Simpan Kubernetes volume dengan Amazon EBS

Driver Amazon Elastic Block Store (AmazonEBS) Container Storage Interface (CSI) mengelola siklus hidup EBS volume Amazon sebagai penyimpanan untuk KubernetesVolume yang Anda buat. EBSCSIDriver Amazon membuat EBS volume Amazon untuk jenis volume ini: Kubernetes volume fana generik dan volume persisten.

Pertimbangan

• Anda tidak dapat memasang EBS volume Amazon ke FargatePods.

• Anda dapat menjalankan EBS CSI pengontrol Amazon di node Fargate, tetapi EBS CSI node Amazon hanya DaemonSet dapat berjalan di instance AmazonEC2.

penting

Untuk menggunakan fungsionalitas snapshot dari EBS CSI driver Amazon, Anda harus menginstal snapshotter eksternal sebelum atau setelah penginstalan add-on. Komponen snapshotter eksternal harus dipasang dengan urutan sebagai berikut:

• CustomResourceDefinition(CRD) untukvolumesnapshotclasses,volumesnapshots, dan volumesnapshotcontents

• RBAC(ClusterRole,ClusterRoleBinding, dan sebagainya)

• penyebaran pengontrol

Untuk informasi selengkapnya, lihat CSISnapshotter di. GitHub

Prasyarat

• Sebuah klaster yang sudah ada. Untuk melihat versi platform yang diperlukan, jalankan perintah berikut.

  aws eks describe-addon-versions --addon-name aws-ebs-csi-driver
      

• Penyedia AWS Identity and Access Management (IAM) OpenID Connect (OIDC) yang sudah ada untuk klaster Anda. Untuk menentukan apakah Anda sudah memiliki satu, atau harus membuat satu, lihat Buat IAM OIDC penyedia untuk klaster Anda.

• Jika Anda menggunakan kluster yang dibatasi secara luas PodSecurityPolicy, pastikan add-on diberikan izin yang cukup untuk diterapkan. Untuk izin yang diperlukan oleh setiap add-onPod, lihat definisi manifes add-on yang relevan di. GitHub

Langkah 1: Buat IAM peran

EBSCSIPlugin Amazon memerlukan IAM izin untuk melakukan panggilan atas nama Anda. AWS APIs Jika Anda tidak melakukan langkah-langkah ini, mencoba menginstal add-on dan menjalankan kubectl describe pvc akan muncul failed to provision volume with StorageClass bersama dengan could not create volume in EC2: UnauthorizedOperation kesalahan. Untuk informasi selengkapnya, lihat Mengatur izin pengemudi diGitHub.

catatan

Podsakan memiliki akses ke izin yang ditetapkan ke IAM peran kecuali Anda memblokir akses keIMDS. Untuk informasi selengkapnya, lihat Amankan EKS klaster Amazon dengan praktik terbaik.

Prosedur berikut menunjukkan kepada Anda cara membuat IAM peran dan melampirkan kebijakan AWS terkelola padanya. Anda dapat menggunakaneksctl, AWS Management Console, atau AWS CLI.

catatan

Langkah-langkah spesifik dalam prosedur ini ditulis untuk menggunakan driver sebagai EKS add-on Amazon. Langkah-langkah yang berbeda diperlukan untuk menggunakan driver sebagai add-on yang dikelola sendiri. Untuk informasi selengkapnya, lihat Mengatur izin driver padaGitHub.

eksctl

Untuk membuat IAM peran EBS CSI plugin Amazon Anda dengan eksctl

1. Buat IAM peran dan lampirkan kebijakan. AWS mempertahankan kebijakan AWS terkelola atau Anda dapat membuat kebijakan kustom Anda sendiri. Anda dapat membuat IAM peran dan melampirkan kebijakan AWS terkelola dengan perintah berikut. Ganti gugus saya dengan nama cluster Anda. Perintah menerapkan AWS CloudFormation tumpukan yang membuat IAM peran dan melampirkan IAM kebijakan padanya. Jika cluster Anda berada di AWS GovCloud (AS-Timur) atau AWS GovCloud (AS-Barat) Wilayah AWS, maka ganti arn:aws: dengan. arn:aws-us-gov:

   eksctl create iamserviceaccount \
           --name ebs-csi-controller-sa \
           --namespace kube-system \
           --cluster my-cluster \
           --role-name AmazonEKS_EBS_CSI_DriverRole \
           --role-only \
           --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
           --approve
       

2. Jika Anda menggunakan KMSkunci khusus untuk enkripsi pada EBS volume Amazon Anda, sesuaikan IAM peran sesuai kebutuhan. Sebagai contoh, lakukan hal berikut:

   1. Salin dan tempel kode berikut ke kms-key-for-encryption-on-ebs.json file baru. Ganti custom-key-arn dengan KMStombol kustomARN.

      {
            "Version": "2012-10-17",
            "Statement": [
              {
                "Effect": "Allow",
                "Action": [
                  "kms:CreateGrant",
                  "kms:ListGrants",
                  "kms:RevokeGrant"
                ],
                "Resource": ["custom-key-arn"],
                "Condition": {
                  "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                  }
                }
              },
              {
                "Effect": "Allow",
                "Action": [
                  "kms:Encrypt",
                  "kms:Decrypt",
                  "kms:ReEncrypt*",
                  "kms:GenerateDataKey*",
                  "kms:DescribeKey"
                ],
                "Resource": ["custom-key-arn"]
              }
            ]
          }

   2. Buat kebijakan. Anda dapat mengubah KMS_Key_For_Encryption_On_EBS_Policy ke nama yang berbeda. Namun, jika Anda melakukannya, pastikan untuk mengubahnya di langkah selanjutnya juga.

      aws iam create-policy \
            --policy-name KMS_Key_For_Encryption_On_EBS_Policy \
            --policy-document file://kms-key-for-encryption-on-ebs.json
          

   3. Lampirkan IAM kebijakan ke peran dengan perintah berikut. Ganti 111122223333 dengan ID akun Anda. Jika cluster Anda berada di AWS GovCloud (AS-Timur) atau AWS GovCloud (AS-Barat) Wilayah AWS, maka ganti arn:aws: dengan. arn:aws-us-gov:

      aws iam attach-role-policy \
            --policy-arn arn:aws:iam::111122223333:policy/KMS_Key_For_Encryption_On_EBS_Policy \
            --role-name AmazonEKS_EBS_CSI_DriverRole
          

AWS Management Console

Untuk membuat IAM peran EBS CSI plugin Amazon Anda dengan AWS Management Console

1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

2. Di panel navigasi sebelah kiri, pilih Peran.

3. Pada halaman Peran, pilih Buat peran.

4. Pada halaman Pilih entitas tepercaya, lakukan hal berikut:

   1. Di bagian Jenis entitas tepercaya, pilih Identitas web.

   2. Untuk penyedia Identitas, pilih OpenID Connectpenyedia URL untuk klaster Anda (seperti yang ditunjukkan di bawah Ikhtisar di AmazonEKS).

   3. Untuk Audiens, pilih sts.amazonaws.com.

   4. Pilih Berikutnya.

5. Pada halaman Tambahkan izin, lakukan hal berikut:

   1. Di dalam kotak Filter kebijakan, masukkan AmazonEBSCSIDriverPolicy.

   2. Pilih kotak centang di sebelah kiri yang AmazonEBSCSIDriverPolicy dikembalikan dalam pencarian.

   3. Pilih Berikutnya.

6. Pada halaman Nama, tinjau, dan buat, lakukan hal berikut:

   1. Untuk nama Peran, masukkan nama unik untuk peran Anda, sepertiAmazonEKS_EBS_CSI_DriverRole.

   2. Di bawah Tambahkan tag (Opsional), tambahkan metadata ke peran dengan melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag diIAM, lihat Menandai IAM sumber daya di Panduan IAM Pengguna.

   3. Pilih Buat peran.

7. Setelah peran dibuat, pilih peran di konsol untuk dibuka, dan kemudian diedit.

8. Pilih tab Trust relationship, lalu pilih Edit trust policy.

9. Temukan garis yang terlihat mirip dengan baris berikut:

   "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"

   Tambahkan koma ke akhir baris sebelumnya, lalu tambahkan baris berikut setelah baris sebelumnya. Ganti region-code dengan tempat Wilayah AWS cluster Anda berada. Ganti EXAMPLED539D4633E53DE1B71EXAMPLE dengan ID OIDC penyedia klaster Anda.

   "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:ebs-csi-controller-sa"

10. Pilih Perbarui kebijakan untuk menyelesaikan.

11. Jika Anda menggunakan KMSkunci khusus untuk enkripsi pada EBS volume Amazon Anda, sesuaikan IAM peran sesuai kebutuhan. Sebagai contoh, lakukan hal berikut:

    1. Di panel navigasi di sebelah kiri, pilih Kebijakan.

    2. Pada halaman Kebijakan, pilih Buat Kebijakan.

    3. Pada halaman Buat kebijakan, pilih JSONtab.

    4. Salin dan tempel kode berikut ke editor, ganti custom-key-arn dengan KMSkunci khususARN.

       {
             "Version": "2012-10-17",
             "Statement": [
               {
                 "Effect": "Allow",
                 "Action": [
                   "kms:CreateGrant",
                   "kms:ListGrants",
                   "kms:RevokeGrant"
                 ],
                 "Resource": ["custom-key-arn"],
                 "Condition": {
                   "Bool": {
                     "kms:GrantIsForAWSResource": "true"
                   }
                 }
               },
               {
                 "Effect": "Allow",
                 "Action": [
                   "kms:Encrypt",
                   "kms:Decrypt",
                   "kms:ReEncrypt*",
                   "kms:GenerateDataKey*",
                   "kms:DescribeKey"
                 ],
                 "Resource": ["custom-key-arn"]
               }
             ]
           }

    5. Pilih Berikutnya: Tag

    6. Pada halaman Tambahkan tag (Opsional), pilih Berikutnya: Ulasan.

    7. Untuk Nama, masukkan nama unik untuk kebijakan Anda (misalnya,KMS_Key_For_Encryption_On_EBS_Policy).

    8. Pilih Buat kebijakan.

    9. Di panel navigasi sebelah kiri, pilih Peran.

    10. Pilih AmazonEKS_EBS_CSI_DriverRoledi konsol untuk membukanya untuk diedit.

    11. Dari daftar tarik-turun Tambahkan izin, pilih Lampirkan kebijakan.

    12. Di dalam kotak Filter kebijakan, masukkan KMS_Key_For_Encryption_On_EBS_Policy.

    13. Pilih kotak centang di sebelah kiri KMS_Key_For_Encryption_On_EBS_Policy yang dikembalikan dalam pencarian.

    14. Pilih Lampirkan kebijakan.

AWS CLI

Untuk membuat IAM peran EBS CSI plugin Amazon Anda dengan AWS CLI

1. Lihat OIDC penyedia klaster AndaURL. Ganti my-cluster dengan nama klaster Anda. Jika output dari perintah adalah None, tinjau Prasyarat.

   aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text
       

   Contoh output adalah sebagai berikut.

   https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE

2. Buat IAM peran, berikan AssumeRoleWithWebIdentity tindakan.

   1. Salin konten berikut ke file yang diberi namaaws-ebs-csi-driver-trust-policy.json. Ganti 111122223333 dengan ID akun Anda. Ganti EXAMPLED539D4633E53DE1B71EXAMPLE dan region-code dengan nilai yang dikembalikan pada langkah sebelumnya. Jika cluster Anda berada di AWS GovCloud (AS-Timur) atau AWS GovCloud (AS-Barat) Wilayah AWS, maka ganti arn:aws: dengan. arn:aws-us-gov:

      {
            "Version": "2012-10-17",
            "Statement": [
              {
                "Effect": "Allow",
                "Principal": {
                  "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
                },
                "Action": "sts:AssumeRoleWithWebIdentity",
                "Condition": {
                  "StringEquals": {
                    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com",
                    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:ebs-csi-controller-sa"
                  }
                }
              }
            ]
          }

   2. Buat peran. Anda dapat mengubah AmazonEKS_EBS_CSI_DriverRole ke nama yang berbeda. Jika Anda mengubahnya, pastikan untuk mengubahnya di langkah selanjutnya.

      aws iam create-role \
            --role-name AmazonEKS_EBS_CSI_DriverRole \
            --assume-role-policy-document file://"aws-ebs-csi-driver-trust-policy.json"
          

3. Lampirkan kebijakan. AWS mempertahankan kebijakan AWS terkelola atau Anda dapat membuat kebijakan kustom Anda sendiri. Lampirkan kebijakan AWS terkelola ke peran dengan perintah berikut. Jika cluster Anda berada di AWS GovCloud (AS-Timur) atau AWS GovCloud (AS-Barat) Wilayah AWS, maka ganti arn:aws: dengan. arn:aws-us-gov:

   aws iam attach-role-policy \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
         --role-name AmazonEKS_EBS_CSI_DriverRole
       

4. Jika Anda menggunakan KMSkunci khusus untuk enkripsi pada EBS volume Amazon Anda, sesuaikan IAM peran sesuai kebutuhan. Sebagai contoh, lakukan hal berikut:

   1. Salin dan tempel kode berikut ke kms-key-for-encryption-on-ebs.json file baru. Ganti custom-key-arn dengan KMStombol kustomARN.

      {
            "Version": "2012-10-17",
            "Statement": [
              {
                "Effect": "Allow",
                "Action": [
                  "kms:CreateGrant",
                  "kms:ListGrants",
                  "kms:RevokeGrant"
                ],
                "Resource": ["custom-key-arn"],
                "Condition": {
                  "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                  }
                }
              },
              {
                "Effect": "Allow",
                "Action": [
                  "kms:Encrypt",
                  "kms:Decrypt",
                  "kms:ReEncrypt*",
                  "kms:GenerateDataKey*",
                  "kms:DescribeKey"
                ],
                "Resource": ["custom-key-arn"]
              }
            ]
          }

   2. Buat kebijakan. Anda dapat mengubah KMS_Key_For_Encryption_On_EBS_Policy ke nama yang berbeda. Namun, jika Anda melakukannya, pastikan untuk mengubahnya di langkah selanjutnya juga.

      aws iam create-policy \
            --policy-name KMS_Key_For_Encryption_On_EBS_Policy \
            --policy-document file://kms-key-for-encryption-on-ebs.json
          

   3. Lampirkan IAM kebijakan ke peran dengan perintah berikut. Ganti 111122223333 dengan ID akun Anda. Jika cluster Anda berada di AWS GovCloud (AS-Timur) atau AWS GovCloud (AS-Barat) Wilayah AWS, maka ganti arn:aws: dengan. arn:aws-us-gov:

      aws iam attach-role-policy \
            --policy-arn arn:aws:iam::111122223333:policy/KMS_Key_For_Encryption_On_EBS_Policy \
            --role-name AmazonEKS_EBS_CSI_DriverRole
          

Sekarang setelah Anda membuat IAM peran EBS CSI driver Amazon, Anda dapat melanjutkan ke bagian berikutnya. Saat Anda menerapkan add-on dengan IAM peran ini, itu akan dibuat dan dikonfigurasi untuk menggunakan akun layanan yang diberi nama. ebs-csi-controller-sa Akun layanan terikat pada Kubernetes clusterrole yang diberi Kubernetes izin yang diperlukan.

Langkah 2: Dapatkan EBS CSI driver Amazon

Kami menyarankan Anda menginstal EBS CSI driver Amazon melalui EKS add-on Amazon untuk meningkatkan keamanan dan mengurangi jumlah pekerjaan. Untuk menambahkan EKS add-on Amazon ke cluster Anda, lihatMembuat EKS add-on Amazon. Untuk informasi selengkapnya tentang add-on, lihatEKSPengaya Amazon.

penting

Sebelum menambahkan EBS driver Amazon sebagai EKS add-on Amazon, konfirmasikan bahwa Anda tidak memiliki versi driver yang dikelola sendiri yang diinstal pada cluster Anda. Jika demikian, lihat Menghapus instalasi EBS CSI driver Amazon yang dikelola sendiri di. GitHub

Atau, jika Anda menginginkan penginstalan EBS CSI driver Amazon yang dikelola sendiri, lihat Instalasi aktif. GitHub

Langkah 3: Menyebarkan aplikasi sampel

Anda dapat menerapkan berbagai contoh aplikasi dan memodifikasinya sesuai kebutuhan. Untuk informasi selengkapnya, lihat KubernetesContoh diGitHub.