注意:以下文档只适用于TOP接口,请谨慎使用!
ACK Pro版集群是在ACK托管版基础上针对企业大规模生产环境进一步增强了可靠性、安全性,并且提供可赔付的SLA的Kubernetes集群。
ACK的Kubernetes Pro版集群是在原ACK托管版集群的基础上发展而来的集群类型,继承了原托管版集群的所有优势,例如Master节点托管、Master节点高可用等。同时,相比原托管版进一步增强了集群的可靠性、安全性和调度性,并且支持赔付标准的SLA,适合生产环境下有着大规模业务,对稳定性和安全性有高要求的企业客户。
https://help.aliyun.com/document_detail/86759.html?spm=a2c4g.11186623.2.4.7b4f77dd2k9Ofb
计费说明
计费方式 | 价格 |
按量计费 | 每个集群0.64元/小时 |
ACK Pro版集群和标准版集群的对比详情如下表。
分类 |
Pro版 |
托管版 |
稳定性 |
高SLA,99.95%(支持赔付) master高规格保障 |
99.9%(不支持赔付)。 |
?自动弹性伸缩机制 ?etcd高频冷热备机制,异地容灾 |
N/A |
|
性能 |
最大10K节点 APIServer\Kubelet自定义参数 |
最大100节点 |
可观测 |
APIServer\etcd 核心指标透明可观测 |
N/A |
安全 |
支持etcd落盘加密。 支持KMS |
N/A |
调度增强 |
?Gang scheduling ?CPU拓扑感知 ?GP拓扑感知。 ?支持GPU share |
N/A |
节点自治 |
自升级自愈的托管节点池 |
N/A |
自定义 |
核心管控组件参数调优/自定义调优 |
N/A |
现有的标准版集群底层是托管在阿里云容器服务产品标准版,目前该产品对客户免费,其使用的K8s master使用共享Etcd。也就是若干个客户K8s集群共享一个Etcd集群。共享Etcd集群在各个客户集群进行大量K8s业务的时候,会产生资源竞争,导致用户K8s集群的性能可能出现抖动。对每个K8s客户集群,使用独享Etcd集群,可以彻底解决该问题,不存在多个客户K8s集群之间的资源竞争。对于集群规模大于50的集群,ACK Pro是容器服务推荐的集群形态,提供了更好的性能和稳定性。
ACK Pro相比于传统的标准版,显著提升SLA,从99.9%不支持赔付,提升到99.95%支持赔付。
底层基础设施的升级包括:
由于稳定性的显著提升,用户侧的部署、发布、运维工作变得更加稳定。尤其使用CoreDNS组件进行集群域名解析
ACK Pro相比于传统的标准版,托管组件优化升级,支撑的节点规模大幅提升,最大支持10K节点规模。
建议对于50+节点量级的集群使用ACK Pro。
包括KMS加密和Etcd云盘加密两部分:
在Kubernetes集群中,我们通常使用Secrets密钥模型存储和管理业务应用涉及的敏感信息,比如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的这些Secrets密钥对象数据存储在集群对应的etcd中。这些资源对于用户的安全至关重要。但是在K8s中,该部分数据只是进行base64编码,并没有实现用户自定义的加密,可以被逆向解码。
在ACK Pro托管集群中,您可以使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥加密Kubernetes Secret密钥。本文主要介绍如何使用阿里云密钥管理服务(KMS)中管理的密钥对ACK Pro集群中的Kubernetes Secret密钥数据进行落盘加密。
在ACK Pro托管集群中,您可以使用在密钥管理服务(KMS)中创建的密钥加密Kubernetes Secret密钥,加密过程基于Kubernetes提供的KMS Encryption Provider机制,使用信封加密的方式对存储在etcd中的Kubernetes Secret密钥进行自动加密和解密,信封加密的详细介绍请参见什么是信封加密?以下介绍Kubernetes Secret密钥进行加密和解密的过程:
K8s后端Etcd数据落盘会实现加密,即便其他人员窃取到Etcd云盘,也无法进行解密。
托管节点池是ACK Pro全新推出的具有自动升级、节点自愈能力的免运维型节点池,为您提供统一的、全托管的节点生命周期管理。用户无需关心节点运维操作,如节点组件版本更新,OS版本更新,CVE更新等,ACK会自行修复节点池内的故障节点。
ACK Pro会根据不同故障场景,实现定制化重启docker,kubelet,ECS等方式实现不同级别的节点自愈操作。
对比项 | 托管节点池 | 普通节点池 |
运维能力 | 托管于容器服务 | 用户自行管理 |
节点升级 |
|
|
自动故障修复 | 支持 | 不支持 |
密钥管理 | 仅支持密钥方式 | 同时支持密码和密钥方式 |
为了能够让存量的ACK标准托管集群用户享受到ACK Pro托管集群的功能和特性,容器服务平台推出了标准版到Pro版的集群热迁移功能,使您可以动态地迁移ACK标准托管集群至Pro托管集群。下面介绍如何迁移ACK标准托管集群至Pro托管集群中。
ACK Pro托管集群是在ACK标准托管集群基础上针对企业大规模生产环境,进一步增强了可靠性、安全性,并且提供可赔付的SLA的Kubernetes集群。关于ACK Pro托管集群的详细信息,请参见Kubernetes Pro版集群介绍。
ACK标准托管集群到Pro版的集群迁移流程涉及两个部分:集群迁移前置检查和集群迁移。
只有通过了集群迁移前置检查,ACK标准托管集群才会被开始迁移至ACK Pro托管集群中。