR 注册表中存储的映像安装驱动程序

1. 下载清单。将release-XX替换为您所需的分支。我们建议使用最新发布的版本。有关活动分支的列表，请参阅分支。

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.X " > public-ecr-driver.yaml

2. 如果您已按照创建 IAM 策略和角色创建了服务账户，则编辑public-ecr-driver.yaml文件。删除以下创建 Kubernetes 服务帐户的行。

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---

3. 应用清单。

   kubectl apply -f public-ecr-driver.yaml

部署驱动程序后，您可以继续执行以下部分：

• 为 Amazon EKS 创建 Amazon EFS 文件系统
• 示例

启用 vol-metrics-opt-in 参数会激活 inode 和磁盘使用数据的收集。此功能（特别是在文件系统较大的情况下）可能会由于文件系统信息的详细聚合而导致内存使用量增加。我们建议拥有大型文件系统的用户在使用此功能时考虑这一方面。

如果您想更新到最新发布的版本：

kubectl apply -k " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " 

如果要更新到特定版本，首先在本地自定义驱动yaml文件：

kubectl kustomize " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " > driver.yaml

然后，将 yaml 文件中引用image: amazon/aws-efs-csi-driver所有行更新为所需版本（例如，更新为image: amazon/aws-efs-csi-driver:v2.1.0 ），并部署驱动程序 yaml再次：

kubectl apply -f driver.yaml

在遵循示例之前，您需要：

• 熟悉如何在 AWS 上设置 Kubernetes 以及如何创建 Amazon EFS 文件系统。
• 创建 Amazon EFS 文件系统时，请确保可从 Kubernetes 集群访问它。这可以通过在与 Kubernetes 集群相同的 VPC 内创建文件系统或使用 VPC 对等来实现。
• 按照安装步骤安装 Amazon EFS CSI 驱动程序。

• 静态配置
• 动态配置
• 传输中加密
• 从多个 Pod 访问文件系统
• 在 StatefulSets 中使用 Amazon EFS
• 挂载子路径
• 使用接入点

• 当无法解析 dns 名称时，Amazon EFS CSI 驱动程序支持使用 botocore 检索挂载目标 IP 地址，例如，当用户在另一个 VPC 中挂载文件系统时，botocore 预安装在 efs-csi-driver 上，可以解决此 DNS 问题。
• 使用此功能的 IAM 策略先决条件：
  允许在附加到 Amazon EKS 服务账户角色的策略中执行elasticfilesystem:DescribeMountTargets和ec2:DescribeAvailabilityZones操作，请参阅此处的示例策略。

• 在开始之前，请先阅读 CSI 规范和 Kubernetes CSI 开发人员文档，以对 CSI 驱动程序有一些基本的了解。

• 如果您要更新 iam 策略文件，请同时更新 weaveworks/eksctl 中的 efs 策略 https://github.com/weaveworks/eksctl/blob/main/pkg/cfn/builder/statement.go */

• Go 语言 1.13.4+

依赖关系通过 go 模块进行管理。要构建项目，首先使用export GO111MODULE=on打开 go mod，构建项目运行： make

要执行所有单元测试，请运行： make test

要提取日志并对驱动程序进行故障排除，请参阅故障排除/README.md。

该库根据 Apache 2.0 许可证获得许可。