Deploy Aplikasi SAE melalui ACR Cross-Akun dengan Auth RAM-Serverless App Engine-Alibaba Cloud - Serverless App Engine

Jika aplikasi Serverless App Engine (SAE) dan instans Container Registry (ACR) Anda berada di akun Alibaba Cloud yang berbeda, pastikan terlebih dahulu konektivitas jaringan, lalu konfigurasikan otorisasi untuk mengakses instans ACR, dan akhirnya berikan alamat repositori gambar untuk men-deploy aplikasi.

Prasyarat

Pastikan konektivitas jaringan antara SAE dan ACR

Anda harus membangun konektivitas cross-VPC atau mengaktifkan gateway NAT publik untuk Virtual Private Cloud (VPC) aplikasi Anda. Untuk instans ACR Enterprise Edition, Anda juga harus menambahkan Blok CIDR dari VPC aplikasi SAE atau Elastic IP Address (EIP) yang terikat ke NAT gateway ke daftar putih instans ACR.

Cara melihat VPC aplikasi SAE

Wilayah dan namespace aplikasi menentukan VPC-nya.

Login ke Konsol SAE, pilih wilayah, lalu pilih Namespaces.
Klik namespace target, pilih Basic Information, lalu klik tautan VPC untuk melihat ID VPC.

Konfigurasikan otorisasi akses ACR

Anda dapat menggunakan Static Username and Password atau RAM Role.

Static username and password

Buat Secret untuk menyimpan username dan password repositori gambar. Di halaman Namespace, pilih wilayah, klik namespace target, pilih Secret di panel navigasi kiri, lalu klik Create.

Atur Type ke Private Image Repository Logon Key.
Di bidang Image Repository Address, masukkan domain publik instans ACR. Misalnya, registry.cn-xx.aliyuncs.com untuk Container Registry Edisi Pribadi atau xx-registry.cn-xx.cr.aliyuncs.com untuk ACR Enterprise Edition. Masukkan Username dan Password untuk login ke repositori gambar.

Cara menemukan username dan password untuk login ke repositori gambar

Untuk Container Registry Edisi Pribadi, login ke akun pemilik instans ACR. Di halaman ACR Personal Edition Instance - Access Credential, pilih wilayah instans untuk melihat Username dan ubah Password.

Halaman ini berisi bagian Get Credential dan Log On To Instance. Di bagian Get Credential, klik Set Fixed Password untuk menetapkan kredensial akses permanen. Di bagian Log On To Instance, pilih domain akses sesuai lingkungan jaringan Anda (VPC, jaringan publik, atau jaringan klasik). Lalu, jalankan perintah sudo docker login --username=<username> registry.cn-shenzhen.aliyuncs.com di terminal untuk login ke instans registri.
Untuk ACR Enterprise Edition, login ke akun pemilik instans ACR dan lihat Configure access credentials untuk menemukan username dan password.

Di panel navigasi kiri, pilih Instance Management > Access Credential. Di tab Account Access Credential Management, dapatkan kredensial dengan menetapkan password tetap atau mendapatkan password sementara. Setelah mendapatkan kredensial, gunakan perintah berikut untuk login ke instans: sudo docker login --username=<username> registry-vpc.cn-hangzhou.cr.aliyuncs.com. Nilai untuk --username dapat ditemukan di halaman ini.

RAM role

SAE dapat menarik gambar dari instans ACR di akun lain dengan mengasumsikan RAM role. Misalnya, aplikasi di Akun A dapat mengasumsikan RAM role di Akun B untuk menarik gambar dari instans ACR milik Akun B.

Buat RAM role: Gunakan Akun B untuk membuat RAM role untuk Akun A. Untuk informasi lebih lanjut, lihat Create a RAM role for a trusted Alibaba Cloud account.

Konfigurasikan kebijakan akses: Buat kebijakan kustom atau modifikasi kebijakan kustom untuk menyertakan pernyataan berikut guna mengizinkan operasi pada gambar privat.

{
  "Version": "1",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "cr:GetAuthorizationToken",
              "cr:ListInstanceEndpoint",
              "cr:PullRepository",
              "cr:GetRepository",
              "cr:ListRepositoryTag"
          ],
          "Resource": "*"
      }
  ]
}

Berikan izin ke RAM role: Berikan kebijakan akses dari Langkah 2 ke RAM role dari Langkah 1. Untuk informasi lebih lanjut, lihat Manage RAM role permissions.

Ubah entitas tepercaya RAM role: Ubah entitas tepercaya RAM role dari Langkah 1 menjadi akun layanan SAE dengan memodifikasi kebijakan kepercayaan. Untuk informasi lebih lanjut, lihat Modify the trust policy of a RAM role.

Sebelum

Sesudah

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::123456789012****:root"
                ]
            }
        }
    ],
    "Version": "1"
}

RAM role ini dapat diasumsikan oleh pengguna RAM atau RAM role resmi mana pun di bawah akun Alibaba Cloud (AccountID=123456789012****).

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "123456789012****@sae.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

RAM role ini hanya dapat diasumsikan oleh akun layanan SAE (123456789012****@sae.aliyuncs.com) untuk akun Alibaba Cloud (AccountID=123456789012****).

Catatan

Dalam contoh ini, Service merujuk pada layanan yang menarik gambar.

Salin ARN: Di halaman Basic Information RAM role, salin ARN. Anda akan memerlukan nilai ini untuk bidang acrAssumeRoleArn saat men-deploy aplikasi.

Prosedur

Di halaman SAE Application List, pilih wilayah dan namespace, lalu klik Create Application.
Pilih edisi aplikasi.

Penting
Lightweight Edition dan Professional Edition hanya tersedia berdasarkan undangan. Jika Anda tidak berada dalam program beta, aplikasi Anda secara default menggunakan Standard Edition dan tidak perlu memilih edisi.
- Lightweight Edition: Fitur minimal. Tidak mendukung Application Monitoring atau Microservices Governance.
- Standard Edition: Termasuk Basic Application Monitoring. Advanced Application Monitoring dan Microservices Governance harus diaktifkan dan dibeli secara terpisah.
- Professional Edition: Termasuk Advanced Application Monitoring dan Microservices Governance — tidak perlu aktivasi atau pembelian terpisah.
Di halaman Create Application, tentukan Application Name dan konfigurasikan parameter berikut.
1. Pilih tipe namespace. Namespace mengisolasi resource di berbagai lingkungan dan tidak dapat diubah setelah dibuat.
  - System Created: Menggunakan namespace, vSwitch, dan security group default yang dibuat otomatis di wilayah saat ini.
  - Existing Namespace: Pilih namespace, vSwitch, dan security group yang telah Anda buat sebelumnya.
2. Atur Application Deployment Method ke Select Image Deployment, lalu klik Specify Image di sebelah kanan. Di tab Private Images of Other Alibaba Cloud Account, konfigurasikan parameter berikut.
  - Pilih edisi ACR Anda, lalu pilih metode otorisasi. Untuk ACR Enterprise Edition, Anda juga harus memasukkan Enterprise Edition Instance ID.
    
    Static Username and Password: Pilih Secret for Username and Password of Image Repository yang telah Anda buat sebelumnya.
    
    RAM Role: Masukkan acrAssumeRoleArn yang telah Anda salin sebelumnya.
  - Masukkan Complete Image Repository Address dalam format <image-repository-address>:<image-tag>. Contohnya: registry.cn-xx.aliyuncs.com/xx/xx:1.0 untuk Container Registry Edisi Pribadi, atau xx-registry.cn-xx.cr.aliyuncs.com/xx/xx:1.0 untuk ACR Enterprise Edition.Note: Gunakan alamat repositori gambar publik atau privat yang sesuai dengan konfigurasi jaringan Anda.
  - Untuk ACR Enterprise Edition, Anda dapat mengaktifkan akselerasi gambar untuk mempercepat startup aplikasi.
3. Di bagian Capacity Settings, konfigurasikan Resource Type, Single Instance Specification, dan Number of Instances.
(Opsional) Klik Next: Advanced Settings untuk mengonfigurasi fitur tambahan.
- Startup command
  
  CMD atau ENTRYPOINT gambar menentukan perintah startup — tidak diperlukan konfigurasi tambahan. Untuk menggantinya, tetapkan perintah startup di SAE.
- Lingkungan runtime dan manajemen siklus hidup
  Perbarui variabel atau file konfigurasi tanpa membangun ulang gambar: menyetel variabel lingkungan, menyetel binding host, menyuntikkan konfigurasi, dan menyuntikkan rahasia.
  
  Konfigurasikan pemeriksaan kesehatan untuk memantau instans. Instans yang tidak sehat akan direstart dan tidak menerima traffic hingga lulus pemeriksaan.
  
  Gunakan manajemen siklus hidup aplikasi untuk menjalankan perintah kustom saat startup dan shutdown, serta mengaktifkan shutdown yang mulus.
- Akses jaringan dan pemanggilan layanan
  Aktifkan pemanggilan layanan antar-aplikasi melalui pendaftaran dan penemuan layanan. Penemuan layanan berbasis MSE dikenai biaya tambahan.
  
  Ekspos aplikasi Anda dengan mengikat NLB, mengikat CLB, atau mengonfigurasi entri rute gateway. NLB, CLB, dan entri rute gateway dikenai biaya tambahan.
  
  Aktifkan akses arah keluar dengan mengonfigurasi Gateway NAT atau mengikat EIP ke instans aplikasi. Gateway NAT dan EIP dikenai biaya tambahan.
- Persistensi data
  
  Pertahankan data aplikasi di NAS, OSS, atau database untuk mencegah kehilangan data saat pembaruan atau penghentian. NAS, OSS, dan database dikenai biaya tambahan.
- Pencatatan log dan pemantauan
  Setelah deployment, lihat log waktu nyata dan pantau penggunaan sumber daya dan beban tanpa konfigurasi tambahan. Ekspor log ke SLS atau Kafka. SLS dan Kafka dikenai biaya tambahan.
  
  Pemantauan ARMS menyediakan observabilitas full-stack — identifikasi panggilan API yang gagal atau lambat, deteksi bottleneck, dan reproduksi parameter panggilan untuk troubleshooting.
  
  Untuk Standard Edition, pemantauan ARMS dasar tersedia setelah deployment tanpa konfigurasi tambahan. Anda dapat membeli dan mengaktifkan pemantauan ARMS lanjutan.
  
  Untuk Professional Edition, aktifkan Application Monitoring di Advanced Settings untuk mengakses pemantauan ARMS lanjutan tanpa biaya tambahan.
- Fitur lainnya
  Microservices Governance menyediakan aplikasi Java dengan mulai mulus dan shutdown yang mulus, perlindungan traffic, peluncuran kanari ujung ke ujung, dan routing prioritas ke penyedia di zona yang sama.
  
  Untuk Standard Edition, beli dan aktifkan Microservices Governance MSE dari halaman detail aplikasi setelah deployment.
  
  Untuk Professional Edition, aktifkan Microservices Governance di Advanced Settings untuk mengonfigurasi mulai mulus dan shutdown yang mulus. Konfigurasikan fitur lain di halaman detail aplikasi setelah deployment. Tidak ada biaya tambahan.
  
  Aktifkan fitur CPU Burst untuk menangani permintaan CPU puncak selama startup dan pemuatan tanpa over-provisioning.
  
  Tambahkan kontainer sidecar untuk memisahkan fungsi non-bisnis dari kontainer aplikasi utama.
Klik One-Click Create Application atau Create Application.
- Pembuatan memerlukan waktu 1–2 menit. Lihat catatan perubahan untuk memverifikasi status deployment. Jika deployment gagal, tidak ada instans yang dibuat — periksa error di Change Details.
- Lihat aplikasi yang telah dibuat di halaman . Untuk mengubah konfigurasi, buka halaman detail aplikasi dan klik Deploy Application atau Modify Application Configurations. Aplikasi akan restart untuk menerapkan perubahan — lakukan ini pada jam sepi.
- Anda dapat login ke instans aplikasi menggunakan Webshell untuk menjalankan perintah konsol.
- Setelah pembuatan, sesuaikan jumlah instans secara manual dan spesifikasi instans, atau konfigurasikan kebijakan auto scaling. Aktifkan mode idle untuk mengurangi biaya.