AWS簡單搭建使用EKS二

背景：

緊接AWS簡單搭建使用EKS一，eks集群簡單搭建完成。需要搭建有狀態服務必然就用到了storageclass 存儲類，這里用ebs記錄以下

AWS簡單搭建使用EKS二

存儲類選型：

參照官方文檔：https://kubernetes.io/zh-cn/docs/concepts/storage/storage-classes/#the-storageclass-resource

image.png

關于eks的存儲類：

參照：存儲類

(資料圖片僅供參考)

image.png

個人這里習慣用EBS塊存儲！

使用 AWS CLI 創建 Amazon EBS CSI 插件 IAM 角色

參照：https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/csi-iam-role.html

查看集群的 OIDC 提供商 URL

查看集群的 OIDC 提供商 URL，將 my-cluster 替換為您的集群名稱。如果命令的輸出為 None，請查看先決條件：

image.pngimage.png

這里采用了AWS CLI方式添加：

aws eks describe-cluster \ --name my-cluster \ --query "cluster.identity.oidc.issuer" \ --output text復制image.png

輸出內容如下：

https://oidc.eks.cn-north-1.amazonaws.com.cn/id/xxxxxxxxx復制

注意： url中的 加粗黑體的關鍵詞 https://oidc.eks.cn-north-1.amazonaws.com.cn/id/xxxxxxxxx

創建 IAM 角色

生成aws-ebs-csi-driver-trust-policy.json

將以下內容復制到名為** _aws-ebs-csi-driver-trust-policy_.json 的文件中。請將 _111122223333_ 替換為您的賬戶 ID，將_region-code_替換為您的 AWS 區域，并將 _EXAMPLED539D4633E53DE1B71EXAMPLE**_ 替換為上一步驟中返回的值。如果您的集群位于 AWS GovCloud（美國東部）或 AWS GovCloud（美國西部）AWS 區域，則將 arn:aws: 替換為 arn:aws-us-gov:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com", "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:ebs-csi-controller-sa" } } } ]}復制

由于實例在中國區我的json內容如下：

image.png

注意箭頭指向的關鍵詞的替換！

創建角色

aws iam create-role \ --role-name AmazonEKS_EBS_CSI_DriverRole \ --assume-role-policy-document file://"aws-ebs-csi-driver-trust-policy.json"復制image.png

AWS 托管策略附加到角色

注意arn:aws地域區分 arn:aws-cn

aws iam attach-role-policy \ --policy-arn arn:aws-cn:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \ --role-name AmazonEKS_EBS_CSI_DriverRole復制image.png

官方有使用自定義 KMS 密鑰進行加密的步驟，不需要忽略：

image.pngkubectl annotate serviceaccount ebs-csi-controller-sa \ -n kube-system \ eks.amazonaws.com/role-arn=arn:aws-cn:iam::xxxxxxxx:role/AmazonEKS_EBS_CSI_DriverRole復制

注：這個不用執行的其實有問題了在說

管理 Amazon EKS 附加組件

參照：添加 Amazon EBS CSI 附加組件

aws eks create-addon --cluster-name xxxx --addon-name aws-ebs-csi-driver \ --service-account-role-arn arn:aws:iam::xxxx:role/AmazonEKS_EBS_CSI_DriverRole復制image.png

aws cli版本有問題貌似？參照https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html更新aws cli到V2

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"unzip awscliv2.zipsudo ./aws/install復制image.pngimage.png/usr/local/bin/aws eks create-addon --cluster-name xxxx --addon-name aws-ebs-csi-driver --service-account-role-arn arn:aws-cn:iam::xxxx:role/AmazonEKS_EBS_CSI_DriverRole復制

注意arn:aws-cn地域

image.pngkubectl get pods -n kube-system復制image.png

eks控制臺點開對應集群-插件標簽，可以看到多了aws-ebs-csi-driver的插件（插件名稱可以自定義）

image.png

這個時候獲取storageclass依然是沒有的：

[root@ip-10-0-28-172 ~]# kubectl get scNo resources found復制

部署示例應用程序并驗證 CSI 驅動程序是否正常運行

參照：部署示例應用程序并驗證 CSI 驅動程序是否正常運行

將 Amazon EBS 容器存儲接口 (CSI) 驅動程序 GitHub 存儲庫克隆到您的本地系統。git clone https://github.com/kubernetes-sigs/aws-ebs-csi-driver.git切換到dynamic-provisioning 示例目錄cd aws-ebs-csi-driver/examples/kubernetes/dynamic-provisioning/從 manifests 目錄部署 ebs-sc 存儲類、ebs-claim 持久性卷聲明和 app 示例應用程序kubectl apply -f manifests/kubectl get sckubectl get podsimage.png簡單驗證查看與驗證image.pngkubectl exec -it app -- cat /data/out.txt復制image.png刪除實例cd manifestskubectl delete -f pod.yamlkubectl delete -f claim.yaml關于storageclass緊接上文manifests目錄下，cat storageclass.yaml,其他配置默認就好，name可以修改成自己新要的名字，這里就默認ebs-sc了。后續有狀態服務sc默認名為ebs-scimage.pngkubectl get sc復制image.png

注意：sc =storageclass