容器服务 ACK：创建Kubernetes托管版集群

选择集群规格，支持Pro 版和标准版。企业生产和测试环境中推荐使用Pro版集群。标准版集群仅供个人学习与测试使用。

选择集群所在的地域。

显示当前ACK支持的Kubernetes版本。

设置虚拟交换机。

您可以在已有虚拟交换机列表中，根据可用区选择交换机。如果没有您需要的交换机，可以通过单击创建虚拟交换机进行创建，请参见创建和管理交换机。

网络插件选择Terway时，您需要为Pod分配IP的虚拟交换机。每个Pod虚拟交换机分别对应一个Worker实例的虚拟交换机，Pod虚拟交换机和Worker实例的虚拟交换机的可用区需一致。

网络插件选择Flannel时，需要配置Pod 网络 CIDR。

Flannel网络插件需要配置Pod网络CIDR，网段不能和VPC及VPC已有Kubernetes集群使用的网段重复，创建成功后不能修改，而且Service地址段不能和Pod地址段重复。有关Kubernetes网络地址段规划的信息，请参见Kubernetes集群网络规划。

如果您选择的网络模式为Flannel，您需设置节点 Pod 数量。

设置Service CIDR。您需要指定Service CIDR，网段不能与VPC及VPC内已有Kubernetes集群使用的网段重复，创建成功后不能修改，而且Service地址段也不能和Pod地址段重复。有关Kubernetes网络地址段规划的信息，请参见Kubernetes集群网络规划。

创建集群时，默认不开通公网。如果您选择的VPC不具备公网访问能力，选中为专有网络配置SNAT后，ACK将为您创建NAT网关并自动配置SNAT规则。

设置是否启用集群删除保护。选择开启可以防止通过控制台或API误释放集群。

创建的集群将归属于选择的资源组。一个资源只能归属于一个资源组。根据不同的业务场景，您可以将资源组映射为项目、应用或组织等概念。更多信息，请参见资源组。

选择集群所要使用的时区。默认时区为浏览器所配置的时区。

在集群API Server服务端证书的SAN（Subject Alternative Name）字段中添加自定义的IP或域名，以实现对客户端的访问控制。

具体操作，请参见自定义集群API Server证书SAN。

开启服务账户令牌卷投影以降低在Pod中使用Service Account遇到的安全性问题，可使得kubelet支持基于Pod粒度的Token签发，并且支持Token audience和过期时间的配置。详情请参见部署服务账户令牌卷投影

在ACK Pro托管集群中，选中选择 KMS 密钥可以使用在阿里云密钥管理服务KMS（Key Management Service）中创建的密钥加密Kubernetes Secret密钥。设置Secret落盘加密的详情，请参见使用阿里云KMS进行Secret的落盘加密。

自定义的节点池名称。

是否开启托管功能。托管节点池是ACK推出的具有CVE修复、节点自愈等能力的免运维型节点池，可以降低对节点池的运维管理负担，同时提升节点安全性。更多信息，请参见托管节点池概述。

单击设置，在维护窗口对话框，设置维护周期、维护起始时间以及维护时长。

呈现选中的规格。

新增Worker实例（ECS实例）的数量。

是否安装云监控插件。安装后，可在云监控控制台查看所创建ECS实例的监控信息。

为弹出的ECS添加标签，标签键不可重复。最大长度为128个字符，标签键和标签值不能以aliyun、acs:开头，不能包含https://、http://。

• 优先级策略：根据以上配置的虚拟交换机的优先级进行扩缩容（选择的虚拟交换机的顺序，由上到下优先级递减）。当优先级较高的虚拟交换机所在可用区无法创建ECS实例时，自动使用下一优先级的虚拟交换机创建ECS实例。
• 成本优化策略：按vCPU单价从低到高尝试创建。当伸缩配置已设置抢占式计费方式的多实例规格时，优先创建对应抢占式计费实例。当抢占式计费实例规格由于库存等原因无法创建时，自动尝试以按量付费的方式创建。

  当付费类型为抢占式实例时，还可配置以下参数：

  • 按量实例所占比例%：节点池实例中按量实例应占的比例，取值范围为[0,100]。
  • 开启抢占式实例补偿：开启后，当收到抢占式实例将被回收的系统消息时（即抢占式实例被回收前5分钟左右），伸缩组将尝试创建新的实例，替换掉将被回收的抢占式实例。
  • 允许按量实例补偿：开启后，如果因价格或库存等原因无法创建足够的抢占式实例，伸缩组将自动尝试创建按量实例，以满足ECS实例数量要求。
• 均衡分布策略：只有设置多个专有网络交换机时，均衡分布策略才能生效。在伸缩组指定的多可用区（即指定多个专有网络交换机）之间均匀分配ECS实例。如果由于库存不足等原因造成可用区之间不平衡，您可以再次进行均衡操作，以平衡资源的可用区分布。

更多信息，请参见CPU管理策略。

单击请选择您想要添加白名单的RDS实例，将节点IP添加至RDS实例的白名单。

是否开启自定义节点名称。自定义节点名称后，将同时更改节点名称、ECS实例名称、ECS实例Hostname。

请参见ECS实例自定义数据概述。

设置是否安装NodeLocal DNSCache组件，默认安装NodeLocal DNSCache。

NodeLocal DNSCache用于运行DNS缓存代理以提升域名解析性能和稳定性。关于NodeLocal DNSCache的更多信息，请参见使用NodeLocal DNSCache。

默认是CSI存储插件。默认选中创建默认NAS文件系统和CNFS容器网络文件系统动态存储类型，并默认开启 NAS 回收站特性，支持数据快速恢复。。Kubernetes集群通过Pod可自动绑定阿里云云盘、NAS、OSS存储服务。更多信息，请参见存储管理-CSI。

默认选中使用 Prometheus 监控服务，为容器服务ACK集群提供基础监控和报警。

默认选中使用默认报警模板配置报警，开启默认报警规则。开启后，可以设置报警通知联系人分组，默认为Default Contact Group。详细介绍，请参见容器服务报警管理。

设置是否启用日志服务，您可使用已有Project或新建一个Project。默认选中使用日志服务。创建应用时，您可通过简单配置，快速使用日志服务，详情参见通过日志服务采集Kubernetes容器日志。

默认选中创建Ingress Dashboard，您可以选择是否在日志服务控制台中创建Ingress Dashboard。更多信息，请参见Nginx Ingress访问日志分析与监控。

默认选中安装node-problem-detector并创建事件中心，您可以选择是否在日志服务控制台中添加事件中心。更多信息，请参见创建并使用K8s事件中心。

默认选中开启，将从ACK控制层收集托管集群控制平面组件日志到您账号中的SLS日志服务的Log Project中。更多信息，请参见收集ACK Pro版集群控制平面组件日志。

启用智能运维的集群巡检功能，定期扫描集群内配额、资源水位、组件版本等，识别集群内潜在的风险。更多信息， 请参见使用集群巡检。