本文主要为您介绍集群管理的常见问题。

已有集群是否可以添加支持Intel SGX的节点?

集群满足以下三个条件后可以添加支持Intel SGX的节点:
  • Kubernetes版本大于等于1.14.0。
  • 集群的网络插件为Flannel
  • 创建集群时操作系统为AliyunLinux 2.xxxx,并且在节点接入时不要选择自定义镜像。
您可以容器服务管理控制台,找到符合以上三个条件的集群,并在该集群右侧的操作列选择更多 > 系统组件升级,安装aesm和sgx-device-plugin。

Alibaba Cloud Linux2操作系统的集群兼容CentOS的容器镜像吗?

完全兼容。更多信息,请参见使用操作系统Alibaba Cloud Linux 2

创建集群后,是否可以更改容器运行时?

问题现象:创建集群的时候,选择的容器运行时为Containerd,如何改回Docker运行时?

解决办法:创建集群后,不支持切换容器运行时,但是您可以创建不同类型运行时的节点池。节点池与节点池的运行时可以不同。更多信息,请参见节点池概述

Docker运行时和安全沙箱运行时有什么区别?

相比于原有Docker运行时,安全沙箱提供的一种新的容器运行时选项,可以把应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。安全沙箱特别适合于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离等场景。在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等, 但目前安全沙箱仅支持ECS神龙裸金属型号,暂不支持ECS虚拟机型号。

更多关于Docker和沙箱的信息,请参见如何选择Docker运行时、Containerd运行时、或者安全沙箱运行时?

容器服务ACK通过等保三级认证了吗?

容器服务ACK已同阿里云整体一起通过了等保三级认证,但是您如何使用云服务我们并不做限制,这部分的行为还需要您自行负责。以下为阿里云厂商和您各自负责的云服务安全项:
  • 阿里云厂商负责的云服务安全项
    • 阿里云服务自身基础设施的安全性。
    • 集群控制平面节点和etcd数据库的安全性。
    • 集群控制平面组件的安全合规性,并接受第三方合规审核人员的定期验收。
  • 您负责的云服务安全项
    • 数据平面的安全配置,包括VPC的安全组配置等。
    • 节点和容器应用自身配置。
    • 节点操作系统(包括更新和安全补丁)。
    • 其他关联的应用程序软件。
    • 设备和管理网络侧的访问控制,例如防火墙规则。
    • 使用RAM或其他服务管理平台级身份和访问控制。
    • 敏感数据的安全合规保护。

误删了专有版集群的一个Master节点后,还能升级集群吗?

不能,删除专有版集群的Master节点后,没法添加Master节点,也不能进行集群的K8s版本升级。

如何收集Kubernetes集群诊断信息?

当Kubernetes集群出现问题或者节点异常时,您可通过阿里云容器服务ACK提供的一键故障诊断功能,辅助您定位集群中出现的问题,详情请参见使用集群诊断。如果无法满足您的需求,需要分别在Master节点和异常的Worker节点上收集Kubernetes集群的诊断信息,请您根据实际情况,进行Linux节点诊断信息收集或Windows节点诊断信息收集。

收集Linux节点诊断信息

不同节点所使用的操作系统有所限制,Worker节点可以使用Liunx系统和Windows系统,Master节点只能使用Liunx系统,以下方法同时适用Liunx系统的Master和Worker节点,该操作以Master节点为例。

  1. 登录Kubernetes集群的Master节点,执行以下命令,下载诊断脚本。
    curl -o /usr/local/bin/diagnose_k8s.sh http://aliacs-k8s-cn-hangzhou.oss-cn-hangzhou.aliyuncs.com/public/diagnose/diagnose_k8s.sh
    说明 Linux节点的诊断脚本仅支持从杭州地域下载。
  2. 执行以下命令,给诊断脚本添加执行权限。
    chmod u+x /usr/local/bin/diagnose_k8s.sh
  3. 执行以下命令,进入指定目录。
    cd /usr/local/bin
  4. 执行以下命令,运行诊断脚本。
    diagnose_k8s.sh

    系统显示类似如下,每次执行诊断脚本,产生的日志文件名称不同,本文以diagnose_1514939155.tar.gz为例,现场以实际环境为准。

    ......
+ echo 'please get diagnose_1514939155.tar.gz for diagnostics'
please get diagnose_1514939155.tar.gz for diagnostics
+ echo '请上传 diagnose_1514939155.tar.gz'
请上传 diagnose_1514939155.tar.gz
  5. 执行如下命令,查看存放集群诊断信息的文件。
    ls -ltr | grep diagnose_1514939155.tar.gz
    说明 将diagnose_1514939155.tar.gz替换为现场环境产生的日志文件名称。

收集Windows节点诊断信息

Windows系统的Worker节点,请下载并运行diagnose诊断脚本,收集集群诊断信息,具体操作如下。

说明 Windows系统仅充当Worker节点。
  1. 登录异常Worker节点,打开运行窗口,输入cmd,单击确定,打开命令行工具。
  2. 执行以下命令,进入PowerShell模式。
    powershell
  3. 执行以下命令,下载并运行诊断脚本。
    Invoke-WebRequest -UseBasicParsing -Uri http://aliacs-k8s-[$Region_ID].oss-[$Region_ID].aliyuncs.com/public/pkg/windows/diagnose/diagnose.ps1 | Invoke-Expression
    说明 Windows节点的诊断脚本支持从所属地域下载,请根据集群所在地域替换命令行中的[$Region_ID]。

    系统显示类似如下,表示收集诊断信息成功。

    INFO: Compressing diagnosis clues ...
INFO: ...done
INFO: Please get diagnoses_1514939155.zip for diagnostics
    说明 diagnoses_1514939155.zip文件会保存在脚本执行时所在目录。