本文介紹如何在控制臺創建阿里云容器服務安全加密計算托管集群(Alibaba Cloud Container Service for Kubernetes-Trusted Execution Environment,簡稱ACK-TEE)。
索引
前提條件
使用限制
限制項 | 說明 | 配額申請鏈接/相關文檔 | |
費用 | 用戶賬戶至少需要有100元的余額并通過實名認證,否則無法創建按量付費的ECS實例和負載均衡。 | ||
網絡 | ACK集群僅支持專有網絡VPC。 | ||
云資源 | ECS實例 | 僅支持創建按量付費和包年包月的ECS實例。實例創建后,您可以通過ECS管理控制臺將按量付費轉預付費。 | |
VPC路由條目 | 每個賬戶初始默認狀況下VPC路由條目不超過200條,當ACK集群的網絡模式是Flannel時,集群的路由條目最大不能超過200個(網絡模式是Terway則不受該影響)。如集群需要更多路由條目數,您需要對目標VPC申請提高配額 。 | ||
安全組 | 每個賬號默認最多可以創建100個安全組。 | ||
負載均衡實例 | 每個賬號默認最多可以創建60個按量付費的負載均衡實例。 | ||
EIP | 每個賬號默認最多可以創建20個EIP。 | ||
創建加密計算托管集群時,以下界面參數需要按照表中的要求配置,否則創建的集群將無法支持運行Intel SGX應用。
配置項 | 說明 |
可用區 | 目前僅規格族為安全增強計算型c7t、安全增強通用型g7t、安全增強內存型r7t的實例規格支持加密計算集群,請確保所選可用區包含這些實例規格。關于ECS實例規格可購買地域和可用區的更多信息,請參見ECS實例規格可購買地域總覽。 |
容器運行時 | Containerd 1.4.4或更高版本 |
實例規格 | 選擇規格族為安全增強計算型c7t、安全增強通用型g7t、安全增強內存型r7t的實例規格。 說明 Intel IceLake僅支持基于Intel SGX DCAP的遠程證明方式,不支持基于Intel EPID方式的遠程證明方式,您的程序可能需要適配后才能正常使用遠程證明功能。關于遠程證明的更多信息,請參見attestation-services。 |
操作系統類型 | Alibaba Cloud Linux 2.xxxx 64位UEFI版 |
網絡插件 | Flannel |
步驟一:登錄容器服務管理控制臺
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊頁面右上角的集群模板。
在選擇集群模板頁面的托管集群區域選擇加密計算托管集群,并單擊創建。
步驟二:配置集群
在ACK 托管版頁面,完成集群基礎選項配置和高級選項配置。
集群基礎選項
配置項 | 描述 |
賬號全部資源 | 將鼠標懸浮于頁面上方的賬號全部資源,選擇資源組。在控制臺頁面頂部選擇的資源組可過濾出該資源組內的專有網絡及對應的虛擬交換機。在創建集群時,只顯示過濾的專有網絡實例及專有網絡對應的虛擬交換機實例。 |
集群名稱 | 集群的名稱。長度為1~63個字符,可包含數字、下劃線(_)或中劃線(-),需以英文大小寫字母、中文或數字開頭。 |
集群規格 | 選擇集群規格,支持Pro 版和基礎版。企業生產和測試環境中推薦使用ACK集群Pro版。ACK集群基礎版僅供個人學習與測試使用。 |
地域 | 集群所在的地域。 |
付費類型 | 支持按量付費和包年包月兩種付費類型。選擇包年包月時,需設置以下參數。 說明 設置付費類型為包年包月時,僅ECS云服務器和SLB負載均衡按照包年包月的方式計費,其他云資源仍然按照按量付費的方式計費。關于云資源的詳細介紹,請參見云產品資源計費。
|
Kubernetes 版本 | 當前支持的Kubernetes版本。 |
加密計算 | 選中開啟。 |
IPv6雙棧 | |
專有網絡 | 設置集群的網絡,您可以選擇普通VPC和共享VPC。
說明 ACK集群僅支持專有網絡。您可以在已有VPC列表中選擇所需的VPC。如果沒有您需要的專有網絡,可以通過單擊創建專有網絡進行創建,請參見創建和管理專有網絡。 |
網絡插件 | 加密計算僅支持Flannel。 |
虛擬交換機 | 設置虛擬交換機。 您可以在已有虛擬交換機列表中,根據可用區選擇交換機。如果沒有您需要的交換機,可以通過單擊創建虛擬交換機進行創建,請參見創建和管理交換機。 |
Pod 網絡 CIDR | 網絡插件選擇Flannel時,需要配置Pod 網絡 CIDR。 Flannel網絡插件需要配置Pod網絡CIDR,網段不能和VPC及VPC已有ACK集群使用的網段重復,創建成功后不能修改,而且Service地址段不能和Pod地址段重復。有關集群網絡地址段規劃的信息,請參見Kubernetes集群網絡規劃。 |
節點 Pod 數量 | 如果網絡模式為Flannel,需設置節點 Pod 數量。 |
Service CIDR | 設置Service CIDR。需要指定Service CIDR,網段不能與VPC及VPC內已有ACK集群使用的網段重復,創建成功后不能修改,而且Service地址段也不能和Pod地址段重復。有關集群網絡地址段規劃的信息,請參見Kubernetes集群網絡規劃。 |
IPv6 Service CIDR | 開啟IPv6雙棧后,您需要為Service CIDR配置IPv6地址段。配置網段時,請注意:
關于集群網絡地址段規劃的信息,請參見Kubernetes集群網絡規劃。 |
配置 SNAT | 創建集群時,默認選中。如果您選擇的VPC不具備公網訪問能力,選中為專有網絡配置 SNAT后,ACK將為您創建NAT網關并自動配置SNAT規則。 |
API server 訪問 | ACK默認為API Server默認創建一個按使用量計費的私網SLB實例。 重要
您可設置是否開放使用 EIP 暴露 API Server。API Server提供了各類資源對象(Pod,Service等)的增刪改查及Watch等HTTP Rest接口。
|
安全組 | |
集群刪除保護 | 是否啟用集群刪除保護。推薦開啟,以防止通過控制臺或OpenAPI誤刪除集群。 |
資源組 | 創建的集群將歸屬于選擇的資源組。一個資源只能歸屬于一個資源組。根據不同的業務場景,您可以將資源組映射為項目、應用或組織等概念。 |
集群高級選項
單擊顯示高級選項,配置集群高級選項。
配置項 | 描述 |
時區 | 集群所要使用的時區。默認時區為瀏覽器所配置的時區。 |
kube-proxy 代理模式 | 支持iptables和IPVS兩種模式。
|
標簽 | 為集群綁定標簽。輸入鍵和對應的值,單擊添加。 說明
|
集群本地域名 | 是否配置集群本地域名。 說明 默認域名為 |
自定義證書 SAN | 在集群API Server服務端證書的SAN(Subject Alternative Name)字段中添加自定義的IP或域名,以實現對客戶端的訪問控制。 具體操作,請參見自定義集群API Server證書SAN。 |
服務賬戶令牌卷投影 | 開啟服務賬戶令牌卷投影以降低在Pod中使用Service Account遇到的安全性問題,可使得kubelet支持基于Pod粒度的Token簽發,并且支持Token audience和過期時間的配置。更多信息,請參見部署服務賬戶令牌卷投影 |
Secret 落盤加密 | 在ACK集群Pro版中,選中選擇 KMS 密鑰可以使用在阿里云密鑰管理服務KMS(Key Management Service)中創建的密鑰加密Kubernetes Secret密鑰。更多信息,請參見使用阿里云KMS進行Secret的落盤加密。 |
步驟三:配置節點池
單擊下一步:節點池配置,完成節點池基礎選項配置和高級選項配置。
節點池基礎選項
配置項 | 描述 |
節點池名稱 | 自定義的節點池名稱。 |
托管節點池 | 是否開啟托管功能。 |
集群維護窗口 | 選中托管節點池后,可設置此配置項。 托管節點池將在維護窗口進行自動化升級,例如節點池鏡像升級、運行時升級、Kubernetes版本等。更多信息,請參見托管節點池概述。 單擊設置,在集群維護窗口對話框,設置維護周期、維護起始時間以及維護時長,然后單擊確定。 |
容器運行時 | 根據集群Kubernetes版本選擇容器運行時。
|
實例規格及已選規格 | 目前僅規格族為安全增強計算型c7t、安全增強通用型g7t、安全增強內存型r7t的實例規格支持運行Intel SGX2.0應用。 |
期望節點數 | 節點池應該維持的總節點數量。您可以通過調整期望節點數,達到擴容或縮容節點池的目的。如無需創建節點,可以填寫為0。更多信息,請參見擴縮容節點池。 說明 建議創建時最少選擇兩臺,創建好之后,可以根據您的實際情況,加減節點。節點太少或者規格太低,會影響集群組件的運行。 |
系統盤 | 支持ESSD AutoPL、ESSD云盤、ESSD Entry、SSD云盤和高效云盤。 系統盤可選的類型與選擇的實例規格相關。如果云盤類型下拉列表沒有顯示的云盤類型,代表不支持該云盤類型。 關于云盤的更多信息,請參見塊存儲概述;查詢實例規格支持的云盤類型,請參見實例規格族。 說明
您可以選擇配置更多系統盤類型,配置與系統盤不同的磁盤類型,提高擴容成功率。創建實例時,系統將根據指定的磁盤類型順序,選擇第一個匹配的磁盤類型用于創建實例。 |
掛載數據盤 | 支持ESSD AutoPL、ESSD云盤、ESSD Entry以及上一代云盤(SSD云盤和高效云盤)。掛載數據盤時,數據盤可選的類型與選擇的實例規格相關。如果云盤類型下拉列表沒有顯示的云盤類型,代表不支持該云盤類型。 關于云盤的更多信息,請參見塊存儲概述;查詢實例規格支持的云盤類型,請參見實例規格族。
說明 一臺ECS實例最多可掛載64塊數據盤,不同實例規格支持掛載的最多云盤數量不同。實例規格支持掛載的云盤數量上限,可以通過DescribeInstanceTypes接口查詢(DiskQuantity)。 |
操作系統 | 僅支持Alibaba Cloud Linux 2.xxxx 64位UEFI版。 |
安全加固 |
說明 集群創建完成后,安全加固選項不支持修改。 |
登錄方式 | |
公網 IP | 是否為節點分配IPv4地址。如果未選中,不會配公網IP地址,當選擇公網IP后,還需配置帶寬計費方式和帶寬峰值。 說明 該選項僅對節點池新增節點生效,對節點池已有節點無效。已有節點如需訪問公網,請配置并綁定彈性公網IP地址。具體操作,請參見將EIP綁定至ECS實例。 |
云監控插件 | 是否安裝云監控插件。安裝后,可在云監控控制臺查看所創建ECS實例的監控信息。 說明 該選項僅對節點池新增節點生效,對節點池已有節點無效。已有節點如需安裝云監控插件,請通過云監控控制臺安裝。 |
節點池高級選項
單擊顯示高級選項,配置節點池高級選項。
配置項 | 描述 |
實例保護 | 設置是否啟用實例保護。 說明 為防止通過控制臺或API誤釋放集群節點,默認啟用實例保護。 |
ECS 標簽 | 為彈出的ECS添加標簽,標簽鍵不可重復。最大長度為128個字符,標簽鍵和標簽值不能以 一臺ECS可綁定標簽的上限為20個。如需提高上限,請到配額平臺提交申請。由于ACK和ESS存在以下標簽占用,因此最多可指定17個ECS標簽。
說明
|
污點 (Taints) | 為節點添加污點,污點(Taints)包含鍵、值和Effect(效果)。有效污點鍵包含前綴(可選)和名稱。如果有前綴,用正斜線(/)分隔。更多信息,請參見污點和容忍度。污點有以下限制:
|
節點標簽 | 為節點添加標簽,標簽是鍵值對。有效標簽鍵包含前綴(可選)和名稱,如果有前綴,前綴和名稱之間用正斜線(/)分隔。標簽有以下限制:
|
擴縮容策略 |
重要 節點池創建完成后,擴縮容策略不支持編輯。 |
CPU Policy | 更多信息,請參見CPU管理策略。 |
自定義鏡像 | 配置自定義鏡像后,自定義鏡像將取代默認系統鏡像。
|
RDS 白名單 | 單擊請選擇您想要添加白名單的RDS實例,將節點IP添加至RDS實例的白名單。 |
自定義節點名稱 | 是否開啟自定義節點名稱。自定義節點名稱后,將同時更改節點名稱、ECS實例名稱、ECS實例Hostname。 說明 對于開啟自定義節點名稱的Windows實例,其Hostname固定為IP地址,使用 節點名稱由前綴、節點IP地址及后綴三部分組成:
例如:節點IP地址為192.XX.YY.55,指定前綴為aliyun.com,后綴為test。
|
實例自定義數據 | 節點加入集群后,將運行您指定的實例自定義數據腳本。關于User-Data腳本,請參見User-Data腳本。 例如,指定實例自定義數據為 說明 創建集群或擴容節點成功不代表實例自定義腳本執行成功。您可以登錄節點執行 |
步驟四:配置組件
單擊下一步:組件配置,完成組件基礎選項配置和高級選項配置。
組件基礎配置
配置項 | 描述 |
Ingress | 設置是否安裝Ingress網絡組件。如果有對外暴露服務的需求,則推薦安裝Ingress組件。默認為Nginx Ingress。
|
服務發現 | 設置是否安裝NodeLocal DNSCache組件,默認安裝NodeLocal DNSCache。 NodeLocal DNSCache用于運行DNS緩存代理以提升域名解析性能和穩定性。關于NodeLocal DNSCache的更多信息,請參見使用NodeLocal DNSCache。 |
存儲插件 | 默認是CSI存儲插件。默認選中創建默認NAS文件系統和CNFS容器網絡文件系統動態存儲類型,并默認開啟 NAS 回收站特性,支持數據快速恢復。Kubernetes集群通過Pod可自動綁定阿里云云盤、NAS、OSS存儲服務。更多信息,請參見存儲管理-CSI。 |
容器監控 | 默認選中使用 Prometheus 監控服務,為容器服務ACK集群提供基礎監控和報警。 |
日志服務 | 默認選中創建 Ingress Dashboard,您可以選擇是否在日志服務控制臺中創建 Ingress Dashboard。更多信息,請參見Nginx Ingress訪問日志分析與監控。 |
報警配置 | 默認選中使用默認報警模板配置報警,開啟默認報警規則。開啟后,可以設置報警通知聯系人分組,默認為Default Contact Group。詳細介紹,請參見容器服務報警管理。 |
控制平面組件日志 | 默認選中開啟,將從ACK控制層收集托管集群控制平面組件日志到您賬號中的SLS日志服務的Log Project中。更多信息,請參見收集ACK托管集群控制平面組件日志。 |
集群巡檢 | 啟用智能運維的集群巡檢功能,定期掃描集群內配額、資源水位、組件版本等,識別集群內潛在的風險。更多信息, 請參見使用集群巡檢。 |
組件高級選項
單擊顯示高級選項,選中需要安裝的組件。
步驟五:確認配置
單擊下一步:確認配置,確認配置信息,仔細閱讀并選中服務協議,然后單擊創建集群。
集群創建成功后,您可以在容器服務管理控制臺的集群列表頁面查看所創建的集群。
一個包含多節點的集群的創建時間一般約為十分鐘。
相關操作
查看集群基本信息
在集群列表頁面中,找到剛創建的集群,單擊操作列中的詳情,單擊基本信息和連接信息頁簽,查看集群的基本信息和連接信息。其中:
API Server 公網連接端點:Kubernetes的API Server對公網提供服務的地址和端口,可以通過此服務在用戶終端使用kubectl等工具管理集群。
綁定公網IP和解綁公網IP功能僅支持托管版Kubernetes集群。
綁定公網IP:您可以選擇在已有EIP列表中綁定EIP或者新建EIP。
綁定公網IP操作會導致API Server短暫重啟,請避免在此期間操作集群。
解綁公網IP:解綁公網IP后您將無法通過公網訪問API Server。
解綁公網IP操作會導致API Server短暫重啟,請避免在此期間操作集群。
API Server 內網連接端點:Kubernetes的API Server對集群內部提供服務的地址和端口,此IP為負載均衡的地址。
查看集群日志信息
您可以單擊操作列的,進入日志中心頁面查看集群的日志信息。
查看集群節點信息
您可以獲取集群KubeConfig并通過kubectl工具連接集群,執行
kubectl get node查看集群的節點信息。