您首次使用容器服务Kubernetes版(Alibaba Cloud Container Service for Kubernetes,简称容器服务ACK)时,需要为服务账号授予系统默认角色。当且仅当该角色被正确授予后,容器服务才能正常地调用相关服务(ECS,OSS、NAS、SLB等),创建集群以及保存日志等。本文介绍在首次使用ACK时如何授权容器服务默认角色以及开通相关云产品。
步骤一:开通容器服务ACK
容器服务ACK现已正式商用,在创建ACK集群前您需要开通相应服务。操作步骤如下:
- 登录容器服务ACK开通页面。
- 阅读并选中容器服务ACK服务协议。
- 单击立即开通。
说明 如果您在创建ACK集群前未进行开通容器服务ACK的操作,在创建集群页面的依赖检查区域,系统会提示您进行开通容器服务ACK的操作。
步骤二:一键授权默认角色
首次登录容器服务ACK时,需要为服务账号授予系统默认角色。步骤如下:
说明 阿里云账号(主账号)和拥有管理权限的RAM用户(子账号)都可以授权系统默认角色。
步骤三:开通相关云产品
容器服务ACK相关功能依赖或关联其他的云资源服务,因此您需要开通相关云产品。
说明 只有阿里云账号(主账号)才可以开通云产品,RAM用户暂不支持开通云产品操作。
使用阿里云账号(即主账号)登录阿里云官网,根据需要开通以下相关云产品。
- 必选项:使用ACK集群的强依赖服务,必须开通。
- 建议项:集群创建和应用管理中常见的依赖服务,建议开通。
- 可选项:根据业务架构和运维需求选择性开通。
| 产品名称 | 开通链接 | 开通类型 | 产品说明 |
|---|---|---|---|
| VPC专有网络 | https://www.aliyun.com/product/vpc | 必选项 | 用于构建集群网络环境和路由规则 |
| NAT网关服务 | https://www.aliyun.com/product/nat | 必选项 | 用于为集群开启公网访问和公网镜像拉取 |
| SLB负载均衡 | https://www.aliyun.com/product/slb | 必选项 | 用于为集群创建负载均衡 |
| ESS弹性伸缩服务 | https://www.aliyun.com/product/ess | 必选项 | 用于为集群创建Worker节点和实现自动伸缩 |
| ACR容器镜像服务 | https://www.aliyun.com/product/acr | 建议项 | 用于云原生资产的安全托管和全生命周期管理 |
| ECI弹性容器实例 | https://www.aliyun.com/product/eci | 建议项 | 用于部署ASK Serverless集群 |
| ASM服务网格 | https://www.aliyun.com/product/servicemesh | 建议项 | 基于服务网格实现多个ACK集群应用的统一流量管理 |
| SLS日志服务 | https://www.aliyun.com/product/sls | 建议项 | 用于ACK集群组件和应用的日志采集和检索 |
| CMS云监控服务 | https://www.aliyun.com/product/jiankong | 建议项 | 用于监控集群节点和应用运行状态 |
| 阿里云Prometheus | https://www.aliyun.com/product/developerservices/prometheus | 建议项 | 基于Prometheus实现对ACK集群的监控和告警 |
| SAS云安全中心 | https://www.aliyun.com/product/sas | 可选项 | 用于监控集群应用运行时的安全事件和告警 |
| NAS文件存储 | https://www.aliyun.com/product/nas | 可选项 | 基于NAS实现集群应用数据的文件存储方案 |
| OSS对象存储 | https://www.aliyun.com/product/oss | 可选项 | 基于OSS实现集群应用数据的对象存储方案 |
| KMS密钥管理服务 | https://www.aliyun.com/product/kms | 可选项 | 用于集群应用密钥的管理以及Pro集群开启密钥的落盘加密能力 |
| PrivateZone服务 | https://www.aliyun.com/product/pvtz | 可选项 | 基于内网DNS服务实现ASK集群应用的域名访问 |
| HBR混合云备份 | https://www.aliyun.com/product/hbr | 可选项 | 提供备份、容灾保护以及策略化归档管理 |
容器服务默认角色说明
| 角色名称 | 角色说明 |
|---|---|
| AliyunCSDefaultRole | ACK在集群管控操作中使用该角色访问您在ECS、VPC、SLB、ROS、ESS等服务中的资源。 |
| AliyunCSManagedKubernetesRole | ACK托管版集群默认使用该角色来访问您在ECS、VPC、SLB、ACR等服务中的资源。 |
| AliyunCSServerlessKubernetesRole | ASK集群默认使用该角色来访问您在ECS、VPC、SLB、PVTZ等服务中的资源。 |
| AliyunCSKubernetesAuditRole | ACK托管版集群和ASK集群的审计功能使用该角色来访问您在SLS服务中的资源。 |
| AliyunCSManagedNetworkRole | ACK托管版集群和ASK集群的网络组件使用该角色访问您在ECS、VPC服务中的资源。 |
| AliyunCSManagedCsiRole | ACK托管版集群和ASK集群的存储组件使用该角色访问您在ECS、NAS服务中的资源。 |
| AliyunCSManagedCmsRole | ACK托管版集群和ASK集群的监控组件使用该角色访问您在CMS、SLS服务中的资源。 |
| AliyunCSManagedLogRole | ACK托管版集群和ASK集群的日志组件使用该角色访问您在SLS服务中的资源。 |
| AliyunCSManagedVKRole | ASK集群的Virtual Kubelet组件使用该角色访问您在ECS、VPC、ECI等服务中的资源。 |
| AliyunCSManagedArmsRole | ACK托管版集群和ASK集群的应用实时监控组件使用该角色访问您在ARMS服务中的资源。 |