在註冊叢集中通過虛擬節點將Pod調度到ECI上運行 - Container Service for Kubernetes

當您需要在短時間內快速建立大量Pod時，ECS節點擴容速度可能無法滿足要求，而預留額外的ECS節點又會產生資源浪費。藉助ACK虛擬節點（Virtual Node）可以將Pod快速地調度到Elastic Container Instance上運行，且無需購買和管理ECS節點。本文主要介紹如何在註冊叢集中將Pod調度到ECI上運行。

工作原理

阿里雲Elastic Container Instance（Elastic Container Instance）是面向容器設計的無伺服器彈性計算服務，提供了免營運、強隔離、能快速啟動的容器運行環境。使用ECI時，您無需購買和管理底層ECS伺服器，可以更加關注容器應用而非底層基礎設施的維護工作。您可按需建立ECI，僅為容器配置的資源付費（按量按秒計費）。

通常，您的ACK叢集會有至少一組ECS節點池，建立Pod時，背後是將Pod調度到ECS節點上運行，這種架構能很好地應對流量穩定的業務。如果您的業務有不易提前預測的瞬時波峰，儘管ACK支援Auto Scaling，但ECS節點池擴容時，ECS執行個體的建立和啟動本身會有一定的額外耗時。藉助虛擬節點Virtual Node，您可以直接將Pod調度到ECI上運行，省去節點建立時間，避免產生閑置節點資源，降低成本。

前提條件

已建立註冊叢集，並將自建Kubernetes叢集（叢集版本需大於等於1.14）接入註冊叢集。具體操作，請參見建立註冊叢集。
已登入Elastic Container Instance控制台開通相應的服務。
已確認叢集所在地區在ECI支援的地區列表內。登入Elastic Container Instance控制台查看已經支援的地區和可用性區域。Elastic Container Instance地區和可用性區域列表資訊，請參見地區和可用性區域。

步驟一：為ack-virtual-node組件配置RAM許可權

通過onectl配置

在本地安裝配置onectl。具體操作，請參見通過onectl管理註冊叢集。

執行以下命令，為ack-virtual-node組件配置RAM許可權。

onectl ram-user grant --addon ack-virtual-node

預期輸出：

Ram policy ack-one-registered-cluster-policy-ack-virtual-node granted to ram user ack-one-user-ce313528c3 successfully.

通過控制台配置

在註冊叢集安裝組件之前，您需要在接入叢集中設定AccessKey用來訪問雲端服務的許可權。設定AccessKey之前，您需要建立RAM使用者並為其添加訪問相關雲資源的許可權。

建立RAM使用者。具體操作，請參見建立RAM使用者。

可選：建立自訂權限原則。具體操作，請參見建立自訂權限原則。

展開查看自訂原則範本

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "eci:CreateContainerGroup",
                "eci:DeleteContainerGroup",
                "eci:DescribeContainerGroups",
                "eci:DescribeContainerGroupStatus",
                "eci:DescribeContainerGroupEvents",
                "eci:DescribeContainerLog",
                "eci:UpdateContainerGroup",
                "eci:UpdateContainerGroupByTemplate",
                "eci:CreateContainerGroupFromTemplate",
                "eci:RestartContainerGroup",
                "eci:ExportContainerGroupTemplate",
                "eci:DescribeContainerGroupMetric",
                "eci:DescribeMultiContainerGroupMetric",
                "eci:ExecContainerCommand",
                "eci:CreateImageCache",
                "eci:DescribeImageCaches",
                "eci:DeleteImageCache",
                "vpc:DescribeVSwitches"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

為RAM使用者添加許可權。具體操作，請參見為RAM使用者授權。
可選擇自訂權限原則或AliyunECIFullAccess策略為RAM使用者授權。
為RAM使用者建立AccessKey。具體操作，請參見擷取AccessKey。
使用AccessKey在註冊叢集中建立名為alibaba-addon-secret的Secret資源。
安裝ack-virtual-node組件時將自動引用此AccessKey訪問對應的雲端服務資源。
```
kubectl -n kube-system create secret generic alibaba-addon-secret --from-literal='access-key-id=<your access key id>' --from-literal='access-key-secret=<your access key secret>'
```
說明
<your access key id>及<your access key secret>為上一步擷取的AccessKey資訊。

步驟二：安裝ack-virtual-node組件

通過onectl安裝

執行以下命令，安裝ack-virtual-node組件。

onectl addon install ack-virtual-node

預期輸出：

Addon ack-virtual-node, version **** installed.

通過控制台安裝

登入Container Service管理主控台，在左側導覽列選擇叢集。
在叢集列表頁面，單擊目的地組群名稱，然後在左側導覽列，選擇營運管理 > 組件管理。
單擊其他頁簽，在ack-virtual-node組件地區單擊安裝。
在提示對話方塊中單擊確定。這時會以叢集預設虛擬交換器和安全性群組作為ack-virtual-node的初始ECI配置參數。具體操作，請參見相關操作。

步驟三：將Pod調度到ECI上運行

為叢集部署了ack-virtual-node組件後，您可以藉助虛擬節點將Pod調度到ECI上。本小節介紹了在註冊叢集中將Pod調度到ECI上的兩種常見方式。調度前需要確保Virtual node的狀態為Ready。

執行以下命令，查看Virtual node狀態。

kubectl  get no |grep virtual-kubelet

預期輸出：

virtual-kubelet-cn-hangzhou-b   Ready    agent                  18d   v1.20.11-aliyun.1

從預期輸出可知，當前Virtual node狀態為Ready。

通過以下三種方式可將Pod調度到ECI上運行。

方式一：配置Pod標籤（叢集版本需大於1.16）

將Pod添加標籤alibabacloud.com/eci=true，Pod將以ECI方式運行，其節點是虛擬節點，樣本如下：

執行以下命令給Pod添加標籤。

kubectl run nginx --image nginx -l alibabacloud.com/eci=true

執行以下命令查看Pod。

kubectl get pod -o wide|grep virtual-kubelet

預期輸出：

nginx-7fc9f746b6-r4xgx     0/1     ContainerCreating   0          20s   192.168.XX.XX   virtual-kubelet        <none>           <none>

方式二：配置命名空間標籤

將Pod所在的命名空間添加標籤alibabacloud.com/eci=true，Pod將以ECI方式運行，其節點是虛擬節點，樣本如下：

執行以下命令建立虛擬節點。

kubectl create ns vk

執行以下命令將Pod所在的命名空間添加標籤。

kubectl label namespace vk alibabacloud.com/eci=true

執行以下命令將命名空間中的Pod調度到虛擬節點上。

kubectl -n vk run nginx --image nginx

執行以下命令查看Pod。

kubectl -n vk get pod -o wide|grep virtual-kubelet

預期輸出：

nginx-6f489b847d-vgj4d      1/1     Running             0          1m   192.168.XX.XX   virtual-kubelet        <none>           <none>

方式三：指定節點名稱

指定Pod調度到虛擬節點，添加 nodeName: virtual-kubelet-cn-shanghai-k，Pod將以ECI方式運行，其節點是虛擬節點，樣本如下：

使用以下內容，建立nginx-deployment.yaml。

apiVersion: apps/v1 # for versions before 1.8.0 use apps/v1beta1
kind: Deployment
metadata:
  name: nginx-deployment-basic
  labels:
    app: nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      nodeName: virtual-kubelet-cn-shanghai-k             # 指定vk的nodeName
      containers:
      - name: nginx
        image: nginx:1.7.9 # replace it with your exactly <image_name:tags>
        ports:
        - containerPort: 80
        resources:
          limits:
            cpu: "500m"

執行以下命令，建立應用。

kubectl apply -f nginx-deployment.yaml

執行以下命令查看Pod。

kubectl  get pod -o wide|grep virtual-kubelet

預期輸出：

nginx-6f489b847d-XXX      1/1     Running             0          1m   192.168.XX.XX   virtual-kubelet        <none>           <none>
nginx-6f489b847d-XXX      1/1     Running             0          1m   192.168.XX.XX   virtual-kubelet        <none>           <none>

Container Service for Kubernetes：通過虛擬節點將Pod調度到ECI上運行

工作原理

前提條件

步驟一：為ack-virtual-node組件配置RAM許可權

通過onectl配置

通過控制台配置

步驟二：安裝ack-virtual-node組件

通過onectl安裝

通過控制台安裝

步驟三：將Pod調度到ECI上運行

方式一：配置Pod標籤（叢集版本需大於1.16）

方式二：配置命名空間標籤

方式三：指定節點名稱

相關操作

修改ECI交換器配置

刪除虛擬節點

通過onectl卸載

通過控制台卸載