dellemc/csm-authorization-tenant Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
dellemc/csm-authorization-tenantdellemc
容器存储模块(CSM)授权的租户端组件,用于管理存储资源访问权限、执行授权策略及处理租户与存储系统间的权限交互。
2 次收藏下载次数: 0状态:社区镜像维护者:dellemc仓库类型:镜像最近更新:1 年前
CSM Authorization Tenant 镜像文档
镜像概述
CSM Authorization Tenant 是容器存储模块(Container Storage Modules, CSM)授权框架的租户端组件,专注于在容器环境中实现租户级存储资源访问权限的精细化管理。该组件与 CSM Authorization 服务端协同工作,负责执行租户特定的授权策略、处理存储资源访问请求验证,并维护租户与后端存储系统间的权限交互流程,确保存储资源的安全访问与隔离。
核心功能与特性
1. 权限策略管理
- 支持租户级存储访问策略的定义、加载与动态更新
- 兼容 JSON/YAML 格式的策略文件,支持基于角色(RBAC)、资源路径、操作类型的细粒度权限控制
- 提供策略语法校验功能,确保策略配置的有效性
2. 访问控制执行
- 实时验证租户对存储资源的访问请求(如卷创建、删除、挂载等操作)
- 基于预定义策略拒绝未授权访问,防止越权操作
- 支持与 Kubernetes 等容器编排平台的原生权限机制(如 ServiceAccount、RBAC)集成
3. 租户-存储系统交互
- 处理租户与后端存储系统(如 Dell PowerFlex、PowerMax 等)的权限协商
- 维护租户身份凭证与存储系统认证信息的安全映射
- 支持多存储系统厂商适配,通过标准化接口实现跨平台权限管理
4. 审计与日志
- 记录所有权限变更、访问请求及策略执行结果
- 支持日志输出至标准输出(stdout)或文件,兼容主流日志收集工具(如 Fluentd、Promtail)
- 提供审计事件结构化数据,便于合规性检查与安全分析
使用场景
1. 多租户容器环境的存储权限隔离
在共享容器平台(如企业私有云 Kubernetes 集群)中,为不同租户(团队/部门)提供独立的存储权限域,确保租户仅能访问自身授权的存储资源,实现数据隔离。
2. 企业级存储访问控制
满足企业级安全要求,通过精细化策略控制敏感数据存储的访问权限,例如限制特定租户仅能读取生产环境存储卷,禁止删除操作。
3. 合规性存储权限管理
适用于***、***等需满足严格合规要求的场景,通过完整的审计日志与权限追溯,满足 GDPR、HIPAA 等合规标准对数据访问控制的要求。
使用方法
基本部署(Docker Run)
bashdocker run -d --name csm-auth-tenant \ --restart always \ -p 8080:8080 \ # 服务端口映射 -e TENANT_ID="tenant-001" \ # 租户唯一标识 -e STORAGE_SYSTEM_TYPE="powermax" \ # 后端存储系统类型 -e STORAGE_SYSTEM_ENDPOINT="[***]" \ # 存储系统API端点 -e AUTH_POLICY_PATH="/etc/csm/auth-policy.yaml" \ # 策略文件路径 -e LOG_LEVEL="info" \ # 日志级别(debug/info/warn/error) -v /host/policies:/etc/csm \ # 挂载宿主策略文件目录 -v /host/certificates:/etc/csm/certs \ # 挂载TLS证书(可选,用于加密通信) dell/csm-auth-tenant:latest
环境变量配置
| 环境变量名 | 描述 | 必选 | 默认值 |
|---|---|---|---|
TENANT_ID | 租户唯一标识符(如"team-alpha") | 是 | - |
STORAGE_SYSTEM_TYPE | 后端存储系统类型(如"powermax"、"powerflex") | 是 | - |
STORAGE_SYSTEM_ENDPOINT | 存储系统管理API端点(含端口) | 是 | - |
AUTH_POLICY_PATH | 权限策略文件路径(容器内路径) | 是 | /etc/csm/policy.yaml |
LOG_LEVEL | 日志级别(debug/info/warn/error) | 否 | info |
TLS_ENABLED | 是否启用TLS加密通信(true/false) | 否 | false |
TLS_CERT_PATH | TLS证书文件路径(容器内) | 否 | /etc/csm/certs/tls.crt |
TLS_KEY_PATH | TLS私钥文件路径(容器内) | 否 | /etc/csm/certs/tls.key |
权限策略文件示例(YAML)
yamlapiVersion: csm.auth/v1 kind: TenantPolicy metadata: name: tenant-001-policy tenantId: tenant-001 rules: - resources: - type: volume match: name: "tenant-001-*" # 仅允许访问名称以"tenant-001-"开头的卷 storageClass: "powermax-gold" # 限制存储类 actions: ["create", "get", "list", "mount"] # 允许的操作 effect: allow # 允许访问 - resources: - type: volume actions: ["delete", "format"] # 禁止删除、格式化操作 effect: deny - resources: - type: snapshot match: volumeName: "tenant-001-*" actions: ["create", "restore"] effect: allow
日志与监控
- 日志输出:默认输出至标准输出(stdout),日志格式为 JSON,包含时间戳、租户ID、事件类型、详细信息等字段
- 监控指标:暴露 Prometheus 格式指标接口(默认端口 8080,路径
/metrics),包含策略加载次数、授权请求数、拒绝访问数等关键指标 - 健康检查:提供健康检查接口(路径
/health),可配置为 Docker/Kubernetes 的存活探针
注意事项
- 策略文件变更后需重启容器或通过
/reload-policy接口触发动态加载(需启用 API 接口) - 生产环境建议启用 TLS 加密通信,并限制容器权限(使用非 root 用户运行、挂载只读文件系统)
- 与 CSM Authorization 服务端版本需保持兼容,具体版本对应关系参见 CSM 官方文档
pnnlmiscscripts/tenant-namespace-operator
pnnlmiscscripts
暂无描述
1万+ 次下载
20 天前更新
onlyoffice/4testing-docspace-identity-authorization
onlyoffice
暂无描述
10万+ 次下载
6 天前更新
athenz/authorization-proxy
athenz
Kubernetes边车容器,用于执行基于Athenz RBAC的授权。
1 次收藏1万+ 次下载
6 天前更新
onlyoffice/docspace-identity-authorization
onlyoffice
暂无描述
1万+ 次下载
2 个月前更新
tapis/tenants-api
tapis
暂无描述
100万+ 次下载
8 天前更新
diamanti/tenant
diamanti
暂无描述
5万+ 次下载
7 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"