すべてのプロダクト
Search

このプロダクト

    Server Load Balancer:自己管理型KubernetesクラスターにALB Ingressコントローラーを使用する権限を付与する

    ドキュメントセンター

    Server Load Balancer:自己管理型KubernetesクラスターにALB Ingressコントローラーを使用する権限を付与する

    最終更新日:Dec 12, 2024

    Application Load Balancer (ALB) Ingressコントローラーは、強力なIngressトラフィック管理機能を提供します。 このトピックでは、ALB Ingressコントローラーを使用してトラフィックを管理する前に、自己管理クラスターにALB Ingressコントローラーの使用を許可する方法について説明します。

    手順

    1. 手順1: RAMユーザーの作成

    2. 手順2: RAMポリシーを作成し、RAMユーザーにポリシーをアタッチします

    3. 手順3: 自己管理クラスターでのAccessKey IDとAccessKeyシークレットの設定

    ステップ1: RAMユーザーの作成

    1. Alibaba Cloudアカウントを使用して、Resource Access Management (RAM) コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。 表示されるページで、[ユーザーの作成] をクリックします。

    3. [ユーザーの作成] ページで、[ログイン名] および [表示名] パラメーターを設定し、[永続的なAccessKeyを使用してアクセスする] を選択し、[OK] をクリックします。

    4. [ユーザーの作成] ページで、RAMユーザーのAccessKey IDAccessKey secretをコピーします。

    手順2: RAMポリシーを作成し、RAMユーザーにポリシーをアタッチする

    1. ALB Ingressコントローラーを使用するために必要な権限を提供するポリシーを作成します。

      1. RAMコンソールの左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。 ページの右側で、[ポリシーの作成] をクリックします。

      2. [JSON] タブをクリックし、次のコンテンツをコピーしてエディターに貼り付け、[OK] をクリックします。

        サンプルコードの表示

        {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:Describe*",
        "ecs:CreateRouteEntry",
        "ecs:DeleteRouteEntry",
        "ecs:CreateNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:ModifyInstanceAttribute",
        "ecs:AttachKeyPair",
        "ecs:StopInstance",
        "ecs:StartInstance",
        "ecs:ReplaceSystemDisk"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "slb:Describe*",
        "slb:CreateLoadBalancer",
        "slb:DeleteLoadBalancer",
        "slb:ModifyLoadBalancerInternetSpec",
        "slb:RemoveBackendServers",
        "slb:AddBackendServers",
        "slb:RemoveTags",
        "slb:AddTags",
        "slb:StopLoadBalancerListener",
        "slb:StartLoadBalancerListener",
        "slb:SetLoadBalancerHTTPListenerAttribute",
        "slb:SetLoadBalancerHTTPSListenerAttribute",
        "slb:SetLoadBalancerTCPListenerAttribute",
        "slb:SetLoadBalancerUDPListenerAttribute",
        "slb:CreateLoadBalancerHTTPSListener",
        "slb:CreateLoadBalancerHTTPListener",
        "slb:CreateLoadBalancerTCPListener",
        "slb:CreateLoadBalancerUDPListener",
        "slb:DeleteLoadBalancerListener",
        "slb:CreateVServerGroup",
        "slb:DescribeVServerGroups",
        "slb:DeleteVServerGroup",
        "slb:SetVServerGroupAttribute",
        "slb:DescribeVServerGroupAttribute",
        "slb:ModifyVServerGroupBackendServers",
        "slb:AddVServerGroupBackendServers",
        "slb:ModifyLoadBalancerInstanceSpec",
        "slb:ModifyLoadBalancerInternetSpec",
        "slb:SetLoadBalancerModificationProtection",
        "slb:SetLoadBalancerDeleteProtection",
        "slb:SetLoadBalancerName",
        "slb:ModifyLoadBalancerInstanceChargeType",
        "slb:RemoveVServerGroupBackendServers"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "nlb:TagResources",
        "nlb:UnTagResources",
        "nlb:ListTagResources",
        "nlb:CreateLoadBalancer",
        "nlb:DeleteLoadBalancer",
        "nlb:GetLoadBalancerAttribute",
        "nlb:ListLoadBalancers",
        "nlb:UpdateLoadBalancerAttribute",
        "nlb:UpdateLoadBalancerAddressTypeConfig",
        "nlb:UpdateLoadBalancerZones",
        "nlb:CreateListener",
        "nlb:DeleteListener",
        "nlb:ListListeners",
        "nlb:UpdateListenerAttribute",
        "nlb:StopListener",
        "nlb:StartListener",
        "nlb:GetListenerAttribute",
        "nlb:GetListenerHealthStatus",
        "nlb:CreateServerGroup",
        "nlb:DeleteServerGroup",
        "nlb:UpdateServerGroupAttribute",
        "nlb:AddServersToServerGroup",
        "nlb:RemoveServersFromServerGroup",
        "nlb:UpdateServerGroupServersAttribute",
        "nlb:ListServerGroups",
        "nlb:ListServerGroupServers",
        "nlb:GetJobStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:Describe*",
        "vpc:DeleteRouteEntry",
        "vpc:CreateRouteEntry"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": [
            "alb.aliyuncs.com",
            "audit.log.aliyuncs.com",
            "logdelivery.alb.aliyuncs.com"
          ]
        }
      }
    },
    {
      "Action": [
        "yundun-cert:DescribeSSLCertificateList",
        "yundun-cert:DescribeSSLCertificatePublicKeyDetail",
        "yundun-cert:CreateSSLCertificateWithName",
        "yundun-cert:DeleteSSLCertificate"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "alb:TagResources",
        "alb:UnTagResources",
        "alb:ListServerGroups",
        "alb:ListServerGroupServers",
        "alb:AddServersToServerGroup",
        "alb:RemoveServersFromServerGroup",
        "alb:ReplaceServersInServerGroup",
        "alb:CreateLoadBalancer",
        "alb:DeleteLoadBalancer",
        "alb:UpdateLoadBalancerAttribute",
        "alb:UpdateLoadBalancerEdition",
        "alb:EnableLoadBalancerAccessLog",
        "alb:DisableLoadBalancerAccessLog",
        "alb:EnableDeletionProtection",
        "alb:DisableDeletionProtection",
        "alb:ListLoadBalancers",
        "alb:GetLoadBalancerAttribute",
        "alb:ListListeners",
        "alb:CreateListener",
        "alb:GetListenerAttribute",
        "alb:UpdateListenerAttribute",
        "alb:ListListenerCertificates",
        "alb:AssociateAdditionalCertificatesWithListener",
        "alb:DissociateAdditionalCertificatesFromListener",
        "alb:DeleteListener",
        "alb:CreateRule",
        "alb:DeleteRule",
        "alb:UpdateRuleAttribute",
        "alb:UpdateRulesAttribute",
        "alb:CreateRules",
        "alb:DeleteRules",
        "alb:ListRules",
        "alb:CreateServerGroup",
        "alb:DeleteServerGroup",
        "alb:UpdateServerGroupAttribute",
        "alb:DescribeZones",
        "alb:CreateAcl",
        "alb:DeleteAcl",
        "alb:ListAcls",
        "alb:AddEntriesToAcl",
        "alb:AssociateAclsWithListener",
        "alb:ListAclEntries",
        "alb:RemoveEntriesFromAcl",
        "alb:DissociateAclsFromListener",
        "alb:EnableLoadBalancerIpv6Internet",
        "alb:DisableLoadBalancerIpv6Internet"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

      3. [ポリシーの作成] ダイアログボックスで、[名前] を設定し、[OK] をクリックします。

    2. ポリシーをRAMユーザーにアタッチして、RAMユーザーにALB Ingressコントローラーの使用を許可します。

      1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

      2. [ユーザー] ページで、手順1: RAMユーザーの作成で作成したRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。

      3. [権限の付与] パネルの [ポリシー] セクションで、右上隅のドロップダウンリストから [カスタムポリシー] を選択し、ポリシーを選択し、他のパラメーターのデフォルト設定を維持してから、[権限の付与] をクリックします。

      4. 閉じるをクリックします。

    手順3: 自己管理クラスターでAccessKey IDとAccessKey secretを設定する

    1. Base64を使用して、AccessKey IDとAccessKeyシークレットをエンコードします。

      1. Base64にアクセスし、ページでAccessKey IDを入力し、[Encode] をクリックしてエンコードされたAccessKey IDを取得します。

      2. AccessKeyシークレットを入力し、[Encode] をクリックして、エンコードされたAccessKeyシークレットを取得します。

    2. 次のコマンドを実行して、Base64-encodedのAccessKey IDとAccessKeyシークレットをload-balancer-config ConfigMapに追加し、ConfigMapを保存します。 

      vim <load-balancer-config ConfigMap file name>

      次のコードブロックは、load-balancer-config ConfigMapの例を示しています。

      apiVersion: v1
kind: ConfigMap
metadata:
  name: load-balancer-config
  namespace: kube-system
data:
  cloud-config.conf: |-
    {
        "Global": {
            "AccessKeyID": "VndV***",              # Specify the Base64-encoded AccessKey ID. 
            "AccessKeySecret": "UWU0NnUyTFdhcG***" # Specify the Base64-encoded AccessKey secret. 
        }
    }

    3. 次のコマンドを実行して、load-balancer-config ConfigMapをデプロイします。 

      kubectl apply -f  <load-balancer-config ConfigMap file name>

    4. 設定を有効にするには、load-balancer-controllerのポッドを再起動します。

      1. 次のコマンドを実行して、load-balancer-controllerのポッドを照会します。 

        kubectl get pod -n kube-system|grep load-balancer-controller

      2. 次のコマンドを実行して、load-balancer-controllerのポッドを削除します。 

        kubectl delete pod -n kube-system load-balancer-controller-***

        期待される出力:

        pod load-balancer-controller-*** deleted

      3. 次のコマンドを実行して、load-balancer-controller用に再作成されたポッドのステータスを照会します。 

        kubectl get pod -n kube-system|grep load-balancer-controller

        期待される出力:

        load-balancer-controller-0o9s***     1/1    Running   0    10s

    関連ドキュメント

    チュートリアル:

    セルフマネージドKubernetesクラスターでのALB Ingressの使用