为了进一步收敛ACK托管集群中CSI存储组件(csi-plugin和csi-provisioner)所依赖的RAM权限策略,容器服务 Kubernetes 版将于2024年11月01日起拆分ACK托管集群中csi-plugin和csi-provisioner组件所依赖的服务角色,同时新增对服务角色AliyunCSManagedCsiPluginRole和AliyunCSManagedCsiProvisionerRole的授权检查。
变更时间
自2024年11月01日10:00:00起逐步灰度,于2024年11月15日11:00:00完成全量灰度。
变更内容
在安装或升级csi-plugin组件时,新增对服务角色AliyunCSManagedCsiPluginRole的授权检查。
在安装或升级csi-provisioner组件时,新增对服务角色AliyunCSManagedCsiProvisionerRole的授权检查。
在创建ACK托管集群时,新增对CSI存储组件依赖的服务角色AliyunCSManagedCsiPluginRole和AliyunCSManagedCsiProvisionerRole的授权检查。
影响范围
创建ACK托管集群的变更影响:
仅涉及2024年11月01日之后新创建的1.26及以上版本的ACK托管集群,存量集群不受影响。
安装或升级csi-plugin和csi-provisioner组件的变更影响:
仅涉及1.26及以上版本的ACK托管集群中的csi-plugin和csi-provisioner组件,1.26以下版本的ACK托管集群中的csi-plugin和csi-provisioner组件不受影响。
如果您在2024年11月01日之前没有完成AliyunCSManagedCsiPluginRole和 AliyunCSManagedCsiProvisionerRole这两个服务角色的授权,在2024年11月01日之后,创建ACK托管集群时、安装或升级csi-plugin或csi-provisioner组件时,将会因为未授权服务角色而操作失败。
解决方案
请参见以下步骤,在2024年11月01日之前完成新增的服务角色授权。
每个阿里云账号对AliyunCSManagedCsiPluginRole和AliyunCSManagedCsiProvisionerRole角色只需授权一次,无需为每个集群重复授权。
授予AliyunCSManagedCsiPluginRole角色权限
使用阿里云账号或已被授予AliyunRAMFullAccess权限的RAM用户或角色访问云资源访问授权。
在云资源访问授权页面,单击同意授权,即可完成对AliyunCSManagedCsiPluginRole的授权操作。
该服务角色所依赖的RAM权限策略是系统策略AliyunCSManagedCsiPluginRolePolicy。
授予AliyunCSManagedCsiProvisionerRole角色权限
使用阿里云账号或已被授予AliyunRAMFullAccess权限的RAM用户或角色访问云资源访问授权。
在云资源访问授权页面,单击同意授权,即可完成对AliyunCSManagedCsiProvisionerRole的授权操作。
该服务角色所依赖的RAM权限策略是系统策略AliyunCSManagedCsiProvisionerRolePolicy。
联系我们
如果您在使用容器服务 Kubernetes 版过程中有任何疑问或建议,欢迎您搜索钉群号74560018672加入钉群交流。