Jika Anda perlu menggunakan gateway Ingress Microservices Engine (MSE) untuk mengakses layanan dalam klaster kontainer, Anda harus memberikan izin terkait kepada MSE Ingress Controller di dalam klaster. Topik ini menjelaskan cara memberikan izin kepada MSE Ingress Controller dalam klaster kontainer.
Memberi Izin kepada MSE Ingress Controller di klaster ACK dikelola atau klaster ACK Serverless
Anda dapat menggunakan salah satu metode berikut untuk memberikan izin kepada MSE Ingress Controller di klaster ACK dikelola atau klaster ACK Serverless:
Gunakan Metode 1 jika Anda perlu menggunakan MSE Ingress Controller di klaster ACK dikelola yang sudah ada atau klaster ACK Serverless.
Gunakan Metode 2 jika Anda memutuskan untuk menggunakan MSE Ingress Controller saat membuat klaster ACK dikelola atau klaster ACK Serverless.
Metode 1: Memberi Izin kepada MSE Ingress Controller di halaman Add-ons
Saat menginstal MSE Ingress Controller di halaman Add-ons, verifikasi izin dilakukan secara otomatis. Jika muncul pesan kesalahan "Failed to pass the precheck.", ikuti langkah-langkah berikut untuk memberikan izin:
Arahkan kursor ke pesan kesalahan "Failed to pass the precheck." dan klik View Report.
Di halaman Report, klik kotak merah pada kolom Error, lalu klik link di panel yang muncul.
Di halaman RAM Quick Authorization, klik Authorize.
Instal ulang MSE Ingress Controller.
Metode 2: Memberi Izin kepada MSE Ingress Controller saat Anda membuat klaster
Saat menginstal MSE Ingress Controller selama pembuatan klaster, periksa status untuk MSE Ingress Authorization Check di bagian Dependency Check pada langkah Confirm Order. Jika status Failed muncul untuk MSE Ingress Authorization Check, klik Authorize Now.
Di halaman RAM Quick Authorization, klik Authorize.
Kembali ke langkah Confirm Order, dan klik Re-check. Jika pemeriksaan berhasil, klik Create Cluster.
Memberi Izin kepada MSE Ingress Controller di klaster ACK khusus
Masuk ke Konsol ACK.
Di bilah navigasi sisi kiri, klik Clusters. Lalu, klik nama klaster yang ingin Anda kelola.
Di halaman Cluster Information, klik tab Basic Information. Pada tab Basic Information, klik tautan hiper di sebelah Worker RAM Role pada bagian Cluster Resources.
Di Konsol Resource Access Management (RAM), lampirkan kebijakan AliyunMSEFullAccess ke peran RAM pekerja.
Di tab Permissions dari halaman Roles, klik Grant Permission.
Di bagian Policy dari panel Grant Permission, pilih System Policy dari daftar drop-down jenis kebijakan, dan masukkan nama kebijakan di kotak pencarian untuk melakukan pencarian fuzzy.
Sebagai contoh, Anda dapat memasukkan mse untuk mencari AliyunMSEFullAccess.
Pilih AliyunMSEFullAccess, tambahkan kebijakan ke daftar Kebijakan Terpilih, dan klik Grant permissions.
Anda dapat memeriksa apakah kebijakan AliyunMSEFullAccess telah dilampirkan ke peran dalam daftar kebijakan, seperti yang ditunjukkan pada gambar berikut.
Cari aplikasi ack-mse-ingress-controller di namespace mse-ingress-controller tempat klaster tersebut berada, dan klik
di kolom Actions aplikasi. Dalam daftar yang muncul, pilih Redeploy. Lalu, klik OK.
Setelah aplikasi diredploy, klik aplikasi ack-mse-ingress-controller untuk memastikan bahwa pod aplikasi berada dalam status Running.
(Opsional) Buat kebijakan Simple Log Service dan lampirkan kebijakan tersebut ke peran RAM pekerja klaster
Jika Anda ingin mengaktifkan Simple Log Service untuk gateway cloud-native MSE dengan menggunakan MseIngressConfig, Anda harus memberikan izin pada Simple Log Service kepada peran RAM pekerja di tab Sumber Daya Klaster.
Masuk ke Konsol RAM sebagai pengguna RAM yang memiliki hak administratif.
Di bilah navigasi sisi kiri, pilih .
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON, masukkan konten kebijakan berikut di editor kode, dan klik OK.
{ "Version": "1", "Statement": [ { "Action": [ "log:CloseProductDataCollection", "log:OpenProductDataCollection", "log:GetProductDataCollection" ], "Resource": [ "acs:mse:*:*:instance/*", "acs:log:*:*:project/*/logstore/mse_*" ], "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "audit.log.aliyuncs.com" } } } ] }Di kotak dialog Create Policy, tentukan Policy Name dan Description, lalu klik OK.
Berikan izin pada Simple Log Service kepada worker RAM role di tab Sumber Daya Klaster.
Masuk ke Konsol ACK.
Di bilah navigasi sisi kiri, klik Clusters. Lalu, klik nama klaster yang ingin Anda kelola.
Di halaman Cluster Information, klik tab Basic Information. Pada tab Basic Information, klik tautan hiper di sebelah Worker RAM Role pada bagian Cluster Resources.
Di Konsol RAM, berikan izin pada Simple Log Service kepada peran RAM pekerja.
Di tab Permissions dari halaman role details, klik Grant Permission.
Di bagian Policy dari panel Grant Permission, pilih Custom Policy dari daftar drop-down jenis kebijakan, dan masukkan nama kebijakan di kotak pencarian untuk melakukan pencarian fuzzy.
CatatanNama kebijakan adalah nama kustom.
Pilih nama kebijakan, tambahkan kebijakan ke daftar Kebijakan Terpilih, dan klik Grant permissions.
Memberi Izin kepada MSE Ingress Controller di klaster ACS
Anda dapat menggunakan metode berikut untuk memberikan izin kepada MSE Ingress Controller di klaster ACS. Gunakan metode ini jika Anda memutuskan untuk menggunakan MSE Ingress Controller saat membuat klaster ACS.
Saat menginstal MSE Ingress Controller selama pembuatan klaster, periksa status untuk MSE Ingress Authorization Check di bagian Dependency Check pada langkah Confirm Order. Jika statusnya Failed, klik Authorize Now.
Di halaman RAM Quick Authorization, klik Authorize.
Kembali ke langkah Confirm Order, dan klik Re-check. Jika pemeriksaan berhasil, klik Create Cluster.
Apa yang harus dilakukan selanjutnya
Untuk informasi lebih lanjut tentang cara menggunakan gateway Ingress MSE untuk mengakses layanan di klaster ACK, lihat Gunakan gateway Ingress MSE untuk mengakses layanan di klaster ACK dan klaster ACS.