托管節(jié)點池概述
如果您希望將節(jié)點進行分組納管,同時降低節(jié)點的運維負擔,例如操作系統(tǒng)(OS)CVE漏洞自動修復(fù)、kubelet自動升級、節(jié)點故障時重啟節(jié)點等,您可以啟用托管節(jié)點池。托管節(jié)點池是ACK推出的自動化運維型節(jié)點池,在普通節(jié)點池的基礎(chǔ)上支持多種自定義運維能力。
托管節(jié)點池介紹
使用場景
只關(guān)注上層應(yīng)用開發(fā),不希望花費過多精力運維Worker節(jié)點。
對底層節(jié)點的變更不敏感,業(yè)務(wù)Pod對遷移有較高的容忍度,更加關(guān)注業(yè)務(wù)的彈性而非不可變性。
架構(gòu)圖
注意事項
準備工作
托管節(jié)點池提供自動化運維能力,需要配置集群維護窗口才可使用。您可以單擊托管節(jié)點池的操作列的托管配置,在托管配置頁面配置維護窗口。
托管節(jié)點池支持操作系統(tǒng)(OS)CVE漏洞修復(fù),使用該功能需要開通云安全中心的企業(yè)版或以上版本且保證配額充足。ACK不額外收取費用。具體操作,請參見購買云安全中心、功能特性。
ACK建議您務(wù)必開啟事件中心,否則將無法接收托管節(jié)點池的告警事件。關(guān)于開啟事件中心的具體操作,請參見事件監(jiān)控。
ACK建議您務(wù)必安裝ack-node-problem-detector,否則將無法檢測節(jié)點的異常情況。關(guān)于ack-node-problem-detector的具體說明,請參見ack-node-problem-detector。
使用須知
節(jié)點池升級
ACK采用替換系統(tǒng)盤的方式執(zhí)行托管節(jié)點池的節(jié)點升級時,會刪除節(jié)點系統(tǒng)盤上的數(shù)據(jù)。數(shù)據(jù)盤內(nèi)的數(shù)據(jù)不受影響,請勿在系統(tǒng)盤上存儲任何持久化數(shù)據(jù)。
排水
托管節(jié)點池在替盤升級前會執(zhí)行節(jié)點下線與排水,因此會造成Pod的重啟、長連接的中斷。執(zhí)行排水操作時,ACK會先嘗試通過
cordon
命令或者容器服務(wù)管理控制臺將節(jié)點設(shè)置為不可調(diào)度,然后驅(qū)逐該節(jié)點上的Pod。如果超時30分鐘后,Pod仍未被驅(qū)逐,容器服務(wù)將強制執(zhí)行替盤操作。自愈:
托管節(jié)點池會監(jiān)控節(jié)點的運行狀態(tài),如果節(jié)點超過10分鐘未上報節(jié)點狀態(tài),或者狀態(tài)為NotReady,容器服務(wù)會嘗試通過重啟故障節(jié)點來恢復(fù)潛在的故障。因此,節(jié)點上的Pod會被重啟。
托管節(jié)點池與普通節(jié)點池的區(qū)別
ACK提供普通節(jié)點池和托管節(jié)點池。在集群和節(jié)點池運行狀態(tài)正常的情況下,您可以在節(jié)點池列表的操作列,單擊開啟托管或關(guān)閉托管,轉(zhuǎn)換節(jié)點池類型。
普通節(jié)點池:為您提供管理一組同質(zhì)節(jié)點的能力,同一個節(jié)點池的節(jié)點具有相同的配置,例如規(guī)格、標簽(Label)、污點(Taint)。您可以自行運維普通節(jié)點池內(nèi)的節(jié)點。
托管節(jié)點池:在普通節(jié)點池的基礎(chǔ)上,提供操作系統(tǒng)CVE漏洞自動修復(fù)能力,自動觸發(fā)故障節(jié)點修復(fù)等能力,從而實現(xiàn)托管節(jié)點池的自動化運維。
說明托管節(jié)點池的自動運維能力可以簡化節(jié)點運維工作,但部分復(fù)雜的節(jié)點故障可能仍需人工修復(fù)。關(guān)于節(jié)點自動恢復(fù)的更多信息,請參見托管節(jié)點池節(jié)點自動恢復(fù)。
托管節(jié)點池與普通節(jié)點池具體的對比項及說明如下表所示。
對比項 | 普通節(jié)點池 | 托管節(jié)點池 |
運維能力 | 由您自行管理。 | 部分運維托管于容器服務(wù)。 |
故障修復(fù) | 手動觸發(fā)。 | 自動檢測并觸發(fā)故障修復(fù)。支持配置是否允許重啟節(jié)點來修復(fù)故障。 |
操作系統(tǒng)(OS)CVE修復(fù) | 由您手動觸發(fā)操作系統(tǒng)CVE修復(fù)。 | 支持自動觸發(fā)操作系統(tǒng)CVE漏洞修復(fù),包括高危、中危和低危漏洞。 |
kubelet小版本升級 | 由您手動觸發(fā)kubelet升級。 | 可配置自動升級kubelet小版本。 |
containerd運行時升級 | 由您手動觸發(fā)運行時升級。 | 可配置自動升級containerd運行時。當containerd有重大操作系統(tǒng)CVE漏洞時,默認自動升級修復(fù)。 |
ContainerOS ImageId 更新 | 不支持。 | 對于ContainerOS類型的鏡像,自動更新節(jié)點池鏡像ID到最新版本,讓新擴容的節(jié)點操作系統(tǒng)鏡像保持最新。 |
相關(guān)文檔
創(chuàng)建、查看、編輯、擴縮容、刪除節(jié)點池,添加已有節(jié)點以及移除節(jié)點等,請參見節(jié)點池管理。
節(jié)點池升級,托管節(jié)點池節(jié)點自動恢復(fù)以及節(jié)點池操作系統(tǒng)CVE修復(fù)等,請參見節(jié)點池運維。
節(jié)點池部署集最佳實踐,搶占式實例節(jié)點池最佳實踐以及遷移游離節(jié)點至節(jié)點池等,請參見節(jié)點池最佳實踐。
節(jié)點與節(jié)點池相關(guān)問題,請參見節(jié)點與節(jié)點池FAQ。