用阿里云容器服务创建Kubernetes托管版集群时,只需创建Worker节点,Master节点由阿里云容器服务创建并托管,从而您可以更多关注业务本身。下面我们介绍Kubernetes托管版集群的创建过程。云技术在线提供阿里云容器服务技术支持。
- 登录容器服务管理控制台。
- 在控制台左侧导航栏中,单击集群。
- 单击页面右上角的创建集群,在弹出的选择集群模板页面,选择标准版集群,并单击创建。
- 在Kubernetes托管版页面,完成集群配置。
- 完成集群基础选项配置。
配置项 描述 集群名称 填写集群的名称。
说明 集群名称应包含1~63个字符,可包含数字、汉字、英文字符或短划线(-)。集群规格 选择集群规格,支持标准版和Pro版。
地域 选择集群所在的地域。
资源组 将鼠标悬浮于页面上方的账号全部资源,选择集群所在的资源组。这里显示选择的资源组。Kubernetes版本 选择Kubernetes版本。
容器运行时 支持Docker和安全沙箱。
专有网络 设置集群的网络,您可以选择普通VPC和共享VPC。
- 共享VPC:VPC的所有者账号(资源所有者)可以将其账号下的VPC内的交换机资源共享给其组织内的其他账号使用。
- 普通VPC:不具备共享功能的VPC。
虚拟交换机 设置虚拟交换机。
您可以在已有虚拟交换机列表中,根据可用区选择1~3个交换机。如果没有您需要的交换机,可以通过单击创建虚拟交换机进行创建。
网络插件 设置启用的网络插件和插件配置,支持Flannel和Terway网络插件
- Flannel:简单稳定的社区的Flannel CNI插件。但功能偏简单,支持的特性少,例如:不支持基于Kubernetes标准的Network Policy。
- Terway:阿里云容器服务自研的网络插件,将阿里云的弹性网卡分配给容器,支持Kubernetes的Network Policy来定义容器间的访问策略,支持对单个容器做带宽的限流。
说明
- 在Terway模式下,节点上可以运行的Pod数均受节点的弹性网卡和辅助IP的配额限制。
- 当专有网络选择共享VPC时,网络插件仅支持Terway。
- 网络插件选择Terway时,会使用弹性网卡的辅助IP分配给Pod,一个Pod占用一个弹性网卡辅助IP地址。
Terway模式 网络插件选择Terway时,需要配置Terway模式:
-
设置是否选中Pod独占弹性网卡以获得最佳性能
- 如果选中,Pod将独占一个专有的弹性网卡。
- 如果不选中,使用弹性网卡的辅助IP分配给Pod,一个Pod占用一个弹性网卡辅助IP地址。
-
设置是否选中IPvlan
- 只在弹性网卡共享模式支持选中。
- 如果选中,采用IPVLAN+eBPF作为网卡共享模式虚拟化技术,并且只能使用Alibaba Cloud Linux 2系统,性能优于默认模式。
- 如果不选中,则使用默认模式,采用策略路由作为网卡共享模式虚拟化技术,同时兼容Centos 7和Alibaba Cloud Linux 2的系统。
说明 当前只有白名单用户可使用上述Pod独占弹性网卡以获得最佳性能和IPvlan两种功能。 -
设置是否选中NetworkPolicy支持
- 只在弹性网卡共享模式下支持选中,默认不选中。
- 如果选中,集群支持使用Kubernetes的NetworkPolicy策略对Pod进行网络控制。
- 如果不选中,集群将不会支持使用Kubernetes的NetworkPolicy策略对Pod进行网络控制,这样将不存在网络策略对Kubernetes的API Server产生过大的负载。
Pod虚拟交换机 网络插件选择Terway时,您需要为Pod分配IP的虚拟交换机。每个Pod虚拟交换机分别对应一个Worker实例的虚拟交换机。
Pod网络CIDR 网络插件选择Flannel时,需要配置Pod网络CIDR。
Pod网络CIDR指定Flannel网络插件需要配置Pod网络CIDR,网段不能和VPC及VPC已有Kubernetes集群使用的网段重复,创建成功后不能修改。而且Service地址段不能和Pod地址段重复。
Service CIDR 设置Service CIDR。您需要指定Service CIDR,网段不能与VPC及VPC内已有Kubernetes集群使用的网段重复,创建成功后不能修改。而且Service地址段也不能和Pod地址段重复。
节点IP数量 如果您选择的网络模式为Flannel,您需设置节点IP数量。
说明 节点IP数量是指可分配给一个节点的IP数量,建议保持默认值。配置SNAT 创建集群时,默认不开通公网。如果您选择的VPC不具备公网访问能力,选中为专有网络配置SNAT后,ACK将为您创建NAT网关并自动配置SNAT规则。
公网访问 设置是否开放使用EIP暴露API Server。
API Server提供了各类资源对象(Pod,Service等)的增删改查及watch等HTTP Rest接口。
- 如果选择开放,会创建一个EIP,并挂载到内网SLB上。此时,Master节点的6443端口(对应API Server)暴露出来,用户可以在外网通过kubeconfig连接并操作集群。
- 如果选择不开放,则不会创建EIP,您只能在VPC内部用kubeconfig连接并操作集群。
RDS白名单 设置RDS白名单。将节点IP添加到RDS实例的白名单中。
说明 允许白名单RDS访问Kubernetes集群,RDS必须在当前集群的VPC内。安全组 支持选择自动创建普通安全组、自动创建企业级安全组、选择已有安全组。有关安全组的详细内容,请参见安全组概述。
- 完成集群高级选项配置。
配置项 描述 kube-proxy代理模式 支持iptables和IPVS两种模式。
- iptables:成熟稳定的kube-proxy代理模式,Kubernetes service的服务发现和负载均衡使用iptables规则配置,但性能一般,受规模影响较大,适用于集群存在少量的Service。
- IPVS:高性能的kube-proxy代理模式,Kubernetes service的服务发现和负载均衡使用Linux ipvs模块进行配置,适用于集群存在大量的service,对负载均衡有高性能要求的场景。
标签 为集群绑定标签。输入键和对应的值,单击添加。
说明
- 键是必需的,而值是可选的,可以不填写。
- 键不能是aliyun、http://、https://开头的字符串,不区分大小写,最多64个字符。
- 值不能是http:// 或https://,可以为空,不区分大小写,最多128个字符。
- 同一个资源,标签键不能重复,相同标签键(Key)的标签会被覆盖。
- 如果一个资源已经绑定了20个标签,已有标签和新建标签会失效,您需要解绑部分标签后才能再绑定新的标签。
集群本地域名 设置是否配置集群本地域名。
说明 默认域名为cluster.local,可自定义域名。域名由两段组成,每段不超过63个字符,且只能使用大小写字母和数字,不能为空。自定义证书SAN 在集群API Server服务端证书的SAN(Subject Alternative Name)字段中添加自定义的IP或域名,以实现对客户端的访问控制。
服务账户令牌卷投影 开启服务账户令牌卷投影功能以降低在Pod中使用Service Account遇到的安全性问题,可使得kubelet支持基于Pod粒度的Token签发,并且支持Token audience和过期时间的配置。
集群删除保护 设置是否启用集群删除保护。为防止通过控制台或API误释放集群。
- 完成集群基础选项配置。
- 单击下一步:Worker配置,完成Worker节点配置。
- 选择Worker实例。
- 如果您选择新增实例,需要进行以下配置。
配置项 描述 付费类型 容器服务Kubernetes版支持按量付费和包年包月两种节点付费类型。选择包年包月时,需设置以下参数。
- 购买时长:目前支持选择1、2、3、6个月和1~5年。
- 自动续费:设置是否自动续费。
实例规格 支持选择多个实例规格。
已选规格 呈现选中的规格。
数量 新增Worker实例(ECS实例)的数量。
说明 建议创建时最少选择两台,创建好之后,可以根据您的实际情况加减节点。节点太少,或者规格太低,会影响集群组件的运行。系统盘 支持ESSD云盘、SSD云盘和高效云盘。
说明 支持选中开启云盘备份以备份云盘数据。挂载数据盘 支持ESSD云盘、SSD云盘和高效云盘。挂载数据盘时,支持云盘加密和开启云盘备份。
操作系统 支持CentOS和Alibaba Cloud Linux 2操作系统。
登录方式 - 设置密钥。
- 密钥对:如您已经创建密钥对,在下拉列表中选择目标密钥对。
- 新建密钥对:此项用于您还未创建密钥对。密钥对创建完毕后,设置该密钥对作为登录集群的凭据。
- 设置密码。
- 登录密码:设置节点的登录密码。
- 确认密码:确认设置的节点登录密码。
- 如果您选择添加已有实例,则需要预先在此地域下创建ECS云服务器,然后配置操作系统、登录方式和密钥对,配置描述请参见上文。
- 如果您选择新增实例,需要进行以下配置。
- 设置高级选项。
配置项 描述 实例保护 设置是否启用实例保护。
说明 为防止通过控制台或API误释放集群节点,默认启用实例保护。实例自定义数据 生成实例自定义数据。
自定义镜像 允许您选择一个自定义ECS镜像,选择后,集群所有节点将基于此镜像进行部署 。自定义节点名称 是否开启自定义节点名称。
节点名称由前缀 + 节点IP地址子串 + 后缀三部分组成:
- 前缀和后缀均可由.分隔的一个或多个部分构成,每个部分可以使用小写字母、数字和短划线(-),且首尾必须为小写字母和数字。
- IP地址段长度指截取节点IP地址末尾的位数,取值范围5~12。
例如:节点IP地址为192.1xx.x.xx,指定前缀为aliyun.com,IP地址段长度为5,后缀为test,则节点名称为aliyun.com00055test。
CPU Policy 设置CPU policy。
- none:默认策略,表示启用现有的默认CPU亲和方案。
- static:允许为节点上具有某些资源特征的Pod赋予增强的CPU亲和性和独占性。
污点(Taints) 为集群内所有Worker节点添加污点。
- 选择Worker实例。
- 单击下一步:组件配置,完成组件配置。
配置项 描述 Ingress 设置是否安装Ingress组件。默认选中安装Ingress组件。
存储插件 设置存储插件,支持Flexvolume和CSI。Kubernetes集群通过Pod可自动绑定阿里云云盘、NAS、OSS存储服务。请参见存储管理-Flexvolume和存储管理-CSI。
监控插件 设置是否启用云监控插件。默认选中在ECS节点上安装云监控插件和使用Prometheus监控服务,前者用于在云监控控制台查看所创建ECS实例的监控信息。
日志服务 设置是否启用日志服务,您可使用已有Project或新建一个Project。
默认选中使用日志服务。创建应用时,您可通过简单配置,快速使用日志服务。
默认选中安装node-problem-detector并创建事件中心。您可以选择是否在日志服务控制台中创建Ingress Dashboard。
工作流引擎 设置是否使用AGS。
- 如果选中AGS,则创建集群时系统自动安装AGS工作流插件。
- 如果不选中,则需要手动安装AGS工作流插件。
- 单击下一步:确认配置。
- 选中服务协议并单击创建集群。
说明 一个包含多节点的Kubernetes集群的创建时间一般约为十分钟。
执行结果
- 集群创建成功后,您可以在容器服务管理控制台的集群列表页面查看所创建的集群。
-
您可以单击操作列的查看日志,进入集群日志信息页面查看集群的日志信息。您也可以在集群日志信息页面中,单击资源栈事件查看更详细的信息。
-
在集群列表页面中,找到刚创建的集群,单击操作列中的详情,单击基本信息和连接信息页签,查看集群的基本信息和连接信息。
其中:
- API Server公网连接端点:Kubernetes的API Server对公网提供服务的地址和端口,可以通过此服务在用户终端使用kubectl等工具管理集群。
绑定EIP和解绑EIP功能仅支持托管版Kubernetes集群。
- 绑定EIP:您可以选择在已有EIP列表中绑定EIP或者新建EIP。
绑定EIP操作为导致API Server短暂重启,请避免在此期间操作集群。
- 解绑EIP:解绑EIP后您将无法通过公网访问API Server。
解绑EIP操作会导致API Server短暂重启,请避免在此期间操作集群。
- 绑定EIP:您可以选择在已有EIP列表中绑定EIP或者新建EIP。
- API Service内网连接端点:Kubernetes的API server对集群内部提供服务的地址和端口,此IP为负载均衡的地址。
- 测试域名:为集群中的服务提供测试用的访问域名。服务访问域名后缀是
<cluster_id>.<region_id>.alicontainer.com
。说明 单击重新绑定域名,您可以重新绑定访问域名。
- API Server公网连接端点:Kubernetes的API Server对公网提供服务的地址和端口,可以通过此服务在用户终端使用kubectl等工具管理集群。
-
您可以通过kubectl连接Kubernetes集群,执行
kubectl get node
查看集群的节点信息。