Cloud Controller Manager获取VPC信息,是通过阿里云开放API来实现的。这基本上等于从云上一台ECS内部获取一个VPC实例的信息,而这需要ECS有足够的权限。目前的常规做法是,为ECS服务器授予RAM角色,同时给RAM角色绑定相应的角色授权,如图15-6所示。
如果集群组件以其所在节点的身份不能获取云资源的信息,那基本上有两种可能性:一是ECS没有绑定正确的RAM角色;二是RAM角色绑定的RAM角色授权没有定义正确的授权规则。检查节点的RAM角色,以及RAM角色所管理的授权,我们发现,针对vpc的授权策略被改掉了,如图15-7所示。
图15-6 云服务器与角色授权
图15-7 授权策略更改
当我们把Effect修改成Allow之后,没多久,所有的Terminating状态的namespace全部消失了。
