ACK One注册集群运维管理和组件安装注意事项

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: ACK One注册集群运维管理和组件安装注意事项

云下集群接入ACK注册集群的2种方式

ACK One注册集群帮助您将云下Kubernetes集群接入云端,快速搭建混合云集群,可以将本地数据中心Kubernetes集群或其他云厂商Kubernetes集群接入阿里云容器服务管理平台,进行统一管理。

内网接入方式:

如果云上云下集群已通过专线接通网络,则可以使用ACK One注册集群的 私网集群导入代理配置 接入集群。内网接入ACK One注册集群,在安装addon组件时,会默认使用内网容器镜像地址,例如:

registry-vpc.cn-hangzhou.aliyuncs.com/acs/ack-cluster-agent:latest

公网接入方式:

如果云上云下集群还未通过专线接通网络,则可以使用ACK One注册集群的 公网集群导入代理配置(创建集群时勾选绑定EIP) 接入集群。公网接入ACK One注册集群,在安装addon组件时,会默认使用公网容器镜像地址,例如:

registry.cn-hangzhou.aliyuncs.com/acs/ack-cluster-agent:latest

内网或公网接入的集群功能差异


内网接入

公网接入

节点池

支持

不支持

集群管理

支持

支持

安全治理

支持

支持

可观测性

支持

支持

云下使用内网域名访问ACR容器镜像仓库

云下内网接入ACK One注册集群的情况下,您需要在云企业网产品中添加配置指向ACR内网网段的路由。

当前ACK One注册集群中需要配置2种内网域名解析,个人版和企业版ACR镜像内网域名地址(最终都会收敛为企业版ACR镜像)。

如何在云企业网上配置访问云服务请参考:云企业网配置访问云服务

个人版ACR镜像内网域名解析

ACR个人版内网域名与路由网段对照表请参考:ACR个人版内网域名与路由网段对照表

ACR个人版内网域名示例:

registry-vpc.cn-hangzhou.aliyuncs.com

企业版ACR镜像内网域名解析

ACR企业版内网域名与路由网段配置请参考:《从本地数据中心访问容器镜像服务企业版实例》

ACR企业版内网域名示例:

registry-cn-hangzhou-vpc.ack.aliyuncs.com

云下集群访问云上服务

通过ACK One注册集群,用户可以为云下集群选addon组件,部署在云下的addon组件需要使用AK访问云上云服务,所以此处需要您生成子账户并授予对应的RAM权限,生成AK并使用该AK位addon组件配置权限。


Onectl CLI配置

参考 《使用onectl配置注册集群》

手动配置

示例

以日志采集组件为例,用户在集群详情->运维管理->日志中心->应用日志 中进行安装之前,需要完成以下操作:

(1) 创建RAM子账号并授予日志组件所需的RAM权限。

创建RAM子账号请参考: 《创建RAM用户》

(2)创建权限策略。具体操作,请参见创建自定义策略

日志组件需要的RAM权限如下所示:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "log:CreateProject",
                "log:GetProject",
                "log:DeleteProject",
                "log:CreateLogStore",
                "log:GetLogStore",
                "log:UpdateLogStore",
                "log:DeleteLogStore",
                "log:CreateConfig",
                "log:UpdateConfig",
                "log:GetConfig",
                "log:DeleteConfig",
                "log:CreateMachineGroup",
                "log:UpdateMachineGroup",
                "log:GetMachineGroup",
                "log:DeleteMachineGroup",
                "log:ApplyConfigToGroup",
                "log:GetAppliedMachineGroups",
                "log:GetAppliedConfigs",
                "log:RemoveConfigFromMachineGroup",
                "log:CreateIndex",
                "log:GetIndex",
                "log:UpdateIndex",
                "log:DeleteIndex",
                "log:CreateSavedSearch",
                "log:GetSavedSearch",
                "log:UpdateSavedSearch",
                "log:DeleteSavedSearch",
                "log:CreateDashboard",
                "log:GetDashboard",
                "log:UpdateDashboard",
                "log:DeleteDashboard",
                "log:CreateJob",
                "log:GetJob",
                "log:DeleteJob",
                "log:UpdateJob",
                "log:PostLogStoreLogs",
                "log:CreateSortedSubStore",
                "log:GetSortedSubStore",
                "log:ListSortedSubStore",
                "log:UpdateSortedSubStore",
                "log:DeleteSortedSubStore",
                "log:CreateApp",
                "log:UpdateApp",
                "log:GetApp",
                "log:DeleteApp",
                "cs:DescribeTemplates",
                "cs:DescribeTemplateAttribute"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

(3) 为RAM用户添加权限。具体操作,请参见为RAM用户授权

(4) 为RAM用户创建AccessKey。具体操作,请参见获取AccessKey

(5) 使用AccessKey在注册集群中创建名为alibaba-addon-secret的Secret资源。

执行以下命令创建日志组件使用的Secret(若已存在可跳过此步骤,只需保证对应的AK已经被授予对应的RAM权限即可)。

kubectl -n kube-system create secret generic alibaba-addon-secret --from-literal='access-key-id=<your AccessKey ID>' --from-literal='access-key-secret=<your AccessKey Secret>'

完成以上AK配置后,安装的日志组件即可引用该AK与云上日志服务进行数据传输,日志组件通过挂载Secret的方式使用AK如下所示:

- name: ALICLOUD_ACCESS_KEY_ID
  valueFrom:
    secretKeyRef:
      key: access-key-id
      name: alibaba-addon-secret
- name: ALICLOUD_ACCESS_KEY_SECRET
  valueFrom:
    secretKeyRef:
      key: access-key-secret
      name: alibaba-addon-secret

需要配置AK的组件

组件名称

是否需要

配置AK Secret

命名空间

其他描述

日志中心(logtail-ds)

kube-system

文档 《将日志服务接入注册集群》

事件中心(ack-node-problem-detector)

kube-system

文档 《将事件中心接入注册集群》

Promethues监控(ack-arms-promethues)

arms-prom

文档 将阿里云Prometheus接入注册集群

报警配置(alibabacloud-monitor-controller)

kube-system

文档 《将报警配置功能接入注册集群》

成本分析(ack-cost-exporter)

kube-system

文档 《集群成本分析》

应用备份(migrate-controller)

csdr

文档 《安装备份服务组件并配置权限》

ack-virtual-node

kube-system

文档 《扩容弹性容器实例ECI

aliyun-acr-credential-helper

kube-system

文档 《免密组件拉取容器镜像》

terway-eniip

kube-system

文档 《部署和配置Terway网络插件》

csi

kube-system

文档 《在注册集群中使用阿里云CSI存储》

相关实践学习
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。 &nbsp; &nbsp; 相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
目录
相关文章
|
3月前
|
运维 监控 Cloud Native
智联招聘 × 阿里云 ACK One:云端弹性算力颠覆传统 IDC 架构,打造春招技术新范式
在 2025 年春季招聘季的激战中,智联招聘凭借阿里云 ACK One 注册集群与弹性 ACS 算力的深度融合,成功突破传统 IDC 机房的算力瓶颈,以云上弹性架构支撑千万级用户的高并发访问,实现招聘服务效率与稳定性的双重跃升。文章介绍了 ACK One+ACS 的弹性架构如何解决了春招的燃眉之急,让智联招聘的技术团队能够聚焦创新业务开发,欢迎关注。
|
3月前
|
运维 Kubernetes Cloud Native
智联招聘 × 阿里云 ACK One:云端弹性算力颠覆传统 IDC 架构,打造春招技术新范式
在 2025 年春季招聘季的激战中,智联招聘凭借阿里云 ACK One 注册集群与弹性 ACS 算力的深度融合,成功突破传统 IDC 机房的算力瓶颈,以云上弹性架构支撑千万级用户的高并发访问,实现招聘服务效率与稳定性的双重跃升。
|
4月前
|
资源调度 Kubernetes 调度
从单集群到多集群的快速无损转型:ACK One 多集群应用分发
ACK One 的多集群应用分发,可以最小成本地结合您已有的单集群 CD 系统,无需对原先应用资源 YAML 进行修改,即可快速构建成多集群的 CD 系统,并同时获得强大的多集群资源调度和分发的能力。
156 9
|
4月前
|
资源调度 Kubernetes 调度
从单集群到多集群的快速无损转型:ACK One 多集群应用分发
本文介绍如何利用阿里云的分布式云容器平台ACK One的多集群应用分发功能,结合云效CD能力,快速将单集群CD系统升级为多集群CD系统。通过增加分发策略(PropagationPolicy)和差异化策略(OverridePolicy),并修改单集群kubeconfig为舰队kubeconfig,可实现无损改造。该方案具备多地域多集群智能资源调度、重调度及故障迁移等能力,帮助用户提升业务效率与可靠性。
|
2月前
|
运维 Kubernetes 持续交付
ACK One GitOps:让全球化游戏服务持续交付更简单
ACK One GitOps 致力于提供开箱即用的多集群 GitOps 持续交付能力,简化游戏等服务的多集群/多地域统一部署,让您更加专注于业务开发。
|
6月前
|
存储 Kubernetes 监控
K8s集群实战:使用kubeadm和kuboard部署Kubernetes集群
总之,使用kubeadm和kuboard部署K8s集群就像回归童年一样,简单又有趣。不要忘记,技术是为人服务的,用K8s集群操控云端资源,我们不过是想在复杂的世界找寻简单。尽管部署过程可能遇到困难,但朝着简化复杂的目标,我们就能找到意义和乐趣。希望你也能利用这些工具,找到你的乐趣,满足你的需求。
612 33
|
5月前
|
人工智能 Serverless 调度
突破地域限制,实现算力无限供给 —阿里云ACK One注册集群开启多地域Serverless算力调度
本文介绍了阿里云ACK One注册集群多地域Serverless算力调度解决方案,解决传统数据中心在AI时代面临的算力不足问题。方案通过分钟级接入、100%兼容Kubernetes操作及云上Serverless弹性,实现跨地域弹性算力供给,支持高并发请求与模型快速迭代。文中详细描述了快速接入步骤、指定地域调度及动态调度方法,并提供了相关代码示例。该方案助力企业实现AI推理服务的规模化部署,提升商业落地效率。
|
5月前
|
人工智能 Serverless 调度
突破地域限制,实现算力无限供给 -- 阿里云ACK One注册集群开启多地域Serverless算力调度
传统单地域算力难以支撑AI推理场景的高并发实时响应、突发高流量的要求,阿里云容器服务ACK One注册集群推出多地域Serverless算力调度方案完美解决此问题。
|
6月前
|
Kubernetes 开发者 Docker
集群部署:使用Rancher部署Kubernetes集群。
以上就是使用 Rancher 部署 Kubernetes 集群的流程。使用 Rancher 和 Kubernetes,开发者可以受益于灵活性和可扩展性,允许他们在多种环境中运行多种应用,同时利用自动化工具使工作负载更加高效。
349 19
|
6月前
|
人工智能 分布式计算 调度
打破资源边界、告别资源浪费:ACK One 多集群Spark和AI作业调度
ACK One多集群Spark作业调度,可以帮助您在不影响集群中正在运行的在线业务的前提下,打破资源边界,根据各集群实际剩余资源来进行调度,最大化您多集群中闲置资源的利用率。

相关产品

  • 容器服务Kubernetes版
  • 推荐镜像

    更多