建立Kubernetes專有版叢集 - Container Service for Kubernetes

在ACK專有叢集中，您需要建立至少3個Master節點以保證高可用性，以及若干Worker節點，以對叢集基礎設施進行更細粒度的控制，但需要自行規劃、維護、升級叢集。本文介紹如何通過Container Service管理主控台建立ACK專有叢集，包括叢集、Master、節點池和組件配置。

重要

Container Service for Kubernetes已於2024年08月21日起停止ACK專有叢集的建立。推薦您在生產環境中使用具有更高可靠性、安全性和調度效率的ACK叢集Pro版。

如需使用ACK專有叢集，請提交工單申請開通。
如需建立ACK叢集Pro版，請參見建立ACK託管叢集。
如需將ACK專有叢集遷移至ACK叢集Pro版，請參見熱遷移ACK專有叢集至ACK叢集Pro版。

前提條件

已登入Resource Access Management控制台和Auto Scaling控制台開通相應的服務。

使用限制

限制項		說明	配額申請連結/相關文檔
網路		ACK叢集僅支援Virtual Private Cloud。	什麼是專用網路
雲資源	ECS執行個體	支援隨用隨付、訂用帳戶和搶佔式執行個體三種付費類型。執行個體建立後，您可以通過ECS管理主控台將隨用隨付轉預付費。	隨用隨付轉訂用帳戶
	VPC路由條目	每個賬戶初始預設狀況下VPC路由條目不超過200條，當ACK叢集的網路模式是Flannel時，叢集的路由條目最大不能超過200個（網路模式是Terway則不受該影響）。如叢集需要更多路由條目數，您需要對目標VPC申請提高配額。	配額中心
	安全性群組	每個帳號預設最多可以建立100個安全性群組。	查看和提升安全性群組配額
	Server Load Balancer執行個體	每個帳號預設最多可以建立60個隨用隨付的Server Load Balancer執行個體。	配額中心
	EIP	每個帳號預設最多可以建立20個EIP。	配額中心

步驟一：登入Container Service管理主控台

登入Container Service管理主控台，在左側導覽列選擇叢集列表。
將滑鼠懸浮於頁面上方的帳號全部資源，選擇資源群組。在控制台頁面頂部選擇的資源群組可過濾出該資源群組內的專用網路及對應的虛擬交換器。在建立叢集時，只顯示過濾的專用網路執行個體及專用網路對應的虛擬交換器執行個體。
在叢集列表頁面，單擊建立叢集。

步驟二：配置叢集

單擊ACK 專有叢集頁簽，完成叢集基礎資訊配置、網路設定和進階選項配置。

基礎資訊配置

配置項	描述
叢集名稱	叢集的名稱。長度為1~63個字元，可包含數字、底線（_）或中劃線（-），需以英文大小寫字母、中文或數字開頭。
地區	叢集所在的開服地區。
Kubernetes 版本	當前支援的Kubernetes版本。您可以參見ACK版本支援概覽瞭解ACK的版本支援情況。

網路設定

配置項	描述
IPv6雙棧	公測中，請前往配額平台申請。開啟IPv6雙棧後，將建立IPv4/IPv6雙棧叢集。重要僅1.22及以上版本的叢集支援此功能。 Worker節點與控制面之間的通訊使用IPv4地址。需要使用Terway容器網路外掛程式。使用Terway共用ENI模式時，ECS的規格需要支援IPv6地址，且支援的IPv4地址數量與IPv6地址數量相同，才能正常加入叢集。關於ECS規格的詳細資料，請參見執行個體規格類型系列。叢集使用的VPC需要支援IPv6雙棧。叢集使用eRDMA功能需要關閉IPv6雙棧。
專用網路	配置叢集的Virtual Private Cloud。您可以指定可用性區域，自動建立一個VPC，也可以在已有VPC列表中選擇已建立的VPC。
為專用網路配置 SNAT	如果您建立或選擇的VPC不具備公網訪問能力，勾選後，ACK將為您建立NAT Gateway並自動設定SNAT規則。若不勾選，您可自行配置NAT Gateway並手動設定SNAT，以確保VPC內執行個體可以正常訪問公網。更多資訊，請參見建立和管理公網NAT Gateway執行個體。
交換器	在列表中根據可用性區域選擇已有vSwitch交換器，或單擊建立虛擬交換器建立新的vSwitch。叢集控制面與預設節點池將使用此處指定的vSwitch。推薦選擇多個不同可用性區域的vSwitch，更好地保障叢集高可用。
安全性群組	勾選專用網路為使用已有時，支援使用選擇已有安全性群組。支援選擇自動建立普通安全性群組、自動建立企業級安全性群組、選擇已有安全性群組。自動建立的安全性群組對於出方向預設全部允許。如果您因為業務原因需要修改，請確保在入方向已允許存取`100.64.0.0/10`網段。該網段用於訪問阿里雲其他服務，以執行鏡像拉取、查詢ECS基礎資訊等操作。指定已有安全性群組時，系統預設不會為安全性群組配置額外的訪問規則，可能會導致訪問異常，請自行管理安全性群組規則，請參見配置叢集安全性群組。
API server 訪問	為API Server建立一個隨用隨付的私網CLB執行個體，作為叢集API Server的內網串連端點。重要刪除預設建立的CLB執行個體會導致API Server無法訪問。自2024年12月01日起，新建立的CLB執行個體將新增收取執行個體費。詳細資料請參見傳統型負載平衡CLB計費項目調整公告。還支援選擇是否開放使用 EIP 暴露 API Server。API Server提供了各類資來源物件（Pod、Service等）的增刪改查及Watch等HTTP Rest介面。開放：開啟後，將為 API Server 私網 CLB 執行個體綁定一個 EIP，獲得從公網訪問叢集 API Server 的能力。不開放：不會建立EIP，僅能在VPC內使用KubeConfig串連並操作叢集。
網路外掛程式	支援Flannel和Terway網路外掛程式。關於兩者的詳細對比，請參見容器網路外掛程式Terway與Flannel對比。 Flannel是社區開源的網路外掛程式，在ACK中採用了阿里雲VPC專用網路模式，報文經過VPC路由表直接轉寄，適用於節點規模較小、需要簡化網路設定、無需對容器網路進行自訂控制的情境。 Terway是阿里雲自研的網路外掛程式，通過ENI實現Pod的網路通訊，提供了基於eBPF的網路加速、NetworkPolicy和Pod層級交換器/安全性群組等能力，適用於對節點規模、網路效能和安全等有較高需求的高效能運算、遊戲、微服務等情境。說明在Terway模式下，節點上可以啟動並執行Pod數均受節點的彈性網卡和輔助IP的配額限制。網路外掛程式選擇Terway時，會使用彈性網卡的輔助IP分配給Pod，一個Pod佔用一個彈性網卡輔助IP地址。當專用網路選擇共用VPC時，網路外掛程式僅支援Terway。選擇Terway時，還支援以下能力。 DataPathV2 使用DataPathv2加速模式，僅支援在建立叢集時配置。選中後，Terway會採取不同於共用ENI常規模式的流量轉寄鏈路，實現更快的網路通訊。更多資訊，請參見網路加速。說明開啟後，Terway policy容器預計會在每個Worker節點上多佔用0.5核512MB的資源，此消耗會隨著叢集規模增大而增大。在Terway預設配置中，policy容器的CPU上限為1核，記憶體無限制。 NetworkPolicy 支援勾選後，則會支援Kubernetes原生的`NetworkPolicy`。說明從Terway v1.9.2開始，建立叢集NetworkPolicy由eBPF的實現提供，資料面會開啟DataPathv2功能。通過控制台管理`NetworkPolicy`的功能正在公測中，如果您希望使用，請在配額平台提交申請。 Trunk ENI 支援支援為每個Pod配置固定IP、獨立的虛擬交換器、安全性群組，提供精細化流量管理、流量隔離、網路原則配置和IP管理能力。更多資訊，請參見為Pod配置固定IP及獨立虛擬交換器、安全性群組。說明 ACK託管叢集無需申請即可選擇Trunk ENI選項。如果您希望在ACK專有叢集中開啟Trunk ENI，請先在配額平台提交申請。從Kubernetes 1.31開始，建立的ACK託管叢集會自動啟用Trunk ENI功能，無需手動進行選擇。
容器網段	僅在選擇使用Flannel外掛程式時需要配置。配置容器網段，網段不能和VPC及VPC已有ACK叢集使用的網段重複，建立成功後不能修改，而且服務位址區段不能和容器位址區段重複。有關叢集網路位址區段規劃的資訊，請參見Kubernetes叢集網路規劃。
節點 Pod 數量	僅在選擇使用Flannel外掛程式時需要配置。配置單個節點上所能容納的最大Pod數量。
Pod 交換器	僅在選擇使用Terway外掛程式時需要配置。為Pod分配IP的虛擬交換器。每個Pod虛擬交換器分別對應一個Worker節點的虛擬交換器，Pod虛擬交換器和Worker節點的虛擬交換器的可用性區域需保持一致。重要 Pod虛擬交換器的網段掩碼建議不超過19，最大不超過25，否則叢集網路可分配的Pod IP地址非常有限，會影響叢集的正常使用。
服務網段	服務網段（Service CIDR）是叢集中為Service分配IP地址的專用網路位址範圍。此網段不能與VPC及VPC內已有叢集使用的網段重複，且服務位址區段也不能和容器位址區段重複。有關叢集網路位址區段規劃的資訊，請參見Kubernetes叢集網路規劃。
IPv6 服務網段	需同時選擇IPv6雙棧。為服務網段配置IPv6位址區段。配置網段時，必須使用ULA地址，位址區段範圍在`fc00::/7`內，且地址前置長度在112~120之間。推薦和服務網段保持相同的可用地址數量。關於叢集網路位址區段規劃的更多資訊，請參見Kubernetes叢集網路規劃。

叢集進階配置

展開進階選項（選填），配置叢集服務轉寄模式。

配置項

描述

服務轉寄模式

支援iptables和IPVS兩種模式。

iptables：成熟穩定的kube-proxy代理模式。Kubernetes Service的服務發現和負載平衡使用iptables規則配置，但效能一般，受規模影響較大，適用於存在少量Service的叢集。
IPVS：高效能的kube-proxy代理模式。Kubernetes Service的服務發現和負載平衡使用Linux IPVS模組進行配置，適用於存在大量Service的叢集，且對負載平衡有高效能要求。

展開進階選項（選填），配置叢集刪除保護、資源群組等資訊。

展開查看進階選項

配置項	描述
叢集刪除保護	推薦開啟叢集刪除保護，防止通過控制台或OpenAPI誤刪除叢集。
資源群組	建立的叢集將歸屬於選擇的資源群組。一個資源只能歸屬於一個資源群組。根據不同的業務情境，您可以將資源群組映射為專案、應用或組織等概念。
標籤	為叢集綁定標籤，作為雲資源的標識。為索引值對格式。Key必填，不可重複，最多64個字元；Value選填，最多128個字元。 Key和Value不支援以`aliyun`、`acs:`、`https://`或`http://`開頭，不區分大小寫。同一個資源，Key不能重複，相同Key的標籤會被覆蓋。如果一個資源已經綁定了20個標籤，已有標籤和建立標籤會失效，需解除綁定部分標籤後重新綁定。
時區	叢集所要使用的時區。預設時區為瀏覽器所配置的時區。
叢集本地區名	為配置叢集本地區名。預設網域名稱為`cluster.local`，也支援自訂網域名。本地區名是叢集中所有Service使用的頂級網域名稱（標準尾碼）。例如，處於default命名空間中的名為`my-service`的Service，它的DNS網域名稱為`my-service.default.svc.cluster.local`。自訂本地區名的注意事項，請參見配置叢集本地區名（ClusterDomain）有哪些注意事項？。
自訂認證 SAN	在叢集API Server服務端認證的SAN（Subject Alternative Name）欄位中添加自訂的IP或網域名稱，以實現對用戶端的存取控制。具體操作，請參見自訂叢集API Server認證SAN。
服務賬戶令牌卷投影	開啟服務賬戶令牌卷投影以降低在Pod中使用Service Account遇到的安全性問題，可使得kubelet支援基於Pod粒度的Token簽發，並且支援Token audience和到期時間的配置。使用說明，請參見使用ServiceAccount Token卷投影。
節點服務連接埠範圍	建立NodePort類型的Service時，可用的連接埠範圍。
叢集 CA	啟用後，可以將CA認證添加到叢集中，加強服務端和用戶端之間資訊互動的安全性。

步驟三：配置Master節點

單擊下一步：Master 配置，完成Master節點配置。

配置項	描述
Master執行個體數量	指定可用性區域內部署Master節點的數量。
付費類型	支援隨用隨付和訂用帳戶兩種付費類型。選擇訂用帳戶時，需設定購買時間長度和是否啟用自動續約。
執行個體規格	選擇Master節點的執行個體規格類型系列。您可以參見選擇Master節點規格擷取配置建議。
系統硬碟	支援ESSD AutoPL、ESSD雲端硬碟、ESSD Entry、SSD雲端硬碟和高效雲端硬碟。系統硬碟可選的類型與選擇的執行個體規格類型系列相關。如果雲端硬碟類型下拉式清單沒有顯示的雲端硬碟類型，代表不支援該雲端硬碟類型。 ESSD雲端硬碟自訂效能和加密能力 ESSD雲端硬碟支援自訂效能層級。ESSD雲端硬碟容量越大，可供選擇的效能層級越高（460 GiB容量以上可選PL2，1260 GiB以上可選PL3）。更多資訊，請參見容量範圍與效能層級的關係。建立系統硬碟時，僅ESSD雲端硬碟支援加密。選擇密鑰時，阿里雲預設使用服務密鑰（Default Service CMK）進行加密，您也可以選擇事先在KMS服務中建立好的自訂密鑰（BYOK）為該雲端硬碟加密。您可以選擇配置更多系統硬碟類型，配置與系統硬碟不同的磁碟類型，提高擴容成功率。建立執行個體時，系統將根據指定的磁碟類型順序，選擇第一個匹配的磁碟類型用於建立執行個體。
部署集	通過ECS控制台建立部署集後，通過ACK控制台為控制面節點指定部署集。部署集指定後不支援修改。

步驟四：配置節點池

單擊下一步：節點池配置，完成節點池基礎選項配置和進階選項配置。

節點池基礎配置

配置項	描述
節點池名稱	自訂的節點池名稱。
容器運行時	根據叢集Kubernetes版本選擇容器運行時。如何選型，請參見containerd、安全沙箱、Docker運行時的對比。 containerd（推薦）：支援所有版本的叢集。安全沙箱：支援1.31及以下版本的叢集。 Docker（已停止支援）：支援1.22及以下版本的叢集。

執行個體和鏡像配置

配置項		描述
付費類型		節點池擴容ECS執行個體時預設採用的付費類型，支援隨用隨付、訂用帳戶和搶佔式執行個體。訂用帳戶：需配置購買時間長度以及自動續約。搶佔式執行個體：目前僅支援具有保護期的搶佔式執行個體。需同時配置單台執行個體上限價格。當指定執行個體規格的即時市場價格低於單台執行個體上限價格時，能成功建立搶佔式執行個體。超過保護期後（1小時），每5分鐘檢測一次執行個體規格的即時市場價格和庫存。如果某一時刻的市場價格高於出價或執行個體規格庫存不足，搶佔式執行個體會被釋放。使用方式，請參見搶佔式執行個體Auto Scaling最佳實務。為保證節點池統一，隨用隨付、訂用帳戶節點池與搶佔式執行個體節點池之間不支援轉換。例如，對於建立節點池時選擇付費類型為隨用隨付或訂用帳戶的節點池，編輯節點池時不展示搶佔式執行個體；反之亦然。
執行個體相關的配置項		根據執行個體規格或屬性選擇Worker節點池使用的ECS執行個體，可通過vCPU、記憶體、規格類型系列、架構等屬性篩選所需的執行個體規格類型系列。您可以參見ECS執行個體規格配置建議擷取節點的配置建議。節點池擴容時，將從選中的執行個體規格中擴容。具體擴容到的執行個體規格取決於節點池擴縮容策略。選擇的執行個體規格越多，節點池成功彈出節點的機率越大。由於執行個體規格不可用或庫存不足，導致節點池彈出節點失敗時，可以嘗試添加更多執行個體規格。您可以參照控制台的彈性強度建議添加執行個體規格，也可以建立節點池後查看節點池彈性強度。如果您選擇的執行個體均為GPU伺服器，您可以按需開啟共用 GPU 調度。更多資訊，請參見共用GPU調度。
作業系統		雲市場鏡像處於灰階發布中。公用鏡像：Container Service for Kubernetes提供的Alibaba Cloud Linux 3容器最佳化版、ContainerOS、Alibaba Cloud Linux 3、Ubuntu、Windows等作業系統的公用鏡像。詳細資料請參見作業系統。自訂鏡像：使用自訂動作系統鏡像，詳細資料請參見如何基於建立好的ECS執行個體建立自訂鏡像，並使用該鏡像建立節點？。說明修改節點池系統鏡像時，僅影響新增節點，不會修改節點池已有節點的系統鏡像。關於如何升級或更換作業系統，請參見更換作業系統。為保證節點池內節點系統鏡像的統一，修改節點池鏡像時，僅允許修改為同類型鏡像的最新版本，不支援更改鏡像類型。
安全強化		為叢集開啟安全強化。建立完成後，加固方案不支援轉換。不開啟：對ECS執行個體不進行安全強化。等保加固：阿里雲為Alibaba Cloud Linux 2和Alibaba Cloud Linux 3等保2.0三級版鏡像提供等保合規的基準檢查標準和掃描程式。等保加固在保障原生鏡像相容性和效能的基礎上進行了等保合規適配，使其滿足國家資訊安全部發布的《GB/T22239-2019資訊安全技術網路安全等級保護基本要求》。更多資訊，請參見ACK等保加固使用說明。重要等保加固會禁止Root使用者通過SSH遠程登入。您可通過ECS控制台使用VNC方式登入系統建立可使用SSH的普通使用者。具體操作，請參見通過VNC串連執行個體。阿里雲 OS 加固：僅當系統鏡像選擇Alibaba Cloud Linux 2或Alibaba Cloud Linux 3時，可為節點開啟阿里雲OS加固。
登入方式		設定密鑰：阿里雲SSH金鑰組是一種安全便捷的登入認證方式，由公開金鑰和私密金鑰組成，僅支援Linux執行個體。請同步配置登入名稱（root登入或ecs-user登入）和所需的金鑰組。設定密碼：密碼限制為8～30個字元，且必須同時包含大寫字母、小寫字母、數字和特殊符號。請同步配置登入名稱（root登入或ecs-user登入）和密碼。

儲存配置

配置項		描述
系統硬碟		支援ESSD AutoPL、ESSD雲端硬碟、ESSD Entry、SSD雲端硬碟和高效雲端硬碟。系統硬碟可選的類型與選擇的執行個體規格類型系列相關。如果雲端硬碟類型下拉式清單沒有顯示的雲端硬碟類型，代表不支援該雲端硬碟類型。 ESSD雲端硬碟自訂效能和加密能力 ESSD雲端硬碟支援自訂效能層級。ESSD雲端硬碟容量越大，可供選擇的效能層級越高（460 GiB容量以上可選PL2，1260 GiB以上可選PL3）。更多資訊，請參見容量範圍與效能層級的關係。建立系統硬碟時，僅ESSD雲端硬碟支援加密。選擇密鑰時，阿里雲預設使用服務密鑰（Default Service CMK）進行加密，您也可以選擇事先在KMS服務中建立好的自訂密鑰（BYOK）為該雲端硬碟加密。您可以選擇配置更多系統硬碟類型，配置與系統硬碟不同的磁碟類型，提高擴容成功率。建立執行個體時，系統將根據指定的磁碟類型順序，選擇第一個匹配的磁碟類型用於建立執行個體。
資料盤		支援ESSD AutoPL、ESSD雲端硬碟、ESSD Entry以及上一代雲端硬碟（SSD雲端硬碟和高效雲端硬碟）。資料盤可選的類型與選擇的執行個體規格類型系列相關。如果雲端硬碟類型下拉式清單沒有顯示的雲端硬碟類型，代表不支援該雲端硬碟類型。 ESSD AutoPL支援預配置效能：在保持儲存容量大小不變的情況下，可以結合實際業務的需求量靈活配置雲端硬碟的預配置效能，從而實現雲端硬碟容量與效能解耦。效能突發：開啟後，波動性業務面臨突發的資料讀寫壓力時，雲端硬碟會根據業務實際情況臨時提升雲端硬碟效能，直至業務恢複至平穩狀態。 ESSD雲端硬碟支援自訂效能層級。ESSD雲端硬碟容量越大，可供選擇的效能層級越高（460 GiB容量以上可選PL2，1260 GiB以上可選PL3）。更多資訊，請參見容量範圍與效能層級的關係。掛載資料盤時，所有雲端硬碟類型均支援加密。選擇密鑰時，阿里雲預設使用服務密鑰（Default Service CMK）進行加密，您也可以選擇事先在KMS服務中建立好的自訂密鑰（BYOK）為該雲端硬碟進行加密。在需要容器鏡像加速、大模型快速載入等情境下，您還可以使用快照建立資料盤，提升系統的響應速度和處理能力。每個節點上需有一塊資料盤被掛載到`/var/lib/container`（`/var/lib/kubelet`、`/var/lib/containerd`將掛載到`/var/lib/container`目錄下）。對於節點上的其他資料盤，您可以進行初始化設定，自訂其掛載目錄。使用說明，請參見ACK節點池中資料盤可以自訂目錄掛載嗎？說明一台ECS執行個體最多可掛載64塊資料盤，不同執行個體規格支援掛載的雲端硬碟數量上限不同。執行個體規格支援掛載的雲端硬碟數量上限，可以通過DescribeInstanceTypes介面查詢（DiskQuantity）。

執行個體數量配置

配置項	描述
期望節點數	節點池應該維持的總節點數量，建議至少配置2個節點，以確保叢集組件正常運行。您可以通過調整期望節點數，達到擴容或縮容節點池的目的，請參見擴縮容節點池。如無需建立節點，可填寫為0，後續再手動調整，增加節點數。

節點池進階配置

展開進階選項（選填），配置節點擴縮容策略。

配置項	描述
擴縮容策略	優先順序策略：根據叢集配置的虛擬交換器的優先順序進行擴縮容（選擇的虛擬交換器的順序，由上到下優先順序遞減）。當優先順序較高的虛擬交換器所在可用性區域無法建立ECS執行個體時，自動使用下一優先順序的虛擬交換器建立ECS執行個體。成本最佳化策略：按vCPU單價從低到高嘗試建立執行個體。當節點池付費類型為搶佔式執行個體時，將優先建立搶佔式計費執行個體。支援同時配置按量執行個體所佔比例（%），當搶佔式計費執行個體規格因庫存等原因無法建立時，自動使用隨用隨付執行個體來補充。均衡分布策略：只有設定多個專用網路交換器時，均衡分布策略才會生效。在伸縮組指定的多可用性區域（即指定多個專用網路交換器）之間均勻分配ECS執行個體。如果由於庫存不足等原因造成可用性區域之間不平衡，您可以再次進行均衡操作，以平衡資源的可用性區域分布。
使用按量執行個體補充搶佔式容量	需同時選擇付費類型為搶佔式執行個體。開啟後，如果因價格或庫存等原因無法建立足夠的搶佔式執行個體，ACK將自動嘗試建立按量執行個體，以滿足ECS執行個體數量要求。
開啟搶佔式執行個體補償	需同時選擇付費類型為搶佔式執行個體。開啟後，當收到搶佔式執行個體將被回收的系統訊息時（即搶佔式執行個體被回收前5分鐘左右），開啟彈性的節點池將嘗試建立新的執行個體，替換掉將被回收的搶佔式執行個體。

展開進階選項（選填），配置ECS標籤、汙點等資訊。

置項	描述
ECS 標籤	為彈出的ECS添加標籤，標籤鍵不可重複。最大長度為128個字元，標籤鍵和標籤值不能以`aliyun`、`acs:`開頭，不能包含`https://`、`http://`。一台ECS可綁定標籤的上限為20個。如需提高上限，請到配額平台提交申請。由於ACK和ESS存在以下標籤佔用，因此最多可指定17個ECS標籤。 ACK預設佔用兩個ECS標籤。 `ack.aliyun.com:<您的叢集ID>` `ack.alibabacloud.com/nodepool-id:<您的節點池ID>` ESS預設佔用1個ECS標籤：`acs:autoscaling:scalingGroupId:<您的節點池伸縮組ID>`。說明開啟Auto Scaling後，因Auto Scaling將預設佔用兩個ECS標籤，因此節點池會額外佔用兩個ECS標籤：`k8s.io/cluster-autoscaler:true`和`k8s.aliyun.com:true`。自動調整組件為了預檢測彈出節點的調度行為，需依靠ECS標籤記錄K8s的節點標籤和汙點。因此，節點的每個標籤都會被轉為`k8s.io/cluster-autoscaler/node-template/label/標籤鍵：標籤值`；節點的每個汙點會被轉為`k8s.io/cluster-autoscaler/node-template/taint/汙點鍵/汙點值：汙點效果`。
汙點（Taints）	為節點添加汙點，汙點（Taints）包含鍵、值和Effect（效果）。有效汙點鍵包含首碼（可選）和名稱。如果有首碼，用正斜線（/）分隔。更多資訊，請參見汙點和容忍度。汙點有以下限制：鍵：汙點鍵的名稱長度為1~63個字元，必須以字母、數字或字元`[a-z0-9A-Z]`開頭和結尾，中間可包含字母、數字、短劃線（-）、底線（_）、英文半形句號（.）。如果指定首碼，必須是DNS子域。即一系列由英文半形句號（.）分隔的DNS標籤，不超過253個字元，並以正斜線（/）結尾。關於DNS子域，請參見DNS子域。值：汙點值可以為空白，不超過63個字元，必須以字母、數字或字元`[a-z0-9A-Z]`開頭和結尾，可包含字母、數字、短劃線（-）、底線（_）、英文半形句號（.）。 Effect：可選擇NoSchedule、NoExecute、PreferNoSchedule三種。 NoSchedule：如果汙點中存在至少一個Effect值為NoSchedule的汙點，則系統不會將Pod分配到該節點。 NoExecute：任何不能忍受這個汙點的Pod都會被驅逐，任何可以忍受這個汙點的Pod都不會被驅逐。 PreferNoSchedule：系統會盡量避免將Pod調度到存在其不能容忍汙點的節點上，但不會強制執行。
節點標籤（Labels）	為節點添加標籤，標籤是索引值（Key-Value）對。有效Key包含首碼（可選）和名稱，如有首碼，首碼和名稱之間用正斜線（/）分隔。標籤有以下限制。 Key：名稱長度為1~63個字元，必須以字母數字字元`[a-z0-9A-Z]`開頭和結尾，中間可包含字母、數字、短劃線（-）、底線（_）、英文半形句號（.）。如果指定首碼，必須是DNS子域，即一系列由英文半形句號（.）分隔的DNS標籤，不超過253個字元，以正斜線（/）結尾。以下首碼由Kubernetes核心組件保留，不支援指定 `kubernetes.io/` `k8s.io/` 以`kubernetes.io/`和`k8s.io/`結尾的首碼。例如`test.kubernetes.io/`。以下除外： `kubelet.kubernetes.io/` `node.kubernetes.io` 以`kubelet.kubernetes.io/`結尾的首碼。以`node.kubernetes.io`結尾的首碼。 Value：可以為空白，不超過63個字元，必須以字母數字字元`[a-z0-9A-Z]`開頭和結尾，可包含字母、數字、短劃線（-）、底線（_）和英文半形句號（.）。
設定為不可調度	勾選該項後，新添加的節點註冊到叢集時預設會被設定為不可調度。您需要在節點列表中開啟調度狀態。本配置僅對節點池中新增的節點生效，不會對節點池已有節點生效。
CPU Policy	指定kubelet節點的CPU管理原則。 None：預設策略。 Static：允許為節點上具有某些資源特徵的Pod賦予增強CPU親和性和獨佔性。
自訂節點名稱	是否開啟自訂節點名稱。自訂節點名稱後，將同時更改節點名稱、ECS執行個體名稱、ECS執行個體Hostname。說明對於開啟自訂節點名稱的Windows執行個體，其Hostname固定為IP地址，使用`-`代替IP地址中的`.`，且不包含首碼和尾碼。節點名稱由首碼、節點IP地址及尾碼三部分組成：總長度為2-64個字元。節點名稱首尾必須為小寫字母和數字。首碼和尾碼允許使用大小寫字母、數字、連字號（-）和點號（.）。必須以大小寫字母開頭，不能以連字號（-）或點號（.）開頭或結尾。不能連續使用連字號（-）或點號（.）。首碼必選（ECS限制），尾碼可選。例如：節點IP地址為192.XX.YY.55，指定首碼為aliyun.com，尾碼為test。如果節點為Linux節點，則節點名稱、ECS執行個體、ECS執行個體Hostname均為aliyun.com192.XX.YY.55test。如果節點為Windows節點，則ECS執行個體Hostname為192-XX-YY-55，節點名稱、ECS執行個體名稱均為aliyun.com192.XX.YY.55test。
執行個體預自訂資料	請前往配額平台申請節點加入叢集前，將運行您指定的執行個體預自訂資料指令碼。關於User-Data指令碼，請參見User-Data指令碼。例如，指定執行個體預自訂資料為`echo "hello world"`，則節點實際運行指令碼如下。 `#!/bin/bash echo "hello world" [節點初始化指令碼]`
執行個體自訂資料	節點加入叢集後，將運行您指定的執行個體自訂資料指令碼。關於User-Data指令碼，請參見User-Data指令碼。例如，指定執行個體自訂資料為`echo "hello world"`，則節點實際運行指令碼如下。 `#!/bin/bash [節點初始化指令碼] echo "hello world"` 說明建立叢集或擴容節點成功不代表執行個體自訂指令碼執行成功。您可以登入節點執行`grep cloud-init /var/log/messages`命令查看執行日誌。
CloudMonitor外掛程式	安裝後，可在CloudMonitor控制台查看所建立ECS執行個體的監控資訊。該選項僅對節點池新增節點生效，對節點池已有節點無效。已有節點如需安裝CloudMonitor外掛程式，請通過CloudMonitor控制台安裝。
公網 IP	是否為節點分配IPv4地址。如果未選中，不會分配公網IP地址，當選擇公網IP後，還需配置頻寬計費方式和頻寬峰值。該選項僅對節點池新增節點生效，對節點池已有節點無效。已有節點如需訪問公網，請配置並綁定Elastic IP Address地址。具體操作，請參見將EIP綁定至ECS執行個體。
自訂安全性群組	可選擇普通安全性群組或企業級安全性群組，僅支援同時選擇一種類型的安全性群組。節點池的安全性群組不支援修改，安全性群組的類型也不允許變更。關於安全性群組的更多資訊，請參見安全性群組。重要每台ECS執行個體最多支援加入5個安全性群組，請確保您的ECS安全性群組配額充足。關於安全性群組的數量限制以及如何申請提升ECS執行個體能夠加入的安全性群組數量，請參見安全性群組。指定已有安全性群組時，系統預設不會為安全性群組配置額外的訪問規則，可能會導致訪問異常，請自行管理安全性群組規則。關於如何管理安全性群組規則，請參見配置叢集安全性群組。
RDS 白名單	將節點IP添加至RDS執行個體的白名單。

步驟五：配置組件

單擊下一步：組件配置，完成組件配置。

配置項	描述
Ingress	是否安裝Ingress網路組件，可選不安裝。如果有對外暴露服務的需求，推薦安裝Ingress組件。 Nginx Ingress：詳細資料和使用說明，請參見建立Nginx Ingress。 ALB Ingress：安裝ALB Ingress組件的選項說明，請參見管理ALB Ingress Controller組件；ALB Ingress的使用方法，請參見建立ALB Ingress。 MSE Ingress：在ACK叢集中通過MSE Ingress訪問服務的方法，請參見通過MSE Ingress訪問Container Service。
服務發現	安裝NodeLocal DNSCache，用於運行DNS緩衝代理以提升網域名稱解析效能和穩定性。
儲存外掛程式	預設使用CSI儲存外掛程式。您也可以開啟建立預設NAS檔案系統和CNFS容器網路檔案系統動態儲存裝置類型，並預設開啟 NAS 資源回收筒特性，支援資料快速恢複。ACK支援雲端硬碟、NAS、OSS等儲存卷類型。
容器監控	您可以使用阿里雲Prometheus查看叢集預先配置的監控大盤和監控效能指標。更多資訊，請參見阿里雲Prometheus監控。
Log Service	使用已有SLS Project或建立一個SLS Project，用於收集叢集日誌。建立應用時，您可通過簡單配置，快速使用Log Service，詳情參見通過DaemonSet採集Kubernetes容器文本日誌。建立 Ingress Dashboard：在SLS控制台建立Ingress Dashboard，收集Nginx Ingress訪問日誌，請參見Nginx Ingress訪問日誌分析與監控。安裝 node-problem-detector 並建立事件中心：在SLS控制台中添加事件中心，即時收集叢集中的所有事件，請參見建立並使用K8s事件中心。
叢集巡檢	啟用智能營運的叢集巡檢功能，定期掃描叢集內配額、資源水位、組件版本等，識別叢集內潛在的風險。

步驟六：確認配置

單擊下一步：確認配置，確認配置資訊，仔細閱讀並選中服務合約，然後單擊建立叢集。

叢集建立成功後，您可以在Container Service管理主控台的叢集列表頁面查看所建立的叢集。

說明

一個包含多節點的叢集建立時間約為十分鐘。

計費說明

關於使用ACK專有叢集過程中會產生的資源計費，請參見計費概述。

Container Service for Kubernetes：建立ACK專有叢集