如果您需要在ACK集群中通过MSE Ingress访问服务,部署服务前需要为MSE Ingress Controller授予MSE的相关访问权限。本文介绍如何对ACK集群中的MSE Ingress Controller授权。
步骤一:安装MSE Ingress Controller组件
方式一:创建集群时安装MSE Ingress Controller
方式二:已创建集群,在组件管理页面安装MSE Ingress Controller
- 登录容器服务管理控制台,在左侧导航栏中选择集群。
- 在集群列表页面中,单击目标集群名称,然后在左侧导航栏中,选择。
- 在组件管理页面,单击网络页签,在MSE Ingress Controller组件区域,单击安装。
- 在安装组件MSE Ingress Controller对话框判断是否需要选中级联删除SLB,然后单击确定。
步骤二:为MSE Ingress Controller授权
- 登录容器服务管理控制台,在左侧导航栏中选择集群。
- 在集群列表页面中,单击目标集群名称,然后在左侧导航栏中,选择集群信息。
- 在集群信息页面,单击集群资源页签,然后单击Worker RAM角色右侧的链接。
- 在角色页面权限管理页签下单击新增授权。
- 在新增授权面板的选择权限区域,单击系统策略页签,然后在输入栏输入AliyunMSEFullAccess,单击AliyunMSEFullAccess,然后单击确定。
(可选)步骤三:授予集群SLS权限
如果您希望通过MseIngressConfig为MSE云原生网关开启SLS日志投递服务,那么您需要为集群资源的Worker RAM角色额外授予SLS相关权限。
- 创建权限策略。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择,在右侧页面单击创建权限策略。
- 在创建权限策略页面,单击脚本编辑页签,输入如下权限策略内容,然后单击继续编辑基本信息。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:CloseProductDataCollection",
"log:OpenProductDataCollection",
"log:GetProductDataCollection"
],
"Resource": [
"acs:mse:*:*:instance/*",
"acs:log:*:*:project/*/logstore/mse_*"
],
"Effect": "Allow"
},
{
"Action": "ram:PassRole",
"Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit",
"Effect": "Allow"
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "audit.log.aliyuncs.com"
}
}
}
]
}
- 输入权限策略名称和备注,然后单击确定。
- 为集群授予SLS权限。
- 登录容器服务管理控制台,在左侧导航栏中选择集群。
- 在集群列表页面中,单击目标集群名称,然后在左侧导航栏中,选择集群信息。
- 在集群信息页面,单击集群资源页签,然后单击Worker RAM角色右侧的链接。
- 在角色页面的权限管理页签,单击新增授权。
- 在新增授权面板的选择权限区域,单击自定义策略页签,然后在文本框输入步骤1自定义的名称,单击目标权限策略名称,然后单击确定。
