全部產品
Search
文件中心

Microservices Engine:為MSE Ingress Controller授權

更新時間:Jan 08, 2025

如果您需要在叢集中通過MSE Ingress訪問服務,部署服務前需要為MSE Ingress Controller授予MSE的相關存取權限。

ACK託管叢集的MSE Ingress Controller授權

在ACK託管版叢集中,可以通過以下兩種方式為MSE Ingress Controller授權。

  • 如果您需要在已有的ACK託管叢集中使用MSE Ingress,請參考方式一完成授權。

  • 如果您在建立ACK託管叢集時就確認了要使用MSE Ingress,請參考方式二完成授權。

方式一:在組件管理中為MSE Ingress Controller完成授權

在組件管理中安裝MSE Ingress Controller的過程中會自動進行許可權校正。如果出現前置檢查失敗,您需要按照以下步驟完成授權。

  1. 將滑鼠移至前置檢查失敗提示處,單擊查看檢查報告

    image.png

  2. 檢查報告頁面,單擊異常下方的紅色方框,然後單擊面板中的連結

    image.png

  3. 存取控制快速授權頁面,單擊確認授權

    image.png

  4. 重新安裝組件。

方式二:在建立叢集時為MSE Ingress Controller完成授權

  1. 在建立叢集時安裝MSE Ingress Controller,在確認配置步驟的依賴檢查地區,查看MSE Ingress角色授權檢查狀態是否通過。如狀態顯示未通過,則需要單擊去授權

    image.png

  2. 存取控制快速授權頁面,單擊確認授權

    image.png

  3. 授權完成後,返回確認配置頁面,單擊重新檢查。檢查通過後單擊建立叢集

ACK專有版叢集中的MSE Ingress Controller授權

  1. 登入Container Service控制台

  2. 在左側導覽列,單擊叢集列表,然後單擊目的地組群名稱。

  3. 叢集資訊頁面的基本資料頁簽,單擊Worker RAM 角色右側的連結。

  4. 在RAM控制台,為該角色添加AliyunMSEFullAccess許可權。

    1. 角色頁面的許可權管理頁簽,單擊新增授權

    2. 新增授權頁面的選擇許可權地區,選擇系統策略頁簽,然後在輸入欄輸入權限原則名稱進行模糊搜尋。

      例如,輸入mse可以搜尋到AliyunMSEFullAccess添加許可權

    3. 單擊權限原則名稱AliyunMSEFullAccess,然後單擊確定完成添加許可權。

    您可以在下圖所示的位置查看是否已為該角色成功添加AliyunMSEFullAccess許可權。授權成功

  5. 在目的地組群的命名空間mse-ingress-controller中搜尋到ack-mse-ingress-controller應用,單擊操作列下方的更多,選擇重新部署,然後單擊確定

    重新部署

    重新部署完成後,單擊ack-mse-ingress-controller應用,確認重建後的Pod處於Running狀態。Running

(可選)建立SLS權限原則並為叢集授予SLS相關許可權

如果您希望通過MseIngressConfig為MSE雲原生網關開啟SLS日誌投遞服務,那麼您需要為叢集資源的Worker RAM角色額外授予SLS相關許可權。

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇許可權管理 > 權限原則

  3. 權限原則頁面,單擊建立權限原則

    image

  4. 建立權限原則頁面,單擊指令碼編輯頁簽,輸入如下權限原則內容,然後單擊確定

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "log:CloseProductDataCollection",
                    "log:OpenProductDataCollection",
                    "log:GetProductDataCollection"
                ],
                "Resource": [
                    "acs:mse:*:*:instance/*",
                    "acs:log:*:*:project/*/logstore/mse_*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": "ram:PassRole",
                "Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit",
                "Effect": "Allow"
            },
            {
                "Action": "ram:CreateServiceLinkedRole",
                "Resource": "*",
                "Effect": "Allow",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": "audit.log.aliyuncs.com"
                    }
                }
            }
        ]
    }
  5. 建立權限原則彈框中輸入權限原則名稱備忘,單擊確定

  6. 為叢集資源的Worker RAM角色授予SLS相關許可權。

    1. 登入Container Service管理主控台

    2. 在左側導覽列,單擊叢集列表,然後單擊目的地組群名稱。

    3. 叢集資訊頁面的基本資料頁簽,單擊Worker RAM 角色右側的連結。

    4. 在RAM控制台,為該角色添加SLS相關許可權。

      1. 角色頁面的許可權管理頁簽,單擊新增授權

      2. 新增授權頁面的選擇許可權地區,選擇自訂策略頁簽,然後在文字框輸入權限原則名稱進行模糊搜尋。

        說明

        SLS的權限原則名稱為您自訂的名稱。

        SLS授權

      3. 單擊目標權限原則名稱,然後單擊確定完成授權。

ACK Serverless叢集中的MSE Ingress Controller授權

ACK Serverless叢集中,可以通過以下兩種方式為MSE Ingress Controller授權。

  • 如果您需要在已有的ACK Serverless叢集中使用MSE Ingress,請參考方式一完成授權。

  • 如果您在建立ACK Serverless叢集時就確認了要使用MSE Ingress,請參考方式二完成授權。

方式一:在組件管理中為MSE Ingress Controller完成授權

在組件管理中安裝MSE Ingress Controller的過程中會自動進行許可權校正。如果出現前置檢查失敗,您需要按照以下步驟完成授權。

  1. 將滑鼠移至前置檢查失敗提示處,單擊查看檢查報告

    image.png

  2. 檢查報告頁面,單擊異常下方的紅色方框,然後單擊面板中的連結

    image.png

  3. 存取控制快速授權頁面,單擊確認授權

    image.png

  4. 重新安裝組件。

方式二:在建立叢集時為MSE Ingress Controller完成授權

  1. 在建立叢集時安裝MSE Ingress Controller,在確認配置步驟的依賴檢查地區,查看MSE Ingress角色授權檢查狀態是否通過。如狀態顯示未通過,則需要單擊去授權

    image.png

  2. 存取控制快速授權頁面,單擊確認授權

    image.png

  3. 授權完成後,返回確認配置頁面,單擊重新檢查。檢查通過後單擊建立叢集

為ACS叢集中的MSE Ingress Controller授權

在ACS叢集中,您可以通過以下方式為MSE Ingress Controller授權。如果您在建立ACS叢集時確認要使用MSE Ingress,請參考以下方式完成授權。

在建立叢集時為MSE Ingress Controller完成授權

  1. 在建立叢集時安裝MSE Ingress Controller,在確認配置步驟的依賴檢查地區,查看MSE Ingress角色授權檢查狀態是否通過。如狀態顯示未通過,則需要單擊去授權

    image

  2. 存取控制快速授權頁面,單擊確認授權

    image

  3. 授權完成後,返回確認配置頁面,單擊重新檢查。檢查通過後單擊建立叢集

後續操作

關於如何在Container Service叢集中通過MSE Ingress訪問服務,請參見通過MSE Ingress訪問Container Service