容器服务 ACK：创建安全沙箱托管版集群

使用限制

• ACK集群仅支持专有网络VPC。
• 每个账号默认可以创建的云资源有一定的配额，如果超过配额创建集群会失败。关于具体配额信息，请参见使用限制。
  • 每个账号VPC默认路由条目不超过200条，意味着Kubernetes集群使用VPC时，默认路由条目上限是200个。如果需要更大的路由条目数，需要您到配额平台提交申请。
  • 每个账号默认最多可以创建100个安全组。
  • 每个账号默认最多可以创建60个按量付费的负载均衡实例。
  • 每个账号默认最多可以创建20个EIP。
• 创建安全沙箱Kubernetes集群时，以下界面参数需要按照表中的要求配置，否则创建的集群将无法使用安全沙箱的场景。

  参数	配置
  可用区	目前只有神龙实例支持安全沙箱容器，请确保所选可用区有神龙实例。
  Kubernetes版本	1.14.6-aliyun.1或更高版本。
  容器运行时	安全沙箱
  Worker实例	新增实例
  实例规格	弹性裸金属服务器（神龙）
  挂载数据盘	请至少挂载一块不小于200 GiB的数据盘，建议选择1 T以上。
  操作系统	安全沙箱节点仅支持Alibaba Cloud Linux操作系统。

操作步骤

1. 登录容器服务管理控制台。
2. 在控制台左侧导航栏中，单击集群。
3. 在集群列表页面中，单击页面右上角的集群模板。
4. 在选择集群模板页面的托管集群区域，选择标准托管集群，并单击创建。
5. 在ACK托管版页面，完成集群配置。
   1. 完成集群基础选项配置。

      配置项	描述
      集群名称	填写集群的名称。 说明 集群名称应包含1~63个字符，可包含数字、汉字、英文字符、短划线（-）或下划线（_），且不能以下划线（_）开头。
      集群规格	选择集群规格，支持标准版和Pro版。
      地域	选择集群所在的地域。
      付费类型	容器服务Kubernetes版支持 按量付费和 包年包月两种节点付费类型。选择 包年包月时，需设置以下参数。 说明 设置 付费类型为 包年包月时，仅ECS云服务器和SLB负载均衡按照包年包月的方式计费，其他云资源仍然按照按量付费的方式付费。关于云资源的详细介绍，请参见 云产品资源计费。 购买时长：目前支持选择1、2、3、6个月和1~3年。 自动续费：设置是否自动续费。
      账号全部资源组	将鼠标悬浮于页面上方的 账号全部资源，选择资源组。在控制台页面顶部选择的资源组可过滤出该资源组内的专有网络及对应的虚拟交换机。在创建集群时，只显示过滤的专有网络实例及专有网络对应的虚拟交换机实例。
      Kubernetes版本	选择版本。
      容器运行时	选择安全沙箱。
      专有网络	设置集群的网络，您可以选择普通VPC和共享VPC。 共享VPC：VPC的所有者账号（资源所有者）可以将其账号下的VPC内的交换机资源共享给其组织内的其他账号使用。 普通VPC：不具备共享功能的VPC。 说明 Kubernetes集群仅支持专有网络。您可以在已有VPC列表中选择所需的VPC。如果没有您需要的专有网络，可以通过单击 创建专有网络进行创建，请参见 创建和管理专有网络。
      虚拟交换机	设置虚拟交换机。 您可以在已有虚拟交换机列表中，根据可用区选择交换机。如果没有您需要的交换机，可以通过单击创建虚拟交换机进行创建，请参见创建和管理交换机。
      网络插件	设置启用的网络插件和插件配置，支持Flannel和Terway网络插件，具体请参见 Terway与Flannel对比。 Flannel：简单稳定的社区的Flannel CNI插件。但功能偏简单，支持的特性少，例如：不支持基于Kubernetes标准的Network Policy。 Terway：阿里云容器服务自研的网络插件，将阿里云的弹性网卡分配给容器，支持Kubernetes的Network Policy来定义容器间的访问策略，支持对单个容器做带宽的限流。 说明 在Terway模式下，节点上可以运行的Pod数均受节点的弹性网卡和辅助IP的配额限制。 当专有网络选择共享VPC时，网络插件仅支持Terway。 网络插件选择Terway时，会使用弹性网卡的辅助IP分配给Pod，一个Pod占用一个弹性网卡辅助IP地址。
      节点IP数量	如果您选择的网络模式为 Flannel，您需设置 节点IP数量。 说明 节点IP数量是指可分配给一个节点的IP数量，建议保持默认值。 根据您所选择的专有网络和节点IP数量，ACK将为您推荐可用的Pod网络CIDR和Service CIDR，并给出相应配置下集群内可允许部署的主机数量以及每台主机可容纳的Pod数量。请您根据集群规模的实际需求，在推荐配置的基础上进行修改。
      Pod网络CIDR	网络插件选择Flannel时，需要配置Pod网络CIDR。 Pod网络CIDR指定Flannel网络插件需要配置Pod网络CIDR，网段不能和VPC及VPC已有Kubernetes集群使用的网段重复，创建成功后不能修改。而且Service地址段不能和Pod地址段重复，有关Kubernetes网络地址段规划的信息，请参见Kubernetes集群网络规划。
      Pod虚拟交换机	网络插件选择Terway时，您需要为Pod分配IP的虚拟交换机。每个Pod虚拟交换机分别对应一个Worker实例的虚拟交换机，Pod虚拟交换机和Worker实例的虚拟交换机的可用区需一致。
      Service CIDR	设置Service CIDR。您需要指定Service CIDR，网段不能与VPC及VPC内已有Kubernetes集群使用的网段重复，创建成功后不能修改。而且Service地址段也不能和Pod地址段重复，有关Kubernetes网络地址段规划的信息，请参见Kubernetes集群网络规划。
      配置SNAT	创建集群时，默认不开通公网。如果您选择的VPC不具备公网访问能力，选中为专有网络配置SNAT后，ACK将为您创建NAT网关并自动配置SNAT规则。
      API Server访问	ACK默认为API Server创建一个内网SLB实例，您可修改SLB实例规格。更多信息，请参见 实例规格。 重要 删除默认创建的SLB实例将会导致无法访问API Server。 您可设置是否开放 使用EIP暴露API Server。API Server提供了各类资源对象（Pod，Service等）的增删改查及Watch等HTTP Rest接口。 如果选择开放，ACK会创建一个EIP，并挂载到SLB上。此时，Master节点的6443端口（对应API Server）暴露出来，您可以在外网通过kubeconfig连接并操作集群。 如果选择不开放，则不会创建EIP，您只能在VPC内部用kubeconfig连接并操作集群。
      RDS白名单	设置RDS白名单。将节点IP添加到RDS实例的白名单中。 说明 允许白名单RDS访问Kubernetes集群，RDS必须在当前集群的VPC内。
      安全组	支持选择 自动创建普通安全组、 自动创建企业级安全组、 选择已有安全组。有关安全组的详细内容，请参见 安全组概述。 说明 只有白名单用户可以使用选择已有安全组功能，请前往配额平台申请。 指定已有安全组时，系统默认不会为安全组配置额外的访问规则，可能会导致访问异常，请自行管理安全组规则。关于如何管理安全组规则，请参见最小化集群访问规则。
      集群删除保护	设置是否启用集群删除保护。为防止通过控制台或API误释放集群。
      资源组	创建的集群将归属于选择的资源组。一个资源只能归属于一个资源组。根据不同的业务场景，您可以将资源组映射为项目、应用或组织等概念。更多信息，请参见资源组。

   2. 完成集群高级选项配置。

      配置项	描述
      时区	选择集群所要使用的时区。默认时区为浏览器所配置的时区。
      kube-proxy代理模式	支持iptables和IPVS两种模式。 iptables：成熟稳定的kube-proxy代理模式，Kubernetes Service的服务发现和负载均衡使用iptables规则配置，但性能一般，受规模影响较大，适用于集群存在少量的Service。 IPVS：高性能的kube-proxy代理模式，Kubernetes Service的服务发现和负载均衡使用Linux ipvs模块进行配置，适用于集群存在大量的service，对负载均衡有高性能要求的场景。
      标签	为集群绑定标签。输入键和对应的值，单击 添加。 说明 键是必需的，而值是可选的，可以不填写。 键不能是aliyun、http://、https://开头的字符串，不区分大小写，最多64个字符。 值不能是http:// 或https://，可以为空，不区分大小写，最多128个字符。 同一个资源，标签键不能重复，相同标签键（Key）的标签会被覆盖。 如果一个资源已经绑定了20个标签，已有标签和新建标签会失效，您需要解绑部分标签后才能再绑定新的标签。
      集群本地域名	设置是否配置集群本地域名。 说明 默认域名为 cluster.local，可自定义域名。域名由两段组成，每段不超过63个字符，且只能使用大小写字母和数字，不能为空。
      自定义证书SAN	自定义配置集群apiserver服务端证书中的SAN。多个IP或域名以英文逗号（,）分隔。 具体操作，请参见自定义集群API Server证书SAN。
      服务账户令牌卷投影	开启服务账户令牌卷投影功能以降低在Pod中使用Service Account遇到的安全性问题，可使得kubelet支持基于Pod粒度的Token签发，并且支持Token audience和过期时间的配置。详情请参见部署服务账户令牌卷投影

6. 单击下一步：节点池配置，完成Worker节点配置。
   说明 安全沙箱集群中，Worker节点仅支持神龙工作节点。
   1. 完成Worker节点基础选项配置。

      配置项	描述
      Worker实例	只支持新增实例，暂不支持添加已有实例。
      节点池名称	填写节点池名称。 说明 节点池名称为1~63个字符，可包含数字、汉字、英文字符或短划线（-）。
      实例规格	选择弹性裸金属服务器（神龙），目前机型仅支持神龙裸金属服务器。
      已选规格	已选的实例规格。只能选择一个规格。
      数量	新增Worker实例（ECS实例）的数量。
      系统盘	支持 ESSD云盘、 SSD云盘和 高效云盘。 说明 支持选中开启云盘备份以备份云盘数据。 ESSD云盘支持自定义性能级别。 ESSD云盘容量越大，可供选择的性能级别越高（460 GiB容量以上可选PL2，1260 GiB以上可选PL3）。更多信息，请参见容量范围与性能级别的关系。
      挂载数据盘	支持ESSD云盘、SSD云盘和高效云盘。挂载数据盘时，支持云盘加密和开启云盘备份。节点的数据盘加密时只能使用默认的CMK。 重要 挂载的数据盘用于存储节点上所有容器的根文件系统。因此，请至少挂载一块不小于200 GiB的数据盘，建议1 T以上。
      操作系统	安全沙箱集群默认为Alibaba Cloud Linux操作系统，不可选。
      登录方式	设置密钥。 密钥对：如您已经创建密钥对，在下拉列表中选择目标密钥对。 新建密钥对：此项用于您还未创建密钥对。创建密钥对，请参见创建SSH密钥对。密钥对创建完毕后，设置该密钥对作为登录集群的凭据。 设置密码。 登录密码：设置节点的登录密码。 确认密码：确认设置的节点登录密码。 说明 密码为8~30个字符，且必须同时包含三项（大写字母、小写字母、数字和特殊符号），其中特殊字符不包括下划线（_）。

   2. 设置高级选项。

      配置项	描述
      实例保护	设置是否启用实例保护。 说明 为防止通过控制台或API误释放集群节点，默认启用实例保护。
      实例自定义数据	请参见ECS实例自定义数据概述。
      自定义节点名称	是否开启自定义节点名称。自定义节点名称后，将同时更改节点名称、ECS实例名称、ECS实例Hostname。 节点名称由前缀，节点IP地址及后缀三部分组成： 总长度为2-64个字符。 前缀和后缀允许使用大小写字母、数字、连字符（-）和点号（.）。必须以大小写字母开头，不能以连字符（-）或点号（.）开头或结尾。不能连续使用连字符（-）或点号（.）。 前缀必选（ECS限制），后缀可选。 对于开启自定义节点名称的Windows实例，其Hostname固定为IP地址，用"-"代替IP地址中的"."，且不包含前缀和后缀。 例如：节点IP地址为192.1xx.x.xx，指定前缀为aliyun.com，后缀为test。 如果节点为Linux节点，则节点名称、ECS实例、ECS实例Hostname均为aliyun.com192.1xx.x.xxtest。 如果节点为Windows节点，则ECS实例Hostname为192-1xx-x-xx，节点名称、ECS实例名称均为aliyun.com192.1xx.x.xxtest。
      CPU Policy	设置CPU Policy。 none：默认策略，表示启用现有的默认CPU亲和方案。 static：允许为节点上具有某些资源特征的Pod赋予增强的CPU亲和性和独占性。
      污点（Taints）	为集群内所有Worker节点添加污点。

7. 单击下一步：组件配置，完成组件配置。

   配置项	描述
   Ingress	设置是否安装Ingress组件。默认 Nginx Ingress。 若选择Nginx Ingress，则默认选中安装Ingress组件。关于Nginx Ingress的更多使用说明，请参见Nginx Ingress高级用法。 若选择ALB Ingress，则默认安装ALB Ingress Controller组件。关于如何在ACK集群中通过ALB Ingress访问服务，请参见通过ALB Ingress访问服务。 说明 如果您勾选 创建Ingress Dashboard，则需要同步安装日志服务组件。
   服务发现	设置是否安装NodeLocal DNSCache组件，默认安装NodeLocal DNSCache。 NodeLocal DNSCache用于运行DNS缓存代理以提升域名解析性能和稳定性。关于NodeLocal DNSCache的更多信息，请参见使用NodeLocal DNSCache。
   存储插件	安全沙箱仅支持CSI。Kubernetes集群通过Pod可自动绑定阿里云云盘、NAS、OSS存储服务。请参见存储管理-CSI。
   监控插件	设置是否启用云监控插件。默认选中在ECS节点上安装云监控插件和使用Prometheus监控服务，前者用于在云监控控制台查看所创建ECS实例的监控信息。
   报警配置	选中使用默认报警模板配置报警，开启默认报警规则。详细介绍，请参见容器服务报警管理。
   日志服务	设置是否启用日志服务，您可使用已有Project或新建一个Project。默认选中使用日志服务。创建应用时，您可通过简单配置，快速使用日志服务，详情参见通过日志服务采集Kubernetes容器日志。 默认选中安装node-problem-detector并创建事件中心，您可以选择是否在日志服务控制台中添加事件中心。更多信息，请参见创建并使用K8s事件中心。
   控制平面组件日志	选中开启，将从ACK控制层收集托管集群控制平面组件日志到您账号中的SLS日志服务的Log Project中。更多信息，请参见收集ACK Pro版集群控制平面组件日志。
   工作流引擎	设置是否使用AGS。 说明 当前只有白名单用户可以使用该功能。 如果选中AGS，则创建集群时系统自动安装AGS工作流插件。 如果不选中，则需要手动安装AGS工作流插件，请参见AGS命令行帮助。

8. 单击下一步：确认配置。
9. 选中服务协议并单击创建集群。
   说明 一个包含多节点的Kubernetes集群的创建时间一般约为十分钟。