帮助改进此页面
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。
使用 Amazon EBS 存储 Kubernetes 卷
注意
新增:Amazon EKS 自动模式可自动执行块存储例行任务。了解如何将示例有状态工作负载部署到 EKS 自动模式。
Amazon Elastic Block Store(Amazon EBS)Container Storage Interface(CSI)驱动程序
注意事项
-
您无需在 EKS 自动模式集群上安装 Amazon EBS CSI 控制器。
-
您无法将 Amazon EBS 卷挂载到 Fargate 容器组(pod)。
-
您可以在 Fargate 节点上运行 Amazon EBS CSI 控制器,但要在 Amazon EBS CSI 节点
DaemonSet只能在 Amazon EC2 实例上运行。 -
Amazon EBS 卷和 Amazon EBS CSI 驱动程序与 Amazon EKS 混合节点功能不兼容。
-
将为最新的附加组件版本和一个先前版本提供支持。在最新版本中发现的错误或漏洞将在新的次要版本中向后移植到先前的版本。
-
只有通过存储类(将
ebs.csi.eks.amazonaws.com作为预置器)创建的平台版本,才能挂载在 EKS 自动模式创建的节点上。必须使用卷快照将现有平台版本迁移到新的存储类。
重要
要使用 Amazon EBS CSI 驱动程序的快照功能,必须先安装 CSI 快照控制器。有关更多信息,请参阅 为 CSI 卷启用快照功能。
先决条件
-
现有集群。要查看所需的平台版本,请运行以下命令。
aws eks describe-addon-versions --addon-name aws-ebs-csi-driver -
EBS CSI 驱动程序需要 AWS IAM 权限。
-
AWS 建议使用 EKS 容器组身份。有关更多信息,请参阅 EKS 容器组身份设置概述。
-
有关服务账户 IAM 角色的信息,请参阅为集群创建 IAM OIDC 提供商。
-
-
如果您使用的是集群范围内受限的 PodSecurityPolicy,请确保授予该附加组件足够的权限,以进行部署。有关每个附加组件容器组(pod)所需的权限,请参阅 GitHub 上的相关附加组件清单定义
。
步骤 1:创建 IAM 角色
Amazon EBS CSI 插件需要 IAM 权限才能代表您调用 AWS API。如果您未完成这些步骤,则在尝试安装附加组件并运行 kubectl describe pvc 时,将会显示 failed to provision volume with StorageClass 以及 could not create volume in EC2: UnauthorizedOperation 错误。有关更多信息,请参阅 GitHub 上的设置驱动程序权限
注意
容器组(pod)将有权访问分配给 IAM 角色的权限,除非您阻止对 IMDS 的访问。有关更多信息,请参阅 使用最佳实践保护 Amazon EKS 集群。
以下过程为您演示了如何创建 IAM 角色并向其附加 AWS 托管策略。要实现此过程,可以使用以下过程之一:
注意
此过程中的具体步骤是为将驱动程序用作 Amazon EKS 附加组件而编写的。要将驱动程序用作自行管理的附加组件,需要遵循不同的步骤。有关更多信息,请参阅 GitHub 上的 Set up driver permissions
eksctl
-
创建 IAM 角色并附加到策略。AWS 维护 AWS 托管策略,或者您可创建自己的自定义策略。您可以使用以下命令创建 IAM 角色并将 AWS 托管策略附加到其上。将
my-cluster替换为您的集群的名称。此命令将部署 AWS CloudFormation 堆栈,该堆栈将创建 IAM 角色,并会将 IAM 策略附加到该堆栈。eksctl create iamserviceaccount \ --name ebs-csi-controller-sa \ --namespace kube-system \ --cluster my-cluster \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --role-only \ --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \ --approve -
如果在 Amazon EBS 卷上使用自定义 KMS 密钥
进行加密,请根据需要自定义 IAM 角色。例如,执行以下操作: -
复制并在新的
kms-key-for-encryption-on-ebs.json文件中粘贴以下代码。将custom-key-arn替换为自定义 KMS 密钥 ARN。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["custom-key-arn"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": ["custom-key-arn"] } ] } -
创建策略。您可以将
KMS_Key_For_Encryption_On_EBS_Policy更改为其它名称。但是,如果更改了名称,请确保在后面的步骤中也进行相应的更改。aws iam create-policy \ --policy-name KMS_Key_For_Encryption_On_EBS_Policy \ --policy-document file://kms-key-for-encryption-on-ebs.json -
使用以下命令将 IAM policy 附加到该角色。请将
111122223333替换为您的账户 ID。aws iam attach-role-policy \ --policy-arn arn:aws:iam::111122223333:policy/KMS_Key_For_Encryption_On_EBS_Policy \ --role-name AmazonEKS_EBS_CSI_DriverRole
-
AWS Management Console
-
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在左侧导航窗格中,选择 Roles(角色)。
-
在 Roles(角色)页面上,选择 Create role(创建角色)。
-
在 Select trusted entity(选择受信任的实体)页面上,请执行以下操作:
-
在 Trusted entity type(受信任的实体类型)部分中,选择 Web identity(Web 身份)。
-
对于 Identity provider(身份提供商),为您的集群选择 OpenID Connect provider URL(OpenID Connect 提供程序 URL)(如 Amazon EKS 中的 Overview(概述)下所示)。
-
对于 Audience (受众),请选择
sts.amazonaws.com。 -
选择下一步。
-
-
在 Add permissions(添加权限)页面上,请执行以下操作:
-
在 Filter policies (筛选器策略) 框中,输入
AmazonEBSCSIDriverPolicy。 -
选中搜索返回的
AmazonEBSCSIDriverPolicy左侧的复选框。 -
选择下一步。
-
-
在 Name, review, and create(命名、查看和创建)页面中,请执行以下操作:
-
对于角色名称,为角色输入唯一名称,例如
AmazonEKS_EBS_CSI_DriverRole。 -
在添加标签(可选)下,将标签作为键值对附加,以将元数据添加到角色。有关在 IAM 中使用标签的更多信息,请参阅《IAM 用户指南》 中的标记 IAM 资源。
-
选择 Create role(创建角色)。
-
-
创建角色后,在控制台中选择角色以将其打开进行编辑。
-
选择 Trust relationships(信任关系)选项卡,然后选择 Edit trust policy(编辑信任策略)。
-
该行看起来类似于以下行:
"oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"在上一行末尾添加逗号,然后在前一行后面添加以下行。将
region-code替换为您的集群所在的 AWS 区域。将EXAMPLED539D4633E53DE1B71EXAMPLE替换为您的集群的 OIDC 提供者 ID。"oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:ebs-csi-controller-sa" -
选择 Update policy(更新策略)以完成操作。
-
如果在 Amazon EBS 卷上使用自定义 KMS 密钥
进行加密,请根据需要自定义 IAM 角色。例如,执行以下操作: -
在左侧导航窗格中,选择 Policies(策略)。
-
在策略页面上,选择 Create a policy (创建策略)。
-
在创建策略页面上,选择 JSON 选项卡。
-
将以下代码复制并粘贴到编辑器中,并将
custom-key-arn替换为自定义 KMS 密钥 ARN。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["custom-key-arn"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": ["custom-key-arn"] } ] } -
选择下一步:标签。
-
在 Add tags (Optional)(添加标签(可选))页面上,选择 Next: Review(下一步:审核)。
-
在名称中,输入策略的唯一名称(例如,
KMS_Key_For_Encryption_On_EBS_Policy)。 -
选择 创建策略。
-
在左侧导航窗格中,选择 角色。
-
在控制台中选择
AmazonEKS_EBS_CSI_DriverRole以打开它进行编辑。 -
从添加权限下拉列表中,选择附加策略。
-
在筛选策略框中,输入
KMS_Key_For_Encryption_On_EBS_Policy。 -
选中搜索中返回的
KMS_Key_For_Encryption_On_EBS_Policy左侧的复选框。 -
选择附加策略。
-
AWS CLI
-
查看集群的 OIDC 提供者 URL。将
my-cluster替换为您的集群名称。如果命令的输出为None,请查看先决条件。aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text示例输出如下。
https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE -
创建 IAM 角色并向其授予
AssumeRoleWithWebIdentity操作。-
将以下内容复制到名为
aws-ebs-csi-driver-trust-policy.json的文件中。请将111122223333替换为您的账户 ID。将EXAMPLED539D4633E53DE1B71EXAMPLE和region-code替换为上一步中返回的值。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com", "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:ebs-csi-controller-sa" } } } ] } -
创建角色。您可以将
AmazonEKS_EBS_CSI_DriverRole更改为其它名称。如果更改了名称,请确保在后面的步骤中也进行相应的更改。aws iam create-role \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --assume-role-policy-document file://"aws-ebs-csi-driver-trust-policy.json"
-
-
附加策略。AWS 维护 AWS 托管策略,或者您可创建自己的自定义策略。使用以下命令以将 AWS 托管策略附加到角色。
aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \ --role-name AmazonEKS_EBS_CSI_DriverRole -
如果在 Amazon EBS 卷上使用自定义 KMS 密钥
进行加密,请根据需要自定义 IAM 角色。例如,执行以下操作: -
复制并在新的
kms-key-for-encryption-on-ebs.json文件中粘贴以下代码。将custom-key-arn替换为自定义 KMS 密钥 ARN。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": ["custom-key-arn"], "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": ["custom-key-arn"] } ] } -
创建策略。您可以将
KMS_Key_For_Encryption_On_EBS_Policy更改为其它名称。但是,如果更改了名称,请确保在后面的步骤中也进行相应的更改。aws iam create-policy \ --policy-name KMS_Key_For_Encryption_On_EBS_Policy \ --policy-document file://kms-key-for-encryption-on-ebs.json -
使用以下命令将 IAM policy 附加到该角色。请将
111122223333替换为您的账户 ID。aws iam attach-role-policy \ --policy-arn arn:aws:iam::111122223333:policy/KMS_Key_For_Encryption_On_EBS_Policy \ --role-name AmazonEKS_EBS_CSI_DriverRole
-
现在您已经创建了 Amazon EBS CSI 驱动程序 IAM 角色,可以前往完成下一部分。使用此 IAM 角色部署附加组件后,该附加组件会创建一个名为 ebs-csi-controller-sa 的服务账户,并配置为使用该服务账户。服务账户绑定到被分配了所需的 Kubernetes 权限的 Kubernetes clusterrole。
第 2 步:获取 Amazon EBS CSI 驱动程序
我们建议您通过 Amazon EKS 附加组件来安装 Amazon EBS CSI 驱动程序,从而提高安全性并减少工作量。要将 Amazon EKS 附加组件添加到您的集群,请参阅 创建 Amazon EKS 附加组件。有关附加组件的更多信息,请参阅 Amazon EKS 附加组件。
重要
在将 Amazon EBS 驱动程序添加为 Amazon EKS 附加组件之前,请确认您的集群上没有安装该驱动程序的自行管理版本。如果安装了这样的版本,请参阅 GitHub 上的 Uninstalling a self-managed Amazon EBS CSI driver
如果要对 Amazon EBS CSI 驱动程序进行自主管理型安装,请参阅 GitHub 上的 Installation
第 3 步:部署示例应用程序
您可以部署各种示例应用程序并根据需要对其进行修改。有关更多信息,请参阅 GitHub 上的 Kubernetes Examples
