限制 Trident 容器的权限是否可行？

适用于

Astra Trident

回答

是否建议调整以下突出显示的权限：

   resourceNames:
    - trident-controller
    - trident-node-linux
    - trident-node-windows
    - trident-csi
    - trident
  - apiGroups:
    - authorization.openshift.io
    - rbac.authorization.k8s.io
   resources:
    - roles
    - rolebindings
    - clusterroles
    - clusterrolebindings
   verbs:
    - list
   - create
  - apiGroups:
    - authorization.openshift.io
    - rbac.authorization.k8s.io
   resources:
    - roles
    - rolebindings
    - clusterroles
    - clusterrolebindings
   verbs:
    - delete
    - update
    - patch
 

答案。不。不建议修改 Trident 容器的权限。

追加信息

Trident 是 Kubernetes 的存储编排器，可与各种存储系统集成。出于与其功能和底层存储系统要求相关的特定原因，Trident 容器是特权容器。以下是 Trident 容器享有特权的几个原因：
1.    访问低级存储操作： Trident 与底层存储系统交互并执行各种操作，例如创建卷、快照和克隆以及管理存储资源。为了完成这些任务，Trident 需要        对主机系统的特权访问来执行需要提升权限的低级存储操作。
2.    访问设备特定的 API： 存储系统通常会公开需要特权访问才能与之交互的设备特定的 API 和接口。通过作为特权容器运行，Trident 可以利用这些 API 与存储系统通信，并执行需要与底层存储硬件直接交互的高级操作。
3.    安全和隔离： Trident 操作和管理存储资源，这些资源是应用程序数据的关键组件。通过作为特权容器运行，Trident 可以实施安全措施和隔离，以保护存储系统，并防止未经授权的访问或篡改。此外，Trident 处理需要增强权限的 iscsi 和 nfs 相关工具。