CSM Authorization Tenant 镜像文档

镜像概述

CSM Authorization Tenant 是容器存储模块（Container Storage Modules, CSM）授权框架的租户端组件，专注于在容器环境中实现租户级存储资源访问权限的精细化管理。该组件与 CSM Authorization 服务端协同工作，负责执行租户特定的授权策略、处理存储资源访问请求验证，并维护租户与后端存储系统间的权限交互流程，确保存储资源的安全访问与隔离。

核心功能与特性

1. 权限策略管理

支持租户级存储访问策略的定义、加载与动态更新
兼容 JSON/YAML 格式的策略文件，支持基于角色（RBAC）、资源路径、操作类型的细粒度权限控制
提供策略语法校验功能，确保策略配置的有效性

2. 访问控制执行

实时验证租户对存储资源的访问请求（如卷创建、删除、挂载等操作）
基于预定义策略拒绝未授权访问，防止越权操作
支持与 Kubernetes 等容器编排平台的原生权限机制（如 ServiceAccount、RBAC）集成

3. 租户-存储系统交互

处理租户与后端存储系统（如 Dell PowerFlex、PowerMax 等）的权限协商
维护租户身份凭证与存储系统认证信息的安全映射
支持多存储系统厂商适配，通过标准化接口实现跨平台权限管理

4. 审计与日志

记录所有权限变更、访问请求及策略执行结果
支持日志输出至标准输出（stdout）或文件，兼容主流日志收集工具（如 Fluentd、Promtail）
提供审计事件结构化数据，便于合规性检查与安全分析

使用场景

1. 多租户容器环境的存储权限隔离

在共享容器平台（如企业私有云 Kubernetes 集群）中，为不同租户（团队/部门）提供独立的存储权限域，确保租户仅能访问自身授权的存储资源，实现数据隔离。

2. 企业级存储访问控制

满足企业级安全要求，通过精细化策略控制敏感数据存储的访问权限，例如限制特定租户仅能读取生产环境存储卷，禁止删除操作。

3. 合规性存储权限管理

适用于***、***等需满足严格合规要求的场景，通过完整的审计日志与权限追溯，满足 GDPR、HIPAA 等合规标准对数据访问控制的要求。

使用方法

基本部署（Docker Run）

bash
docker run -d --name csm-auth-tenant \
  --restart always \
  -p 8080:8080 \  # 服务端口映射
  -e TENANT_ID="tenant-001" \  # 租户唯一标识
  -e STORAGE_SYSTEM_TYPE="powermax" \  # 后端存储系统类型
  -e STORAGE_SYSTEM_ENDPOINT="[***]" \  # 存储系统API端点
  -e AUTH_POLICY_PATH="/etc/csm/auth-policy.yaml" \  # 策略文件路径
  -e LOG_LEVEL="info" \  # 日志级别（debug/info/warn/error）
  -v /host/policies:/etc/csm \  # 挂载宿主策略文件目录
  -v /host/certificates:/etc/csm/certs \  # 挂载TLS证书（可选，用于加密通信）
  dell/csm-auth-tenant:latest

环境变量配置

环境变量名	描述	必选	默认值
`TENANT_ID`	租户唯一标识符（如"team-alpha"）	是	-
`STORAGE_SYSTEM_TYPE`	后端存储系统类型（如"powermax"、"powerflex"）	是	-
`STORAGE_SYSTEM_ENDPOINT`	存储系统管理API端点（含端口）	是	-
`AUTH_POLICY_PATH`	权限策略文件路径（容器内路径）	是	`/etc/csm/policy.yaml`
`LOG_LEVEL`	日志级别（debug/info/warn/error）	否	`info`
`TLS_ENABLED`	是否启用TLS加密通信（true/false）	否	`false`
`TLS_CERT_PATH`	TLS证书文件路径（容器内）	否	`/etc/csm/certs/tls.crt`
`TLS_KEY_PATH`	TLS私钥文件路径（容器内）	否	`/etc/csm/certs/tls.key`

权限策略文件示例（YAML）

yaml
apiVersion: csm.auth/v1
kind: TenantPolicy
metadata:
  name: tenant-001-policy
  tenantId: tenant-001
rules:
  - resources:
      - type: volume
        match:
          name: "tenant-001-*"  # 仅允许访问名称以"tenant-001-"开头的卷
          storageClass: "powermax-gold"  # 限制存储类
    actions: ["create", "get", "list", "mount"]  # 允许的操作
    effect: allow  # 允许访问
  - resources:
      - type: volume
    actions: ["delete", "format"]  # 禁止删除、格式化操作
    effect: deny
  - resources:
      - type: snapshot
        match:
          volumeName: "tenant-001-*"
    actions: ["create", "restore"]
    effect: allow

日志与监控

日志输出：默认输出至标准输出（stdout），日志格式为 JSON，包含时间戳、租户ID、事件类型、详细信息等字段
监控指标：暴露 Prometheus 格式指标接口（默认端口 8080，路径 /metrics），包含策略加载次数、授权请求数、拒绝访问数等关键指标
健康检查：提供健康检查接口（路径 /health），可配置为 Docker/Kubernetes 的存活探针