安全容器与普通容器
4.2 购买节点
操作场景
节点是指接入到平台的计算资源,包括虚拟机、物理机等。用户需确保所在项目节点 资源充足,若节点资源不足,会导致创建工作负载等操作失败。
前提条件
● 已创建至少一个集群,请参见购买CCE集群。
● 您需要新建一个密钥对,用于远程登录节点时的身份认证。
若使用密码登录节点,请跳过此操作。创建方法请参见创建密钥对。
约束与限制
● 创建节点过程中会使用域名方式从OBS下载软件包,需要能够使用云上内网DNS 解析OBS域名,否则会导致创建不成功。为此,节点所在子网需要配置为内网
DNS地址,从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网
DNS,如果您修改过子网的DNS,请务必确保子网下的DNS服务器可以解析OBS 服务域名,否则需要将DNS改成内网DNS。● 仅支持创建KVM虚拟化类型的节点,非KVM虚拟化类型的节点创建后无法正常使 用。
● 集群中的节点一旦购买后不可变更可用区。
● 集群中通过“按需计费”模式购买的节点,在CCE“节点管理”中进行删除操作后 将会直接被删除;通过“包年/包月”模式购买的节点不能直接删除,请通过页面 右上角“费用-我的订单”执行资源退订操作。
● GPU能力以插件的方式外接提供,需要您在“插件管理”中安装GPU-beta插件。
● 网络模式选择“容器隧道网络”时,只能添加同一类型的节点,即全部为虚拟机 节点或全部为裸金属节点,且集群版本需要选择v1.13.10或以上。
● 网络模式选择“VPC网络”时,支持同时管理虚拟机节点和裸金属节点,集群版 本需要选择v1.11.7或以上。
操作步骤
步骤1 登录CCE控制台,可通过如下两种方式进入“购买节点”页面:
● 在左侧导航栏中选择“资源管理 > 节点管理”,选择节点所在的集群后,在节点 列表页面单击上方的“购买节点”按钮。
图4-1 购买节点-1
● 在左侧导航栏中选择“资源管理 > 集群管理”,在集群列表页面单击需要添加节 点集群下方的“购买节点”按钮。
图4-2 购买节点-2
步骤2 计费模式:支持“按需计费”和“包年/包月”类型。本章以“按需计费”类型为例进 行讲解。
步骤3 选择区域和可用区。
● 当前区域:节点实例所在的物理位置。
● 可用区:请根据业务需要进行选择。可用区是在同一区域下,电力、网络隔离的 物理区域,可用区之间内网互通,不同可用区之间物理隔离。
如果您需要提高工作负载的高可靠性,建议您在创建集群后将云服务器部署在不 同的可用区,购买集群时节点只能部署在一个可用区。
图4-3 工作节点创建在不同可用区
步骤4 配置节点规格。
● 节点类型:选择节点类型。
– 虚拟机节点:选中后创建虚拟机节点。
– 裸金属节点:创建集群过程中不可选,需在集群创建完成后才可以为集群增 加裸金属节点。
说明
CCE集群中创建裸金属节点需满足以下条件:
▪
集群创建完成之后才可以添加裸金属节点。▪
集群为非IPv6模式。▪
VPC网络集群版本高于v1.11.7,容器隧道网络集群版本高于v1.13.10。▪
节点计费模式为包年/包月。– 超高I/O型:该类型实例提供超低SSD盘访问延迟和超高IOPS性能,适用于高 性能关系型数据库、NoSQL数据库(如Cassandra、MongoDB)、
ElasticSearch搜索等场景。
– AI加速型:AI加速型节点实例,搭载高性能、低功耗的海思Ascend 310 AI处 理器,实现快速高效地处理推理和图像识别等工作,适用于图像识别、视频 处理、推理计算以及机器学习等场景。
说明
▪
当前AI加速型节点仅在部分可用区可选。▪
选用AI加速型的节点前需要安装huawei-npu插件,以保证使用昇腾 310芯片资源 的负载可以正常运行。▪
节点创建成功后会安装D310芯片驱动并自动触发节点重启,期间会有短暂的节点 不可用,属于正常现象,重启完成后可恢复正常。图4-4 选择节点规格
为确保节点稳定性,系统会自动预留部分资源,用于运行必须的系统组件。详细 请参见节点预留资源计算公式。
● 操作系统:部分Region不显示下方分类,请直接选择节点对应的操作系统。
– 公共镜像:请选择节点对应的操作系统。
公共镜像是常见的标准操作系统镜像,所有用户可见,包括操作系统以及预 装的公共应用,更多介绍请参见公共镜像概述。
– 私有镜像(公测中):包含操作系统或业务数据、预装的公共应用以及用户 的私有应用的镜像,仅用户个人可见。该功能仅支持v1.15及以上版本集群。
若没有私有镜像可选择,请参照如何使用私有镜像制作工作节点镜像?(公 测)进行制作。
– 共享镜像:由其他用户共享而来的私有镜像。更多关于共享镜像的使用,请 参见共享镜像。
重装操作系统或修改操作系统配置将导致节点不可用,请务必谨慎操作,具体请 参见高危操作及解决方案。
● 系统盘:设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB-1024GB 之间的数值,缺省值为40GB。
在默认情况下,系统盘可提供高I/O(SAS)、超高I/O(SSD)几种基本的云硬盘 类型,关于云硬盘的详细信息请参见云硬盘概述。
加密:数据盘加密功能可为您的数据提供强大的安全防护,加密磁盘生成的快照 及通过这些快照创建的磁盘将自动继承加密功能。目前仅在部分Region显示此选 项,具体以界面为准。
– 默认不加密。
– 点选“加密”后,可在弹出的“加密设置”对话框中,选择已有的密钥,若 没有可选的密钥,请单击后方的链接创建新密钥,完成创建后单击刷新按 钮。
● 数据盘:设置工作节点的数据盘空间。您可以设置数据盘的规格为
100GB-32768GB之间的数值,缺省值为100GB。数据盘可提供的云硬盘类型与上 方系统盘一致。
注意
若数据盘卸载或损坏,会导致docker服务异常,最终导致节点不可用。建议不要 删除该数据盘。
– LVM管理:CCE数据盘使用LVM(Logical Volume Manager)进行磁盘管
○ 1.13.10及更高版本的集群创建节点时,若未开启LVM管理的数据盘,
请参考给CCE集群的节点添加第二块数据盘填写安装前执行脚本进行 格式化,否则该数据盘仍会被LVM管理。
○ 1.13.10之前版本的集群创建节点时,若未开启LVM管理的数据盘请务 必格式化,否则会与第一块数据盘进行二选一被LVM管理,进而导致
▪
k8s空间:您可以自定义数据盘中Docker和Kubelet的资源占比。Docker 资源包含Docker工作目录、Docker镜像数据以及镜像元数据;Kubelet▪
用户空间:定义本地盘中不分配给kubernetes使用的空间大小和用户空 间挂载路径。说明
注意挂载路径不能设置为 /、/home/paas、/var/paas、/var/lib、/var/
script、/var/log/、/mnt/paas、/opt/cloud,不能和系统目录冲突(例如bin、
lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、
tmp、var、media、opt、selinux、sys、usr等),否则会导致系统或节点安装 失败。
当集群版本为v1.13.10-r0及以上,且节点规格为“磁盘增强型”或“超高I/O 型”时,数据盘将显示如下选项:
– 云硬盘:与节点类型为非“磁盘增强型”或“超高I/O型”时的数据盘一致,
此处不再赘述,详情参见上方的数据盘。
– 本地磁盘:本地磁盘实例有宕机风险,不保证数据可靠性,建议您使用云硬 盘存储您的业务数据。
本地磁盘配置参数如下:
▪
磁盘类型:节点类型为“磁盘增强型”时支持普通磁盘(hdd);节点类型 为“超高I/O型”时支持固态硬盘(ssd)。▪
读写方式:当存在多块本地盘时可以设置读写方式,支持“串行”和“并行”两种方式。串行表示数据读写为线性模式,当一块盘使用完才 会使用下一块;并行表示数据读写为条带模式,可以同时读写多块本地 盘。
▪
k8s空间:您可以自定义数据盘中Docker和Kubelet的资源占比。Docker 资源包含Docker工作目录、Docker镜像数据以及镜像元数据;Kubelet 资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。▪
用户空间:定义本地盘中不分配给kubernetes使用的空间大小和用户空 间挂载路径。须知
– 在数据盘中设置“k8s空间”和“用户空间”占比时,需满足k8s空间和用户空 间总和为100%,设置后可单击 自动调整数据。
– 磁盘使用direct-lvm模式,移除将使用loop-lvm模式,有影响系统稳定性的风 险。
图4-5 设置本地磁盘
● 虚拟私有云:不可修改,仅用于展示当前集群所在的虚拟私有云,该参数仅在 v1.13.10-r0及以上版本的集群中显示。
● 所在子网:通过子网提供与其他网络隔离的、可以独享的网络资源,以提高网络 安全。可选择该集群虚拟私有云下的任意子网,集群节点支持跨子网。
创建节点过程中会使用域名方式从OBS下载软件包,需要能够使用内网DNS解析 OBS域名,否则会导致创建不成功。为此,节点所在子网需要配置为内网DNS地 址,从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS,如果
您修改过子网的DNS,请务必确保子网下的DNS服务器可以解析OBS服务域名,
否则需要将DNS改成内网DNS。
已有集群添加节点时,如果子网对应的VPC新增了扩展网段且子网是扩展网段,
要在控制节点安全组(即集群名称-cce-control-随机数)中添加如下三条安全组 规则,以保证集群添加的节点功能可用(新建集群时如果VPC已经新增了扩展网 段则不涉及此场景):
步骤5 弹性IP:独立申请的公网IP地址,若节点有互联网访问的需求,请选择“自动创建”或
“使用已有”。集群开启IPv6时,不显示该参数。
弹性公网IP提供外网访问能力,可以灵活绑定及解绑,随时修改带宽。未绑定弹性公 网IP的云服务器无法直接访问外网,无法直接对外进行互相通信。详情请查看弹性公 网IP介绍。
● 暂不使用:若新增节点未绑定弹性IP,则在该节点上运行的工作负载将不能被外 网访问,仅可作为私有网络中部署业务或者集群所需云服务器进行使用。
● 暂不使用:若新增节点未绑定弹性IP,则在该节点上运行的工作负载将不能被外 网访问,仅可作为私有网络中部署业务或者集群所需云服务器进行使用。