自定义委托说明
CCE集群在运行时对计算、存储、网络以及监控等各类云服务资源存在依赖关系,需要您通过委托授权CCE集群对各类云服务资源进行操作。默认情况下,CCE使用系统委托生成集群内部使用的临时访问凭证,CCE集群通过此凭证对各类云服务资源进行访问。您也可以对CCE集群配置使用自定义委托,配置了自定义委托的CCE集群将使用自定义委托生成集群内部使用的临时访问凭证。
- 自定义委托仅支持1.27及以上版本集群。
- 自定义委托当前仅支持CCE Standard集群。
- 自定义委托当前不支持使用IAM 5.0信任委托。
前提条件
- 您需要先在统一身份认证服务控制台的委托界面创建好“云服务”类型的自定义委托,并将其授权给“云容器引擎服务 CCE”。详情请参见创建委托并授权。
- 您需要为创建的自定义委托进行授权。CCE已将集群运行时用到的权限按照不同的分别预置为系统策略,其中一些系统策略必须授权,其余的系统策略您可按照使用到的CCE集群功能进行按需授权,详见系统策略说明。
请确保已对创建的委托授予了必须的权限,否则集群部分功能可能无法正常使用。
新建集群时配置使用自定义委托
目前仅支持通过接口创建集群时配置使用自定义委托。关于如何调用接口,请参见构造请求。
调用创建集群接口,配置使用自定义委托。
请求体示例如下:
{
"kind": "Cluster",
"apiVersion": "v3",
"metadata": {
"name": "cce-cluster",
},
"spec": {
"agencyName": "custom_agency_name",
"category": "CCE",
. . .
}
}
其中custom_agency_name为已经在IAM上创建好的自定义委托的名称。
运行中的集群配置使用自定义委托
目前仅支持通过接口配置已运行的集群使用自定义委托。关于如何调用接口,请参见构造请求。
调用更新指定的集群接口,配置使用自定义委托。
请求体示例如下:
{
"spec": {
"agencyName": "custom_agency_name"
}
}
其中custom_agency_name为已经在IAM上创建好的自定义委托的名称。
- 集群使用自定义委托时,请勿删除自定义委托,以及确保委托未过期,否则集群部分功能可能无法正常使用。
- 修改集群使用的自定义委托后,需要等待一段时间生效。
系统策略说明
|
系统策略 |
策略说明 |
是否必须授权 |
|---|---|---|
|
CCEClusterManagedPolicy |
云容器引擎(CCE)集群基本功能必要的权限 |
是 |
|
CCEClusterNodePolicy |
云容器引擎(CCE)用户节点基本功能必要的权限 |
是 |
|
CCEClusterTurboNetworkingPolicy |
云容器引擎(CCE)使用云原生网络2.0时必要的权限 |
集群网络模式为云原生2.0时必须授权 |
|
CCEClusterVPCNetworkingPolicy |
云容器引擎(CCE)使用VPC网络时必要的权限 |
集群网络模式VPC网络时必须授权 |
|
CCEClusterLoadBalancingPolicy |
云容器引擎(CCE)使用弹性负载均衡服务时必要的权限 |
否 |
|
CCEClusterResourceOrderPolicy |
云容器引擎(CCE)使用包年包月资源自动订阅时必要的权限 |
否 |
|
CCEClusterCSIEVSPolicy |
云容器引擎(CCE)使用云硬盘(EVS)类型的容器存储时必要的权限 |
否 |
|
CCEClusterCSIOBSPolicy |
云容器引擎(CCE)使用对象存储(OBS)类型的容器存储时必要的权限 |
否(OBS为全局服务,若要使用,需授予所有项目服务权限) |
|
CCEClusterCSISFSGeneralPolicy |
云容器引擎(CCE)使用文件存储(SFS 3.0)类型的容器存储时必要的权限 |
否(SFS3.0为全局服务,若要使用,需授予所有项目服务权限) |
|
CCEClusterCSISFSTurboPolicy |
云容器引擎(CCE)使用极速文件存储(SFS Turbo)类型的容器存储时必要的权限 |
否 |
|
CCEClusterGEIPPolicy |
云容器引擎(CCE)为负载均衡器绑定全域公网IP时必要的权限 |
否(全域公网IP为全局服务,若要使用,需授予所有项目服务权限) |
|
CCEClusterKMSPolicy |
云容器引擎(CCE)为容器挂载集群外部的加密凭据时必要的权限 |
否 |
|
CCEClusterLogPolicy |
云容器引擎(CCE)使用日志采集功能时必要的权限 |
否 |
|
CCEClusterNodeAutoscalingPolicy |
云容器引擎(CCE)使用节点弹性伸缩功能时必要的权限 |
否 |
|
CCEClusterVirtualKubeletPolicy |
云容器引擎(CCE)使用CCE突发弹性引擎(对接 CCI)时必要的权限 |
否 |
