All Products
Search

This Product

    Microservices Engine:Berikan izin kepada pengontrol MSE Ingress

    Document Center

    Microservices Engine:Berikan izin kepada pengontrol MSE Ingress

    Last Updated:Jun 22, 2026

    Untuk mengakses layanan di dalam kluster menggunakan MSE Ingress, Anda harus memberikan izin yang diperlukan kepada pengontrol MSE Ingress agar dapat mengakses MSE sebelum menerapkan layanan tersebut.

    Berikan izin kepada pengontrol MSE Ingress untuk kluster ACK yang dikelola atau kluster ACK serverless

    Anda dapat memberikan izin kepada pengontrol MSE Ingress di kluster ACK yang dikelola atau kluster ACK serverless dengan salah satu dari dua metode berikut.

    • Jika Anda ingin menggunakan MSE Ingress di kluster ACK yang dikelola atau kluster ACK serverless yang sudah ada, lihat Metode 1 untuk memberikan izin yang diperlukan.

    • Jika Anda berencana menggunakan MSE Ingress saat membuat kluster ACK yang dikelola atau kluster ACK serverless baru, lihat Metode 2 untuk memberikan izin yang diperlukan.

    Metode 1: Berikan izin kepada pengontrol MSE Ingress di Manajemen Komponen

    Saat Anda menginstal pengontrol MSE Ingress di Manajemen Komponen, verifikasi izin akan dilakukan secara otomatis. Jika pemeriksaan awal gagal, ikuti langkah-langkah berikut untuk memberikan izin yang diperlukan.

    1. Arahkan penunjuk ke pesan Precheck failed dan klik View Check Report.

    2. Pada halaman Check Report, klik kotak merah di kolom Abnormal, lalu klik link di panel yang muncul.

      Pada hasil pemeriksaan Cluster Authorization, baris ManagedRamRole menampilkan kesalahan. Klik ikon kotak di sebelah kiri baris tersebut untuk membuka panel detail. Pesan kesalahan untuk AliyunCSManagedMseRole adalah "RamRole does not exist". Tautan otorisasi disediakan dalam rekomendasi perbaikan.

    3. Pada halaman Access Control Quick Authorization, klik Confirm Authorization.

      Tindakan ini memberikan peran AliyunServiceRoleForMSE dan AliyunCSManagedMseRole. Kebijakan akses terkait adalah AliyunCSManagedMseRolePolicy, yaitu kebijakan sistem.

    4. Instal ulang komponen tersebut.

    Metode 2: Berikan izin kepada pengontrol MSE Ingress saat membuat kluster

    1. Saat Anda menginstal pengontrol MSE Ingress selama pembuatan kluster baru, buka bagian Dependency Check pada langkah Confirm Configuration. Periksa apakah Status dari MSE Ingress Role Authorization Check adalah Passed. Jika Status bernilai Failed, klik Go to Authorization.

    2. Pada halaman Access Control Quick Authorization, klik Confirm Authorization.

      Tindakan ini membuat peran terkait layanan AliyunServiceRoleForMSE dan AliyunCSManagedMseRole. Kebijakan akses terkait adalah AliyunCSManagedMseRolePolicy.

    3. Setelah otorisasi selesai, kembali ke halaman Confirm Configuration dan klik Recheck. Setelah pemeriksaan berhasil, klik Create Cluster.

    Berikan izin kepada pengontrol MSE Ingress di kluster khusus ACK

    1. Masuk ke Konsol Layanan Kontainer.

    2. Di panel navigasi sebelah kiri, klik Cluster List, lalu klik nama kluster tujuan.

    3. Pada halaman Cluster Information, di bagian Cluster Resources pada tab Basic Information, klik tautan di sebelah kanan Worker RAM Role.

    4. Di Konsol RAM, tambahkan izin AliyunMSEFullAccess ke peran tersebut.

      1. Pada tab Permissions di halaman Role, klik Grant Permission.

      2. Pada halaman Grant Permission, pilih System Policy dari daftar drop-down di bagian Access Policy. Lalu, masukkan nama kebijakan akses di kotak pencarian untuk melakukan pencarian fuzzy.

        Sebagai contoh, Anda dapat memasukkan mse untuk menemukan AliyunMSEFullAccess.

        Di sebelah kanan kotak pencarian kebijakan akses, filter hasil dengan memilih System Policy sebagai jenis kebijakan.

      3. Pilih kebijakan akses AliyunMSEFullAccess dan klik OK untuk memberikan izin.

        Verifikasi bahwa izin AliyunMSEFullAccess berhasil ditambahkan ke peran tersebut.

        Di halaman detail peran, klik tab Permissions. Di daftar kebijakan akses, pastikan kebijakan sistem AliyunMSEFullAccess telah ditambahkan. Cakupan resource berada di tingkat akun.

    5. Di namespace mse-ingress-controller kluster tujuan, temukan aplikasi ack-mse-ingress-controller, klik image di kolom Actions, pilih Redeploy, lalu klik OK.

      Setelah redeployment selesai, klik aplikasi ack-mse-ingress-controller dan pastikan Pod yang dibuat ulang berada dalam status Running.

    (Opsional) Buat kebijakan akses SLS dan berikan izin terkait SLS ke kluster

    Jika Anda ingin mengaktifkan layanan pengiriman log Simple Log Service (SLS) untuk gateway cloud-native MSE menggunakan MseIngressConfig, Anda harus memberikan izin tambahan terkait SLS ke peran Worker RAM dari sumber daya kluster.

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih .

    3. Di halaman Policies, klik Create Policy.

    4. Di halaman Create Policy, klik tab Script Editor, masukkan isi kebijakan berikut, lalu klik Continue to edit basic information.

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "log:CloseProductDataCollection",
                "log:OpenProductDataCollection",
                "log:GetProductDataCollection"
            ],
            "Resource": [
                "acs:mse:*:*:instance/*",
                "acs:log:*:*:project/*/logstore/mse_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "audit.log.aliyuncs.com"
                }
            }
        }
    ]
}

    5. Di halaman Create Policy, tentukan Policy Name dan Note, lalu klik OK.

    6. Berikan izin terkait SLS ke Worker RAM role dari sumber daya kluster.

      1. Masuk ke Konsol Layanan Kontainer.

      2. Di panel navigasi sebelah kiri, klik Cluster List, lalu klik nama kluster tujuan.

      3. Pada halaman Cluster Information, di bagian Cluster Resources pada tab Basic Information, klik tautan di sebelah kanan Worker RAM Role.

      4. Di Konsol RAM, tambahkan izin terkait SLS ke peran tersebut.

        1. Pada tab Permissions di halaman Role, klik Grant Permission.

        2. Pada halaman Grant Permission, pilih Custom Policy dari daftar drop-down di bagian Access Policy. Lalu, masukkan nama kebijakan akses yang telah Anda buat di kotak pencarian untuk melakukan pencarian fuzzy.

          Catatan

          Nama kebijakan akses SLS adalah nama yang Anda tentukan saat membuat kebijakan tersebut.

          Tetapkan Resource Scope ke Account Level dan pastikan Authorized Entity adalah peran worker yang benar.

        3. Pilih kebijakan akses tujuan dan klik OK untuk memberikan izin.

    Berikan izin kepada pengontrol MSE Ingress di kluster ACS

    Jika Anda berencana menggunakan MSE Ingress saat membuat kluster ACS baru, Anda dapat memberikan izin yang diperlukan kepada pengontrol MSE Ingress selama proses pembuatan kluster.

    1. Saat Anda menginstal pengontrol MSE Ingress selama pembuatan kluster baru, buka bagian Dependency Check pada langkah Confirm Configuration. Periksa apakah Status dari MSE Ingress Role Authorization Check adalah Passed. Jika Status bernilai Failed, klik Go to Authorization.

    2. Pada halaman Access Control Quick Authorization, klik Confirm Authorization.

    3. Setelah otorisasi selesai, kembali ke halaman Confirm Configuration dan klik Recheck. Setelah pemeriksaan berhasil, klik Create Cluster.

    Langkah selanjutnya

    Untuk informasi lebih lanjut, lihat Akses layanan di Layanan Kontainer dan Container Compute Service menggunakan MSE Ingress.