使用阿里云CSI存储

通过onectl配置

1. 在本地安装配置onectl。具体操作，请参见通过onectl管理注册集群。

2. onectl通过RAM用户的AccessKey来访问云服务资源，您可以执行以下命令，配置RAM用户的CSI组件权限。

   onectl ram-user grant --addon csi-plugin

   预期输出：

   Ram policy ack-one-registered-cluster-policy-csi-plugin granted to ram user ack-one-user-ce313528c3 successfully.

通过控制台配置

在注册集群中安装CSI存储组件前，您需要在自建Kubernetes集群中设置AccessKey用来访问云服务的权限。设置AccessKey前，您需要创建RAM用户并为其添加访问相关云资源的权限。

1. 创建RAM用户。

2. 创建自定义权限策略。通过以下自定义策略示例，添加磁盘、快照、快照策略、资源标签、实例、文件系统及仓库的管理权限。

   展开查看自定义策略示例内容

   {
       "Version": "1",
       "Statement": [
           {
               "Action": [
                   "ecs:AttachDisk",
                   "ecs:DetachDisk",
                   "ecs:DescribeDisks",
                   "ecs:CreateDisk",
                   "ecs:ResizeDisk",
                   "ecs:CreateSnapshot",
                   "ecs:DeleteSnapshot",
                   "ecs:CreateAutoSnapshotPolicy",
                   "ecs:ApplyAutoSnapshotPolicy",
                   "ecs:CancelAutoSnapshotPolicy",
                   "ecs:DeleteAutoSnapshotPolicy",
                   "ecs:DescribeAutoSnapshotPolicyEX",
                   "ecs:ModifyAutoSnapshotPolicyEx",
                   "ecs:AddTags",
                   "ecs:DescribeTags",
                   "ecs:DescribeSnapshots",
                   "ecs:ListTagResources",
                   "ecs:TagResources",
                   "ecs:UntagResources",
                   "ecs:ModifyDiskSpec",
                   "ecs:CreateSnapshot",
                   "ecs:DeleteDisk",
                   "ecs:DescribeInstanceAttribute",
                   "ecs:DescribeInstances"
               ],
               "Resource": [
                   "*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "nas:DescribeFileSystems",
                   "nas:DescribeMountTargets",
                   "nas:AddTags",
                   "nas:DescribeTags",
                   "nas:RemoveTags",
                   "nas:CreateFileSystem",
                   "nas:DeleteFileSystem",
                   "nas:ModifyFileSystem",
                   "nas:CreateMountTarget",
                   "nas:DeleteMountTarget",
                   "nas:ModifyMountTarget",
                   "nas:TagResources",
                   "nas:SetDirQuota",
                   "nas:EnableRecycleBin",
                   "nas:GetRecycleBinAttribute"
               ],
               "Resource": [
                   "*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "oss:PutBucket",
                   "oss:GetObjectTagging",
                   "oss:ListBuckets",
                   "oss:PutBucketTags",
                   "oss:GetBucketTags",
                   "oss:PutBucketEncryption",
                   "oss:GetBucketInfo"
               ],
               "Resource": [
                   "*"
               ],
               "Effect": "Allow"
           }
       ]
   }

3. 为RAM用户授权。

4. 为RAM用户创建AccessKey。

   警告

   建议您参见AccessKey网络访问限制策略配置网络策略，将AccessKey调用来源控制在可信的网络环境内，提升AccessKey的安全性。

5. 使用AccessKey在注册集群中创建名为alibaba-addon-secret的Secret资源。

   安装CSI组件时将自动引用此AccessKey访问对应的云服务资源。

   kubectl -n kube-system create secret generic alibaba-addon-secret --from-literal='access-key-id=<your access key id>' --from-literal='access-key-secret=<your access key secret>'

   说明

   <your access key id>及<your access key secret>为上一步获取的AccessKey信息。

通过onectl安装

执行以下命令，安装CSI组件。

onectl addon install csi-plugin
onectl addon install csi-provisioner

预期输出：

Addon csi-plugin, version **** installed.
Addon csi-provisioner, version **** installed.

通过控制台安装

1. 登录容器服务管理控制台，在左侧导航栏选择集群列表。

2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择运维管理 > 组件管理。

3. 单击存储页签，在csi-plugin及csi-provisioner卡片单击安装。

4. 在提示对话框中确认版本信息后单击确定。