CNS vSphere 用户必须具有特定的特权才能执行与 Cloud Native Storage 相关的操作。
您可以创建多个角色,以便为加入
Cloud Native Storage 环境的对象分配权限集。
注: 只需为通用 Kubernetes 集群创建这些角色。如果在 vSphere with Tanzu 环境中工作,请使用工作负载存储主管角色执行存储操作。
有关 vSphere 中的角色和权限以及如何创建角色的详细信息,请参见《vSphere 安全性》文档。
| 角色名称 | 特权名称 | 描述 | 要求 |
|---|---|---|---|
| CNS-Datastore | 数据存储 > 低级别文件操作 | 允许在数据存储浏览器中执行读取、写入、删除和重命名操作。 | 持久卷所在的共享数据存储。 |
| CNS-HOST-CONFIG-STORAGE | 主机 > 配置 > 存储分区配置 | 允许执行 vSAN 数据存储管理。 | 在具有 vSAN 文件服务的 vSAN 集群上为必需项。仅对文件卷为必需项。 |
| CNS-VM | 虚拟机 > 更改配置 > 添加现有磁盘 | 允许将现有虚拟磁盘添加到虚拟机。 | 所有集群节点虚拟机。 |
| 虚拟机 > 更改配置 > 添加或移除设备 | 允许添加或移除任何非磁盘设备。 | ||
| CNS-SEARCH-AND-SPBM | CNS > 可搜索 | 允许存储管理员查看云原生存储 UI。 | 根 vCenter Server。 |
| 虚拟机存储策略 > 查看虚拟机存储策略 | 允许查看定义的存储策略。 | ||
| 只读 | 默认角色 | 具有“只读”角色的对象用户可查看对象的状态和详细信息。例如,具有此角色的用户可以找到所有节点虚拟机均可访问的共享数据存储。 对于区域和拓扑感知环境,节点虚拟机的所有先代(例如,主机、集群和数据中心)都必须针对配置为使用 CSI 驱动程序和 CCM 的 vSphere 用户设置只读角色。要允许读取标记和类别以准备节点拓扑,必须满足此条件。 |
节点虚拟机所在的所有主机 数据中心 |
