ACK托管集群配置项说明

• Pro版：提供SLA保障，适用于企业生产和测试环境。

• 基础版：资源配额有限，仅供个人学习与测试。

集群资源（ECS实例、云盘等）所处地域。地域与用户和资源部署地域的距离越近，网络时延越低。

集群的Kubernetes版本，推荐使用最新版本。请参见ACK版本支持概览了解ACK的版本支持情况。

仅支持创建最近的三个Kubernetes次要版本的集群。

开启集群的自动升级能力，保持集群控制面和节点池的周期性自动升级。

关于自动升级的策略和说明，请参见自动升级集群。

ACK会且仅会在定义的维护窗口期内执行自动化运维任务，包括集群自动升级、容器运行时自动升级、OS CVE漏洞自动修复等。

仅Flannel需要配置

为Pod分配IP地址的地址池。此网段不能与VPC及VPC内已有ACK集群使用的网段重叠，且不能与服务网段重叠。

仅Flannel需要配置

定义单个节点上可容纳的最大Pod数量。

仅在选择使用Terway插件时需要配置。

即Service CIDR，为集群内部Service分配IP地址的地址池。此网段不能与VPC及VPC内已有集群使用的网段重复，且不能与容器网段重复。

使用共享VPC时请勿勾选

节点需访问公网（拉取公网镜像或访问外部服务）时勾选此项，ACK将自动配置NAT网关和SNAT规则，确保集群内资源可以访问公网。

• VPC中没有NAT网关：ACK自动创建NAT网关，新购EIP，并为集群使用的vSwitch配置SNAT规则。

• VPC已有NAT网关：ACK判断是否需要额外新购EIP以及配置SNAT规则。当无可用EIP时，将自动新购EIP；当不存在VPC级别的SNAT规则时，将为集群使用的vSwitch配置SNAT规则。

若不勾选，也可在创建集群后自行配置NAT网关和SNAT规则，请参见创建和管理公网NAT网关实例。

云资源及计费说明：NAT网关、EIP

推荐开启，防止通过控制台或OpenAPI误删除集群。

将集群归属于选择的资源组，便于权限管理和成本分摊。

一个资源只能归属于一个资源组。

集群使用的时区。默认为浏览器配置的时区。

API Server证书中SAN（Subject Alternative Name）字段默认包括集群本地域名、内网IP、公网EIP等字段。如需通过代理服务器、自定义域名或特殊网络环境访问集群，需将这些访问地址添加到SAN字段中。

如需后续启用，请参见自定义集群API Server证书SAN。

传统模式下Pod的身份凭证永久有效且多个Pod共享，存在安全风险。启用后，每个Pod将获得专属的临时身份凭证，且支持配置自动过期和权限限制。

如需后续启用，请参见使用ServiceAccount Token卷投影。

仅支持Pro版集群

使用在阿里云KMS中创建的密钥对Secret密钥进行专业级加密保护，增强数据安全性。

如需后续启用，请参见使用阿里云KMS进行Secret的落盘加密。

云资源及计费说明：KMS

集群将创建一个OIDC Provider。利用其ServiceAccount的临时OIDC Token，应用Pod可以调用阿里云RAM服务并扮演指定RAM角色，从而安全地获取访问云资源的临时授权，实现Pod级别的权限最小化管理。

如需后续启用，请参见通过RRSA配置ServiceAccount的RAM权限实现Pod权限隔离。

自定义节点池名称。

启用托管节点池，使用ACK提供的自动化运维能力。

如业务对底层节点的变更比较敏感，无法容忍节点的重启以及业务Pod的迁移，不推荐启用。

如需后续启用，可编辑节点池开启。

ACK将自动监控节点状态，并在节点发生异常时自动执行自愈任务。如勾选当节点故障时重启节点，节点自愈过程中可能涉及节点排水、替盘等操作。触发条件、相关事件等，请参见开启节点自愈。

当有可用kubelet版本时，ACK会自动升级，请参见升级节点池。

修复节点池操作系统CVE漏洞，支持配置修复级别。有些漏洞修复完成后需要重启服务器来使其生效，若不跳过需要重启的漏洞修复，ACK会按需自动重启节点；选择跳过时需在修复完成后手动重启节点。

云资源及计费说明：云安全中心

ACK会且仅会在定义的维护窗口期内执行托管节点池的自动化运维操作。

节点池扩容时，会从选定的ECS实例规格族中分配，选择更多可用区下的更多实例规格可提升节点扩容成功率，避免规格不可用或库存不足。具体扩容的实例规格由扩缩容策略决定。

• 具体规格：根据vCPU、内存、规格族、架构等维度指定具体的实例规格。

• 泛化配置：根据属性（vCPU、内存等）选择待使用或需排除的实例规格列表，进一步提升扩容成功率。请参见使用指定实例属性配置节点池。

可参考控制台的弹性强度建议来配置，或在节点池创建后查看节点池弹性强度。

关于ACK不支持的实例规格及节点配置建议，请参见ECS实例规格配置建议。

云资源及计费说明：ECS实例、GPU实例

白名单功能，提交工单申请

弹性临时盘为ECS实例提供高性能、高性价比的临时数据存储空间，适用于存放临时数据（如临时计算中间结果、缓存数据、临时文件等）、高性能计算（对IOPS和吞吐量要求较高）等场景。

仅支持在部分地域和部分ECS实例规格中使用，请参见地域限制、实例规格限制。

您可以选择是否对弹性临时盘进行初始化设置，自定义其挂载目录。

云资源及计费说明：ECS块存储

节点池应该维持的总节点数量。建议至少配置2个节点，以确保集群组件正常运行。您可以通过调整期望节点数，达到扩容或缩容节点池的目的，请参见扩缩容节点池。

如无需创建节点，可填写为0，后续再手动增加。

配置节点池在节点扩缩容时如何选择实例。

• 优先级策略：按集群配置的vSwitch优先级（vSwitch顺序由上到下优先级递减）扩缩容。优先级较高的vSwitch所在可用区无法创建实例时，自动使用下一优先级vSwitch。

• 成本优化策略：按vCPU单价从低到高扩缩容。

  节点池使用抢占式实例时，则抢占式实例优先。支持同时配置按量实例所占比例（%），当抢占式实例规格因库存等原因无法创建时，自动使用按量付费实例来补充。

• 均衡分布策略：在且仅在多可用区场景下将ECS实例均匀分配至多可用区。如果由于库存不足等原因造成可用区分布不平衡，可再次进行均衡操作。

需同时选择付费类型为抢占式实例。

开启后，如果因价格或库存等原因无法创建足够的抢占式实例，ACK将自动尝试创建按量实例作为补充。

云资源及计费说明：ECS实例

需同时选择付费类型为抢占式实例。

为ACK自动创建的ECS实例添加标签，作为云资源标识。每台ECS最多可绑定20个标签。如需提高上限，请到配额平台提交申请。由于ACK和ESS会占用部分标签，您最多可为实例指定17个自定义标签。

新添加的节点注册到集群时默认会被设置为不可调度。您需要在节点列表手动调整节点调度状态。

本配置仅对节点池中新增的节点生效，不对节点池存量节点生效。

仅支持版本为1.6.34及以上的containerd运行时。

新添加的节点将自动识别容器镜像是否支持按需加载功能，若支持则默认通过按需加载加速容器启动，以缩短应用启动时间，详情请参见使用按需加载容器镜像加速容器启动。

节点名称由前缀、节点IP地址及后缀三部分组成。开启后，节点名称、ECS实例名称、ECS实例Hostname也将发生变化。

例如，节点IP地址为192.XX.YY.55，指定前缀为aliyun.com，后缀为test。

• Linux节点：节点名称、ECS实例、ECS实例Hostname均为aliyun.com192.XX.YY.55test。

• Windows节点：其Hostname固定为IP地址，使用-代替IP地址中的.，且不包含前缀和后缀。

  因此，对应的ECS实例Hostname为192-XX-YY-55，节点名称、ECS实例名称均为aliyun.com192.XX.YY.55test。

仅支持1.22及以上版本的ACK托管集群

仅支持在新建节点池时指定

在节点池维度指定一个Worker RAM角色，降低所有节点中共用一个Worker RAM角色可能存在的安全风险。

• 默认角色：使用集群默认创建的Worker RAM角色。

• 自定义：使用指定的角色作为Worker RAM角色，为空时将使用默认角色，详情请参见使用自定义Worker RAM角色。

白名单功能，请提交工单申请。仅支持1.28及以上版本的集群

配置 ECS 实例的元数据访问模式，在ECS实例内部通过访问元数据服务（Metadata Service）获取ECS实例元数据，包括实例ID、VPC信息、网卡信息等实例属性信息，详情请参见元数据访问模式说明。

• 普通模式和加固模式：支持使用普通模式和加固模式两种方式访问实例元数据服务。

• 仅加固模式：仅支持使用加固模式访问实例元数据服务，请参见使用仅加固模式访问ECS实例元数据。

节点加入集群前，将运行指定的实例预自定义User-Data脚本。

例如，指定实例预自定义数据为echo "hello world"，则节点实际运行脚本如下。

#!/bin/bash
echo "hello world"
[节点初始化脚本]

节点初始化时此配置的生效逻辑，请参见实例预自定义数据和实例自定义数据的生效逻辑。

为节点池指定普通安全组或企业级安全组。ACK默认不会为安全组配置额外的访问规则。需自行管理安全组规则，避免访问异常，请参见配置集群安全组。

每台ECS实例支持加入的安全组存在上限，请确保安全组配额充足。

将节点IP添加至RDS实例的白名单。

通过ECS控制台创建部署集后，为节点池指定部署集，使得节点池弹出的节点可分散部署在不同的物理服务器上，提升高可用性。

部署集默认支持的节点上限为20 * 可用区数量（可用区数量由vSwitch决定），节点池内最大节点数将受到限制，需确保部署集内配额充足。

后续如需启用，请参见节点池部署集最佳实践。

当前所选可用区和实例规格下可使用的私有池资源。类型包括：

• 开放：实例将会自动匹配开放类型的私有容量池，如果没有符合条件的私有池，则使用公共池资源启动。

• 不使用：实例不会使用任何私有池容量，直接使用公共池资源启动。

• 指定：需要进一步选择私有池ID来指定实例只使用该私有池容量启动。如果该私有池不可用，则实例启动失败。

安装NodeLocal DNSCache，在节点上缓存DNS解析结果，以提升域名解析性能和稳定性，加速集群内部的服务间调用。

基于CSI存储插件实现数据的持久化存储，可使用阿里云云盘、NAS、OSS、CPFS等存储卷资源。

选择默认创建NAS和CNFS后，ACK会默认创建通用型NAS文件系统并使用容器网络文件系统CNFS进行管理。

云资源及计费说明：NAS

通过容器集群监控服务监控集群健康状况、资源使用率、应用性能等，并在异常时触发相关告警。

• 容器集群监控Pro版：提供托管版的容器监控服务，内置Grafana监控大盘，数据默认存储时长为90天。

  计费规则请参见容器监控计费。如需上报自定义指标，或调整基础存储时长，会产生额外的费用，请参见Prometheus 实例计费。

• 容器集群监控基础版：提供免费、非托管的容器监控服务，内置基础监控大盘，数据默认存储时长为7天。

  组件默认单副本，占用3核 4 GB，需自行运维。如需上报自定义指标，会产生额外的费用，请参见Prometheus 实例计费。

• 不开通：不开通容器监控服务，无法监控容器服务运行状态，也无法创建相关告警。

如需后续启用，请参见使用阿里云Prometheus监控。

云资源及计费说明：Prometheus

提供集群、命名空间、节点池、工作负载的成本和资源使用情况分析，以提升集群资源利用率，节省成本。

如需后续启用，请参见成本洞察。

使用已有SLS Project或新建一个SLS Project，用于收集集群应用日志。

同时将启用集群API Server审计功能，收集对Kubernetes API的请求以及请求结果。

如需后续启用，请参见采集ACK集群容器日志、使用集群API Server审计功能。

• 创建 Ingress Dashboard：在SLS控制台创建Ingress Dashboard，可收集Nginx Ingress访问日志，请参见Nginx Ingress访问日志分析与监控。

• 安装 node-problem-detector 并创建事件中心：在SLS控制台中添加事件中心，实时收集集群中的所有Kubernetes Event，请参见创建并使用K8s事件中心。

云资源及计费说明：SLS

开启容器服务报警管理，基于SLS、可观测监控 Prometheus 版和云监控数据源，在集群出现异常时向报警联系人分组发送报警通知。

将控制面组件日志采集至SLS Project中，以便深入排查问题和定位问题根因。

如需后续启用，请参见采集ACK托管集群控制面组件日志。

云资源及计费说明：SLS

启用智能运维的集群巡检功能，定期扫描集群内配额、资源水位、组件版本等，确保集群配置符合最佳实践，并提前暴露潜在风险。