dellemc/csm-authorization-sidecar

Container Storage Modules (CSM) Authorization Sidecar是一个提供存储访问授权功能的边车容器，用于在容器化环境中管理和控制存储资源的访问权限，支持与CSM生态系统集成，确保存储操作的安全授权与合规性。

5 收藏0 次下载activedellemc镜像

🚀轩辕镜像专业版更稳定💎一键安装 Docker 配置镜像源

中文简介版本下载

🚀轩辕镜像专业版更稳定💎一键安装 Docker 配置镜像源

CSM Authorization Sidecar 镜像文档

镜像概述

Container Storage Modules (CSM) Authorization Sidecar是一个轻量级边车容器，专为容器化环境设计，提供存储资源访问的授权控制功能。作为CSM（Container Storage Modules）生态系统的一部分，该镜像通过拦截和验证存储操作请求，实现基于策略的访问控制，确保只有经过授权的操作才能访问存储资源，从而增强存储层的安全性。

核心功能与特性

细粒度授权控制：支持基于用户、角色、操作类型和资源路径的多维度授权策略，实现精细化的访问控制。
CSM生态集成：无缝对接CSM其他组件（如CSM for Observability、CSM for Replication等），形成完整的存储管理解决方案。
策略动态更新：支持授权策略的动态加载与更新，无需重启容器即可应用新的授权规则。
日志与审计：提供详细的授权决策日志，支持审计跟踪，便于问题排查和合规性检查。
轻量级设计：资源占用低，适合在资源受限的容器环境（如Kubernetes节点）中部署。

使用场景

Kubernetes存储授权：在Kubernetes集群中作为Sidecar与存储客户端容器（如应用Pod）协同运行，控制对PVC（PersistentVolumeClaim）或存储后端的访问。
多租户存储隔离：在多租户环境中，通过授权策略限制不同租户对存储资源的访问范围，确保数据隔离。
存储操作合规性：满足***、***等行业对存储访问的合规性要求，通过授权策略强制执行操作规范。
CSM部署环境：在采用CSM作为存储管理框架的环境中，作为授权层组件，与CSM核心模块协同工作。

使用方法

基本部署（Docker Run）

bash
docker run -d \
  --name csm-auth-sidecar \
  --network=host \
  -e CSM_AUTH_POLICY_PATH=/etc/csm/auth/policy.json \
  -e CSM_LOG_LEVEL=info \
  -e CSM_AUTHZ_ENDPOINT=http://localhost:8080/authz \
  -v /host/path/to/policy:/etc/csm/auth \
  dell/csm-authorization-sidecar:latest

Kubernetes部署（Sidecar模式）

在Kubernetes Pod中作为Sidecar与主容器协同部署的示例：

yaml
apiVersion: v1
kind: Pod
metadata:
  name: app-with-csm-auth
spec:
  containers:
  - name: main-app
    image: your-app-image:latest
    # 主应用容器配置...
  - name: csm-auth-sidecar
    image: dell/csm-authorization-sidecar:latest
    env:
    - name: CSM_AUTH_POLICY_PATH
      value: /etc/csm/auth/policy.json
    - name: CSM_LOG_LEVEL
      value: info
    - name: CSM_AUTHZ_ENDPOINT
      value: http://localhost:8080/authz
    volumeMounts:
    - name: auth-policy
      mountPath: /etc/csm/auth
  volumes:
  - name: auth-policy
    configMap:
      name: csm-auth-policy-configmap  # 包含授权策略文件的ConfigMap

环境变量配置

环境变量名称	描述	默认值	是否必填
`CSM_AUTH_POLICY_PATH`	授权策略文件的路径	`/etc/csm/policy.json`	否
`CSM_LOG_LEVEL`	日志级别（debug/info/warn/error）	`info`	否
`CSM_AUTHZ_ENDPOINT`	授权服务监听端点（格式：[***]	`[***]`	否
`CSM_AUTH_CACHE_TTL`	授权决策缓存超时时间（秒）	`300`	否
`CSM_TLS_ENABLED`	是否启用TLS加密通信（true/false）	`false`	否
`CSM_TLS_CERT_PATH`	TLS证书文件路径（当CSM_TLS_ENABLED=true时）	`/etc/csm/tls/cert.pem`	否
`CSM_TLS_KEY_PATH`	TLS私钥文件路径（当CSM_TLS_ENABLED=true时）	`/etc/csm/tls/key.pem`	否

授权策略文件格式

策略文件采用JSON格式，示例如下：

json
{
  "policies": [
    {
      "id": "policy-1",
      "principals": ["user:alice", "role:admin"],  // 允许的用户或角色
      "actions": ["read", "write"],                // 允许的操作
      "resources": ["pvc:default/my-pvc", "storage-class:gold"],  // 允许访问的资源
      "effect": "allow"                             // 策略效果（allow/deny）
    },
    {
      "id": "policy-2",
      "principals": ["user:bob"],
      "actions": ["read"],
      "resources": ["pvc:default/my-pvc"],
      "effect": "allow"
    }
  ]
}