Questa pagina descrive come configurare e prepararsi a utilizzare il driver CSI FUSE di Cloud Storage per GKE.
Per utilizzare il driver CSI di Cloud Storage FUSE:
Crea il bucket Cloud Storage
Se non l'hai ancora fatto, crea i bucket Cloud Storage. Questi bucket verranno montati come volumi nel cluster GKE. Per migliorare le prestazioni, imposta Tipo di località su Regione e seleziona una regione che corrisponda al tuo cluster GKE.
Abilita il driver CSI di Cloud Storage FUSE
Segui questi passaggi, a seconda che tu stia utilizzando cluster GKE Autopilot o Standard. Ti consigliamo di utilizzare un cluster Autopilot per un'esperienza Kubernetes completamente gestita. Per scegliere la modalità più adatta ai tuoi workload, consulta Scegliere una modalità operativa GKE.
Autopilot
Il driver CSI di Cloud Storage FUSE è abilitato per impostazione predefinita per i cluster Autopilot. Puoi passare a Configurare l'accesso ai bucket Cloud Storage.
Standard
Se nel cluster Standard è abilitato il driver CSI di Cloud Storage FUSE, vai a Configurare l'accesso ai bucket Cloud Storage.
Il driver CSI di Cloud Storage FUSE non è abilitato per impostazione predefinita nei cluster Standard. Per creare un cluster Standard con il driver CSI di Cloud Storage FUSE abilitato, puoi utilizzare il comando gcloud container clusters create:
gcloud container clusters create CLUSTER_NAME \
--addons GcsFuseCsiDriver \
--cluster-version=VERSION \
--location=LOCATION \
--workload-pool=PROJECT_ID.svc.id.goog
Sostituisci quanto segue:
CLUSTER_NAME: il nome del tuo cluster.VERSION: il numero di versione di GKE. Devi selezionare la versione 1.24 o successive.LOCATION: la regione o zona di Compute Engine per il cluster.PROJECT_ID: il tuo ID progetto.
Per abilitare il driver su un cluster Standard esistente, utilizza il comando gcloud container clusters update:
gcloud container clusters update CLUSTER_NAME \
--update-addons GcsFuseCsiDriver=ENABLED \
--location=LOCATION
Per verificare che il driver CSI di Cloud Storage FUSE sia abilitato sul cluster, esegui il seguente comando:
gcloud container clusters describe CLUSTER_NAME \
--location=LOCATION \
--project=PROJECT_ID \
--format="value(addonsConfig.gcsFuseCsiDriverConfig.enabled)"
Configura l'accesso ai bucket Cloud Storage
Il driver CSI di Cloud Storage FUSE utilizza la federazione delle identità dei carichi di lavoro per GKE, in modo da poter impostare autorizzazioni granulari su come i pod GKE possono accedere ai dati archiviati in Cloud Storage.
Per rendere accessibili i bucket Cloud Storage dal tuo cluster GKE, esegui l'autenticazione utilizzando la federazione delle identità dei carichi di lavoro per GKE con il bucket Cloud Storage che vuoi montare nella specifica del pod:
- Se non hai attivato la federazione delle identità per i carichi di lavoro per GKE, segui questi passaggi per attivarla. Se vuoi utilizzare un pool di nodi esistente, abilita manualmente la federazione delle identità per i carichi di lavoro per GKE nel pool di nodi dopo aver abilitato la federazione delle identità per i carichi di lavoro per GKE nel cluster.
Recupera le credenziali per il tuo cluster:
gcloud container clusters get-credentials CLUSTER_NAME \ --location=LOCATIONSostituisci quanto segue:
CLUSTER_NAME: il nome del cluster con la federazione delle identità per i carichi di lavoro per GKE abilitata.LOCATION: la regione o zona di Compute Engine per il cluster.
Crea uno spazio dei nomi da utilizzare per Kubernetes ServiceAccount. Puoi anche utilizzare lo spazio dei nomi
defaulto qualsiasi spazio dei nomi esistente.kubectl create namespace NAMESPACESostituisci
NAMESPACEcon il nome dello spazio dei nomi Kubernetes per l'account di servizio Kubernetes.Crea un ServiceAccount Kubernetes da utilizzare per la tua applicazione. Puoi anche utilizzare qualsiasi ServiceAccount Kubernetes esistente in qualsiasi spazio dei nomi, incluso il ServiceAccount Kubernetes
default.kubectl create serviceaccount KSA_NAME \ --namespace NAMESPACESostituisci
KSA_NAMEcon il nome del tuo ServiceAccount Kubernetes.Concedi uno dei ruoli IAM per Cloud Storage a Kubernetes ServiceAccount. Segui questi passaggi, a seconda che tu stia concedendo l'accesso a Kubernetes ServiceAccount a un bucket Cloud Storage specifico o l'accesso globale a tutti i bucket del progetto.
Accesso a bucket specifici
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \ --member "principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME" \ --role "ROLE_NAME"Sostituisci quanto segue:
BUCKET_NAME: il nome del bucket Cloud Storage.PROJECT_NUMBER: il numero di progetto numerico del cluster GKE. Per trovare il numero di progetto, consulta Identificazione dei progetti.PROJECT_ID: l'ID progetto del tuo cluster GKE.NAMESPACE: il nome dello spazio dei nomi Kubernetes per il ServiceAccount Kubernetes.KSA_NAME: il nome del nuovo service account Kubernetes.ROLE_NAME: il ruolo IAM da assegnare al tuo service account Kubernetes.- Per i carichi di lavoro di sola lettura, utilizza il ruolo Visualizzatore oggetti Storage (
roles/storage.objectViewer). - Per i carichi di lavoro di lettura/scrittura, utilizza il ruolo Utente oggetti Storage (
roles/storage.objectUser).
- Per i carichi di lavoro di sola lettura, utilizza il ruolo Visualizzatore oggetti Storage (
Accesso globale al bucket
gcloud projects add-iam-policy-binding GCS_PROJECT \ --member "principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME" \ --role "ROLE_NAME"Sostituisci quanto segue:
GCS_PROJECT: l'ID progetto dei tuoi bucket Cloud Storage.PROJECT_NUMBER: il numero di progetto numerico del cluster GKE. Per trovare il numero di progetto, consulta Identificazione dei progetti.PROJECT_ID: l'ID progetto del tuo cluster GKE.NAMESPACE: il nome dello spazio dei nomi Kubernetes per il ServiceAccount Kubernetes.KSA_NAME: il nome del nuovo service account Kubernetes.ROLE_NAME: il ruolo IAM da assegnare al tuo service account Kubernetes.- Per i carichi di lavoro di sola lettura, utilizza il ruolo Visualizzatore oggetti Storage (
roles/storage.objectViewer). - Per i carichi di lavoro di lettura/scrittura, utilizza il ruolo Utente oggetti Storage (
roles/storage.objectUser).
- Per i carichi di lavoro di sola lettura, utilizza il ruolo Visualizzatore oggetti Storage (
Passaggi successivi
- Risolvere i problemi di Cloud Storage FUSE
- Ottimizzare Cloud Storage FUSE per le prestazioni
- Scopri come montare i bucket Cloud Storage specificandoli in linea con la specifica del pod.
- Scopri come montare i bucket Cloud Storage utilizzando una risorsa PersistentVolume.
- Scopri di più sulla configurazione delle applicazioni per utilizzare la federazione delle identità per i carichi di lavoro per GKE.