すべてのプロダクト
Search

このプロダクト

    :MSE Ingress Controllerに権限を付与する

    ドキュメントセンター

    :MSE Ingress Controllerに権限を付与する

    最終更新日:Dec 09, 2024

    Microservices Engine (MSE) Ingressゲートウェイを使用してコンテナークラスター内のサービスにアクセスする必要がある場合は、クラスター内のMSE Ingress Controllerに関連する権限を付与する必要があります。 このトピックでは、コンテナークラスターのMSE Ingress Controllerに権限を付与する方法について説明します。

    でMSE Ingress Controllerに権限を付与するACK管理クラスター

    次のいずれかの方法を使用して、ACK管理クラスターのMSE Ingress Controllerにアクセス許可を付与できます。

    • 既存のACK管理クラスターでMSE Ingress Controllerを使用する必要がある場合は、方法1を使用します。

    • ACK管理クラスターの作成時にMSE Ingress Controllerを使用する場合は、方法2を使用します。

    方法1: Add-onsページでMSE Ingress Controllerに権限を付与する

    Add-onsページでMSE Ingress Controllerをインストールすると、権限の検証が自動的に実装されます。 エラーメッセージ "Failed to pass the precheck." が表示された場合は、次の手順を実行して権限を付与します。

    1. エラーメッセージ "Failed to pass the precheck." の上にポインターを移動し、[レポートの表示] をクリックします。

      image.png

    2. [レポート] ページで、[エラー] 列の赤いボックスをクリックします。 次に、表示されるパネルでリンクをクリックします。

      image.png

    3. [RAMクイック権限付与] ページで、[権限付与] をクリックします。

    4. MSE Ingress Controllerを再インストールします。

    方法2: クラスターを作成するときにMSE Ingress Controllerに権限を付与する

    1. クラスター作成プロセス中にMSE Ingress Controllerをインストールする場合は、[注文の確認] ステップの [依存関係チェック] セクションのMSE Ingress認証チェックに表示されているステータスを確認します。 MSE Ingress認証チェック[失敗] が表示されている場合は、[今すぐ認証] をクリックします。

      image.png

    2. [RAMクイック権限付与] ページで、[権限付与] をクリックします。

    3. [注文の確認] ステップに戻り、[再確認] をクリックします。 チェックに合格したら、[クラスターの作成] をクリックします。

    ACK専用クラスターのMSE Ingress Controllerに権限を付与する

    1. ACKコンソールにログインします。

    2. 左側のナビゲーションペインで、[クラスター] をクリックします。 次に、管理するクラスターの名前をクリックします。

    3. [クラスター情報] ページで、[基本情報] タブをクリックします。 [基本情報] タブで、[Worker RAMロール] の横にあるハイパーリンクをクリックします。

    4. Resource Access Management (RAM) コンソールで、AliyunMSEFullAccessポリシーをワーカーRAMロールにアタッチします。

      1. ロールページの [権限] タブで、[権限の付与] をクリックします。

      2. [権限付与] パネルの [ポリシーの選択] セクションで、[システムポリシー] タブをクリックし、検索ボックスにポリシー名を入力してあいまい検索を実行します。

        たとえば、mseを入力してAliyunMSEFullAccessを検索できます。添加权限

      3. AliyunMSEFullAccessをクリックして、選択済みリストにポリシーを追加します。 次に、[OK] をクリックします。

      次の図に示すように、AliyunMSEFullAccessポリシーがポリシーリストのロールにアタッチされているかどうかを確認できます。授权成功

    5. クラスターが属するmse-ingress-controller名前空間でack-mse-ingress-controllerアプリケーションを検索し、アプリケーションの [操作] 列で [詳細] をクリックします。 表示されるリストで、[再デプロイ] を選択します。 次に、[OK] をクリックします。

      重新部署

      アプリケーションが再デプロイされたら、ack-mse-ingress-controllerアプリケーションをクリックして、アプリケーションのポッドが [実行中] 状態であることを確認します。Running

    (オプション) Simple Log Serviceポリシーを作成し、そのポリシーをクラスターのワーカーRAMロールにアタッチします。

    MseIngressConfigを使用してMSEクラウドネイティブゲートウェイのSimple Log Serviceを有効化する場合は、[クラスターリソース] タブのワーカーRAMロールにSimple Log Serviceの権限を付与する必要があります。

    1. RAMコンソール管理者権限を持つRAMユーザーとして ログインします。

    2. 左側のナビゲーションウィンドウで、権限 > ポリシーを選択します。

    3. ポリシーページでポリシーの作成をクリックします。

    4. [ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターに次のポリシーコンテンツを入力し、[次へ: 基本情報の編集] をクリックします。 

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "log:CloseProductDataCollection",
                "log:OpenProductDataCollection",
                "log:GetProductDataCollection"
            ],
            "Resource": [
                "acs:mse:*:*:instance/*",
                "acs:log:*:*:project/*/logstore/mse_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "audit.log.aliyuncs.com"
                }
            }
        }
    ]
}

    5. を指定します。Specify the名前説明フィールドを使用します。

    6. OKをクリックします。

    7. [クラスターリソース] タブのワーカーRAMロールにSimple Log Serviceの権限を付与します。

      1. ACKコンソールにログインします。

      2. 左側のナビゲーションペインで、[クラスター] をクリックします。 次に、管理するクラスターの名前をクリックします。

      3. [クラスター情報] ページで、[基本情報] タブをクリックします。 [基本情報] タブで、[Worker RAMロール] の横にあるハイパーリンクをクリックします。

      4. RAMコンソールで、Simple Log Serviceの権限をワーカーRAMロールに付与します。

        1. ロールの詳細ページの [権限] タブで、[権限の付与] をクリックします。

        2. [権限付与] パネルで、[ポリシーの選択] セクションの [カスタムポリシー] タブをクリックし、検索ボックスにポリシー名を入力してあいまい検索を実行します。

          説明

          ポリシー名はカスタム名です。

          SLS授权

        3. ポリシー名をクリックし、[OK] をクリックします。

    ACKサーバーレスクラスターのMSE Ingress Controllerに権限を付与する

    次のいずれかの方法を使用して、ACKサーバーレスクラスターのMSE Ingress Controllerにアクセス許可を付与できます。

    • 既存のACKサーバーレスクラスターでMSE Ingress Controllerを使用する必要がある場合は、方法1を使用します。

    • ACKサーバーレスクラスターの作成時にMSE Ingress Controllerを使用する場合は、方法2を使用します。

    方法1: Add-onsページでMSE Ingress Controllerに権限を付与する

    Add-onsページでMSE Ingress Controllerをインストールすると、権限の検証が自動的に実装されます。 エラーメッセージ "Failed to pass the precheck." が表示された場合は、次の手順を実行して権限を付与します。

    1. エラーメッセージ "Failed to pass the precheck." の上にポインターを移動し、[レポートの表示] をクリックします。

      image.png

    2. [レポート] ページで、[エラー] 列の赤いボックスをクリックします。 次に、表示されるパネルでリンクをクリックします。

      image.png

    3. [RAMクイック権限付与] ページで、[権限付与] をクリックします。

    4. MSE Ingress Controllerを再インストールします。

    方法2: クラスターを作成するときにMSE Ingress Controllerに権限を付与する

    1. クラスター作成プロセス中にMSE Ingress Controllerをインストールする場合は、[注文の確認] ステップの [依存関係チェック] セクションのMSE Ingress認証チェックに表示されているステータスを確認します。 MSE Ingress認証チェック[失敗] が表示されている場合は、[今すぐ認証] をクリックします。

      image.png

    2. [RAMクイック権限付与] ページで、[権限付与] をクリックします。

    3. [注文の確認] ステップに戻り、[再確認] をクリックします。 チェックに合格したら、[クラスターの作成] をクリックします。

    ACSクラスターのMSE Ingress Controllerに権限を付与する

    次の方法を使用して、ACSクラスターのMSE Ingress Controllerに権限を付与できます。 ACSクラスターの作成時にMSE Ingress Controllerを使用する場合は、次の方法を使用します。

    クラスタ作成時にMSE Ingress Controllerに権限を付与する

    1. クラスター作成プロセス中にMSE Ingress Controllerをインストールする場合は、[注文の確認] ステップの [依存関係チェック] セクションのMSE Ingress認証チェックに表示されているステータスを確認します。 MSE Ingress認証チェック[失敗] が表示されている場合は、[今すぐ認証] をクリックします。

      image

    2. [RAMクイック権限付与] ページで、[権限付与] をクリックします。

      image

    3. [注文の確認] ステップに戻り、[再確認] をクリックします。 チェックに合格したら、[クラスターの作成] をクリックします。

    次のステップ

    MSE Ingressゲートウェイを使用してACKクラスター内のサービスにアクセスする方法の詳細については、「MSE Ingressを使用してACKクラスター内のアプリケーションにアクセスする」をご参照ください。