容器服务 ACK：创建节点池

节点池类型

• 普通节点池：为您提供管理一组同质节点的能力，同一个节点池内具有相同的节点配置，例如规格、标签（Label）、污点（Taint）。更多信息，请参见节点池概述。
• 托管节点池：在普通节点池基础上，提供CVE自动修复，自动触发故障节点修复等能力，从而实现托管的自动化节点运维。更多信息，请参见托管节点池概述。
  说明 仅ACK Pro集群支持托管节点池。

两种节点池的差异，请参见托管节点池与普通节点池对比。

操作步骤

1. 登录容器服务管理控制台，在左侧导航栏选择集群。
2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择节点管理 > 节点池。
3. 在节点池页面右上角，单击创建节点池。
4. 在创建节点池对话框，设置创建节点池的配置项。
   说明 您也可以单击创建托管节点池直接创建托管节点池。

   普通配置

   配置项	描述
   节点池名称	自定义的节点池名称。
   托管节点池	是否开启托管功能。托管节点池是ACK推出的具有CVE修复、节点自愈等能力的免运维型节点池，可以降低对节点池的运维管理负担，同时提升节点安全性。更多信息，请参见托管节点池概述。
   地域	默认选择集群所在地域，且不可更改。
   加密计算	重要 当前仅白名单用户可以配置加密计算，请提交工单申请。 仅容器运行时选择为Containerd时，需配置该参数。 是否开启加密计算。加密计算是为有强安全诉求的用户提供基于硬件加密技术的云原生一站式机密计算容器平台，可以帮助您保护数据使用（计算）过程中的安全性、完整性和机密性，同时简化可信或机密应用的开发、交付和管理成本。更多信息，请参见ACK-TEE机密计算介绍。
   容器运行时	根据Kubernetes版本选择容器运行时。 1.24版本以下支持Containerd、Docker和安全沙箱。 1.24版本及以上请使用Containerd作为容器运行时。 更多信息，请参见如何选择Docker运行时、Containerd运行时、或者安全沙箱运行时？。
   专有网络	默认选择集群VPC，节点池创建完成后不可更改。
   虚拟交换机	节点池的扩缩容将根据扩缩容策略，在选择的虚拟交换机可用区下弹出节点。您可以在已有虚拟交换机列表中，根据可用区选择交换机。 如果没有您需要的交换机，可以单击创建虚拟交换机创建。具体操作，请参见创建和管理交换机。
   维护窗口	说明 仅托管节点池支持设置维护窗口。 托管节点池将在维护窗口进行自动化升级，例如节点池镜像升级、运行时升级、K8s版本等。更多信息，请参见托管节点池概述。 单击设置，在维护窗口对话框，设置维护周期、维护起始时间以及维护时长。
   自动伸缩	是否开启自动伸缩。该功能是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。更多信息，请参见弹性伸缩概述。 开启前，请先配置自动弹性伸缩。具体操作，请参见步骤一：执行自动伸缩。
   付费类型	节点池支持按量付费、包年包月和抢占式实例三种节点付费类型。 选择按量付费时，计费项为ECS实例，节点池不收费。 选择包年包月时，需配置购买时长以及自动续费。 选择抢占式实例时，需设置以下参数： 单台实例上限价格：当指定实例规格的实时市场价格低于单台实例上限价格时，能成功创建抢占式实例。超过保护期后（1小时），每5分钟检测一次实例规格的实时市场价格和库存。如果某一时刻的市场价格高于出价或实例规格库存不足，抢占式实例会被释放。 目前ACK仅支持具有保护期的抢占式实例。更多信息，请参见抢占式实例概述、查看Spot实例到期状态、抢占式实例节点池最佳实践。 重要 修改节点池的付费类型仅对扩容的新节点生效，不会改变节点池内已有节点的付费类型。如果您期望修改节点池中已有节点的付费类型，请参见按量付费转包年包月。 为保证节点池的统一，不支持按量付费、包年包月节点池修改为抢占式实例节点池；也不支持抢占式实例节点池修改为按量付费、包年包月节点池。
   实例规格	支持选择多个实例规格。可通过vCPU、内存筛选实例规格，也可选择架构和类型。 说明 选择实例规格后，在已选规格区域依次展示实例规格详情。 节点池扩容时，将从选中的实例规格中扩容。具体扩容到的实例规格取决于节点池扩缩容策略。选择的实例规格越多，节点池成功弹出节点的概率越大。 由于实例规格不可用或库存不足，导致节点池弹出节点失败时，可以尝试添加更多实例规格。您可以参照控制台的弹性强度建议添加实例规格，也可以创建节点池后查看节点池弹性强度。 关于实例规格，请参见实例规格族。 关于节点池弹性强度，请参见查看节点池弹性强度。 说明 ARM实例仅支持ARM镜像。关于ARM节点池，请参见配置ARM节点池。
   系统盘	支持ESSD云盘、SSD云盘和高效云盘。系统盘可选的类型与选择的实例规格相关。查询实例规格支持的云盘类型，请参见实例规格族。如果云盘类型下拉列表没有显示的云盘类型，代表不支持该云盘类型。 说明 ESSD云盘支持自定义性能级别。ESSD云盘容量越大，可供选择的性能级别越高（460 GiB容量以上可选PL2，1260 GiB以上可选PL3）。更多信息，请参见容量范围与性能级别的关系。 仅ESSD云盘支持加密，系统盘加密仅支持aes-256加密算法。关于系统盘加密，请参见加密系统盘。
   挂载数据盘	支持ESSD云盘、SSD云盘和高效云盘。挂载数据盘时，数据盘可选的类型与选择的实例规格相关。查询实例规格支持的云盘类型，请参见实例规格族。如果云盘类型下拉列表没有显示的云盘类型，代表不支持该云盘类型。 说明 ESSD云盘支持自定义性能级别。ESSD云盘容量越大，可供选择的性能级别越高（460 GiB容量以上可选PL2，1260 GiB以上可选PL3）。更多信息，请参见容量范围与性能级别的关系。 仅ESSD云盘支持加密。数据盘加密仅支持aes-256、sm4-128加密算法。目前华东5（南京-本地地域）、华东6（福州-本地地域）、泰国（曼谷）和韩国（首尔）地域仅支持阿里云默认使用托管的服务密钥（Default Service CMK）进行加密，不支持自选自定义密钥（BYOK）。关于数据盘加密，请参见加密数据盘。 最大可挂载的数据盘数量与选择的实例规格相关，当前已挂载的数据盘数量和剩余可挂载的数据盘数量请在挂载数据盘后面查看。
   期望节点数	节点池应该维持的节点数量。您可以通过调整期望节点数，达到扩容或缩容节点池的目的。如无需创建节点，可以填写为0。更多信息，请参见扩缩容节点池。
   操作系统	容器服务Kubernetes版支持的操作系统镜像类型如下。 Alibaba Cloud Linux 2 Alibaba Cloud Linux 3 Alibaba Cloud Linux 3 Arm版 Alibaba Cloud Linux UEFI 2 CentOS Windows Windows Core ContainerOS 更多信息，请参见操作系统镜像概述。 说明 修改节点池系统镜像时，仅影响新增节点，不会修改节点池已有节点的系统镜像。已有节点的系统镜像升级，请参见节点池升级。 为保证节点池内节点系统镜像的统一，修改节点池镜像时，仅允许修改为同类型镜像的最新版本，不支持更改镜像类型。
   安全加固	不开启：表示对ECS实例不进行安全加固。 等保加固：仅当系统镜像选择Alibaba Cloud Linux 2或Alibaba Cloud Linux 3时，可为节点开启等保加固。阿里云为Alibaba Cloud Linux 2和Alibaba Cloud Linux 3等保2.0三级版镜像提供等保合规的基线检查标准和扫描程序。更多信息，请参见ACK等保加固使用说明。 CIS加固：仅当系统镜像选择Alibaba Cloud Linux 2或Alibaba Cloud Linux 3时，可为节点开启CIS加固。更多信息，请参见ACK CIS加固使用说明。 说明 集群创建完成后，安全加固选项不支持更改。
   登录方式	目前支持设置密钥、设置密码和创建后设置。 说明 当安全加固类型选择等保加固时，仅支持设置密钥。 创建时设置： 设置密钥：阿里云SSH密钥对是一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。更多信息，请参见SSH密钥对概述。 设置密码：密码限制为8～30个字符，且同时包含大写字母、小写字母、数字和特殊符号。 创建后设置：在实例创建完成后，自行绑定密钥对或者重置实例密码。具体操作，请参见绑定SSH密钥对和重置实例登录密码。
   公网IP	是否为节点分配IPV4地址。如果未选中，不会配公网IP地址，当选择公网IP后，还需配置带宽计费方式和带宽峰值。 说明 该选项仅对节点池新增节点生效，对节点池已有节点无效。已有节点如需访问公网，请配置并绑定弹性公网IP地址。具体操作，请参见绑定ECS实例。
   云监控插件	是否安装云监控插件。安装后，可在云监控控制台查看所创建ECS实例的监控信息。

   高级配置

   配置项	描述
   ECS标签	为弹出的ECS添加标签，标签键不可重复。最大长度为128个字符，标签键和标签值不能以aliyun、acs:开头，不能包含https://、http://。 一台ECS可绑定标签的上限为20个。由于ACK和ESS存在以下标签占用，因此您可以最多指定17个ECS标签。 ACK默认占用两个ECS标签。 ack.aliyun.com:<您的集群ID> ack.alibabacloud.com/nodepool-id:<您的节点池ID> ESS默认占用1个ECS标签：acs:autoscaling:scalingGroupId:<您的节点池伸缩组ID>。 说明 开启弹性伸缩后，因弹性伸缩将默认占用两个ECS标签，因此节点池会额外占用两个ECS标签：ter-autoscak8s.io/clusler:true、k8s.aliyun.com:true。 此外，自动伸缩组件为了预检测弹出节点的调度行为，需依靠ECS标签记录K8s的节点标签和污点。因此节点每个标签会转为k8s.io/cluster-autoscaler/node-template/label/标签键：标签值，节点每个污点会转为k8s.io/cluster-autoscaler/node-template/taint/污点键/污点值：污点效果。
   污点（Taints）	为Kubernetes集群节点添加污点，污点（Taints）包含键、值和Effect（效果）。有效污点键包含前缀（可选）和名称。如果有前缀，用正斜线（/）分隔。更多信息，请参见污点和容忍度。污点有以下限制： 键：污点键的名称长度为1~63个字符，必须以字母、数字或字符[a-z0-9A-Z]开头和结尾，中间可包含字母、数字、短划线（-）、下划线（_）、英文半角句号（.）。 如果指定前缀，必须是DNS子域。即一系列由英文半角句号（.）分隔的DNS标签，不超过253个字符，以正斜线（/）结尾。关于DNS子域，请参见DNS子域。 值：污点值可以为空，不超过63个字符，必须以字母、数字或字符[a-z0-9A-Z]开头和结尾，可包含字母、数字、短划线（-）、下划线（_）、英文半角句号（.）。 Effect：可选择NoSchedule、NoExecute、PreferNoSchedule三种。 NoSchedule：如果污点中存在至少一个Effect值为NoSchedule的污点，则系统不会将Pod分配到该节点。 NoExecute：任何不能忍受这个污点的Pod都会被驱逐，任何可以忍受这个污点的Pod都不会被驱逐。 PreferNoSchedule：系统会尽量避免将Pod调度到存在其不能容忍污点的节点上，但不会强制执行。
   节点标签	为Kubernetes集群节点添加标签，标签是键值对。有效标签键包含前缀（可选）和名称，如果有前缀，前缀和名称之间用正斜线（/）分隔。标签有以下限制： 标签键的名称长度为1~63个字符，必须以字母数字字符[a-z0-9A-Z]开头和结尾，中间可包含字母、数字、短划线（-）、下划线（_）、英文半角句号（.）。 如果指定前缀，必须是DNS子域。即一系列由英文半角句号（.）分隔的DNS标签，不超过253个字符，以正斜线（/）结尾。关于DNS子域，请参见DNS子域。 标签键中以下前缀由K8s核心组件保留，不支持指定。 kubernetes.io/ k8s.io/ 以kubernetes.io/和k8s.io/结尾的前缀。例如test.kubernetes.io/。 以下除外： kubelet.kubernetes.io/ node.kubernetes.io 以kubelet.kubernetes.io/结尾的前缀。 以node.kubernetes.io结尾的前缀。 标签值可以为空，不超过63个字符，必须以字母数字字符[a-z0-9A-Z]开头和结尾，可包含字母、数字、短划线（-）、下划线（_）和英文半角句号（.）。 选中设置为不可调度后，新添加的节点注册到集群时默认设置为不可调度。如果想打开存量节点的调度选项，可在集群节点列表中开启。
   扩缩容策略	优先级策略：根据以上配置的虚拟交换机的优先级进行扩缩容（选择的虚拟交换机的顺序，由上到下优先级递减）。当优先级较高的虚拟交换机所在可用区无法创建ECS实例时，自动使用下一优先级的虚拟交换机创建ECS实例。 成本优化策略：按vCPU单价从低到高尝试创建。当伸缩配置已设置抢占式计费方式的多实例规格时，优先创建对应抢占式计费实例。当抢占式计费实例规格由于库存等原因无法创建时，自动尝试以按量付费的方式创建。 当付费类型为抢占式实例时，还可配置以下参数： 按量实例所占比例%：节点池实例中按量实例应占的比例，取值范围为[0,100]。 开启抢占式实例补偿：开启后，当收到抢占式实例将被回收的系统消息时（即抢占式实例被回收前5分钟左右），伸缩组将尝试创建新的实例，替换掉将被回收的抢占式实例。 允许按量实例补偿：开启后，如果因价格或库存等原因无法创建足够的抢占式实例，伸缩组将自动尝试创建按量实例，以满足ECS实例数量要求。 均衡分布策略：只有设置多个专有网络交换机时，均衡分布策略才能生效。在伸缩组指定的多可用区（即指定多个专有网络交换机）之间均匀分配ECS实例。如果由于库存不足等原因造成可用区之间不平衡，您可以再次进行均衡操作，以平衡资源的可用区分布。 重要 节点池创建完成后，扩缩容策略不支持编辑。
   CPU Policy	指定Kublet节点的CPU管理策略。 None：默认策略。 Static：允许为节点上具有某些资源特征的Pod赋予增强的CPU亲和性和独占性。 更多信息，请参见CPU管理策略。
   资源组	指定节点池中扩容节点的资源组信息。默认为集群的资源组。 重要 资源组不支持变更。
   部署集	重要 部署集为白名单功能，若您需要开启该功能，请在配额中心申请。 部署集一旦指定将不能修改。 选择部署集后，节点池内最大节点数会受限。部署集默认支持节点上限为20x可用区数量（可用区数量由虚拟交换机决定）。请谨慎选择，确保部署集内配额充足，避免节点弹出失败。 您需先通过ECS控制台创建部署集，然后通过ACK控制台为节点池指定部署集。创建部署集，请参见创建部署集。 您可以使用部署集将节点池弹出的ECS实例分散部署在不同的物理服务器上，以保证业务的高可用性和底层容灾能力。在部署集内创建ECS实例时，根据事先设置的部署策略，分散启动指定地域下的ECS实例。更多信息，请参见节点池部署集最佳实践。
   自定义安全组	支持选择普通安全组或企业级安全组。关于安全组，请参见安全组概述。 重要 自定义安全组为白名单功能，若您需要自定义安全组，请在配额中心申请。 只能同时选择一种类型安全组（企业安全组或普通安全组）。 每台ECS最多选择支持加入5个安全组，请确保您的ECS安全组配额充足。 编辑节点池时，不支持更改节点池的安全组。 指定已有安全组时，系统默认不会为安全组配置额外的访问规则，可能会导致访问异常，请自行管理安全组规则。关于如何管理安全组规则，请参见最小化集群访问规则。
   自定义镜像	选择自定义镜像后，将取代默认系统镜像。更多信息，请参见使用自定义镜像创建ACK集群。
   RDS白名单	单击请选择您想要添加白名单的RDS实例，将节点IP添加至RDS实例的白名单。
   自定义节点名称	是否开启自定义节点名称。开启自定义节点名称后，将同时更改节点名称、ECS实例名称、ECS实例Hostname（Windows实例除外）。 节点名称由前缀，节点IP地址及后缀三部分组成。前缀必选，后缀可选。 总长度为2~64个字符。前缀和后缀允许使用大小写字母、数字、短划线（-）和英文半角句号（.）。必须以大小写字母开头，不能以短划线（-）或英文半角句号（.）开头或结尾。不能连续使用短划线（-）或英文半角句号（.）。 对于开启自定义节点名称的Windows实例，实例Hostname将被修改为节点IP地址，并用短划线（-）代替IP地址中的英文半角句号（.），且不包含前缀和后缀。 例如，节点IP地址为192.168.xx.xx，指定前缀为aliyun.com，后缀为test。 如果节点为Linux节点，节点名称、ECS实例和ECS实例的Hostname均为aliyun.com192.168.xx.xxtest。 如果节点为Windows节点，ECS实例的Hostname为192-168-xx-xx，节点名称和ECS实例名称均为aliyun.com192.168.x.xxtest。
   实例自定义数据	目前仅支持User-Data脚本，节点加入集群后，将运行您指定的实例自定义数据脚本。关于User-Data脚本，请参见User-Data脚本。

5. 单击确认配置。
   在节点池页面，如果节点池状态显示初始化中，则说明节点池正在创建中。创建完成后，状态显示为已激活。

相关文档

• 扩缩容节点池
• 添加已有节点
• 移除节点
• 节点池运维
• 节点池最佳实践