すべてのプロダクト
Search

このプロダクト

    Microservices Engine:MSE Ingress Controller への権限の付与

    ドキュメントセンター

    Microservices Engine:MSE Ingress Controller への権限の付与

    最終更新日:May 09, 2025

    マイクロサービスエンジン (MSE) Ingress ゲートウェイを使用してコンテナクラスター内のサービスにアクセスする必要がある場合は、クラスター内の MSE Ingress Controller に関連する権限を付与する必要があります。このトピックでは、コンテナクラスターの MSE Ingress Controller に権限を付与する方法について説明します。

    ACK マネージドクラスターまたは ACK Serverless クラスターの MSE Ingress Controller に権限を付与する

    次のいずれかの方法を使用して、ACK マネージドクラスターまたは ACK Serverless クラスターの MSE Ingress Controller に権限を付与できます。

    • 既存の ACK マネージドクラスター または ACK Serverless クラスター で MSE Ingress Controller を使用する必要がある場合は、方法 1 を使用します。

    • ACK マネージドクラスター または ACK Serverless クラスター を作成するときに MSE Ingress Controller を使用することを決定した場合は、方法 2 を使用します。

    方法 1: [アドオン] ページで MSE Ingress Controller に権限を付与する

    [アドオン] ページで MSE Ingress Controller をインストールすると、権限検証が自動的に実装されます。「[事前チェックに失敗しました。]」というエラーメッセージが表示された場合は、次の手順を実行して権限を付与します。

    1. [事前チェックに失敗しました。]」というエラーメッセージにポインターを移動し、[レポートの表示] をクリックします。

      image.png

    2. [レポート] ページで、[エラー] 列の赤いボックスをクリックします。次に、表示されるパネルの [リンク] をクリックします。

      image.png

    3. [RAM クイック承認] ページで、[承認] をクリックします。

    4. MSE Ingress Controller を再インストールします。

    方法 2: クラスターの作成時に MSE Ingress Controller に権限を付与する

    1. クラスターの作成プロセス中に MSE Ingress Controller をインストールする場合は、[注文の確認] ステップの [依存関係チェック] セクションに表示されている [MSE Ingress 承認チェック][ステータス] を確認します。[MSE Ingress 承認チェック][失敗] と表示されている場合は、[今すぐ承認] をクリックします。

      image.png

    2. [RAM クイック承認] ページで、[承認] をクリックします。

    3. [注文の確認] ステップに戻り、[再チェック] をクリックします。チェックに合格したら、[クラスターの作成] をクリックします。

    ACK 専用クラスターの MSE Ingress Controller に権限を付与する

    1. ACK コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[クラスター] をクリックします。次に、管理するクラスターの名前をクリックします。

    3. [クラスター情報] ページで、[基本情報] タブをクリックします。[基本情報] タブの [クラスターリソース] セクションで、[Worker RAM ロール] の横にあるハイパーリンクをクリックします。

    4. Resource Access Management (RAM) コンソールで、[AliyunMSEFullAccess] ポリシーを Worker RAM ロールにアタッチします。

      1. [ロール] ページの [権限] タブで、[権限の付与] をクリックします。

      2. [権限の付与] パネルの [ポリシー] セクションで、ポリシータイプのドロップダウンリストから [システムポリシー] を選択し、検索ボックスにポリシー名を入力してあいまい検索を実行します。

        たとえば、「mse」と入力して [AliyunMSEFullAccess] を検索できます。添加权限

      3. [AliyunMSEFullAccess] を選択し、ポリシーを [選択済みポリシー] リストに追加して、[権限の付与] をクリックします。

      次の図に示すように、ポリシーリストで [AliyunMSEFullAccess] ポリシーがロールにアタッチされているかどうかを確認できます。授权成功

    5. クラスターが属する ack-mse-ingress-controller[mse-ingress-controller] 名前空間で imageアクション再デプロイ[OK] アプリケーションを検索し、アプリケーションの 列の をクリックします。表示されるリストで、 を選択します。次に、 をクリックします。

      重新部署

      アプリケーションが再デプロイされたら、[ack-mse-ingress-controller] アプリケーションをクリックして、アプリケーションのポッドが [実行中] 状態であることを確認します。Running

    (オプション) Simple Log Service ポリシーを作成し、クラスターの Worker RAM ロールにアタッチする

    MseIngressConfig を使用して MSE クラウドネイティブ ゲートウェイの Simple Log Service をアクティブにする場合は、[クラスターリソース] タブで Worker RAM ロールに Simple Log Service の権限を付与する必要があります。

    1. 管理権限を持つ RAM ユーザーとして RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

    3. [ポリシー] ページで、[ポリシーの作成] をクリックします。

      image

    4. [ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディタに次のポリシーコンテンツを入力して、[OK] をクリックします。

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "log:CloseProductDataCollection", // プロダクトデータ収集のクローズ
                "log:OpenProductDataCollection",  // プロダクトデータ収集のオープン
                "log:GetProductDataCollection"   // プロダクトデータ収集の取得
            ],
            "Resource": [
                "acs:mse:*:*:instance/*",
                "acs:log:*:*:project/*/logstore/mse_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "audit.log.aliyuncs.com"
                }
            }
        }
    ]
}

    5. [ポリシーの作成] ダイアログボックスで、[ポリシー名][説明] を指定し、[OK] をクリックします。

    6. [クラスターリソース] タブで、[Worker RAM ロール] に Simple Log Service の権限を付与します。

      1. ACK コンソール にログインします。

      2. 左側のナビゲーションウィンドウで、[クラスター] をクリックします。次に、管理するクラスターの名前をクリックします。

      3. [クラスター情報] ページで、[基本情報] タブをクリックします。[基本情報] タブの [クラスターリソース] セクションで、[Worker RAM ロール] の横にあるハイパーリンクをクリックします。

      4. RAM コンソールで、Worker RAM ロールに Simple Log Service の権限を付与します。

        1. [ロールの詳細] ページの [権限] タブで、[権限の付与] をクリックします。

        2. [権限の付与] パネルの [ポリシー] セクションで、ポリシータイプのドロップダウンリストから [カスタムポリシー] を選択し、検索ボックスにポリシー名を入力してあいまい検索を実行します。

          説明

          ポリシー名はカスタム名です。

          SLS授权

        3. ポリシー名を選択し、ポリシーを [選択済みポリシー] リストに追加して、[権限の付与] をクリックします。

    ACS クラスターの MSE Ingress Controller に権限を付与する

    次の方法を使用して、ACS クラスターの MSE Ingress Controller に権限を付与できます。ACS クラスターを作成するときに MSE Ingress Controller を使用することを決定した場合は、次の方法を使用します。

    1. クラスターの作成プロセス中に MSE Ingress Controller をインストールする場合は、[注文の確認] ステップの [依存関係チェック] セクションに表示されている [MSE Ingress 承認チェック][ステータス] を確認します。[失敗] と表示されている場合は、[今すぐ承認] をクリックします。

      image

    2. [RAM クイック承認] ページで、[承認] をクリックします。

      image

    3. [注文の確認] ステップに戻り、[再チェック] をクリックします。チェックに合格したら、[クラスターの作成] をクリックします。

    次のステップ

    MSE Ingress ゲートウェイを使用して ACK クラスター内のサービスにアクセスする方法の詳細については、「MSE Ingress ゲートウェイを使用して ACK クラスターおよび ACS クラスター内のサービスにアクセスする」をご参照ください。