创建 Kubernete 集群

创建集群过程中,容器服务会进行如下操作:

  • 创建 ECS,配置管理节点到其他节点的 SSH 的公钥登录,通过 CloudInit 安装配置 Kubernetes 集群。
  • 创建安全组,该安全组允许 VPC 入方向全部 ICMP 端口的访问。
  • 如果您不使用已有的 VPC 网络,会为您创建一个新的 VPC 及 VSwitch,同时为该 VSwitch 创建 SNAT。
  • 创建 VPC 路由规则。
  • 创建 NAT 网关及 EIP。
  • 创建 RAM 子账号和 AK,该子账号拥有 ECS 的查询、实例创建和删除的权限,添加和删除云盘的权限,SLB 的全部权限,云监控的全部权限,VPC 的全部权限,日志服务的全部权限,NAS 的全部权限。Kubernetes 集群会根据用户部署的配置相应的动态创建 SLB,云盘,VPC路由规则。
  • 创建内网 SLB,暴露 6443 端口。
  • 创建公网 SLB,暴露 6443、8443和 22 端口(如果您在创建集群的时候选择开放公网 SSH 登录,则会暴露 22 端口;如果您选择不开放公网 SSH 访问,则不会暴露 22 端口)。

    扩展

    CloudInit 是什么

  • 阿里云文档:https://help.aliyun.com/document_detail/57803.html?spm=a2c4g.11174283.6.746.18c952feXsjPNE

  • 官方文档:https://cloudinit.readthedocs.io/en/latest/?spm=a2c4g.11186623.2.16.416e3fca5uc6S5

阿里云文档的解释:
cloud-init是云平台为Linux操作系统的虚拟机做系统初始化配置的开源服务软件。阿里云、AWS、Azure和OpenStack等主流云平台均支持cloud-init。更多详情,请参见cloud-init官方文档
官方文档的解释:
Cloud-init is the industry standard multi-distribution method for cross-platform cloud instance initialization. It is supported across all major public cloud providers, provisioning systems for private cloud infrastructure, and bare-metal installations.
Cloud-init 是跨平台云实例商业标准分发方法。它支持所有的主流公有云供应商,规定系统提供私有云架构、裸机安装。

VPC 是什么

链接:https://www.alibabacloud.com/zh/getting-started/learningpath/vpc
Virtual Private Cloud,专有网络。

您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源如云服务器、云数据库RDS版和负载均衡等。

个人理解 VPC 就是内部局域网。

NAT 网关

NAT网关作为一个网关设备,需要绑定公网IP才能正常工作。创建NAT网关后,您可以为NAT网关绑定弹性公网IP(EIP)。

  • EIP,弹性公网 ip。

请求 -> 请求弹性公网 IP -> NAT 网关 -> ECS.
网关 gateway, 是弹性公网 IP 和 VPC(专有网络)之间的关口。
image.png

RAM

学习路径:https://www.alibabacloud.com/zh/getting-started/learningpath/ram?spm=a2c63.p38356.879954.11.54fc6bd3e7YRbF
RAM,Resource Access Management,用户身份管理与资源访问控制。
场景:

使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。

管理用户与程序,对资源按需分配最小权限。

ROS 资源编排