容器服务 Kubernetes 版提供应用管理、日志监控、网络等多种组件,便于您管理和运维集群。某些组件由ACK自动升级,部分组件需要您手动升级,或按需进行更小粒度的配置。本文介绍如何升级、安装、卸载组件,以及组件概览参考。
前提条件
操作步骤
登录容器服务管理控制台,在左侧导航栏选择集群列表。
在集群列表页面,单击目标集群名称,然后在左侧导航栏,选择
。在组件管理页面,您可以搜索并定位目标组件,在组件卡片上按需进行安装、卸载、升级、修改组件参数等操作。
参考信息
组件类型
容器服务ACK管理的集群组件类型包括系统组件和可选组件:
系统组件:创建ACK集群时,默认安装的组件。
可选组件:创建ACK集群时,可选择安装的组件,用于扩展集群功能。
核心组件
组件名称 | 组件类型 | 描述 |
系统组件 | 控制面组件,负责结合节点资源使用情况和Pod的调度要求将Pod调度到集群的合适节点上。 | |
系统组件 | 在Kubernetes集群中提供管理负载均衡实现跨节点通信的功能。提供Kubernetes与阿里云网络产品的对接能力,例如CLB、NLB、VPC等。 | |
系统组件 | Kubernetes集群的总线和入口网关。 | |
系统组件 | Kubernetes集群内部资源的管理器。 | |
可选组件 | 基于社区开源项目Virtual Kubelet,扩展了对Aliyun Provider的支持,并做了大量优化,实现Kubernetes与ACS和ECI的无缝连接。 |
应用管理
组件名称 | 组件类型 | 描述 |
可选组件 | 提供统一管理多集群应用部署和应用生命周期的应用中心组件。 后续可以使用分布式云容器平台 ACK One提供的应用分发功能来获取多集群应用部署能力。 | |
可选组件 | 提供高效管理应用容器、Sidecar容器及镜像分发功能。 | |
可选组件 | 基于开源项目Velero开发的一个用于备份与迁移Kubernetes应用和PV数据的组件。 |
日志与监控
组件名称 | 组件类型 | 描述 |
系统组件 | ACK提供对接云监控的系统组件。 | |
系统组件 | ACK基于社区开源监控组件进行改造和增强的监控采集和离线组件,并提供Metrics API进行数据消费,提供HPA的能力。 | |
可选组件 | ACK成本分析功能进行数据处理的组件。 | |
可选组件 | ACK基于社区开源项目进行改造和增强的集群节点异常事件监控组件,以及对接第三方监控平台功能的组件。 | |
可选组件 | ack-onepilot是阿里云ARMS针对Kubernetes应用接入场景提供的探针接入助手,实现容器环境中对Java、Golang、Python应用的监控。 | |
可选组件 | ACK集群操作系统内核层的容器监控组件。 | |
可选组件 | 使用ARMS应用监控eBPF版无侵入监控容器部署的应用。 | |
可选组件 | 使用阿里云Prometheus实现容器服务集群监控。 | |
可选组件 | 使用日志服务采集Kubernetes容器日志。 |
存储
组件名称 | 组件类型 | 描述 |
系统组件 | 用于管理存储组件的生命周期。 | |
可选组件 | 支持存储卷的挂载、卸载功能。 创建集群时,默认安装该组件。 | |
可选组件 | 支持存储卷的自动创建能力。 创建集群时,如果选择CSI插件实现阿里云存储的接入能力,默认安装该组件。 | |
可选组件 | 可以使csi-plugin和Flexvolume存储组件实现共存。 |
网络
组件名称 | 组件类型 | 描述 |
系统组件 | ACK集群中默认采用的DNS服务发现插件,其遵循Kubernetes DNS-Based Service Discovery规范。 | |
系统组件 | Kubernetes中用于对服务网络流量进行建模的一系列资源,目标是建立一套表现力强、易扩展、面向角色的服务网络模型。 | |
可选组件 | 使用eRDMA控制器管理eRDMA网卡。 | |
可选组件 | 基于社区开源项目NodeLocal DNSCache的一套DNS本地缓存解决方案。 | |
可选组件 | 基于阿里云应用型负载均衡ALB(Application Load Balancer) ,提供更为强大的Ingress流量管理方式,兼容Nginx Ingress,具备处理复杂业务路由和证书自动发现的能力,支持HTTP、HTTPS和QUIC协议,满足在云原生应用场景下对超强弹性和大规模七层流量处理能力的需求。 | |
可选组件 | 基于MSE云原生网关,适用于微服务场景,兼容Nginx Ingress。支持多种服务发现、认证鉴权以及多语言插件扩展,提供灰度发布、预热和限流等Ingress流量管理能力。 | |
可选组件 | 阿里云开源的Terway CNI插件支持eBPF网络加速和Kubernetes标准的NetworkPolicy,用于定义容器间的访问策略。使用Terway可以实现Kubernetes集群内部的网络互通。创建集群时,选择Terway网络插件会默认安装该组件。 | |
可选组件 | 一种容器网络接口CNI(Container Network Interface)插件,在阿里云上使用的Flannel网络模式采用阿里云VPC模式。 创建集群时,如果选择Flannel网络插件实现集群内部网络互通的话,默认安装该组件。 | |
可选组件 | Nginx Ingress Controller解析Ingress的转发规则。Ingress Controller收到请求,匹配Ingress转发规则转发到后端Service。 | |
可选组件 | ACK自研的容器NetworkPolicy插件。支持Kubernetes标准的NetworkPolicy功能。
| |
可选组件 | 使用Sidecar加速来减少阿里云服务网格中的网络延迟。 |
安全
组件名称 | 组件类型 | 描述 |
可选组件 | ack-advanced-audit组件基于开源项目Falco,使用内核提供的eBPF特性,实现了容器内操作的系统调用审计能力。通过ack-advanced-audit组件实现的容器内部操作审计功能,可以方便您审计组织内成员或应用程序进入容器后执行的命令操作。 | |
可选组件 | ack-pod-identity-webhook组件可以帮您更便捷地使用容器服务提供的RRSA(RAM Roles for Service Accounts)特性,它可以为您的应用Pod自动注入应用依赖的挂载OIDC Token和环境变量配置,免去繁琐的手动配置工作。 | |
可选组件 | ack-ram-authenticator组件是面向ACK托管集群的认证插件,基于Kubernetes原生Webhook Token认证方式,实现通过RAM完成集群API Server的请求认证。同时,该组件通过CRD形式提供RAM身份和RBAC权限的映射关系,帮您更灵活地配置RBAC鉴权。 | |
可选组件 | 帮助您方便地管理和应用集群内的Open Policy Agent(OPA)策略,实现命名空间标签管理等功能。 | |
可选组件 | 部署可信容器环节中进行容器镜像签名验证的关键组件。 | |
可选组件 | aliyun-acr-credential-helper通过读取ACK集群内的kube-system命名空间中的acr-configuration的配置,进行私有镜像拉取。支持以下功能:
| |
可选组件 | 实现策略管理功能的关键组件。 | |
可选组件 | 实现安全巡检功能的关键组件。 |
弹性与调度
组件名称 | 组件类型 | 描述 |
可选组件 | 提供节点即时弹性功能。 | |
可选组件 | 使用ack-kubernetes-cronhpa-controller实现应用负载定时伸缩。 | |
可选组件 | ack-vertical-pod-autoscaler组件能够监控Pod的资源消耗模式,灵活推荐CPU和内存资源分配的配置,并在适当的情况下自动进行调整,而不调整Pod的副本数量。这种能力更适用于需要稳定资源配置的有状态应用的扩容等场景。 | |
可选组件 | AHPA基于应用历史指标预测未来Pod实例数量,帮助您解决弹性滞后的问题。AHPA通过主动预测和被动预测相结合,实时调整资源实例数,并且增加了兜底保护策略,通过设置时间区间的实例数上下界值,实现弹性兜底。 | |
可选组件 | ACK支持差异化SLO(Service Level Objectives)能力的核心应用,可以在保证应用服务质量的同时,充分提升资源使用效率。 |
其他
组件名称 | 组件类型 | 描述 |
可选组件 | 提供管理自定义组件的能力。 | |
可选组件 | 该组件基于原生Argo Workflows开发,并在其基础上有稳定性和性能等方面的增强、支持您在集群中部署大型工作流,主要面向标准化的工作流场景,例如机器学习Pipeline、自动驾驶仿真、基因测序任务、批量数据处理、CI/CD、基础设施自动化等。 | |
可选组件 | 提供镜像按需加载加速能力的客户端插件,以DaemonSet形式部署在Worker节点上。 | |
可选组件 | 安全沙箱运行时提供的专用控制器组件,旨在增强和扩展安全沙箱的基本功能。 | |
可选组件 | 为安全沙箱提供诊断和运维的组件。 | |
可选组件 | 由阿里云容器服务团队和蚂蚁金服安全计算团队针对Intel SGX联合开发的Kubernetes Device Plugin,可以让您更容易地在容器中使用SGX。 |