创建加密计算托管集群ACK-TEE_容器服务 Kubernetes 版 ACK(ACK)-阿里云帮助中心

本文介绍如何在控制台创建阿里云容器服务安全加密计算托管集群（Alibaba Cloud Container Service for Kubernetes-Trusted Execution Environment，简称ACK-TEE）。

索引

前提条件
使用限制
步骤一：登录容器服务管理控制台
步骤二：配置集群
步骤三：配置节点池
步骤四：配置组件
步骤五：确认配置
相关操作

前提条件

使用限制

限制项		说明	配额申请链接/相关文档
费用		用户账户至少需要有100元的余额并通过实名认证，否则无法创建按量付费的ECS实例和负载均衡。	计费概述
网络		ACK集群仅支持专有网络VPC。	什么是专有网络
云资源	ECS实例	仅支持创建按量付费和包年包月的ECS实例。实例创建后，您可以通过ECS管理控制台将按量付费转预付费。	按量付费转包年包月
	VPC路由条目	每个账户初始默认状况下VPC路由条目不超过200条，当ACK集群的网络模式是Flannel时，集群的路由条目最大不能超过200个（网络模式是Terway则不受该影响）。如集群需要更多路由条目数，您需要对目标VPC申请提高配额。	配额中心
	安全组	每个账号默认最多可以创建100个安全组。	查看和提升安全组配额
	负载均衡实例	每个账号默认最多可以创建60个按量付费的负载均衡实例。	配额中心
	EIP	每个账号默认最多可以创建20个EIP。	配额中心

创建加密计算托管集群时，以下界面参数需要按照表中的要求配置，否则创建的集群将无法支持运行Intel SGX应用。

配置项	说明
可用区	目前仅规格族为安全增强计算型c7t、安全增强通用型g7t、安全增强内存型r7t的实例规格支持加密计算集群，请确保所选可用区包含这些实例规格。关于ECS实例规格可购买地域和可用区的更多信息，请参见ECS实例规格可购买地域总览。
容器运行时	Containerd 1.4.4或更高版本
实例规格	选择规格族为安全增强计算型c7t、安全增强通用型g7t、安全增强内存型r7t的实例规格。说明 Intel IceLake仅支持基于Intel SGX DCAP的远程证明方式，不支持基于Intel EPID方式的远程证明方式，您的程序可能需要适配后才能正常使用远程证明功能。关于远程证明的更多信息，请参见attestation-services。
操作系统类型	Alibaba Cloud Linux 2.xxxx 64位UEFI版
网络插件	Flannel

步骤一：登录容器服务管理控制台

登录容器服务管理控制台，在左侧导航栏选择集群。
在集群列表页面，单击创建集群。
在选择集群模板页面的托管集群区域选择加密计算托管集群，并单击创建。

步骤二：配置集群

在ACK 托管版页面，完成集群基础选项配置和高级选项配置。

集群基础选项

配置项	描述
账号全部资源	将鼠标悬浮于页面上方的账号全部资源，选择资源组。在控制台页面顶部选择的资源组可过滤出该资源组内的专有网络及对应的虚拟交换机。在创建集群时，只显示过滤的专有网络实例及专有网络对应的虚拟交换机实例。
集群名称	集群的名称。长度为1~63个字符，可包含数字、下划线（_）或中划线（-），需以英文大小写字母、中文或数字开头。
集群规格	选择集群规格，支持Pro 版和基础版。企业生产和测试环境中推荐使用ACK集群Pro版。ACK集群基础版仅供个人学习与测试使用。
地域	集群所在的地域。
付费类型	支持按量付费和包年包月两种付费类型。选择包年包月时，需设置以下参数。说明设置付费类型为包年包月时，仅ECS云服务器和SLB负载均衡按照包年包月的方式计费，其他云资源仍然按照按量付费的方式计费。关于云资源的详细介绍，请参见云产品资源计费。购买时长：目前支持选择1、2、3、6个月和1~3年。自动续费：设置是否自动续费。
Kubernetes 版本	当前支持的Kubernetes版本。
加密计算	选中开启。
IPv6双栈	开启IPv6双栈将创建双栈Kubernetes集群。双栈功能正在公测中，如需使用请前往配额平台申请。重要仅1.22及以上版本的集群支持IPv6双栈功能。 Worker节点与控制面之间的通信使用IPv4地址。需要使用Terway容器网络插件。使用Terway共享ENI模式时，ECS的规格需要支持IPv6地址，且支持的IPv4地址数量与IPv6地址数量相同，才能正常加入集群。ECS规格的详细信息请参见实例规格族。集群使用的VPC及ECS需要支持IPv6双栈。集群使用eRDMA功能需要关闭IPv6双栈。
专有网络	设置集群的网络，您可以选择普通VPC和共享VPC。共享VPC：VPC的所有者账号（资源所有者）可以将其账号下的VPC内的交换机资源共享给其组织内的其他账号使用。普通VPC：不具备共享功能的VPC。说明 ACK集群仅支持专有网络。您可以在已有VPC列表中选择所需的VPC。如果没有您需要的专有网络，可以通过单击创建专有网络进行创建，请参见创建和管理专有网络。
网络插件	加密计算仅支持Flannel。
交换机	设置虚拟交换机。您可以在已有虚拟交换机列表中，根据可用区选择交换机。如果没有您需要的交换机，可以通过单击创建虚拟交换机进行创建，请参见创建和管理交换机。
容器网段	网络插件选择Flannel时，需要配置容器网段。 Flannel网络插件需要配置容器网段，网段不能和VPC及VPC已有ACK集群使用的网段重复，创建成功后不能修改，而且服务地址段不能和容器地址段重复。有关集群网络地址段规划的信息，请参见Kubernetes集群网络规划。
节点 Pod 数量	如果网络模式为Flannel，需设置节点 Pod 数量。
服务网段	设置服务网段。需要指定服务网段，网段不能与VPC及VPC内已有ACK集群使用的网段重复，创建成功后不能修改，而且服务地址段也不能和容器地址段重复。有关集群网络地址段规划的信息，请参见Kubernetes集群网络规划。
IPv6 服务网段	开启IPv6双栈后，您需要为服务网段配置IPv6地址段。配置网段时，请注意：必须使用ULA地址，地址段范围在fc00::/7内，且地址前缀长度在112~120之间。推荐和服务网段保持相同的可用地址数量。关于集群网络地址段规划的信息，请参见Kubernetes集群网络规划。
配置 SNAT	创建集群时，默认选中。如果您选择的VPC不具备公网访问能力，选中为专有网络配置 SNAT后，ACK将为您创建NAT网关并自动配置SNAT规则。
API server 访问	您可为API Server所使用的CLB选择按量付费或包年包月付费类型。重要删除默认创建的CLB实例会导致API Server无法访问。您可以手动转换计费方式，请参见按量付费。自2024 年12月01日起，新创建CLB实例不再支持包年包月付费类型，同时将新增收取实例费。详细信息请参见【产品公告】关于取消新增集群API Server负载均衡CLB包年包月付费的公告、传统型负载均衡CLB计费项调整公告。您可设置是否开放使用 EIP 暴露 API Server。API Server提供了各类资源对象（Pod，Service等）的增删改查及Watch等HTTP Rest接口。开放：ACK会创建一个EIP，并挂载到SLB上。此时，Master节点的6443端口（对应API Server）会暴露出来，您可以在外网通过KubeConfig连接并操作集群。不开放：不会创建EIP，仅能在VPC内使用KubeConfig连接并操作集群。
安全组	选择自动创建普通安全组、自动创建企业级安全组、选择已有安全组。关于安全组的详细内容，请参见安全组概述。说明仅白名单用户可以使用选择已有安全组功能，请前往配额平台申请。指定已有安全组时，系统默认不会为安全组配置额外的访问规则，可能会导致访问异常，请自行管理安全组规则。关于如何管理安全组规则，请参见配置集群安全组。 ACK对于安全组出方向默认全部允许，如果您因为业务原因需要修改，请确保放行100.64.0.0/10网段。该网段用于镜像拉取、查询ECS基础信息等。
集群删除保护	是否启用集群删除保护。推荐开启，以防止通过控制台或OpenAPI误删除集群。
资源组	创建的集群将归属于选择的资源组。一个资源只能归属于一个资源组。根据不同的业务场景，您可以将资源组映射为项目、应用或组织等概念。

集群高级选项

单击显示高级选项，配置集群高级选项。

展开查看集群高级选项

配置项	描述
时区	集群所要使用的时区。默认时区为浏览器所配置的时区。
服务转发模式	支持iptables和IPVS两种模式。 iptables：成熟稳定的kube-proxy代理模式。Kubernetes Service的服务发现和负载均衡使用iptables规则配置，但性能一般，受规模影响较大，适用于存在少量Service的集群。 IPVS：高性能的kube-proxy代理模式。Kubernetes Service的服务发现和负载均衡使用Linux IPVS模块进行配置，适用于存在大量Service的集群，且对负载均衡有高性能要求。
标签	为集群绑定标签。输入键和对应的值，单击添加。说明键为必需的，值为可选。键不能是aliyun、http://、https://开头的字符串，不区分大小写，最多64个字符。值不能是http:// 或https://，可以为空，不区分大小写，最多128个字符。同一个资源，标签键不能重复，相同标签键（Key）的标签会被覆盖。如果一个资源已经绑定了20个标签，已有标签和新建标签会失效，需解绑部分标签后再绑定新的标签。
集群本地域名	是否配置集群本地域名。说明默认域名为`cluster.local`，您可以自定义域名。域名由两段组成，每段不超过63个字符，且只能使用大小写字母和数字，不能为空。
自定义证书 SAN	在集群API Server服务端证书的SAN（Subject Alternative Name）字段中添加自定义的IP或域名，以实现对客户端的访问控制。具体操作，请参见自定义集群API Server证书SAN。
服务账户令牌卷投影	开启服务账户令牌卷投影以降低在Pod中使用Service Account遇到的安全性问题，可使得kubelet支持基于Pod粒度的Token签发，并且支持Token audience和过期时间的配置。更多信息，请参见使用ServiceAccount Token卷投影
Secret 落盘加密	在ACK集群Pro版中，选中选择 KMS 密钥可以使用在阿里云密钥管理服务KMS（Key Management Service）中创建的密钥加密Kubernetes Secret密钥。更多信息，请参见使用阿里云KMS进行Secret的落盘加密。

步骤三：配置节点池

单击下一步：节点池配置，完成节点池基础选项配置和高级选项配置。

节点池基础选项

配置项	描述
节点池名称	自定义的节点池名称。
托管节点池	是否开启托管功能。
集群维护窗口	选中开启托管节点池后，可设置此配置项。托管节点池将在维护窗口进行自动化升级，例如节点池镜像升级、运行时升级、Kubernetes版本等。更多信息，请参见托管节点池概述。单击设置，在集群维护窗口对话框，设置维护周期、维护起始时间以及维护时长，然后单击确定。
容器运行时	根据集群Kubernetes版本选择容器运行时。 containerd：推荐使用，支持所有版本的集群。安全沙箱：支持1.24及以下版本的集群。 Docker：支持1.22及以下版本的集群。更多信息，请参见如何选择Docker运行时、containerd运行时、或者安全沙箱运行时？。
实例规格及已选规格	目前仅规格族为安全增强计算型c7t、安全增强通用型g7t、安全增强内存型r7t的实例规格支持运行Intel SGX2.0应用。
期望节点数	节点池应该维持的总节点数量。您可以通过调整期望节点数，达到扩容或缩容节点池的目的。如无需创建节点，可以填写为0。更多信息，请参见扩缩容节点池。说明建议创建时最少选择两台，创建好之后，可以根据您的实际情况，加减节点。节点太少或者规格太低，会影响集群组件的运行。
系统盘	支持ESSD AutoPL、ESSD云盘、ESSD Entry、SSD云盘和高效云盘。系统盘可选的类型与选择的实例规格相关。如果云盘类型下拉列表没有显示的云盘类型，代表不支持该云盘类型。关于云盘的更多信息，请参见块存储概述；查询实例规格支持的云盘类型，请参见实例规格族。说明 ESSD云盘支持自定义性能级别。ESSD云盘容量越大，可供选择的性能级别越高（460 GiB容量以上可选PL2，1260 GiB以上可选PL3）。更多信息，请参见容量范围与性能级别的关系。创建系统盘时，仅ESSD云盘支持加密。选择密钥时，阿里云默认使用服务密钥（Default Service CMK）进行加密，您也可以选择事先在KMS服务中创建好的自定义密钥（BYOK）为该云盘加密。您可以选择配置更多系统盘类型，配置与系统盘不同的磁盘类型，提高扩容成功率。创建实例时，系统将根据指定的磁盘类型顺序，选择第一个匹配的磁盘类型用于创建实例。
数据盘	支持ESSD AutoPL、ESSD云盘、ESSD Entry以及上一代云盘（SSD云盘和高效云盘）。挂载数据盘时，数据盘可选的类型与选择的实例规格相关。如果云盘类型下拉列表没有显示的云盘类型，代表不支持该云盘类型。关于云盘的更多信息，请参见块存储概述；查询实例规格支持的云盘类型，请参见实例规格族。 ESSD AutoPL还支持：预配置性能：在保持存储容量大小不变的情况下，可以结合实际业务的需求量灵活配置云盘的预配置性能，从而实现云盘容量与性能解耦。性能突发：开启后，波动性业务面临突发的数据读写压力时，云盘会根据业务实际情况临时提升云盘性能，直至业务恢复至平稳状态。 ESSD云盘还支持：自定义性能级别。ESSD云盘容量越大，可供选择的性能级别越高（460 GiB容量以上可选PL2，1260 GiB以上可选PL3）。更多信息，请参见容量范围与性能级别的关系。挂载数据盘时，所有云盘类型均支持加密。选择密钥时，阿里云默认使用服务密钥（Default Service CMK）进行加密，您也可以选择事先在KMS服务中创建好的自定义密钥（BYOK）为该云盘进行加密。在需要容器镜像加速、大模型快速加载等场景下，您还可以使用快照创建数据盘，提升系统的响应速度和处理能力。每个节点上需有一块数据盘被挂载到`/var/lib/container`（`/var/lib/kubelet`、`/var/lib/containerd`将挂载到`/var/lib/container`目录下）。对于节点上的其他数据盘，您可以进行初始化设置，自定义其挂载目录。使用说明，请参见ACK节点池中数据盘可以自定义目录挂载吗？说明一台ECS实例最多可挂载64块数据盘，不同实例规格支持挂载的最多云盘数量不同。实例规格支持挂载的云盘数量上限，可以通过DescribeInstanceTypes接口查询（DiskQuantity）。
操作系统	仅支持Alibaba Cloud Linux 2.xxxx 64位UEFI版。
安全加固	不开启：对ECS实例不进行安全加固。等保加固：仅当系统镜像选择Alibaba Cloud Linux 2或Alibaba Cloud Linux 3时，可为节点开启等保加固。阿里云为Alibaba Cloud Linux 2和Alibaba Cloud Linux 3等保2.0三级版镜像提供等保合规的基线检查标准和扫描程序。更多信息，请参见ACK等保加固使用说明。重要等保加固在保障原生镜像兼容性和性能的基础上进行了等保合规适配，使其满足国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》。等保加固会禁止Root用户通过SSH远程登录。您可通过ECS控制台使用VNC方式登录系统创建可使用SSH的普通用户。具体操作，请参见使用VNC登录实例。阿里云 OS 加固：仅当系统镜像选择Alibaba Cloud Linux 2或Alibaba Cloud Linux 3时，可为节点开启阿里云OS加固。说明集群创建完成后，安全加固选项不支持修改。
登录方式	目前支持设置密钥、设置密码和创建后设置。说明当安全加固类型选择等保加固时，仅支持设置密码。创建时设置：设置密钥：阿里云SSH密钥对是一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。更多信息，请参见SSH密钥对概述。设置密码：密码限制为8～30个字符，且必须同时包含大写字母、小写字母、数字和特殊符号。创建后设置：在实例创建完成后，自行绑定密钥对或者重置实例密码。具体操作，请参见绑定SSH密钥对和重置实例登录密码。
公网 IP	是否为节点分配IPv4地址。如果未选中，不会配公网IP地址，当选择公网IP后，还需配置带宽计费方式和带宽峰值。说明该选项仅对节点池新增节点生效，对节点池已有节点无效。已有节点如需访问公网，请配置并绑定弹性公网IP地址。具体操作，请参见将EIP绑定至ECS实例。
云监控插件	是否安装云监控插件。安装后，可在云监控控制台查看所创建ECS实例的监控信息。说明该选项仅对节点池新增节点生效，对节点池已有节点无效。已有节点如需安装云监控插件，请通过云监控控制台安装。

节点池高级选项

单击显示高级选项，配置节点池高级选项。

展开查看节点池高级选项

配置项	描述
实例保护	设置是否启用实例保护。说明为防止通过控制台或API误释放集群节点，默认启用实例保护。
ECS 标签	为弹出的ECS添加标签，标签键不可重复。最大长度为128个字符，标签键和标签值不能以`aliyun`、`acs:`开头，不能包含`https://`、`http://`。一台ECS可绑定标签的上限为20个。如需提高上限，请到配额平台提交申请。由于ACK和ESS存在以下标签占用，因此最多可指定17个ECS标签。 ACK默认占用两个ECS标签。 `ack.aliyun.com:<您的集群ID>` `ack.alibabacloud.com/nodepool-id:<您的节点池ID>` ESS默认占用1个ECS标签：`acs:autoscaling:scalingGroupId:<您的节点池伸缩组ID>`。说明开启弹性伸缩后，因弹性伸缩将默认占用两个ECS标签，因此节点池会额外占用两个ECS标签：`k8s.io/cluster-autoscaler:true`和`k8s.aliyun.com:true`。自动伸缩组件为了预检测弹出节点的调度行为，需依靠ECS标签记录K8s的节点标签和污点。因此，节点的每个标签都会被转为`k8s.io/cluster-autoscaler/node-template/label/标签键：标签值`；节点的每个污点会被转为`k8s.io/cluster-autoscaler/node-template/taint/污点键/污点值：污点效果`。
污点（Taints）	为节点添加污点，污点（Taints）包含键、值和Effect（效果）。有效污点键包含前缀（可选）和名称。如果有前缀，用正斜线（/）分隔。更多信息，请参见污点和容忍度。污点有以下限制：键：污点键的名称长度为1~63个字符，必须以字母、数字或字符`[a-z0-9A-Z]`开头和结尾，中间可包含字母、数字、短划线（-）、下划线（_）、英文半角句号（.）。如果指定前缀，必须是DNS子域。即一系列由英文半角句号（.）分隔的DNS标签，不超过253个字符，并以正斜线（/）结尾。关于DNS子域，请参见DNS子域。值：污点值可以为空，不超过63个字符，必须以字母、数字或字符`[a-z0-9A-Z]`开头和结尾，可包含字母、数字、短划线（-）、下划线（_）、英文半角句号（.）。 Effect：可选择NoSchedule、NoExecute、PreferNoSchedule三种。 NoSchedule：如果污点中存在至少一个Effect值为NoSchedule的污点，则系统不会将Pod分配到该节点。 NoExecute：任何不能忍受这个污点的Pod都会被驱逐，任何可以忍受这个污点的Pod都不会被驱逐。 PreferNoSchedule：系统会尽量避免将Pod调度到存在其不能容忍污点的节点上，但不会强制执行。
节点标签	为节点添加标签，标签是键值对。有效标签键包含前缀（可选）和名称，如果有前缀，前缀和名称之间用正斜线（/）分隔。标签有以下限制：标签键的名称长度为1~63个字符，必须以字母数字字符`[a-z0-9A-Z]`开头和结尾，中间可包含字母、数字、短划线（-）、下划线（_）、英文半角句号（.）。如果指定前缀，必须是DNS子域。即一系列由英文半角句号（.）分隔的DNS标签，不超过253个字符，以正斜线（/）结尾。关于DNS子域，请参见DNS子域。标签键中以下前缀由Kubernetes核心组件保留，不支持指定。 `kubernetes.io/` `k8s.io/` 以`kubernetes.io/`和`k8s.io/`结尾的前缀。例如`test.kubernetes.io/`。以下除外： `kubelet.kubernetes.io/` `node.kubernetes.io` 以`kubelet.kubernetes.io/`结尾的前缀。以`node.kubernetes.io`结尾的前缀。标签值可以为空，不超过63个字符，必须以字母数字字符`[a-z0-9A-Z]`开头和结尾，可包含字母、数字、短划线（-）、下划线（_）和英文半角句号（.）。选中设置为不可调度后，新添加的节点注册到集群时默认设置为不可调度。如果想打开存量节点的调度选项，可在集群节点列表中开启。
扩缩容策略	优先级策略：根据以上配置的虚拟交换机的优先级进行扩缩容（选择的虚拟交换机的顺序，由上到下优先级递减）。当优先级较高的虚拟交换机所在可用区无法创建ECS实例时，自动使用下一优先级的虚拟交换机创建ECS实例。成本优化策略：按vCPU单价从低到高尝试创建。当伸缩配置已设置抢占式计费方式的多实例规格时，优先创建对应抢占式计费实例。当抢占式计费实例规格由于库存等原因无法创建时，自动尝试以按量付费的方式创建。当付费类型为抢占式实例时，除允许抢占式实例补偿外，您还可以配置以下参数：按量实例所占比例%：节点池实例中按量实例应占的比例，取值范围为[0,100]。允许按量实例补偿：开启后，如果因价格或库存等原因无法创建足够的抢占式实例，伸缩组将自动尝试创建按量实例，以满足ECS实例数量要求。均衡分布策略：只有设置多个专有网络交换机时，均衡分布策略才能生效。在伸缩组指定的多可用区（即指定多个专有网络交换机）之间均匀分配ECS实例。如果由于库存不足等原因造成可用区之间不平衡，您可以再次进行均衡操作，以平衡资源的可用区分布。重要节点池创建完成后，扩缩容策略不支持编辑。当付费类型为抢占式实例时，您可以设置是否开启允许抢占式实例补偿。开启后，当收到抢占式实例将被回收的系统消息时（即抢占式实例被回收前5分钟左右），开启弹性的节点池将尝试创建新的实例，替换掉将被回收的抢占式实例。重要节点池创建完成后，扩缩容策略不支持编辑。
CPU Policy	指定kubelet节点的CPU管理策略。 None：默认策略。 Static：允许为节点上具有某些资源特征的Pod赋予增强的CPU亲和性和独占性。更多信息，请参见CPU管理策略。
自定义镜像	配置自定义镜像后，自定义镜像将取代默认系统镜像。自定义ECS镜像：集群所有节点将基于此镜像进行部署。关于创建自定义镜像操作，请参见基于自定义镜像创建集群或节点池。共享ECS镜像：集群所有节点将基于此镜像进行部署。关于共享镜像的更多信息，请参见操作步骤。重要请基于ACK集群支持的操作系统制作自定义镜像。详细信息，请参见操作系统镜像概述。请勿使用ACK集群中正在运行的ECS实例制作自定义镜像。如需使用，请先从集群移除，请参见移除节点。自定义镜像中预定义的行为逻辑可能影响集群节点初始化、容器运行、节点OS升级、托管节点池的节点自动恢复等操作。在生产环境使用前，请确保已经过严格的测试验证。
RDS 白名单	单击请选择您想要添加白名单的RDS实例，将节点IP添加至RDS实例的白名单。
自定义节点名称	是否开启自定义节点名称。自定义节点名称后，将同时更改节点名称、ECS实例名称、ECS实例Hostname。说明对于开启自定义节点名称的Windows实例，其Hostname固定为IP地址，使用`-`代替IP地址中的`.`，且不包含前缀和后缀。节点名称由前缀、节点IP地址及后缀三部分组成：总长度为2-64个字符。节点名称首尾必须为小写字母和数字。前缀和后缀允许使用大小写字母、数字、连字符（-）和点号（.）。必须以大小写字母开头，不能以连字符（-）或点号（.）开头或结尾。不能连续使用连字符（-）或点号（.）。前缀必选（ECS限制），后缀可选。例如：节点IP地址为192.XX.YY.55，指定前缀为aliyun.com，后缀为test。如果节点为Linux节点，则节点名称、ECS实例、ECS实例Hostname均为aliyun.com192.XX.YY.55test。如果节点为Windows节点，则ECS实例Hostname为192-XX-YY-55，节点名称、ECS实例名称均为aliyun.com192.XX.YY.55test。
实例自定义数据	节点加入集群后，将运行您指定的实例自定义数据脚本。关于User-Data脚本，请参见User-Data脚本。例如，指定实例自定义数据为`echo "hello world"`，则节点实际运行脚本如下。 `#!/bin/bash [节点初始化脚本] echo "hello world"` 说明创建集群或扩容节点成功不代表实例自定义脚本执行成功。您可以登录节点执行`grep cloud-init /var/log/messages`命令查看执行日志。

步骤四：配置组件

单击下一步：组件配置，完成组件基础选项配置和高级选项配置。

组件基础配置

配置项	描述
Ingress	设置是否安装Ingress网络组件。如果有对外暴露服务的需求，则推荐安装Ingress组件。默认为Nginx Ingress。可选择不安装。 Nginx Ingress：详细信息和使用说明，请参见创建Nginx Ingress。 ALB Ingress：安装ALB Ingress组件的选项说明，请参见管理ALB Ingress Controller组件。ALB Ingress的使用方法，请参见创建ALB Ingress。 MSE Ingress：关于如何在ACK集群中通过MSE Ingress访问服务，请参见通过MSE Ingress访问容器服务。
服务发现	设置是否安装NodeLocal DNSCache组件，默认安装NodeLocal DNSCache。 NodeLocal DNSCache用于运行DNS缓存代理以提升域名解析性能和稳定性。关于NodeLocal DNSCache的更多信息，请参见使用NodeLocal DNSCache。
存储插件	默认是CSI存储插件。默认选中创建默认NAS文件系统和CNFS容器网络文件系统动态存储类型，并默认开启 NAS 回收站特性，支持数据快速恢复。Kubernetes集群通过Pod可自动绑定阿里云云盘、NAS、OSS存储服务。更多信息，请参见存储管理-CSI。
容器监控	是否使用容器集群监控服务，为ACK集群提供基础监控和报警。
日志服务	默认选中创建 Ingress Dashboard，您可以选择是否在日志服务控制台中创建 Ingress Dashboard。更多信息，请参见Nginx Ingress访问日志分析与监控。
报警配置	默认选中使用默认报警模板配置报警，开启默认报警规则。开启后，可以设置报警通知联系人分组，默认为Default Contact Group。详细介绍，请参见容器服务报警管理。
控制平面组件日志	默认选中开启，将从ACK控制层收集托管集群控制平面组件日志到您账号中的SLS日志服务的Log Project中。更多信息，请参见收集ACK托管集群控制平面组件日志。
集群巡检	启用智能运维的集群巡检功能，定期扫描集群内配额、资源水位、组件版本等，识别集群内潜在的风险。更多信息，请参见使用集群巡检。

组件高级选项

单击显示高级选项，选中需要安装的组件。

步骤五：确认配置

单击下一步：确认配置，确认配置信息，仔细阅读并选中服务协议，然后单击创建集群。

集群创建成功后，您可以在容器服务管理控制台的集群列表页面查看所创建的集群。

说明

一个包含多节点的集群的创建时间一般约为十分钟。

索引