O usuário do CNS vSphere deve ter privilégios específicos para executar operações relacionadas a Cloud Native Storage.
Você pode criar várias funções para atribuir conjuntos de permissões nos objetos que participam do ambiente
Cloud Native Storage.
Observação: Essas funções precisam ser criadas apenas para clusters genéricos do Kubernetes. Se você trabalhar no ambiente vSphere with Tanzu, use a função Workload Storage Manager para operações de armazenamento.
Para obter mais informações sobre funções e permissões em vSphere e como criar uma função, consulte a documentação do vSphere Segurança.
| Nome da função | Nome do privilégio | Descrição | Obrigatório em |
|---|---|---|---|
| CNS-Datastore | Datastore > Operações de arquivo de baixo nível | Permite realizar operações de leitura, gravação, exclusão e renomeação no navegador do armazenamento de dados. | Datastore compartilhado onde residem os volumes persistentes. |
| CNS-HOST-CONFIG-STORAGE | Host > Configuração > Configuração da partição de armazenamento | Permite o gerenciamento do armazenamento de dados do vSAN. | Obrigatório em um cluster vSAN com serviço de arquivo vSAN. Obrigatório apenas para o volume de arquivos. |
| CNS-VM | Máquina virtual > Alterar configuração > Adicionar disco existente | Permite adicionar um disco virtual existente a uma máquina virtual. | Todas as VMs de nó de cluster. |
| Máquina virtual > Alterar configuração > Adicionar ou remover dispositivo | Permite a adição ou remoção de qualquer dispositivo que não seja um disco. | ||
| CNS-SEARCH-AND-SPBM | CNS > Pesquisável | Permite que o administrador de armazenamento veja a IU do Cloud Native Storage. | Raiz vCenter Server. |
| Armazenamento controlado por perfil > Exibição Armazenamento controlado por perfil | Permite visualizar as políticas de armazenamento definidas. | ||
| Somente leitura | Função padrão | Os usuários com a função Somente Leitura para um objeto têm permissão para exibir o estado do objeto e os detalhes sobre o objeto. Por exemplo, os usuários com essa função podem encontrar o armazenamento de dados compartilhado acessível a todas as VMs de nó. Para ambientes com reconhecimento de zona e topologia, todos os ancestrais de VMs de nó, como um host, cluster e centro de dados, devem ter a função Somente leitura definida para o usuário vSphere configurado para usar o driver CSI e o CCM. Isso é necessário para permitir a leitura de tags e categorias para preparar a topologia dos nós. |
Todos os hosts em que as VMs dos nós residem Centro de dados |
