更新时间:2024-12-04 GMT+08:00

准备工作

在使用云容器引擎前,您需要完成本文中的准备工作。

创建IAM用户

如果您需要多用户协同操作管理您账号下的资源,为了避免共享您的密码/访问密钥,您可以通过IAM创建用户,并授予用户对应权限。这些用户可以使用特别的登录链接和自己单独的用户账号访问,帮助您高效的管理资源,您还可以设置账号安全策略确保这些账号的安全,从而降低您的企业信息安全风险。

账号无需授权,由账号创建的IAM用户需要授予相应的权限才能使用CCE。

获取资源权限

由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系,因此当您首次登录CCE控制台时,CCE将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。服务权限包括:
  • 计算类服务

    CCE集群创建节点时会关联创建云服务器,因此需要获取访问弹性云服务器的权限。

  • 存储类服务

    CCE支持为集群下节点和容器挂载存储,因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。

  • 网络类服务

    CCE支持集群下容器发布为对外访问的服务,因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。

  • 容器与监控类服务

    CCE集群下容器支持镜像拉取、监控和日志分析等功能,需要获取访问容器镜像、应用管理等服务的权限。

当您同意授权后,CCE将在IAM中创建名为“cce_admin_trust”委托,统一使用系统账户“op_svc_cce”对您的其他云服务资源进行操作,并且授予其Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限,用于对CCE所依赖的其他云服务资源进行调用,且该授权仅在当前区域生效。

如果您在多个区域中使用CCE服务,则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签,单击“cce_admin_trust”查看各区域的授权记录。

由于CCE对其他云服务有许多依赖,如果没有Tenant Administrator权限,可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间,请不要自行删除或者修改“cce_admin_trust”委托。

(可选)创建虚拟私有云

虚拟私有云为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。

创建首个集群前,您必须先确保已存在虚拟私有云,否则无法创建集群。

若您已有虚拟私有云,可重复使用,无需重复创建。

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 选择“网络 > 虚拟私有云”。
  4. 单击“创建虚拟私有云”。
  5. 在“创建虚拟私有云”页面,根据界面提示配置虚拟私有云参数。

    创建虚拟私有云时会同时创建一个默认子网,您还可以单击“添加子网”创建多个子网。

  6. 单击“立即创建”。

(可选)创建密钥对

云平台使用公共密钥密码术来保护您的云容器引擎节点的登录信息,密码或密钥对用于远程登录节点时的身份认证。

  • 如果选择密钥登录方式,您需要在创建云容器引擎的集群节点时指定密钥对的名称,然后在SSH登录时提供私钥。
  • 如果选择密码登录方式,可以跳过该任务。

如果您计划在多个区域创建实例,则需要在每个区域中创建密钥对。

通过管理控制台创建密钥对

如果您尚未创建密钥对,可以通过管理控制台自行创建。步骤如下:

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 选择“计算 > 弹性云服务器”。
  4. 在左侧导航树中,选择“密钥对”。
  5. 在“密钥对”页面,单击“创建密钥对”。
  6. 输入密钥名称,单击“确定”。
  7. 密钥名称由两部分组成:KeyPair-4位随机数字,使用一个容易记住的名称,如KeyPair-xxxx_ecs。
  8. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。

    这是您保存私钥文件的唯一机会,请妥善保管。当您创建弹性云服务器时,您将需要提供密钥对的名称;每次SSH登录到弹性云服务器时,您将需要提供相应的私钥。