選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

使用 Amazon EFS 存放彈性檔案系統

PDF
RSS
焦點模式
使用 Amazon EFS 存放彈性檔案系統 - Amazon EKS
考量事項先決條件步驟 1:建立 IAM 角色步驟 2:取得 Amazon EFS CSI 驅動程式步驟 3:建立 Amazon EFS 檔案系統步驟 4:部署範例應用程式

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Elastic File System (Amazon EFS) 提供無伺服器、完全彈性的檔案儲存功能,讓您無需佈建或管理儲存容量和效能,即可分享檔案資料。Amazon EFS 容器儲存界面 (CSI) 驅動程式提供 CSI 界面,允許在 上執行的 Kubernetes 叢集 AWS 管理 Amazon EFS 檔案系統的生命週期。本主題旨在說明如何將 Amazon EFS CSI 驅動程式部署到您的 Amazon EKS 叢集。

考量事項

  • Amazon EFS CSI 驅動程式與 Windows 型容器映像不相容。

  • 您無法針對具有 Fargate 節點的持久性磁碟區使用動態佈建,但您可以使用靜態佈建

  • 動態佈建需要 1.2 或更新版本的驅動程式。您可以在任何支援的 Amazon EKS 叢集版本上使用驅動程式1.1版本,將靜態佈建用於持久性磁碟區 (請參閱 了解 EKS 上的 Kubernetes 版本生命週期)。

  • 此驅動程式的 1.3.2 版或更新版本支援 Arm64 架構,包括以 Amazon EC2 Graviton 為基礎的執行個體。

  • 此驅動程式的 1.4.2 版或更新版本支援使用 FIPS 掛載檔案系統。

  • 記下 Amazon EFS 的資源配額。例如,您可以為每個 Amazon EFS 檔案系統建立 1000 個存取點的配額。如需詳細資訊,請參閱無法變更的 Amazon EFS 資源配額

  • 2.0.0 版開始,此驅動程式會從使用 切換至 stunnel efs-proxy 以進行 TLS 連線。使用 efs-proxy 時,它會針對其執行所在的節點開啟相當於一的執行緒數目加上核心數目。

  • Amazon EFS CSI 驅動程式與 Amazon EKS 混合節點不相容。

先決條件

  • Amazon EFS CSI 驅動程式需要 AWS Identity and Access Management (IAM) 許可。

  • 在您的裝置或 AWS CloudShell 上安裝和設定 AWS 命令列界面 (AWS CLI) 的版本 1.27.160 2.12.3或更新版本。若要檢查您目前的版本,請使用 aws --version | cut -d / -f2 | cut -d ' ' -f1。適用於 macOS 的 yumapt-get或 Homebrew 等套件管理員通常是最新版本 CLI AWS 後面的幾個版本。若要安裝最新版本,請參閱《 AWS 命令列界面使用者指南》中的使用 aws 設定安裝 和 快速組態。 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config安裝在 AWS CloudShell 中的 AWS CLI 版本也可能是最新版本後面的幾個版本。若要更新它,請參閱《CloudShell AWS 使用者指南》中的將 CLI 安裝到您的主目錄 AWS CloudShell

  • kubectl 命令列工具安裝在您的裝置或 AWS CloudShell 上。該版本可以與叢集的 Kubernetes 版本相同,也可以比叢集的 Kubernetes 版本更早或更晚一個次要版本。例如,如果您的叢集版本為 1.29,則可以搭配使用 kubectl 1.281.291.30 版。若要安裝或升級 kubectl,請參閱 設定 kubectl和 eksctl

注意

在 Fargate 上執行的 Pod 會自動掛載 Amazon EFS 檔案系統,而不需要手動驅動程式安裝步驟。

步驟 1:建立 IAM 角色

Amazon EFS CSI 驅動程式需要 IAM 許可才能與檔案系統互動。建立 IAM 角色,並將所需的 AWS 受管政策連接到該角色。若要實作此程序,您可以使用下列其中一個工具:

注意

本程序中的特定步驟是針對將驅動程式用作 Amazon EKS 附加元件而編寫。如需自我管理安裝的詳細資訊,請參閱在 GitHub 上設定驅動程式許可

eksctl

如果使用 Pod 身分

執行下列命令來建立 IAM 角色和 Pod 身分與 的關聯eksctl。使用您的叢集名稱取代 my-cluster。您也可以AmazonEKS_EFS_CSI_DriverRole將 取代為不同的名稱。

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create podidentityassociation \
    --service-account-name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --permission-policy-arns arn:aws: iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve

如果針對服務帳戶使用 IAM 角色

執行下列命令,以使用 建立 IAM 角色eksctl。使用您的叢集名稱取代 my-cluster。您也可以AmazonEKS_EFS_CSI_DriverRole將 取代為不同的名稱。

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

AWS Management Console

執行下列操作,以使用 建立 IAM 角色 AWS Management Console。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. Roles (角色) 頁面上,選擇 Create role (建立角色)。

  4. Select trusted entity (選取信任的實體) 頁面上,執行以下作業:

    1. 如果使用 EKS Pod 身分:

      1. 信任的實體類型區段中,選擇 AWS 服務

      2. 服務或使用案例下拉式清單中,選擇 EKS

      3. 使用案例區段中,選擇 EKS - Pod 身分

      4. 選擇下一步

    2. 如果針對服務帳戶使用 IAM 角色:

      1. Trusted entity type (信任的實體類型) 區段中,選擇 Web identity (Web 身分)。

      2. 對於 Identity provider (身分提供者),為您的叢集選擇 OpenID Connect provider URL (OpenID Connect 供應商 URL)(如 Amazon EKS Overview (概觀) 下所示)。

      3. 針對 Audience (對象),選擇 sts.amazonaws.com

      4. 選擇下一步

  5. Add permissions (新增許可) 頁面上,執行以下作業:

    1. Filter policies (篩選政策) 方塊中,輸入 AmazonEFSCSIDriverPolicy

    2. 勾選在搜尋中傳回的 AmazonEFSCSIDriverPolicy 左側的核取方塊。

    3. 選擇下一步

  6. Name, review, and create (命名、檢閱和建立) 頁面上,執行以下作業:

    1. 針對 Role name (角色名稱),為您的角色輸入唯一名稱 (例如 AmazonEKS_EFS_CSI_DriverRole)。

    2. 藉由連接標籤做為鍵值對,在新增標籤 (選用) 下將中繼資料新增至角色。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的標記 IAM 資源

    3. 選擇建立角色

  7. 建立角色之後:

    1. 如果使用 EKS Pod 身分:

      1. 開啟 Amazon EKS 主控台

      2. 在左側導覽窗格中,選取叢集,然後選取您要為其設定 EKS Pod 身分關聯的叢集名稱。

      3. 選擇存取索引標籤。

      4. Pod 身分關聯中,選擇建立

      5. 選擇 IAM 角色下拉式清單,然後選取新建立的角色。

      6. 選擇 Kubernetes 命名空間欄位並輸入 kube-system

      7. 選擇 Kubernetes 服務帳戶欄位並輸入 efs-csi-controller-sa

      8. 選擇建立

      9. 如需建立 Pod Identity 關聯的詳細資訊,請參閱 建立 Pod Identity 關聯AWS (主控台)

    2. 如果針對服務帳戶使用 IAM 角色:

      1. 選擇角色以開啟角色進行編輯。

      2. 選擇 Trust Relationships (信任關係) 標籤,然後選擇 Edit Trust Relationship (編輯信任政策)。

      3. 查找與下列行相似的行:

        "oidc.eks.region-code.amazonaws.com/id/<EXAMPLED539D4633E53DE1B71EXAMPLE>:aud": "sts.amazonaws.com"

        在前一行上方加入下列行。<region-code> 將 取代為您叢集所在的 AWS 區域。<EXAMPLED539D4633E53DE1B71EXAMPLE> 使用叢集的 OIDC 提供者 ID 取代 。

        "oidc.eks.<region-code>.amazonaws.com/id/<EXAMPLED539D4633E53DE1B71EXAMPLE>:sub": "system:serviceaccount:kube-system:efs-csi-*",

      4. Condition 運算子從 "StringEquals" 修改為 "StringLike"

      5. 選擇 Update policy (更新政策) 以完成操作。

AWS CLI

執行下列命令,以使用 CLI 建立 IAM AWS 角色。

如果使用 Pod 身分

  1. 建立將 AssumeRoleTagSession動作授予pods.eks.amazonaws.com服務的 IAM 角色。

    1. 將下列內容複製到名為 aws-efs-csi-driver-trust-policy-pod-identity.json 的檔案。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}

    2. 建立角色。使用您的叢集名稱取代 my-cluster。您也可以AmazonEKS_EFS_CSI_DriverRole將 取代為不同的名稱。

      export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
aws iam create-role \
  --role-name $role_name \
  --assume-role-policy-document file://"aws-efs-csi-driver-trust-policy-pod-identity.json"

  2. 使用下列命令,將所需的 AWS 受管政策連接至角色。

    aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
  --role-name $role_name

  3. 執行下列命令來建立 Pod Identity 關聯。 arn:aws: iam::<111122223333>:role/my-role 將 取代為先前步驟中建立的角色。

    aws eks create-pod-identity-association --cluster-name $cluster_name --role-arn {arn-aws}iam::<111122223333>:role/my-role --namespace kube-system --service-account efs-csi-controller-sa

  4. 如需建立 Pod Identity 關聯的詳細資訊,請參閱 建立 Pod Identity 關聯AWS (主控台)

如果針對服務帳戶使用 IAM 角色

  1. 檢視叢集的 OIDC 提供者 URL。使用您的叢集名稱取代 my-cluster。您也可以AmazonEKS_EFS_CSI_DriverRole將 取代為不同的名稱。

    export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text

    範例輸出如下。

    https://oidc.eks.<region-code>.amazonaws.com/id/<EXAMPLED539D4633E53DE1B71EXAMPLE>

    如果來自命令的輸出是 None,則請檢閱先決條件

  2. 建立授予 AssumeRoleWithWebIdentity 動作許可的 IAM 角色。

    1. 將下列內容複製到名為 aws-efs-csi-driver-trust-policy.json 的檔案。使用您的帳戶 ID 取代 <111122223333>。使用前一個步驟傳回的值取代 <EXAMPLED539D4633E53DE1B71EXAMPLE><region-code>

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws: iam::<111122223333>:oidc-provider/oidc.eks.<region-code>.amazonaws.com/id/<EXAMPLED539D4633E53DE1B71EXAMPLE>"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringLike": {
          "oidc.eks.region-code.amazonaws.com/id/<EXAMPLED539D4633E53DE1B71EXAMPLE>:sub": "system:serviceaccount:kube-system:efs-csi-*",
          "oidc.eks.region-code.amazonaws.com/id/<EXAMPLED539D4633E53DE1B71EXAMPLE>:aud": "sts.amazonaws.com"
        }
      }
    }
  ]
}

    2. 建立角色。

      aws iam create-role \
  --role-name $role_name \
  --assume-role-policy-document file://"aws-efs-csi-driver-trust-policy.json"

  3. 使用下列命令,將所需的 AWS 受管政策連接至角色。

    aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
  --role-name $role_name

步驟 2:取得 Amazon EFS CSI 驅動程式

我們建議您透過 Amazon EKS 附加元件安裝 Amazon EFS CSI 驅動程式。若要將 Amazon EKS 附加元件新增至叢集,請參閱 建立 Amazon EKS 附加元件。如需附加元件的詳細資訊,請參閱 Amazon EKS 附加元件。如果您無法使用 Amazon EKS 附加元件,建議您提交有關為何無法前往容器藍圖 GitHub 儲存庫的問題。

重要

將 Amazon EFS 驅動程式新增為 Amazon EKS 附加元件之前,請確認叢集上沒有安裝自我管理版本的驅動程式。若是如此,請參閱在 GitHub 上解除安裝 Amazon EFS CSI 驅動程式。 GitHub

或者,如果您想要自我管理安裝 Amazon EFS CSI 驅動程式,請參閱 GitHub 上的安裝

步驟 3:建立 Amazon EFS 檔案系統

如需建立 Amazon EFS 檔案系統,請參閱 GitHub 上的為 Amazon EKS 建立 Amazon EFS 檔案系統

步驟 4:部署範例應用程式

您可以部署各種範例應用程式,再視需要進行修改。如需詳細資訊,請參閱 GitHub 上的範例

下一個主題:

Amazon FSx for Lustre

上一個主題:

Amazon EBS

需要協助?

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。