Archivia volumi Kubernetes con Amazon EBS - Amazon EKS
ConsiderazioniPrerequisitiFase 1: Creazione di un ruolo IAMFase 2: scarica il driver CSI di Amazon EBSFase 3: Implementa un'applicazione di esempio

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Archivia volumi Kubernetes con Amazon EBS

Nota

Novità: la modalità automatica di Amazon EKS automatizza le attività di routine per lo storage a blocchi. Scopri come effettuare il Implementazione di un carico di lavoro stateful di esempio in modalità automatica EKS.

Il driver Amazon Elastic Block Store (Amazon EBS) Container Storage Interface (CSI) gestisce il ciclo di vita dei volumi Amazon EBS come storage per i volumi Kubernetes che crei. Il driver Amazon EBS CSI crea volumi Amazon EBS per questi tipi di volumi Kubernetes: volumi effimeri generici e volumi persistenti.

Considerazioni

  • Non è necessario installare il controller Amazon EBS CSI sui cluster EKS Auto Mode.

  • Non puoi montare volumi Amazon EBS su Fargate Pods.

  • Puoi eseguire il controller Amazon EBS CSI sui nodi Fargate, ma il nodo Amazon EBS CSI può essere eseguito DaemonSet solo su istanze Amazon. EC2

  • I volumi Amazon EBS e il driver Amazon EBS CSI non sono compatibili con Amazon EKS Hybrid Nodes.

  • Verrà fornito supporto per l'ultima versione del componente aggiuntivo e una versione precedente. I bug o le vulnerabilità rilevati nell'ultima versione verranno riportati alla versione precedente in una nuova versione secondaria.

  • Solo le versioni della piattaforma create da una classe di archiviazione che utilizza ebs.csi.eks.amazonaws.com come provisioner possono essere montate su nodi creati da EKS Auto Mode. Le versioni della piattaforma esistenti devono essere migrate alla nuova classe di storage utilizzando un'istantanea del volume.

Importante

Per utilizzare la funzionalità snapshot del driver Amazon EBS CSI, devi prima installare il controller snapshot CSI. Per ulteriori informazioni, consulta Abilita la funzionalità snapshot per i volumi CSI.

Prerequisiti

  • Un cluster esistente. Per visualizzare la versione della piattaforma richiesta, esegui il comando seguente.

    aws eks describe-addon-versions --addon-name aws-ebs-csi-driver

  • Il driver CSI EBS richiede le autorizzazioni IAM. AWS

  • Se utilizzi un cluster con restrizioni a livello di cluster PodSecurityPolicy, assicurati che al componente aggiuntivo siano concesse le autorizzazioni sufficienti per essere distribuito. Per le autorizzazioni richieste da ciascun Pod aggiuntivo, consulta la definizione del relativo manifesto del componente aggiuntivo su. GitHub

Fase 1: Creazione di un ruolo IAM

Il plug-in Amazon EBS CSI richiede le autorizzazioni IAM per effettuare chiamate per tuo AWS APIs conto. Se non esegui questi passaggi, il tentativo di installazione del componente aggiuntivo e l'esecuzione kubectl describe pvc verranno visualizzati failed to provision volume with StorageClass insieme a un errore. could not create volume in EC2: UnauthorizedOperation Per ulteriori informazioni, consulta Configurazione dell'autorizzazione driver su GitHub.

Nota

I pod avranno accesso alle autorizzazioni assegnate al ruolo IAM, a meno che tu non blocchi l'accesso a IMDS. Per ulteriori informazioni, consulta Proteggi i cluster Amazon EKS con le migliori pratiche.

La procedura seguente mostra come creare un ruolo IAM e allegare ad esso la policy AWS gestita. Per implementare questa procedura, puoi utilizzare uno di questi strumenti:

Nota

I passaggi specifici di questa procedura sono stati scritti per l'utilizzo del driver come componente aggiuntivo di Amazon EKS. Per utilizzare il driver come componente aggiuntivo autogestito occorre una procedura differente. Per ulteriori informazioni, consulta Configurare le autorizzazioni dei driver su GitHub.

eksctl

  1. Crea un ruolo IAM e allega una policy. AWS mantiene una politica AWS gestita oppure puoi creare la tua politica personalizzata. È possibile creare un ruolo IAM e allegare la policy AWS gestita con il seguente comando. Sostituisci my-cluster con il nome del cluster. Il comando distribuisce uno AWS CloudFormation stack che crea un ruolo IAM e vi allega la policy IAM.

    eksctl create iamserviceaccount \
        --name ebs-csi-controller-sa \
        --namespace kube-system \
        --cluster my-cluster \
        --role-name AmazonEKS_EBS_CSI_DriverRole \
        --role-only \
        --attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
        --approve

  2. Se utilizzi una chiave KMS personalizzata per la crittografia dei volumi Amazon EBS, personalizza il ruolo IAM secondo necessità. Ad esempio, completa le seguenti operazioni:

    1. Copia e incolla il codice seguente in un nuovo file kms-key-for-encryption-on-ebs.json. Sostituisci custom-key-arn con l'ARN della chiave KMS personalizzata.

      {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "kms:CreateGrant",
            "kms:ListGrants",
            "kms:RevokeGrant"
          ],
          "Resource": ["custom-key-arn"],
          "Condition": {
            "Bool": {
              "kms:GrantIsForAWSResource": "true"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
          ],
          "Resource": ["custom-key-arn"]
        }
      ]
    }

    2. Crea la policy. È possibile modificare KMS_Key_For_Encryption_On_EBS_Policy con un nome diverso. Se esegui questa operazione, tuttavia, assicurati di modificare il nome anche nelle fasi successive.

      aws iam create-policy \
      --policy-name KMS_Key_For_Encryption_On_EBS_Policy \
      --policy-document file://kms-key-for-encryption-on-ebs.json

    3. Collega la policy IAM al ruolo con il comando seguente. Sostituisci 111122223333 con l'ID del tuo account.

      aws iam attach-role-policy \
      --policy-arn arn:aws: iam::111122223333:policy/KMS_Key_For_Encryption_On_EBS_Policy \
      --role-name AmazonEKS_EBS_CSI_DriverRole

AWS Management Console

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Nella pagina Ruoli, seleziona Crea ruolo.

  4. Nella pagina Select trusted entity (Seleziona entità attendibile), esegui le operazioni seguenti:

    1. Nella sezione Tipo di identità attendibile, scegli Identità Web.

    2. Per Identity provider (Provider di identità), scegli URL del provider OpenID Connect per il cluster (come mostrato nella scheda Overview (Panoramica) in Amazon EKS).

    3. Per Pubblico, scegli sts.amazonaws.com.

    4. Scegli Next (Successivo).

  5. Nella pagina Add permissions (Aggiungi autorizzazioni), esegui le operazioni seguenti:

    1. Nella casella Filtra policy, inserisci AmazonEBSCSIDriverPolicy.

    2. Seleziona la casella di controllo a sinistra della AmazonEBSCSIDriverPolicy restituita dalla ricerca.

    3. Scegli Next (Successivo).

  6. Nella pagina Name, review, and create (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:

    1. Per Role name (Nome ruolo), inserisci un nome univoco per il ruolo, ad esempio AmazonEKS_EBS_CSI_DriverRole.

    2. In Aggiungi tag (facoltativo), aggiungi metadati al ruolo collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consulta la sezione Applicazione di tag alle risorse IAM nella Guida per l'utente di IAM.

    3. Scegliere Crea ruolo.

  7. Dopo aver creato il ruolo, sceglilo nella console in modo da aprirlo per la modifica.

  8. Scegli la scheda Relazioni di attendibilità e quindi Modifica policy di attendibilità.

  9. Trova la riga simile alla seguente:

    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"

    Inserisci una virgola alla fine della riga precedente, quindi aggiungine una seguente dopo quella precedente. region-codeSostituiscilo con la AWS regione in cui si trova il cluster. EXAMPLED539D4633E53DE1B71EXAMPLESostituiscilo con l'ID del provider OIDC del cluster.

    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:ebs-csi-controller-sa"

  10. Scegli Aggiorna policy per concludere.

  11. Se utilizzi una chiave KMS personalizzata per la crittografia dei volumi Amazon EBS, personalizza il ruolo IAM secondo necessità. Ad esempio, completa le seguenti operazioni:

    1. Nel pannello di navigazione a sinistra, seleziona Policy.

    2. Nella pagina Policy, scegli Crea policy.

    3. Nella pagina Crea policy, scegli la scheda JSON.

    4. Copia e incolla il codice seguente nell'editor, sostituendo custom-key-arn con l'ARN della chiave KMS personalizzata.

      {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "kms:CreateGrant",
            "kms:ListGrants",
            "kms:RevokeGrant"
          ],
          "Resource": ["custom-key-arn"],
          "Condition": {
            "Bool": {
              "kms:GrantIsForAWSResource": "true"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
          ],
          "Resource": ["custom-key-arn"]
        }
      ]
    }

    5. Scegli Successivo: Tag.

    6. Nella pagina Add tags (optional) (Aggiungi tag, facoltativo), seleziona Next: Review (Successivo: esamina).

    7. Per Nome immettere un nome univoco per la policy (ad esempio KMS_Key_For_Encryption_On_EBS_Policy).

    8. Scegli Create Policy (Crea policy).

    9. Nel pannello di navigazione a sinistra, seleziona Ruoli.

    10. Scegli AmazonEKS_EBS_CSI_DriverRolenella console per aprirlo e modificarlo.

    11. Dall'elenco a discesa Aggiungi autorizzazioni, scegli Collega policy.

    12. Nella casella Filtra policy, inserisci KMS_Key_For_Encryption_On_EBS_Policy.

    13. Seleziona la casella di controllo a sinistra della KMS_Key_For_Encryption_On_EBS_Policy restituita dalla ricerca.

    14. Scegli Collega policy.

AWS CLI

  1. Visualizza l'URL del provider OIDC del tuo cluster. Sostituire my-cluster con il nome del cluster. Se l'output dal comando è None, rivedi i Prerequisiti.

    aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text

    Di seguito viene riportato un output di esempio:

    https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE

  2. Crea il ruolo IAM concedendo l'autorizzazione per l'operazione AssumeRoleWithWebIdentity.

    1. Copia i seguenti contenuti in un file denominato. aws-ebs-csi-driver-trust-policy.json Sostituisci 111122223333 con l'ID del tuo account. Sostituire EXAMPLED539D4633E53DE1B71EXAMPLE e region-code con i valori restituiti nella fase precedente.

      {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Federated": "arn:aws: iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
          },
          "Action": "sts:AssumeRoleWithWebIdentity",
          "Condition": {
            "StringEquals": {
              "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com",
              "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:ebs-csi-controller-sa"
            }
          }
        }
      ]
    }

    2. Creare il ruolo. È possibile modificare AmazonEKS_EBS_CSI_DriverRole con un nome diverso. Se modifichi il valore, assicurati di modificarlo anche nelle fasi successive.

      aws iam create-role \
      --role-name AmazonEKS_EBS_CSI_DriverRole \
      --assume-role-policy-document file://"aws-ebs-csi-driver-trust-policy.json"

  3. Allega una politica. AWS mantiene una politica AWS gestita oppure è possibile creare una politica personalizzata. AWS Associa la politica gestita al ruolo con il seguente comando.

    aws iam attach-role-policy \
      --policy-arn arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
      --role-name AmazonEKS_EBS_CSI_DriverRole

  4. Se utilizzi una chiave KMS personalizzata per la crittografia dei volumi Amazon EBS, personalizza il ruolo IAM secondo necessità. Ad esempio, completa le seguenti operazioni:

    1. Copia e incolla il codice seguente in un nuovo file kms-key-for-encryption-on-ebs.json. Sostituisci custom-key-arn con l'ARN della chiave KMS personalizzata.

      {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "kms:CreateGrant",
            "kms:ListGrants",
            "kms:RevokeGrant"
          ],
          "Resource": ["custom-key-arn"],
          "Condition": {
            "Bool": {
              "kms:GrantIsForAWSResource": "true"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
          ],
          "Resource": ["custom-key-arn"]
        }
      ]
    }

    2. Crea la policy. È possibile modificare KMS_Key_For_Encryption_On_EBS_Policy con un nome diverso. Se esegui questa operazione, tuttavia, assicurati di modificare il nome anche nelle fasi successive.

      aws iam create-policy \
      --policy-name KMS_Key_For_Encryption_On_EBS_Policy \
      --policy-document file://kms-key-for-encryption-on-ebs.json

    3. Collega la policy IAM al ruolo con il comando seguente. Sostituisci 111122223333 con l'ID del tuo account.

      aws iam attach-role-policy \
      --policy-arn arn:aws: iam::111122223333:policy/KMS_Key_For_Encryption_On_EBS_Policy \
      --role-name AmazonEKS_EBS_CSI_DriverRole

Ora che hai creato il ruolo IAM del driver CSI di Amazon EBS, puoi passare alla sezione successiva. Quando distribuisci il componente aggiuntivo con questo ruolo IAM, crea e viene configurato per utilizzare un account di servizio denominato. ebs-csi-controller-sa L'account di servizio è associato a un Kubernetes a cui sono assegnate le autorizzazioni Kubernetes clusterrole richieste.

Fase 2: scarica il driver CSI di Amazon EBS

Ti consigliamo di installare il driver Amazon EBS CSI tramite il componente aggiuntivo Amazon EKS per migliorare la sicurezza e ridurre la quantità di lavoro. Per aggiungere un componente aggiuntivo di Amazon EKS al cluster, consulta Crea un componente aggiuntivo Amazon EKS. Per ulteriori informazioni sui componenti aggiuntivi, consulta Componenti aggiuntivi Amazon EKS.

Importante

Prima di aggiungere il driver Amazon EBS come componente aggiuntivo Amazon EKS, verifica di non avere una versione autogestita del driver installata nel cluster. In tal caso, vediDisinstallazione di un driver Amazon EBS CSI autogestitosul GitHub.

In alternativa, se desideri un'installazione autogestita del driver CSI di Amazon EBS, consulta Installazione su. GitHub

Fase 3: Implementa un'applicazione di esempio

Puoi implementare diverse app di esempio e modificarle in base alle tue esigenze. Per ulteriori informazioni, consulta Kubernetes Examples su. GitHub