一、前置条件
- 已创建注册集群并接入自建Kubernetes集群,集群状态为运行中
二、安装onectl
支持MacOS和Linux系统:
curl https://ack-one.oss-cn-hangzhou.aliyuncs.com/onectl/get-onectl.sh |bash
验证onectl:
onectl version
预期输出:
onectl: v1.0.0+435cb69 BuildDate: 2023-02-16T07:55:15Z GitCommit: 435cb69c9efdf369f036e3f5864c07ae871a793d GitTreeState: clean GoVersion: go1.18.9 Compiler: gc Platform: linux/amd64
三、配置onectl
使用说明
以onectl安装logtail-ds addon为例,本步骤中使用的AK将被用于执行以下操作:
- 检查RAM账号下是否已授权logtail-ds addon所需的RAM权限("ram:GetPolicy"),自动以权限策略名称为externalK8sPolicy-logtail-ds,若不存在,则创建该策略(ram:CreatePolicy),并将该策略添加至RAM账号下(ram:AttachPolicyToUser);
- 使用该AK,在ACK注册集群中创建secret,logtail-ds addon将挂载该secret并使用AK访问日志服务相关云资源。
强烈建议您使用RAM子账号并创建AK用于ACK注册集群。您需要向账号管理员申请子账号并为子账号完成以下操作:
- 为子账号生成AK
- 为子账号授予以下RAM权限
以下为账号管理员的操作:
(1)onectl方式:
onectl subuser create --name <subaccount_name> --main-access-key <main_access_key> --main-access-secret <main_access_secret>
预期输出:
Successfully create subuser account: name: xxxx new accessKeyId: xxxx new accessKeySecret: xxxx
若您只需为指定RAM账户授权RAM Policy的话,可以执行:
onectl subuser grant --name <subaccount_name> --new-ak=false --main-access-key <main_access_key> --main-access-secret <main_access_secret>
预期输出:
Successfully grant init ram policy subuser account granted rampolicy name: externalK8sPolicy-init
(2)控制台方式:
- 创建RAM用户。具体操作,请参见创建RAM用户。
- 为RAM用户创建AccessKey。具体操作,请参见获取AccessKey。
- 创建自定义权限策略externalK8sPolicy-tmp,具体权限策略内容如下。具体操作,请参见创建自定义权限策略。
{ "Statement": [ { "Action": [ "cs:InstallClusterAddons" ], "Effect": "Allow", "Resource": [ "acs:cs:*:*:cluster/*" ] }, { "Action": [ "ram:GetPolicy", "ram:CreatePolicy", "ram:AttachPolicyToUser" ], "Effect": "Allow", "Resource": [ "*" ] } ], "Version": "1" }
- 为RAM用户添加权限。具体操作,请参见为RAM用户授权
完成配置
使用主账户管理员为您生成的RAM账户以及AK信息,完成以下配置:
onectl configure
预期输出:
Configuring profile 'default' ... Access Key Id [xxxxxxxx]: Access Key Secret [xxxxxxxx]: Default SubAccount Username [xxxx]: Default Cluster Id (ClusterId of ACK Registry Cluster) [xxxxxxxxxxxxxxxx]: Default Kubeconfig Path (default is ~/.kube/config) []: Saving profile[default] ... Done.
- AK信息:onectl使用AK的2个用途:(1)使用该AK调用OpenAPI查询和创建自定义RAM策略、授予子账户自定义策略以及安装ACK Addon组件 (2)为ACK Addon组件配置AK,ACK Addon组件将使用该AK访问云上资源; 请确保该子账号AK使用最小RAM权限并妥善保管好该AK
- SubAccount Username:子账号的用户名,如下图示例中子账号的用户名为 `shuwei`
- Cluster ID: 即注册集群的clusterid
- Kubeconfig Path: 自建集群的kubeconfig路径,默认为~/.kube/config
四、使用onectl一键安装addon插件
示例: 安装logtail-ds插件:
onectl addon install logtail-ds
预期输出:
Addon logtail-ds installed
五、使用onectl前置检查节点池创建
创建节点池的前置检查
onectl nodepool check
预期输出:
Have you add nodeaffinity to avoid your network plugin running one ecs node? [y/n] y Is connected with intranet............... true Is customized node init script added..... true Is nodeaffinity added.................... true Is terway addon installed................ true nodepool check passed. [help doc: ]
创建自动弹性伸缩节点池的前置检查
onectl nodepool check --enable-autoscaler=true
预期输出:
Have you add nodeaffinity to avoid your network plugin running one ecs node? [y/n] y Is connected with intranet............... true Is customized node init script added..... true Is nodeaffinity added.................... true Is terway addon installed................ true Is autoscaler addon installed............ true nodepool check passed. [help doc: ]
当且仅当所有前置检查都通过时,您才可以进一步创建节点池。
FAQ
使用onectl安装addon的时候,onectl后台执行了哪个动作?
前置条件
用户已经通过onectl configure配置了AK、子账户名称、注册集群ID、当前集群的kubeconfig路径信息。
执行动作
(1) 检查用户账号下是否已创建名为"externalK8sPolicy-logtail-ds"的自定义策略,若不存在则创建该自定义策略并将其授权至子账户
(2) 使用用户配置的AK创建Secret kube-system/alibaba-addon-secret
(3)调用OpenAPI安装logtail-ds插件
节点池检查失败后应该怎么做?
(1) Is connected with intranet............... false
您需要使用注册集群的内网导入代理配置接入自建集群,在此之前,您需要先确保云上云下网络已互联互通。参考文档:https://help.aliyun.com/document_detail/455810.html
(2) Is customized node init script added..... false
由于Kubernetes集群的初始化方式、集群版本都要保持一致,所以在您使用注册集群节点池为IDC自建集群扩容云上ECS之前,您需要首先制作和配置自定义的节点初始化脚本,节点初始化脚本的内容应该跟您idc集群的节点初始化方方式保持一致,并在此基础上配置注册集群下发的ALIBABA_CLOUD_LABELS、ALIBABA_CLOUD_NODE_NAME(该变量将会在ECS初始化时赋值)等环境变量。参考文档:https://help.aliyun.com/document_detail/208053.html
(3) Is nodeaffinity added.................... false
云下自建集群扩容云上ECS的集群,需要保证云下节点只运行云下集群容器网络插件,云上ECS只运行terway容器网络插件。注册集群节点池扩容的云上ECS都默认打标alibabacloud.com/external=true,所以您需要在云下容器网络插件中添加nodeAffinity使其不要被调度到云上ECS即可。参考文档:https://help.aliyun.com/document_detail/208052.html#section-jo1-b9e-q7v
(4) Is terway addon installed................ false
idc自建集群中的节点运行您自己的容器网络插件,云上ECS只能运行terway容器网络插件,所以您需要在使用节点池扩容ECS前,首先确保terway组件已正常安装。 请使用 onectl addon install terway-eniip进行一键安装和配置
(5) Is autoscaler addon installed............ false
如果您需要启用自动弹性伸缩节点池,请首先确保autoscaler组件可以正常安装和运行。请使用onectl addon install autoscaler进行一键安装和配置
