本文介绍在控制台创建ACK托管集群时涉及的各项配置,包括配置项说明、配置建议、关联使用的云资源等。
表格中的是否支持修改列中,✓代表创建后仍可修改;✗代表创建后不可修改,需重点关注。
表格中涉及的云资源图标及名称(例如
ECS实例)表示启用配置后会级联创建或使用其他阿里云云资源。您可以点击资源名称,跳转查看对应产品的计费说明。
集群配置
本小节定义了整个集群的全局属性,包括版本、网络配置等。网络配置定义了集群的底层通信架构。部分选项在创建后无法修改,请谨慎规划。
基础配置
配置项 | 描述 | 是否支持修改 |
集群名称 | 自定义集群名称。 | ✓ |
集群规格 |
详细对比,请参见集群。 | ✓ 仅支持基础版迁移至Pro版 |
地域 | 集群资源(ECS实例、云盘等)所处地域。地域与用户和资源部署地域的距离越近,网络时延越低。 | ✗ |
Kubernetes 版本 | 集群的Kubernetes版本,推荐使用最新版本。请参见ACK版本支持概览了解ACK的版本支持情况。 仅支持创建最近的三个Kubernetes次要版本的集群。 | ✓ 支持手动升级集群和自动升级集群 |
自动升级 | 开启集群的自动升级能力,保持集群控制面和节点池的周期性自动升级。 关于自动升级的策略和说明,请参见自动升级集群。 | ✓ |
集群维护窗口 | ACK会且仅会在定义的维护窗口期内执行自动化运维任务,包括集群自动升级、容器运行时自动升级、OS CVE漏洞自动修复等。 | ✓ |
为便于理解,下表与控制台配置项顺序稍有差异。
定义集群网络边界与高可用基础
本小节将通过定义专有网络(VPC)、交换机(vSwitch)和安全组,确定集群的网络边界、高可用保障以及基础安全访问策略。
配置项 | 描述 | 是否支持修改 |
专有网络 | 集群的专有网络VPC。为保障高可用,建议选择2个及以上不同可用区。
云资源及计费说明: | ✗ |
安全组 | ✓ |
选择Pod的网络模型与地址规划
本小节将配置网络插件(CNI),网络插件影响着网络性能、可用功能(如NetworkPolicy),以及IP地址的管理方式。然后,您需要进一步规划集群内部应用(Pod)和Service的通信规则与地址体系。
建议提前进行集群网络地址段规划,请参见ACK托管集群网络规划。
配置项 | 描述 | 是否支持修改 |
网络插件 | 网络插件是集群中Pod之间网络通信的基础。 关于两者的详细对比,请参见容器网络插件Terway与Flannel对比。
| ✗ |
容器网段 | 仅Flannel需要配置 为Pod分配IP地址的地址池。此网段不能与VPC及VPC内已有ACK集群使用的网段重叠,且不能与服务网段重叠。 | ✗ |
节点 Pod 数量 | 仅Flannel需要配置 定义单个节点上可容纳的最大Pod数量。 | ✗ |
Pod 交换机 | 仅在选择使用Terway插件时需要配置。 为Pod分配IP的虚拟交换机。每个Pod虚拟交换机分别对应一个Worker节点的虚拟交换机,Pod虚拟交换机和Worker节点的虚拟交换机的可用区需保持一致。 重要 Pod虚拟交换机的网段掩码建议不超过19,最大不超过25,否则集群网络可分配的Pod IP地址非常有限,会影响集群的正常使用。 | ✓ |
服务网段 | 即Service CIDR,为集群内部Service分配IP地址的地址池。此网段不能与VPC及VPC内已有集群使用的网段重复,且不能与容器网段重复。 | ✗ |
IPv6双栈 | ✗ | |
IPv6 服务网段 | 需同时开启IPv6双栈 为Service网段配置IPv6地址段。需使用ULA地址( | ✗ |
服务转发模式 | 选择kube-proxy代理模式,即集群Service如何将请求分发至后端Pod。
| ✗ |
配置集群公网入口与出口
此步骤定义了集群与公网之间的双向通信,包括集群管控公网入口(如何从外部通过API Server管理集群)和集群公网出口(集群内的节点和应用如何访问互联网,例如拉取公网镜像),以及如何配置服务转发机制。
配置项 | 描述 | 是否支持修改 |
为专有网络配置 SNAT | 使用共享VPC时请勿勾选 节点需访问公网(拉取公网镜像或访问外部服务)时勾选此项,ACK将自动配置NAT网关和SNAT规则,确保集群内资源可以访问公网。
若不勾选,也可在创建集群后自行配置NAT网关和SNAT规则,请参见创建和管理公网NAT网关实例。 | ✓ |
API server 访问 | ACK自动新建一个按量付费的私网CLB实例作为API Server的内网连接端点。请勿删除该CLB实例,删除后API Server将无法访问且无法恢复。 若需使用已有CLB实例,请提交工单申请。选择使用已有的专有网络后,可选择负载均衡来源为使用已有。 可选开启使用 EIP 暴露 API Server。
如需后续启用,请参见实现从公网访问API Server。 自2024年12月01日起,新建CLB实例不再支持包年包月付费类型,同时将新增收取实例费,请参见【产品公告】关于取消新增集群API Server负载均衡CLB包年包月付费的公告、传统型负载均衡CLB计费项调整公告。 | ✗ |
高级配置
展开高级选项(选填),配置集群删除保护、资源组等信息。
配置项 | 描述 | 是否支持修改 |
集群删除保护 | 推荐开启,防止通过控制台或OpenAPI误删除集群。 | ✓ |
资源组 | 将集群归属于选择的资源组,便于权限管理和成本分摊。 一个资源只能归属于一个资源组。 | ✓ |
标签 | 为集群绑定键值对标签,作为云资源的标识。 | ✓ |
时区 | 集群使用的时区。默认为浏览器配置的时区。 | ✓ |
集群本地域名 | 集群内Service使用的顶级域名(标准后缀)。默认为 例如,名为my-service的Service位于default命名空间中,其DNS域名为 | ✗ |
自定义证书 SAN | API Server证书中SAN(Subject Alternative Name)字段默认包括集群本地域名、内网IP、公网EIP等字段。如需通过代理服务器、自定义域名或特殊网络环境访问集群,需将这些访问地址添加到SAN字段中。 如需后续启用,请参见自定义集群API Server证书SAN。 | ✓ |
服务账户令牌卷投影 | 传统模式下Pod的身份凭证永久有效且多个Pod共享,存在安全风险。启用后,每个Pod将获得专属的临时身份凭证,且支持配置自动过期和权限限制。 如需后续启用,请参见使用ServiceAccount Token卷投影。 | ✗ |
Secret 落盘加密 | 仅支持Pro版集群 使用在阿里云KMS中创建的密钥对Secret密钥进行专业级加密保护,增强数据安全性。 如需后续启用,请参见使用阿里云KMS进行Secret的落盘加密。 云资源及计费说明: | ✓ |
RRSA OIDC | 集群将创建一个OIDC Provider。利用其ServiceAccount的临时OIDC Token,应用Pod可以调用阿里云RAM服务并扮演指定RAM角色,从而安全地获取访问云资源的临时授权,实现Pod级别的权限最小化管理。 如需后续启用,请参见通过RRSA配置ServiceAccount的RAM权限实现Pod权限隔离。 | ✗ |
节点池配置
节点池是一组具有相同配置的ECS实例,是业务负载(Pod)的实际运行环境。部分配置项创建后不支持修改,但您可以创建其他节点池。
您可以跳过此步骤。后续参见创建和管理节点池创建更多节点池,实现不同类型(例如操作系统、CPU架构、计费类型、实例类型等)节点的混部和隔离,也可参见添加已有节点将已购买的ECS实例添加到集群中。
基础配置
本小节配置节点池基础信息和自动化运维操作。生产环境中建议勾选自动化运维操作,降低运维负担并提升稳定性。
配置项 | 描述 | 是否支持修改 | |
节点池名称 | 自定义节点池名称。 | ✓ | |
容器运行时 | 如何选型,请参见containerd、安全沙箱、Docker运行时的对比。
| ✗ | |
托管节点池相关配置 | 托管节点池 | 启用托管节点池,使用ACK提供的自动化运维能力。 如业务对底层节点的变更比较敏感,无法容忍节点的重启以及业务Pod的迁移,不推荐启用。 如需后续启用,可编辑节点池开启。 | ✓ |
自愈规则 | ACK将自动监控节点状态,并在节点发生异常时自动执行自愈任务。如勾选当节点故障时重启节点,节点自愈过程中可能涉及节点排水、替盘等操作。触发条件、相关事件等,请参见开启节点自愈。 | ✓ | |
自动升级规则 | 当有可用kubelet版本时,ACK会自动升级,请参见升级节点池。 | ✓ | |
自动修复 CVE(OS) | 修复节点池操作系统CVE漏洞,支持配置修复级别。有些漏洞修复完成后需要重启服务器来使其生效,若不跳过需要重启的漏洞修复,ACK会按需自动重启节点;选择跳过时需在修复完成后手动重启节点。 云资源及计费说明: | ✓ | |
集群维护窗口 | ACK会且仅会在定义的维护窗口期内执行托管节点池的自动化运维操作。 | ✓ |
实例和镜像配置
您可以根据应用性能和成本要求配置节点,包括ECS实例规格、操作系统环境等。
配置项 | 描述 | 是否支持修改 | |
付费类型 | 节点池扩容节点时默认采用的付费类型。
为保证节点池统一,不支持将按量付费、包年包月节点池修改为抢占式实例节点池,反之亦然。 | ✓ | |
实例相关的配置项 | 节点池扩容时,会从选定的ECS实例规格族中分配,选择更多可用区下的更多实例规格可提升节点扩容成功率,避免规格不可用或库存不足。具体扩容的实例规格由扩缩容策略决定。
可参考控制台的弹性强度建议来配置,或在节点池创建后查看节点池弹性强度。 关于ACK不支持的实例规格及节点配置建议,请参见ECS实例规格配置建议。 | ✓ | |
操作系统 | 云市场镜像处于灰度发布中。 节点池扩容节点时默认采用的操作系统镜像。
后续如需升级或更换操作系统,请参见更换操作系统。 Alibaba Cloud Linux 2、CentOS 7已停止维护,请使用支持中的操作系统,推荐使用Alibaba Cloud Linux 3容器优化版、ContainerOS。 | ✓ | |
安全加固 | 创建节点时,ACK会应用选择的安全基线策略。
| ✗ | |
登录方式 | 选择等保加固时,仅支持设置密码。 ContainerOS仅支持设置密钥或创建后设置。如需使用密钥,配置密钥对后需启动运维容器后才能使用,具体操作请参见运维ContainerOS节点。 创建节点时,ACK会将指定的密钥或密码预置到实例中。 | ✓ |
存储配置
本小节配置附加到节点的存储资源,包括用于安装操作系统的系统盘,用于存放容器运行时数据的数据盘等。
配置项 | 描述 | 是否支持修改 | |
系统盘 | ✓ | ||
数据盘 | 根据业务需求选择云盘类型,包括ESSD AutoPL、ESSD云盘、ESSD Entry以及上一代云盘(SSD云盘和高效云盘),配置容量和IOPS等。 可用数据盘类型取决于所选的实例规格族。未展示的云盘类型即为不支持使用。
您可以选择配置更多数据盘类型,配置与数据盘不同的磁盘类型,提高扩容成功率。创建节点时,ACK将根据指定的磁盘类型顺序,选择第一个匹配的类型。 一台ECS实例最多可挂载64块数据盘,不同实例规格支持挂载的最多云盘数量不同。对于实例规格支持挂载的云盘数量上限,可以通过DescribeInstanceTypes接口查询(DiskQuantity)。 云资源及计费说明: | ✓ | |
弹性临时盘 | 白名单功能,提交工单申请 弹性临时盘为ECS实例提供高性能、高性价比的临时数据存储空间,适用于存放临时数据(如临时计算中间结果、缓存数据、临时文件等)、高性能计算(对IOPS和吞吐量要求较高)等场景。 仅支持在部分地域和部分ECS实例规格中使用,请参见地域限制、实例规格限制。 您可以选择是否对弹性临时盘进行初始化设置,自定义其挂载目录。 云资源及计费说明: | ✓ |
实例数量配置
此配置项用于设定节点池在创建完成时的初始节点数量。
配置项 | 描述 | 是否支持修改 |
期望节点数 | 节点池应该维持的总节点数量。建议至少配置2个节点,以确保集群组件正常运行。您可以通过调整期望节点数,达到扩容或缩容节点池的目的,请参见扩缩容节点池。 如无需创建节点,可填写为0,后续再手动增加。 | ✓ |
节点池高级配置
展开高级选项(选填),配置扩缩容策略、ECS标签、污点等信息。
配置项 | 描述 | 是否支持修改 |
扩缩容策略 | 配置节点池在节点扩缩容时如何选择实例。
| ✓ |
使用按量实例补充抢占式容量 | 需同时选择付费类型为抢占式实例。 开启后,如果因价格或库存等原因无法创建足够的抢占式实例,ACK将自动尝试创建按量实例作为补充。 云资源及计费说明: | ✓ |
开启抢占式实例补偿 | 需同时选择付费类型为抢占式实例。 开启后,当收到抢占式实例将被回收的系统消息时(即抢占式实例被回收前5分钟),ACK将尝试扩容新实例进行补偿。
抢占式实例的主动释放可能导致业务异常,为提高补偿成功率,建议同时开启使用按量实例补充抢占式容量。 云资源及计费说明: | ✓ |
ECS 标签 | 为ACK自动创建的ECS实例添加标签,作为云资源标识。每台ECS最多可绑定20个标签。如需提高上限,请到配额平台提交申请。由于ACK和ESS会占用部分标签,您最多可为实例指定17个自定义标签。 | ✓ |
污点 (Taints) | 为节点添加键值对污点。有效污点键包含前缀(可选)和名称。如果有前缀,用正斜线(/)分隔。 | ✓ |
节点标签(Labels) | 为节点添加键值对标签。有效Key包含前缀(可选)和名称。如有前缀,前缀和名称之间用正斜线(/)分隔。 | ✓ |
设置为不可调度 | 新添加的节点注册到集群时默认会被设置为不可调度。您需要在节点列表手动调整节点调度状态。 本配置仅对节点池中新增的节点生效,不对节点池存量节点生效。 | ✓ |
容器镜像加速 | 仅支持版本为1.6.34及以上的containerd运行时。 新添加的节点将自动识别容器镜像是否支持按需加载功能,若支持则默认通过按需加载加速容器启动,以缩短应用启动时间,详情请参见使用按需加载容器镜像加速容器启动。 | ✓ |
【废弃】CPU Policy | 指定kubelet节点的CPU管理策略。 推荐使用自定义节点池kubelet配置。 推荐使用自定义节点池kubelet配置。 | ✗ |
自定义节点名称 | 节点名称由前缀、节点IP地址及后缀三部分组成。开启后,节点名称、ECS实例名称、ECS实例Hostname也将发生变化。 例如,节点IP地址为192.XX.YY.55,指定前缀为aliyun.com,后缀为test。
| ✓ |
Worker RAM 角色 | 仅支持1.22及以上版本的ACK托管集群 仅支持在新建节点池时指定 在节点池维度指定一个Worker RAM角色,降低所有节点中共用一个Worker RAM角色可能存在的安全风险。
| ✗ |
实例元数据访问模式 | 白名单功能,请提交工单申请。仅支持1.28及以上版本的集群 配置 ECS 实例的元数据访问模式,在ECS实例内部通过访问元数据服务(Metadata Service)获取ECS实例元数据,包括实例ID、VPC信息、网卡信息等实例属性信息,详情请参见元数据访问模式说明。
| ✗ |
实例预自定义数据 | 节点加入集群前,将运行指定的实例预自定义User-Data脚本。 例如,指定实例预自定义数据为
节点初始化时此配置的生效逻辑,请参见实例预自定义数据和实例自定义数据的生效逻辑。 | ✓ |
实例自定义数据 | 节点加入集群后,将运行指定的实例自定义User-Data脚本。 例如,指定实例自定义数据为
节点初始化时此配置的生效逻辑,请参见实例预自定义数据和实例自定义数据的生效逻辑。 创建集群或扩容节点成功不代表实例自定义脚本执行成功。可登录节点执行 | ✓ |
云监控插件 | ✓ | |
公网 IP | ACK将为节点分配IPv4公网IP地址。 本配置仅对节点池中新增的节点生效,不对节点池存量节点生效。已有节点如需访问公网,需配置并绑定EIP,请参见将EIP绑定至ECS实例。 云资源及计费说明: | ✓ |
自定义安全组 | 为节点池指定普通安全组或企业级安全组。ACK默认不会为安全组配置额外的访问规则。需自行管理安全组规则,避免访问异常,请参见配置集群安全组。 每台ECS实例支持加入的安全组存在上限,请确保安全组配额充足。 | ✗ |
RDS 白名单 | 将节点IP添加至RDS实例的白名单。 | ✓ |
部署集 | 通过ECS控制台创建部署集后,为节点池指定部署集,使得节点池弹出的节点可分散部署在不同的物理服务器上,提升高可用性。 部署集默认支持的节点上限为 后续如需启用,请参见节点池部署集最佳实践。 | ✓ |
私有池类型 | 当前所选可用区和实例规格下可使用的私有池资源。类型包括:
| ✓ |
组件配置
ACK基于最佳实践为您默认安装了一些组件。您可以在此页面中查看并确认,也可以在集群创建后进行安装、卸载、升级等操作,请参见管理组件。
基础配置
配置项 | 描述 | ||||||
Ingress | Ingress管理着集群外部访问集群内部服务的方式。如需将集群内应用或API暴露给公网访问时,则需安装。 目前提供三种实例作为集群 Ingress 入口网关。
关于三者的详细对比,请参见Ingress管理。 | ||||||
服务发现 | 安装NodeLocal DNSCache,在节点上缓存DNS解析结果,以提升域名解析性能和稳定性,加速集群内部的服务间调用。 | ||||||
存储插件 | 基于CSI存储插件实现数据的持久化存储,可使用阿里云云盘、NAS、OSS、CPFS等存储卷资源。 选择默认创建NAS和CNFS后,ACK会默认创建通用型NAS文件系统并使用容器网络文件系统CNFS进行管理。 云资源及计费说明: | ||||||
容器监控 | 通过容器集群监控服务监控集群健康状况、资源使用率、应用性能等,并在异常时触发相关告警。
如需后续启用,请参见使用阿里云Prometheus监控。 云资源及计费说明: | ||||||
成本套件 | 提供集群、命名空间、节点池、工作负载的成本和资源使用情况分析,以提升集群资源利用率,节省成本。 如需后续启用,请参见成本洞察。 | ||||||
日志服务 | 使用已有SLS Project或新建一个SLS Project,用于收集集群应用日志。 同时将启用集群API Server审计功能,收集对Kubernetes API的请求以及请求结果。 如需后续启用,请参见采集ACK集群容器日志、使用集群API Server审计功能。
云资源及计费说明: | ||||||
报警配置 | 开启容器服务报警管理,基于SLS、可观测监控 Prometheus 版和云监控数据源,在集群出现异常时向报警联系人分组发送报警通知。 | ||||||
控制平面组件日志 | 将控制面组件日志采集至SLS Project中,以便深入排查问题和定位问题根因。 如需后续启用,请参见采集ACK托管集群控制面组件日志。 云资源及计费说明: | ||||||
集群巡检 | 启用智能运维的集群巡检功能,定期扫描集群内配额、资源水位、组件版本等,确保集群配置符合最佳实践,并提前暴露潜在风险。 |
高级配置
展开高级选项(选填),选中需要安装的应用管理、日志监控、存储、网络、安全等类型的组件。