Сервисный аккаунт для инструментов Application Load Balancer для Managed Service for Kubernetes
Инструменты Application Load Balancer для Managed Service for Kubernetes — Ingress-контроллер и Gateway API — разворачивают инфраструктуру от имени сервисного аккаунта. Этому аккаунту требуются следующие разрешения:
Совет
Вместо Ingress-контроллера Application Load Balancer рекомендуется использовать новый контроллер Yandex Cloud Gwin.
| Сервис | На что нужно разрешение | Минимальная роль |
|---|---|---|
| Application Load Balancer (роли) |
Управление ресурсами сервиса | alb.editor |
| Virtual Private Cloud (роли) |
Управление внешней или внутренней связностью, в зависимости от типа балансировщика | vpc.publicAdmin (внешняя)vpc.privateAdmin (внутренняя) |
| Certificate Manager (роли) |
Получение сертификатов (для HTTPS-балансировщиков) | certificate-manager.certificates.downloader |
| Compute Cloud (роли) |
Получение информации о ВМ, созданных как узлы кластера Managed Service for Kubernetes | compute.viewer |
| Сервис | На что нужно разрешение | Минимальная роль |
|---|---|---|
| Application Load Balancer (роли) |
Управление ресурсами сервиса | alb.editor |
| Virtual Private Cloud (роли) |
Управление внешней или внутренней связностью, в зависимости от типа балансировщика | vpc.publicAdmin (внешняя)vpc.privateAdmin (внутренняя) |
| Certificate Manager (роли) |
Управление сертификатами (для HTTPS-балансировщиков) | certificate-manager.certificates.admin |
| Compute Cloud (роли) |
Получение информации о ВМ, созданных как узлы кластера Managed Service for Kubernetes | compute.viewer |
Для аутентификации сервисного аккаунта используется авторизованный ключ. Ключ нужно указать при установке Helm-чарта с Ingress-контроллером или Gateway API в значении saKeySecretKey. Например, если вы создали ключ с помощью команды CLI yc iam key create и сохранили его в файл sa-key.json, то команда для установки чарта может выглядеть так:
helm install \
--namespace yc-alb \
--set-file saKeySecretKey=sa-key.json \
...
Ключ будет храниться в секрете yc-alb-ingress-controller-sa-key или yc-alb-gateway-api-controller-sa-key в пространстве имен, указанном при установке чарта (в примере выше — yc-alb).