Utilizzare il volume di archiviazione Kubernetes con Amazon EBS - Amazon EKS
ConsiderazioniPrerequisitiPassaggio 1: Creazione di un ruolo IAMFase 2: ottenere il driver CSI di Amazon EBSFase 3: implementazione di un’applicazione di esempio

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzare il volume di archiviazione Kubernetes con Amazon EBS

Nota

Novità: la modalità automatica di Amazon EKS automatizza le attività di routine per l’archiviazione a blocchi. Informazioni su come Implementazione di un carico di lavoro stateful esemplificativo in modalità automatica EKS.

Il driver Container Storage Interface (CSI) di Amazon Elastic Block Store (Amazon EBS) gestisce il ciclo di vita dei volumi Amazon EBS come archiviazione per i volumi Kubernetes creati. Il driver CSI di Amazon EBS crea volumi Amazon EBS per questi tipi di volumi Kubernetes: volumi generici effimeri e volumi persistenti.

Considerazioni

  • Non è necessario installare il controller CSI di Amazon EBS sui cluster della modalità automatica EKS.

  • Non è possibile montare volumi Amazon EBS sui pod Fargate.

  • Puoi eseguire il controller Amazon EBS CSI sui nodi Fargate, ma il nodo Amazon EBS CSI può essere eseguito DaemonSet solo su istanze Amazon. EC2

  • I volumi Amazon EBS e il driver CSI di Amazon EBS non sono compatibili con Amazon EKS Hybrid Nodes.

  • Verrà fornito supporto per la versione più recente del componente aggiuntivo e per una versione precedente. I bug o le vulnerabilità rilevati nella versione precedente verranno sottoposti a backport alla versione precedente in una nuova versione secondaria.

  • La modalità automatica EKS richiede classi di archiviazione per utilizzare ebs.csi.eks.amazonaws.com come provisioner. Il driver CSI di Amazon EBS standard (ebs.csi.aws.com) gestisce i propri volumi separatamente. Per utilizzare i volumi esistenti con la modalità automatica EKS, eseguirne la migrazione tramite snapshot del volume verso una classe di archiviazione che utilizza il provisioner della modalità automatica.

Importante

Per utilizzare la funzionalità snapshot del driver CSI di Amazon EBS, è prima necessario installare il controller di snapshot CSI. Per ulteriori informazioni, consulta Abilitare la funzionalità snapshot per i volumi CSI.

Prerequisiti

Passaggio 1: Creazione di un ruolo IAM

Il plug-in Amazon EBS CSI richiede le autorizzazioni IAM per effettuare chiamate per tuo AWS APIs conto. Se non viene soddisfatto questo prerequisito, il tentativo di installare il componente aggiuntivo e l’esecuzione di kubectl describe pvc riporteranno failed to provision volume with StorageClass insieme a un errore could not create volume in EC2: UnauthorizedOperation. Per ulteriori informazioni, consulta Configurazione dell'autorizzazione driver su GitHub.

Nota

I pod avranno accesso alle autorizzazioni assegnate al ruolo IAM, a meno che non si blocchi l’accesso a IMDS. Per ulteriori informazioni, consulta Protezione dei cluster Amazon EKS con le best practice.

La procedura seguente mostra come creare un ruolo IAM e allegare ad esso la policy AWS gestita. Per implementare questa procedura, è possibile utilizzare uno dei seguenti strumenti:

Nota

È possibile creare una policy autogestita con autorizzazioni limitate. Rivedere AmazonEBSCSIDriverPolicy e creare una policy IAM personalizzata con autorizzazioni ridotte.

Nota

I passaggi specifici di questa procedura sono stati scritti per l'utilizzo del driver come componente aggiuntivo di Amazon EKS. Per utilizzare il driver come componente aggiuntivo autogestito occorre una procedura differente. Per ulteriori informazioni, consulta Configurare le autorizzazioni dei driver su GitHub.

eksctl

  1. Crea un ruolo IAM e allega una policy. AWS mantiene una politica AWS gestita oppure puoi creare la tua politica personalizzata. È possibile creare un ruolo IAM e allegare la policy AWS gestita con il seguente comando. Sostituisci my-cluster con il nome del cluster. Il comando distribuisce uno AWS CloudFormation stack che crea un ruolo IAM e vi allega la policy IAM.

    eksctl create iamserviceaccount \
        --name ebs-csi-controller-sa \
        --namespace kube-system \
        --cluster my-cluster \
        --role-name AmazonEKS_EBS_CSI_DriverRole \
        --role-only \
        --attach-policy-arn arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
        --approve

  2. È possibile saltare questo passaggio se non si utilizza una chiave KMS personalizzata. Nel caso se ne utilizzi una per la crittografia dei volumi Amazon EBS, personalizzare il ruolo IAM secondo necessità. Ad esempio, completa le seguenti operazioni:

    1. Copia e incolla il codice seguente in un nuovo file kms-key-for-encryption-on-ebs.json. Sostituisci custom-key-arn con l'ARN della chiave KMS personalizzata.

      {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "kms:CreateGrant",
            "kms:ListGrants",
            "kms:RevokeGrant"
          ],
          "Resource": ["arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"],
          "Condition": {
            "Bool": {
              "kms:GrantIsForAWSResource": "true"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
          ],
          "Resource": ["arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"]
        }
      ]
    }

    2. Crea la policy. È possibile modificare KMS_Key_For_Encryption_On_EBS_Policy con un nome diverso. Se esegui questa operazione, tuttavia, assicurati di modificare il nome anche nelle fasi successive.

      aws iam create-policy \
      --policy-name KMS_Key_For_Encryption_On_EBS_Policy \
      --policy-document file://kms-key-for-encryption-on-ebs.json

    3. Collega la policy IAM al ruolo con il comando seguente. Sostituisci 111122223333 con l'ID del tuo account.

      aws iam attach-role-policy \
      --policy-arn arn:aws: iam::111122223333:policy/KMS_Key_For_Encryption_On_EBS_Policy \
      --role-name AmazonEKS_EBS_CSI_DriverRole

Console di gestione AWS

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Nella pagina Ruoli, seleziona Crea ruolo.

  4. Nella pagina Select trusted entity (Seleziona entità attendibile), esegui le operazioni seguenti:

    1. Nella sezione Tipo di identità attendibile, scegli Identità Web.

    2. Per Identity provider (Provider di identità), scegli URL del provider OpenID Connect per il cluster (come mostrato nella scheda Overview (Panoramica) in Amazon EKS).

    3. Per Pubblico, scegli sts.amazonaws.com.

    4. Scegli Next (Successivo).

  5. Nella pagina Add permissions (Aggiungi autorizzazioni), esegui le operazioni seguenti:

    1. Nella casella Filtra policy, inserisci AmazonEBSCSIDriverPolicy.

    2. Seleziona la casella di controllo a sinistra della AmazonEBSCSIDriverPolicy restituita dalla ricerca.

    3. Scegli Next (Successivo).

  6. Nella pagina Name, review, and create (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:

    1. Per Nome ruolo, inserisci un nome univoco per il ruolo, ad esempio AmazonEKS_EBS_CSI_DriverRole.

    2. In Aggiungi tag (facoltativo), aggiungi metadati al ruolo collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull’utilizzo di tag in IAM, consulta la sezione Tagging IAM resources nella Guida per l’utente di IAM.

    3. Scegli Crea ruolo.

  7. Dopo aver creato il ruolo, sceglilo nella console in modo da aprirlo per la modifica.

  8. Scegli la scheda Relazioni di attendibilità e quindi Modifica policy di attendibilità.

  9. Trova la riga simile alla seguente:

    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"

    Inserisci una virgola alla fine della riga precedente, quindi aggiungine una seguente dopo quella precedente. region-codeSostituiscilo con la AWS regione in cui si trova il cluster. Sostituire EXAMPLED539D4633E53DE1B71EXAMPLE con l’ID del gestore OIDC del cluster.

    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:ebs-csi-controller-sa"

  10. Scegli Aggiorna policy per concludere.

  11. Se utilizzi una chiave KMS personalizzata per la crittografia dei volumi Amazon EBS, personalizza il ruolo IAM secondo necessità. Ad esempio, completa le seguenti operazioni:

    1. Nel pannello di navigazione a sinistra, seleziona Policy.

    2. Nella pagina Policy, scegli Crea policy.

    3. Nella pagina Crea policy, scegli la scheda JSON.

    4. Copia e incolla il codice seguente nell'editor, sostituendo custom-key-arn con l'ARN della chiave KMS personalizzata.

      {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "kms:CreateGrant",
            "kms:ListGrants",
            "kms:RevokeGrant"
          ],
          "Resource": ["arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"],
          "Condition": {
            "Bool": {
              "kms:GrantIsForAWSResource": "true"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
          ],
          "Resource": ["arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"]
        }
      ]
    }

    5. Scegli Successivo: Tag.

    6. Nella pagina Add tags (optional) (Aggiungi tag, facoltativo), seleziona Next: Review (Successivo: esamina).

    7. Per Nome immettere un nome univoco per la policy (ad esempio KMS_Key_For_Encryption_On_EBS_Policy).

    8. Scegli Crea policy.

    9. Nel pannello di navigazione a sinistra, seleziona Ruoli.

    10. Sceglila AmazonEKS_EBS_CSI_DriverRolenella console per aprirla e modificarla.

    11. Dall'elenco a discesa Aggiungi autorizzazioni, scegli Collega policy.

    12. Nella casella Filtra policy, inserisci KMS_Key_For_Encryption_On_EBS_Policy.

    13. Seleziona la casella di controllo a sinistra della KMS_Key_For_Encryption_On_EBS_Policy restituita dalla ricerca.

    14. Scegli Collega policy.

AWS CLI

  1. Visualizzare l’URL del gestore OIDC del cluster. Sostituire my-cluster con il nome del cluster. Se l'output dal comando è None, rivedi i Prerequisiti.

    aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text

    Di seguito viene riportato un output di esempio:

    https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE

  2. Crea il ruolo IAM concedendo l'autorizzazione per l'operazione AssumeRoleWithWebIdentity.

    1. Copiare i contenuti seguenti in un file denominato aws-ebs-csi-driver-trust-policy.json. Sostituisci 111122223333 con l'ID del tuo account. Sostituire EXAMPLED539D4633E53DE1B71EXAMPLE e region-code con i valori restituiti nella fase precedente.

      {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
          },
          "Action": "sts:AssumeRoleWithWebIdentity",
          "Condition": {
            "StringEquals": {
              "oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com",
              "oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:ebs-csi-controller-sa"
            }
          }
        }
      ]
    }

    2. Creare il ruolo. È possibile modificare AmazonEKS_EBS_CSI_DriverRole con un nome diverso. Se modifichi il valore, assicurati di modificarlo anche nelle fasi successive.

      aws iam create-role \
      --role-name AmazonEKS_EBS_CSI_DriverRole \
      --assume-role-policy-document file://"aws-ebs-csi-driver-trust-policy.json"

  3. Allega una politica. AWS mantiene una politica AWS gestita oppure è possibile creare una politica personalizzata. AWS Associa la politica gestita al ruolo con il seguente comando.

    aws iam attach-role-policy \
      --policy-arn arn:aws: iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
      --role-name AmazonEKS_EBS_CSI_DriverRole

  4. Se utilizzi una chiave KMS personalizzata per la crittografia dei volumi Amazon EBS, personalizza il ruolo IAM secondo necessità. Ad esempio, completa le seguenti operazioni:

    1. Copia e incolla il codice seguente in un nuovo file kms-key-for-encryption-on-ebs.json. Sostituisci custom-key-arn con l'ARN della chiave KMS personalizzata.

      {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "kms:CreateGrant",
            "kms:ListGrants",
            "kms:RevokeGrant"
          ],
          "Resource": ["arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"],
          "Condition": {
            "Bool": {
              "kms:GrantIsForAWSResource": "true"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey"
          ],
          "Resource": ["arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"]
        }
      ]
    }

    2. Crea la policy. È possibile modificare KMS_Key_For_Encryption_On_EBS_Policy con un nome diverso. Se esegui questa operazione, tuttavia, assicurati di modificare il nome anche nelle fasi successive.

      aws iam create-policy \
      --policy-name KMS_Key_For_Encryption_On_EBS_Policy \
      --policy-document file://kms-key-for-encryption-on-ebs.json

    3. Collega la policy IAM al ruolo con il comando seguente. Sostituisci 111122223333 con l'ID del tuo account.

      aws iam attach-role-policy \
      --policy-arn arn:aws: iam::111122223333:policy/KMS_Key_For_Encryption_On_EBS_Policy \
      --role-name AmazonEKS_EBS_CSI_DriverRole

Ora che è stato creato il ruolo IAM del driver CSI di Amazon EBS, è possibile passare alla sezione successiva. Quando si implementa il componente aggiuntivo con il ruolo IAM, questo crea e viene configurato per utilizzare un account di servizio denominato ebs-csi-controller-sa. L’account di servizio è associato a un clusterrole Kubernetes a cui sono assegnate le autorizzazioni Kubernetes richieste.

Fase 2: ottenere il driver CSI di Amazon EBS

Consigliamo di installare il driver CSI di Amazon EBS attraverso il componente aggiuntivo di Amazon EKS per migliorare la sicurezza e ridurre le attività. Per aggiungere un componente aggiuntivo di Amazon EKS al cluster, consulta Creare un componente aggiuntivo Amazon EKS. Per ulteriori informazioni sui componenti aggiuntivi, consulta Componenti aggiuntivi Amazon EKS.

Importante

Prima di aggiungere il driver Amazon EBS come componente aggiuntivo di Amazon EKS, verificare che nel cluster non sia installata una versione autogestita del driver. In tal caso, vediDisinstallazione di un driver Amazon EBS CSI autogestitosul GitHub.

Nota

Per impostazione predefinita, il ruolo RBAC utilizzato dal CSI di EBS dispone delle autorizzazioni per modificare i nodi per supportare la funzionalità di rimozione delle macchie. A causa delle limitazioni di Kubernetes RBAC, ciò consente anche di modificare qualsiasi altro nodo del cluster. Il grafico Helm ha un parametro (node.serviceAccount.disableMutation) che disabilita la modifica delle autorizzazioni RBAC del nodo per l'account del servizio. ebs-csi-node Se abilitate, le funzioni del driver come la rimozione delle macchie non funzioneranno.

In alternativa, se desideri un'installazione autogestita del driver CSI di Amazon EBS, consulta Installazione su. GitHub

Fase 3: implementazione di un’applicazione di esempio

Puoi implementare diverse app di esempio e modificarle in base alle tue esigenze. Per ulteriori informazioni, consulta Kubernetes Examples su. GitHub