如果您需要在集群中通过MSE Ingress访问服务,部署服务前需要为MSE Ingress Controller授予MSE的相关访问权限。
为ACK托管集群的MSE Ingress Controller授权
在ACK托管版集群中,可以通过以下两种方式为MSE Ingress Controller授权。
如果您需要在已有的ACK托管集群中使用MSE Ingress,请参考方式一完成授权。
如果您在新建ACK托管集群时就确认了要使用MSE Ingress,请参考方式二完成授权。
方式一:在组件管理中为MSE Ingress Controller完成授权
在组件管理中安装MSE Ingress Controller的过程中会自动进行权限校验。如果出现前置检查失败,您需要按照以下步骤完成授权。
将鼠标移至前置检查失败提示处,单击查看检查报告。
在检查报告页面,单击异常下方的红色方框,然后单击面板中的链接。
在访问控制快速授权页面,单击确认授权。
重新安装组件。
方式二:在新建集群时为MSE Ingress Controller完成授权
在新建集群时安装MSE Ingress Controller,在确认配置步骤的依赖检查区域,查看MSE Ingress角色授权检查的状态是否通过。如状态显示未通过,则需要单击去授权。
在访问控制快速授权页面,单击确认授权。
授权完成后,返回确认配置页面,单击重新检查。检查通过后单击创建集群。
为ACK专有版集群中的MSE Ingress Controller授权
登录容器服务控制台。
在左侧导航栏,单击集群,然后单击目标集群名称。
在集群信息页面的基本信息页签,单击Worker RAM 角色右侧的链接。
在RAM控制台,为该角色添加AliyunMSEFullAccess权限。
在角色页面的权限管理页签,单击新增授权。
在新增授权页面的选择权限区域,选择系统策略页签,然后在输入栏输入权限策略名称进行模糊搜索。
例如,输入mse可以搜索到AliyunMSEFullAccess。
单击权限策略名称AliyunMSEFullAccess,然后单击确定完成添加权限。
您可以在下图所示的位置查看是否已为该角色成功添加AliyunMSEFullAccess权限。
在目标集群的命名空间mse-ingress-controller中搜索到ack-mse-ingress-controller应用,单击操作列下方的更多,选择重新部署,然后单击确定。
重新部署完成后,单击ack-mse-ingress-controller应用,确认重建后的Pod处于Running状态。
(可选)创建SLS权限策略并为集群授予SLS相关权限
如果您希望通过MseIngressConfig为MSE云原生网关开启SLS日志投递服务,那么您需要为集群资源的Worker RAM角色额外授予SLS相关权限。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签,输入如下权限策略内容,然后单击继续编辑基本信息。
{ "Version": "1", "Statement": [ { "Action": [ "log:CloseProductDataCollection", "log:OpenProductDataCollection", "log:GetProductDataCollection" ], "Resource": [ "acs:mse:*:*:instance/*", "acs:log:*:*:project/*/logstore/mse_*" ], "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "audit.log.aliyuncs.com" } } } ] }
输入权限策略名称和备注。
单击确定。
为集群资源的Worker RAM角色授予SLS相关权限。
登录容器服务管理控制台。
在左侧导航栏,单击集群,然后单击目标集群名称。
在集群信息页面的基本信息页签,单击Worker RAM 角色右侧的链接。
在RAM控制台,为该角色添加SLS相关权限。
在角色页面的权限管理页签,单击新增授权。
在新增授权页面的选择权限区域,选择自定义策略页签,然后在文本框输入权限策略名称进行模糊搜索。
说明SLS的权限策略名称为您自定义的名称。
单击目标权限策略名称,然后单击确定完成授权。
为ACK Serverless集群中的MSE Ingress Controller授权
在ACK Serverless集群中,可以通过以下两种方式为MSE Ingress Controller授权。
如果您需要在已有的ACK Serverless集群中使用MSE Ingress,请参考方式一完成授权。
如果您在新建ACK Serverless集群时就确认了要使用MSE Ingress,请参考方式二完成授权。
方式一:在组件管理中为MSE Ingress Controller完成授权
在组件管理中安装MSE Ingress Controller的过程中会自动进行权限校验。如果出现前置检查失败,您需要按照以下步骤完成授权。
将鼠标移至前置检查失败提示处,单击查看检查报告。
在检查报告页面,单击异常下方的红色方框,然后单击面板中的链接。
在访问控制快速授权页面,单击确认授权。
重新安装组件。
方式二:在新建集群时为MSE Ingress Controller完成授权
在新建集群时安装MSE Ingress Controller,在确认配置步骤的依赖检查区域,查看MSE Ingress角色授权检查的状态是否通过。如状态显示未通过,则需要单击去授权。
在访问控制快速授权页面,单击确认授权。
授权完成后,返回确认配置页面,单击重新检查。检查通过后单击创建集群。
为ACS集群中的MSE Ingress Controller授权
在ACS集群中,您可以通过以下方式为MSE Ingress Controller授权。如果您在新建ACS集群时确认要使用MSE Ingress,请参考以下方式完成授权。
在新建集群时为MSE Ingress Controller完成授权
在新建集群时安装MSE Ingress Controller,在确认配置步骤的依赖检查区域,查看MSE Ingress角色授权检查的状态是否通过。如状态显示未通过,则需要单击去授权。
在访问控制快速授权页面,单击确认授权。
授权完成后,返回确认配置页面,单击重新检查。检查通过后单击创建集群。
后续操作
关于如何在容器服务集群中通过MSE Ingress访问服务,请参见通过MSE Ingress访问容器服务。