关于新增创建ACK托管集群时CSI相关服务角色授权检查的公告

为了进一步收敛ACK托管集群中CSI存储组件(csi-plugin和csi-provisioner)所依赖的RAM权限策略,容器服务 Kubernetes 版将于2024年11月01日起拆分ACK托管集群中csi-plugin和csi-provisioner组件所依赖的服务角色,同时新增对服务角色AliyunCSManagedCsiPluginRole和AliyunCSManagedCsiProvisionerRole的授权检查。

变更时间

自2024年11月01日10:00:00起逐步灰度,于2024年11月15日11:00:00完成全量灰度。

变更内容

  • 在安装或升级csi-plugin组件时,新增对服务角色AliyunCSManagedCsiPluginRole的授权检查。

  • 在安装或升级csi-provisioner组件时,新增对服务角色AliyunCSManagedCsiProvisionerRole的授权检查。

  • 在创建ACK托管集群时,新增对CSI存储组件依赖的服务角色AliyunCSManagedCsiPluginRole和AliyunCSManagedCsiProvisionerRole的授权检查。

影响范围

  • 创建ACK托管集群的变更影响:

    仅涉及2024年11月01日之后新创建的1.26及以上版本的ACK托管集群,存量集群不受影响。

  • 安装或升级csi-plugin和csi-provisioner组件的变更影响:

    仅涉及1.26及以上版本的ACK托管集群中的csi-plugin和csi-provisioner组件,1.26以下版本的ACK托管集群中的csi-plugin和csi-provisioner组件不受影响。

如果您在2024年11月01日之前没有完成AliyunCSManagedCsiPluginRole和 AliyunCSManagedCsiProvisionerRole这两个服务角色的授权,在2024年11月01日之后,创建ACK托管集群时、安装或升级csi-plugin或csi-provisioner组件时,将会因为未授权服务角色而操作失败。

解决方案

请参见以下步骤,在2024年11月01日之前完成新增的服务角色授权。

重要

每个阿里云账号对AliyunCSManagedCsiPluginRole和AliyunCSManagedCsiProvisionerRole角色只需授权一次,无需为每个集群重复授权。

授予AliyunCSManagedCsiPluginRole角色权限

  1. 使用阿里云账号或已被授予AliyunRAMFullAccess权限的RAM用户或角色访问云资源访问授权

  2. 云资源访问授权页面,单击同意授权,即可完成对AliyunCSManagedCsiPluginRole的授权操作。

该服务角色所依赖的RAM权限策略是系统策略AliyunCSManagedCsiPluginRolePolicy

授予AliyunCSManagedCsiProvisionerRole角色权限

  1. 使用阿里云账号或已被授予AliyunRAMFullAccess权限的RAM用户或角色访问云资源访问授权

  2. 云资源访问授权页面,单击同意授权,即可完成对AliyunCSManagedCsiProvisionerRole的授权操作。

该服务角色所依赖的RAM权限策略是系统策略AliyunCSManagedCsiProvisionerRolePolicy

联系我们

如果您在使用容器服务 Kubernetes 版过程中有任何疑问或建议,欢迎您搜索钉群号74560018672加入钉群交流。