Container Service for Kubernetes (ACK) に登録された外部Kubernetesクラスターは、ACK Stubコンポーネントとack-cluster-agentコンポーネントを使用してクラスターリソースにアクセスします。 クラスターリソースへのアクセスは、ack-cluster-agentによって使用されるServiceAccountに付与された権限に依存します。 ack-cluster-agentをインストールすると、ackという名前のServiceAccountが自動的に作成されます。 要件に基づいて、制限モードまたは通常モードのロールベースのアクセス制御 (RBAC) 権限をServiceAccountに付与できます。 このトピックでは、登録済みクラスターのack-cluster-agentコンポーネントに必要なRBAC権限について説明します。
前提条件
ack-cluster-agent 1.13.1.69-g00e1991-aliyun以降がインストールされています。 コンポーネントの更新方法の詳細については、「コンポーネントの管理」をご参照ください。
制限モードでのRBAC権限
デフォルトでは、登録済みクラスターには、少なくともack-cluster-agentのConfigMapへの読み取りアクセスのRBAC権限が必要です。 次の例は、RBAC権限を付与する方法を示しています。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: ack-agent-role-configmap
labels:
ack/creator: "ack"
rules:
- apiGroups:
- ""
resources:
- configmaps
resourceNames:
- ack-agent-config
- provider
verbs:
- get
- watch
- update
- list
制限モードでは、コンソールの一部の機能は使用できません。 たとえば、クラスター内のワークロードを表示することはできません。 ただし、onectlを使用してコンポーネントをインストールし、対応するサービス (Managed Service for PrometheusやSimple Log Serviceなど) をコンソールで使用できます。
onect1を使用してコンポーネントを管理する場合、ack-cluster-agentコンポーネントがデプロイされているクラスターに一時的な管理者権限が付与され、コンポーネント管理が完了または中断されると、これらの権限は取り消されます。 詳細については、「onectlを使用した登録済みクラスターの管理」をご参照ください。
通常モードのRBAC権限
通常モードでは、登録済みクラスターに管理者権限が付与されます。 次の例は、登録済みクラスターに管理者権限を付与する方法を示しています。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: ack-admin
labels:
ack/creator: "ack"
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
通常モードでは、コンソールのすべての機能を使用できます。
コンポーネント管理に必要なRBAC権限
terway-eniipやlogtail-dsなどのコンポーネントをインストールまたは更新するときは、まず、ack-adminという名前のClusterRoleに管理者権限を付与する必要があります。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: ack-admin
labels:
ack/creator: "ack"
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
コンポーネントをインストールまたは更新した後、最小の権限にClusterRoleを復元します。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: ack-admin
labels:
ack/creator: "ack"
rules:
- apiGroups: [""]
resources: ["nodes"]
verbs: ["get","list","watch"]
- apiGroups: [""]
resources: ["configmaps"]
resourceNames: ["ack-agent-config","provider"]
verbs: ["get","list","watch","update"]
- apiGroups: [""]
resources: ["configmaps"]
resourceNames: ["autoscaler-meta"]
verbs: ["get","list","watch","update"]
- apiGroups: ["*"]
resources: ["daemonsets", "deployments"]
resourceNames: ["terway-eniip","security-inspector","ack-cluster-agent","gatekeeper","ack-virtual-node","metrics-server","logtail-ds","resource-controller","aliyun-acr-credential-helper","migrate-controller","ack-kubernetes-cronhpa-controller","tiller-deploy"]
verbs: ["get", "list", "watch"]
- apiGroups: ["*"]
resources: ["daemonsets", "deployments"]
resourceNames: ["cluster-autoscaler"]
verbs: ["get", "list", "watch", "update"]
- apiGroups: [""]
resources: ["pods","secrets"]
verbs: ["list"]
ノードプールまたはエラスティックノードプールの作成に必要なRBAC権限
Terwayをインストールするとき、またはノードプールを作成するときは、まず、ack-adminという名前のClusterRoleに管理者権限を付与する必要があります。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: ack-admin
labels:
ack/creator: "ack"
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
Terwayをインストールするか、ノードプールを作成したら、最小の権限にClusterRoleを復元します。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: ack-admin
labels:
ack/creator: "ack"
rules:
- apiGroups: [""]
resources: ["nodes"]
verbs: ["get","list","watch"]
- apiGroups: [""]
resources: ["configmaps"]
resourceNames: ["ack-agent-config","provider","autoscaler-meta","eni-config"]
verbs: ["get","list","watch","update"]
- apiGroups: ["*"]
resources: ["daemonsets", "deployments"]
resourceNames: ["terway-eniip", "cluster-autoscaler"]
verbs: ["get", "list", "watch", "update"]
Simple Log Serviceを有効にした後のログの照会に必要なRBAC権限
登録済みクラスターでSimple Log Serviceを有効にした後、ACKコンソールで関連するログを照会するには、次のRBAC権限を付与する必要があります。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: ack-agent-role-log
labels:
ack/creator: "ack"
rules:
- apiGroups: [""]
resources: ["namespaces"]
verbs: ["get","list","watch"]
- apiGroups: ["apps"]
resources: ["daemonsets", "deployments"]
resourceNames: ["alibaba-log-controller", "logtail-ds", "kube-proxy-master"]
verbs: ["get", "list", "watch"]
- apiGroups: [""]
resources: ["configmaps"]
resourceNames: ["alibaba-log-configuration"]
verbs: ["get","list","watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: ack-agent-binding-log
labels:
ack/creator: "ack"
subjects:
- kind: ServiceAccount
name: ack
namespace: kube-system
roleRef:
kind: ClusterRole
name: ack-agent-role-log
apiGroup: rbac.authorization.k8s.io