首页 / 平台管理 / 集群管理 / 集群 / 纳管集群 / 接入集群 / 接入阿里云 ACK 集群

接入阿里云 ACK 集群

将已部署的阿里云 ACK 托管集群（Managed Kubernetes）或阿里云 ACK 专有集群（Dedicated Kubernetes）接入平台统一管理。

提示：关于ACK 托管集群（Managed Kubernetes）或阿里云 ACK 专有集群（Dedicated Kubernetes）的产品介绍请参考官方文档。

前提条件

集群上 Kubernetes 版本和参数满足接入标准 Kubernetes 集群组件版本和参数要求。

获取镜像仓库地址

若需使用部署 global 集群时 平台部署 的镜像仓库，在 global 集群的控制节点 上执行如下命令获取地址：

if [ "$(kubectl get productbase -o jsonpath='{.items[].spec.registry.preferPlatformURL}')" = 'false' ]; then
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.registryAddress}')
else
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.platformURL}' | awk -F \// '{print $NF}')
fi
echo "镜像仓库地址是：$REGISTRY"

若需使用 外部镜像仓库 ，请手动设置 REGISTRY 变量。

REGISTRY=<外部镜像仓库地址>  # 合法的例子如：registry.example.cn:60080 或 192.168.134.43
echo "镜像仓库地址是：$REGISTRY"

判断镜像仓库是否需要额外配置

执行如下命令，判断指定的镜像仓库是否支持 HTTPS 访问，且使用受信任的 CA 认证机构颁发的证书：

REGISTRY=<“获取镜像仓库地址”一节中获得的镜像仓库地址>

if curl -s -o /dev/null --retry 3 --retry-delay 5 -- "https://${REGISTRY}/v2/"; then
    echo '检测通过：镜像仓库使用的是受信任的 CA 认证机构颁发的证书。不必执行“信任非安全镜像仓库”一节的内容。'
else
    echo '检测未通过：镜像仓库不支持 HTTPS，或证书不受信任。请参考“信任非安全镜像仓库”一节进行配置。'
fi

若检测未通过，请参考常见问题如何信任非安全镜像仓库？。

获取 KubeConfig

登录阿里云容器服务管理平台。
在控制台左侧导航栏中，单击集群。
在 集群列表 页面中，单击目标集群名称或者目标集群右侧操作列下的详情。
在 集群信息 页面，单击 连接信息 页签，然后单击 生成临时KubeConfig。
在 临时KubeConfig 对话框中，设置临时凭证的有效期及访问集群的方式（包括公网访问和内网访问）。
单击 生成临时KubeConfig ，然后单击复制，将内容粘贴保存至本地计算机的 KubeConfig 文件下。
集群接入成功后，可以吊销临时凭据。

接入集群

在左侧导航栏中，单击 集群管理 > 集群。
单击 接入集群。

参照以下说明，配置相关参数。

参数	说明
镜像仓库	存储集群所需平台组件镜像的仓库。 - 平台默认：部署 global 时配置的镜像仓库。 - 私有仓库：提前搭建的并存放平台所需组件的镜像仓库。需输入访问镜像仓库的私有镜像仓库地址、端口、用户名、密码。 - 公共仓库：使用位于公网的镜像仓库服务，使用前，您需首先参考更新公网镜像仓库云凭证以获取仓库认证权限。
集群信息	提示：可手动填写或上传 KubeConfig 文件由平台自动解析并填写。解析 KubeConfig 文件：上传已获取的 KubeConfig 文件后，平台会自动解析并填写集群信息，您可修改自动填写的信息。集群地址：集群对外暴露 API Server 的访问地址，用于平台访问集群的 API Server。 CA 证书：集群的 CA 证书。注意：手动输入时，需输入经过 Base64 解码的证书。认证方式：访问集群的认证方式，需要使用具备集群管理权限的令牌（Token）或证书认证（客户端证书及秘钥）进行认证。

参数

说明

镜像仓库

存储集群所需平台组件镜像的仓库。
- 平台默认：部署 global 时配置的镜像仓库。
- 私有仓库：提前搭建的并存放平台所需组件的镜像仓库。需输入访问镜像仓库的 私有镜像仓库地址、端口、用户名、密码。
- 公共仓库：使用位于公网的镜像仓库服务，使用前，您需首先参考更新公网镜像仓库云凭证以获取仓库认证权限。

集群信息

提示：可手动填写或上传 KubeConfig 文件由平台自动解析并填写。

解析 KubeConfig 文件：上传已获取的 KubeConfig 文件后，平台会自动解析并填写 集群信息，您可修改自动填写的信息。

集群地址：集群对外暴露 API Server 的访问地址，用于平台访问集群的 API Server。

CA 证书：集群的 CA 证书。
注意：手动输入时，需输入经过 Base64 解码的证书。

认证方式：访问集群的认证方式，需要使用具备 集群管理权限 的令牌（Token）或 证书认证（客户端证书及秘钥） 进行认证。

单击 检查连通性 以检查与接入集群的网络连通性并自动识别接入集群的类型，集群类型将以表单右上角角标的形式展现。
连通性检查通过后，单击接入，并确认。

提示：
- 单击处于 接入中 状态的集群右侧的图标，可在弹出的 执行进度 对话框中，查看集群的执行进度（status.conditions）。
- 集群接入成功后，在集群列表可查看集群的关键信息，集群的状态显示为正常，并可执行集群相关操作。

网络相关配置

为确保 global 集群与被接入集群网络互通，您须参考接入集群网络相关配置。

后续操作

部署插件

集群接入成功后，您可前往插件管理选择为集群部署必须的插件，包括日志采集组件、日志存储组件等。

纳管集群下命名空间

接入集群后，您可通过基于集群创建项目，或通过添加项目关联集群的方式将集群添加至已有项目，可将新接入的集群关联至项目。

进而，通过导入命名空间操作，将集群下已有的 Kubernetes 命名空间纳入到平台的项目下进行管理。

常见问题

阿里云监控和平台监控组件端口冲突怎么处理？

阿里云集群自带的监控和平台监控组件同时存在时会出现端口冲突的情况，建议您卸载阿里云监控，只保留平台监控。

如何使用公网访问阿里云集群？

若使用公网访问阿里云集群，可以在阿里云上绑定公网 IP。

接入集群后添加节点按钮置灰，如何添加节点？

阿里云 ACK 托管集群 和 ACK 专有集群 都不支持在平台界面添加节点，请在后台添加或联系集群供应商添加。

接入集群的证书管理功能支持哪些证书？

Kubernetes 证书：所有接入集群仅支持在平台证书管理界面查看 APIServer 证书信息，不支持查看其他 Kubernetes 证书且不支持自动轮换。
平台组件证书：所有接入集群可在平台证书管理界面查看平台组件证书信息且支持自动轮换。

还有哪些功能不支持接入的阿里云 ACK 托管集群和 ACK 专有集群？

阿里云 ACK 托管集群 不支持获取审计数据。
阿里云 ACK 托管集群 不支持 ETCD、Scheduler、Controller Manager 相关监控信息，支持 APIServer 部分监控图表。
阿里云 ACK 托管集群 和 ACK 专有集群 都不支持获取除 Kubernetes APIServer 证书外的集群证书相关信息。