AI 助理
备案控制台
开发者社区 云原生 容器服务 文章 正文

ACK注册集群agent组件的RBAC权限设置

2022-11-14 340
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: ACK注册集群agent组件的RBAC权限设置

用户使用ACK注册集群通过stub<->agent的访问链路访问集群资源,所有操作的权限收敛于ack-cluster-agent组件所使用的ServiceAccount,默认是名为ack的sa,授权为admin权限,用户可以根据具体需求自行更改授权规则。

前置条件

  • ack-cluster-agent版本已升级至v1.13.1.69-g00e1991-aliyun及以上。 (请在ACK注册集群组件管理页面进行升级)

默认要求的最小化RBAC权限

ACK注册集群要求的最小的授权为节点列表的获取权限,授权规则如下所示:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get", "list", "watch"]
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["ack-agent-config", "provider"]
  verbs: ["get", "list", "watch", "update"]


组件管理需要的RBAC权限

安装、更新addon组件,例如terway-eniip或logtail-ds等组件,需要临时将ClusterRole/ack-admin的权限设置为admin权限: 

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]

组件安装、升级完毕后,可恢复至以下最小权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get","list","watch"]
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["ack-agent-config","provider"]
  verbs: ["get","list","watch","update"]
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["autoscaler-meta"]
  verbs: ["get","list","watch","update"]
- apiGroups: ["*"]
  resources: ["daemonsets", "deployments"]
  resourceNames: ["terway-eniip","security-inspector","ack-cluster-agent","gatekeeper","ack-virtual-node","metrics-server","logtail-ds","resource-controller","aliyun-acr-credential-helper","migrate-controller","ack-kubernetes-cronhpa-controller","tiller-deploy"]
  verbs: ["get", "list", "watch"]
- apiGroups: ["*"]
  resources: ["daemonsets", "deployments"]
  resourceNames: ["cluster-autoscaler"]
  verbs: ["get", "list", "watch", "update"]
- apiGroups: [""]
  resources: ["pods","secrets"]
  verbs: ["list"]

只启用节点池/弹性节点池功能的RBAC要求

安装terway组件或创建节点池时,需要临时将ClusterRole/ack-admin的权限设置为admin权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]

节点池配置完毕后,可恢复至以下最小权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: ack-admin
  labels:
    ack/creator: "ack"
rules:
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get","list","watch"]
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["ack-agent-config","provider","autoscaler-meta","eni-config"]
  verbs: ["get","list","watch","update"]
- apiGroups: ["*"]
  resources: ["daemonsets", "deployments"]
  resourceNames: ["terway-eniip", "cluster-autoscaler"]
  verbs: ["get", "list", "watch", "update"]


文章标签:
容器服务Kubernetes版
关键词:
容器服务Kubernetes版集群
通义星尘组件
容器服务Kubernetes版设置
通义星尘集群
容器服务Kubernetes版组件
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
流生
目录
相关文章
阿里云基础设施.
|
1月前
|
缓存 容灾 网络协议
ACK One多集群网关:实现高效容灾方案
ACK One多集群网关可以帮助您快速构建同城跨AZ多活容灾系统、混合云同城跨AZ多活容灾系统,以及异地容灾系统。
阿里云基础设施.
96 19
蓝易云
|
2月前
|
Kubernetes Ubuntu 网络安全
ubuntu使用kubeadm搭建k8s集群
通过以上步骤,您可以在 Ubuntu 系统上使用 kubeadm 成功搭建一个 Kubernetes 集群。本文详细介绍了从环境准备、安装 Kubernetes 组件、初始化集群到管理和使用集群的完整过程,希望对您有所帮助。在实际应用中,您可以根据具体需求调整配置,进一步优化集群性能和安全性。
蓝易云
148 12
阿里云基础设施.
|
2月前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
阿里云基础设施.
153 15
栈江湖
|
2月前
|
Kubernetes 网络协议 应用服务中间件
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
栈江湖
87 2
弹性计算-百晓生
|
2月前
|
存储 Kubernetes 关系型数据库
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
本文源自2024云栖大会苏雅诗的演讲,探讨了K8s集群业务为何需要灾备及其重要性。文中强调了集群与业务高可用配置对稳定性的重要性,并指出人为误操作等风险,建议实施周期性和特定情况下的灾备措施。针对容器化业务,提出了灾备的新特性与需求,包括工作负载为核心、云资源信息的备份,以及有状态应用的数据保护。介绍了ACK推出的备份中心解决方案,支持命名空间、标签、资源类型等维度的备份,并具备存储卷数据保护功能,能够满足GitOps流程企业的特定需求。此外,还详细描述了备份中心的使用流程、控制台展示、灾备难点及解决方案等内容,展示了备份中心如何有效应对K8s集群资源和存储卷数据的灾备挑战。
弹性计算-百晓生
101 5
Java时光
|
3月前
|
Kubernetes 监控 Cloud Native
Kubernetes集群的高可用性与伸缩性实践
Kubernetes集群的高可用性与伸缩性实践
Java时光
99 1
有路有乔-六月
|
3月前
|
Kubernetes 监控 Java
如何设置 Kubernetes的垃圾回收策略为定期
如何设置 Kubernetes的垃圾回收策略为定期
有路有乔-六月
64 0
liuyunshengsir
|
3月前
|
弹性计算 Kubernetes Perl
k8s 设置pod 的cpu 和内存
在 Kubernetes (k8s) 中,设置 Pod 的 CPU 和内存资源限制和请求是非常重要的,因为这有助于确保集群资源的合理分配和有效利用。你可以通过定义 Pod 的 `resources` 字段来设置这些限制。 以下是一个示例 YAML 文件,展示了如何为一个 Pod 设置 CPU 和内存资源请求(requests)和限制(limits): ```yaml apiVersion: v1 kind: Pod metadata: name: example-pod spec: containers: - name: example-container image:
liuyunshengsir
515 1
八百标兵奔北坡
|
3月前
|
存储 Kubernetes 监控
Kubernetes设置
Kubernetes设置
八百标兵奔北坡
57 1
阿里云基础设施.
|
4月前
|
JSON Kubernetes 容灾
ACK One应用分发上线:高效管理多集群应用
ACK One应用分发上线,主要介绍了新能力的使用场景
阿里云基础设施.
83 9
云原生

容器服务

热门文章

最新文章

  • 1
    Docker 镜像加速器
  • 2
    Docker CE 镜像源站
  • 3
    Docker的Windows容器初体验
  • 4
    Docker学习路线图 (持续更新中)
  • 5
    Docker Engine 镜像源站
  • 6
    阿里云容器服务-高可用Kubernetes部署指南
  • 7
    如何使用 Buildah 构建容器镜像
  • 8
    阿里云亮相2019云原生产业大会,积极共建云原生生态
  • 9
    容器内日志收集方案示例
  • 10
    阿里下一代数据库技术:把数据库装入容器不再是神话
  • 1
    容器服务:智算时代云原生操作系统及月之暗面Kimi、深势科技实践分享
    120
  • 2
    canal-starter 监听解析 storeValue 不一样,同样的sql 一个在mybatis执行 一个在数据库操作,导致解析不出正确对象
    71
  • 3
    【Docker最新版教程】一文带你快速入门Docker常见用法,实现容器编排和自动化部署上线项目
    525
  • 4
    【最新版正确姿势】Docker安装教程(简单几步即可完成)
    3846
  • 5
    ​​国内 5 个最佳的控制面板,可轻松管理服务器
    278
  • 6
    【Docker容器化技术】docker安装与部署、常用命令、容器数据卷、应用部署实战、Dockerfile、服务编排docker-compose、私有仓库
    2491
  • 7
    基于Docker安装Grafana和Prometheus
    162
  • 8
    JVM进阶调优系列(7)JVM调优监控必备命令、工具集合|实用干货
    210
  • 9
    前端的全栈之路Meteor篇(一):开发环境的搭建 -全局安装或使用容器镜像
    183
  • 10
    前端的全栈之路Meteor篇(二):容器化开发环境下的meteor工程架构解析
    88

    • 相关产品

  • 容器服务Kubernetes版
    文档详情 产品详情

    • 相关课程

    更多
  • 使用ASK容器化部署大语言模型FastChat
  • 如何在 ACK 中使用 MSE Ingress
  • 从概念、部署到优化,Kubernetes Ingress 网关的落地实践
  • 使用Kubernetes监控定位Pod状态异常根因
  • 如何使用Kubernetes监控定位慢调用
  • 使用Kubernetes监控发现资源使用,流量分布不均匀的问题

    • 相关电子书

    更多
  • 智算时代,基于 Kubernetes 落地云原生 AI
  • 容器服务 ACK 加速企业应用现代化升级
  • 容器服务 ACK – 智算时代的现代化应用平台

    • 相关实验场景

    更多
  • 容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
  • 容器管理命令
  • 通过Helm CLI部署wordpress到ACK集群
  • 基于MSE实现K8s集群内多服务的灰度发布
  • 使用 Fleet 管理 Elastic Agent 监控应用
  • 基于ACK Serverless轻松部署企业级Stable Diffusion

    • 推荐镜像

    更多
  • kubernetes
  • docker-ce
  • CloudFoundry
    • 下一篇
    阿里云oss简介和如何对接使用