AWS EKS创建EFS存储类

yunson_Liu2026-04-26 8:31

安装EFS相关插件

bash 复制代码 
[root@ip-172-31-26-146 ~]# helm repo add aws-efs-csi-driver https://kubernetes-sigs.github.io/aws-efs-csi-driver/
"aws-efs-csi-driver" has been added to your repositories
[root@ip-172-31-26-146 ~]# helm repo update aws-efs-csi-driver
Hang tight while we grab the latest from your chart repositories...
...Successfully got an update from the "aws-efs-csi-driver" chart repository
Update Complete. ⎈Happy Helming!⎈
  • 出现servcesaccount报错
bash 复制代码 
[root@ip-172-31-26-146 ~]# helm upgrade --install aws-efs-csi-driver --namespace kube-system aws-efs-csi-driver/aws-efs-csi-driver
Release "aws-efs-csi-driver" does not exist. Installing it now.
Error: Unable to continue with install: ServiceAccount "efs-csi-controller-sa" in namespace "kube-system" exists and cannot be imported into the current release: invalid ownership metadata; label validation error: key "app.kubernetes.io/managed-by" must equal "Helm": current value is "eksctl"; annotation validation error: missing key "meta.helm.sh/release-name": must be set to "aws-efs-csi-driver"; annotation validation error: missing key "meta.helm.sh/release-namespace": must be set to "kube-system"
  • 解决办法,跳过servicesaccount创建,指定现有的
bash 复制代码 
[root@ip-172-31-26-146 ~]# kubectl create serviceaccount efs-csi-node-sa -n kube-system
[root@ip-172-31-26-146 ~]# helm upgrade --install aws-efs-csi-driver aws-efs-csi-driver/aws-efs-csi-driver \
  --namespace kube-system \
  --set controller.serviceAccount.create=false \
  --set controller.serviceAccount.name=efs-csi-controller-sa \
  --set node.serviceAccount.create=false \
  --set node.serviceAccount.name=efs-csi-node-sa
Release "aws-efs-csi-driver" does not exist. Installing it now.
NAME: aws-efs-csi-driver
LAST DEPLOYED: Fri Apr 24 13:49:46 2026
NAMESPACE: kube-system
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:
To verify that aws-efs-csi-driver has started, run:

    kubectl get pod -n kube-system -l "app.kubernetes.io/name=aws-efs-csi-driver,app.kubernetes.io/instance=aws-efs-csi-driver"

创建存储类

yaml文件内容
yaml 复制代码 
kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
  name: cfs  # 这是你在 values.yaml 中要填写的名字
provisioner: efs.csi.aws.com
parameters:
  provisioningMode: efs-ap
  fileSystemId: fs-xxxxxxxxxxxxxxxxx  # 【关键】替换成你在 AWS 控制台创建的 EFS ID
  directoryPerms: "700"
  gidRangeStart: "1000" # 可选
  gidRangeEnd: "2000"   # 可选
  basePath: "/dynamic_provisioning" # 可选
[root@ip-172-31-26-146 yaml]# kubectl apply -f cfs-sc.yaml
storageclass.storage.k8s.io/efs-sc created

[root@ip-172-31-26-146 yaml]# kubectl get sc
NAME            PROVISIONER       RECLAIMPOLICY   VOLUMEBINDINGMODE      ALLOWVOLUMEEXPANSION   AGE
efs-sc          efs.csi.aws.com   Delete          Immediate              false                  23s
  • 出现报错efs-csi-node起不来
bash 复制代码 
[root@ip-172-31-26-146 multifect-server]# kubectl get ds efs-csi-node -n kube-system
NAME           DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR            AGE
efs-csi-node   4         0         0       0            0           kubernetes.io/os=linux   27m

授权

bash 复制代码 
[root@ip-172-31-26-146 charts]# kubectl get sa efs-csi-controller-sa -n kube-system -o yaml | grep role-arn
    eks.amazonaws.com/role-arn: arn:aws:iam::xxxxx:role/EKS_EFS_CSI_Driver
检查 IAM 权限策略

请去 AWS 控制台确认该角色(EKS_EFS_CSI_Driver)是否关联了 AmazonEFSCSIDriverPolicy。

这个驱动程序需要执行 elasticfilesystem:CreateAccessPoint 等操作。如果角色虽然挂载了,但里面是空的或者权限不足,就会报错。

这个驱动程序需要执行 elasticfilesystem:CreateAccessPoint 等操作。如果角色虽然挂载了,但里面是空的或者权限不足,就会报错。

检查 OIDC 信任关系 (最隐蔽的原因)

即使角色有权限,如果它"不信任"你的 EKS 集群,AWS 也会拒绝授权。

核对步骤:

获取集群 OIDC ID:

bash 复制代码 
aws eks describe-cluster --name <你的集群名> --query "cluster.identity.oidc.issuer" --output text
# 输出结果类似:https://oidc.eks.us-east-2.amazonaws.com/id/EXAMPLEDOCUMENT123

检查 IAM 角色信任关系:

在 IAM 控制台找到 EKS_EFS_CSI_Driver 角色,点击 Trust relationships(信任关系)页签。

对比 ID:

确认 JSON 中的 Federated 字段里的 ID 与你上面查到的 ID 完全一致。

json 复制代码 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::xxxx:oidc-provider/oidc.eks.us-east-2.amazonaws.com/id/xxxxxx"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "oidc.eks.us-east-2.amazonaws.com/id/xxxx:sub": "system:serviceaccount:kube-system:efs-csi-controller-sa",
                    "oidc.eks.us-east-2.amazonaws.com/id/xxxxx:aud": "sts.amazonaws.com"
                }
            }
        }
    ]
}

注意

创建efs对已经的pvc的时候要注意指定sc、开启sc的安全组2049端口

相关推荐
TG_yunshuguoji2 小时前
亚马逊云代理商:如何在AWS上部署Hermes Agent?
人工智能·云计算·aws·hermes agent·hermes
code_li2 小时前
阿里云 OSS(对象存储)接入 Cloudflare 回源流量全免,每月 1 亿次免费请求
阿里云·云计算
陈皮糖..13 小时前
27 届运维实习笔记|第三、四周:从流程熟练到故障排查,企业运维实战深化
运维·笔记·sql·nginx·ci/cd·云计算·jenkins
ZStack开发者社区14 小时前
DeepSeek-V4首发即支持,ZStack AIOS 私有化部署即刻可用
人工智能·开源·云计算
阿乔外贸日记20 小时前
土耳其包装市场需求缺口分析
大数据·人工智能·物联网·搜索引擎·云计算
阿里-于怀1 天前
【无标题】阿里云 AI 网关支持 DeepSeek V4
人工智能·阿里云·云计算·deepseek
easy_coder1 天前
一次部署阻塞的根因分析:自动提交与手动提交链路混用的代价
运维·云计算
新知图书1 天前
通过阿里云百炼平台调用DeepSeek大模型
人工智能·阿里云·云计算·langchian
TokenByte-AI导航小贴士1 天前
Claude 4.5 Sonnet / Opus / Haiku:新手选型指南
人工智能·ai·云计算·aigc·claude·aws
热门推荐
01GitHub 镜像站点022026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元03近期有什么ai的新消息,新动态? 2026.4月042026年4月AI大事件深度解读:大模型竞争进入“深水区“052026年AI前瞻:量子AI、具身智能与科学发现的新纪元06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析07codex app每次打开重连5次Reconnecting问题解决082026 年 AI 辅助编程工具全景对比:Copilot、Cursor、Claude Code 与 Codex 深度解析09CC-Switch & Claude 基于 Linux 服务器安装使用指南102026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free