您可以通过容器服务管理控制台创建安全沙箱托管版集群。
前提条件
使用限制
- ACK集群仅支持专有网络VPC。
- 每个账号默认可以创建的云资源有一定的配额,如果超过配额创建集群会失败。关于具体配额信息,请参见使用限制。
- 每个账号VPC默认路由条目不超过200条,意味着Kubernetes集群使用VPC时,默认路由条目上限是200个。如果需要更大的路由条目数,需要您到配额平台提交申请。
- 每个账号默认最多可以创建100个安全组。
- 每个账号默认最多可以创建60个按量付费的负载均衡实例。
- 每个账号默认最多可以创建20个EIP。
- 创建安全沙箱Kubernetes集群时,以下界面参数需要按照表中的要求配置,否则创建的集群将无法使用安全沙箱的场景。
参数 配置 可用区 目前只有神龙实例支持安全沙箱容器,请确保所选可用区有神龙实例。 Kubernetes版本 1.14.6-aliyun.1或更高版本。 容器运行时 安全沙箱 Worker实例 新增实例 实例规格 弹性裸金属服务器(神龙) 挂载数据盘 请至少挂载一块不小于200 GiB的数据盘,建议选择1 T以上。 操作系统 安全沙箱节点仅支持Alibaba Cloud Linux操作系统。
操作步骤
- 登录容器服务管理控制台。
- 在控制台左侧导航栏中,单击集群。
- 在集群列表页面中,单击页面右上角的集群模板。
- 在选择集群模板页面的托管集群区域,选择标准托管集群,并单击创建。
- 在ACK托管版页面,完成集群配置。
- 单击下一步:节点池配置,完成Worker节点配置。
说明 安全沙箱集群中,Worker节点仅支持神龙工作节点。
- 单击下一步:组件配置,完成组件配置。
配置项 描述 Ingress 设置是否安装Ingress组件。默认 Nginx Ingress。- 若选择Nginx Ingress,则默认选中安装Ingress组件。关于Nginx Ingress的更多使用说明,请参见Nginx Ingress高级用法。
- 若选择ALB Ingress,则默认安装ALB Ingress Controller组件。关于如何在ACK集群中通过ALB Ingress访问服务,请参见通过ALB Ingress访问服务。
说明 如果您勾选 创建Ingress Dashboard,则需要同步安装日志服务组件。服务发现 设置是否安装NodeLocal DNSCache组件,默认安装NodeLocal DNSCache。
NodeLocal DNSCache用于运行DNS缓存代理以提升域名解析性能和稳定性。关于NodeLocal DNSCache的更多信息,请参见使用NodeLocal DNSCache。
存储插件 安全沙箱仅支持CSI。Kubernetes集群通过Pod可自动绑定阿里云云盘、NAS、OSS存储服务。请参见存储管理-CSI。 监控插件 设置是否启用云监控插件。默认选中在ECS节点上安装云监控插件和使用Prometheus监控服务,前者用于在云监控控制台查看所创建ECS实例的监控信息。
报警配置 选中使用默认报警模板配置报警,开启默认报警规则。详细介绍,请参见容器服务报警管理。
日志服务 设置是否启用日志服务,您可使用已有Project或新建一个Project。默认选中使用日志服务。创建应用时,您可通过简单配置,快速使用日志服务,详情参见通过日志服务采集Kubernetes容器日志。
默认选中安装node-problem-detector并创建事件中心,您可以选择是否在日志服务控制台中添加事件中心。更多信息,请参见创建并使用K8s事件中心。
控制平面组件日志 选中开启,将从ACK控制层收集托管集群控制平面组件日志到您账号中的SLS日志服务的Log Project中。更多信息,请参见收集ACK Pro版集群控制平面组件日志。
工作流引擎 设置是否使用AGS。说明 当前只有白名单用户可以使用该功能。- 如果选中AGS,则创建集群时系统自动安装AGS工作流插件。
- 如果不选中,则需要手动安装AGS工作流插件,请参见AGS命令行帮助。
- 单击下一步:确认配置。
- 选中服务协议并单击创建集群。
说明 一个包含多节点的Kubernetes集群的创建时间一般约为十分钟。
执行结果
- 集群创建成功后,您可以在容器服务管理控制台的Kubernetes 集群列表页面查看所创建的集群。
- 您可以单击集群操作列下的查看日志,进入集群日志信息页面查看集群的日志信息。您也可以在集群日志信息页面中,单击资源栈事件查看更详细的信息。
-
您可以单击集群 操作列下的 详情,然后单击 基本信息和 连接信息页签,查看集群的基本信息和连接信息。其中:
- API Server公网连接端点:Kubernetes的API Server对公网提供服务的地址和端口,可以通过此服务在用户终端使用kubectl等工具管理集群。
绑定EIP和解绑EIP功能仅支持托管版Kubernetes集群。
- 绑定EIP:您可以选择在已有EIP列表中绑定EIP或者新建EIP。
绑定EIP操作为导致API Server短暂重启,请避免在此期间操作集群。
- 解绑EIP:解绑EIP后您将无法通过公网访问API Server。
解绑EIP操作会导致API Server短暂重启,请避免在此期间操作集群。
- 绑定EIP:您可以选择在已有EIP列表中绑定EIP或者新建EIP。
- API Service内网连接端点:Kubernetes的API server对集群内部提供服务的地址和端口,此IP为负载均衡的地址。
- 测试域名:为集群中的服务提供测试用的访问域名。服务访问域名后缀是
<cluster_id>.<region_id>.alicontainer.com
。说明 单击 重新绑定域名,您可以重新绑定访问域名。
- API Server公网连接端点:Kubernetes的API Server对公网提供服务的地址和端口,可以通过此服务在用户终端使用kubectl等工具管理集群。
- 您可以通过kubectl工具连接集群,执行
kubectl get node
查看集群的节点信息。