Otorisasi Pengontrol MSE Ingress untuk Mengakses MSE -

Untuk menggunakan MSE Ingress dalam mengekspos layanan di kluster Container Service for Kubernetes (ACK), Anda harus mengotorisasi pengontrol MSE Ingress agar dapat mengakses MSE. Panduan ini menjelaskan cara melakukan otorisasi tersebut.

Langkah 1: Instal Pengontrol MSE Ingress

Metode 1: Instal Pengontrol MSE Ingress saat membuat kluster

Di halaman wizard Component Configurations, pilih MSE Ingress pada bagian Ingress. Untuk detail lebih lanjut tentang parameter kluster, lihat Buat Kluster ACK yang Dikelola.

Metode 2: Instal Pengontrol MSE Ingress untuk kluster yang ada pada halaman Add-ons

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, temukan kluster yang ingin dikelola dan klik namanya. Di panel navigasi kiri, klik Add-ons.
Pada halaman Add-ons, klik tab Networking. Temukan MSE Ingress Controller dan klik Install.
Dalam kotak dialog Install MSE Ingress Controller, pilih atau hapus centang Cascade Delete SLB Instance dan klik OK.

Langkah 2: Otorisasi Pengontrol MSE Ingress untuk Mengakses MSE

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel kiri, klik Cluster Information.
Pada halaman Cluster Information, klik tab Cluster Resources, lalu klik hyperlink di sebelah Worker RAM Role.
Pada tab Permissions dari halaman role details, klik Grant Permission.
Di bagian Select Policy dari panel Grant Permission, klik tab System Policy. Masukkan AliyunMSEFullAccess di kotak pencarian di bawah. Klik AliyunMSEFullAccess setelah muncul. Lalu, klik OK.

Langkah 3 (opsional): Otorisasi kluster Anda untuk mengakses Log Service

Jika ingin mengaktifkan Log Service untuk gateway cloud-native MSE menggunakan MseIngressConfig, Anda perlu memberikan izin kepada peran RAM pekerja kluster untuk mengakses Log Service.

Buat kebijakan RAM.

Masuk ke Konsol RAM dengan akun Alibaba Cloud Anda.
Di panel navigasi kiri, pilih Permissions > Policies. Pada halaman yang muncul, klik Create Policy.

Pada halaman Create Policy, klik tab JSON, masukkan konten kebijakan berikut di editor kode, lalu klik Next to edit policy information.

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "log:CloseProductDataCollection",
                "log:OpenProductDataCollection",
                "log:GetProductDataCollection"
            ],
            "Resource": [
                "acs:mse:*:*:instance/*",
                "acs:log:*:*:project/*/logstore/mse_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "audit.log.aliyuncs.com"
                }
            }
        }
    ]
}

Tentukan parameter Name dan Note, lalu klik OK.

Otorisasi kluster untuk mengakses Log Service
1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
2. Pada halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel kiri, klik Cluster Information.
3. Pada halaman Cluster Information, klik tab Cluster Resources, lalu klik hyperlink di sebelah Worker RAM Role.
4. Pada tab Permissions dari halaman role details, klik Grant Permission.
5. Di bagian Select Policy dari panel Grant Permission, klik tab Custom Policy. Masukkan nama kebijakan kustom yang dibuat di Langkah 1. Klik kebijakan setelah muncul. Lalu, klik OK.