购买Standard/Turbo集群
Standard/Turbo集群提供企业级的Kubernetes集群托管服务,支持容器化应用的全生命周期管理,能够实现高度可扩展的、高性能的云原生应用部署和管理方案。您可以通过云容器引擎控制台非常方便快速地创建Standard/Turbo集群。创建完成后,集群控制节点将由云容器引擎服务托管,您只需创建工作节点,帮助您降低集群运维成本,可实现简单高效的业务部署。集群购买流程请参见图1。
购买Standard/Turbo集群前,建议您提前了解云容器引擎、集群基本概念、集群网络以及集群网络地址段规划实践等信息,这将帮助您更好地使用集群。
准备工作
- 在开始操作前,请您先注册华为账号,详情请参见注册华为账号并开通华为云。
- 如果是首次使用CCE,请提前进行相关授权,具体请参见首次开通CCE并授权。
步骤一:进行集群基本配置
通过对集群进行基本配置,可以定义集群的核心架构和资源规则的底层设置,为集群运行提供框架性约束和资源分配依据。
- 登录CCE控制台。在页面左上角
处,选择集群部署区域,所选区域与资源部署区域的距离越近,网络时延越低,访问速度越快。
确认区域后,请单击“购买集群”。如果是首次使用CCE则需要创建委托,请根据页面提示进行处理。
- 对集群的基础信息进行配置,具体说明请参见图2和表1。
表1 购买集群(Standard/Turbo皆适用) 参数
说明
集群创建后是否支持修改
集群类型
根据需求选择“CCE Standard集群”或“CCE Turbo集群”。
- CCE Standard集群:标准版本集群,提供高可靠、安全的商业级容器集群服务。
- CCE Turbo集群:拥有更高性能的云原生网络,提供云原生混部调度能力,可实现更高的资源利用率和更广的全场景覆盖。
关于集群类型差异详情,请参见集群类型对比。
×
计费模式
√
集群名称
请输入集群名称,同一账号下集群不可重名。
集群名称长度范围为4~128个字符,以小写字母开头,支持小写字母、数字和中划线(-),不能以中划线(-)结尾。
√
企业项目
该参数仅对开通企业项目的企业客户账号显示。
选择某个企业项目后,集群和集群安全组将会创建在该企业项目下。您可以通过企业项目服务(EPS)管理集群及其他资源(节点、ELB、以及节点的安全组等)。了解更多企业项目相关信息,请查看企业管理。
√
集群版本
选择集群使用的Kubernetes版本,建议选择最新的商用版本,可为您提供更多稳定可靠的新特性。
√
控制节点架构
表示控制节点所采用的硬件平台类型,包括x86和鲲鹏。请根据业务场景进行选择。- x86:高性能、通用性强,适用于复杂计算和高吞吐场景,如数据中心、云计算平台以及高性能计算等。
- 鲲鹏:低功耗、高能效,适用于边缘计算、物联网以及嵌入式系统等场景。
×
集群规模
集群支持管理的最大节点数量,请根据业务场景选择。
√
创建完成后仅支持扩容,不支持缩容,详情请参见变更集群规格。
集群master实例数
选择集群控制平面的节点(master实例)数量。控制平面节点由系统自动托管,会部署Kubernetes集群的管控面组件,如 kube-apiserver,kube-controller-manager,kube-scheduler等组件。
- 3实例(高可用):创建3个控制平面节点,确保集群高可用。
- 单实例:您的集群只会创建一个控制平面节点。
说明:
在CCE集群的控制节点发生故障的数量超过一半情况下,集群将无法正常运行。
×
创建完成后,集群master实例数以及实例所在的可用区皆不支持修改。
步骤二:进行网络配置
网络配置是一个层次化的网络管理体系,它通过集群网络、容器网络和服务网络三个维度的协同配置,为容器化应用提供端到端的网络连接和安全保障。
- 集群网络:用于管理Kubernetes节点间的底层网络通信,为Pod和Service的流量传输提供载体,确保集群基础设施的连通性和安全性。
- 容器网络:为每个Pod分配独立IP,以实现容器间直接通信和跨节点互通。
- 服务网络:为集群内服务(Service)提供稳定的访问入口、负载均衡和流量管理能力。
配置前,建议提前了解以上三种网络的相关概念及其关系,具体请参见网络概述。
- 配置集群网络参数,具体说明请参见图3和表2。
表2 集群网络配置 参数
说明
集群创建后是否支持修改
虚拟私有云
为新建集群选择一个虚拟私有云。
若没有可选虚拟私有云,请单击“新建虚拟私有云”进行创建,完成创建后单击刷新按钮。操作步骤详情请参见创建虚拟私有云和子网。
×
默认节点子网
选定子网后,集群中的节点会默认使用此子网中的IP地址。创建节点或节点池时,支持新建的节点或节点池重新设置节点子网。
×
节点默认安全组
您可选择使用CCE自动生成的安全组,或选择已有安全组作为节点默认安全组。
节点默认安全组必须放通指定端口来保证集群内部正常通信,否则将无法成功创建节点,安全组端口配置说明请参考集群安全组规则配置。
√
启用IPv6
开启后,集群将使用IPv4/IPv6双栈模式,即每个工作节点可以同时拥有一个IPv4地址和一个IPv6地址,这两个地址均支持内网和公网访问。开启前,“默认节点子网”需具有IPv6网段,具体请参见创建虚拟私有云和子网(IPv6)。
- CCE Standard集群(容器隧道网络):集群版本在v1.15及以上时,支持启用IPv6,并在v1.23版本中进入GA(Generally Available)阶段。
- CCE Standard集群(VPC网络模型):暂不支持启用IPv6。
- CCE Turbo集群:集群在v1.23.8-r0、v1.25.3-r0及以上时,支持启用IPv6。
具体请参见如何通过CCE搭建IPv4/IPv6双栈集群?。
×
- 配置容器网络参数,具体说明请参见图4和表3。
表3 容器网络配置 参数
说明
集群创建后是否支持修改
容器网络模型
表示集群中容器网络使用的模型框架。- 容器隧道网络:适用于集群规模大(最大可支持2000节点)且对性能要求相对较低的场景。例如,Web应用、访问量不大的数据中后台服务等。
- VPC网络:适用于集群规模较小(1000节点及以下)且性能要求较高的场景。例如,AI计算、大数据计算等。
如需了解更多网络模型差异,请参见容器网络模型对比。
×
DataPlane V2(VPC网络支持)
基于eBPF技术在内核层实现Kubernetes网络加速,进而提供高性能服务通信(Service ClusterIP)、精准流量管控(NetworkPolicy)和智能带宽管理(Egress Bandwidth)等能力,详情请参见DataPlane V2网络加速说明。
该功能具有以下限制,更详细内容请参考DataPlane V2网络加速说明中的约束限制。
- 集群限制:仅VPC网络支持开启该功能,且集群版本在v1.27.16-r30、v1.28.15-r20、v1.29.13-r0、v1.30.10-r0、v1.31.6-r0及以上。
- 内存限制:开启后,会在每个节点上部署cilium-agent,每个cilium-agent预计占用内存80MiB,每增加一个Pod,cilium-agent内存消耗预计额外增加10KiB。
- 操作系统限制:创建后,节点仅支持使用Huawei Cloud EulerOS 2.0操作系统,且不支持云原生混部的出口网络带宽保障能力。
说明:DataPlane V2特性由CCE受限开放,使用前请向CCE服务提交工单,申请该功能。
×
网络策略(容器隧道网络支持)
为集群提供基于策略的网络控制,详情请参见配置网络策略(NetworkPolicy)限制Pod访问的对象。
开启时,如果客户配置的服务网段和自建线下网段存在冲突,新增网关链路调整,可能出现新增网关对应链路的建链不成功。
例如,集群通过云专线访问云外地址时,云外交换机不支持ip-option,开启网络策略可能导致网络无法访问。
√
容器网段
用于设置容器使用的网段,决定集群中容器的数量上限。Standard集群支持“手动设置网段”和“自动设置网段”两种配置方式,具体如下:
- 手动设置网段:可以根据需求自定义容器网段。若涉及跨VPC网络直接通信等场景,请确保容器网段与需要连接的VPC网段区分,避免网段冲突,更多信息请参见集群网络地址段规划实践。同时,VPC网络模型支持添加多个容器网段,且支持集群创建后添加容器网段,具体请参见扩展VPC网络集群的容器网段。
- 自动设置网段:系统将从172.(16~31).0.0/16、10.(0|16|32|48|64|80|96|112).0.0/12中为用户随机分配一个与当前集群所选虚拟私有云及服务网段不冲突的网段。因集群创建后不支持修改,在商用场景中建议选择“手动设置网段”的配置方式。
说明:
由于容器隧道网络集群创建完成后不支持容器网段扩容,为避免IP地址不足,容器网段掩码最大设置为19位。
×
创建后,VPC网络集群支持添加容器网段,但不支持修改或删除已有容器网段。
每节点预留的Pod IP数(VPC网络支持)
表示容器网络可分配的Pod IP个数(即alpha.cce/fixPoolMask参数),决定每个节点可创建的Pod的最大数量。使用主机网络(HostNetwork)的Pod不会占用这些预留的IP数。
使用容器网络时,每个Pod会占用一个IP地址。如果节点预留的Pod IP数量不够的话,则无法创建Pod,具体说明请参见每个节点预留的Pod IP数说明。
×
- 配置服务网络参数,具体说明请参见图5和表4。
表4 服务网络配置 参数
说明
集群创建后是否支持修改
服务网段(Service CIDR )
用于为ClusterIP类型Service分配IP地址(用于集群内容器间通信),并决定该类Service的数量上限。服务网段不能与节点子网、容器网段重叠。
×
服务转发模式
用于实现Service流量的负载均衡和路由转发,支持IPVS和iptables两种转发模式,具体请参见iptables与IPVS如何选择。
- iptables:社区传统的kube-proxy模式。适用于Service数量较少或客户端会出现大量并发短链接的场景。IPv6集群不支持iptables模式。
- IPVS:吞吐更高,速度更快的转发模式。适用于集群规模较大或Service数量较多的场景。
×
- 配置集群网络参数,具体说明请参见图6和表5。
表5 集群网络配置 参数
说明
集群创建后是否支持修改
虚拟私有云
为新建集群选择一个虚拟私有云。
若没有可选虚拟私有云,请单击“新建虚拟私有云”进行创建,完成创建后单击刷新按钮。操作步骤详情请参见创建虚拟私有云和子网。
×
默认节点子网
选定子网后,集群中的节点会默认使用此子网中的IP地址。创建节点或节点池时,支持新建的节点或节点池重新设置节点子网。
×
节点默认安全组
您可选择使用CCE自动生成的安全组,或选择已有安全组作为节点默认安全组。
节点默认安全组必须放通指定端口来保证集群内部正常通信,否则将无法成功创建节点,安全组端口配置说明请参考集群安全组规则配置。
√
启用IPv6
开启后,集群将使用IPv4/IPv6双栈模式,即每个工作节点可以同时拥有一个IPv4地址和一个IPv6地址,这两个地址均支持内网和公网访问。开启前,“默认节点子网”需具有IPv6网段,具体请参见创建虚拟私有云和子网(IPv6)。
- CCE Standard集群(容器隧道网络):集群版本在v1.15及以上时,支持启用IPv6,并在v1.23版本中进入GA(Generally Available)阶段。
- CCE Standard集群(VPC网络模型):暂不支持启用IPv6。
- CCE Turbo集群:集群在v1.23.8-r0、v1.25.3-r0及以上时,支持启用IPv6。
具体请参见如何通过CCE搭建IPv4/IPv6双栈集群?。
×
- 配置容器网络参数,具体说明请参见图7和表6。
表6 容器网络配置 参数
说明
集群创建后是否支持修改
容器网络模型
表示集群中容器网络使用的模型框架,仅支持使用“云原生网络2.0”。
如需了解云原生网络2.0的更多信息,请参见容器网络模型对比。
×
DataPlane V2
基于eBPF技术在内核层实现Kubernetes网络加速,进而提供高性能服务通信(Service ClusterIP)、精准流量管控(NetworkPolicy)和智能带宽管理(Egress Bandwidth)等能力,详情请参见DataPlane V2网络加速说明。
该功能具有以下限制,更详细内容请参考DataPlane V2网络加速说明中的约束限制。
- 集群限制:集群版本在v1.27.16-r10、v1.28.15-r0、v1.29.10-r0、 v1.30.6-r0及以上。
- 内存限制:开启后,会在每个节点上部署cilium-agent,每个cilium-agent预计占用内存80MiB,每增加一个Pod,cilium-agent内存消耗预计额外增加10KiB。
- 操作系统限制:创建后,节点仅支持使用Huawei Cloud EulerOS 2.0操作系统,且不支持云原生混部的出口网络带宽保障能力。
说明:DataPlane V2特性由CCE受限开放,使用前请向CCE服务提交工单,申请该功能。
×
容器子网(Pod CIDR)
用于选择容器所在子网,如没有可选项可以单击右侧“新建子网”创建。容器子网决定了集群下容器的数量上限,创建后支持新增子网。
√
容器默认安全组
用于限制入站/出站流量,防止未授权访问。您可选择使用CCE自动生成的安全组,或选择已有安全组作为容器默认安全组。
容器默认安全组必须放通指定端口来保证集群内部容器之间正常通信,安全组端口配置说明请参考集群安全组规则配置。
√
- 配置服务网络参数,具体说明请参见图8和表7。
表7 服务网络配置 参数
说明
集群创建后是否支持修改
服务网段(Service CIDR )
用于为ClusterIP类型Service分配IP地址(用于集群内容器间通信),并决定该类Service的数量上限。服务网段不能与节点子网、容器网段重叠。
×
服务转发模式
用于实现Service流量的负载均衡和路由转发,支持IPVS和iptables两种转发模式,具体请参见iptables与IPVS如何选择。
- iptables:社区传统的kube-proxy模式。适用于Service数量较少或客户端会出现大量并发短链接的场景。IPv6集群不支持iptables模式。
- IPVS:吞吐更高,速度更快的转发模式。适用于集群规模较大或Service数量较多的场景。
×
IPv6服务网段
用于配置Service的IPv6地址,仅“开启IPv6”时需要设置。更多介绍,请参见创建CCE Turbo集群时如何设置IPv6服务网段
×
步骤三:进行告警中心配置
告警中心提供全面的集群告警功能,当集群在运行过程中出现故障时,系统将及时发出警报,确保业务稳定。详细介绍请参见通过告警中心一键配置告警。
|
参数 |
说明 |
集群创建后是否支持修改 |
|---|---|---|
|
开启告警中心 |
勾选后,集群将自动开启告警中心,创建默认告警规则,具体请参见表1 默认告警规则。 指标类告警规则依赖云原生监控插件上报数据至AOM实例。如果未安装插件或者未对接AOM实例,告警中心将不会创建该类告警规则。 |
√ |
|
选择联系组 |
支持选择一个或多个联系组,实现告警通知的分组管理。设置联系组后,CCE将根据告警规则,自动将告警信息推送至对应联系组。 发送告警通知涉及一定费用,具体请参见消息通知服务计费说明。 |
√ |
步骤四:进行安全服务配置
CCE提供安全服务功能,通过安全服务,为集群提供全方位防护。通过运行时监控、漏洞检测等能力,确保集群主机、容器以及镜像等层面的安全,预防恶意攻击并满足合规要求。“安全服务”功能当前正处于上线阶段,已发布区域请以控制台实际为准。
|
参数 |
说明 |
集群创建后是否支持修改 |
|---|---|---|
|
安全服务 |
开启后,将该集群管理权限授权给主机安全服务委托,同时系统为集群内节点自动安装Agent,会占用部分资源。
说明:
开启主机安全后,系统会自动把该集群的管理权限授权给主机安全服务委托(名为hss_policy_trust),详情请参见hss_policy_trust委托说明。 |
√ |
步骤五:进行高级配置(可选)
高级配置是以上配置的能力扩展和加固,通过强化认证、资源管控以及安全防护机制等,进一步提升集群的安全性、稳定性和合规性。
|
参数 |
说明 |
集群创建后是否支持修改 |
|---|---|---|
|
IAM认证 |
CCE集群支持通过IAM服务认证鉴权,您可以通过IAM认证调用接口连接到集群。 |
× |
|
证书认证 |
用于身份验证和访问控制,确保只有经过授权的用户或服务才能访问集群。
|
× |
|
开启CPU管理策略 |
为集群配置CPU管理策略,可精细化控制Pod的CPU资源分配方式,详情请参见CPU管理策略。
|
√ |
|
Secret落盘加密 |
用于确定CCE中Secret对象的加密方式。
该特性当前正处于上线阶段,已发布区域请以控制台实际为准。 |
× |
|
开启过载控制 |
过载控制开启后,将根据控制节点的资源压力,动态调整请求并发量,维护控制节点和集群的可靠性。详情请参见开启集群过载控制。 |
√ |
|
开启对分布式云支持(homezone/cloudpond) (CCE Turbo集群) |
用于统一管理数据中心和边缘的计算资源,用户可以根据业务诉求将容器部署到合适的区域。 该功能需要提前注册智能边缘小站,详情请参见在CCE Turbo分布式集群中使用边缘云资源。 |
× |
|
禁止集群删除 |
表示集群删除保护,防止通过控制台或API误删除集群,开启后将禁止用户从CCE侧删除或退订集群。集群创建后可前往集群配置中心修改。 |
√ |
|
集群时区 |
集群内的定时任务和节点时区将统一采用所选时区。 |
× |
|
资源标签 |
为资源添加标签,从而实现资源自定义标记和分类。最多可以添加20个资源标签。
说明:
您可以在TMS中创建“预定义标签”,预定义标签对所有支持标签功能的服务资源可见,通过使用预定义标签可以提升标签创建和迁移效率。具体请参见创建预定义标签。
|
√ |
|
集群描述 |
用于补充集群相关信息,帮助用户和管理员快速了解集群的基本配置、状态和用途等,最多支持200个字符。 |
√ |
步骤六:插件选择
CCE提供了丰富的插件选项,以扩展集群的功能,增强容器化应用环境的功能性和灵活性,您可以根据具体需求进行选择。其中有一部分基础功能插件是默认必需的,而其他非基础插件如果在创建集群时未选择安装,您也可以在集群创建完成后通过插件中心安装。
- 单击“下一步:插件选择”,选择创建集群时需要安装的插件。
- 选择基础功能插件,保障集群的正常运行,具体说明请参见图11和表11。
表11 基础功能插件 插件
说明
CCE容器网络插件 (Yangtse CNI)
集群默认安装的基础插件,为集群内的Pod提供网络连通、公网访问、安全隔离等网络能力。
CCE 容器存储 (Everest)
默认安装CCE容器存储(Everest),可为集群提供基于 CSI 的容器存储能力,支持对接云上云硬盘等存储服务。
CoreDNS 域名解析
默认安装CoreDNS域名解析插件,可为集群提供域名解析、连接云上 DNS 服务器等能力。
节点本地域名解析加速
可选插件。勾选后自动安装节点本地域名解析加速插件,通过在集群节点上运行 DNS 缓存代理来提高集群DNS性能。
Volcano调度器
可选插件。勾选后自动安装Volcano调度器插件,并将集群的默认调度器设置为Volcano,为您提供面向批量计算、高性能计算场景的高级调度能力。
CCE突发弹性引擎(对接CCI)
可选插件。勾选后自动安装CCE突发弹性引擎(对接CCI)插件,支持在短时高负载场景下,将部署在云容器引擎CCE上的容器实例(Pod),弹性创建到CCI。
- 选择可观测性插件,体验全量观测功能,具体说明请参见图11和表11。
图12 可观测性插件
表12 可观测性插件 插件
说明
云原生监控插件
可选插件。勾选后自动安装云原生监控插件,为集群提供普罗指标采集能力,并将指标上报至指定的AOM实例。轻量化模式暂不支持基于自定义普罗语句的HPA,若需要相关功能,可在集群创建完成后手动安装全量的插件。
AOM采集的基础指标免费,自定义指标将由AOM服务进行收费,详情请参见价格详情。关于如何采集自定义指标,请参见使用云原生监控插件监控自定义指标。
云原生日志采集插件
可选插件。勾选后自动安装云原生日志采集插件,将日志上报至 LTS 的日志采集器。集群创建完成后可在 CCE 日志中心页面对采集规则进行查询与管理。
LTS创建日志组免费,并每月赠送每个账号一定量免费日志采集额度,超过免费额度部分将产生费用(价格计算器)。
CCE 节点故障检测
可选插件。勾选后自动安装CCE节点故障检测插件,安装后可为集群提供节点故障检测、隔离能力,帮助您及时识别节点问题。
步骤七:插件配置
为上一步选择的插件进行配置,确保其稳定运行并精准匹配业务需求。
插件安装后存在一定的资源消耗,请保证节点资源充足。具体消耗量,请以控制台界面为准。
- 单击“下一步:插件配置”,配置插件。
- 对基础功能插件进行配置,具体说明请参见表13。
表13 基础功能插件配置 插件
说明
CCE容器网络插件 (Yangtse CNI)
不支持配置。
CCE 容器存储 (Everest)
支持配置,可通过插件右侧的“调整配置”进行修改。
CoreDNS 域名解析
支持配置,可通过插件右侧的“调整配置”进行修改。
节点本地域名解析加速
支持配置,可通过插件右侧的“调整配置”进行修改。
Volcano调度器
支持配置,可通过插件右侧的“调整配置”进行修改。
CCE突发弹性引擎(对接CCI)
如果需要修改插件配置,请单击插件右侧的“调整配置”进行修改。
工作负载实例(Pod)调度到CCI服务后,将按照CCI的收费标准进行计费,详情请参见计费项。
- 对可观测性插件进行配置,具体请参见图13和表14。如果需要修改插件配置,请单击插件右侧的“调整配置”进行修改。
表14 可观测性插件配置 插件
说明
云原生监控插件
选择指标上报的AOM实例。如果没有可用实例,您可以单击“新建实例”进行创建。
AOM采集的基础指标免费,自定义指标将由AOM服务进行收费,详情请参见价格详情。关于如何采集自定义指标,请参见使用云原生监控插件监控自定义指标。
云原生日志采集插件
选择需要采集的日志。开启后将自动创建一个名称为k8s-log-{clusterId}的日志组,并为每个勾选的日志类型创建一个日志流。
- 容器日志:采集容器标准输出日志,对应的日志流名称为stdout-{clusterId}。
- Kubernetes事件:采集Kubernetes日志,对应的日志流名称为event-{clusterId}。
- Kubernetes审计日志:采集控制平面审计日志,对应的日志流名称为audit-{clusterId}。
- 控制面组件日志:采集控制平面(包括 kube-apiserver、 kube-controller-manage 和 kube-scheduler)日志,对应的日志流名称分别为kube-apiserver-{clusterId}、kube-controller-manage-{clusterId}、kube-scheduler-{clusterId}。
如果不开启日志采集能力。集群创建后可以前往CCE日志中心页面重新开启。
LTS创建日志组免费,并每月赠送每个账号一定量免费日志采集额度,超过免费额度部分将产生费用(价格计算器)。关于如何采集自定义指标,请参见通过云原生日志采集插件采集容器日志。
CCE节点故障检测
-
步骤八:确认配置
参数填写完成后,单击“下一步:确认配置”,显示集群资源清单,确认无误后,单击“提交”。
集群创建预计需要5-10分钟,您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。
相关文档
- 连接集群:您可以使用kubectl连接集群,从而在命令行界面上执行集群管理任务,具体请参见通过kubectl连接集群和通过kubectl对接多个集群。
- 添加节点:集群创建完成后,若您需要为集群添加节点,请参见创建节点。
- 管理集群:集群创建完成后,可对资源调度策略、安全控制规则及生命周期管理进行进一步配置,以满足业务运行需求,具体请参见管理集群概述。
- 创建IPv4/IPv6双栈集群:请参见如何通过CCE搭建IPv4/IPv6双栈集群?。
- 如果集群创建失败,请参考CCE集群创建失败的原因与解决方法进行解决。
