AWS IAM 角色
引导 IAM 角色
- EC2 和 VPC 操作:用于设置 VPC 和 EKS 集群。
- S3 操作 (例如
s3:CreateBucket) :用于为 ClickHouse BYOC Storage 创建 bucket。 - IAM 操作 (例如
iam:CreatePolicy) :供控制器创建其他角色所需 (详见下一节) 。 - EKS 操作:仅限名称以前缀
clickhouse-cloud开头的资源。
控制器创建的其他 IAM 角色
ClickHouseManagementRole 之外,控制器还会创建其他几个角色。
这些角色由运行在客户 EKS 集群中的应用来承担:
- 状态导出器角色
- 向 ClickHouse Cloud 报告服务健康信息的 ClickHouse 组件。
- 需要具备向 ClickHouse Cloud 拥有的 SQS 队列写入的权限。
- 负载均衡控制器
- 标准的 AWS 负载均衡控制器。
- 用于管理 ClickHouse 服务卷的 EBS CSI 控制器。
- External-DNS
- 将 DNS 配置同步到 Route 53。
- Cert-Manager
- 为 BYOC 服务域预配 TLS 证书。
- 集群自动扩缩器
- 根据需要调整节点组规模。
data-plane-mgmt 允许 ClickHouse Cloud 控制平面组件协调所需的自定义资源,例如 ClickHouseCluster 以及 Istio Virtual Service/Gateway。