自Kubernetes 1.33版本起,新创建的ACK托管集群将默认安装最新版本的ack-ram-authenticator托管组件,不会额外占用您的集群节点资源。
影响范围
本次变更仅影响新创建的1.33及以上版本的ACK托管集群,包括ACK托管集群Pro版和ACK托管集群基础版。
变更内容
关于ack-ram-authenticator组件及其使用说明,请参见ack-ram-authenticator、通过ack-ram-authenticator完成ACK托管集群API Server的Webhook认证。
自Kubernetes 1.33版本起,新创建的ACK托管集群涉及的变更如下:
新创建的集群将默认安装最新版本的ack-ram-authenticator组件,该组件将成为集群内的系统组件,因此,您将无法卸载集群默认安装的ack-ram-authenticator组件。
节点池扩容(包括手动扩容和自动扩容)操作将依赖ack-ram-authenticator组件,因此,在扩容时将会在集群VPC网络内产生少量OpenAPI访问记录,即节点Worker RAM角色将通过STS GetCallerIdentity接口验证身份的记录。
创建集群时配置ack-ram-authenticator组件自定义参数
ack-ram-authenticator组件支持的自定义参数说明
通过Terraform安装配置ack-ram-authenticator组件参数
通过Terraform创建集群时,您可以通过alicloud_cs_managed_kubernetes Resource的addons属性指定在创建集群时安装ack-ram-authenticator组件并配置组件自定义参数。更多Terraform管理组件说明,请参见使用Terraform管理组件。
resource "alicloud_cs_managed_kubernetes" "default" {
# 其它参数。
# ...
addons {
name = "ack-ram-authenticator"
config = jsonencode(
{
"EnableNonBootstrapMapping": false
}
)
}
}通过OpenAPI安装配置ack-ram-authenticator组件参数
通过OpenAPI创建集群时,您可以通过CreateCluster接口提供的addons参数,在创建集群时指定安装ack-ram-authenticator组件并配置组件自定义参数。
"addons": [
// 其他组件配置。
{
"name": "ack-ram-authenticator",
"config": "{\"EnableNonBootstrapMapping\": false}"
}
],通过控制台修改ack-ram-authenticator组件参数
通过控制台创建集群时默认安装的ack-ram-authenticator组件,默认为禁用非节点初始化场景下的RAM身份映射功能,您可以参考以下操作修改配置。
登录容器服务管理控制台,在左侧导航栏选择集群列表。
在集群列表页面,单击目标集群名称,然后在左侧导航栏,单击组件管理。
在组件管理页面,单击安全页签,定位ack-ram-authenticator组件,然后单击右下角的配置,选中启用非节点初始化场景下的RAM身份映射功能。
联系我们
如您遇到任何问题,或有产品使用建议,请提交工单联系我们。