ACK托管集群配置项说明

本文介绍在控制台创建ACK托管集群时涉及的各项配置,包括配置项说明、配置建议、关联使用的云资源等。

  • 表格中的是否支持修改列中,✓代表创建后仍可修改;✗代表创建后不可修改,需重点关注。

  • 表格中涉及的云资源图标及名称(例如imageECS实例)表示启用配置后会级联创建或使用其他阿里云云资源。您可以点击资源名称,跳转查看对应产品的计费说明。

集群配置

本小节定义了整个集群的全局属性,包括版本、网络配置等。网络配置定义了集群的底层通信架构。部分选项在创建后无法修改,请谨慎规划。

基础配置

配置项

描述

是否支持修改

集群名称

自定义集群名称。

集群规格

  • Pro版:提供SLA保障,适用于企业生产和测试环境。

  • 基础版:资源配额有限,仅供个人学习与测试。

详细对比,请参见集群

仅支持基础版迁移至Pro

地域

集群资源(ECS实例、云盘等)所处地域。地域与用户和资源部署地域的距离越近,网络时延越低。

Kubernetes 版本

集群的Kubernetes版本,推荐使用最新版本。请参见ACK版本支持概览了解ACK的版本支持情况。

仅支持创建最近的三个Kubernetes次要版本的集群。

支持手动升级集群自动升级集群

自动升级

开启集群的自动升级能力,保持集群控制面和节点池的周期性自动升级。

关于自动升级的策略和说明,请参见自动升级集群

集群维护窗口

ACK会且仅会在定义的维护窗口期内执行自动化运维任务,包括集群自动升级、容器运行时自动升级、OS CVE漏洞自动修复等。

为便于理解,下表与控制台配置项顺序稍有差异。

定义集群网络边界与高可用基础

本小节将通过定义专有网络(VPC)、交换机(vSwitch)和安全组,确定集群的网络边界、高可用保障以及基础安全访问策略。

配置项

描述

是否支持修改

专有网络

集群的专有网络VPC。为保障高可用,建议选择2个及以上不同可用区。

  • 自动创建:ACK在已选择的可用区下创建对应vSwitch。

  • 使用已有:选择vSwitch,指定集群的可用区,可新建或使用已有vSwitch。

云资源及计费说明:imageVPC

安全组

使用已有VPC时,支持使用选择已有安全组

安全组应用于集群控制面、默认节点池和未指定自定义安全组的节点池。

相较于普通安全组,企业级安全组可以容纳更多私网IP地址数量,但不支持组内互通功能,详细对比请参见安全组分类

  • 自动创建:出方向默认全部允许,入方向基于推荐配置放行。后续如需修改,请确保在入方向已放行100.64.0.0/10网段。

    该网段用于访问阿里云其他服务,以执行镜像拉取、查询ECS基础信息等操作。
  • 使用已有:ACK默认不会为安全组配置额外的访问规则。需自行管理安全组规则,以避免访问异常,请参见配置集群安全组

选择Pod的网络模型与地址规划

本小节将配置网络插件(CNI),网络插件影响着网络性能、可用功能(如NetworkPolicy),以及IP地址的管理方式。然后,您需要进一步规划集群内部应用(Pod)和Service的通信规则与地址体系。

建议提前进行集群网络地址段规划,请参见ACK托管集群网络规划

配置项

描述

是否支持修改

网络插件

网络插件是集群中Pod之间网络通信的基础。

关于两者的详细对比,请参见容器网络插件TerwayFlannel对比
  • Flannel:社区开源的轻量级网络插件,在ACK中采用了与阿里云VPC深度集成的VPC专有网络模式,通过直接管理VPC路由表实现Pod间通信。

    • 适用场景:配置简单,资源消耗少,适用于节点规模较小(受VPC路由表配额限制)、需要简化网络配置、无需对容器网络进行自定义控制的场景。

  • Terway:阿里云自研的高性能网络插件,基于弹性网卡ENI实现Pod间通信。

    • 适用场景:提供基于eBPF的网络加速、NetworkPolicyPod级别的vSwitch及安全组等能力,适用于对节点规模、网络性能和安全等有较高需求的高性能计算、游戏、微服务等场景。

    • Pod数量限制:每个Pod占用ENI的一个辅助IP地址,单个ENI可分配的IP有限(取决于实例规格)。因此,节点上可运行的Pod数会受到节点的ENI和辅助IP的配额限制。

      使用共享VPC时,仅支持Terway。

    Terway还提供以下能力。

    详细能力介绍请参见使用Terway网络插件
    • DataPathV2

      仅支持在创建集群时配置

      开启DataPathv2加速模式,Terway将使用eBPF技术优化流量转发路径,为网络密集型应用提供更低的延迟和更高的吞吐量。

      仅支持Alibaba Cloud Linux 3(所有版本)、ContainerOS、Ubuntu,且Linux内核版本需为5.10及以上。详细介绍请参见网络加速

    • NetworkPolicy 支持

      公测中,请在配额平台申请

      支持Kubernetes原生的NetworkPolicy,以实现Pod间的“防火墙”,自定义精细的访问控制规则,以提升集群安全性。

    • Trunk ENI 支持

      允许为Pod配置独立的IP、vSwitch和安全组,适用于需要固定IP或需要对特定Pod进行独立网络策略管理的特殊业务场景,请参见Pod配置固定IP及独立虚拟交换机、安全组

容器网段

Flannel需要配置

Pod分配IP地址的地址池。此网段不能与VPCVPC内已有ACK集群使用的网段重叠,且不能与服务网段重叠。

节点 Pod 数量

Flannel需要配置

定义单个节点上可容纳的最大Pod数量。

Pod 交换机

仅在选择使用Terway插件时需要配置。

Pod分配IP的虚拟交换机。每个Pod虚拟交换机分别对应一个Worker节点的虚拟交换机,Pod虚拟交换机和Worker节点的虚拟交换机的可用区需保持一致。

重要

Pod虚拟交换机的网段掩码建议不超过19,最大不超过25,否则集群网络可分配的Pod IP地址非常有限,会影响集群的正常使用。

服务网段

Service CIDR,为集群内部Service分配IP地址的地址池。此网段不能与VPCVPC内已有集群使用的网段重复,且不能与容器网段重复。

IPv6双栈

仅支持1.22及以上版本,仅支持Terway,不支持与eRDMA功能同时使用

集群同时支持IPv4IPv6协议,但Worker节点与控制面间的通信仍使用IPv4地址。需确保:

  • 集群VPC支持IPv6双栈。

  • 使用Terway共享ENI模式时,节点的实例规格需支持IPv6且支持的IPv4/IPv6地址数量相同。

IPv6 服务网段

需同时开启IPv6双栈

Service网段配置IPv6地址段。需使用ULA地址(fc00::/7范围内),地址前缀长度在/112~/120之间。推荐与服务网段的可用地址数量保持一致。

服务转发模式

选择kube-proxy代理模式,即集群Service如何将请求分发至后端Pod。

  • iptables:基于Linux防火墙规则实现流量转发,使用稳定但性能有限。Service数量增加时,防火墙规则也会成倍增长,导致请求处理变慢,适用于存在少量Service的集群。

  • IPVS:高性能的流量分发方案,采用哈希表方式快速定位目标Pod,处理大量Service请求时延时更低。适用于大规模生产集群或对网络性能要求较高的场景。

配置集群公网入口与出口

此步骤定义了集群与公网之间的双向通信,包括集群管控公网入口(如何从外部通过API Server管理集群)和集群公网出口(集群内的节点和应用如何访问互联网,例如拉取公网镜像),以及如何配置服务转发机制。

配置项

描述

是否支持修改

为专有网络配置 SNAT

使用共享VPC时请勿勾选

节点需访问公网(拉取公网镜像或访问外部服务)时勾选此项,ACK将自动配置NAT网关和SNAT规则,确保集群内资源可以访问公网。

  • VPC中没有NAT网关:ACK自动创建NAT网关,新购EIP,并为集群使用的vSwitch配置SNAT规则。

  • VPC已有NAT网关:ACK判断是否需要额外新购EIP以及配置SNAT规则。当无可用EIP时,将自动新购EIP;当不存在VPC级别的SNAT规则时,将为集群使用的vSwitch配置SNAT规则。

若不勾选,也可在创建集群后自行配置NAT网关和SNAT规则,请参见创建和管理公网NAT网关实例

云资源及计费说明:imageNAT网关imageEIP

API server 访问

ACK自动新建一个按量付费的私网CLB实例作为API Server的内网连接端点。请勿删除该CLB实例,删除后API Server将无法访问且无法恢复。

若需使用已有CLB实例,请提交工单申请。选择使用已有专有网络后,可选择负载均衡来源使用已有

可选开启使用 EIP 暴露 API Server

  • 开放:为 API Server 私网 CLB 实例绑定EIP,支持从公网访问API Server,连接并管理集群。

    这并不代表集群内资源可以访问公网。如需让集群内资源访问公网,需勾选为专有网络配置 SNAT
  • 不开放:仅能在VPC内使用KubeConfig连接并操作集群。

如需后续启用,请参见实现从公网访问API Server
20241201日起,新建CLB实例不再支持包年包月付费类型,同时将新增收取实例费,请参见【产品公告】关于取消新增集群API Server负载均衡CLB包年包月付费的公告传统型负载均衡CLB计费项调整公告

云资源及计费说明:imageCLBimageEIP

高级配置

展开高级选项(选填),配置集群删除保护、资源组等信息。

配置项

描述

是否支持修改

集群删除保护

推荐开启,防止通过控制台或OpenAPI误删除集群。

资源组

将集群归属于选择的资源组,便于权限管理和成本分摊。

一个资源只能归属于一个资源组。

标签

为集群绑定键值对标签,作为云资源的标识。

时区

集群使用的时区。默认为浏览器配置的时区。

集群本地域名

集群内Service使用的顶级域名(标准后缀)。默认为cluster.local,也支持自定义域名。自定义本地域名时,请参见配置集群本地域名(ClusterDomain)有哪些注意事项?

例如,名为my-serviceService位于default命名空间中,其DNS域名为my-service.default.svc.cluster.local

自定义证书 SAN

API Server证书中SAN(Subject Alternative Name)字段默认包括集群本地域名、内网IP、公网EIP等字段。如需通过代理服务器、自定义域名或特殊网络环境访问集群,需将这些访问地址添加到SAN字段中。

如需后续启用,请参见自定义集群API Server证书SAN

服务账户令牌卷投影

传统模式下Pod的身份凭证永久有效且多个Pod共享,存在安全风险。启用后,每个Pod将获得专属的临时身份凭证,且支持配置自动过期和权限限制。

如需后续启用,请参见使用ServiceAccount Token卷投影

Secret 落盘加密

仅支持Pro版集群

使用在阿里云KMS中创建的密钥对Secret密钥进行专业级加密保护,增强数据安全性。

如需后续启用,请参见使用阿里云KMS进行Secret的落盘加密

云资源及计费说明:imageKMS

RRSA OIDC

集群将创建一个OIDC Provider。利用其ServiceAccount的临时OIDC Token,应用Pod可以调用阿里云RAM服务并扮演指定RAM角色,从而安全地获取访问云资源的临时授权,实现Pod级别的权限最小化管理。

如需后续启用,请参见通过RRSA配置ServiceAccountRAM权限实现Pod权限隔离

节点池配置

节点池是一组具有相同配置的ECS实例,是业务负载(Pod)的实际运行环境。部分配置项创建后不支持修改,但您可以创建其他节点池。

您可以跳过此步骤。后续参见创建和管理节点池创建更多节点池,实现不同类型(例如操作系统、CPU架构、计费类型、实例类型等)节点的混部和隔离,也可参见添加已有节点将已购买的ECS实例添加到集群中。

基础配置

本小节配置节点池基础信息和自动化运维操作。生产环境中建议勾选自动化运维操作,降低运维负担并提升稳定性。

配置项

描述

是否支持修改

节点池名称

自定义节点池名称。

容器运行时

如何选型,请参见containerd、安全沙箱、Docker运行时的对比

  • containerd(推荐):社区标准,支持1.20及以上版本。

  • 安全沙箱:提供基于轻量级虚拟化技术的强隔离环境,支持1.31及以下版本。

  • Docker(停止支持):仅支持1.22及以下版本,目前已不支持创建。

托管节点池相关配置

托管节点池

启用托管节点池,使用ACK提供的自动化运维能力

如业务对底层节点的变更比较敏感,无法容忍节点的重启以及业务Pod的迁移,不推荐启用。
如需后续启用,可编辑节点池开启。

自愈规则

ACK将自动监控节点状态,并在节点发生异常时自动执行自愈任务。如勾选当节点故障时重启节点,节点自愈过程中可能涉及节点排水、替盘等操作。触发条件、相关事件等,请参见开启节点自愈

自动升级规则

当有可用kubelet版本时,ACK会自动升级,请参见升级节点池

自动修复 CVE(OS)

修复节点池操作系统CVE漏洞,支持配置修复级别。有些漏洞修复完成后需要重启服务器来使其生效,若不跳过需要重启的漏洞修复,ACK会按需自动重启节点;选择跳过时需在修复完成后手动重启节点。

云资源及计费说明:image云安全中心

集群维护窗口

ACK会且仅会在定义的维护窗口期内执行托管节点池的自动化运维操作。

实例和镜像配置

您可以根据应用性能和成本要求配置节点,包括ECS实例规格、操作系统环境等。

配置项

描述

是否支持修改

付费类型

节点池扩容节点时默认采用的付费类型。

  • 按量付费:可按需启用和释放。

  • 包年包月:需配置购买时长以及自动续费

  • 抢占式实例:目前仅支持具有保护期的抢占式实例。需同时配置单台实例上限价格

    当指定实例规格的实时价格低于单台实例的最高出价时,实例将成功创建。保护期(1小时)过后,系统将每5分钟检查一次实例规格的实时价格与库存。若市场价格高于出价或库存不足,抢占式实例将被释放。使用建议,请参见抢占式实例节点池最佳实践

为保证节点池统一,不支持将按量付费包年包月节点池修改为抢占式实例节点池,反之亦然。

实例相关的配置项

节点池扩容时,会从选定的ECS实例规格族中分配,选择更多可用区下的更多实例规格可提升节点扩容成功率,避免规格不可用或库存不足。具体扩容的实例规格由扩缩容策略决定。

  • 具体规格:根据vCPU、内存、规格族、架构等维度指定具体的实例规格。

  • 泛化配置:根据属性(vCPU、内存等)选择待使用或需排除的实例规格列表,进一步提升扩容成功率。请参见使用指定实例属性配置节点池

可参考控制台的弹性强度建议来配置,或在节点池创建后查看节点池弹性强度

关于ACK不支持的实例规格及节点配置建议,请参见ECS实例规格配置建议

云资源及计费说明:imageECS实例imageGPU实例

操作系统

云市场镜像处于灰度发布中。

节点池扩容节点时默认采用的操作系统镜像。

后续如需升级或更换操作系统,请参见更换操作系统
Alibaba Cloud Linux 2、CentOS 7已停止维护,请使用支持中的操作系统,推荐使用Alibaba Cloud Linux 3容器优化版、ContainerOS。

安全加固

创建节点时,ACK会应用选择的安全基线策略。

  • 不开启:不对ECS实例进行安全加固。

  • 等保加固:阿里云为Alibaba Cloud Linux等保2.0三级版镜像提供了符合等保合规要求的基线检查标准和扫描工具。在确保原生镜像兼容性和性能的同时,进行了等保合规适配,满足《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,详情请参见ACK等保加固使用说明

    但在此模式下,Root用户无法通过SSH远程登录。您可以通过ECS控制台通过VNC连接实例,并创建一个支持SSH登录的普通用户。

  • 阿里云 OS 加固:仅支持Alibaba Cloud Linux 2Alibaba Cloud Linux 3。

登录方式

选择等保加固时,仅支持设置密码
ContainerOS仅支持设置密钥创建后设置。如需使用密钥,配置密钥对后需启动运维容器后才能使用,具体操作请参见运维ContainerOS节点

创建节点时,ACK会将指定的密钥或密码预置到实例中。

  • 创建时设置

    • 设置密钥:阿里云SSH密钥对是一种安全便捷的登录认证方式,由公钥和私钥组成,仅支持Linux实例。

      请同时配置登录名rootecs-user)和所需的密钥对

    • 设置密码:配置登录名rootecs-user)和密码。

  • 创建后设置:实例创建完成后,自行绑定密钥对或重置实例密码,请参见绑定SSH密钥对重置实例登录密码

存储配置

本小节配置附加到节点的存储资源,包括用于安装操作系统的系统盘,用于存放容器运行时数据的数据盘等。

配置项

描述

是否支持修改

系统盘

根据业务需求选择云盘类型,包括ESSD AutoPL、ESSD云盘、ESSD Entry以及上一代云盘(SSD云盘和高效云盘),配置容量和IOPS等。

可用系统盘类型取决于所选的实例规格族。未展示的云盘类型即为不支持使用。

ESSD云盘自定义性能和加密能力

  • 支持自定义性能级别。云盘容量越大,可选择的性能级别越高(460 GiB容量以上可选PL2,1260 GiB以上可选PL3),详情请参见容量范围与性能级别的关系

  • 系统盘中仅ESS云盘支持加密。选择密钥时,阿里云默认使用服务密钥(Default Service CMK)进行加密;您也可以选择在KMS服务中预先创建的自定义密钥(BYOK)进行加密。

支持选择配置更多系统盘类型,配置与系统盘不同的磁盘类型,提高扩容成功率。创建节点时,ACK将根据指定的磁盘类型顺序,选择第一个匹配的类型。

云资源及计费说明:imageECS块存储

数据盘

根据业务需求选择云盘类型,包括ESSD AutoPL、ESSD云盘、ESSD Entry以及上一代云盘(SSD云盘和高效云盘),配置容量和IOPS等。

可用数据盘类型取决于所选的实例规格族。未展示的云盘类型即为不支持使用。

ESSD AutoPL支持

  • 预配置性能:在存储容量大小不变的情况下,可根据实际业务需求灵活配置云盘的预配置性能,从而实现云盘容量与性能的解耦。

  • 性能突发:当业务面临突发的数据读写压力时,云盘会临时提升性能以应对峰值需求,直至业务恢复平稳。

ESSD云盘支持

支持自定义性能级别。云盘容量越大,可选择的性能级别越高(460 GiB容量以上可选PL2,1260 GiB以上可选PL3),详情请参见容量范围与性能级别的关系

  • 挂载数据盘时,所有云盘类型均支持加密。选择密钥时,阿里云默认使用服务密钥(Default Service CMK)进行加密;您也可以选择在KMS服务中预先创建的自定义密钥(BYOK)进行加密。

  • 节点创建过程中,将自动格式化最后一块数据盘,并将/var/lib/container挂载到该数据盘,将/var/lib/kubelet/var/lib/containerd挂载到/var/lib/container

    如需自定义挂载目录,请调整数据盘的初始化配置,最多可选择一块数据盘作为容器运行时占用目录,详情请参见ACK节点池中数据盘可以自定义目录挂载吗?
  • 在需要容器镜像加速、大模型快速加载等场景下,还可以使用快照创建数据盘,提升系统的响应速度和处理能力。

您可以选择配置更多数据盘类型,配置与数据盘不同的磁盘类型,提高扩容成功率。创建节点时,ACK将根据指定的磁盘类型顺序,选择第一个匹配的类型。

一台ECS实例最多可挂载64块数据盘,不同实例规格支持挂载的最多云盘数量不同。对于实例规格支持挂载的云盘数量上限,可以通过DescribeInstanceTypes接口查询(DiskQuantity)。

云资源及计费说明:imageECS块存储

弹性临时盘

白名单功能,提交工单申请

弹性临时盘ECS实例提供高性能、高性价比的临时数据存储空间,适用于存放临时数据(如临时计算中间结果、缓存数据、临时文件等)、高性能计算(对IOPS和吞吐量要求较高)等场景。

仅支持在部分地域和部分ECS实例规格中使用,请参见地域限制实例规格限制

您可以选择是否对弹性临时盘进行初始化设置,自定义其挂载目录。

云资源及计费说明:imageECS块存储

实例数量配置

此配置项用于设定节点池在创建完成时的初始节点数量。

配置项

描述

是否支持修改

期望节点数

节点池应该维持的总节点数量。建议至少配置2个节点,以确保集群组件正常运行。您可以通过调整期望节点数,达到扩容或缩容节点池的目的,请参见扩缩容节点池

如无需创建节点,可填写为0,后续再手动增加。

节点池高级配置

展开高级选项(选填),配置扩缩容策略、ECS标签、污点等信息。

配置项

描述

是否支持修改

扩缩容策略

配置节点池在节点扩缩容时如何选择实例。

  • 优先级策略:按集群配置的vSwitch优先级(vSwitch顺序由上到下优先级递减)扩缩容。优先级较高的vSwitch所在可用区无法创建实例时,自动使用下一优先级vSwitch。

  • 成本优化策略:按vCPU单价从低到高扩缩容。

    节点池使用抢占式实例时,则抢占式实例优先。支持同时配置按量实例所占比例(%),当抢占式实例规格因库存等原因无法创建时,自动使用按量付费实例来补充。

  • 均衡分布策略:在且仅在多可用区场景下将ECS实例均匀分配至多可用区。如果由于库存不足等原因造成可用区分布不平衡,可再次进行均衡操作。

使用按量实例补充抢占式容量

需同时选择付费类型为抢占式实例。

开启后,如果因价格或库存等原因无法创建足够的抢占式实例,ACK将自动尝试创建按量实例作为补充。

云资源及计费说明:imageECS实例

开启抢占式实例补偿

需同时选择付费类型为抢占式实例。

开启后,当收到抢占式实例将被回收的系统消息时(即抢占式实例被回收前5分钟),ACK将尝试扩容新实例进行补偿。

  • 补偿成功:ACK对旧节点执行排水并从集群中移除。

  • 补偿失败:ACK不会对旧节点执行排水,到期实例仍然会在5分钟后被回收释放。当库存恢复或满足价格条件时,ACK将自动购买实例以保证期望节点数,详情请参见抢占式实例节点池最佳实践

抢占式实例的主动释放可能导致业务异常,为提高补偿成功率,建议同时开启使用按量实例补充抢占式容量

云资源及计费说明:imageECS实例

ECS 标签

ACK自动创建的ECS实例添加标签,作为云资源标识。每台ECS最多可绑定20个标签。如需提高上限,请到配额平台提交申请。由于ACKESS会占用部分标签,您最多可为实例指定17个自定义标签。

展开查看标签占用说明

  • ACK默认占用两个ECS标签。

    • ack.aliyun.com:<您的集群ID>

    • ack.alibabacloud.com/nodepool-id:<您的节点池ID>

  • ESS默认占用1ECS标签:acs:autoscaling:scalingGroupId:<您的节点池伸缩组ID>

  • 开启节点自动伸缩后,弹性伸缩将默认占用两个ECS标签,因此节点池会额外占用两个ECS标签:k8s.io/cluster-autoscaler:truek8s.aliyun.com:true

  • 开启节点自动伸缩后,组件通过ECS标签记录节点的标签和污点,以预检测弹出节点的调度行为。

    • 节点的每个标签会被转为k8s.io/cluster-autoscaler/node-template/label/<标签键>:<标签值>

    • 节点的每个污点会被转为k8s.io/cluster-autoscaler/node-template/taint/<污点键>/<污点值>:<污点效果>

污点 (Taints)

为节点添加键值对污点。有效污点键包含前缀(可选)和名称。如果有前缀,用正斜线(/)分隔。

展开查看详细说明

  • :名称长度为1~63个字符,必须以字母、数字或字符[a-z0-9A-Z]开头和结尾,中间可包含字母、数字、短划线(-)、下划线(_)、英文半角句号(.)。

    如果指定前缀,必须为DNS子域,即一系列由英文半角句号(.)分隔的DNS标签,不超过253个字符,并以正斜线(/)结尾。

  • :污点值可以为空,不超过63个字符,必须以字母、数字或字符[a-z0-9A-Z]开头和结尾,可包含字母、数字、短划线(-)、下划线(_)、英文半角句号(.)。

  • Effect

    • NoSchedule:不接受任何新的、不容忍此污点的Pod被调度到该节点,但已在运行的Pod不受影响。

    • NoExecute:不仅不接受任何新的、不容忍此污点的Pod被调度到该节点,还会驱逐节点上任何已在运行的、不容忍此污点的Pod。

    • PreferNoSchedule:ACK会尽量避免将Pod调度到存在其不能容忍污点的节点上,但不会强制执行。

节点标签(Labels)

为节点添加键值对标签。有效Key包含前缀(可选)和名称。如有前缀,前缀和名称之间用正斜线(/)分隔。

展开查看详细说明

  • Key:名称长度为1~63个字符,必须以字母数字字符[a-z0-9A-Z]开头和结尾,中间可包含字母、数字、短划线(-)、下划线(_)、英文半角句号(.)。

    如果指定前缀,必须为DNS子域,即一系列由英文半角句号(.)分隔的DNS标签,不超过253个字符,以正斜线(/)结尾。

    以下前缀由Kubernetes核心组件保留,不支持指定

    • kubernetes.io/

    • k8s.io/

    • kubernetes.io/k8s.io/结尾的前缀。例如test.kubernetes.io/

      以下除外:

      • kubelet.kubernetes.io/

      • node.kubernetes.io

      • kubelet.kubernetes.io/结尾的前缀。

      • node.kubernetes.io结尾的前缀。

  • Value:可以为空,不超过63个字符,必须以字母数字字符[a-z0-9A-Z]开头和结尾,可包含字母、数字、短划线(-)、下划线(_)和英文半角句号(.)。

设置为不可调度

新添加的节点注册到集群时默认会被设置为不可调度。您需要在节点列表手动调整节点调度状态

本配置仅对节点池中新增的节点生效,不对节点池存量节点生效。

容器镜像加速

仅支持版本为1.6.34及以上的containerd运行时。

新添加的节点将自动识别容器镜像是否支持按需加载功能,若支持则默认通过按需加载加速容器启动,以缩短应用启动时间,详情请参见使用按需加载容器镜像加速容器启动

【废弃】CPU Policy

指定kubelet节点的CPU管理策略

  • None:默认策略。

  • Static:允许为节点上具有某些资源特征的Pod赋予增强的CPU亲和性和独占性。

推荐使用自定义节点池kubelet配置
推荐使用自定义节点池kubelet配置

自定义节点名称

节点名称由前缀、节点IP地址及后缀三部分组成。开启后,节点名称、ECS实例名称、ECS实例Hostname也将发生变化。

例如,节点IP地址为192.XX.YY.55,指定前缀为aliyun.com,后缀为test。

  • Linux节点:节点名称、ECS实例、ECS实例Hostname均为aliyun.com192.XX.YY.55test。

  • Windows节点:其Hostname固定为IP地址,使用-代替IP地址中的.,且不包含前缀和后缀。

    因此,对应的ECS实例Hostname192-XX-YY-55,节点名称、ECS实例名称均为aliyun.com192.XX.YY.55test。

Worker RAM 角色

仅支持1.22及以上版本的ACK托管集群
仅支持在新建节点池时指定

在节点池维度指定一个Worker RAM角色,降低所有节点中共用一个Worker RAM角色可能存在的安全风险。

  • 默认角色:使用集群默认创建的Worker RAM角色。

  • 自定义:使用指定的角色作为Worker RAM角色,为空时将使用默认角色,详情请参见使用自定义Worker RAM角色

实例元数据访问模式

白名单功能,请提交工单申请。仅支持1.28及以上版本的集群

配置 ECS 实例的元数据访问模式,在ECS实例内部通过访问元数据服务(Metadata Service)获取ECS实例元数据,包括实例ID、VPC信息、网卡信息等实例属性信息,详情请参见元数据访问模式说明

  • 普通模式和加固模式:支持使用普通模式和加固模式两种方式访问实例元数据服务。

  • 仅加固模式:仅支持使用加固模式访问实例元数据服务,请参见使用仅加固模式访问ECS实例元数据

实例预自定义数据

节点加入集群前,将运行指定的实例预自定义User-Data脚本

例如,指定实例预自定义数据为echo "hello world",则节点实际运行脚本如下。

#!/bin/bash
echo "hello world"
[节点初始化脚本]
节点初始化时此配置的生效逻辑,请参见实例预自定义数据和实例自定义数据的生效逻辑

实例自定义数据

节点加入集群后,将运行指定的实例自定义User-Data脚本

例如,指定实例自定义数据为echo "hello world",则节点实际运行脚本如下。

#!/bin/bash
[节点初始化脚本]
echo "hello world"
节点初始化时此配置的生效逻辑,请参见实例预自定义数据和实例自定义数据的生效逻辑
创建集群或扩容节点成功不代表实例自定义脚本执行成功。可登录节点执行grep cloud-init /var/log/messages查看执行日志。

云监控插件

可在云监控控制台查看并监控节点和应用运行状态。

本配置仅对节点池中新增的节点生效,不对节点池存量节点生效。

已有节点如需启用,请通过云监控控制台安装。

云资源及计费说明:image云监控

公网 IP

ACK将为节点分配IPv4公网IP地址。

本配置仅对节点池中新增的节点生效,不对节点池存量节点生效。已有节点如需访问公网,需配置并绑定EIP,请参见EIP绑定至ECS实例

云资源及计费说明:imageECS公网

自定义安全组

为节点池指定普通安全组或企业级安全组。ACK默认不会为安全组配置额外的访问规则。需自行管理安全组规则,避免访问异常,请参见配置集群安全组

每台ECS实例支持加入的安全组存在上限,请确保安全组配额充足。

RDS 白名单

将节点IP添加至RDS实例的白名单。

部署集

通过ECS控制台创建部署集后,为节点池指定部署集,使得节点池弹出的节点可分散部署在不同的物理服务器上,提升高可用性。

部署集默认支持的节点上限为20 * 可用区数量(可用区数量由vSwitch决定),节点池内最大节点数将受到限制,需确保部署集内配额充足。

后续如需启用,请参见节点池部署集最佳实践

私有池类型

当前所选可用区和实例规格下可使用的私有池资源。类型包括:

  • 开放:实例将会自动匹配开放类型的私有容量池,如果没有符合条件的私有池,则使用公共池资源启动。

  • 不使用:实例不会使用任何私有池容量,直接使用公共池资源启动。

  • 指定:需要进一步选择私有池ID来指定实例只使用该私有池容量启动。如果该私有池不可用,则实例启动失败。

组件配置

ACK基于最佳实践为您默认安装了一些组件。您可以在此页面中查看并确认,也可以在集群创建后进行安装、卸载、升级等操作,请参见管理组件

基础配置

配置项

描述

Ingress

Ingress管理着集群外部访问集群内部服务的方式。如需将集群内应用或API暴露给公网访问时,则需安装。

目前提供三种实例作为集群 Ingress 入口网关。

ALB Ingress

将流量交由阿里云应用型负载均衡ALB处理,具备丰富的路由策略,与WAF等云产品深度集成,支持弹性伸缩,适用于大规模、高流量生产业务或有企业级可靠性需求的场景。

可新建ALB实例,也可使用(仅使用已有VPC时)当前VPC下未被其他集群关联的ALB实例。

如需后续启用,请参见创建ALB Ingress

云资源及计费说明:imageALB计费概述

Nginx Ingress

兼容社区版Nginx Ingress Controller并进行了优化。

可新建CLB实例,也可使用当前VPC下未被其他集群关联的CLB实例。

如需后续启用,请参见创建并使用Nginx Ingress对外暴露服务

云资源及计费说明:imageCLB

MSE Ingress

基于MSE云原生网关实现,提供服务治理、认证鉴权、灰度发布等高级能力,适用于需要对微服务流量进行精细化管控的场景。

可新建MSE云原生网关实例,也可使用(仅使用已有VPC时)当前VPC下未被其他集群关联的实例。

如需后续启用,请参见通过MSE Ingress访问容器服务

云资源及计费说明:image普通实例计费概述

关于三者的详细对比,请参见Ingress管理

服务发现

安装NodeLocal DNSCache,在节点上缓存DNS解析结果,以提升域名解析性能和稳定性,加速集群内部的服务间调用。

存储插件

基于CSI存储插件实现数据的持久化存储,可使用阿里云云盘、NAS、OSS、CPFS等存储卷资源。

选择默认创建NASCNFS后,ACK会默认创建通用型NAS文件系统并使用容器网络文件系统CNFS进行管理。

云资源及计费说明:imageNAS

容器监控

通过容器集群监控服务监控集群健康状况、资源使用率、应用性能等,并在异常时触发相关告警。

  • 容器集群监控Pro:提供托管版的容器监控服务,内置Grafana监控大盘,数据默认存储时长为90天。

    计费规则请参见容器监控计费。如需上报自定义指标,或调整基础存储时长,会产生额外的费用,请参见Prometheus 实例计费
  • 容器集群监控基础版:提供免费、非托管的容器监控服务,内置基础监控大盘,数据默认存储时长为7天。

    组件默认单副本,占用3核 4 GB,需自行运维。如需上报自定义指标,会产生额外的费用,请参见Prometheus 实例计费
  • 不开通:不开通容器监控服务,无法监控容器服务运行状态,也无法创建相关告警。

如需后续启用,请参见使用阿里云Prometheus监控

云资源及计费说明:imagePrometheus

成本套件

提供集群、命名空间、节点池、工作负载的成本和资源使用情况分析,以提升集群资源利用率,节省成本。

如需后续启用,请参见成本洞察

日志服务

使用已有SLS Project或新建一个SLS Project,用于收集集群应用日志。

同时将启用集群API Server审计功能,收集对Kubernetes API的请求以及请求结果。

如需后续启用,请参见采集ACK集群容器日志使用集群API Server审计功能

云资源及计费说明:imageSLS

报警配置

开启容器服务报警管理,基于SLS、可观测监控 Prometheus 版和云监控数据源,在集群出现异常时向报警联系人分组发送报警通知。

控制平面组件日志

将控制面组件日志采集至SLS Project中,以便深入排查问题和定位问题根因。

如需后续启用,请参见采集ACK托管集群控制面组件日志

云资源及计费说明:imageSLS

集群巡检

启用智能运维的集群巡检功能,定期扫描集群内配额、资源水位、组件版本等,确保集群配置符合最佳实践,并提前暴露潜在风险。

高级配置

展开高级选项(选填),选中需要安装的应用管理、日志监控、存储、网络、安全等类型的组件。