创建Kubernetes托管版集群时,您只需创建节点,无需维护控制面板,控制面板由阿里云容器服务创建并托管,降低了运维成本,帮助您聚焦业务应用。本文介绍如何通过容器服务控制台创建Kubernetes托管版集群。
索引
背景信息
关于产品计费的更多信息,请参见产品计费。
前提条件
您在使用集群过程中,请注意以下限制:
- ACK集群仅支持专有网络VPC。
- 每个账号默认可以创建的云资源有一定的配额,如果超过配额创建集群会失败。关于具体配额信息,请参见配额限制。
- 每个账户初始默认状况下VPC路由条目不超过200条,当ACK集群的网络模式是Flannel时,集群的路由条目最大不能超过200个(网络模式是Terway则不受该影响)。如集群需要更多路由条目数,您需要对目标VPC申请提高配额 。
- 每个账号默认最多可以创建100个安全组。
- 每个账号默认最多可以创建60个按量付费的负载均衡实例。
- 每个账号默认最多可以创建20个EIP。
- ECS实例使用限制:
支持创建按量付费和包年包月的ECS实例。
实例创建后,您可以通过ECS管理控制台将按量付费转预付费,请参见按量付费转包年包月。
步骤一:登录容器服务管理控制台
- 登录容器服务管理控制台,在左侧导航栏选择集群。
- 在集群列表页面,单击页面右上角的创建集群。
步骤二:配置集群
在ACK托管版页面,完成集群基础选项配置和高级选项配置。
集群基础选项
配置项 | 描述 |
---|---|
账号全部资源 | 将鼠标悬浮于页面上方的账号全部资源,选择资源组。在控制台页面顶部选择的资源组可过滤出该资源组内的专有网络及对应的虚拟交换机。在创建集群时,只显示过滤的专有网络实例及专有网络对应的虚拟交换机实例。 ![]() |
集群名称 | 填写集群的名称。 说明 集群名称应包含1~63个字符,可包含数字、汉字、英文字符、短划线(-)或下划线(_),且不能以下划线(_)开头。 |
集群规格 | 选择集群规格,支持Pro 版和标准版。企业生产和测试环境中推荐使用Pro版集群。标准版集群仅供个人学习与测试使用。 |
地域 | 选择集群所在的地域。 |
付费类型 | 容器服务Kubernetes版支持按量付费和包年包月两种付费类型。选择包年包月时,需设置以下参数。
|
Kubernetes 版本 | 显示当前ACK支持的Kubernetes版本。 |
容器运行时 | 根据Kubernetes 版本选择容器运行时。
|
IPv6双栈 | 开启IPv6双栈将创建双栈Kubernetes集群。双栈功能正在公测中,如需使用请前往配额平台申请。 重要
|
专有网络 | 设置集群的网络,您可以选择普通VPC和共享VPC。
说明 Kubernetes集群仅支持专有网络。您可以在已有VPC列表中选择所需的VPC。如果没有您需要的专有网络,可以通过单击创建专有网络进行创建,请参见创建和管理专有网络。 |
网络插件 | 设置启用的网络插件和插件配置,支持Flannel和Terway网络插件。详细信息,请参见Terway与Flannel对比。
|
虚拟交换机 | 设置虚拟交换机。 您可以在已有虚拟交换机列表中,根据可用区选择交换机。如果没有您需要的交换机,可以通过单击创建虚拟交换机进行创建,请参见创建和管理交换机。 |
Pod 虚拟交换机 | 网络插件选择Terway时,您需要为Pod分配IP的虚拟交换机。每个Pod虚拟交换机分别对应一个Worker实例的虚拟交换机,Pod虚拟交换机和Worker实例的虚拟交换机的可用区需一致。 |
Pod 网络 CIDR | 网络插件选择Flannel时,需要配置Pod 网络 CIDR。 Flannel网络插件需要配置Pod网络CIDR,网段不能和VPC及VPC已有Kubernetes集群使用的网段重复,创建成功后不能修改,而且Service地址段不能和Pod地址段重复。有关Kubernetes网络地址段规划的信息,请参见Kubernetes集群网络规划。 |
节点 Pod 数量 | 如果您选择的网络模式为Flannel,您需设置节点 Pod 数量。 |
Service CIDR | 设置Service CIDR。您需要指定Service CIDR,网段不能与VPC及VPC内已有Kubernetes集群使用的网段重复,创建成功后不能修改,而且Service地址段也不能和Pod地址段重复。有关Kubernetes网络地址段规划的信息,请参见Kubernetes集群网络规划。 |
IPv6 Service CIDR | 开启IPv6双栈后,您需要为Service CIDR配置IPv6地址段。配置网段时,请注意:
|
配置 SNAT | 创建集群时,默认不开通公网。如果您选择的VPC不具备公网访问能力,选中为专有网络配置SNAT后,ACK将为您创建NAT网关并自动配置SNAT规则。 |
API Server 访问 | ACK默认为API Server创建一个内网SLB实例,您可修改SLB实例规格。更多信息,请参见实例规格。 重要 删除默认创建的SLB实例将会导致无法访问API Server。 您可设置是否开放使用 EIP 暴露API Server。API Server提供了各类资源对象(Pod,Service等)的增删改查及Watch等HTTP Rest接口。
|
安全组 | |
集群删除保护 | 设置是否启用集群删除保护。选择开启可以防止通过控制台或API误释放集群。 |
资源组 | 创建的集群将归属于选择的资源组。一个资源只能归属于一个资源组。根据不同的业务场景,您可以将资源组映射为项目、应用或组织等概念。更多信息,请参见资源组。 |
集群高级选项
单击显示高级选项,配置集群高级选项。
配置项 | 描述 |
---|---|
时区 | 选择集群所要使用的时区。默认时区为浏览器所配置的时区。 |
kube-proxy 代理模式 | 支持iptables和IPVS两种模式。
|
标签 | 为集群绑定标签。输入键和对应的值,单击添加。 说明
|
集群本地域名 | 设置是否配置集群本地域名。 说明 默认域名为cluster.local,可自定义域名。域名由两段组成,每段不超过63个字符,且只能使用大小写字母和数字,不能为空。 |
自定义证书 SAN | 在集群API Server服务端证书的SAN(Subject Alternative Name)字段中添加自定义的IP或域名,以实现对客户端的访问控制。 具体操作,请参见自定义集群API Server证书SAN。 |
服务账户令牌卷投影 | 开启服务账户令牌卷投影以降低在Pod中使用Service Account遇到的安全性问题,可使得kubelet支持基于Pod粒度的Token签发,并且支持Token audience和过期时间的配置。详情请参见部署服务账户令牌卷投影 |
Secret 落盘加密 | 在ACK Pro托管集群中,选中选择 KMS 密钥可以使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥加密Kubernetes Secret密钥。设置Secret落盘加密的详情,请参见使用阿里云KMS进行Secret的落盘加密。 |
步骤三:配置节点池
单击下一步:节点池配置,完成节点池基础选项配置和高级选项配置。
节点池基础选项
配置项 | 描述 |
---|---|
节点池名称 | 自定义的节点池名称。 |
托管节点池 | 是否开启托管功能。托管节点池是ACK推出的具有CVE修复、节点自愈等能力的免运维型节点池,可以降低对节点池的运维管理负担,同时提升节点安全性。更多信息,请参见托管节点池概述。 |
集群维护窗口 | 说明 仅托管节点池支持设置维护窗口。 单击设置,在维护窗口对话框,设置维护周期、维护起始时间以及维护时长。 |
实例规格 | 支持选择多个实例规格。可通过vCPU、内存筛选实例规格,也可选择架构和分类。 说明 选择实例规格后,在已选规格区域依次展示实例规格详情。 |
已选规格 | 呈现选中的规格。 |
数量 | 新增Worker实例(ECS实例)的数量。 说明 建议创建时最少选择两台,创建好之后,可以根据您的实际情况,加减节点。节点太少或者规格太低,会影响集群组件的运行。 |
系统盘 | 支持ESSD云盘、SSD云盘和高效云盘。系统盘可选的类型与选择的实例规格相关。查询实例规格支持的云盘类型,请参见实例规格族。如果云盘类型下拉列表没有显示的云盘类型,代表不支持该云盘类型。 说明
|
挂载数据盘 | 支持ESSD云盘、SSD云盘和高效云盘。挂载数据盘时,数据盘可选的类型与选择的实例规格相关。查询实例规格支持的云盘类型,请参见实例规格族。如果云盘类型下拉列表没有显示的云盘类型,代表不支持该云盘类型。 说明
|
操作系统 | 容器服务Kubernetes版支持的操作系统镜像类型如下。
说明
|
安全加固 |
说明 集群创建完成后,安全加固选项不支持更改。 |
登录方式 | |
公网 IP | 是否为节点分配IPV4地址。如果未选中,不会配公网IP地址,当选择公网IP后,还需配置带宽计费方式和带宽峰值。 说明 该选项仅对节点池新增节点生效,对节点池已有节点无效。已有节点如需访问公网,请配置并绑定弹性公网IP地址。具体操作,请参见绑定ECS实例。 |
云监控插件 | 是否安装云监控插件。安装后,可在云监控控制台查看所创建ECS实例的监控信息。 |
节点池高级选项
单击显示高级选项,配置节点池高级选项。
配置项 | 描述 |
---|---|
实例保护 | 设置是否启用实例保护。 说明 为防止通过控制台或API误释放集群节点,默认启用实例保护。 |
ECS 标签 | 为弹出的ECS添加标签,标签键不可重复。最大长度为128个字符,标签键和标签值不能以 一台ECS可绑定标签的上限为20个。由于ACK和ESS存在以下标签占用,因此您可以最多指定17个ECS标签。
说明 开启弹性伸缩后,因弹性伸缩将默认占用两个ECS标签,因此节点池会额外占用两个ECS标签: 此外,自动伸缩组件为了预检测弹出节点的调度行为,需依靠ECS标签记录K8s的节点标签和污点。因此节点每个标签会转为 |
污点 (Taints) | 为Kubernetes集群节点添加污点,污点(Taints)包含键、值和Effect(效果)。有效污点键包含前缀(可选)和名称。如果有前缀,用正斜线(/)分隔。更多信息,请参见污点和容忍度。污点有以下限制:
|
节点标签 | 为Kubernetes集群节点添加标签,标签是键值对。有效标签键包含前缀(可选)和名称,如果有前缀,前缀和名称之间用正斜线(/)分隔。标签有以下限制:
|
扩缩容策略 |
重要 节点池创建完成后,扩缩容策略不支持编辑。 |
CPU Policy | 更多信息,请参见CPU管理策略。 |
自定义镜像 |
说明
|
RDS 白名单 | 单击请选择您想要添加白名单的RDS实例,将节点IP添加至RDS实例的白名单。 |
自定义节点名称 | 是否开启自定义节点名称。自定义节点名称后,将同时更改节点名称、ECS实例名称、ECS实例Hostname。 节点名称由前缀,节点IP地址及后缀三部分组成:
例如:节点IP地址为192.1xx.x.xx,指定前缀为aliyun.com,后缀为test。
|
实例自定义数据 | 请参见ECS实例自定义数据概述。 |
步骤四:配置组件
单击下一步:组件配置,完成组件基础选项配置和高级选项配置。
组件基础选项
配置项 | 描述 |
---|---|
Ingress | 设置是否安装Ingress组件。默认为Nginx Ingress。
|
服务发现 | 设置是否安装NodeLocal DNSCache组件,默认安装NodeLocal DNSCache。 NodeLocal DNSCache用于运行DNS缓存代理以提升域名解析性能和稳定性。关于NodeLocal DNSCache的更多信息,请参见使用NodeLocal DNSCache。 |
存储插件 | 默认是CSI存储插件。默认选中创建默认NAS文件系统和CNFS容器网络文件系统动态存储类型,并默认开启 NAS 回收站特性,支持数据快速恢复。。Kubernetes集群通过Pod可自动绑定阿里云云盘、NAS、OSS存储服务。更多信息,请参见存储管理-CSI。 |
监控插件 | 默认选中使用 Prometheus 监控服务,为容器服务ACK集群提供基础监控和报警。 |
报警配置 | 默认选中使用默认报警模板配置报警,开启默认报警规则。开启后,可以设置报警通知联系人分组,默认为Default Contact Group。详细介绍,请参见容器服务报警管理。 |
日志服务 | 设置是否启用日志服务,您可使用已有Project或新建一个Project。默认选中使用日志服务。创建应用时,您可通过简单配置,快速使用日志服务,详情参见通过日志服务采集Kubernetes容器日志。 默认选中创建Ingress Dashboard,您可以选择是否在日志服务控制台中创建Ingress Dashboard。更多信息,请参见Nginx Ingress访问日志分析与监控。 默认选中安装node-problem-detector并创建事件中心,您可以选择是否在日志服务控制台中添加事件中心。更多信息,请参见创建并使用K8s事件中心。 |
控制平面组件日志 | 默认选中开启,将从ACK控制层收集托管集群控制平面组件日志到您账号中的SLS日志服务的Log Project中。更多信息,请参见收集ACK Pro版集群控制平面组件日志。 |
工作流引擎 | 设置是否使用AGS。 说明 当前只有白名单用户可以使用该功能。
|
集群巡检 | 启用智能运维的集群巡检功能,定期扫描集群内配额、资源水位、组件版本等,识别集群内潜在的风险。更多信息, 请参见使用集群巡检。 |
组件高级选项
单击显示高级选项,选中需要安装的组件。
步骤五:确认配置
单击下一步:确认配置,确认配置信息,仔细阅读并选中我已了解和接受上述说明,并已阅读和同意阿里云容器服务 Kubernetes 版 服务条款 和 免责申明,单击创建集群。
相关操作
- 集群创建成功后,您可以在容器服务管理控制台的集群列表页面查看所创建的集群。
您可以单击操作列的查看日志,进入集群日志信息页面查看集群的日志信息。您也可以在集群日志信息页面中,单击资源栈事件查看更详细的信息。
在集群列表页面中,找到刚创建的集群,单击操作列中的详情,单击基本信息和连接信息页签,查看集群的基本信息和连接信息。
其中:- API Server公网连接端点:Kubernetes的API Server对公网提供服务的地址和端口,可以通过此服务在用户终端使用kubectl等工具管理集群。
绑定EIP和解绑EIP功能仅支持托管版Kubernetes集群。
- 绑定EIP:您可以选择在已有EIP列表中绑定EIP或者新建EIP。
绑定EIP操作为导致API Server短暂重启,请避免在此期间操作集群。
- 解绑EIP:解绑EIP后您将无法通过公网访问API Server。
解绑EIP操作会导致API Server短暂重启,请避免在此期间操作集群。
- 绑定EIP:您可以选择在已有EIP列表中绑定EIP或者新建EIP。
- API Service内网连接端点:Kubernetes的API server对集群内部提供服务的地址和端口,此IP为负载均衡的地址。
- 测试域名:为集群中的服务提供测试用的访问域名。服务访问域名后缀是
<cluster_id>.<region_id>.alicontainer.com
。说明 单击重新绑定域名,您可以重新绑定访问域名。
- API Server公网连接端点:Kubernetes的API Server对公网提供服务的地址和端口,可以通过此服务在用户终端使用kubectl等工具管理集群。