容器服务 创建集群 - 用户指南

操作场景

腾讯云容器服务新建集群时提供 使用模板新建集群 及 自定义新建集群 两种创建方式，本文介绍如何使用上述两种方式进行集群创建，以及如何创建集群所需的私有网络、子网、安全组等资源。

前提条件

容器服务中使用了云服务器、负载均衡、云硬盘等多种云资源，首次使用之前需进行服务授权以获取相关云资源使用权限。此外，集群创建过程中也将使用私有网络、子网、安全组等多种资源。资源所在地域具备一定的配额限制，详情请参见 购买集群配额限制。

说明：

非首次使用容器服务进行集群创建，请跳过以下步骤，直接前往 操作系统说明 了解说明事项。

如果首次使用容器服务进行集群创建，请前往 相关操作 提前准备相关资源。具体内容如下：

• 实名认证
• 服务授权
• 新建私有网络
• 新建子网
• 创建安全组
• 创建 SSH 密钥

操作系统说明

• 修改操作系统只影响后续新增的节点或重装的节点，对存量节点的操作系统无影响。
• 同一集群下节点使用不同版本操作系统，不会对集群功能产生影响。
• 同一脚本不一定适用于所有操作系统，建议您对节点进行脚本配置之后，验证该节点操作系统是否与此脚本相适配。
• 集群更改操作系统步骤请参见 相关操作。
• 如需使用自定义镜像功能，请 提交工单 申请。

  注意：

  如果您需要使用自定义镜像功能，请使用容器服务提供的基础镜像来制作自定义镜像。详情请参见 自定义镜像说明。

操作步骤

使用模板新建集群

1. 登录 腾讯云容器服务控制台，单击左侧导航栏中【集群】。
2. 在“集群管理”页面中，单击集群列表上方的【使用模板新建】。如下图所示：
   
3. 使用模板新建功能为您提供托管集群、独立集群、弹性集群的多种创建模板，请根据实际需求进行选择：
   • 托管集群：创建一个 Kubernetes 托管集群，无需购买并管理集群的管理节点，只需购买其中工作节点资源即可部署业务应用。
   • 独立集群：创建一个 Kubernetes 独立集群，同时购买并管理集群的管理及工作节点，拥有集群的所有管理和操作权限。
   • 弹性集群：创建一个 Serverless Kubernetes 集群，无需管理集群的任何节点资源，即可快速部署业务应用。
4. 本文以使用托管集群下的“标准集群”模板为例，选择【标准集群】即可前往“创建集群”页面。

   说明：

   使用集群模板创建集群过程中，各配置项已采用默认值，可以直接单击【下一步】，也可参照 自定义新建集群 步骤进行自定义配置。

5. 单击【完成】即可创建成功。

自定义新建集群

填写集群信息

1. 登录 腾讯云容器服务控制台，单击左侧导航栏中的【集群】。
2. 在“集群管理”页面，单击集群列表上方的【新建】。
3. 在“创建集群”页面，设置集群的基本信息。如下图所示：
   
   • 集群名称：输入要创建的集群名称，不超过60个字符。
   • 新增资源所属项目：根据实际需求进行选择，新增的资源将会自动分配到该项目下。
   • Kubernetes版本：提供多个 Kubernetes 版本选择，可前往 Supported Versions of the Kubernetes Documentation 查看各版本特性对比。
   • 运行时组件：提供【docker】和【containerd】两种选择。详情请参见 如何选择 Containerd 和 Docker。
   • 所在地域：建议您根据所在地理位置选择靠近的地域，可降低访问延迟，提高下载速度。
   • 集群网络：为集群内主机分配在节点网络地址范围内的 IP 地址。详情请参见 容器及节点网络设置。
   • 容器网络：为集群内容器分配在容器网络地址范围内的 IP 地址。详情请参见 容器及节点网络设置。
   • 操作系统：根据实际需求进行选择。
   • 集群描述：填写集群的相关信息，该信息将显示在集群信息页面。
   • 高级设置：可设置 ipvs。
     ipvs 适用于将在集群中运行大规模服务的场景，开启后不能关闭。详情请参见 集群启用 IPVS。
4. 单击【下一步】。

选择机型

在“选择机型”步骤的“节点来源”中，我们提供【已有节点】和【新增节点】两种选择。请对应您的实际选择，执行对应的操作步骤：

• 【已有节点】：执行 使用已有云服务器创建集群。
• 【新增节点】：执行 新增云服务器创建集群。

使用已有云服务器创建集群

注意：

• 所选的云服务器需重装系统，重装后云服务器系统盘的所有数据将被清除。
• 所选的云服务器将迁移至集群所属项目，且云服务器迁移项目会导致安全组解绑，需要重新绑定安全组。

1. 在“选择机型”步骤中，参考以下信息选择部署模式和机型。如下图所示：
   
   主要参数信息如下：
   • Master 节点：Master 的部署方法决定了您集群的管理模式，我们提供【平台托管】和【独立部署】两种集群托管模式选择，详情请参见 集群概述。本文以选择【平台托管】模式为例。
   • Worker 配置：根据实际需求勾选已有云服务器即可。
2. 单击【下一步】，开始 配置云服务器。

新增云服务器创建集群

1. 在“选择机型”步骤中，参考以下信息选择部署模式和机型。如下图所示：
   
   主要参数信息如下：
   • Master 节点：Master 的部署方法决定了您集群的管理模式，我们提供【平台托管】和【独立部署】两种集群托管模式选择，详情请参见 集群概述。本文以选择【平台托管】模式为例。
   • 计费模式：提供【按量计费】和【包年包月】两种计费模式。详情请参见 计费模式。
   • Worker 配置：“节点来源”选择为【新增节点】时，该模块下所有设置项默认如上图所示，您可根据实际需求进行更改。
     • 可用区：可以同时选择多个可用区部署您的 Master 或 Etcd，保证集群更高的可用性。
     • 节点网络：可以同时选择多个子网的资源部署您的 Master 或 Etcd，保证集群更高的可用性。
     • 机型：选择大于 CPU 4核的机型，具体选择方案请参看 实例规格 和 快速入门 Linux 云服务器。
     • 系统盘：默认为“普通云硬盘 50G”，您可以根据机型选择本地硬盘、云硬盘、SSD 云硬盘及高性能云硬盘。详情请参见 存储概述。
     • 数据盘：Master 和 Etcd 不建议部署其他应用，默认不配置数据盘，您可以购置后再添加。
     • 公网宽带：勾选【分配免费公网IP】，系统将免费分配公网 IP。提供两种计费模式，详情请参见 公网计费模式。
     • 主机名：操作系统内部的计算机名（kubectl get nodes 命令展示的 node name）, 该属性为集群属性。主机名有如下两种命名模式：
       • 自动命名：节点 hostname 默认为节点内网 IP 地址。
       • 手动命名：支持批量连续命名或指定模式串命名。长度限制2 - 60个字符，仅支持小写字母、数字、连字符 "-" 、点号 "." ，符号不能用于开头或结尾且不能连续使用，更多命名规则指引请查看 批量连续命名或指定模式串命名。

         注意：

         由于 kubernetes node 命名限制，手动命名主机名时仅支持小写字母，例如 cvm{R:13}-big{R:2}-test。

       • 实例名称：控制台显示的 CVM 实例名称，该属性受主机名命名模式限制。
         • 主机名为自动命名模式：支持批量连续命名或指定模式串命名，最多输入60个字符。默认自动生成实例名，格式为 tke_集群id_worker。
         • 主机名为手动命名模式：实例名称与主机名相同，无需重新配置。
     • 数量：实例数量，根据实际需求进行设置。

       说明：

       独立部署模式下，Masters 机型配置项设置亦可参考 Worker 配置 ，其数量最少部署3台，可跨可用区部署。

2. 单击【下一步】，开始 配置云服务器。

配置云服务器

1. 在“云服务器配置”步骤中，参考以下信息进行云服务器配置。如下图所示：
   
   • 容器目录：勾选即可设置容器和镜像存储目录，建议存储到数据盘。例如 /var/lib/docker。
   • 安全组：安全组具有防火墙的功能，用于设置云服务器的网络访问控制。支持以下设置：
     • 新建并绑定默认安全组，可预览默认安全组规则。
     • 添加安全组，可根据业务需要自定义配置安全组规则。
       更多信息请参见 容器服务安全组设置。
   • 登录方式：提供三种登录方式：
     • 立即关联密钥：密钥对是通过算法生成的一对参数，是一种比常规密码更安全的登录云服务器的方式。详情请参见 SSH 密钥。
     • 自动生成密码：自动生成的密码将通过 站内信 发送给您。
     • 设置密码：请根据提示设置对应密码。
   • 安全加固：默认免费开通 DDoS 防护、WAF 和云镜主机防护，详情请参见 T-Sec 主机安全官网页。
   • 云监控：默认免费开通云产品监控、分析和实施告警，安装组件获取主机监控指标，详情请参见 云监控 CM 官网主页。
2. （可选）单击【高级设置】，查看或配置更多信息。如下图所示：
   
   • CAM角色：可为本批次创建的所有节点绑定相同的 CAM 角色，从而赋予节点该角色绑定的授权策略。详情请参见 管理实例角色。
   • 节点启动配置：指定自定义数据来配置节点，即当节点启动后运行配置的脚本。需确保脚本的可重入及重试逻辑，脚本及其生成的日志文件可在节点的 /usr/local/qcloud/tke/userscript 路径查看。
   • 封锁：勾选“开启封锁”后，将不接受新的 Pod 调度到该节点，需要手动取消封锁的节点，或在自定义数据中执行 取消封锁命令，请按需设置。
   • Label：单击【新增】，即可进行 Label 自定义设置。集群初始化创建的节点均将自动增加此处设置的 Label，可用于后续根据 Label 筛选、管理节点。
3. 单击【下一步】，检查并确认配置信息。
4. 单击【完成】，即可完成创建。

相关操作

实名认证

认证入口

登录 腾讯云控制台，在总览界面中单击【前往认证】即可进入实名认证界面。如下图所示：

认证步骤

1. 在“选择认证类型”页面中，按需选择【开始个人认证】或【开始企业认证】，并参考以下信息完成认证。如下图所示：
   
   • 个人认证：账号个人实名认证完成后，该腾讯云账号及云资源归属于您个人名下，可参加腾讯云官网个人类运营活动，不可以参与企业类运营活动，且无法申请增值税专用发票。详情请参见 个人实名认证指引。
   • 企业认证：账号企业实名认证完成后，该腾讯云账号及云资源归属于该企业名下，可参加腾讯云官网企业类运营活动，不可以参加腾讯云官网个人类运营活动，且可以申请增值税专用发票。详情请参见 企业实名认证指引。
2. 认证完成即可正常使用该腾讯云账号进行集群创建等操作。

服务授权

1. 首次登录 容器服务控制台，单击左侧栏【集群】，弹出如下【服务授权】窗口：
   
2. 单击【前往访问管理】，进入“角色管理”页面。如下所示：
   
3. 单击【同意授权】，并完成身份验证即可。

新建私有网络

1. 登录 私有网络控制台，在“私有网络”列表页上方选择所属地域，并单击【+新建】，如下图所示：
   
2. 在“新建VPC” 页面，设置其基本信息。如下图所示：
   
   • 私有网络信息
     • 所属地域：显示为当前私有网络所属地域。
     • 名称：私有网络名称，自定义。
     • IPv4 CIDR：私有网络 CIDR ，支持使用如下网段中的任意一个。创建后不可修改，且当您有不同私有网络之间内网通信的需求时，请确保两端 CIDR 的配置不重叠。
       • 10.0.0.0 - 10.255.255.255（掩码范围需在16 - 28之间）
       • 172.16.0.0 - 172.31.255.255（掩码范围需在16 - 28之间）
       • 192.168.0.0 - 192.168.255.255 （掩码范围需在16 - 28之间）
   • 初始子网信息
     • 子网名称：自定义。
     • IPv4 CIDR：子网 CIDR，创建后不可修改，且必须在私有网络 CIDR 内或相同。例如，私有网络的网段是192.168.0.0/16，那么该私有网络内的子网的网段可以是192.168.0.0/16、192.168.0.0/17等。
     • 可用区：根据实际需求进行选择。
     • 关联路由表：控制台保持默认子网必须关联一个路由表，以进行流量转发控制。
3. 单击【确定】，即可新建成功。

新建子网

1. 登录 私有网络控制台，单击左侧导航栏中的【子网】。
2. 在“子网”列表页面单击【+新建】，在弹出的“创建子网”窗口中设置子网名称、VPC 网段、CIDR、可用区和关联路由表等基本信息。如下图所示：
   
3. （可选）单击【+新增一行】，可以同时创建多个子网。
4. 单击【创建】即可。

创建安全组

创建集群时，支持新建并绑定安全组，也支持根据实际业务需求自定义配置并绑定安全组。您可根据以下步骤创建自定义安全组：

1. 登录 云服务器控制台 ，单击左侧栏【安全组】，进入“安全组”列表页面。
2. 在页面上方选择地域，并单击【+新建】，在弹出的“新建安全组”窗口中，完成以下配置。如下图所示：
   
   • 模板：根据安全组中的云服务器实例需要部署的服务，选择合适的模板，简化安全组规则配置。如下表所示：

     模板	说明	场景
     放通全部端口	默认放通全部端口到公网和内网，具有一定安全风险。	-
     放通22，80，443，3389端口和ICMP协议	默认放通22，80，443，3389端口和 ICMP 协议，内网全放通。	安全组中的实例需要部署 Web 服务。
     自定义	安全组创建成功后，按需自行添加安全组规则。具体操作请参见 添加安全组规则。	-

   • 名称：自定义设置安全组名称。
   • 所属项目：默认选择“默认项目”，可指定为其他项目，便于后期管理。
   • 备注：自定义，简短地描述安全组，便于后期管理。
   • 显示模板规则：单击可查看当前安全组入站、出站规则。
3. 单击【确定】，完成安全组的创建。
   如果新建安全组时选择了“自定义”模板，创建完成后可单击【立即设置规则 】，进行 添加安全组规则。

创建 SSH 密钥

1. 登录 云服务器控制台，在左侧导航栏中单击【SSH 密钥】。
2. 在 SSH 密钥管理页面，单击【创建密钥】。
3. 在弹出的“创建 SSH 密钥”窗口中，进行密钥信息设置，如下图所示：
   
   • 创建方式：提供 “创建新密钥对”和“使用已有公钥”两种方式，请根据实际情况进行选择。
     • 若创建方式选择为【创建新密钥对】时，请输入密钥名称。
     • 若创建方式选择为【使用已有公钥】时，请输入密钥名称和原有的公钥信息。

       说明

       公钥内容格式及示例如下：
       

       ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCdv1zOdTqtt70iqgCBT6mYbwCP3ASSl6Qidr/LmBkMCbWvSB1PDcZhcVmnkM1Fcltz25UroRmusF6s45HOgU2qZtC4J1jPV1SG6ashUJgJw9TSmnHPvy76BcRFe4xwA75CVfozSqeJejLnHP1oF8Dj+cM7/DLmxbOpJO1kaIx2bVuqYrwQGah6L3nozKSTY9qZ6pBar8TJFmgp4YDaxso78oqBtt0Q82c9MWTMszt3VvfNscS2WY6PFF3OHOlwkUesfPez5OnUeeCFpD3T5UCfTY0yrjbcYqx4WHElZ92RtSNDTbonAxUPHVYi8r6tkVNznBJJ2E+6TphvGIR2wzPl skey-qswnaltn

4. 单击【确定】，并单击弹出的“SSH密钥对已创建”提示框中【下载】按钮获取私钥。

   注意：

   腾讯云不会保管您的私钥信息，请在10分钟内下载和获取私钥。

更改集群默认操作系统

说明：

进行集群默认操作系统更改操作之前，请仔细阅读 操作系统说明 以知悉相关风险。

1. 登录 腾讯云容器服务控制台 ，单击左侧导航栏中的【集群】。
2. 在“集群管理”页面，选择目标集群所在行右侧的【更多】>【查看集群凭证】，进入集群基本信息页。
3. 在“节点和网络信息”中，单击【默认操作系统】最右侧的。如下图所示：
   
4. 在弹出的“设置集群操作系统”窗口中，进行操作系统更改，并单击【提交】即可。如下图所示：