ACK托管集群配置项说明

集群的名称。长度为1~63个字符，可包含数字、下划线（_）或中划线（-），需以英文大小写字母、中文或数字开头。

公测中，请前往配额平台申请。

开启IPv6双栈后，将创建IPv4/IPv6双栈集群。

配置集群的专有网络VPC。您可以指定可用区，自动新建一个VPC，也可以在已有VPC列表中选择已创建的VPC。

勾选专有网络为使用已有时，支持使用选择已有安全组。

支持选择自动创建普通安全组、自动创建企业级安全组、选择已有安全组。

• 自动创建的安全组对于出方向默认全部允许。如果您因为业务原因需要修改，请确保在入方向已放行100.64.0.0/10网段。该网段用于访问阿里云其他服务，以执行镜像拉取、查询ECS基础信息等操作。

• 指定已有安全组时，系统默认不会为安全组配置额外的访问规则，可能会导致访问异常，请自行管理安全组规则，请参见配置集群安全组。

支持Flannel和Terway网络插件。关于两者的详细对比，请参见容器网络插件Terway与Flannel对比。

• Flannel是社区开源的网络插件，在ACK中采用了阿里云VPC专有网络模式，报文经过VPC路由表直接转发，适用于节点规模较小、需要简化网络配置、无需对容器网络进行自定义控制的场景。

• Terway是阿里云自研的网络插件，通过ENI实现Pod的网络通信，提供了基于eBPF的网络加速、NetworkPolicy和Pod级别交换机/安全组等能力，适用于对节点规模、网络性能和安全等有较高需求的高性能计算、游戏、微服务等场景。

  说明

  • 在Terway模式下，节点上可以运行的Pod数均受节点的弹性网卡和辅助IP的配额限制。

  • 网络插件选择Terway时，会使用弹性网卡的辅助IP分配给Pod，一个Pod占用一个弹性网卡辅助IP地址。

  • 当专有网络选择共享VPC时，网络插件仅支持Terway。

  选择Terway时，还支持以下能力。

  • DataPathV2

    使用DataPathv2加速模式，仅支持在创建集群时配置。选中后，Terway会采取不同于共享ENI常规模式的流量转发链路，实现更快的网络通信。更多信息，请参见网络加速。

    说明

    开启后，Terway policy容器预计会在每个Worker节点上多占用0.5核512MB的资源，此消耗会随着集群规模增大而增大。在Terway默认配置中，policy容器的CPU上限为1核，内存无限制。

  • NetworkPolicy 支持

    勾选后，则会支持Kubernetes原生的NetworkPolicy。

    说明

    • 从Terway v1.9.2开始，新建集群NetworkPolicy由eBPF的实现提供，数据面会开启DataPathv2功能。

    • 通过控制台管理NetworkPolicy的功能正在公测中，如果您希望使用，请在配额平台提交申请。

  • Trunk ENI 支持

    支持为每个Pod配置固定IP、独立的虚拟交换机、安全组，提供精细化流量管理、流量隔离、网络策略配置和IP管理能力。更多信息，请参见为Pod配置固定IP及独立虚拟交换机、安全组。

    说明

    • ACK托管集群无需申请即可选择Trunk ENI选项。如果您希望在ACK专有集群中开启Trunk ENI，请先在配额平台提交申请。

    • 从Kubernetes 1.31开始，新建的ACK托管集群会自动启用Trunk ENI功能，无需手动进行选择。

需同时选择IPv6双栈。

为服务网段配置IPv6地址段。配置网段时，必须使用ULA地址，地址段范围在fc00::/7内，且地址前缀长度在112~120之间。推荐和服务网段保持相同的可用地址数量。

关于集群网络地址段规划的更多信息，请参见Kubernetes集群网络规划。

支持iptables和IPVS两种模式。

• iptables：成熟稳定的kube-proxy代理模式。Kubernetes Service的服务发现和负载均衡使用iptables规则配置，但性能一般，受规模影响较大，适用于存在少量Service的集群。

• IPVS：高性能的kube-proxy代理模式。Kubernetes Service的服务发现和负载均衡使用Linux IPVS模块进行配置，适用于存在大量Service的集群，且对负载均衡有高性能要求。

为集群绑定标签，作为云资源的标识。为键值对格式。Key必填，不可重复，最多64个字符；Value选填，最多128个字符。

• Key和Value不支持以aliyun、acs:、https://或http://开头，不区分大小写。

• 同一个资源，Key不能重复，相同Key的标签会被覆盖。

• 如果一个资源已经绑定了20个标签，已有标签和新建标签会失效，需解绑部分标签后重新绑定。

为配置集群本地域名。 默认域名为cluster.local，也支持自定义域名。本地域名是集群中所有Service使用的顶级域名（标准后缀）。例如，处于default命名空间中的名为my-service的Service，它的DNS域名为my-service.default.svc.cluster.local。

自定义本地域名的注意事项，请参见配置集群本地域名（ClusterDomain）有哪些注意事项？。

根据集群Kubernetes版本选择容器运行时。如何选型，请参见containerd、安全沙箱、Docker运行时的对比。

• containerd（推荐）：支持所有版本的集群。

• 安全沙箱：支持1.31及以下版本的集群。

• Docker（已停止支持）：支持1.22及以下版本的集群。

节点池扩容ECS实例时默认采用的付费类型，支持按量付费、包年包月和抢占式实例。

• 包年包月：需配置购买时长以及自动续费。

• 抢占式实例：目前仅支持具有保护期的抢占式实例。需同时配置单台实例上限价格。

  当指定实例规格的实时市场价格低于单台实例上限价格时，能成功创建抢占式实例。超过保护期后（1小时），每5分钟检测一次实例规格的实时市场价格和库存。如果某一时刻的市场价格高于出价或实例规格库存不足，抢占式实例会被释放。使用方式，请参见抢占式实例节点池最佳实践。

为保证节点池统一，按量付费、包年包月节点池与抢占式实例节点池之间不支持转换。例如，对于创建节点池时选择付费类型为按量付费或包年包月的节点池，编辑节点池时不展示抢占式实例；反之亦然。

为集群开启安全加固。创建完成后，加固方案不支持转换。

• 不开启：对ECS实例不进行安全加固。

• 等保加固：阿里云为Alibaba Cloud Linux 2和Alibaba Cloud Linux 3等保2.0三级版镜像提供等保合规的基线检查标准和扫描程序。等保加固在保障原生镜像兼容性和性能的基础上进行了等保合规适配，使其满足国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》。更多信息，请参见ACK等保加固使用说明。

  重要

  等保加固会禁止Root用户通过SSH远程登录。您可通过ECS控制台使用VNC方式登录系统创建可使用SSH的普通用户。具体操作，请参见通过VNC连接实例。

• 阿里云 OS 加固：仅当系统镜像选择Alibaba Cloud Linux 2或Alibaba Cloud Linux 3时，可为节点开启阿里云OS加固。

选择等保加固时，仅支持设置密码。操作系统为ContainerOS时，仅支持设置密钥或创建后设置。

支持设置密钥、设置密码和创建后设置。

• 创建时设置：

  • 设置密钥：阿里云SSH密钥对是一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。

    请同步配置登录名（root登录或ecs-user登录）和所需的密钥对。

  • 设置密码：密码限制为8～30个字符，且必须同时包含大写字母、小写字母、数字和特殊符号。

    请同步配置登录名（root登录或ecs-user登录）和密码。

• 创建后设置：在实例创建完成后，自行绑定密钥对或者重置实例密码。具体操作，请参见绑定SSH密钥对和重置实例登录密码。

支持ESSD AutoPL、ESSD云盘、ESSD Entry、SSD云盘和高效云盘。系统盘可选的类型与选择的实例规格族相关。如果云盘类型下拉列表没有显示的云盘类型，代表不支持该云盘类型。

您可以选择配置更多系统盘类型，配置与系统盘不同的磁盘类型，提高扩容成功率。创建实例时，系统将根据指定的磁盘类型顺序，选择第一个匹配的磁盘类型用于创建实例。

支持ESSD AutoPL、ESSD云盘、ESSD Entry以及上一代云盘（SSD云盘和高效云盘）。数据盘可选的类型与选择的实例规格族相关。如果云盘类型下拉列表没有显示的云盘类型，代表不支持该云盘类型。

• 挂载数据盘时，所有云盘类型均支持加密。选择密钥时，阿里云默认使用服务密钥（Default Service CMK）进行加密，您也可以选择事先在KMS服务中创建好的自定义密钥（BYOK）为该云盘进行加密。

• 在需要容器镜像加速、大模型快速加载等场景下，您还可以使用快照创建数据盘，提升系统的响应速度和处理能力。

• 每个节点上需有一块数据盘被挂载到/var/lib/container（/var/lib/kubelet、/var/lib/containerd将挂载到/var/lib/container目录下）。对于节点上的其他数据盘，您可以进行初始化设置，自定义其挂载目录。使用说明，请参见ACK节点池中数据盘可以自定义目录挂载吗？

为节点添加污点，污点（Taints）包含键、值和Effect（效果）。有效污点键包含前缀（可选）和名称。如果有前缀，用正斜线（/）分隔。更多信息，请参见污点和容忍度。污点有以下限制：

• 键：污点键的名称长度为1~63个字符，必须以字母、数字或字符[a-z0-9A-Z]开头和结尾，中间可包含字母、数字、短划线（-）、下划线（_）、英文半角句号（.）。

  如果指定前缀，必须是DNS子域。即一系列由英文半角句号（.）分隔的DNS标签，不超过253个字符，并以正斜线（/）结尾。关于DNS子域，请参见DNS子域。

• 值：污点值可以为空，不超过63个字符，必须以字母、数字或字符[a-z0-9A-Z]开头和结尾，可包含字母、数字、短划线（-）、下划线（_）、英文半角句号（.）。

• Effect：可选择NoSchedule、NoExecute、PreferNoSchedule三种。

  • NoSchedule：如果污点中存在至少一个Effect值为NoSchedule的污点，则系统不会将Pod分配到该节点。

  • NoExecute：任何不能忍受这个污点的Pod都会被驱逐，任何可以忍受这个污点的Pod都不会被驱逐。

  • PreferNoSchedule：系统会尽量避免将Pod调度到存在其不能容忍污点的节点上，但不会强制执行。

节点名称由前缀、节点IP地址及后缀三部分组成：

• 总长度为2-64个字符。节点名称首尾必须为小写字母和数字。

• 前缀和后缀允许使用大小写字母、数字、连字符（-）和点号（.）。必须以大小写字母开头，不能以连字符（-）或点号（.）开头或结尾。不能连续使用连字符（-）或点号（.）。

• 前缀必选（ECS限制），后缀可选。

例如：节点IP地址为192.XX.YY.55，指定前缀为aliyun.com，后缀为test。

• 如果节点为Linux节点，则节点名称、ECS实例、ECS实例Hostname均为aliyun.com192.XX.YY.55test。

• 如果节点为Windows节点，则ECS实例Hostname为192-XX-YY-55，节点名称、ECS实例名称均为aliyun.com192.XX.YY.55test。

节点加入集群后，将运行您指定的实例自定义数据脚本。关于User-Data脚本，请参见User-Data脚本。

例如，指定实例自定义数据为echo "hello world"，则节点实际运行脚本如下。

#!/bin/bash
[节点初始化脚本]
echo "hello world"

安装后，可在云监控控制台查看所创建ECS实例的监控信息。

该选项仅对节点池新增节点生效，对节点池已有节点无效。已有节点如需安装云监控插件，请通过云监控控制台安装。

是否为节点分配IPv4地址。如果未选中，不会分配公网IP地址，当选择公网IP后，还需配置带宽计费方式和带宽峰值。

该选项仅对节点池新增节点生效，对节点池已有节点无效。已有节点如需访问公网，请配置并绑定弹性公网IP地址。具体操作，请参见将EIP绑定至ECS实例。

是否安装Ingress网络组件，可选不安装。如果有对外暴露服务的需求，推荐安装Ingress组件。

• Nginx Ingress：详细信息和使用说明，请参见创建Nginx Ingress。

• ALB Ingress：安装ALB Ingress组件的选项说明，请参见管理ALB Ingress Controller组件；ALB Ingress的使用方法，请参见创建ALB Ingress。

• MSE Ingress：在ACK集群中通过MSE Ingress访问服务的方法，请参见通过MSE Ingress访问容器服务。