Tridentコンテナの権限を制限することは可能でしょうか？

最後の更新
PDFとして保存

Views:: 3

Visibility:: Public

Votes:: 0

Category:: trident-kubernetes

Specialty:: snapx

Last Updated:

環境

Astra Trident

回答

下記で強調表示されている権限を調整することは推奨されますか：

resourceNames: - trident-controller - trident-node-linux - trident-node-windows - trident-csi - trident - apiGroups: - authorization.openshift.io - rbac.authorization.k8s.io resources: - roles - rolebindings - clusterroles - clusterrolebindings verbs: - list - create - apiGroups: - authorization.openshift.io - rbac.authorization.k8s.io resources: - roles - rolebindings - clusterroles - clusterrolebindings verbs: - delete - update - patch

答えいいえ。Tridentコンテナの権限を変更することはお勧めできません。

追加情報

Tridentは、さまざまなストレージシステムと統合するKubernetes用のストレージオーケストレーターです。Tridentコンテナは、その機能や基盤となるストレージシステムの要件に関連する特定の理由から、特権コンテナとして扱われます。Tridentコンテナが特権コンテナである理由はいくつかあります：
1.   低レベルのストレージ操作へのアクセス： Tridentは基盤となるストレージシステムと連携し、ボリューム、スナップショット、クローンの作成、ストレージリソースの管理など、さまざまな操作を実行します。これらのタスクを実行するために、Tridentには昇格された権限を必要とする低レベルのストレージ操作を実行するための、ホストシステムへの特権アクセスが必要です。
2.   デバイス固有のAPIへのアクセス：ストレージシステムは、多くの場合、対話するために特権アクセスを必要とするデバイス固有のAPIやインターフェースを公開しています。特権コンテナとして実行することで、TridentはこれらのAPIを利用してストレージシステムと通信し、基盤となるストレージハードウェアとの直接的なやり取りを必要とする高度な操作を実行できます。
3.   セキュリティと隔離： Tridentは、アプリケーションのデータにとって重要な構成要素であるストレージリソースを運用および管理します。特権コンテナとして実行することで、Tridentはストレージシステムを保護し、不正アクセスや改ざんを防止するために、セキュリティ対策と隔離措置を実施できます。また、Tridentは高度な権限を必要とするiSCSIおよびNFS関連ツールを扱います。