Container Service for Kubernetes：ACK託管叢集配置項說明

• Pro版：提供SLA保障，適用於企業生產和測試環境。

• 基礎版：資源配額有限，僅供個人學習與測試。

叢集資源（ECS執行個體、雲端硬碟等）所處地區。地區與使用者和資源部署地區的距離越近，網路時延越低。

叢集的Kubernetes版本，推薦使用最新版本。請參見ACK版本支援概覽瞭解ACK的版本支援情況。

僅支援建立最近的三個Kubernetes次要版本的叢集。

開啟叢集的自動升級能力，保持叢集控制面和節點池的周期性自動升級。

關於自動升級的策略和說明，請參見自動升級叢集。

ACK會且僅會在定義的維護視窗期內執行自動化營運任務，包括叢集自動升級、OS CVE漏洞自動修複等。

僅Flannel需要配置

為Pod分配IP地址的位址集區。此網段不能與VPC及VPC內已有ACK叢集使用的網段重疊，且不能與服務網段重疊。

僅Flannel需要配置

定義單個節點上可容納的最大Pod數量。

僅在選擇使用Terway外掛程式時需要配置。

即Service CIDR，為叢集內部Service分配IP地址的位址集區。此網段不能與VPC及VPC內已有叢集使用的網段重複，且不能與容器網段重複。

使用共用VPC時請勿勾選

節點需訪問公網（拉取公網鏡像或訪問外部服務）時勾選此項，ACK將自動設定NAT Gateway和SNAT規則，確保叢集內資源可以訪問公網。

• VPC中沒有NAT Gateway：ACK自動建立NAT Gateway，新購EIP，並為叢集使用的vSwitch配置SNAT規則。

• VPC已有NAT Gateway：ACK判斷是否需要額外新購EIP以及配置SNAT規則。當無可用EIP時，將自動新購EIP；當不存在VPC層級的SNAT規則時，將為叢集使用的vSwitch配置SNAT規則。

若不勾選，也可在建立叢集後自行配置NAT Gateway和SNAT規則，請參見公網 NAT Gateway。

雲資源及計費說明：NAT Gateway、EIP

推薦開啟，防止通過控制台或OpenAPI誤刪除叢集。

將叢集歸屬於選擇的資源群組，便於許可權管理和成本分攤。

一個資源只能歸屬於一個資源群組。

叢集使用的時區。預設為瀏覽器配置的時區。

API Server認證中SAN（Subject Alternative Name）欄位預設包括叢集本地區名、內網IP、公網EIP等欄位。如需通過Proxy 伺服器、自訂網域名或特殊網路環境訪問叢集，需將這些訪問地址添加到SAN欄位中。

如需後續啟用，請參見自訂叢集API Server認證SAN。

傳統模式下Pod的身份憑證永久有效且多個Pod共用，存在安全風險。啟用後，每個Pod將獲得專屬的臨時身份憑證，且支援配置自動到期和許可權限制。

如需後續啟用，請參見使用ServiceAccount Token卷投影。

僅支援Pro版叢集

使用在阿里雲KMS中建立的金鑰組Secret密鑰進行專業級加密保護，增強資料安全性。

如需後續啟用，請參見使用阿里雲KMS進行Secret的落盤加密。

雲資源及計費說明：KMS

叢集將建立一個OIDC Provider。利用其ServiceAccount的臨時OIDC Token，應用Pod可以調用阿里雲RAM服務並扮演指定RAM角色，從而安全地擷取訪問雲資源的臨時授權，實現Pod層級的許可權最小化管理。

如需後續啟用，請參見通過RRSA配置ServiceAccount的RAM許可權實現Pod許可權隔離。

自訂節點池名稱。

啟用託管節點池，使用ACK提供的自動化營運能力。

如業務對底層節點的變更比較敏感，無法容忍節點的重啟以及業務Pod的遷移，不推薦啟用。

如需後續啟用，可編輯節點池開啟。

ACK將自動監控節點狀態，並在節點發生異常時自動執行自愈任務。如勾選當節點故障時重啟節點，節點自愈過程中可能涉及節點排水、替盤等操作。觸發條件、相關事件等，請參見開啟節點自愈。

修複節點池作業系統CVE漏洞，支援配置安全性漏洞修複層級。

雲資源及計費說明：Security Center

ACK會且僅會在定義的維護視窗期內執行託管節點池的自動化營運操作。

節點池擴容時，會從配置的ECS執行個體規格類型系列中分配。為提高擴容成功率，請選擇多個可用性區域下的多種執行個體規格，避免規格不可用或庫存不足。具體擴容的執行個體規格由配置的擴縮容策略決定。

為確保業務穩定性和資源調度的準確性，請勿在同一個節點池中混合使用GPU和非GPU執行個體規格。

可通過以下兩種方式配置擴容時使用的執行個體規格：

• 具體規格：根據vCPU、記憶體、規格類型系列、架構等維度指定具體的執行個體規格。

• 泛化配置：根據屬性（vCPU、記憶體等）選擇待使用或需排除的執行個體規格列表，進一步提升擴容成功率。請參見使用指定執行個體屬性配置節點池。

可參考控制台的彈性強度建議來配置，或在節點池建立後查看節點池彈性強度。

關於ACK不支援的執行個體規格及節點配置建議，請參見ECS執行個體規格配置建議。

雲資源及計費說明：ECS執行個體、GPU執行個體

節點池應該維持的總節點數量。建議至少配置2個節點，以確保叢集組件正常運行。您可以通過調整期望節點數，達到擴容或縮容節點池的目的，請參見擴縮容節點池。

如無需建立節點，可填寫為0，後續再手動增加。

配置節點池在節點擴縮容時如何選擇執行個體。

• 優先順序策略：按叢集配置的vSwitch優先順序（vSwitch順序由上到下優先順序遞減）擴縮容。優先順序較高的vSwitch所在可用性區域無法建立執行個體時，自動使用下一優先順序vSwitch。

• 成本最佳化策略：按vCPU單價從低到高擴縮容。

  節點池使用搶佔式執行個體時，則搶佔式執行個體優先。支援同時配置按量執行個體所佔比例（%），當搶佔式執行個體規格因庫存等原因無法建立時，自動使用隨用隨付執行個體來補充。

• 均衡分布策略：在且僅在多可用性區域情境下將ECS執行個體均勻分配至多可用性區域。如果由於庫存不足等原因造成可用性區域分布不平衡，可再次進行均衡操作。

需同時選擇付費類型為搶佔式執行個體。

開啟後，如果因價格或庫存等原因無法建立足夠的搶佔式執行個體，ACK將自動嘗試建立按量執行個體作為補充。

雲資源及計費說明：ECS執行個體

需同時選擇付費類型為搶佔式執行個體。

為ACK自動建立的ECS執行個體添加標籤，作為雲資源標識。每台ECS最多可綁定20個標籤。如需提高上限，請到配額平台提交申請。由於ACK和ESS會佔用部分標籤，您最多可為執行個體指定17個自訂標籤。

新添加的節點註冊到叢集時預設會被設定為不可調度。需在節點列表手動調整節點調度狀態。

本配置僅對1.34以下版本叢集生效，詳情請參見Kubernetes 1.34版本說明。

僅支援版本為1.6.34及以上的containerd運行時。

新添加的節點將自動識別容器鏡像是否支援按需載入功能，若支援則預設通過按需載入加速容器啟動，以縮短應用啟動時間，詳情請參見使用按需載入容器鏡像加速容器啟動。

節點名稱由首碼、節點IP地址及尾碼三部分組成。開啟後，節點名稱、ECS執行個體名稱、ECS執行個體Hostname也將發生變化。

例如，節點IP地址為192.XX.YY.55，指定首碼為aliyun.com，尾碼為test。

• Linux節點：節點名稱、ECS執行個體、ECS執行個體Hostname均為aliyun.com192.XX.YY.55test。

• Windows節點：其Hostname固定為IP地址，使用-代替IP地址中的.，且不包含首碼和尾碼。

  因此，對應的ECS執行個體Hostname為192-XX-YY-55，節點名稱、ECS執行個體名稱均為aliyun.com192.XX.YY.55test。

僅支援1.22及以上版本的ACK託管叢集

僅支援在建立節點池時指定

在節點池維度指定一個Worker RAM角色，降低所有節點中共用一個Worker RAM角色可能存在的安全風險。

• 預設角色：使用叢集預設建立的Worker RAM角色。

• 自訂：使用指定的角色作為Worker RAM角色，為空白時將使用預設角色，詳情請參見使用自訂Worker RAM角色。

僅支援1.28及以上版本的叢集

配置 ECS 執行個體的中繼資料訪問模式，在ECS執行個體內部通過訪問中繼資料服務（Metadata Service）擷取ECS執行個體中繼資料，包括執行個體ID、VPC資訊、網卡資訊等執行個體屬性資訊，詳情請參見執行個體中繼資料。

• 普通模式和加固模式：支援使用普通模式和加固模式兩種方式訪問執行個體中繼資料服務。

• 僅加固模式：僅支援使用加固模式訪問執行個體中繼資料服務，請參見使用僅加固模式訪問ECS執行個體中繼資料。

節點加入叢集前，將運行指定的執行個體預自訂User-Data指令碼。

例如，指定預自訂資料為 touch /tmp/pre-script，則節點上組合後的指令碼執行順序如下。

#!/bin/bash
# 輸入的執行個體預自訂資料在此處執行
touch /tmp/pre-script

# ACK節點初始化指令碼在此處執行

節點初始化時此配置的生效邏輯，請參見節點初始化流程介紹。

為節點池指定普通安全性群組或企業級安全性群組。ACK預設不會為安全性群組配置額外的訪問規則。需自行管理安全性群組規則，避免訪問異常，請參見配置叢集安全性群組。

每台ECS執行個體支援加入的安全性群組存在上限，請確保安全性群組配額充足。

將節點IP添加至RDS執行個體的白名單。

通過ECS控制台建立部署集後，為節點池指定部署集，使得節點池彈出的節點可分散部署在不同的物理伺服器上，提升高可用性。

部署集預設支援的節點上限為20 * 可用性區域數量（可用性區域數量由vSwitch決定），節點池內最大節點數將受到限制，需確保部署集內配額充足。

後續如需啟用，請參見節點池部署集最佳實務。

新增節點時使用的資源集區策略（僅支援執行個體配置方式為指定執行個體規格）。資源集區包括彈性保障服務或容量預定（立即生效容量預定或指定時間生效容量預定）服務生效後產生的私人池以及公用池，供節點啟動時選擇。

• 私人池優先：優先使用指定的私人池。如果未指定私人池或指定的私人池容量不足，將自動匹配開放類型的私人池。如果沒有合格私人池，則使用公用池建立執行個體。

• 僅限私人池：需指定私人池ID。如果指定的私人池容量不足，節點會啟動失敗。

• 不使用：不使用資源集區策略。

配置項已廢棄，請切換使用資源集區策略來指定私人池

當前所選可用性區域和執行個體規格下可使用的私人池資源。類型包括：

• 開放：執行個體將會自動匹配開放類型的私人容量池，如果沒有合格私人池，則使用公用池資源啟動。

• 不使用：執行個體不會使用任何私人池容量，直接使用公用池資源啟動。

• 指定：需要進一步選擇私人池ID來指定執行個體只使用該私人池容量啟動。如果該私人池不可用，則執行個體啟動失敗。

安裝NodeLocal DNSCache，在節點上緩衝DNS解析結果，以提升網域名稱解析效能和穩定性，加速叢集內部的服務間調用。

基於CSI儲存外掛程式實現資料的持久化儲存，可使用阿里雲雲端硬碟、NAS、OSS、CPFS等儲存卷資源。

選擇預設建立NAS和CNFS後，ACK會預設建立通用型NAS檔案系統並使用容器網路檔案系統CNFS進行管理。

雲資源及計費說明：NAS

通過容器叢集監控服務監控叢集健康情況、資源使用率、應用效能等，並在異常時觸發相關警示。

• 容器叢集監控Pro版：提供託管版的容器監控服務，內建Grafana監控大盤，資料預設儲存時間長度為90天。

  計費規則請參見容器監控計費。如需上報自訂指標，或調整基礎儲存時間長度，會產生額外的費用，請參見Prometheus 執行個體計費。

• 容器叢集監控基礎版：提供免費、非託管的容器監控服務，內建基礎監控大盤，資料預設儲存時間長度為7天。

  組件預設單副本，佔用3核 4 GB，需自行營運。如需上報自訂指標，會產生額外的費用，請參見Prometheus 執行個體計費。

• 不開通：不開通容器監控服務，無法監控Container Service運行狀態，也無法建立相關警示。

如需後續啟用，請參見接入與配置阿里雲Prometheus監控。

雲資源及計費說明：Prometheus

提供叢集、命名空間、節點池、工作負載的成本和資源使用情況分析，以提升叢集資源使用率，節省成本。

如需後續啟用，請參見成本洞察。

使用已有SLS Project或建立一個SLS Project，用於收集叢集應用日誌。

同時將啟用叢集API Server審計功能，收集對Kubernetes API的請求以及請求結果。

如需後續啟用，請參見採集ACK叢集容器日誌、使用叢集API Server審計功能。

• 建立 Ingress Dashboard：在SLS控制台建立Ingress Dashboard，可收集Nginx Ingress訪問日誌，請參見採集與分析 Nginx Ingress 訪問日誌。

• 安裝 node-problem-detector 並建立事件中心：在SLS控制台中添加事件中心，即時收集叢集中的所有Kubernetes Event，請參見建立並使用K8s事件中心。

雲資源及計費說明：SLS

開啟Container Service警示管理，基於SLS、可觀測監控 Prometheus 版和CloudMonitor資料來源，在叢集出現異常時向警示連絡人分組發送警示通知。

將控制面組件日誌採集至SLS Project中，以便深入排查問題和定位問題根因。

如需後續啟用，請參見採集ACK託管叢集控制面組件日誌。

雲資源及計費說明：SLS

啟用智能營運的叢集巡檢功能，定期掃描叢集內配額、資源水位、組件版本等，確保叢集配置符合最佳實務，並提前暴露潛在風險。