集群参数要求

本节将为您展示使用平台纳管的集群时需要满足的参数要求。

自建集群

版本要求

节点参数要求

根据 节点可用性检查参照表 准备、检查待添加至集群的节点。请确保条件均已满足，否则可能会导致集群部署失败。

纳管集群

标准 Kubernetes 集群

• 版本要求

  来源	Kubernetes 版本	Istio 版本	运行时组件
  标准 Kubernetes 集群	1.27.x	1.22.4	-
  标准 Kubernetes 集群	1.28.x	1.22.4	-
  标准 Kubernetes 集群	1.29.x	1.22.4	-
  标准 Kubernetes 集群	1.30.X	1.22.4	-

• 网络要求：

  • 接入集群：确保 global 可访问被 接入集群，并开放被接入集群所有主机的 11780，11781 端口。

  • 注册集群：确保被 注册集群 可访问 global 集群。

• 镜像仓库要求：您需准备包含平台组件镜像的镜像仓库，可以是 global 集群内置镜像仓库、第三方镜像仓库或公共仓库。

  • 如需从第三方镜像仓库拉取集群所需的平台组件镜像，实施方案可联系技术支持人员获取。

  • 如需使用平台默认的镜像仓库拉取集群所需的平台组件镜像，请确保集群可以正常访问平台默认镜像仓库。若无法访问，可参考 配置平台默认镜像仓库以支持业务集群的外网访问 进行配置。

  • 若使用公共仓库，则您仅需保证被纳管的集群可以访问公共网络即可。

• 组件参数要求

  参数	必要参数	影响范围
  kube-apiserver	allow-privileged=true	部分组件需要特权模式运行。
  	audit-log-format=json	影响审计功能。audit-log-format 必须为 json，audit-log-path 可配置其他值。
  	audit-log-path=/etc/kubernetes/audit/audit.log
  	feature-gates=Ephemeralcontainers=true	影响 kubectl debug 功能。
  	authorization-mode=node,RBAC	权限相关。
  	proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt	缺少配置会无法正常使用 APIService，导致 OperatorHub、PrometheusAdapter 等功能不能正常使用。proxy-client-cert-file、proxy-client-key-file、requestheader-allowed-names、proxy-client-key-file 可配置其他值。
  	proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
  	requestheader-allowed-names=front-proxy-client
  	requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
  	requestheader-extra-headers-prefix=X-Remote-Extra
  	requestheader-group-headers=X-Remote-Group
  	requestheader-username-headers=X-Remote-User
  kube-scheduler	feature-gates=EphemeralContainers=true	影响 kubectl debug 功能。
  	bind-address=0.0.0.0	影响集群的部分监控指标。
  kube-controller-manager	controllers=*,bootstrapsigner,tokencleaner	建议开启所有 controller 功能，否则可能会缺少对应的功能。
  	feature-gates=EphemeralContainers=true	影响 kubectl debug 功能。
  	bind-address=0.0.0.0	影响集群的部分监控指标。

  kubectl 配置文件要求：

  在 /var/lib/kubelet/config.yaml 文件中您需要满足以下参数要求：

  1. 为确保组件正常访问，您需要添加键值对：clusterDomain: cluster.local。

  2. 监控组件认证所需参数如下：

     authentication:
         webhook:
             enabled: true
         x509:
             clientCAFile: /etc/kubernetes/pki/ca.crt
     authorization:
         mode: Webhook

公有云集群

• 版本要求

  来源	Kubernetes 版本	Istio 版本	运行时组件
  Amazon EKS 集群	1.27 1.28 1.29 1.30	1.22.4	Containerd
  Azure AKS 集群	1.27 1.28 1.29 1.30	1.22.4	Containerd
  华为云 CCE 集群（公有云）	1.25.x 1.27.x	1.22.4	Docker Containerd
  Google GKE 集群	1.29 1.30	1.20	Containerd
  Openshift 4.15.12 集群	1.27 1.28 1.29 1.30	1.22.4	Containerd
  阿里云 ACK 集群	1.27 1.28 1.29 1.30	1.22.4	Containerd
  腾讯云 TKE 集群	1.27 1.28 1.29 1.30	1.22.4	Containerd

• 网络要求：

  • 接入集群：确保 global 可访问被 接入集群，并开放被接入集群所有主机的 11780，11781 端口。

  • 注册集群：确保被 注册集群 可访问 global 集群。

• 镜像仓库要求：您需准备包含平台组件镜像的镜像仓库，可以是 global 集群内置镜像仓库、第三方镜像仓库或公共仓库。

  • 如需从第三方镜像仓库拉取集群所需的平台组件镜像，实施方案可联系技术支持人员获取。

  • 如需使用平台默认的镜像仓库拉取集群所需的平台组件镜像，请确保集群可以正常访问平台默认镜像仓库，若无法访问，可参考 配置平台默认镜像仓库以支持业务集群的外网访问 进行配置。

  • 若使用公共仓库，则您仅需保证被纳管的集群可以访问公共网络即可。

创建公有云集群

公有云集群支持的 Kubernetes 版本可参考对应的创建页面，Kubernetes 和 Istio 版本的对照关系可参考标准 Kubernetes 集群的 版本要求 小节。