您首次使用容器服务Kubernetes版ACK(Container Service for Kubernetes),简称容器服务ACK时,需要为服务账号授予系统默认角色。当且仅当该角色被正确授予后,容器服务才能正常地调用相关服务(ECS,OSS、NAS、SLB等),创建集群以及保存日志等。本文介绍在首次使用ACK时如何授权容服务默认角色以及开通相关云产品。

步骤一:开通容器服务ACK

容器服务ACK现已正式商用,在创建ACK集群前您需要开通相应服务。操作步骤如下:

  1. 登录容器服务ACK开通页面
  2. 阅读并选中容器服务ACK服务协议
  3. 单击立即开通
说明 如果您在创建ACK集群前未进行开通容器服务ACK的操作,在创建集群页面的依赖检查区域,系统会提示您进行开通容器服务ACK的操作。

步骤二:一键授权默认角色

首次登录容器服务ACK时,需要为服务账号授予系统默认角色。步骤如下:

说明 阿里云账号(主账号)和拥有管理权限的RAM用户(子账号)都可以授权系统默认角色。
  1. 登录容器服务管理控制台
  2. 单击前往RAM进行授权进入云资源访问授权页面,然后单击同意授权
  3. 完成以上授权后,刷新控制台即可使用容器服务ACK。

步骤三:开通相关云产品

容器服务ACK相关功能依赖或关联其他的云资源服务,因此您需要开通相关云产品。
说明 只有阿里云账号(主账号)才可以开通云产品,RAM用户暂不支持开通云产品操作。
使用阿里云账号(即主账号)登录阿里云官网,根据需要开通以下相关云产品。
  • 必选项:使用ACK集群的强依赖服务,必须开通。
  • 建议项:集群创建和应用管理中常见的依赖服务,建议开通。
  • 可选项:根据业务架构和运维需求选择性开通。
产品名称 开通链接 开通类型 产品说明
VPC专有网络 https://www.aliyun.com/product/vpc 必选项 用于构建集群网络环境和路由规则
NAT网关服务 https://www.aliyun.com/product/nat 必选项 用于为集群开启公网访问和公网镜像拉取
SLB负载均衡 https://www.aliyun.com/product/slb 必选项 用于为集群创建负载均衡
ESS弹性伸缩服务 https://www.aliyun.com/product/ess 必选项 用于为集群创建Worker节点和实现自动伸缩
ACR容器镜像服务 https://www.aliyun.com/product/acr 建议项 用于云原生资产的安全托管和全生命周期管理
ECI弹性容器实例 https://www.aliyun.com/product/eci 建议项 用于部署ASK Serverless集群
ASM服务网格 https://www.aliyun.com/product/servicemesh 建议项 基于服务网格实现多个ACK集群应用的统一流量管理
SLS日志服务 https://www.aliyun.com/product/sls 建议项 用于ACK集群组件和应用的日志采集和检索
CMS云监控服务 https://www.aliyun.com/product/jiankong 建议项 用于监控集群节点和应用运行状态
阿里云Prometheus https://www.aliyun.com/product/developerservices/prometheus 建议项 基于Prometheus实现对ACK集群的监控和告警
SAS云安全中心 https://www.aliyun.com/product/sas 可选项 用于监控集群应用运行时的安全事件和告警
NAS文件存储 https://www.aliyun.com/product/nas 可选项 基于NAS实现集群应用数据的文件存储方案
OSS对象存储 https://www.aliyun.com/product/oss 可选项 基于OSS实现集群应用数据的对象存储方案
KMS密钥管理服务 https://www.aliyun.com/product/kms 可选项 用于集群应用密钥的管理以及Pro集群开启密钥的落盘加密能力
PrivateZone服务 https://www.aliyun.com/product/pvtz 可选项 基于内网DNS服务实现ASK集群应用的域名访问

容器服务默认角色说明

角色名称 角色说明
AliyunCSDefaultRole ACK在集群管控操作中使用该角色访问您在ECS、VPC、SLB、ROS、ESS等服务中的资源。
AliyunCSManagedKubernetesRole ACK托管版集群默认使用该角色来访问您在ECS、VPC、SLB、ACR等服务中的资源。
AliyunCSServerlessKubernetesRole ASK集群默认使用该角色来访问您在ECS、VPC、SLB、PVTZ等服务中的资源。
AliyunCSKubernetesAuditRole ACK托管版集群和ASK集群的审计功能使用该角色来访问您在SLS服务中的资源。
AliyunCSManagedNetworkRole ACK托管版集群和ASK集群的网络组件使用该角色访问您在ECS、VPC服务中的资源。
AliyunCSManagedCsiRole ACK托管版集群和ASK集群的存储组件使用该角色访问您在ECS、NAS服务中的资源。
AliyunCSManagedCmsRole ACK托管版集群和ASK集群的监控组件使用该角色访问您在CMS、SLS服务中的资源。
AliyunCSManagedLogRole ACK托管版集群和ASK集群的日志组件使用该角色访问您在SLS服务中的资源。
AliyunCSManagedVKRole ASK集群的Virtual Kubelet组件使用该角色访问您在ECS、VPC、ECI等服务中的资源。
AliyunCSManagedArmsRole ACK托管版集群和ASK集群的应用实时监控组件使用该角色访问您在ARMS服务中的资源。