Amazon EFS CSI 드라이버
Amazon Elastic File System(Amazon EFS)은 완전히 탄력적인 서버리스 파일 스토리지를 제공하므로 스토리지 용량과 성능을 프로비저닝하거나 관리하지 않고도 파일 데이터를 공유할 수 있습니다. Amazon EFS Container Storage Interface(CSI) 드라이버는 AWS에서 실행되는 Kubernetes 클러스터가 Amazon EFS 파일 시스템의 수명 주기를 관리할 수 있게 해주는 CSI 인터페이스를 제공합니다. 이 주제에서는 Amazon EFS CSI 드라이버를 Amazon EKS 클러스터에 배포하는 방법을 설명합니다.
고려 사항
-
Amazon EFS CSI 드라이버는 Windows 기반 컨테이너 이미지와 호환되지 않습니다.
-
Fargate 노드에는 영구 볼륨에 대해 동적 프로비저닝을 사용할 수 없지만 정적 프로비저닝은 사용할 수 있습니다.
-
동적 프로비저닝은 1.2 이상의 드라이버가 필요합니다. 모든 지원되는 Amazon EKS 클러스터 버전에서 드라이버 버전 1.1을 사용하여 영구 볼륨에 대해 정적 프로비저닝을 사용할 수 있습니다.
-
이 드라이버의 버전 1.3.2 이상은 Amazon EC2 Graviton 기반 인스턴스를 포함하여 Arm64 아키텍처를 지원합니다.
-
이 드라이버의 버전 1.4.2 이상은 파일 시스템 탑재에 FIPS 사용을 지원합니다.
-
Amazon EFS의 리소스 할당량을 기록해 둡니다. 예를 들어, 각 Amazon EFS 파일 시스템에 대해 생성할 수 있는 액세스 포인트 할당량은 1,000개입니다. 자세한 내용은 변경할 수 없는 Amazon EFS 리소스 할당량을 참조하세요.
필수 조건
-
클러스터에 대한 기존 AWS Identity and Access Management(IAM) OpenID Connect(OIDC) 제공업체입니다. 이미 있는지 아니면 생성해야 하는지 확인하려면 클러스터의 IAM OIDC 제공업체 생성 부분을 참조하세요.
-
AWS Command Line Interface(AWS CLI) 버전 2.12.3 이상 또는 1.27.160 이상이 디바이스나 AWS CloudShell에 설치 및 구성되어 있습니다. 현재 버전을 확인하려면 aws --version | cut -d / -f2 | cut -d ' '
-f1yum, apt-get 또는 Homebrew와 같은 패키지 관리자는 최신 버전의 AWS CLI보다 여러 버전 이전인 경우가 많습니다. 최신 버전을 설치하려면 AWS Command Line Interface 사용 설명서의 AWS CLI 설치, 업데이트 및 제거와 aws configure를 통한 빠른 구성을 참조하세요. AWS CloudShell에 설치된 AWS CLI 버전도 최신 버전보다 여러 버전 이전일 수도 있습니다. 업데이트하려면 AWS CloudShell 사용 설명서의 홈 디렉터리에 AWS CLI 설치를 참조하세요.
-
디바이스 또는 AWS CloudShell에 설치된 kubectl 명령줄 도구. 버전은 클러스터의 Kubernetes 버전과 동일하거나 최대 하나 이전 또는 이후의 마이너 버전일 수 있습니다. 예를 들어 클러스터 버전이 1.28인 경우 kubectl 버전 1.27, 1.28 또는 1.29를 함께 사용할 수 있습니다. kubectl을 설치하거나 업그레이드하려면 kubectl 설치 또는 업데이트 부분을 참조하세요.
AWS Fargate에서 실행되는 Pod는 Amazon EFS 파일 시스템을 자동으로 탑재합니다.
IAM 역할 생성
Amazon EFS CSI 드라이버가 파일 시스템과 상호 작용하려면 IAM 권한이 필요합니다. IAM 역할을 생성하고 필요한 AWS 관리형 정책을 연결합니다. eksctl, AWS Management Console 또는 AWS CLI를 사용할 수 있습니다.
- eksctl
-
eksctl을(를) 사용하여 Amazon EFS CSI 드라이버 IAM 역할 생성
다음 명령을 실행하여 IAM 역할을 생성합니다. my-clusterAmazonEKS_EFS_CSI_DriverRole
export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
--name efs-csi-controller-sa \
--namespace kube-system \
--cluster $cluster_name \
--role-name $role_name \
--role-only \
--attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
--approve
TRUST_POLICY=$(aws iam get-role --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
- AWS Management Console
-
AWS Management Console을(를) 사용하여 Amazon EFS CSI 드라이버 IAM 역할 생성
https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.
-
왼쪽 탐색 창에서 역할을 선택합니다.
-
역할(Roles) 페이지에서 역할 생성(Create role)을 선택합니다.
-
신뢰할 수 있는 엔터티 선택(Select trusted entity) 페이지에서 다음을 수행합니다.
신뢰할 수 있는 엔터티 유형(Trusted entity type) 섹션에서 웹 자격 증명(Web identity)을 선택합니다.
-
보안 인증 공급자의 경우 클러스터에 대해 OpenID Connect 공급자 URL을 선택합니다(Amazon EKS의 개요에 표시된 대로).
-
대상(Audience)에서 sts.amazonaws.com을 입력합니다.
다음을 선택합니다.
-
권한 추가(Add permissions) 페이지에서 다음을 수행합니다.
-
필터 정책(Filter policies) 상자에 AmazonEFSCSIDriverPolicy
-
검색에서 반환된 AmazonEFSCSIDriverPolicy
다음을 선택합니다.
-
이름, 검토 및 생성(Name, review, and create) 페이지에서 다음을 수행합니다.
-
역할 이름(Role name)에 역할의 고유한 이름(예: AmazonEKS_EFS_CSI_DriverRole
태그 추가(선택 사항)에서 태그를 키-값 페어로 연결하여 메타데이터를 역할에 추가합니다. IAM에서 태그 사용에 대한 자세한 내용을 알아보려면 IAM 사용 설명서의 IAM 리소스에 태그 지정을 참조하세요.
-
역할 생성을 선택합니다.
역할을 생성한 후 편집할 수 있도록 콘솔에서 이 역할을 선택하여 엽니다.
신뢰 관계(Trust relationships) 탭을 선택한 후 신뢰 정책 편집(Edit trust policy)을 선택합니다.
-
다음과 비슷한 줄을 찾습니다.
"oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"
이전 줄 위에 다음 줄을 추가합니다. region-codeEXAMPLED539D4633E53DE1B71EXAMPLE
"oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:efs-csi-*",
-
Condition 운영자를 "StringEquals"에서 "StringLike"(으)로 수정합니다.
-
신뢰 정책 업데이트(Update Trust Policy)를 선택하여 종료합니다.
- AWS CLI
-
AWS CLI을(를) 사용하여 Amazon EFS CSI 드라이버 IAM 역할 생성
-
클러스터의 OIDC 공급자 URL을 확인합니다. my-clusterNone인 경우 사전 요구 사항을 검토합니다.
aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text
예제 출력은 다음과 같습니다.
https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE
-
AssumeRoleWithWebIdentity 작업을 부여하는 IAM 역할을 생성합니다.
-
다음 콘텐츠를 aws-efs-csi-driver-trust-policy.json111122223333EXAMPLED539D4633E53DE1B71EXAMPLEregion-codearn:aws:를 arn:aws-us-gov:로 바꿉니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringLike": {
"oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:efs-csi-*",
"oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"
}
}
}
]
}
-
역할을 생성합니다. AmazonEKS_EFS_CSI_DriverRole
aws iam create-role \
--role-name AmazonEKS_EFS_CSI_DriverRole \
--assume-role-policy-document file://"aws-efs-csi-driver-trust-policy.json"
-
다음 명령어로 필요한 AWS 관리형 정책을 역할에 연결합니다. 클러스터가 AWS GovCloud(미국 동부) 또는 AWS GovCloud(미국 서부) AWS 리전에 있는 경우 arn:aws:를 arn:aws-us-gov:로 바꿉니다.
aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
--role-name AmazonEKS_EFS_CSI_DriverRole
Amazon EFS CSI 드라이버 설치
Amazon EKS 추가 기능을 통해 Amazon EFS CSI 드라이버를 설치하는 것이 좋습니다. Amazon EKS 추가 기능을 클러스터에 추가하려면 추가 기능 생성 섹션을 참조하세요. Amazon EKS 추가 기능에 대한 자세한 내용은 Amazon EKS 추가 기능 섹션을 참조하세요. Amazon EKS 추가 기능을 사용할 수 없는 경우, 사용할 수 없는 이유에 대한 문제를 컨테이너 로드맵 GitHub 리포지토리에 제출하는 것이 좋습니다.
대신 Amazon EFS CSI 드라이버의 자체 관리형 설치를 원하는 경우 GitHub의 설치를 참조하세요.
Amazon Elastic 파일 시스템 생성
Amazon EFS 파일 시스템을 생성하려면 GitHub의 Create an Amazon EFS file system for Amazon EKS를 참조하세요.
샘플 애플리케이션 배포
다양한 샘플 앱을 배포하고 필요에 따라 수정할 수 있습니다. 자세한 내용은 GitHub에 있는 예제를 참조하세요.
