基於智能託管Auto Mode模式建立符合最佳實務的ACK託管叢集 - Container Service for Kubernetes

建立ACK託管叢集時，可選擇開啟智能託管（Auto Mode）模式。開啟後，僅需進行簡單的規劃配置，即可一鍵建立符合最佳實務的Kubernetes叢集。該叢集會預設建立一個智能託管節點池，其中的節點生命週期將由ACK進行託管和營運。

開啟智能託管模式前，建議已參見智能託管模式介紹瞭解其功能特性和使用情境。

準備工作

規劃與設計

建立叢集前，建議根據業務需求規劃並設計叢集配置，以確保叢集能夠穩定、高效且安全地運行。

地區：所選地區與使用者和資源部署地區的距離越近，網路時延越低，訪問速度越快。
可用性區域：推薦配置多可用性區域，以保證叢集高可用。
網路地址規劃：根據業務情境和叢集規模規劃VPC網段（VPC自身網段和vSwitch網段）和Kubernetes網段（Pod位址區段和Service位址區段），定義整個叢集的IP位址範圍以及Pod和節點可用的IP地址數量。
公網訪問：叢集節點是否需要訪問公網（拉取公用鏡像時需開通公網）。

開通與授權

建立叢集前，需完成服務的開通和帳號的授權：

開通ACK：首次使用時，登入Container ServiceACK開通頁面，按照頁面提示完成開通。
角色授權：進入存取控制快速授權頁面，授權阿里雲帳號建立Container Service預設角色，以確保ACK能夠正常調用相關的雲端服務資源。
開通叢集相關雲產品：開通ACK叢集依賴的雲產品，包括VPC、SLB等。
- 建立過程中涉及按量資源（例如CLB）的購買。請確保賬戶餘額充足，避免因欠費導致停機。
- 僅阿里雲帳號可開通雲產品。如需為RAM使用者授權管理已開通的雲產品，請參見使用RAM授予叢集及雲資源存取權限。

建立步驟

登入Container Service管理主控台，在左側導覽列選擇叢集列表。
在頁面左側頂部，選擇目標資源所在的資源群組和地區。
在叢集列表頁面，單擊建立叢集，在ACK 託管叢集頁面，開啟智能託管模式。
按照頁面指引完成叢集配置，仔細確認叢集的配置資訊、閱讀服務合約後，單擊建立叢集。
如需瞭解詳細配置項說明，請參見叢集配置說明。
Auto Mode模式僅支援ACK託管叢集Pro版，涉及叢集管理費用和相關雲產品費用。可在建立頁面下方查看叢集費用總覽，也可查看ACK和各產品的計費文檔，請參見計費概述、雲產品資源費用。
可在頁面右上方單擊同等代碼，產生當前叢集配置對應的Terraform或SDK樣本參數。

建立後，叢集會自動建立一個開啟了Auto Mode模式的節點池（簡稱Auto Mode節點池）。該節點池將根據工作負載按需動態擴縮容，同時 ACK 將接管節點的生命週期管理，負責作業系統版本升級、軟體版本升級、安全性漏洞修複等營運職責。
建立後，ACK 將根據配置安裝組件，這些組件可能佔用叢集中的計算資源。智能託管節點池會自動擴容對應的節點。

後續操作

部署工作負載並實現負載平衡

附錄

責任共擔模型

ACK託管叢集智能託管模式旨在提供自動化、智能化的Kubernetes叢集營運功能，減少在Kubernetes叢集營運層面的投入。但在部分情境下，仍需要您履行一部分義務。

阿里雲負責	客戶負責	共同責任
叢集控制面的部署、維護與升級。叢集核心組件的安裝、配置、升級。節點池的自動擴容、自動縮容、作業系統升級、軟體版本升級（含 CVE 安全性漏洞修複）等。	叢集基礎資訊配置，如網路規劃 VPC 配置等。叢集 RAM 許可權與 RBAC 的設定與管理。應用工作負載的部署、營運及合理設定，合理設定部分包含副本數、PreStop 等優雅下線策略、PodDisruptionBudget 策略等，以確保節點可排空營運且無業務中斷影響。及時接收叢集、應用的監控警示，根據警示資訊做出響應。	叢集整體安全性保障，叢集的安全責任適用於安全責任共擔模型，請參考安全責任共擔模型。故障排查與問題解決。

配額與限制

如叢集規模較大或帳號資源較多，請遵循使用ACK叢集時涉及的配額與限制。詳細資料，請參見配額與限制。

使用限制：包括ACK配置限制（例如帳號餘額等）和單叢集容量限制（單叢集內不同Kubernetes資源的最大容量）。
配額限制與提升方式：ACK叢集配額限制和ACK依賴雲產品（例如ECS、VPC等）的配額限制。如需提升配額，請參見文檔擷取提升方式。

叢集配置說明

可基於預設配置建立叢集，也可以根據業務需求和帳號下資源情況進行靈活調整。表格的是否支援修改列中，代表建立後不支援修改，代表支援修改。請重點關注不可修改項。

基礎配置

配置項	描述	是否支援修改
叢集名稱	自訂叢集名稱。	✓
地區	叢集資源（ECS執行個體、雲端硬碟等）所處地區。地區與使用者和資源部署地區的距離越近，網路時延越低。	✗
叢集維護視窗	ACK會且僅會在定義的維護視窗期內執行自動化營運任務，包括叢集自動升級、OS CVE漏洞自動修複等。	✓

網路設定

配置項	描述	是否支援修改
IPv6雙棧	僅支援1.22及以上版本，僅支援Terway，不支援與eRDMA功能同時使用叢集同時支援IPv4和IPv6協議，但Worker節點與控制面間的通訊仍使用IPv4地址。需確保：叢集VPC支援IPv6雙棧。使用Terway共用ENI模式時，節點的執行個體規格需支援IPv6且支援的IPv4/IPv6地址數量相同。	✗
專用網路	叢集的Virtual Private Cloud。為保障高可用，建議選擇2個及以上不同可用性區域。自動建立：ACK在已選擇的可用性區域下建立對應vSwitch。使用已有：選擇vSwitch，指定叢集的可用性區域，可建立或使用已有vSwitch。雲資源及計費說明：VPC	✗
為專用網路配置 SNAT	使用共用VPC時請勿勾選節點需訪問公網（拉取公網鏡像或訪問外部服務）時勾選此項，ACK將自動設定NAT Gateway和SNAT規則，確保叢集內資源可以訪問公網。 VPC中沒有NAT Gateway：ACK自動建立NAT Gateway，新購EIP，並為叢集使用的vSwitch配置SNAT規則。 VPC已有NAT Gateway：ACK判斷是否需要額外新購EIP以及配置SNAT規則。當無可用EIP時，將自動新購EIP；當不存在VPC層級的SNAT規則時，將為叢集使用的vSwitch配置SNAT規則。若不勾選，也可在建立叢集後自行配置NAT Gateway和SNAT規則，請參見公網 NAT Gateway。雲資源及計費說明：NAT Gateway、EIP	✓
API server 訪問	ACK自動建立一個隨用隨付的私網CLB執行個體作為API Server的內網串連端點。請勿刪除該CLB執行個體，刪除後API Server將無法訪問且無法恢複。若需使用已有CLB執行個體，請提交工單申請。選擇使用已有的專用網路後，可選擇負載平衡來源為使用已有。可選開啟使用 EIP 暴露 API Server。開放：為 API Server 私網 CLB 執行個體綁定EIP，支援從公網訪問API Server，串連並管理叢集。這並不代表叢集內資源可以訪問公網。如需讓叢集內資源訪問公網，需勾選為專用網路配置 SNAT。不開放：僅能在VPC內使用KubeConfig串連並操作叢集。如需後續啟用，請參見實現從公網訪問API Server。自2024年12月01日起，建立CLB執行個體將新增收取執行個體費，請參見傳統型負載平衡CLB計費項目調整公告。雲資源及計費說明：CLB、EIP	✗
網路外掛程式	網路外掛程式是叢集中Pod之間網路通訊的基礎。關於兩者的詳細對比，請參見容器網路外掛程式Terway與Flannel對比。 Flannel：社區開源的輕量級網路外掛程式，在ACK中採用了與阿里雲VPC深度整合的VPC專用網路模式，通過直接管理VPC路由表實現Pod間通訊。適用情境：配置簡單，資源消耗少，適用於節點規模較小（受VPC路由表配額限制）、需要簡化網路設定、無需對容器網路進行自訂控制的情境。 Terway：阿里雲自研的高效能網路外掛程式，基於彈性網卡ENI實現Pod間通訊。適用情境：提供基於eBPF的網路加速、NetworkPolicy和Pod層級的vSwitch及安全性群組等能力，適用於對節點規模、網路效能和安全等有較高需求的高效能運算、遊戲、微服務等情境。 Pod數量限制：每個Pod佔用ENI的一個輔助IP地址，單個ENI可分配的IP有限（取決於執行個體規格）。因此，節點上可啟動並執行Pod數會受到節點的ENI和輔助IP的配額限制。使用共用VPC時，僅支援Terway。 Terway還提供以下能力。詳細能力介紹請參見使用Terway網路外掛程式。 DataPathV2 僅支援在建立叢集時配置開啟DataPathv2加速模式，Terway將使用eBPF技術最佳化流量轉寄路徑，為網路密集型應用提供更低的延遲和更高的輸送量。僅支援Alibaba Cloud Linux 3（所有版本）、ContainerOS、Ubuntu，且Linux核心版本需為5.10及以上。詳細介紹請參見網路加速。 NetworkPolicy 支援公測中，請在配額平台申請支援Kubernetes原生的`NetworkPolicy`，以實現Pod間的“防火牆”，自訂精細的存取控制規則，以提升叢集安全性。 Trunk ENI 支援允許為Pod配置獨立的IP、vSwitch和安全性群組，適用於需要固定IP或需要對特定Pod進行獨立網路原則管理的特殊業務情境，請參見為Pod配置固定IP及獨立虛擬交換器、安全性群組。	✗
Pod 交換器	僅在選擇使用Terway外掛程式時需要配置。為Pod分配IP的虛擬交換器。每個Pod虛擬交換器分別對應一個Worker節點的虛擬交換器，Pod虛擬交換器和Worker節點的虛擬交換器的可用性區域需保持一致。重要 Pod虛擬交換器的網段掩碼建議不超過19，最大不超過25，否則叢集網路可分配的Pod IP地址非常有限，會影響叢集的正常使用。	✓
容器網段	僅Flannel需要配置為Pod分配IP地址的位址集區。此網段不能與VPC及VPC內已有ACK叢集使用的網段重疊，且不能與服務網段重疊。	✗
節點 Pod 數量	僅Flannel需要配置定義單個節點上可容納的最大Pod數量。	✗
服務網段	即Service CIDR，為叢集內部Service分配IP地址的位址集區。此網段不能與VPC及VPC內已有叢集使用的網段重複，且不能與容器網段重複。	✗
服務轉寄模式	選擇kube-proxy代理模式，即叢集Service如何將請求分發至後端Pod。 iptables：基於Linux防火牆規則實現流量轉寄，使用穩定但效能有限。Service數量增加時，防火牆規則也會成倍增長，導致請求處理變慢，適用於存在少量Service的叢集。 IPVS：高效能的流量分發方案，採用雜湊表方式快速定位目標Pod，處理大量Service請求時延時更低。適用於大規模生產叢集或對網路效能要求較高的情境。	✗

進階選項

以下配置是基於Kubernetes叢集最佳實務提供的功能項，保持預設即可。如需調整，請參見配置項描述瞭解並按照頁面提示變更。

配置項	描述	是否支援修改
Kubernetes 版本	叢集的Kubernetes版本，推薦使用最新版本。請參見ACK版本支援概覽瞭解ACK的版本支援情況。僅支援建立最近的三個Kubernetes次要版本的叢集。	✓ 支援手動升級叢集和自動升級叢集
自動升級	開啟叢集的自動升級能力，保持叢集控制面和節點池的周期性自動升級。關於自動升級的策略和說明，請參見自動升級叢集。	✓
安全性群組	使用已有VPC時，支援使用選擇已有安全性群組此安全性群組應用於叢集控制面、預設節點池和未指定自訂安全性群組的節點池。相較於普通安全性群組，企業級安全性群組可以容納更多私網IP地址數量，但不支援組內互連功能，詳細對比請參見安全性群組分類。自動建立：出方向預設全部允許，入方向基於推薦配置允許存取。後續如需修改，請確保在入方向已允許存取`100.64.0.0/10`網段。該網段用於訪問阿里雲其他服務，以執行鏡像拉取、查詢ECS基礎資訊等操作。使用已有：ACK預設不會為安全性群組配置額外的訪問規則。需自行管理安全性群組規則，以避免訪問異常，請參見配置叢集安全性群組。	✓
叢集刪除保護	推薦開啟，防止通過控制台或OpenAPI誤刪除叢集。	✓
資源群組	將叢集歸屬於選擇的資源群組，便於許可權管理和成本分攤。一個資源只能歸屬於一個資源群組。	✓
標籤	為叢集綁定索引值對標籤，作為雲資源的標識。	✓
時區	叢集使用的時區。預設為瀏覽器配置的時區。	✓
Log Service	使用已有SLS Project或建立一個SLS Project，用於收集叢集應用日誌。同時將啟用叢集API Server審計功能，收集對Kubernetes API的請求以及請求結果。如需後續啟用，請參見採集ACK叢集容器日誌、使用叢集API Server審計功能。建立 Ingress Dashboard：在SLS控制台建立Ingress Dashboard，可收集Nginx Ingress訪問日誌，請參見採集與分析 Nginx Ingress 訪問日誌。安裝 node-problem-detector 並建立事件中心：在SLS控制台中添加事件中心，即時收集叢集中的所有Kubernetes Event，請參見建立並使用K8s事件中心。雲資源及計費說明：SLS	✓
警示配置	開啟Container Service警示管理，基於SLS、可觀測監控 Prometheus 版和CloudMonitor資料來源，在叢集出現異常時向警示連絡人分組發送警示通知。	✓