Menyebarkan Aplikasi Menggunakan Citra dari Instans ACR di Akun Lain - Serverless App Engine

Jika aplikasi Serverless App Engine (SAE) dan instance Alibaba Cloud Container Registry (ACR) berada di akun yang berbeda, pastikan konektivitas jaringan dan konfigurasikan otorisasi untuk mengakses instance ACR. Setelah itu, Anda dapat menerapkan aplikasi dengan memasukkan alamat repositori citra.

Prasyarat

Pastikan konektivitas jaringan antara aplikasi SAE dan instance ACR

Anda perlu membangun konektivitas jaringan lintas-VPC atau mengaktifkan Gateway NAT Internet untuk VPC tempat aplikasi berjalan. Untuk instance ACR Enterprise Edition, Anda juga perlu menambahkan blok CIDR VPC dari aplikasi SAE atau NAT Gateway-terpasang Elastic IP Address ke daftar putih instance ACR.

Lihat VPC dari aplikasi SAE

Sebelum menerapkan aplikasi, rencanakan wilayah dan namespace-nya karena pengaturan ini menentukan VPC aplikasi tersebut.

Masuk ke Konsol SAE. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Namespace.
Klik nama namespace tujuan. Di panel navigasi kiri, pilih Basic Information. Klik tautan di sebelah VPC untuk melihat informasi seperti ID VPC.

Konfigurasikan informasi otorisasi untuk mengakses instance ACR

Anda dapat menggunakan Static Username and Password atau RAM Role untuk otorisasi.

Nama pengguna dan kata sandi statis

Buat Secret untuk menyimpan nama pengguna dan kata sandi repositori citra. Pada halaman Namespace, pilih wilayah target dan klik namespace target. Kemudian, di panel navigasi kiri, pilih Secret dan klik Create.

Atur Type ke Private Image Repository Logon Key.
Di bidang Image Repository Address, masukkan domain publik instance ACR, seperti registry.cn-xx.aliyuncs.com untuk ACR Edisi Pribadi atau xx-registry.cn-xx.cr.aliyuncs.com untuk ACR Edisi Perusahaan. Lalu, masukkan Username dan Password untuk masuk ke repositori citra.

Cara menemukan nama pengguna dan kata sandi untuk repositori citra

Untuk mengelola kredensial untuk ACR Edisi Pribadi, masuk ke akun ACR Anda dan buka halaman Instans ACR Edisi Pribadi - Kredensial Akses. Lalu, pilih wilayah instans untuk melihat Username dan modifikasi Password.
Untuk instance ACR Edisi Perusahaan, masuk ke akun ACR dan lihat Konfigurasikan kredensial akses untuk melihat nama pengguna dan kata sandi.

Peran RAM

SAE dapat menarik citra dari akun Alibaba Cloud yang berbeda dengan mengasumsikan Resource Access Management (RAM) role. Ini berarti Pengguna A, yang memiliki aplikasi SAE, mengasumsikan role milik Pengguna B, yang memiliki citra ACR, untuk menarik citra pribadi milik Pengguna B.

Buat Peran RAM: Gunakan akun Alibaba Cloud milik Pengguna B untuk membuat Peran RAM untuk Pengguna A. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk akun Alibaba Cloud tepercaya.

Konfigurasikan kebijakan akses: Buat kebijakan kustom atau modifikasi kebijakan kustom, dan tambahkan konten kebijakan berikut untuk mengizinkan operasi terkait citra pribadi.

{
  "Version": "1",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "cr:GetAuthorizationToken",
              "cr:ListInstanceEndpoint",
              "cr:PullRepository",
              "cr:GetRepository",
              "cr:ListRepositoryTag"
          ],
          "Resource": "*"
      }
  ]
}

Berikan kebijakan akses ke Peran RAM: Berikan kebijakan akses yang dikonfigurasi pada Langkah 2 ke Peran RAM yang dibuat pada Langkah 1. Untuk informasi lebih lanjut, lihat Berikan izin ke Peran RAM.

Modifikasi entitas tepercaya dari Peran RAM: Ubah entitas tepercaya dari Peran RAM yang dibuat pada Langkah 1 menjadi akun layanan SAE dengan memodifikasi kebijakan kepercayaan berikut. Untuk informasi lebih lanjut, lihat Modifikasi kebijakan kepercayaan dari Peran RAM.

Sebelum modifikasi

Setelah modifikasi

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::123456789012****:root"
                ]
            }
        }
    ],
    "Version": "1"
}

Peran RAM ini dapat diasumsikan oleh pengguna RAM atau Peran RAM yang berwenang yang termasuk dalam akun Alibaba Cloud (ID Akun: 123456789012****).

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "123456789012****@sae.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

Peran RAM ini hanya dapat diasumsikan oleh akun layanan SAE (123456789012****@sae.aliyuncs.com) yang sesuai dengan akun Alibaba Cloud (ID Akun: 123456789012****).

Catatan

Dalam contoh ini, Service adalah layanan yang perlu menarik citra dari akun yang berbeda.

Salin ARN: Pada halaman Basic Information dari Peran RAM, salin ARN. Ini adalah acrAssumeRoleArn yang perlu Anda berikan saat menerapkan aplikasi.

Prosedur

Di halaman Aplikasi SAE, pilih wilayah dan namespace yang dituju di bilah navigasi atas, lalu klik Create Application.
Pilih edisi aplikasi.
Penting
Edisi Ringan dan Edisi Profesional hanya tersedia dalam beta undangan. Jika Anda tidak termasuk dalam uji beta, aplikasi Anda akan dibuat sebagai Edisi Standar dan Anda tidak perlu memilih edisi.
- Lightweight Edition: Menyediakan fitur minimum yang diperlukan untuk menjalankan aplikasi dan tidak mendukung Application Monitoring atau Microservice Administration.
- Standard Edition: Termasuk Basic Application Monitoring, sedangkan Advanced Application Monitoring dan Microservice Governance memerlukan aktivasi dan pembelian tambahan.
- Professional Edition: Dilengkapi dengan fitur Advanced Application Monitoring dan Microservice Governance, serta tidak memerlukan aktivasi atau pembelian tambahan.
Pada halaman Create Application, atur Application Name dan konfigurasikan parameter berikut:
1. Pilih jenis namespace untuk aplikasi. Namespace setara dengan namespace Kubernetes dan digunakan untuk mengisolasi sumber daya di lingkungan yang berbeda. Anda tidak dapat mengubah namespace aplikasi setelah dibuat, sehingga perlu direncanakan terlebih dahulu.
  - System-created: Gunakan namespace default, vSwitch, dan grup keamanan yang dibuat oleh sistem di wilayah saat ini.
  - Existing Namespace: Pilih namespace, vSwitch, dan grup keamanan yang telah dibuat sebelumnya.
2. Atur Application Deployment Method ke Select Image To Deploy dan klik Set Image. Lalu, pada tab Private Images From Other Alibaba Cloud Accounts, konfigurasikan informasi berikut:
  - Pilih versi layanan citra ACR Anda dan metode otorisasi. Jika memilih Edisi Perusahaan, masukkan juga Enterprise Edition Instance ID.
    Static Username and Password: Pilih Secret That Stores the Username and Password for the Image Repository yang telah dibuat sebelumnya.
    Ram Role: Masukkan acrAssumeRoleArn yang telah disalin sebelumnya.
  - Masukkan Complete Image Repository Address dalam format <Alamat repositori citra>:<Tag Citra>. Contohnya, gunakan registry.cn-xx.aliyuncs.com/xx/xx:1.0 untuk instans ACR Edisi Pribadi dan xx-registry.cn-xx.cr.aliyuncs.com/xx/xx:1.0 untuk instans ACR Edisi Perusahaan. Catatan: Pilih alamat repositori citra publik atau pribadi sesuai konfigurasi jaringan Anda.
  - Untuk instans ACR Edisi Perusahaan, Anda dapat mengaktifkan fitur percepatan citra untuk meningkatkan kecepatan startup aplikasi.
3. Di bagian Capacity Settings, atur Resource Type, Instance Type, dan Number Of Instances.
(Opsional) Klik Next: Advanced Settings untuk mengonfigurasi fitur yang diperlukan.
- Perintah startup
  Perintah startup aplikasi bergantung pada CMD atau ENTRYPOINT yang ditetapkan dalam citra. Tidak diperlukan konfigurasi tambahan di SAE. Jika memiliki persyaratan khusus, Anda dapat mengatur perintah startup untuk menimpa perintah yang ditetapkan dalam citra.
- Lingkungan runtime dan manajemen siklus hidup
  Dengan mengatur variabel lingkungan, mengatur pengikatan host, menyuntikkan informasi konfigurasi, dan menyuntikkan rahasia, Anda dapat secara fleksibel mengubah variabel atau file konfigurasi di lingkungan runtime setelah penyebaran aplikasi tanpa membangun ulang citra.
  Dengan mengatur pemeriksaan kesehatan, Anda dapat memantau apakah instans aplikasi berjalan normal dan siap menangani permintaan bisnis. Instans yang tidak berjalan normal akan otomatis dimulai ulang, dan permintaan bisnis hanya dirutekan ke instans setelah mereka siap.
  Anda dapat menggunakan Manajemen Siklus Hidup Aplikasi untuk menyesuaikan perintah yang dieksekusi setelah aplikasi mulai dan sebelum berhenti, serta untuk menerapkan shutdown yang mulus.
- Akses jaringan dan pemanggilan layanan
  Anda dapat menerapkan pemanggilan layanan antar-aplikasi menggunakan registrasi layanan dan penemuan. Catatan bahwa jika menggunakan pusat registrasi dan penemuan layanan MSE, biaya tambahan berlaku.
  Anda dapat memberikan akses eksternal ke aplikasi dengan mengikat NLB, mengikat CLB, atau mengonfigurasi rute gateway. Catatan bahwa NLB, CLB, dan rute gateway memerlukan biaya tambahan.
  Anda dapat mengaktifkan aplikasi untuk mengakses sumber daya atau layanan eksternal secara aktif dengan mengonfigurasi Gateway NAT atau mengikat EIP ke instans aplikasi. Catatan bahwa GatewayNAT dan EIP memerlukan biaya tambahan.
- Persistensi data
  Anda dapat menyimpan data aplikasi di NAS, OSS, atau database untuk mencegah kehilangan data akibat perubahan atau penutupan aplikasi. Catatan bahwa NAS, OSS, dan database memerlukan biaya tambahan.
- Log dan pemantauan
  Setelah menerapkan aplikasi, Anda dapat melihat log waktu nyata dan melihat penggunaan sumber daya dan muatan tanpa konfigurasi tambahan. Selain itu, Anda dapat mengeluarkan log ke SLS atau Kafka untuk manajemen dan analisis terpadu. Catatan bahwa SLS dan Kafka memerlukan biaya tambahan.
  Application Real-Time Monitoring Service (ARMS) Monitoring membantu Anda memperoleh pemahaman menyeluruh tentang status runtime aplikasi Anda. Dengan ARMS, Anda dapat dengan cepat menemukan antarmuka yang rusak dan lambat, mengidentifikasi hambatan kinerja, dan mereproduksi parameter panggilan, sehingga meningkatkan efisiensi dalam mendiagnosis masalah online.
  Untuk aplikasi Standard Edition, Anda dapat melihat data pemantauan ARMS Edisi Dasar setelah penyebaran tanpa konfigurasi tambahan. Anda juga dapat mengaktifkan dan membeli Pemantauan ARMS Pro.
  Untuk aplikasi Professional Edition, Anda dapat mengaktifkan Application Monitoring pada langkah Advanced Settings dan menyelesaikan penyebaran. Lalu, Anda dapat View ARMS Pro Monitoring Data. Tidak diperlukan biaya tambahan.
- Fitur lainnya
  Microservice Governance menyediakan fitur untuk aplikasi Java, seperti Graceful Online And Offline Deployment, Traffic Protection, End-to-end Canary Release, dan Preferential Routing To The Same Zone.
  Untuk aplikasi Standard Edition, navigasikan ke halaman detail aplikasi setelah penyebaran untuk mengaktifkan dan membeli fitur MSE Microservice Governance.
  Untuk aplikasi Professional Edition, Anda dapat mengaktifkan Microservice Governance pada langkah Advanced Settings untuk mengonfigurasi Graceful Online And Offline Deployment. Untuk mengonfigurasi lebih banyak fitur, navigasikan ke halaman detail aplikasi setelah penyebaran. Tidak diperlukan biaya tambahan.
  Anda dapat mencegah pemborosan sumber daya yang disebabkan oleh permintaan CPU yang lebih tinggi dari biasanya selama fase startup dan pemuatan dengan mengaktifkan fitur Burst CPU (hanya untuk Edisi Standar dan Edisi Profesional).
  Anda dapat menambahkan kontainer Sidecar untuk mendekopling dan menstandarisasi fungsi non-bisnis dari kontainer utama.
Klik Create Application With One Click atau Create Application.
- Proses pembuatan aplikasi memakan waktu sekitar 1 hingga 2 menit. Anda dapat memverifikasi keberhasilan penyebaran dengan melihat catatan perubahan. Jika penyebaran gagal, instans aplikasi tidak akan dibuat. Anda dapat mendiagnosis penyebab kegagalan berdasarkan pesan kesalahan di Change Details.
- Aplikasi yang telah dibuat dapat dilihat di halaman Application Management > Applications. Untuk mengubah konfigurasi aplikasi setelah penyebaran, klik aplikasi target untuk membuka halaman detailnya. Kemudian, klik Deploy Application atau Modify Application Configuration di bagian atas halaman. Catatan: Aplikasi akan otomatis dimulai ulang agar konfigurasi baru diterapkan. Lakukan operasi ini selama jam-jam sepi.
- Anda dapat masuk ke instans aplikasi melalui Webshell untuk berinteraksi dengan instans aplikasi menggunakan perintah konsol.
- Setelah membuat aplikasi, Anda dapat secara manual menyesuaikan jumlah instans dan tipe instans, atau secara otomatis menyesuaikan jumlah instans dengan mengonfigurasi kebijakan Penyesuaian Skala Otomatis. Anda juga dapat mengurangi biaya dengan mengaktifkan mode idle.