ACK Pro版集群是在ACK托管版基础上针对企业大规模生产环境进一步增强了可靠性、安全性,并且提供可赔付的SLA的Kubernetes集群。
ACK的Kubernetes Pro版集群是在原ACK托管版集群的基础上发展而来的集群类型,继承了原托管版集群的所有优势,例如Master节点托管、Master节点高可用等。同时,相比原托管版进一步增强了集群的可靠性、安全性和调度性,并且支持赔付标准的SLA,适合生产环境下有着大规模业务,对稳定性和安全性有高要求的企业客户。
1. 互联网企业,大规模业务上线生产环境,对管控的稳定性、可观测性和安全性有较高要求。
2. 大数据计算企业,大规模数据计算、高性能数据处理、高弹性需求等类型业务,对集群稳定性、性能和效率有较高要求。
3. 开展中国业务的海外企业,对有赔付标准的SLA以及安全隐私等非常重视。
4. 金融企业,需要提供赔付标准的SLA。
功能特点 |
详细描述 |
更可靠的托管Master节点 |
API Server自动弹性,保障集群平滑扩容海量节点; etcd容灾和备份恢复,冷热备机制最大程度保障集群数据库的可用性; 管控组件的关键指标可观测,助力您更好地预知风险。 |
更安全的容器集群 |
管控面etcd默认采用加密盘存储; 数据面通过选择安装kms-plugin组件实现Secrets数据落盘加密。 开放安全管理,并提供针对运行中容器更强检测和自动修复能力的安全管理高级版。 |
更智能的容器调度 |
集成更强调度性能的kube-scheduler,支持多种智能调度算法,支持NPU调度,优化在大规模数据计算、高性能数据处理等业务场景下的容器调度能力。 |
SLA保障 |
提供赔付标准的SLA保障,集群API Server的可用性达到99.95%。 |
https://help.aliyun.com/document_detail/86759.html?spm=a2c4g.11186623.2.4.7b4f77dd2k9Ofb
ACK Pro版集群收取集群管理费,同时在使用过程中所创建的其他相关云产品资源,也会向您收取相应的资源费用。
计费说明
集群管理费用如下所示。
计费方式 | 价格 |
按量计费 | 每个集群0.64元/小时 |
ACK Pro版集群和标准版集群的对比详情如下表。
分类 |
Pro版 |
托管版 |
稳定性 |
高SLA,99.95%(支持赔付) master高规格保障 |
99.9%(不支持赔付) |
自动弹性伸缩机制 etcd高频冷热备机制,异地容灾 |
N/A |
|
性能 |
最大10K节点 APIServer\Kubelet自定义参数 |
最大100节点 |
可观测 |
APIServer\etcd 核心指标透明可观测 |
N/A |
安全 |
支持etcd落盘加密。 支持KMS |
N/A |
调度增强 |
Gang scheduling CPU拓扑感知 GP拓扑感知。 支持GPU share |
N/A |
节点自治 |
自升级自愈的托管节点池 |
N/A |
自定义 |
核心管控组件参数调优/自定义调优 |
N/A |
现有的标准版集群底层是托管在阿里云容器服务产品标准版,目前该产品对客户免费,其使用的K8s master使用共享Etcd。也就是若干个客户K8s集群共享一个Etcd集群。共享Etcd集群在各个客户集群进行大量K8s业务的时候,会产生资源竞争,导致用户K8s集群的性能可能出现抖动。对每个K8s客户集群,使用独享Etcd集群,可以彻底解决该问题,不存在多个客户K8s集群之间的资源竞争。对于集群规模大于50的集群,ACK Pro是容器服务推荐的集群形态,提供了更好的性能和稳定性。
ACK Pro相比于传统的标准版,显著提升SLA,从99.9%不支持赔付,提升到99.95%支持赔付。
底层基础设施的升级包括:
1)使用独享版三可用区的etcd集群,即使一个可用区故障,集群正常工作无任何影响。
2)etcd数据存储后端是从ssd升级为essd,K8s etcd提升性能30%。
3)etcd支持冷备的同时,新增支持同城或者异地热备,即便当前etcd集群全部挂掉,备用etcd依然可以保证K8s集群正常工作。
4)升级K8s master组件探活能力,高可靠保障99.95% SLA。
由于稳定性的显著提升,用户侧的部署、发布、运维工作变得更加稳定。尤其使用CoreDNS组件进行集群域名解析
ACK Pro相比于传统的标准版,托管组件优化升级,支撑的节点规模大幅提升,最大支持10K节点规模。
建议对于50+节点量级的集群使用ACK Pro。
包括KMS加密和Etcd云盘加密两部分:
1)KMS加密
在Kubernetes集群中,我们通常使用Secrets密钥模型存储和管理业务应用涉及的敏感信息,比如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的这些Secrets密钥对象数据存储在集群对应的etcd中。这些资源对于用户的安全至关重要。但是在K8s中,该部分数据只是进行base64编码,并没有实现用户自定义的加密,可以被逆向解码。
在ACK Pro托管集群中,您可以使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥加密Kubernetes Secret密钥。本文主要介绍如何使用阿里云密钥管理服务(KMS)中管理的密钥对ACK Pro集群中的Kubernetes Secret密钥数据进行落盘加密。
在ACK Pro托管集群中,您可以使用在密钥管理服务(KMS)中创建的密钥加密Kubernetes Secret密钥,加密过程基于Kubernetes提供的KMS Encryption Provider机制,使用信封加密的方式对存储在etcd中的Kubernetes Secret密钥进行自动加密和解密,信封加密的详细介绍请参见什么是信封加密?以下介绍Kubernetes Secret密钥进行加密和解密的过程:
① 当一个业务密钥需要通过Kubernetes Secret API存储时,数据会首先被API Server生成的一个随机的数据加密密钥加密,然后该数据密钥会被指定的阿里云KMS密钥加密为一个密文密钥存储在etcd中。
② 解密Kubernetes Secret密钥时,系统会首先调用阿里云KMS服务的解密OpenAPI进行密文密钥的解密,然后使用解密后的明文密钥对Secret数据解密并最终返回给用户。
2)Etcd云盘加密
K8s后端Etcd数据落盘会实现加密,即便其他人员窃取到Etcd云盘,也无法进行解密。
托管节点池是ACK Pro全新推出的具有自动升级、节点自愈能力的免运维型节点池,为您提供统一的、全托管的节点生命周期管理。用户无需关心节点运维操作,如节点组件版本更新,OS版本更新,CVE更新等,ACK会自行修复节点池内的故障节点。
ACK Pro会根据不同故障场景,实现定制化重启docker,kubelet,ECS等方式实现不同级别的节点自愈操作。
① 只关注上层应用开发,不希望主动运维worker节点。
② 需要快速响应CVE安全漏洞。当新的CVE发布后,能够迅速升级,从而修补漏洞。
③ 对底层节点的变更不敏感,业务Pod对迁移有较高的容忍度,更加关注业务的弹性而非不可变性。
④ 需要升级节点上的Docker版本及OS镜像版本。
对比项 | 托管节点池 | 普通节点池 |
运维能力 | 托管于容器服务 | 用户自行管理 |
节点升级 | ① 维护窗口内自动升级。 ② 也可以手动触发升级,支持升级OS、Docker版本、Kubelet版本、CVE漏洞等。 ③ 升级方式为替换系统盘。 |
① 仅支持手动触发升级。 ② 仅支持升级Kubelet版本。 ③ 升级方式为原地升级。 |
自动故障修复 | 支持 | 不支持 |
密钥管理 | 仅支持密钥方式 | 同时支持密码和密钥方式 |
① 您可以为同一个集群创建多个托管节点池,不同节点池具有不同的配置,从而实现不同规格节点的支持。
② 执行替盘轮转升级前会先尝试通过cordon命令将节点设置为不可调度,然后驱逐该节点上的Pod。如果超时15分钟后,Pod仍未被驱逐,容器服务将强制执行替盘操作。
③ 托管节点池会监控节点的运行状态,如果节点超过10分钟未上报节点状态,或者状态为NotReady,容器服务会通过尝试重启节点来恢复。
④ 您可以关闭托管节点池的自动升级功能。此时当有新的可用Docker及OS版本后,容器服务不会自动为节点池升级。
⑤ 托管节点池的自动升级的时候需要设置维护窗口。容器服务会尽可能遵守维护窗口计划,在维护窗口内已经开始的升级会继续完成,未开始的升级计划会被暂停。
为了能够让存量的ACK标准托管集群用户享受到ACK Pro托管集群的功能和特性,容器服务平台推出了标准版到Pro版的集群热迁移功能,使您可以动态地迁移ACK标准托管集群至Pro托管集群。下面介绍如何迁移ACK标准托管集群至Pro托管集群中。
ACK Pro托管集群是在ACK标准托管集群基础上针对企业大规模生产环境,进一步增强了可靠性、安全性,并且提供可赔付的SLA的Kubernetes集群。关于ACK Pro托管集群的详细信息,请参见Kubernetes Pro版集群介绍。
① 热迁移ACK标准托管版集群至Pro托管版集群功能,只支持集群Kubernetes 1.16及以上版本。
② ACK不支持将Pro托管版集群迁移到标准托管版集群。
③ 迁移的端到端时间是5min左右,集群规模不同耗时略有不同。
④ 为保证数据一致性,前一期间集群APIServer不可用,请避免对集群进行增删改查等操作。
ACK标准托管集群到Pro版的集群迁移流程涉及两个部分:集群迁移前置检查和集群迁移。
只有通过了集群迁移前置检查,ACK标准托管集群才会被开始迁移至ACK Pro托管集群中。
① 如果迁移前置检查未通过,您可以根据提示跳转到对应的检查页面,查看检查未通过的具体原因。
② 如果迁移前置检查顺利通过,则正式开始集群迁移。