基于智能托管模式创建符合最佳实践的ACK托管集群_容器服务 Kubernetes 版 ACK(ACK)-阿里云帮助中心

创建ACK托管集群时，您可以选择开启智能托管模式。开启后，您仅需进行简单的规划配置，即可一键创建符合最佳实践的Kubernetes集群。该集群会默认创建一个智能托管节点池，其中的节点生命周期将由ACK进行托管和运维。

开启智能托管模式前，建议您已参见智能托管模式介绍了解其功能特性和使用场景。

准备工作

规划与设计

创建集群前，建议您根据业务需求规划并设计集群配置，以确保集群能够稳定、高效且安全地运行。

地域：所选地域与用户和资源部署地域的距离越近，网络时延越低，访问速度越快。
可用区：推荐配置多可用区，以保证集群高可用。
网络地址规划：根据业务场景和集群规模规划VPC网段（VPC自身网段和vSwitch网段）和Kubernetes网段（Pod地址段和Service地址段），定义整个集群的IP地址范围以及Pod和节点可用的IP地址数量。
公网访问：集群节点是否需要访问公网（拉取公共镜像时需开通公网）。

开通与授权

创建集群前，请确保您已经开通容器服务ACK、为您的阿里云账号或RAM账号授予了ACK系统服务角色（ACK需要这些权限来调用相关服务或执行集群操作），并且开通了相关云产品（例如VPC、负载均衡、NAT网关等）。具体操作，请参见快速创建ACK托管集群。

说明

创建集群过程中涉及负载均衡CLB等按量资源的购买，请确保您的账户余额充足，避免因为欠费导致停机。

创建步骤

登录容器服务管理控制台，在左侧导航栏选择集群列表。
在集群列表页面，单击创建集群，在ACK 托管集群页面，打开智能托管模式，参见下文配置说明并按照页面指引完成集群配置。单击确认配置后，您可以确认集群的配置信息和依赖检查状态，并阅读服务协议。
智能托管模式仅支持ACK托管集群Pro版，涉及集群管理费用和相关云产品费用（例如A）。您可以在创建页面下方查看集群涉及的费用总览，也可以查看ACK和各产品的计费文档，请参见计费概述、云产品资源费用。
您还可以在页面的左上角单击生成 OpenAPI 请求参数，生成当前集群配置对应的Terraform或SDK示例参数。

创建后，集群会自动创建一个开启了智能托管的节点池（简称智能托管节点池）。该节点池将根据工作负载按需动态扩缩容，同时 ACK 将接管节点的生命周期管理，负责操作系统版本升级、软件版本升级、安全漏洞修复等运维职责。
创建后，ACK 将根据您的配置安装组件，这些组件可能占用集群中的计算资源。智能托管节点池会自动扩容对应的节点。

配置说明

您可以基于默认配置创建集群，也可以根据业务需求和账号下资源情况进行灵活调整。表格的是否支持修改列中，代表创建后不支持修改，代表支持修改。请重点关注不可修改项。

基础配置

配置项	描述	是否支持修改
集群名称	自定义集群的名称。
地域	集群所在的开服地域。所选地域与用户和资源部署地域的距离越近，网络时延越低，访问速度越快。
集群维护窗口	ACK将在维护窗口期内进行集群版本自动升级以及托管节点池的自动化运维操作，例如运行时升级、OS CVE漏洞自动修复等。您可以单击设置，配置具体的维护策略。

网络配置

智能托管模式默认使用Terway网络插件，您也可以在高级选项中调整为Flannel。关于两者的差异对比，请参见容器网络插件Terway与Flannel对比。

配置项	描述	是否支持修改

配置项	描述	是否支持修改
专有网络	配置集群的专有网络VPC。支持指定可用区自动新建一个VPC，也可以在已有VPC列表中选择已创建的VPC。
为专有网络配置 SNAT	勾选后，ACK将对您新建或选择的VPC进行配置：如果VPC未拥有NAT网关，则自动创建NAT网关并配置交换机粒度的SNAT规则。（为集群使用的所有交换机配置）如果VPC已有NAT网关：不存在VPC粒度的SNAT规则：自动配置交换机粒度的SNAT规则。（为集群使用的所有交换机配置）存在VPC粒度的SNAT规则：不执行任何操作。若不勾选，您可在创建集群后自行配置NAT网关并手动配置SNAT，以确保VPC内实例可以正常访问公网。更多信息，请参见创建和管理公网NAT网关实例。
交换机	在列表中根据可用区选择已有vSwitch交换机，或单击创建虚拟交换机创建新的vSwitch。集群控制面与默认节点池将使用此处指定的vSwitch。推荐选择多个不同可用区的vSwitch，更好地保障集群高可用。
API server 访问	为API Server创建一个按量付费的私网CLB实例，作为集群API Server的内网连接端点。API Server提供了各类资源对象（Pod、Service等）的增删改查及Watch等HTTP Rest接口。支持选择是否开放使用 EIP 暴露 API Server。开放：开启后，将为 API Server 私网 CLB 实例绑定一个 EIP，获得从公网访问集群 API Server 的能力。不开放：不会创建EIP，仅能在VPC内使用KubeConfig连接并操作集群。重要删除默认创建的CLB实例会导致API Server无法访问。绑定EIP到CLB实例后，API Server可以通过公网接收请求，但集群内的资源无法通过此访问公网。如需让集群内的资源访问公网（例如拉取公共镜像），请勾选为专有网络配置 SNAT。自2024年12月01日起，新创建的CLB实例不再支持包年包月付费类型，同时将新增收取实例费。详细信息请参见【产品公告】关于取消新增集群API Server负载均衡CLB包年包月付费的公告、传统型负载均衡CLB计费项调整公告。
Pod 交换机	仅在选择使用Terway插件时需要配置。为Pod分配IP的虚拟交换机。每个Pod虚拟交换机分别对应一个Worker节点的虚拟交换机，Pod虚拟交换机和Worker节点的虚拟交换机的可用区需保持一致。重要 Pod虚拟交换机的网段掩码建议不超过19，最大不超过25，否则集群网络可分配的Pod IP地址非常有限，会影响集群的正常使用。
容器网段	仅在选择使用Flannel插件时需要配置。配置容器网段，网段不能和VPC及VPC已有ACK集群使用的网段重复，创建成功后不能修改，而且服务地址段不能和容器地址段重复。有关集群网络地址段规划的信息，请参见ACK托管集群网络规划。
节点 Pod 数量	仅在选择使用Flannel插件时需要配置。配置单个节点上所能容纳的最大Pod数量。
服务网段	服务网段（Service CIDR）是集群中为Service分配IP地址的专用网络地址范围。此网段不能与VPC及VPC内已有集群使用的网段重复，且服务地址段也不能和容器地址段重复。有关集群网络地址段规划的信息，请参见ACK托管集群网络规划。
服务转发模式	支持iptables和IPVS两种模式。 iptables：成熟稳定的kube-proxy代理模式。Kubernetes Service的服务发现和负载均衡使用iptables规则配置，但性能一般，受规模影响较大，适用于存在少量Service的集群。 IPVS：高性能的kube-proxy代理模式。Kubernetes Service的服务发现和负载均衡使用Linux IPVS模块进行配置，适用于存在大量Service的集群，且对负载均衡有高性能要求。

高级选项

以下配置是基于Kubernetes集群最佳实践提供的功能项，保持默认即可。如需调整，请参见配置项描述了解并按照页面提示进行更改。

配置项	描述	是否支持修改
Kubernetes 版本	当前支持的Kubernetes版本，推荐使用最新版本。请参加ACK版本支持概览了解ACK的版本支持情况。	支持手动升级集群和自动升级集群
自动升级	开启集群的自动升级能力，保持集群控制面和节点池的周期性自动升级。ACK会在集群维护窗口期内执行集群自动升级。关于自动升级的策略介绍和使用方法，请参见自动升级集群。
IPv6双栈	公测中，请前往配额平台申请。开启IPv6双栈后，将创建IPv4/IPv6双栈集群。重要仅1.22及以上版本的集群支持此功能。 Worker节点与控制面之间的通信使用IPv4地址。需要使用Terway容器网络插件。使用Terway共享ENI模式时，ECS的规格需要支持IPv6地址，且支持的IPv4地址数量与IPv6地址数量相同，才能正常加入集群。关于ECS规格的详细信息，请参见实例规格族。集群使用的VPC需要支持IPv6双栈。集群使用eRDMA功能需要关闭IPv6双栈。
安全组	勾选专有网络为使用已有时，支持使用选择已有安全组。支持选择自动创建普通安全组概述、自动创建企业级安全组概述、选择已有安全组概述。自动创建的安全组对于出方向默认全部允许。如果您因为业务原因需要修改，请确保在入方向已放行`100.64.0.0/10`网段。该网段用于访问阿里云其他服务，以执行镜像拉取、查询ECS基础信息等操作。指定已有安全组时，系统默认不会为安全组配置额外的访问规则，可能会导致访问异常，请自行管理安全组规则，请参见配置集群安全组。
网络插件	支持Flannel和Terway网络插件。关于两者的详细对比，请参见容器网络插件Terway与Flannel对比。 Flannel是社区开源的网络插件，在ACK中采用了阿里云VPC专有网络模式，报文经过VPC路由表直接转发，适用于节点规模较小、需要简化网络配置、无需对容器网络进行自定义控制的场景。 Terway是阿里云自研的网络插件，通过ENI实现Pod的网络通信，提供了基于eBPF的网络加速、NetworkPolicy和Pod级别交换机/安全组等能力，适用于对节点规模、网络性能和安全等有较高需求的高性能计算、游戏、微服务等场景。说明 Terway模式下，每个Pod占用弹性网卡的一个辅助IP地址，单个ENI可分配多个IP（取决于实例规格）。因此，节点上可运行的Pod数会受到节点的弹性网卡和辅助IP的配额限制。当专有网络选择共享VPC时，网络插件仅支持Terway。选择Terway时，还支持以下能力。 DataPathV2 使用DataPathv2加速模式，仅支持在创建集群时配置。选中后，Terway会采取不同于共享ENI常规模式的流量转发链路，实现更快的网络通信。更多信息，请参见网络加速。说明开启后，Terway policy容器预计会在每个Worker节点上多占用0.5核512MB的资源，此消耗会随着集群规模增大而增大。在Terway默认配置中，policy容器的CPU上限为1核，内存无限制。 NetworkPolicy 支持勾选后，则会支持Kubernetes原生的`NetworkPolicy`。说明从Terway v1.9.2开始，新建集群NetworkPolicy由eBPF的实现提供，数据面会开启DataPathv2功能。通过控制台管理`NetworkPolicy`的功能正在公测中，如果您希望使用，请在配额平台提交申请。 Trunk ENI 支持支持为每个Pod配置固定IP、独立的虚拟交换机、安全组，提供精细化流量管理、流量隔离、网络策略配置和IP管理能力。更多信息，请参见为Pod配置固定IP及独立虚拟交换机、安全组。说明 ACK托管集群无需申请即可选择Trunk ENI选项。如果您希望在ACK专有集群中开启Trunk ENI，请先在配额平台提交申请。从Kubernetes 1.31开始，新建的ACK托管集群会自动启用Trunk ENI功能，无需手动进行选择。
日志服务	使用已有SLS Project或新建一个SLS Project，用于收集集群日志。创建应用时，您可通过简单配置，快速使用日志服务，详情参见采集阿里云ACK集群文本日志（DaemonSet方式部署Logtail）。创建 Ingress Dashboard：在SLS控制台创建Ingress Dashboard，收集Nginx Ingress访问日志，请参见Nginx Ingress访问日志分析与监控。安装 node-problem-detector 并创建事件中心：在SLS控制台中添加事件中心，实时收集集群中的所有事件，请参见创建并使用K8s事件中心。
报警配置	开启容器服务报警管理。支持设置报警通知联系人分组，默认为Default Contact Group。

后续操作

部署工作负载并实现负载均衡

附录

责任共担模型

ACK托管集群智能托管模式旨在提供自动化、智能化的Kubernetes集群运维功能，减少您在Kubernetes集群运维层面的投入。但在部分场景下，仍需要您履行一部分义务。

阿里云负责	客户负责	共同责任

阿里云负责	客户负责	共同责任
集群控制面的部署、维护与升级。集群核心组件的安装、配置、升级。节点池的自动扩容、自动缩容、操作系统升级、软件版本升级（含 CVE 安全漏洞修复）等。	集群基础信息配置，如网络规划 VPC 配置等。集群 RAM 权限与 RBAC 的设置与管理。应用工作负载的部署、运维及合理设置，合理设置部分包含副本数、PreStop 等优雅下线策略、PodDisruptionBudget 策略等，以确保节点可排空运维且无业务中断影响。及时接收集群、应用的监控告警，根据告警信息做出响应。	集群整体安全性保障，集群的安全责任适用于安全责任共担模型，请参考安全责任共担模型。故障排查与问题解决。

配额与限制

如集群规模较大或账号资源较多，请遵循使用ACK集群时涉及的配额与限制。详细信息，请参见配额与限制。

使用限制：包括ACK配置限制（例如账号余额等）和单集群容量限制（单集群内不同Kubernetes资源的最大容量）。
配额限制与提升方式：ACK集群配额限制和ACK依赖云产品（例如ECS、VPC等）的配额限制。如需提升配额，请参见文档获取提升方式。