本教程介绍如何使用弹性伸缩生命周期挂钩挂起ECS实例,并结合运维编排服务OOS的模板,实现将ECS实例自动加入和移出MongoDB实例白名单。

前提条件

  • 使用本教程进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册
  • 已创建伸缩组,且伸缩组处于启用状态。
  • 已创建MongoDB实例。
  • 已为OOS服务创建RAM角色。该RAM角色的可信实体必须为阿里云服务,受信服务为运维编排服务,且拥有执行OOS模板的权限。具体操作,请参见为OOS服务设置RAM权限
    说明 本教程中使用的示例RAM角色为OOSServiceRole,您也可以使用其他自定义的RAM角色。

背景信息

伸缩组支持关联负载均衡实例和RDS实例,但是暂时不能关联MongoDB实例。如果您有业务数据存储在MongoDB实例上,手动配置ECS实例加入或移出MongoDB实例白名单,操作效率较低。您可以通过生命周期挂钩和OOS模板将ECS实例自动加入和移出MongoDB实例白名单,但需要注意以下内容:

  • 如果伸缩组已有存量的ECS实例,您需要手动将相关ECS实例的IP添加至MongoDB实例白名单。否则,当移除一个MongoDB白名单中不存在的实例私网IP时,将出现错误。
  • 您需要通过生命周期挂钩的通知标识(NotificationMetadata,简称metadata)为创建OOS执行指定所需的参数。
    • metadata必须为JSON字符串格式。
    • metadata中的键,必须与OOS模板参数一一对应。
    • OOS模板中不存在默认值的参数必须指定,存在默认值的参数可选择是否指定以覆盖默认值。

操作步骤

本教程以OOS公共模板ACS-ESS-LifeCycleModifyMongoDBIPWhitelist为例,实现在扩容时将ECS实例加入MongoDB实例白名单。步骤如下:
说明 如果需要在缩容时将ECS实例移出MongoDB实例白名单,创建适用于弹性收缩活动的生命周期挂钩并触发缩容即可。

步骤一:对RAM角色授予OOS服务权限

您需要拥有OOS的执行权限才能执行OOS的模板。执行ACS-ESS-LifeCycleModifyMongoDBIPWhitelist中定义的运维操作时涉及云服务器ECS、弹性伸缩、云数据库MongoDB的资源。

  1. 登录RAM控制台
  2. 创建权限策略。
    1. 在左侧导航栏,单击权限管理 > 权限策略
    2. 单击创建权限策略
    3. 创建权限策略页面,选择权限策略的配置模式为脚本编辑后,设置其他参数项,然后单击确定
      本教程中使用的配置如下表所示,未提及的配置保持默认即可。
      配置项说明
      名称填写ESSHookPolicyForMongoDBWhitelist。
      策略内容输入以下内容:
      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:DescribeInstances"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "dds:ModifySecurityIps"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ess:CompleteLifecycleAction"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
  3. 为OOSServiceRole授予权限策略。
    1. 在左侧导航栏,单击身份管理 > 角色
    2. 找到OOSServiceRole,在操作列,单击添加权限
      为OOS服务扮演的RAM角色OOSServiceRole添加权限即可完成授权。
    3. 添加权限页面,指定权限配置,然后单击确定
      本教程中使用的配置如下表所示,未提及的配置保持默认即可。
      配置项说明
      授权范围选择整个云账号
      选择权限添加自定义策略ESSHookPolicyForMongoDBWhitelist。

步骤二:为扩容活动创建生命周期挂钩并触发扩容

  1. 登录弹性伸缩控制台
  2. 在左侧导航栏中,单击伸缩组管理
  3. 在顶部菜单栏处,选择地域。
  4. 找到待操作的伸缩组,选择任一种方式打开伸缩组详情页面。
    • 伸缩组名称/ID列,单击伸缩组ID。
    • 操作列,单击查看详情
  5. 为扩容活动创建生命周期挂钩。
    1. 在页面上方,单击生命周期挂钩页签。
    2. 单击创建生命周期挂钩
    3. 指定生命周期挂钩配置,然后单击确认
      本教程中使用的配置如下表所示,未提及的配置保持默认即可。
      配置项说明
      名称输入ESSHookForAddMongoDBWhitelist。
      适用的伸缩活动类型选择弹性扩张活动
      超时时间输入适当的超时时间,例如300秒。
      说明 超时时间即用于执行自定义操作的时间,若超时时间过短,可能导致自定义操作失败,请评估自定义操作耗时并设置适当的超时时间。
      默认执行策略选择继续
      挂钩期间执行的动作模板配置如下:
      • 通知方式:选择OOS模板
      • OOS模板类型:选择公共模板
      • 公共模板:选择ACS-ESS-LifeCycleModifyMongoDBIPWhitelist。
      ACS-ESS-LifeCycleModifyMongoDBIPWhitelist的执行参数配置如下:
      • MongoDB实例ID:输入MongoDB实例的ID。本教程中以MongoDB副本集实例为例。
      • 修改IP白名单的方式:选择Append,对应弹性扩张活动,将ECS实例加入MongoDB实例白名单。
      • OOS扮演的RAM角色:选择OOSServiceRole,步骤一:对RAM角色授予OOS服务权限中已为RAM角色OOSServiceRole添加操作ECS、弹性伸缩、MongoDB资源的权限,OOS服务扮演该RAM角色即可拥有相关权限。
  6. 触发扩容。
    本教程中以手动执行伸缩规则为例,您也可以通过定时任务、报警任务等方式触发扩容。
    说明 手动执行伸缩规则触发扩缩容时,生命周期挂钩会生效,但手动添加或移出已有ECS实例时,生命周期挂钩不会生效。
    1. 在页面上方,单击伸缩规则与报警任务页签。
    2. 伸缩规则页签下,单击创建伸缩规则
    3. 设置伸缩规则的属性,然后单击确认
      本教程中使用的配置如下表所示,未提及的配置保持默认即可。
      配置项说明
      规则名称输入Add1。
      伸缩规则类型选择简单规则
      执行的操作设置为增加1台。
    4. 在伸缩规则列表下,找到新建的伸缩规则Add1,在操作区域,单击执行
    5. 单击确定
    执行伸缩规则后自动创建1台ECS实例,由于伸缩组内已创建生命周期挂钩ESSHookForAddMongoDBWhitelist,ECS实例会被挂起,同时自动通知OOS服务执行ACS-ESS-LifeCycleModifyMongoDBIPWhitelist中定义的运维操作。

步骤三:查看MongoDB实例白名单

  1. 登录云数据库MongoDB管理控制台
  2. 在左侧导航栏,单击副本集实例列表
  3. 找到MongoDB实例,在实例ID/名称区域,单击实例ID。
  4. 在左侧导航栏,单击数据安全性 > 白名单设置
    • 如果MongoDB实例白名单中加入了新建ECS实例的私有IP,符合使用公共模板ACS-ESS-LifeCycleModifyMongoDBIPWhitelist的预期。
    • 如果成功创建了ECS实例,但是新建ECS实例的私有IP并没有加入MongoDB实例白名单,请前往OOS控制台查看运维任务执行情况。具体操作,请参见(可选)步骤四:查看OOS执行情况

(可选)步骤四:查看OOS执行情况

  1. 登录OOS管理控制台
  2. 在左侧导航栏,单击执行管理
  3. 按开始时间找到执行,然后在操作列,单击详情
  4. 进入执行详情页面,查看执行的相关信息。
    例如,您可以基本信息区域查执行ID、执行状态等,也可以在执行结果区域,单击任务节点查看执行详情。具体操作,请参见查看执行详情
    说明 如果执行失败,在执行详情页面也会显示相关的报错信息。

常见问题

如果运维任务执行失败,请根据执行结果中的报错信息排查原因。常见的报错信息及解决方案如下:
  • 报错信息:Forbidden.Unauthorized message: A required authorization for the specified action is not supplied.

    解决方案:请检查是否为RAM角色OOSServiceRole添加了相应的权限,例如步骤一中的示例权限。您需要为RAM角色添加操作权限,确保OOS服务能够操作OOS模板中涉及的资源。

  • 报错信息:Forbidden.RAM message: User not authorized to operate on the specified resource, or this API doesn't support RAM.

    解决方案:请检查是否为RAM角色OOSServiceRole添加了相应的权限,例如步骤一中的示例权限。您需要为RAM角色添加操作权限,确保OOS服务能够操作OOS模板中涉及的资源。

  • 报错信息:LifecycleHookIdAndLifecycleActionToken.Invalid message: The specified lifecycleActionToken and lifecycleActionId you provided does not match any in process lifecycle action.

    解决方案:请评估生命周期挂钩的超时时间,确保在超时时间内可以执行完OOS模板中定义的运维任务。