以国家卫健委的“4631-2工程”为指导,建设便民、互通、共享、服务、监管一体化的区域卫生解决方案。
解决方案
- 电子健康卡平台: 以“一卡通”为目标,实现就诊信息的互联互通;基于区域全民健康信息平台,加强居民健康卡、医保卡等应用,实现居民就诊一卡通;以微信服务号+小程序为主要载体,实现脱卡就医,快捷轻便;以人脸识别、在线公安库核身为主要认证手段,确保用户安全用卡。
- 全民健康数据中心:建设全区域统一的电子病历库、电子健康档案库,全员人口数据库。
- 数据集成与共享平台:建设标准化的全区统一数据集成与交换平台,实现区域多机构、多系统的数据采集以及数据共享。
- 卫生管理平台:实现全区的医疗卫生管理,包括医疗服务质量监控、药品及医疗服务价格监测、药品管理、医疗服务机构绩效管理、平台运营以及智能决策支持。
- 医疗服务平台:包括健康档案管理、公共卫生、家庭医生、基本医疗、妇幼保健、干部保健、区域远程医疗协同、远程教育、DRG 区域医疗评价等服务。
- 医保服务平台:为人社局提供的微信医保支付、DRG 测算以及 DRG 医保控费等服务。
在使用云容器服务(Kubernetes Engines,TKE)的过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。每种场景通常对应不同的角色所包含的预设策略,其中主要涉及到 TKE_QCSRole 和 IPAMDofTKE_QCSRole 两个角色。本文档接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。
说明
本文档示例角色均不包含容器镜像仓库相关授权策略,容器镜像服务权限详情请参见 TKE 镜像仓库资源级权限设置。
TKE_QCSRole 角色
开通容器服务后,腾讯云会授予您的账户 TKE_QCSRole 角色的权限。该容器服务角色默认关联多个预设策略,为获取相关权限,需在特定的授权场景下执行对应的预设策略授权操作。操作完成之后,对应策略会出现在该角色的已授权策略列表中。TKE_QCSRole 角色关联的预设策略包含如下:
默认关联预设策略
QcloudAccessForTKERole:容器服务对云资源的访问权限。
QcloudAccessForTKERoleInOpsManagement:日志服务等运维管理。
其他关联预设策略
QcloudAccessForTKERoleInCreatingCFSStorageclass:容器服务操作文件存储(CFS)权限,包含增删查文件存储文件系统、查询文件系统挂载点等。
QcloudCVMFinanceAccess:云服务器财务权限。
预设策略 QcloudAccessForTKERole
授权场景
当您已注册并登录腾讯云账号后,首次登录 容器服务控制台 时,需前往“访问管理”页面对当前账号授予腾讯云容器服务操作云服务器(CVM)、负载均衡(CLB)、云硬盘(CBS)等云资源的权限。
授权步骤
登录 容器服务控制台,选择左侧导航栏中的集群,弹出服务授权窗口。
单击前往访问管理,进入角色管理页面。
单击同意授权,完成身份验证后即可成功授权。如下图所示:
权限内容
云服务器相关
| 权限名称 | 权限说明 |
| cvm:DescribeInstances | 查询服务器实例列表 |
| cvm:*Cbs* | 云硬盘相关权限 |
标签相关
| 权限名称 | 权限说明 |
| tag:* | 标签相关所有功能 |
负载均衡相关
| 权限名称 | 权限说明 |
| clb:* | 负载均衡相关所有功能 |
容器服务相关
| 权限名称 | 权限说明 |
| ccs:DescribeCluster | 查询集群列表 |
| ccs:DescribeClusterInstances | 查询集群节点信息 |
预设策略 QcloudAccessForTKERoleInOpsManagement
授权场景
该策略默认关联 TKE_QCSRole 角色,开通容器服务并完成 TKE_QCSRole 角色授权后,即可获得包含日志在内的各种运维相关功能的权限。
授权步骤
该策略与 预设策略 QcloudAccessForTKERole 同时授权,无需额外操作。
权限内容
日志服务相关
| 权限名称 | 权限说明 |
| cls:listTopic | 列出指定日志集下的日志主题列表 |
| cls:getTopic | 查看日志主题信息 |
| cls:createTopic | 创建日志主题 |
| cls:modifyTopic | 修改日志主题 |
| cls:deleteTopic | 删除日志主题 |
| cls:listLogset | 列出日志集列表 |
| cls:getLogset | 查看日志集信息 |
| cls:createLogset | 创建日志集 |
| cls:modifyLogset | 修改日志集 |
| cls:deleteLogset | 删除日志集 |
| cls:listMachineGroup | 列出机器组列表 |
| cls:getMachineGroup | 查看机器组信息 |
| cls:createMachineGroup | 创建机器组 |
| cls:modifyMachineGroup | 修改机器组 |
| cls:deleteMachineGroup | 删除机器组 |
| cls:getMachineStatus | 查看机器组状态 |
| cls:pushLog | 上传日志 |
| cls:searchLog | 查询日志 |
| cls:downloadLog | 下载日志 |
| cls:getCursor | 根据时间获取游标 |
| cls:getIndex | 查看索引 |
| cls:modifyIndex | 修改索引 |
| cls:agentHeartBeat | 心跳 |
| cls:getConfig | 获取推流器配置信息 |
预设策略 QcloudAccessForTKERoleInCreatingCFSStorageclass
授权场景
使用腾讯云文件存储(CFS)扩展组件,能够帮助您在容器集群中使用文件存储。首次使用该插件时,需通过容器服务进行文件存储中文件系统等相关资源的授权操作。
授权步骤
登录 容器服务控制台,单击左侧导航栏中集群。
在“集群管理”页面中,选择地域及集群后,进入“集群详情”页。
在“集群详情”页的左侧导航栏中选择组件管理,单击新建。
在“组件管理”页面中,当扩展组件首次选择为 “CFS 腾讯云文件存储” 时,单击页面下方的服务授权。如下图所示:
在弹出的“服务授权”窗口中,单击访问管理。
在“角色管理”页面中,单击同意授权并完成身份验证即可成功授权。
权限内容
文件存储相关
| 权限名称 | 权限说明 |
| cfs:CreateCfsFileSystem | 创建文件系统 |
| cfs:DescribeCfsFileSystems | 查询文件系统 |
| cfs:DescribeMountTargets | 查询文件系统挂载点 |
| cfs:DeleteCfsFileSystem | 删除文件系统 |
预设策略 QcloudCVMFinanceAccess
授权场景
当您需要购买包年包月云硬盘时,需要为角色 TKE_QCSRole 添加该策略以配置支付权限,否则可能会因为没有支付权限导致创建基于包年包月 storageclass 的 PVC 失败。
授权步骤
登录访问管理控制台,选择左侧导航栏的 角色。
在“角色”列表页面中,单击 TKE_QCSRole 进入该角色管理页面。
选择 “TKE_QCSRole” 页面中的关联策略,并在弹出的“风险提醒”窗口中进行确认。
在弹出的“关联策略”窗口中,找到 QcloudCVMFinanceAccess 策略并勾选。如下图所示:
单击确定即可完成授权。
权限内容
| 权限名称 | 权限说明 |
| finance:* | 云服务器财务权限 |
IPAMDofTKE_QCSRole 角色
IPAMDofTKE_QCSRole 角色为容器服务的 IPAMD 支持服务角色。被授予该角色的权限后,在本文描述的授权场景下需进行预设策略关联操作。完成操作后,以下策略会出现在该角色的已授权策略列表中:
QcloudAccessForIPAMDofTKERole:容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限。
预设策略 QcloudAccessForIPAMDofTKERole
授权场景
在首次使用 VPC-CNI 网络模式创建集群时,需要首先对容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限进行授权,以便能够正常使用 VPC-CNI 网络模式。
授权步骤
登录 容器服务控制台,单击左侧导航栏中集群。
在“集群管理”页面中,单击集群列表上方的新建或使用模板新建。
在“创建集群”页面的设置“集群信息”步骤,选择“容器网络插件”中的VPC-CNI时,单击服务授权。如下图所示:
在弹出的“服务授权”窗口中,单击前往访问管理。
在“角色管理”页面中,单击同意授权并完成身份验证即可成功授权。
权限内容
云服务器相关
| 权限名称 | 权限说明 |
| cvm:DescribeInstances | 查看实例列表 |
标签相关
| 权限名称 | 权限说明 |
| tag:GetResourcesByTags | 通过标签查询资源列表 |
| tag:ModifyResourceTags | 批量修改资源关联的标签 |
| tag:GetResourceTagsByResourceIds | 查看资源关联的标签 |
私有网络相关
| 权限名称 | 权限说明 |
| vpc:DescribeSubnet | 查询子网列表 |
| vpc:CreateNetworkInterface | 创建弹性网卡 |
| vpc:DescribeNetworkInterfaces | 查询弹性网卡列表 |
| vpc:AttachNetworkInterface | 弹性网卡绑定云服务器 |
| vpc:DetachNetworkInterface | 弹性网卡解绑云服务器 |
| vpc:DeleteNetworkInterface | 删除弹性网卡 |
| vpc:AssignPrivateIpAddresses | 弹性网卡申请内网 IP |
| vpc:UnassignPrivateIpAddresses | 弹性网卡退还内网 IP |
| vpc:MigratePrivateIpAddress | 弹性网卡内网 IP 迁移 |
| vpc:DescribeSubnetEx | 查询子网列表 |
| vpc:DescribeVpcEx | 查询对等连接 |
| vpc:DescribeNetworkInterfaceLimit | 查询弹性网卡配额 |
| vpc:DescribeVpcPrivateIpAddresses | 查询 VPC 内网 IP 信息 |
扫一扫
684
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
