全部產品
Search

搜尋本產品

    :為ACK叢集授予MSE Ingress Controller存取權限

    文件中心

    :為ACK叢集授予MSE Ingress Controller存取權限

    更新時間:Jan 26, 2025

    如果您需要在ACK叢集中通過MSE Ingress訪問服務,部署服務前需要為MSE Ingress Controller授予MSE的相關存取權限。本文介紹如何為ACK託管叢集ACK專有叢集授予MSE Ingress Controller存取權限。

    為ACK託管版叢集的MSE Ingress Controller授權

    在ACK託管版叢集中,可以通過以下兩種方式為MSE Ingress Controller授權。

    • 如果您需要在已經建好的ACK託管版叢集中使用MSE Ingress,請參考方式一完成授權。

    • 如果您在建立ACK託管版叢集時就確認了要使用MSE Ingress,請參考方式二完成授權。

    方式一:在組件管理中為MSE Ingress Controller完成授權

    在組件管理中安裝MSE Ingress Controller的過程中會自動進行許可權校正。如果出現前置檢查失敗,您需要按照以下步驟完成授權。

    1. 將滑鼠移至前置檢查失敗提示處,單擊查看檢查報告

      image.png

    2. 檢查報告頁面,單擊異常下方的紅色方框,然後單擊面板中的連結

      image.png

    3. 存取控制快速授權頁面,單擊確認授權

      image.png

    4. 重新安裝組件。

    方式二:在建立叢集時為MSE Ingress Controller完成授權

    1. 在建立叢集時安裝MSE Ingress Controller,在確認配置步驟的依賴檢查地區,查看MSE Ingress角色授權檢查狀態是否通過。如狀態顯示未通過,則需要單擊去授權

      image.png

    2. 存取控制快速授權頁面,單擊確認授權

      image.png

    3. 授權完成後,返回確認配置頁面,單擊重新檢查。檢查通過後單擊建立叢集

    為ACK專有版叢集中的MSE Ingress Controller授權

    1. 登入Container Service控制台

    2. 在左側導覽列,單擊叢集,然後單擊目的地組群名稱。

    3. 在叢集資訊頁面,單擊叢集資源頁簽,然後單擊Worker RAM角色右側的連結。

    4. 在RAM控制台,為該角色添加AliyunMSEFullAccess許可權。

      1. 角色頁面的許可權管理頁簽,單擊新增授權

      2. 新增授權頁面的選擇許可權地區,選擇系統策略頁簽,然後在輸入欄輸入權限原則名稱進行模糊搜尋。

        例如,輸入mse可以搜尋到AliyunMSEFullAccess添加許可權

      3. 單擊權限原則名稱AliyunMSEFullAccess,然後單擊確定完成添加許可權。

      您可以在下圖所示的位置查看是否已為該角色成功添加AliyunMSEFullAccess許可權。授權成功

    5. 在目的地組群的命名空間mse-ingress-controller中搜尋到ack-mse-ingress-controller應用,單擊操作列下方的更多,選擇重新部署,然後單擊確定

      重新部署

      重新部署完成後,單擊ack-mse-ingress-controller應用,確認重建後的Pod處於Running狀態。Running

    (可選)建立SLS權限原則並為叢集授予SLS相關許可權

    如果您希望通過MseIngressConfig為MSE雲原生網關開啟SLS日誌投遞服務,那麼您需要為叢集資源的Worker RAM角色額外授予SLS相關許可權。

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 權限原則

    3. 權限原則頁面,單擊建立權限原則

    4. 建立權限原則頁面,單擊指令碼編輯頁簽,輸入如下權限原則內容,然後單擊繼續編輯基本資料

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "log:CloseProductDataCollection",
                "log:OpenProductDataCollection",
                "log:GetProductDataCollection"
            ],
            "Resource": [
                "acs:mse:*:*:instance/*",
                "acs:log:*:*:project/*/logstore/mse_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "audit.log.aliyuncs.com"
                }
            }
        }
    ]
}

    5. 輸入權限原則名稱備忘

    6. 單擊確定

    7. 為叢集資源的Worker RAM角色授予SLS相關許可權。

      1. 登入Container Service管理主控台

      2. 在左側導覽列,單擊集群列表,然後單擊目的地組群名稱。

      3. 在叢集資訊頁面,單擊基本信息頁簽,然後單擊Worker RAM 角色右側的連結。

      4. 在RAM控制台,為該角色添加SLS相關許可權。

        1. 角色頁面的許可權管理頁簽,單擊新增授權

        2. 新增授權頁面的選擇許可權地區,選擇自訂策略頁簽,然後在文字框輸入權限原則名稱進行模糊搜尋。

          說明

          SLS的權限原則名稱為您自訂的名稱。

          SLS授權

        3. 單擊目標權限原則名稱,然後單擊確定完成授權。

    相關文檔