Harvester CSI驱动在Kubernetes 1.28版本中的卷挂载问题分析

在Harvester v1.3.2与Rancher v2.9.6的集成测试过程中，我们发现了一个特定于Kubernetes 1.28版本的有趣现象：Harvester CSI驱动无法正确挂载卷到RKE2客户集群中。这个问题在测试其他Kubernetes版本（包括1.27、1.29和1.30）以及RKE1客户集群时均未出现，表明这是一个版本特定的兼容性问题。

问题现象

当在Kubernetes 1.28版本的RKE2客户集群中创建使用PVC的部署时，CSI驱动无法完成卷的挂载过程。从日志中可以清楚地看到权限拒绝的错误信息，表明服务账号缺少访问Longhorn卷资源的必要权限。

根本原因分析

深入分析后，我们发现问题的核心在于RBAC权限配置不足。Harvester CSI驱动需要访问Longhorn的卷资源来完成其功能，但在Kubernetes 1.28环境中，默认的ClusterRole配置未能提供这些必要的权限。

特别值得注意的是，这个问题仅出现在1.28版本中，这表明Rancher可能在这个特定版本中部署了不同配置的Harvester CSI驱动，或者Kubernetes 1.28本身在权限验证方面有所变化。

解决方案

针对这个问题，我们可以通过扩展ClusterRole的权限来解决。具体来说，需要为CSI驱动的服务账号添加对Longhorn卷资源的访问权限。这包括对volumes和volumes/status资源的get、list权限。

然而，需要注意的是，在Harvester v1.3.2上直接修改这些权限可能会影响后续升级到v1.4.0的过程。因此，在生产环境中实施此解决方案时需要谨慎评估。

最佳实践建议

对于遇到类似问题的用户，我们建议：

1. 在测试环境中验证任何权限修改方案
2. 考虑使用条件化的RBAC配置，针对不同Kubernetes版本应用不同的权限集
3. 监控Harvester和Rancher的后续版本更新，以获取官方修复方案
4. 对于生产环境，建议等待官方发布的修复版本而非手动修改权限

这个问题也提醒我们，在混合版本环境中进行集成测试的重要性，特别是在涉及存储组件等关键基础设施时。