全部产品
Search

搜索本产品

    Container Service for Kubernetes:Pertanyaan Umum tentang Manajemen Otorisasi

    文档中心

    Container Service for Kubernetes:Pertanyaan Umum tentang Manajemen Otorisasi

    更新时间:Jul 06, 2025

    Topik ini menjawab beberapa pertanyaan umum terkait manajemen otorisasi.

    Kategori

    Masalah

    Kegagalan Otorisasi

    Otorisasi RBAC

    Otorisasi RAM

    Apa yang harus saya lakukan jika konsol menampilkan pesan kesalahan berikut: ForbiddenQueryClusterNamespace Forbidden query namespaces?

    Issue

    Konsol menampilkan pesan kesalahan berikut: ForbiddenQueryClusterNamespace Forbidden query namespaces.

    Cause and solution

    Pengguna Resource Access Management (RAM) atau Peran RAM yang digunakan tidak memiliki izin kontrol akses berbasis peran (RBAC) pada namespace dalam klaster. Anda harus membuka halaman Authorizations di konsol untuk menetapkan peran RBAC kepada pengguna RAM atau Peran RAM. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Apa yang harus saya lakukan jika konsol menampilkan pesan kesalahan berikut: Kesalahan APISERVER_403?

    Issue

    Konsol menampilkan pesan kesalahan berikut: APISERVER_403.

    Cause and solution

    Pengguna RAM atau Peran RAM yang digunakan tidak memiliki izin RBAC yang diperlukan pada klaster. Anda harus membuka halaman Authorizations di konsol untuk memberikan izin yang diperlukan kepada pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM. Untuk informasi lebih lanjut tentang otorisasi RBAC, lihat Menggunakan Otorisasi RBAC.

    Apa yang harus saya lakukan jika konsol menampilkan pesan kesalahan berikut: Pengguna RAM saat ini tidak memiliki izin manajemen. Hubungi pemilik akun Alibaba Cloud atau administrator untuk mendapatkan izin?

    Issue

    Konsol menampilkan pesan kesalahan berikut: The current RAM user does not have management permissions. Contact the Alibaba Cloud account owner or the administrator to acquire the permissions.

    Cause

    Pengguna RAM atau Peran RAM yang digunakan tidak memiliki izin RAM yang diperlukan atau izin administrator RBAC pada klaster. Secara default, Anda tidak dapat menggunakan pengguna RAM atau Peran RAM untuk memberikan izin RBAC kepada pengguna RAM lainnya atau Peran RAM lainnya. Contoh berikut menunjukkan cara mengotorisasi Pengguna RAM A atau Peran RAM A untuk memberikan izin RBAC kepada pengguna RAM lainnya atau Peran RAM lainnya.

    Solutions

    Lakukan operasi berikut untuk mengotorisasi pengguna RAM atau Peran RAM agar dapat memberikan izin RBAC kepada pengguna RAM lainnya atau Peran RAM lainnya.

    • Izin administrator RBAC: Anda harus menetapkan peran administrator RBAC yang telah ditentukan sebelumnya atau peran cluster-admin kepada Pengguna RAM A atau Peran RAM A dan tentukan klaster serta namespace yang ingin diakses oleh pengguna RAM atau Peran RAM tersebut.

    • Izin RAM: Anda harus melampirkan kebijakan RAM kepada Pengguna RAM A atau Peran RAM A. Kebijakan RAM harus berisi izin berikut:

      • Meminta pengguna RAM lainnya atau Peran RAM lainnya yang termasuk dalam akun Alibaba Cloud yang sama.

      • Melampirkan kebijakan RAM ke pengguna RAM tertentu atau Peran RAM tertentu.

      • Meminta izin RBAC dari pengguna RAM atau Peran RAM.

      • Melakukan otorisasi RBAC.

    Gunakan metode berikut untuk melampirkan kebijakan RAM kepada Pengguna RAM A atau Peran RAM A:

    Masuk ke konsol RAM dan lampirkan kebijakan RAM kustom kepada Pengguna RAM A atau Peran RAM A. Untuk informasi lebih lanjut, lihat Buat kebijakan RAM kustom. Gunakan template berikut untuk membuat kebijakan RAM kustom:

    {
    "Statement": [{
            "Action": [
                "ram:Get*",
                "ram:List*",
                "cs:GetUserPermissions",
                "cs:GetSubUsers",
                "cs:GrantPermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ram:AttachPolicyToUser",
                "ram:AttachPolicyToRole"
            ],
            "Effect": "Allow",
            "Resource":  [
                "acs:ram:*:*:policy/xxxxxx",
                "acs:*:*:*:user/*"
            ]
        }
    ],
    "Version": "1"
}
    Catatan

    Ganti xxxxxx dengan nama kebijakan RAM yang ingin Anda izinkan Pengguna RAM A atau Peran RAM A untuk melampirkannya kepada pengguna RAM lainnya atau Peran RAM lainnya. Jika Anda mengganti xxxxxx dengan tanda bintang (*), Pengguna RAM A atau Peran RAM A berwenang untuk melampirkan semua kebijakan RAM kepada pengguna RAM lainnya atau Peran RAM lainnya.

    Setelah Anda melampirkan kebijakan RAM di atas kepada Pengguna RAM A atau Peran RAM A, Pengguna RAM A atau Peran RAM A berwenang untuk melampirkan kebijakan RAM yang ditentukan dan menetapkan peran RBAC kepada pengguna RAM lainnya atau Peran RAM lainnya. Untuk informasi lebih lanjut tentang cara menggunakan Pengguna RAM A atau Peran RAM A untuk menetapkan peran RBAC kepada pengguna RAM lainnya atau Peran RAM lainnya, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Bagaimana cara mengidentifikasi apakah kesalahan otorisasi disebabkan oleh kebijakan RAM atau izin RBAC?

    Anda dapat mengidentifikasi apakah kesalahan otorisasi disebabkan oleh kebijakan RAM atau izin RBAC berdasarkan pesan kesalahan yang dikembalikan oleh API atau konsol.

    • Disebabkan oleh kebijakan RAM

      Issue

      API atau konsol mengembalikan pesan kesalahan berikut:

      RAM policy Forbidden for action cs:DescribeEvents
STSToken policy Forbidden for action cs:DescribeClusterNodes

      Cause

      Pesan kesalahan menunjukkan bahwa kebijakan RAM yang dilampirkan pada pengguna RAM atau Peran RAM tidak berisi tindakan cs:DescribeEvents.

      Solution

      Jika pesan kesalahan yang dikembalikan oleh API atau konsol berisi RAM policy Forbidden atau STSToken policy Forbidden, kebijakan RAM yang dilampirkan pada pengguna RAM atau Peran RAM tidak berisi tindakan yang diperlukan. Tambahkan tindakan yang diperlukan ke kebijakan RAM yang dilampirkan pada pengguna RAM atau Peran RAM. Untuk informasi lebih lanjut, lihat Buat kebijakan RAM kustom.

    • Disebabkan oleh izin RBAC

      Issue

      API atau konsol mengembalikan pesan kesalahan berikut:

      events is forbidden: User "<uid>" cannot list resource "events" in API group "" at the cluster scope
ForbiddenQueryClusterNamespace, Forbidden query namespaces

      Cause

      Pesan kesalahan menunjukkan bahwa pengguna RAM <uid> tidak memiliki izin RBAC yang diperlukan untuk mendaftar sumber daya acara.

      Solution

      Jika pesan kesalahan yang dikembalikan oleh API atau konsol berisi APISERVER_403, User "xxx" cannot xx resource "xx" in API group, atau ForbiddenQueryClusterNamespace, pengguna RAM tidak memiliki izin RBAC yang diperlukan. Berikan izin RBAC yang diperlukan kepada pengguna RBAC. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Apa yang harus saya lakukan jika saya tidak dapat mengakses klaster menggunakan pengguna RAM yang dilampirkan dengan kebijakan AdministratorAccess atau AliyunCSFullAccess?

    Mekanisme otorisasi Container Service for Kubernetes (ACK) terdiri dari otorisasi RAM dan otorisasi RBAC. Untuk informasi lebih lanjut, lihat Ikhtisar Otorisasi. Setelah Anda melampirkan kebijakan AdministratorAccess atau AliyunCSFullAccess kepada pengguna RAM di konsol RAM, Anda harus membuka halaman Authorizations dan tetapkan peran RBAC kepada pengguna RAM untuk memberikan izin pada klaster. Untuk informasi lebih lanjut tentang cara menetapkan peran RBAC, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Apa yang harus saya lakukan jika konsol menampilkan kode kesalahan ForbiddenCheckControlPlaneLog?

    Issue

    Konsol menampilkan kode kesalahan ForbiddenCheckControlPlaneLog.

    Cause and solution

    Pengguna RAM atau Peran RAM yang digunakan tidak diberikan peran administrator RBAC yang telah ditentukan sebelumnya atau peran insinyur O&M. Pergi ke halaman Authorizations untuk menetapkan peran administrator RBAC yang telah ditentukan sebelumnya atau peran insinyur O&M kepada pengguna RAM atau Peran RAM yang digunakan. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Apa yang harus saya lakukan jika konsol menampilkan kode kesalahan ForbiddenHelmUsage?

    Issue

    Konsol menampilkan kode kesalahan ForbiddenHelmUsage.

    Cause and solution

    Pengguna RAM atau Peran RAM yang digunakan tidak diberikan peran administrator RBAC yang telah ditentukan sebelumnya. Pergi ke halaman Authorizations untuk menetapkan peran administrator RBAC yang telah ditentukan sebelumnya kepada pengguna RAM atau Peran RAM yang digunakan. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Apa yang harus saya lakukan jika konsol menampilkan kode kesalahan ForbiddenRotateCert?

    Issue

    Konsol menampilkan kode kesalahan ForbiddenRotateCert.

    Cause and solution

    Pengguna RAM atau Peran RAM yang digunakan tidak diberikan peran administrator RBAC yang telah ditentukan sebelumnya. Pergi ke halaman Authorizations untuk menetapkan peran administrator RBAC yang telah ditentukan sebelumnya kepada pengguna RAM atau Peran RAM yang digunakan. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Apa yang harus saya lakukan jika konsol menampilkan kode kesalahan ForbiddenAttachInstance?

    Issue

    Konsol menampilkan kode kesalahan ForbiddenAttachInstance.

    Cause and solution

    Pengguna RAM atau Peran RAM yang digunakan tidak diberikan peran administrator RBAC yang telah ditentukan sebelumnya atau peran insinyur O&M. Pergi ke halaman Authorizations untuk menetapkan peran administrator RBAC yang telah ditentukan sebelumnya atau peran insinyur O&M kepada pengguna RAM atau Peran RAM yang digunakan. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Apa yang harus saya lakukan jika konsol menampilkan kode kesalahan ForbiddenUpdateKMSState?

    Issue

    Konsol menampilkan kode kesalahan ForbiddenUpdateKMSState.

    Cause and solution

    Pengguna RAM atau Peran RAM yang digunakan tidak diberikan peran administrator RBAC yang telah ditentukan sebelumnya atau peran insinyur O&M. Pergi ke halaman Authorizations untuk menetapkan peran administrator RBAC yang telah ditentukan sebelumnya atau peran insinyur O&M kepada pengguna RAM atau Peran RAM yang digunakan. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Apa yang harus saya lakukan jika konsol menampilkan kode kesalahan Forbidden get trigger?

    Issue

    Konsol menampilkan kode kesalahan Forbidden get trigger.

    Cause and solution

    Pengguna RAM atau Peran RAM yang digunakan tidak diberikan peran administrator RBAC yang telah ditentukan sebelumnya, peran insinyur O&M, atau peran pengembang. Pergi ke halaman Authorizations untuk menetapkan peran administrator RBAC, peran insinyur O&M, atau peran pengembang kepada pengguna RAM atau Peran RAM yang digunakan. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Apakah saya bisa memberikan izin pada aplikasi?

    Ya, Anda bisa memberikan izin pada aplikasi. Anda dapat membuat ClusterRole kustom dan mendefinisikan aturan untuk memberikan izin pada aplikasi individual. Anda dapat menggunakan bidang resourceNames untuk menentukan aplikasi.

    1. Masuk ke konsol ACK.

    2. Di panel navigasi di sisi kiri, klik Authorizations.

    3. Di halaman Authorizations, klik tab RAM Users, temukan pengguna RAM yang ingin diberikan izin, dan klik Modify Permissions di sisi kanan.

      Catatan

      Jika Anda masuk ke konsol ACK sebagai pengguna RAM atau Peran RAM, pastikan bahwa pengguna RAM atau Peran RAM memiliki setidaknya izin baca-saja pada klaster yang ingin dikelola. Selain itu, pengguna RAM atau Peran RAM harus diberikan peran cluster-admin atau peran administrator klaster. Untuk informasi lebih lanjut, lihat Buat kebijakan RAM kustom.

    4. Di halaman Permission Management, klik Add Permissions dan tentukan klaster yang ingin diberikan izin, namespace, dan jenis otorisasi. Klik Submit.

      image.png

      Catatan

      • Anda juga dapat memberikan izin pada semua klaster kepada pengguna RAM tertentu.

      • Anda dapat menetapkan satu peran RBAC yang telah ditentukan sebelumnya dan satu atau lebih peran RBAC kustom kepada pengguna RAM atau Peran RAM untuk klaster atau namespace tertentu.

      Tabel berikut menjelaskan izin yang dimiliki oleh peran RBAC yang telah ditentukan sebelumnya dan kustom pada klaster dan namespace.

      Tabel 1. Peran dan izin

      Peran

      Izin RBAC pada sumber daya klaster

      Administrator

      Izin baca/tulis pada sumber daya di semua namespace. Izin baca/tulis pada node, volume, namespace, dan kuota.

      Insinyur O&M

      Izin baca/tulis pada sumber daya Kubernetes yang terlihat di konsol dan di semua namespace. Izin baca-saja pada node, volume, namespace, dan kuota.

      Pengembang

      Izin baca/tulis pada sumber daya yang terlihat di konsol dan di namespace yang ditentukan.

      Pengguna Terbatas

      Izin baca-saja pada sumber daya yang terlihat di konsol dan di namespace yang ditentukan.

      Peran Kustom

      Izin peran kustom ditentukan oleh ClusterRole yang Anda pilih. Sebelum Anda memilih ClusterRole, periksa izin dari ClusterRole dan pastikan bahwa Anda hanya memberikan izin yang diperlukan kepada pengguna RAM atau peran RAM. Untuk informasi lebih lanjut, lihat Buat kebijakan RAM kustom.

      Untuk informasi lebih lanjut tentang langkah-langkah selanjutnya, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Mengapa pengguna RAM atau peran RAM yang diberi peran cs:admin gagal membuat objek CustomResourceDefinition (CRD) di klaster ACK?

    Jika klaster Anda dibuat sebelum Mei 2019, peran administrator default klaster tidak memiliki izin untuk mengakses sumber daya Kubernetes tertentu. Anda dapat menetapkan peran cluster-admin kepada pengguna RAM atau Peran RAM. Anda juga dapat menghapus peran cs:admin ClusterRole dan kemudian membuat ulang ClusterRole tersebut.

    Template YAML berikut disediakan sebagai contoh:

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cs:admin
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'

    Bagaimana cara menggunakan pengguna RAM atau peran RAM untuk memberikan peran RBAC kepada pengguna RAM lainnya atau peran RAM lainnya?

    Untuk informasi lebih lanjut, lihat Berikan izin RBAC menggunakan pengguna RAM atau Peran RAM.

    Bagaimana cara menentukan pengguna RAM atau peran RAM yang terkait dengan ClusterRoleBinding atau RoleBinding?

    Anda dapat menentukan pengguna RAM atau Peran RAM yang terkait dengan ClusterRoleBinding atau RoleBinding berdasarkan nilai parameter subjects dalam konfigurasi ClusterRoleBinding atau RoleBinding. Jika nilai bidang kind dari parameter subjects adalah User dan nilai bidang name terdiri dari digit atau terdiri dari digit dan tanda hubung (-), nilai bidang name menunjukkan ID pengguna RAM atau ID Peran RAM.

    Contoh berikut menunjukkan bahwa ID pengguna RAM yang terkait dengan ClusterRoleBinding adalah 1*** dan ID pengguna RAM yang terkait dengan RoleBinding adalah 2***.

    ---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: 1***-cluster-admin-clusterrolebinding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: 1***-1673419473

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: 2***-default-rolebinding
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: 'cs:ns:dev'
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: '2***'

    Mengapa saya gagal memodifikasi atau mencabut izin RBAC dari pembuat klaster?

    Issue

    Setelah Anda memodifikasi atau mencabut izin RBAC dari pembuat klaster, operasi tersebut tidak berlaku.

    Cause

    Untuk mencegah masalah bahwa pembuat klaster tidak dapat mengelola klaster yang dibuat oleh pembuat tersebut, ACK tidak menyetujui permintaan yang diajukan untuk memodifikasi atau mencabut izin RBAC dari pembuat klaster.

    Solution

    Jika Anda perlu mencabut izin RBAC dari pembuat klaster, lakukan operasi berikut:

    1. Jalankan perintah berikut untuk menanyakan ClusterRoleBinding yang dibuat untuk memberikan izin kepada pembuat klaster.

      Ganti <uid> dengan UID akun Alibaba Cloud yang ingin ditanyakan.

      kubectl get clusterrolebinding |grep <uid>

    2. Jalankan perintah berikut untuk mencadangkan dan kemudian menghapus ClusterRoleBinding yang dikembalikan pada langkah sebelumnya.

      Ganti <name> dengan nama ClusterRoleBinding yang dikembalikan pada langkah sebelumnya.

      kubectl get clusterrolebinding <name> -o yaml > <name>.yaml
kubectl delete clusterrolebinding <name>

    Izin apa yang diperlukan untuk menggunakan fitur terminal?

    Untuk menggunakan fitur terminal, Anda harus menetapkan peran administrator RBAC yang telah ditentukan sebelumnya, peran insinyur O&M, atau peran pengembang kepada pengguna RAM atau Peran RAM yang digunakan. Selain itu, Anda harus memberikan izin RAM kepada pengguna RAM atau Peran RAM untuk memanggil operasi cs:DescribeClusterUserKubeconfig. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM dan Buat kebijakan RAM kustom.

    Bagaimana cara memberikan izin RBAC kepada pengguna yang masuk ke konsol menggunakan CloudSSO?

    Issue

    Anda ingin memberikan izin RBAC kepada pengguna AliyunReservedSSO-Policy-foo-bar-admin/foo.bar yang masuk ke konsol menggunakan CloudSSO.

    Solution

    Jika pengguna masuk ke konsol menggunakan CloudSSO, pengguna masuk sebagai Peran RAM. Oleh karena itu, untuk memberikan izin kepada pengguna, Anda hanya perlu memberikan izin RBAC kepada Peran RAM. Misalnya, jika pengguna yang masuk ke konsol adalah AliyunReservedSSO-Policy-foo-bar-admin/foo.bar, Anda perlu memberikan izin RBAC kepada Peran RAM AliyunReservedSSO-Policy-foo-bar-admin. Untuk informasi lebih lanjut, lihat Berikan izin RBAC kepada pengguna RAM atau Peran RAM.

    Mengapa pengguna RAM atau peran RAM yang memiliki izin baca-saja pada semua klaster gagal melihat klaster tertentu?

    Issue

    Pengguna RAM atau Peran RAM diberikan izin baca-saja pada semua klaster menggunakan konsol RAM dan izin akses pada namespace tertentu dari dua klaster menggunakan RBAC. Sebelumnya, pengguna RAM dapat menanyakan semua klaster di konsol. Namun, pengguna RAM hanya dapat menanyakan beberapa klaster sekarang. Izin pengguna RAM belum dimodifikasi baru-baru ini.

    Cause

    Anda masuk ke konsol ACK menggunakan pengguna RAM atau Peran RAM lainnya atau Anda memilih grup sumber daya. Dalam kasus ini, Anda harus masuk ke konsol ACK menggunakan pengguna RAM atau Peran RAM yang telah diberikan izin dan pilih All Resources di bilah navigasi atas konsol ACK.

    Solution

    1. Masuk ke konsol ACK.

    2. Di bilah navigasi atas, pilih All Resources > All Resources.

      11

    3. Gerakkan pointer di atas avatar di sudut kanan atas konsol ACK dan pastikan bahwa Anda masuk sebagai pengguna RAM atau Peran RAM yang memiliki izin yang diperlukan.

    Bagaimana cara memberikan pengguna RAM atau peran RAM izin untuk membuat klaster?

    1. Gunakan akun Alibaba Cloud Anda untuk menetapkan peran sistem kepada ACK.

      • Otorisasi peran layanan adalah operasi satu kali. Jika Anda tidak yakin apakah sudah selesai, Anda dapat:

        1. Masuk menggunakan akun Alibaba Cloud Anda.

        2. Akses RAM Quick Authorization, dan lakukan otorisasi massal untuk peran layanan ACK.

      • Untuk informasi lebih lanjut tentang peran sistem default untuk ACK, lihat Peran ACK.

    2. Gunakan akun Alibaba Cloud Anda untuk melampirkan kebijakan RAM kustom kepada pengguna RAM atau Peran RAM.

      Pastikan bahwa pengguna RAM atau Peran RAM memiliki izin cs:CreateCluster. Untuk informasi lebih lanjut, lihat Buat kebijakan RAM kustom.

      Template YAML berikut adalah contohnya:

      {
 "Statement": [{
     "Action": [
         "cs:CreateCluster"
     ],
     "Effect": "Allow",
     "Resource": [
         "*"
     ]
 }],
 "Version": "1"
}
      Catatan

      • Saat klaster dibuat, sistem menghubungkan sumber daya cloud dengan klaster, seperti virtual private clouds (VPC). Pastikan bahwa pengguna RAM atau Peran RAM diberikan izin yang diperlukan untuk mengakses sumber daya cloud.

      • Pastikan bahwa pengguna RAM memiliki izin Daftar pada VPC. Untuk memberikan izin ini, Anda dapat melampirkan kebijakan AliyunVPCReadOnlyAccess kepada pengguna RAM.

      • Jika Anda ingin memberikan izin pada sumber daya lainnya, periksa dokumentasi tentang kebijakan sistem dan otorisasi yang terkait dengan layanan cloud yang sesuai. Untuk informasi lebih lanjut, lihat Otorisasi RAM.

    Kode kesalahan apa yang menunjukkan bahwa akun Alibaba Cloud saat ini tidak diberikan peran layanan tempat ACK bergantung?

    Jika konsol ACK atau platform OpenAPI Explorer menampilkan kode kesalahan berikut saat Anda menggunakan ACK, akun Alibaba Cloud saat ini tidak diberikan peran layanan tempat ACK bergantung. Anda harus menggunakan akun Alibaba Cloud atau pengguna RAM yang dilampirkan dengan kebijakan AdministratorAccess untuk masuk ke konsol ACK atau platform OpenAPI Explorer dan klik hyperlink dalam pesan kesalahan. Di halaman yang muncul, tetapkan peran kepada akun Alibaba Cloud atau pengguna RAM.

    Kode kesalahan

    Contoh pesan kesalahan

    ErrManagedKuberneteRoleNotAttach

    please complete the cluster addon's service ramrole authorization at https://***

    ErrKubernetesAuditRoleNotAttach

    please complete the cluster addon's service ramrole authorization at https://***

    ErrManagedAddonRoleNotAttach

    please complete the cluster addon's service ramrole authorization at https://***

    ErrManagedSecurityRoleNotAttach

    please complete the security ramrole authorization at https://***

    ErrEdgeAddonRoleNotAttach

    please complete the edge cluster addon's service ramrole authorization at https://***

    ErrAutoScalerRoleNotAttach

    please complete the cluster addon's service ramrole authorization at https://***

    ErrAcrHelperRoleNotAttach

    please complete the cluster addon's service ramrole authorization at https://***

    ErrCostExporterRoleNotAttach

    please complete the cluster addon's service ramrole authorization at https://***

    MissingAuth.AliyuncsManagedSecurityRole

    please complete the security ramrole authorization at https://***

    Bagaimana cara menavigasi ke halaman tempat saya dapat menetapkan peran sistem untuk ACK?

    Jika Anda telah mencabut peran sistem yang ditetapkan kepada ACK, Anda harus menetapkan peran sistem kepada ACK lagi. Untuk informasi lebih lanjut, lihat Cepat membuat klaster ACK yang dikelola.

    Catatan

    Anda harus menggunakan akun Alibaba Cloud untuk menetapkan ulang peran sistem kepada ACK.

    Apa yang harus saya lakukan jika peran RAM dicabut dari instance ECS?

    Saat aplikasi Anda yang berjalan di instance Elastic Compute Service (ECS) mengirimkan permintaan ke metadata api 100, kesalahan 404 atau pesan kesalahan Message:Node condition RAMRoleError is now: True, reason: NodeHasNoRAMRole dikembalikan. Anda dapat menetapkan ulang peran RAM ke instance ECS menggunakan metode berikut:

    • Jika peran RAM dicabut dari instance ECS, Anda harus menetapkan kembali peran RAM kepada instance ECS tersebut. Untuk informasi lebih lanjut, lihat Lepaskan atau ubah peran instance RAM.

      • Untuk instance ECS yang berfungsi sebagai node master dalam klaster Anda (hanya berlaku untuk klaster ACK khusus): Di tab Basic Information halaman Cluster Information, tetapkan Master RAM Role kepada instance ECS.

      • Untuk instance ECS yang berfungsi sebagai node pekerja dalam klaster Anda: Di tab Basic Information halaman Cluster Information, tetapkan Worker RAM Role kepada instance ECS.

    • Jika Anda memodifikasi isi kebijakan yang dilampirkan pada peran RAM, periksa apakah isi yang dimodifikasi berisi izin yang diperlukan.

    • Jika Anda memodifikasi isi kebijakan yang dilampirkan pada peran RAM sebelum kesalahan terjadi, coba kembalikan kebijakan ke versi aslinya.

    Bagaimana cara menetapkan peran RAM kustom ke klaster ACK?

    Anda dapat menetapkan peran RAM kustom di klaster Kubernetes Anda dengan menggunakan peran Worker RAM kustom. Untuk informasi lebih lanjut, lihat Gunakan peran Worker RAM kustom.

    Apakah beban kerja online akan terpengaruh setelah pengguna RAM dihapus karena staf terkait telah mengundurkan diri?

    Anda dapat menggunakan pengguna RAM lainnya untuk mengelola klaster seperti biasa setelah Anda menghapus pengguna RAM. Namun, Anda harus menggunakan akun Alibaba Cloud untuk mencabut file kubeconfig yang diterbitkan kepada pengguna RAM yang Anda hapus. Untuk informasi lebih lanjut, lihat <Cabut file kubeconfig klaster.

    Penting

    Sebelum Anda mencabut file kubeconfig yang diterbitkan kepada pengguna RAM yang Anda hapus, Anda harus mengganti file kubeconfig yang disimpan di aplikasi Anda dengan file kubeconfig baru.