为容器服务中的MSE Ingress Controller授权_微服务引擎(MSE)-阿里云帮助中心

如果您需要在集群中通过MSE Ingress访问服务，部署服务前需要为MSE Ingress Controller授予MSE的相关访问权限。

为ACK托管集群的MSE Ingress Controller授权

在ACK托管版集群中，可以通过以下两种方式为MSE Ingress Controller授权。

如果您需要在已有的ACK托管集群中使用MSE Ingress，请参考方式一完成授权。
如果您在新建ACK托管集群时就确认了要使用MSE Ingress，请参考方式二完成授权。

方式一：在组件管理中为MSE Ingress Controller完成授权

方式二：在新建集群时为MSE Ingress Controller完成授权

在组件管理中安装MSE Ingress Controller的过程中会自动进行权限校验。如果出现前置检查失败，您需要按照以下步骤完成授权。

将鼠标移至前置检查失败提示处，单击查看检查报告。
在检查报告页面，单击异常下方的红色方框，然后单击面板中的链接。
在访问控制快速授权页面，单击确认授权。
重新安装组件。

在新建集群时安装MSE Ingress Controller，在确认配置步骤的依赖检查区域，查看MSE Ingress角色授权检查的状态是否通过。如状态显示未通过，则需要单击去授权。
在访问控制快速授权页面，单击确认授权。
授权完成后，返回确认配置页面，单击重新检查。检查通过后单击创建集群。

为ACK专有版集群中的MSE Ingress Controller授权

登录容器服务控制台。
在左侧导航栏，单击集群列表，然后单击目标集群名称。
在集群信息页面的基本信息页签，单击Worker RAM 角色右侧的链接。
在RAM控制台，为该角色添加AliyunMSEFullAccess权限。
1. 在角色页面的权限管理页签，单击新增授权。
2. 在新增授权页面的选择权限区域，选择系统策略页签，然后在输入栏输入权限策略名称进行模糊搜索。
  例如，输入mse可以搜索到AliyunMSEFullAccess。
3. 单击权限策略名称AliyunMSEFullAccess，然后单击确定完成添加权限。
您可以在下图所示的位置查看是否已为该角色成功添加AliyunMSEFullAccess权限。
在目标集群的命名空间mse-ingress-controller中搜索到ack-mse-ingress-controller应用，单击操作列下方的更多，选择重新部署，然后单击确定。
重新部署完成后，单击ack-mse-ingress-controller应用，确认重建后的Pod处于Running状态。

（可选）创建SLS权限策略并为集群授予SLS相关权限

如果您希望通过MseIngressConfig为MSE云原生网关开启SLS日志投递服务，那么您需要为集群资源的Worker RAM角色额外授予SLS相关权限。

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。

在创建权限策略页面，单击脚本编辑页签，输入如下权限策略内容，然后单击确定。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "log:CloseProductDataCollection",
                "log:OpenProductDataCollection",
                "log:GetProductDataCollection"
            ],
            "Resource": [
                "acs:mse:*:*:instance/*",
                "acs:log:*:*:project/*/logstore/mse_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "acs:ram::*:role/aliyunserviceroleforslsaudit",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "audit.log.aliyuncs.com"
                }
            }
        }
    ]
}

在创建权限策略弹框中输入权限策略名称和备注，单击确定。
为集群资源的Worker RAM角色授予SLS相关权限。
1. 登录容器服务管理控制台。
2. 在左侧导航栏，单击集群列表，然后单击目标集群名称。
3. 在集群信息页面的基本信息页签，单击Worker RAM 角色右侧的链接。
4. 在RAM控制台，为该角色添加SLS相关权限。
  1. 在角色页面的权限管理页签，单击新增授权。
  2. 在新增授权页面的选择权限区域，选择自定义策略页签，然后在文本框输入权限策略名称进行模糊搜索。
    说明
    SLS的权限策略名称为您自定义的名称。
  3. 单击目标权限策略名称，然后单击确定完成授权。

为ACK Serverless集群中的MSE Ingress Controller授权

在ACK Serverless集群中，可以通过以下两种方式为MSE Ingress Controller授权。

如果您需要在已有的ACK Serverless集群中使用MSE Ingress，请参考方式一完成授权。
如果您在新建ACK Serverless集群时就确认了要使用MSE Ingress，请参考方式二完成授权。

方式一：在组件管理中为MSE Ingress Controller完成授权

方式二：在新建集群时为MSE Ingress Controller完成授权

在组件管理中安装MSE Ingress Controller的过程中会自动进行权限校验。如果出现前置检查失败，您需要按照以下步骤完成授权。

将鼠标移至前置检查失败提示处，单击查看检查报告。
在检查报告页面，单击异常下方的红色方框，然后单击面板中的链接。
在访问控制快速授权页面，单击确认授权。
重新安装组件。

在新建集群时安装MSE Ingress Controller，在确认配置步骤的依赖检查区域，查看MSE Ingress角色授权检查的状态是否通过。如状态显示未通过，则需要单击去授权。
在访问控制快速授权页面，单击确认授权。
授权完成后，返回确认配置页面，单击重新检查。检查通过后单击创建集群。

为ACS集群中的MSE Ingress Controller授权

在ACS集群中，您可以通过以下方式为MSE Ingress Controller授权。如果您在新建ACS集群时确认要使用MSE Ingress，请参考以下方式完成授权。

在新建集群时为MSE Ingress Controller完成授权

在新建集群时安装MSE Ingress Controller，在确认配置步骤的依赖检查区域，查看MSE Ingress角色授权检查的状态是否通过。如状态显示未通过，则需要单击去授权。
在访问控制快速授权页面，单击确认授权。
授权完成后，返回确认配置页面，单击重新检查。检查通过后单击创建集群。

后续操作

关于如何在容器服务集群中通过MSE Ingress访问服务，请参见通过MSE Ingress访问容器服务。