すべてのプロダクト
Search
ドキュメントセンター

:ack-cluster-agentコンポーネントに必要なRBAC権限

最終更新日:Dec 17, 2024

Container Service for Kubernetes (ACK) に登録された外部Kubernetesクラスターは、ACK Stubコンポーネントとack-cluster-agentコンポーネントを使用してクラスターリソースにアクセスします。 クラスターリソースへのアクセスは、ack-cluster-agentによって使用されるServiceAccountに付与された権限に依存します。 ack-cluster-agentをインストールすると、ackという名前のServiceAccountが自動的に作成されます。 要件に基づいて、制限モードまたは通常モードのロールベースのアクセス制御 (RBAC) 権限をServiceAccountに付与できます。 このトピックでは、登録済みクラスターのack-cluster-agentコンポーネントに必要なRBAC権限について説明します。

前提条件

ack-cluster-agent 1.13.1.69-g00e1991-aliyun以降がインストールされています。 コンポーネントの更新方法の詳細については、「コンポーネントの管理」をご参照ください。

制限モードでのRBAC権限

デフォルトでは、登録済みクラスターには、少なくともack-cluster-agentのConfigMapへの読み取りアクセスのRBAC権限が必要です。 次の例は、RBAC権限を付与する方法を示しています。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-agent-role-configmap
  labels:
    ack/creator: "ack"
rules:
- apiGroups:
  - ""
  resources:
  - configmaps
  resourceNames:
  - ack-agent-config
  - provider
  verbs:
  - get
  - watch
  - update
  - list

制限モードでは、コンソールの一部の機能は使用できません。 たとえば、クラスター内のワークロードを表示することはできません。 ただし、onectlを使用してコンポーネントをインストールし、対応するサービス (Managed Service for PrometheusやSimple Log Serviceなど) をコンソールで使用できます。

onect1を使用してコンポーネントを管理する場合、ack-cluster-agentコンポーネントがデプロイされているクラスターに一時的な管理者権限が付与され、コンポーネント管理が完了または中断されると、これらの権限は取り消されます。 詳細については、「onectlを使用した登録済みクラスターの管理」をご参照ください。

通常モードのRBAC権限

通常モードでは、登録済みクラスターに管理者権限が付与されます。 次の例は、登録済みクラスターに管理者権限を付与する方法を示しています。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]

通常モードでは、コンソールのすべての機能を使用できます。

コンポーネント管理に必要なRBAC権限

terway-eniipやlogtail-dsなどのコンポーネントをインストールまたは更新するときは、まず、ack-adminという名前のClusterRoleに管理者権限を付与する必要があります。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]

コンポーネントをインストールまたは更新した後、最小の権限にClusterRoleを復元します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get","list","watch"]
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["ack-agent-config","provider"]
  verbs: ["get","list","watch","update"]
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["autoscaler-meta"]
  verbs: ["get","list","watch","update"]
- apiGroups: ["*"]
  resources: ["daemonsets", "deployments"]
  resourceNames: ["terway-eniip","security-inspector","ack-cluster-agent","gatekeeper","ack-virtual-node","metrics-server","logtail-ds","resource-controller","aliyun-acr-credential-helper","migrate-controller","ack-kubernetes-cronhpa-controller","tiller-deploy"]
  verbs: ["get", "list", "watch"]
- apiGroups: ["*"]
  resources: ["daemonsets", "deployments"]
  resourceNames: ["cluster-autoscaler"]
  verbs: ["get", "list", "watch", "update"]
- apiGroups: [""]
  resources: ["pods","secrets"]
  verbs: ["list"]

ノードプールまたはエラスティックノードプールの作成に必要なRBAC権限

Terwayをインストールするとき、またはノードプールを作成するときは、まず、ack-adminという名前のClusterRoleに管理者権限を付与する必要があります。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]

Terwayをインストールするか、ノードプールを作成したら、最小の権限にClusterRoleを復元します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get","list","watch"]
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["ack-agent-config","provider","autoscaler-meta","eni-config"]
  verbs: ["get","list","watch","update"]
- apiGroups: ["*"]
  resources: ["daemonsets", "deployments"]
  resourceNames: ["terway-eniip", "cluster-autoscaler"]
  verbs: ["get", "list", "watch", "update"]

Simple Log Serviceを有効にした後のログの照会に必要なRBAC権限

登録済みクラスターでSimple Log Serviceを有効にした後、ACKコンソールで関連するログを照会するには、次のRBAC権限を付与する必要があります。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-agent-role-log
  labels:
    ack/creator: "ack"
rules:
- apiGroups: [""]
  resources: ["namespaces"]
  verbs: ["get","list","watch"]
- apiGroups: ["apps"]
  resources: ["daemonsets", "deployments"]
  resourceNames: ["alibaba-log-controller", "logtail-ds", "kube-proxy-master"]
  verbs: ["get", "list", "watch"]
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["alibaba-log-configuration"]
  verbs: ["get","list","watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: ack-agent-binding-log
  labels:
    ack/creator: "ack"
subjects:
- kind: ServiceAccount
  name: ack
  namespace: kube-system
roleRef:
  kind: ClusterRole
  name: ack-agent-role-log
  apiGroup: rbac.authorization.k8s.io