Amazon EFS CSI ドライバー

Amazon Elastic File System (Amazon EFS) は、サーバーレスで伸縮自在なファイルストレージを提供するため、ストレージ容量およびパフォーマンスのプロビジョニングや管理を行うことなくファイルデータを共有できます。Amazon EFS Container Storage Interface (CSI) ドライバーは、AWS で動作する Kubernetes クラスターが Amazon EFS ファイルシステムのライフサイクルを管理できるようにする CSI インターフェイスを提供します。このトピックでは、Amazon EFS CSI ドライバーを Amazon EKS クラスターにデプロイする方法を示します。

考慮事項

• Amazon EFS CSI ドライバーは、Windows ベースのコンテナイメージと互換性がありません。

• Fargate ノードでは永続ボリュームのために動的プロビジョニングを使用できませんが、静的プロビジョニングは使用できます。

• 動的プロビジョニングには、1.2 以降のドライバーが必要です。サポートされている Amazon EKS クラスターのバージョンのドライバーのバージョン 1.1 を使用して、永続ボリュームのために静的プロビジョニングを使用できます。

• このドライバーのバージョン 1.3.2 以降では、Amazon EC2 Graviton ベースのインスタンスを含む Arm64 アーキテクチャがサポートされています。

• バージョン 1.4.2 以降のドライバーでは、ファイルシステムのマウントに FIPS を使用できます。

• Amazon EFS のリソースクォータに注意してください。例えば、Amazon EFS ファイルシステムごとに作成できるアクセスポイントのクォータは 1,000 です。詳細については、「変更できない Amazon EFS リソースクォータ」を参照してください。

前提条件

• クラスター用の既存 AWS Identity and Access Management IAM OpenID Connect (OIDC) プロバイダー。既に存在しているかどうかを確認する、または作成するには「クラスターの IAM OIDC プロバイダーを作成する」を参照してください。

• ご使用のデバイスまたは AWS CloudShell で、バージョン 2.12.3 以降、または AWS Command Line Interface (AWS CLI) のバージョン 1.27.160 以降がインストールおよび設定されていること。現在のバージョンを確認するには、「aws --version | cut -d / -f2 | cut -d ' ' -f1」を参照してください。macOS の yum、apt-get、または Homebrew などのパッケージマネージャは、AWS CLI の最新バージョンより数バージョン遅れることがあります。最新バージョンをインストールするには、「AWS Command Line Interface ユーザーガイド」の「AWS CLI のインストール、更新、およびアンインストール」と「aws configure でのクイック設定」を参照してください。AWS CloudShell にインストールされている AWS CLI バージョンは、最新バージョンより数バージョン遅れている可能性もあります。更新するには、「AWS CloudShell ユーザーガイド」の「ホームディレクトリへの AWS CLI のインストール」を参照してください。

• デバイスまたは AWS CloudShell に、kubectl コマンドラインツールがインストールされていること。バージョンは、ご使用のクラスターの Kubernetes バージョンと同じか、1 つ前のマイナーバージョン以前、あるいはそれより新しいバージョンが使用できます。例えば、クラスターのバージョンが 1.29 である場合、kubectl のバージョン 1.28、1.29、または 1.30 が使用できます。kubectl をインストールまたはアップグレードする方法については、「kubectl のインストールまたは更新」を参照してください。

注記

AWS Fargate で実行されている Pod は、Amazon EFS ファイルシステムを自動的にマウントします。

IAM ロールの作成

Amazon EFS CSI ドライバーには、ファイルシステムと対話するための IAM アクセス許可が必要です。IAM ロールを作成して、必要な AWS 管理ポリシーをアタッチします。eksctl、AWS Management Console、または AWS CLI を使用できます。

注記

この手順には、ドライバーを Amazon EKS アドオンとして使用するための特定のステップが書かれています。セルフマネージド型インストールについての詳細は、GitHub の「ドライバー権限の設定」を参照してください。

eksctl

eksctl で Amazon EFS CSI ドライバーの IAM ロールを作成するには

次のコマンドを実行して、IAM ロールを作成します。my-cluster をクラスターの名前に、AmazonEKS_EFS_CSI_DriverRole をロールの名前に置き換えます。

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

AWS Management Console

AWS Management Console で Amazon EFS CSI ドライバー IAM ロールを作成するには

1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. 左のナビゲーションペインで、[ロール] を選択します。

3. [ロール] ページで、[ロールの作成] を選択します。

4. [信頼されたエンティティを選択] ページで、以下の操作を実行します。

   1. [信頼されたエンティティの種類] セクションで、[ウェブ アイデンティティ] を選択します。

   2. [ID プロバイダー] で、(Amazon EKS の [概要] に示されているように) クラスターに [OpenID Connect プロバイダーの URL] を選択します。

   3. [対象者] で [sts.amazonaws.com] を選択します。

   4. [Next] を選択します。

5. [アクセス許可を追加] ページで、以下を実行します。

   1. [フィルタポリシー] ボックスに AmazonEFSCSIDriverPolicy と入力します。

   2. 検索で返された AmazonEFSCSIDriverPolicy の左にあるチェックボックスを選択します。

   3. [Next] を選択します。

6. [名前を付けて、レビューし、作成する] ページで、以下の操作を実行します。

   1. [ロール名] に、AmazonEKS_EFS_CSI_DriverRole などのロールの一意の名前を入力します。

   2. [タグの追加 (オプション)] で、タグをキーバリューのペアとして添付して、メタデータをロールに追加します。IAM でのタグの使用に関する詳細については、『IAM ユーザーガイド』の「IAM リソースにタグを付ける」を参照してください。

   3. [ロールの作成] を選択します。

7. ロールが作成されたら、コンソールでロールを選択して編集用に開きます。

8. [信頼関係] タブを選択し、続いて [信頼ポリシーの編集] を選択します。

9. 次の行と似ている行を探してます。

   "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"

   前の行の上に、次の行を追加します。region-code をクラスターのある AWS リージョン に置き換えます。EXAMPLED539D4633E53DE1B71EXAMPLE をクラスターの OIDC プロバイダー ID に置き換えます。

   "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:efs-csi-*",
   

10. Condition オペレーターを "StringEquals" から "StringLike" に修正します。

11. [ポリシーの更新] を選択して終了します。

AWS CLI

AWS CLI で Amazon EFS CSI ドライバー IAM ロールを作成するには

1. クラスターの OIDC プロバイダーの URL を表示します。my-cluster をクラスター名に置き換えます。コマンドの出力が None の場合は、「前提条件」を確認してください。

   aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text
   

   出力例は次のとおりです。

   https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE

2. IAM ロールを作成して AssumeRoleWithWebIdentity アクションを付与します。

   1. 次の内容を aws-efs-csi-driver-trust-policy.json という名前のファイルにコピーします。111122223333 はご使用のアカウントの ID に置き換えます。EXAMPLED539D4633E53DE1B71EXAMPLE と region-code を、前のステップで返された値に置き換えます。クラスターが AWS GovCloud (米国東部) または AWS GovCloud (米国東部) の AWS リージョン にある場合は、arn:aws: を arn:aws-us-gov: に置き換えます。

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
              "StringLike": {
                "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:efs-csi-*",
                "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"
              }
            }
          }
        ]
      }

   2. ロールを作成する。AmazonEKS_EFS_CSI_DriverRole を別の名前に変更できますが、変更する場合は、後の手順でも変更してください。

      aws iam create-role \
        --role-name AmazonEKS_EFS_CSI_DriverRole \
        --assume-role-policy-document file://"aws-efs-csi-driver-trust-policy.json"
      

3. 次のマンドを実行して、必要な AWS マネージドポリシーをロールに添付します。クラスターが AWS GovCloud (米国東部) または AWS GovCloud (米国東部) の AWS リージョン にある場合は、arn:aws: を arn:aws-us-gov: に置き換えます。

   aws iam attach-role-policy \
     --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
     --role-name AmazonEKS_EFS_CSI_DriverRole
   

Amazon EFS CSI ドライバーのインストール

Amazon EFS CSI ドライバーは Amazon EKS アドオンを使用してインストールすることをお勧めします。Amazon EKS アドオンをクラスターに追加するには、「アドオンの作成」を参照してください。アドオンの詳細については、「Amazon EKS アドオン」を参照してください。Amazon EKS アドオンを使用できない場合は、その理由について、問題をコンテナロードマップの GitHub リポジトリに送信することをお勧めします。

または、Amazon EFS CSI ドライバーのセルフマネージド型インストールが必要な場合は、GitHub の「インストール」を参照してください。

Amazon EFS ファイルシステムの作成

Amazon EFS ファイルシステムを作成するには、GitHub の「Amazon EKS 用の Amazon EFS ファイルシステムを作成する」を参照してください。

サンプルアプリケーションをデプロイする

さまざまなサンプルアプリケーションをデプロイし、必要に応じて変更できます。詳細については、GitHub の「例」を参照してください。