首页 容器服务 ACK 边缘容器集群ACK@Edge ACK@Edge Pro版集群 创建ACK@Edge Pro版集群

创建ACK@Edge Pro版集群

ACK@Edge Pro版集群相比原边缘标准版集群进一步提升了集群的可靠性、安全性和调度性能,并且支持赔付标准的SLA,适合生产环境下有着大规模业务,对稳定性和安全性有高要求的企业客户。本文介绍如何通过容器服务控制台创建ACK@Edge Pro版集群。

前提条件

登录RAM管理控制台弹性伸缩控制台开通相应的服务。

说明

您在使用集群过程中,请注意以下限制:

  • 用户账户至少需要有100元的余额并通过实名认证,否则无法创建按量付费的ECS实例和负载均衡。
  • ACK集群仅支持专有网络VPC。

  • 每个账号默认可以创建的云资源有一定的配额,如果超过配额创建集群会失败。请在创建集群前确认您的配额。

    • 关于ACK集群配额限制的详情,请参见配额限制

      重要 每个账户初始默认状况下VPC路由条目不超过200条,意味着您的Kubernetes集群的网络模式是Flannel时,集群的节点数最大不能超过200个(网络模式是Terway则不受该影响)。如集群需要更多节点数,请您前往配额平台申请。
    • 每个账号默认最多可以创建100个安全组。
    • 每个账号默认最多可以创建60个按量付费的负载均衡实例。
    • 每个账号默认最多可以创建20个EIP。

操作步骤

  1. 登录容器服务管理控制台
  2. 在控制台左侧导航栏,单击集群
  3. 集群列表页面,单击页面右上角的创建集群

  4. ACK边缘托管版页签,完成ACK@Edge Pro版集群配置。

    1. 完成集群基础选项配置。

      配置项

      描述

      账号全部资源

      将鼠标悬浮于页面上方的账号全部资源,选择资源组。在控制台页面顶部选择的资源组可过滤出该资源组内的专有网络及对应的虚拟交换机。在创建集群时,只显示过滤的专有网络实例及专有网络对应的虚拟交换机实例。资源组

      集群名称

      填写集群的名称。
      说明 集群名称应包含1~63个字符,可包含数字、汉字、英文字符、短划线(-)或下划线(_),且不能以下划线(_)开头。

      集群规格

      选择集群规格,支持Pro 版标准版。企业生产和测试环境中推荐使用Pro版集群。标准版集群仅供个人学习与测试使用。

      选中Pro版创建ACK@Edge Pro版集群。

      地域

      选择集群所在的地域。

      Kubernetes版本

      显示当前ACK@Edge Pro支持的Kubernetes版本。

      专有网络

      设置集群的网络,您可以选择普通VPC和共享VPC。
      • 共享VPC:VPC的所有者账号(资源所有者)可以将其账号下的VPC内的交换机资源共享给其组织内的其他账号使用。
      • 普通VPC:不具备共享功能的VPC。
      说明 Kubernetes集群仅支持专有网络。您可以在已有VPC列表中选择所需的VPC。如果没有您需要的专有网络,可以通过单击创建专有网络进行创建,请参见创建和管理专有网络

      虚拟交换机

      设置虚拟交换机。

      您可以在已有虚拟交换机列表中,根据可用区选择1~3个交换机。如果没有您需要的交换机,可以通过单击创建虚拟交换机进行创建,请参见创建和管理交换机

      节点 Pod 数量

      如果您选择的网络模式为Flannel,您需设置节点 Pod 数量

      Pod 网络 CIDR

      网络插件选择Flannel时,需要配置Pod 网络 CIDR

      Flannel网络插件需要配置Pod网络CIDR,网段不能和VPC及VPC已有Kubernetes集群使用的网段重复,创建成功后不能修改,而且Service地址段不能和Pod地址段重复。有关Kubernetes网络地址段规划的信息,请参见Kubernetes集群网络规划

      Service CIDR

      设置Service CIDR。您需要指定Service CIDR,网段不能与VPC及VPC内已有Kubernetes集群使用的网段重复,创建成功后不能修改,而且Service地址段也不能和Pod地址段重复。有关Kubernetes网络地址段规划的信息,请参见Kubernetes集群网络规划

      配置 SNAT

      创建集群时,默认不开通公网。如果您选择的VPC不具备公网访问能力,选中为专有网络配置SNAT后,ACK将为您创建NAT网关并自动配置SNAT规则。

      API Server 访问

      ACK默认为API Server创建一个内网SLB实例,您可修改SLB实例规格。更多信息,请参见实例规格
      重要 删除默认创建的SLB实例将会导致无法访问API Server。
      您可设置是否开放使用 EIP 暴露API Server。API Server提供了各类资源对象(Pod,Service等)的增删改查及Watch等HTTP Rest接口。
      • 如果选择开放,ACK会创建一个EIP,并挂载到SLB上。此时,Master节点的6443端口(对应API Server)暴露出来,您可以在外网通过kubeconfig连接并操作集群。
      • 如果选择不开放,则不会创建EIP,您只能在VPC内部用kubeconfig连接并操作集群。
      说明

      通常边缘节点需要通过公网和云端API Server交互,因此若不选中使用EIP暴露API Server,边缘节点将无法连接到云端集群,所创建集群也将无法在边缘场景下使用。

      RDS白名单

      设置RDS白名单。将节点IP添加到RDS实例的白名单中。

      说明

      允许白名单RDS访问Kubernetes集群,RDS必须在当前集群的VPC内。

      安全组

      支持选择自动创建普通安全组自动创建企业级安全组选择已有安全组。有关安全组的详细内容,请参见安全组概述
      说明
      • 只有白名单用户可以使用选择已有安全组功能,请前往配额平台申请。
      • 指定已有安全组时,系统默认不会为安全组配置额外的访问规则,可能会导致访问异常,请自行管理安全组规则。关于如何管理安全组规则,请参见最小化集群访问规则

      集群删除保护

      设置是否启用集群删除保护。选择开启可以防止通过控制台或API误释放集群。

      资源组

      创建的集群将归属于选择的资源组。一个资源只能归属于一个资源组。根据不同的业务场景,您可以将资源组映射为项目、应用或组织等概念。更多信息,请参见资源组

    2. 完成集群高级选项配置。

      配置项

      描述

      kube-proxy 代理模式

      支持iptables和IPVS两种模式。
      • iptables:成熟稳定的kube-proxy代理模式,Kubernetes Service的服务发现和负载均衡使用iptables规则配置,但性能一般,受规模影响较大,适用于存在少量Service的集群。
      • IPVS:高性能的kube-proxy代理模式,Kubernetes Service的服务发现和负载均衡使用Linux ipvs模块进行配置,适用于存在大量Service的集群,对负载均衡有高性能要求的场景。

      标签

      为集群绑定标签。输入键和对应的值,单击添加
      说明
      • 是必需的,而是可选的,可以不填写。
      • 不能是aliyun、http://、https://开头的字符串,不区分大小写,最多64个字符。
      • 不能是http:// 或https://,可以为空,不区分大小写,最多128个字符。
      • 同一个资源,标签键不能重复,相同标签键(Key)的标签会被覆盖。
      • 如果一个资源已经绑定了20个标签,已有标签和新建标签会失效,您需要解绑部分标签后才能再绑定新的标签。

      Secret落盘加密

      在ACK@Edge Pro版集群中,选中选择KMS密钥可以使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥加密Kubernetes Secret密钥。设置Secret落盘加密的详情,请参见使用阿里云KMS进行Secret的落盘加密

  5. 单击下一步:Worker配置,完成Worker节点配置。

    说明

    创建ACK@Edge Pro版集群,至少需要配置1个Worker节点,用于部署云端的管控组件。

    配置项

    描述

    实例规格

    支持选择多个实例规格。可通过vCPU内存筛选实例规格,也可选择架构分类
    说明

    选择实例规格后,在已选规格区域依次展示实例规格详情。

    节点池扩容时,将从选中的实例规格中扩容。具体扩容到的实例规格取决于节点池扩缩容策略。选择的实例规格越多,节点池成功弹出节点的概率越大。
    说明

    ACK@Edge Pro版集群的日志、监控、反向通道等一些增强特性需要在云端部署组件,因此默认创建至少一个ECS实例作为Worker节点。

    已选规格

    呈现选中的规格。

    数量

    新增Worker实例(ECS实例)的数量。

    系统盘

    支持ESSD云盘SSD云盘高效云盘。系统盘可选的类型与选择的实例规格相关。查询实例规格支持的云盘类型,请参见实例规格族。如果云盘类型下拉列表没有显示的云盘类型,代表不支持该云盘类型。
    说明
    • ESSD云盘支持自定义性能级别。ESSD云盘容量越大,可供选择的性能级别越高(460 GiB容量以上可选PL2,1260 GiB以上可选PL3)。更多信息,请参见容量范围与性能级别的关系
    • ESSD云盘支持加密,系统盘加密仅支持aes-256加密算法。关于系统盘加密,请参见加密系统盘

    挂载数据盘

    支持ESSD云盘SSD云盘高效云盘。挂载数据盘时,数据盘可选的类型与选择的实例规格相关。查询实例规格支持的云盘类型,请参见实例规格族。如果云盘类型下拉列表没有显示的云盘类型,代表不支持该云盘类型。
    说明
    • ESSD云盘支持自定义性能级别。ESSD云盘容量越大,可供选择的性能级别越高(460 GiB容量以上可选PL2,1260 GiB以上可选PL3)。更多信息,请参见容量范围与性能级别的关系
    • ESSD云盘支持加密。数据盘加密仅支持aes-256加密算法。目前华东5(南京-本地地域)、华东6(福州-本地地域)、泰国(曼谷)和韩国(首尔)地域仅支持阿里云默认使用托管的服务密钥(Default Service CMK)进行加密,不支持自选自定义密钥(BYOK)。关于数据盘加密,请参见加密数据盘
    • 最大可挂载的数据盘数量与选择的实例规格相关,当前已挂载的数据盘数量和剩余可挂载的数据盘数量请在挂载数据盘后面查看。

    登录方式

    • 设置密钥。

      • 密钥对:如您已经创建密钥对,在下拉列表中选择目标密钥对。

      • 新建密钥对:此项用于您还未创建密钥对。创建密钥对,请参见创建SSH密钥对。密钥对创建完毕后,设置该密钥对作为登录集群的凭据。

    • 设置密码。密码为8~30个字符,且必须同时包含三项(大写字母、小写字母、数字和特殊符号),其中特殊字符不包括下划线(_)。

      • 登录密码:设置节点的登录密码。

      • 确认密码:确认设置的节点登录密码。

    说明

    当您勾选云监控插件日志服务时,需要给ECS设置登录方式。

  6. 单击下一步:组件配置,完成组件配置。

    配置项

    描述

    云监控插件

    设置是否启用云监控插件。您可以选中在ECS节点上安装云监控插件,从而在云监控控制台查看所创建ECS实例的监控信息。

    日志服务

    设置是否启用日志服务,您可使用已有Project或新建一个Project。默认选中使用日志服务。创建应用时,您可通过简单配置,快速使用日志服务,详情参见通过日志服务采集Kubernetes容器日志

  7. 单击下一步:确认配置

  8. 阅读并选中服务协议,然后单击创建集群

    说明

    一个包含多节点的ACK@Edge Pro版集群的创建时间一般约为十分钟。

执行结果

  • 集群创建成功后,您可以在容器服务管理控制台的集群列表页面查看所创建的集群。

  • 您可以单击目标集群右侧操作列下的查看日志,在集群日志信息页面查看集群的日志信息。 您也可以在集群日志信息页面中,单击资源栈事件查看更详细的信息。

  • 单击目标集群右侧操作列下的详情,然后单击基本信息连接信息页签,查看集群的基本信息和连接信息。其中:

    • API Server公网连接端点:Kubernetes的API Server对公网提供服务的地址和端口,可以通过此服务在用户终端使用kubectl等工具管理集群。

    • API Service内网连接端点:Kubernetes的API server对集群内部提供服务的地址和端口,此IP为负载均衡的地址。

阿里云首页 容器服务Kubernetes版 相关技术圈