Descrição da atribuição do sistema
- Serviços de computação
Quando você cria um nó em um cluster, um servidor de nuvem é criado de acordo. O pré-requisito é que o CCE tenha obtido as permissões para acessar o Elastic Cloud Service (ECS) e Bare Metal Server (BMS).
- Serviços de armazenamento
O CCE permite que você monte armazenamento em nós e contêineres em um cluster. O pré-requisito é que o CCE tenha obtido as permissões para acessar serviços como Elastic Volume Service (EVS), Scalable File Service (SFS) e Object Storage Service (OBS).
- Serviços de rede
O CCE permite que os contêineres em um cluster sejam publicados como serviços que podem ser acessados por sistemas externos. O pré-requisito é que o CCE tenha obtido as permissões para acessar serviços como Virtual Private Cloud (VPC) e Elastic Load Balance (ELB).
- Serviços de contêineres e monitoramento
O CCE suporta funções como extração de imagem de contêiner, monitoramento e registro em logs. O pré-requisito é que o CCE tenha obtido as permissões para acessar serviços como o SoftWare Repository for Container (SWR) e Application Operations Management (AOM).
Depois de concordar com a atribuição, o CCE cria automaticamente uma agência no IAM para delegar outras permissões de operação de recursos em sua conta ao CCE da Huawei Cloud. Para obter detalhes, consulte Delegação de conta.
As agências criadas automaticamente pelo CCE são as seguintes:
cce_admin_trust
A agência cce_admin_trust tem as permissões de administrador do locatário. O administrador de locatário tem as permissões em todos os serviços de nuvem, exceto o IAM, que são usados para chamar os serviços de nuvem dos quais o CCE depende. A delegação tem efeito apenas na região atual.
Para usar o CCE em várias regiões, solicite permissões de recursos de nuvem em cada região. Você pode acessar o console do IAM, escolher Agencies e clicar em cce_admin_trust para exibir os registros de delegação de cada região.
CCE pode falhar a execução como esperado se a função Tenant Administrator não for atribuída. Portanto, não exclua nem modifique a agência cce_admin_trust ao usar o CCE.
cce_cluster_agency
A agência cce_cluster_agency contém apenas as permissões de operação de recursos de serviço de nuvem exigidas pelos componentes do CCE. Ela gera credenciais de acesso temporárias usadas por componentes em clusters do CCE.
- A agência cce_cluster_agency oferece suporte a clusters v1.21 ou posterior.
- Quando você cria a agência cce_cluster_agency, uma política personalizada chamada CCE cluster policies é criada automaticamente. Não exclua esta política.
Se as permissões da agência cce_cluster_agency forem diferentes das esperadas pelo CCE, o console exibirá uma mensagem indicando que as permissões foram alteradas e que você precisa autorizar novamente a agência.
A agência cce_cluster_agency pode ser reautorizada nos seguintes cenários:
- As permissões das quais os componentes do CCE dependem podem mudar com as versões. Por exemplo, se um novo componente depender de novas permissões, o CCE atualizará a lista de permissões esperadas e você precisará conceder permissões para cce_cluster_agency novamente.
- Quando você modifica manualmente as permissões da agência cce_cluster_agency, as permissões da agência são diferentes daquelas esperadas pelo CCE. Nesse caso, uma mensagem é exibida, solicitando que você autorize novamente a agência. Se você autorizar novamente a agência, as permissões modificadas manualmente podem se tornar inválidas.
