aws efs csi driver

Amazon Elastic File System 容器儲存介面 (CSI) 驅動程式為容器編排器實作 CSI 規範，以管理 Amazon EFS 檔案系統的生命週期。

Amazon EFS CSI 驅動程式支援動態預先配置和靜態預配置。目前，動態配置為每個 PV 建立一個存取點。這意味著必須先在 AWS 上手動建立 Amazon EFS 檔案系統，並且應將其作為儲存類別參數的輸入提供。對於靜態預先配置，需要先在 AWS 上手動建立 Amazon EFS 檔案系統。之後，可以使用驅動程式將其作為磁碟區安裝在容器內。

實現了以下 CSI 介面：

• 控制器服務：CreateVolume、DeleteVolume、ControllerGetCapability、ValidateVolumeCapability
• 節點服務：NodePublishVolume、NodeUnpublishVolume、NodeGetCapability、NodeGetInfo、NodeGetId、NodeGetVolumeStats
• 身分服務：GetPluginInfo、GetPluginCapability、探針

筆記

• Access Point 根目錄的自訂 Posix 群組 ID 範圍必須包含gidRangeStart和gidRangeEnd參數。只有當兩者都被省略時，這些參數才是可選的。如果您指定其中一項，則另一項將成為強制性的。
• 使用自訂 Posix 群組 ID 範圍時，驅動程式可能會用完可用的 POSIX 群組 ID。我們建議確保自訂群組 ID 範圍足夠大，或使用新檔案系統建立新儲存類別以配置其他磁碟區。
• 儲存類別參數下的az不應與 efs-utils 掛載選項az混淆。 az掛載選項用於跨 az 掛載或在與叢集相同的 aws 帳戶內進行 efs 單區域檔案系統掛載。
• 使用動態配置，始終應用使用者身分強制執行。
• 啟用使用者強制後，Amazon EFS 會將 NFS 用戶端的使用者和群組 ID 替換為在存取點上為所有檔案系統操作配置的身份。
• 在存取點上配置的 uid/gid 可以是儲存類別中指定的 uid/gid、儲存類別中指定的 gidRangeStart-gidRangeEnd（同時用作 uid/gid）中的值，也可以是驅動程式選擇的值未指定uid/gid 或gidRange。
• 如果您不希望使用使用者身分強制執行，我們建議您使用靜態配置。

如果您希望在掛載時將任何其他 mountOptions 傳遞給 Amazon EFS CSI 驅動程序，則可以透過持久性磁碟區或儲存類別物件傳遞它們，具體取決於使用的​​是靜態還是動態預先配置。以下是一些可以傳遞的 mountOptions 的範例：

• Lookupcache ：指定核心如何管理給定安裝點的目錄項目快取。眾數可以是全部、無、正數或正數之一。每種模式都有不同的功能，有關更多信息，您可以參考此連結。
• iam ：使用 CSI 節點 Pod 的 IAM 身分向 Amazon EFS 進行驗證。

使用 EFS CSI 驅動程式時，請注意noresvport安裝選項預設為啟用狀態。這意味著客戶端可以使用任何可用的來源連接埠進行通信，而不僅僅是保留連接埠。

使用 Amazon EFS 的優點之一是它使用 TLS 提供傳輸加密支援。使用傳輸中加密，資料在透過網路傳輸到 Amazon EFS 服務期間將被加密。這為需要嚴格安全合規性的應用程式提供了額外的深度防禦層。

預設情況下，在驅動程式的主分支版本中啟用傳輸中加密。若要停用它並使用普通 NFSv4 掛載磁碟區，請在持久性磁碟區清單中將volumeAttributes欄位encryptInTransit設為"false" 。有關範例清單，請參閱傳輸中加密範例。

筆記
如果您在 Kubernetes 中使用此功能，則需要 Kubernetes 版本 1.13 或更高版本。

以下部分是 Kubernetes 特定的。如果您是 Kubernetes 用戶，請使用它來了解驅動程式功能、安裝步驟和範例。

筆記
您可以從此處找到先前的 efs-csi-driver 版本的映像

• 靜態配置 - 首先需要手動建立 Amazon EFS 檔案系統，然後可以使用驅動程式將其作為持久性磁碟區 (PV) 安裝在容器內。
• 動態配置 - 使用持久性磁碟區宣告 (PVC) 動態配置持久性磁碟區 (PV)。建立 PVC 時，kuberenetes 要求 Amazon EFS 在檔案​​系統中建立一個存取點，用於掛載 PV。
• 掛載選項 - 可在持久性磁碟區 (PV) 或動態配置的儲存類別中指定掛載選項，以定義磁碟區的掛載方式。
• 傳輸中資料加密 - Amazon EFS 檔案系統安裝時在驅動程式的主分支版本中預設啟用傳輸中加密。
• 跨帳戶掛載 - 可以從 Amazon EKS 叢集掛載來自不同 aws 帳戶的 Amazon EFS 檔案系統。
• 多架構 - Amazon EFS CSI 驅動程式映像現在是 ECR 上的多架構

筆記
由於 Amazon EFS 是一個彈性檔案系統，因此它並不真正強制執行任何檔案系統容量。建立檔案系統時不使用持久捲和持久性磁碟區聲明中的實際儲存容量值。但是，由於儲存容量是 Kubernetes 的必填字段，因此您必須指定該值，並且可以使用任何有效的容量值。

注意事項

• Amazon EFS CSI 驅動程式與基於 Windows 的容器映像不相容。
• 您無法將動態持久性磁碟區配置與 Fargate 節點結合使用，但可以使用靜態設定。
• 動態配置需要1.2或更高版本的驅動程式。您可以在任何受支援的 Amazon EKS 叢集版本上使用驅動程式版本1.1靜態預置持久性磁碟區。
• 此驅動程式的版本1.3.2或更高版本支援 Arm64 架構，包括基於 Amazon EC2 Graviton 的執行個體。
• 此驅動程式的1.4.2或更高版本支援使用 FIPS 來掛載檔案系統。有關如何啟用 FIPS 的更多信息，請參閱 Helm。
• 記下 Amazon EFS 的資源配額。例如，可以為每個 Amazon EFS 檔案系統建立 1000 個存取點的配額。有關更多信息，請參閱 https://docs.aws.amazon.com/efs/latest/ug/limits.html#limits-efs-resources-per-account-per-region。

節點啟動時存在潛在的競爭條件（尤其是當節點首次加入叢集時），依賴 EFS CSI 驅動程式的 Pod/進程可以在 EFS CSI 驅動程式啟動並完全準備就緒之前對節點進行操作。為了解決這個問題，EFS CSI 驅動程式包含一項功能，可在啟動時自動刪除節點中的污點。此功能是從 EFS CSI 驅動程式 v1.7.2 版本及其 Helm Chart v2.5.2 版本中引入的。使用者可以在加入叢集和/或啟動時污染其節點，以防止其他 Pod 在 EFS CSI 驅動程式準備就緒之前在該節點上運行和/或調度。

預設會啟動此功能，叢集管理員應使用污點efs.csi.aws.com/agent-not-ready:NoExecute （任何效果都可以，但建議使用NoExecute ）。例如，EKS 託管節點組支援自動污染節點。

先決條件

• 適用於您的叢集的現有 AWS Identity and Access Management (IAM) OpenID Connect (OIDC) 供應商。若要確定您是否已經擁有或要建立一個，請參閱為您的叢集建立 IAM OIDC 提供者。
• 在您的裝置或 AWS CloudShell 上安裝和設定的 AWS CLI。若要安裝最新版本，請參閱 AWS Command Line Interface 使用者指南中的安裝、更新和解除安裝 AWS CLI 和使用aws configure進行快速設定。 AWS CloudShell 中安裝的 AWS CLI 版本也可能比最新版本晚幾個版本。若要更新它，請參閱 AWS CloudShell 使用者指南中的將 AWS CLI 安裝到您的主目錄。
• kubectl命令列工具安裝在您的裝置或 AWS CloudShell 上。此版本可以與叢集的 Kubernetes 版本相同，也可以比叢集的 Kubernetes 版本早或晚一個小版本。若要安裝或升級kubectl ，請參閱安裝或更新kubectl 。

筆記
在 AWS Fargate 上執行的 Pod 會自動掛載 Amazon EFS 檔案系統，無需執行本頁所述的手動驅動程式安裝步驟。

此驅動程式需要 IAM 權限才能與 Amazon EFS 通訊以代表使用者管理磁碟區。有多種方法可以授予驅動程式 IAM 權限：

• 使用 EKS Pod Identity 外掛程式 - 將 EKS Pod Identity 外掛程式安裝到您的 EKS 叢集。這不需要透過 EKS 外掛程式安裝 efs-csi-driver，無論 efs-csi-driver 的安裝方法如何，都可以使用。如果使用此安裝方法，則必須將AmazonEFSCSIDriverPolicy策略新增至叢集節點組的 IAM 角色。
• 對服務帳戶使用 IAM 角色 – 在 iam-policy-example.json 中為具有所需權限的服務帳戶建立 IAM 角色。取消註解註解並將 IAM 角色 ARN 放入服務帳戶清單中。如需範例步驟，請參閱為 Amazon EKS 建立 IAM 原則和角色。
• 使用 IAM 實例設定檔 – 透過將策略附加到工作執行緒的實例設定文件，向所有工作執行緒節點授予所需的權限。

有多種用於部署驅動程式的選項。以下是一些範例。

此過程需要 Helm V3 或更高版本。若要安裝或升級 Helm，請參閱將 Helm 與 Amazon EKS 結合使用。

使用 Helm 安裝驅動程式

1. 新增 Helm 儲存庫。

   helm repo add aws-efs-csi-driver https://kubernetes-sigs.github.io/aws-efs-csi-driver/

2. 更新倉庫。

   helm repo update aws-efs-csi-driver

3. 使用 Helm 圖表安裝驅動程式版本。

   helm upgrade --install aws-efs-csi-driver --namespace kube-system aws-efs-csi-driver/aws-efs-csi-driver

   若要指定影像儲存庫，請新增下列參數。將儲存庫位址替換為叢集的容器鏡像位址。

   --set image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/aws-efs-csi-driver

   如果您已依照為 Amazon EKS 建立 IAM 原則和角色建立了服務帳戶，請新增下列參數。

   --set controller.serviceAccount.create=false 
   --set controller.serviceAccount.name=efs-csi-controller-sa

   如果您沒有對 Internet 的出站存取權限，請新增下列參數。

   --set sidecars.livenessProbe.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/livenessprobe 
   --set sidecars.node-driver-registrar.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-node-driver-registrar 
   --set sidecars.csiProvisioner.image.repository=602401143452.dkr.ecr.region-code.amazonaws.com/eks/csi-provisioner

   若要強制 Amazon EFS CSI 驅動程式使用 FIPS 掛載檔案系統，請新增下列參數。

   --set useFips=true

筆記
hostNetwork: true （應在無法從 pod 網路存取 AWS 元資料的 kubernetes 安裝的規範/部署下新增。若要修復下列錯誤NoCredentialProviders: no valid providers in chain應新增此參數。）

如果您想要下載具有清單的映像，我們建議您先嘗試以下步驟從私人 Amazon ECR 註冊表中提取受保護的映像。

使用儲存在私人 Amazon ECR 註冊表中的映像安裝驅動程式

1. 下載清單。將release-XX替換為您所需的分支。我們建議使用最新發布的版本。有關活動分支的列表，請參閱分支。

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/ecr/?ref=release-2.X " > private-ecr-driver.yaml

   筆記
   如果您遇到無法透過新增 IAM 權限解決的問題，請嘗試使用清單（公用登錄）步驟。

2. 在下列命令中，將region-code替換為您的us-west-2所在的 AWS 區域。

   sed -i.bak -e ' s|us-west-2|region-code| ' private-ecr-driver.yaml

3. 將下列命令中的account替換為您的叢集所在 AWS 區域的 Amazon 容器映像註冊表中的帳戶，然後執行修改後的命令以取代檔案中的602401143452 。

   sed -i.bak -e ' s|602401143452|account| ' private-ecr-driver.yaml

4. 如果您已依照為 Amazon EKS 建立 IAM 策略和角色建立了服務帳戶，請編輯private-ecr-driver.yaml檔案。刪除以下建立 Kubernetes 服務帳戶的行。

    apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---
   

5. 應用清單。

   kubectl apply -f private-ecr-driver.yaml

在某些情況下，您可能無法新增從私人 Amazon ECR 登錄中提取所需的 IAM 權限。此場景的一個範例是，如果您的 IAM 委託人不允許使用其他人的帳戶進行身份驗證。如果是這樣，您可以使用公共 Amazon ECR 註冊表。

使用公共 Amazon ECR 註冊表中儲存的映像安裝驅動程式

1. 下載清單。將release-XX替換為您所需的分支。我們建議使用最新發布的版本。有關活動分支的列表，請參閱分支。

   kubectl kustomize 
       " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.X " > public-ecr-driver.yaml

2. 如果您已依照建立 IAM 策略和角色建立了服務帳戶，請編輯public-ecr-driver.yaml檔案。刪除以下建立 Kubernetes 服務帳戶的行。

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     labels:
       app.kubernetes.io/name: aws-efs-csi-driver
     name: efs-csi-controller-sa
     namespace: kube-system
   ---

3. 應用清單。

   kubectl apply -f public-ecr-driver.yaml

部署驅動程式後，您可以繼續執行以下部分：

• 為 Amazon EKS 建立 Amazon EFS 檔案系統
• 範例

啟用 vol-metrics-opt-in 參數會啟動 inode 和磁碟使用資料的收集。此功能（特別是在檔案系統較大的情況下）可能會由於檔案系統資訊的詳細聚合而導致記憶體使用量增加。我們建議擁有大型檔案系統的使用者在使用此功能時考慮這一方面。

如果您想更新到最新發布的版本：

kubectl apply -k " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " 

如果要更新到特定版本，首先在本機自訂驅動程式yaml檔案：

kubectl kustomize " github.com/kubernetes-sigs/aws-efs-csi-driver/deploy/kubernetes/overlays/stable/?ref=release-2.0 " > driver.yaml

然後，將 yaml 檔案中引用image: amazon/aws-efs-csi-driver所有行更新為所需版本（例如，更新為image: amazon/aws-efs-csi-driver:v2.1.0 ），並部署驅動程式yaml再次：

kubectl apply -f driver.yaml

在遵循範例之前，您需要：

• 熟悉如何在 AWS 上設定 Kubernetes 以及如何建立 Amazon EFS 檔案系統。
• 建立 Amazon EFS 檔案系統時，請確保可從 Kubernetes 叢集存取它。這可以透過在與 Kubernetes 叢集相同的 VPC 內建立檔案系統或使用 VPC 對等來實現。
• 請依照安裝步驟安裝 Amazon EFS CSI 驅動程式。

• 靜態配置
• 動態配置
• 傳輸中加密
• 從多個 Pod 存取檔案系統
• 在 StatefulSets 中使用 Amazon EFS
• 掛載子路徑
• 使用存取點

• 當無法解析dns 名稱時，Amazon EFS CSI 驅動程式支援使用botocore 擷取掛載目標IP 位址，例如，當使用者在另一個VPC 中掛載檔案系統時，botocore 預先安裝在efs-csi-driver 上，可以解決此DNS 問題。
• 使用此功能的 IAM 策略先決條件：
  允許在附加到 Amazon EKS 服務帳戶角色的策略中執行elasticfilesystem:DescribeMountTargets和ec2:DescribeAvailabilityZones操作，請參閱此處的範例策略。

• 在開始之前，請先閱讀 CSI 規格和 Kubernetes CSI 開發人員文檔，以對 CSI 驅動程式有一些基本的了解。

• 如果您要更新 iam 策略文件，請同時更新 weaveworks/eksctl 中的 efs 策略 https://github.com/weaveworks/eksctl/blob/main/pkg/cfn/builder/statement.go */

• Go 語言 1.13.4+

依賴關係透過 go 模組進行管理。要建置項目，首先使用export GO111MODULE=on開啟 go mod，建置專案運行： make

若要執行所有單元測試，請執行： make test

若要擷取日誌並對驅動程式進行故障排除，請參閱故障排除/README.md。

該庫根據 Apache 2.0 許可證獲得許可。