在使用云容器引擎前,您需要完成本文中的准备工作。
- 创建IAM用户
- 获取资源权限
- (可选)创建虚拟私有云
- (可选)创建密钥对
创建IAM用户
如果您需要多用户协同操作管理您帐号下的资源,为了避免共享您的密码/访问密钥,您可以通过IAM创建用户,并授予用户对应权限。这些用户可以使用特别的登录链接和自己单独的用户帐号访问,帮助您高效的管理资源,您还可以设置帐号安全策略确保这些帐号的安全,从而降低您的企业信息安全风险。
注册帐号无需授权,由帐号创建的IAM用户需要授予相应的权限才能使用CCE。
获取资源权限
由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系,因此当您首次登录CCE控制台时,CCE将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。服务权限包括:
- 计算类服务
CCE集群创建节点时会关联创建云主机,因此需要获取访问云主机、物理机服务器的权限。
- 存储类服务
CCE支持为集群下节点和容器挂载存储,因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。
- 网络类服务
CCE支持集群下容器发布为对外访问的服务,因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。
- 容器与监控类服务
CCE集群下容器支持镜像拉取、监控和日志分析等功能,需要获取访问容器镜像、应用管理等服务的权限。
当您同意授权后,CCE将在IAM中创建名为“cce_admin_trust”委托,统一使用系统帐号“op_svc_cce”对您的其他云服务资源进行操作,并且授予其Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限,用于对CCE所依赖的其他云服务资源进行调用,且该授权仅在当前区域生效。
如果您在多个区域中使用CCE服务,则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签,单击“cce_admin_trust”查看各区域的授权记录。
说明由于CCE对其他云服务有许多依赖,如果没有Tenant Administrator权限,可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间,请不要自行删除或者修改“cce_admin_trust”委托。
(可选)创建虚拟私有云
虚拟私有云为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。
创建首个集群前,您必须先确保已存在虚拟私有云,否则无法创建集群。
若您已有虚拟私有云,可重复使用,无需重复创建。
步骤 1 登录管理控制台。
步骤 2 单击管理控制台左上角的
,
选择区域和项目。
步骤 3 选择“网络 > 虚拟私有云”。
步骤 4 单击“创建虚拟私有云”。
步骤 5 在“创建虚拟私有云”页面,根据界面提示配置虚拟私有云参数。
创建虚拟私有云时会同时创建一个默认子网,您还可以单击“添加子网”创建多个子网。
步骤 6 单击“立即创建”。
(可选)创建密钥对
云平台使用公共密钥密码术来保护您的云容器引擎节点的登录信息,密码或密钥对用于远程登录节点时的身份认证。
- 如果选择密钥登录方式,您需要在创建云容器引擎的集群节点时指定密钥对的名称,然后在SSH登录时提供私钥。
- 如果选择密码登录方式,可以跳过该任务。
说明如果您计划在多个区域创建实例,则需要在每个区域中创建密钥对。
通过管理控制台创建密钥对
如果您尚未创建密钥对,可以通过管理控制台自行创建。步骤如下:
步骤 1 登录管理控制台。
步骤 2 单击管理控制台左上角的
,选择区域和项目。
步骤 3 选择“计算 > 弹性云主机”。
步骤 4 在左侧导航树中,选择“密钥对”。
步骤 5 在“密钥对”页面,单击“创建密钥对”。
步骤 6 输入密钥名称,单击“确定”。
步骤 7 密钥名称由两部分组成:KeyPair-4位随机数字,使用一个容易记住的名称,如KeyPair-xxxx_ecs。
步骤 8 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。
说明这是您保存私钥文件的唯一机会,请妥善保管。当您创建弹性云主机时,您将需要提供密钥对的名称;每次SSH登录到弹性云主机时,您将需要提供相应的私钥。
