弹性算力池集群构建和IAM权限配置
操作流程概览
- 购买所需算力资源(即AI计算节点ACN);
- 创建弹性算力池集群,并绑定已购算力资源;
- 将弹性算力池集群使用权限授予IAM用户(组);
- Kubernetes内的角色配置。
购买算力资源ACN
租户在节点管理中按需购买算力资源(即高性能AI计算节点 ACN),并配置相关资源名称、数量等信息。
创建集群并绑定ACN
登陆账户后,在集群管理页面选择创建集群,填写合规的集群名称,并设置所属资源组、VPC、Pod子网等相关信息。
集群创建成功后,点击集群名称可进入详情页,查看集群概览、连接信息及节点状态。
可在“节点管理”页中灵活添加或移除节点,加入的节点将作为集群的worker node使用。
(可选)验证已添加的节点:
节点加入弹性算力池集群后作为Kubernetes集群的worker node可被调度,从Kubernetes视角对worker node的查看和管理(lable、taints)操作,连接Kubernetes集群后进行。示例运行kubectl get node可看到
10.140.213.2 已加入集群处于Ready状态。可通过Kubernetes接口,按需对节点进一步进行cordon、label、taints等操作。
将弹性算力池集群使用权限授予用户(组)
除租户管理员、订阅和资源组的管理员和协管员具备授权范围内弹性算力池集群和AI计算节点所有控制台权限外,平台提供了弹性算力池管理员、弹性算力池所有者、弹性算力池用户三个角色以便用户按需授权,常用操作权限差异如下。
| 用户角色 | 弹性算力池管理员 | 弹性算力池所有者 | 弹性算力池用户 |
|---|---|---|---|
| 授权范围 | 订阅/资源组 | 具体的弹性算力池集群 | 具体的弹性算力池集群 |
| 新建弹性算力池集群 | 是 | 否 | 否 |
| 添加或移除ACN | 是 | 否 | 否 |
| 删除集群 | 是 | 是 | 否 |
| 查看集群概览、加入的节点 | 是 | 是 | 是 |
| 获取Kubeconfig、token | 是 | 是 | 是 |
IAM授权
创建一个用户组,把要授权的用户加入用户组。
为该用户组授予目标集群的使用权限,角色类型为“弹性算力池用户”。
租户可以在授权管理页面,管理用户组或用户的使用权限。
Kubernetes内的权限配置
完成IAM授权后,用户可以获取Kuberconfig和token,可以连接Kubernetes集群,但使用kubernetes集群过时行AI作业管理时,需要进一步在Kubernetes集群内,由Kubernetes cluster admin完成kubernetes内授权,参见Kubernetes内权限管理。