本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
轩辕镜像 - 国内开发者首选的专业 Docker 镜像下载加速服务平台 - 官方QQ群:13763429 👈点击免费获得技术支持。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站支持搜索的镜像仓库:Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com
csm-authorization-tenant Docker 镜像下载 - 轩辕镜像
csm-authorization-tenant 镜像详细信息和使用指南
csm-authorization-tenant 镜像标签列表和版本信息
csm-authorization-tenant 镜像拉取命令和加速下载
csm-authorization-tenant 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
dellemc/csm-authorization-tenant
csm-authorization-tenant 镜像详细信息
csm-authorization-tenant 镜像标签列表
csm-authorization-tenant 镜像使用说明
csm-authorization-tenant 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
容器存储模块(CSM)授权的租户端组件,用于管理存储资源访问权限、执行授权策略及处理租户与存储系统间的权限交互。
2 收藏0 次下载activedellemc镜像
csm-authorization-tenant 镜像详细说明
csm-authorization-tenant 使用指南
csm-authorization-tenant 配置说明
csm-authorization-tenant 官方文档
CSM Authorization Tenant 镜像文档
镜像概述
CSM Authorization Tenant 是容器存储模块(Container Storage Modules, CSM)授权框架的租户端组件,专注于在容器环境中实现租户级存储资源访问权限的精细化管理。该组件与 CSM Authorization 服务端协同工作,负责执行租户特定的授权策略、处理存储资源访问请求验证,并维护租户与后端存储系统间的权限交互流程,确保存储资源的安全访问与隔离。
核心功能与特性
1. 权限策略管理
- 支持租户级存储访问策略的定义、加载与动态更新
- 兼容 JSON/YAML 格式的策略文件,支持基于角色(RBAC)、资源路径、操作类型的细粒度权限控制
- 提供策略语法校验功能,确保策略配置的有效性
2. 访问控制执行
- 实时验证租户对存储资源的访问请求(如卷创建、删除、挂载等操作)
- 基于预定义策略拒绝未授权访问,防止越权操作
- 支持与 Kubernetes 等容器编排平台的原生权限机制(如 ServiceAccount、RBAC)集成
3. 租户-存储系统交互
- 处理租户与后端存储系统(如 Dell PowerFlex、PowerMax 等)的权限协商
- 维护租户身份凭证与存储系统认证信息的安全映射
- 支持多存储系统厂商适配,通过标准化接口实现跨平台权限管理
4. 审计与日志
- 记录所有权限变更、访问请求及策略执行结果
- 支持日志输出至标准输出(stdout)或文件,兼容主流日志收集工具(如 Fluentd、Promtail)
- 提供审计事件结构化数据,便于合规性检查与安全分析
使用场景
1. 多租户容器环境的存储权限隔离
在共享容器平台(如企业私有云 Kubernetes 集群)中,为不同租户(团队/部门)提供独立的存储权限域,确保租户仅能访问自身授权的存储资源,实现数据隔离。
2. 企业级存储访问控制
满足企业级安全要求,通过精细化策略控制敏感数据存储的访问权限,例如限制特定租户仅能读取生产环境存储卷,禁止删除操作。
3. 合规性存储权限管理
适用于***、***等需满足严格合规要求的场景,通过完整的审计日志与权限追溯,满足 GDPR、HIPAA 等合规标准对数据访问控制的要求。
使用方法
基本部署(Docker Run)
docker run -d --name csm-auth-tenant \ --restart always \ -p 8080:8080 \ # 服务端口映射 -e TENANT_ID="tenant-001" \ # 租户唯一标识 -e STORAGE_SYSTEM_TYPE="powermax" \ # 后端存储系统类型 -e STORAGE_SYSTEM_ENDPOINT="[***]" \ # 存储系统API端点 -e AUTH_POLICY_PATH="/etc/csm/auth-policy.yaml" \ # 策略文件路径 -e LOG_LEVEL="info" \ # 日志级别(debug/info/warn/error) -v /host/policies:/etc/csm \ # 挂载宿主策略文件目录 -v /host/certificates:/etc/csm/certs \ # 挂载TLS证书(可选,用于加密通信) dell/csm-auth-tenant:latest
环境变量配置
| 环境变量名 | 描述 | 必选 | 默认值 |
|---|---|---|---|
TENANT_ID | 租户唯一标识符(如"team-alpha") | 是 | - |
STORAGE_SYSTEM_TYPE | 后端存储系统类型(如"powermax"、"powerflex") | 是 | - |
STORAGE_SYSTEM_ENDPOINT | 存储系统管理API端点(含端口) | 是 | - |
AUTH_POLICY_PATH | 权限策略文件路径(容器内路径) | 是 | /etc/csm/policy.yaml |
LOG_LEVEL | 日志级别(debug/info/warn/error) | 否 | info |
TLS_ENABLED | 是否启用TLS加密通信(true/false) | 否 | false |
TLS_CERT_PATH | TLS证书文件路径(容器内) | 否 | /etc/csm/certs/tls.crt |
TLS_KEY_PATH | TLS私钥文件路径(容器内) | 否 | /etc/csm/certs/tls.key |
权限策略文件示例(YAML)
apiVersion: csm.auth/v1 kind: TenantPolicy metadata: name: tenant-001-policy tenantId: tenant-001 rules: - resources: - type: volume match: name: "tenant-001-*" # 仅允许访问名称以"tenant-001-"开头的卷 storageClass: "powermax-gold" # 限制存储类 actions: ["create", "get", "list", "mount"] # 允许的操作 effect: allow # 允许访问 - resources: - type: volume actions: ["delete", "format"] # 禁止删除、格式化操作 effect: deny - resources: - type: snapshot match: volumeName: "tenant-001-*" actions: ["create", "restore"] effect: allow
日志与监控
- 日志输出:默认输出至标准输出(stdout),日志格式为 JSON,包含时间戳、租户ID、事件类型、详细信息等字段
- 监控指标:暴露 Prometheus 格式指标接口(默认端口 8080,路径
/metrics),包含策略加载次数、授权请求数、拒绝访问数等关键指标 - 健康检查:提供健康检查接口(路径
/health),可配置为 Docker/Kubernetes 的存活探针
注意事项
- 策略文件变更后需重启容器或通过
/reload-policy接口触发动态加载(需启用 API 接口) - 生产环境建议启用 TLS 加密通信,并限制容器权限(使用非 root 用户运行、挂载只读文件系统)
- 与 CSM Authorization 服务端版本需保持兼容,具体版本对应关系参见 CSM ***文档
常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录方式进行 Docker 镜像下载加速教程
通过 Docker 登录方式配置轩辕镜像加速服务,包含7个详细步骤
Linux Docker 镜像下载加速教程
在 Linux 系统上配置轩辕镜像源,支持主流发行版
Windows/Mac Docker 镜像下载加速教程
在 Docker Desktop 中配置轩辕镜像加速,适用于桌面系统
Docker Compose 镜像下载加速教程
在 Docker Compose 中使用轩辕镜像加速,支持容器编排
K8s containerd 镜像下载加速教程
在 k8s 中配置 containerd 使用轩辕镜像加速
宝塔面板 Docker 镜像下载加速教程
在宝塔面板中配置轩辕镜像加速,提升服务器管理效率
群晖 NAS Docker 镜像下载加速教程
在 Synology 群晖NAS系统中配置轩辕镜像加速
飞牛fnOS Docker 镜像下载加速教程
在飞牛fnOS系统中配置轩辕镜像加速
极空间 NAS Docker 镜像下载加速教程
在极空间NAS中配置轩辕镜像加速
爱快路由 ikuai Docker 镜像下载加速教程
在爱快ikuai系统中配置轩辕镜像加速
绿联 NAS Docker 镜像下载加速教程
在绿联NAS系统中配置轩辕镜像加速
威联通 NAS Docker 镜像下载加速教程
在威联通NAS系统中配置轩辕镜像加速
Podman Docker 镜像下载加速教程
在 Podman 中配置轩辕镜像加速,支持多系统
ghcr、Quay、nvcr、k8s、gcr 等仓库下载镜像加速教程
配置轩辕镜像加速9大主流镜像仓库,包含详细配置步骤
专属域名方式进行 Docker 镜像下载加速教程
无需登录即可使用轩辕镜像加速服务,更加便捷高效
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429