集群的名稱。長度為1~63個字符，可包含數字、下劃線（_）或中劃線（-），需以英文大小寫字母、中文或數字開頭。

公測中，請前往配額平臺申請。

開啟IPv6雙棧后，將創建IPv4/IPv6雙棧集群。

配置集群的專有網絡VPC。您可以指定可用區，自動新建一個VPC，也可以在已有VPC列表中選擇已創建的VPC。

選擇已有安全組功能為白名單功能，請前往配額平臺申請。

支持選擇自動創建普通安全組、自動創建企業級安全組、選擇已有安全組。

• 自動創建的安全組對于出方向默認全部允許。如果您因為業務原因需要修改，請確保在入方向已放行100.64.0.0/10網段。該網段用于訪問阿里云其他服務，以執行鏡像拉取、查詢ECS基礎信息等操作。

• 指定已有安全組時，系統默認不會為安全組配置額外的訪問規則，可能會導致訪問異常，請自行管理安全組規則，請參見配置集群安全組。

支持Flannel和Terway網絡插件。關于兩者的詳細對比，請參見Terway與Flannel的對比。

• Flannel：基于社區的、簡單穩定的Flannel CNI插件，功能較為簡單，支持的特性少，例如不支持基于Kubernetes標準的NetworkPolicy。

• Terway：阿里云容器服務自研的網絡插件，將阿里云的彈性網卡分配給容器，支持使用Kubernetes的NetworkPolicy定義容器間的訪問策略，支持對單個容器做帶寬的限制。

  說明

  • 在Terway模式下，節點上可以運行的Pod數均受節點的彈性網卡和輔助IP的配額限制。

  • 網絡插件選擇Terway時，會使用彈性網卡的輔助IP分配給Pod，一個Pod占用一個彈性網卡輔助IP地址。

  • 當專有網絡選擇共享VPC時，網絡插件僅支持Terway。

  選擇Terway時，還支持以下能力。

  • DataPathV2

    使用DataPathv2加速模式，僅支持在創建集群時配置。選中后，Terway會采取不同于共享ENI常規模式的流量轉發鏈路，實現更快的網絡通信。更多信息，請參見網絡加速。

    說明

    開啟后，Terway policy容器預計會在每個Worker節點上多占用0.5核512MB的資源，此消耗會隨著集群規模增大而增大。在Terway默認配置中，policy容器的CPU上限為1核，內存無限制。

  • NetworkPolicy 支持

    勾選后，則會支持Kubernetes原生的NetworkPolicy。

    說明

    • 從Terway v1.9.2開始，新建集群NetworkPolicy由eBPF的實現提供，數據面會開啟DataPathv2功能。

    • 通過控制臺管理NetworkPolicy的功能正在公測中，如果您希望使用，請在配額平臺提交申請。

  • Trunk ENI 支持

    支持為每個Pod配置固定IP、獨立的虛擬交換機、安全組，提供精細化流量管理、流量隔離、網絡策略配置和IP管理能力。更多信息，請參見為Pod配置固定IP及獨立虛擬交換機、安全組。

    說明

    • ACK托管集群無需申請即可選擇Trunk ENI選項。如果您希望在ACK專有集群中開啟Trunk ENI，請先在配額平臺提交申請。

    • 從Kubernetes 1.31開始，新建的ACK托管集群會自動啟用Trunk ENI功能，無需手動進行選擇。

需同時選擇IPv6雙棧。

為服務網段配置IPv6地址段。配置網段時，必須使用ULA地址，地址段范圍在fc00::/7內，且地址前綴長度在112~120之間。推薦和服務網段保持相同的可用地址數量。

關于集群網絡地址段規劃的更多信息，請參見Kubernetes集群網絡規劃。

支持iptables和IPVS兩種模式。

• iptables：成熟穩定的kube-proxy代理模式。Kubernetes Service的服務發現和負載均衡使用iptables規則配置，但性能一般，受規模影響較大，適用于存在少量Service的集群。

• IPVS：高性能的kube-proxy代理模式。Kubernetes Service的服務發現和負載均衡使用Linux IPVS模塊進行配置，適用于存在大量Service的集群，且對負載均衡有高性能要求。

根據集群Kubernetes版本選擇容器運行時。如何選型，請參見如何選擇Docker運行時、containerd運行時、或者安全沙箱運行時？。

• containerd（推薦）：支持所有版本的集群。

• 安全沙箱：支持1.31及以下版本的集群。

• Docker（已停止支持）：支持1.22及以下版本的集群。

為集群開啟安全加固。創建完成后，加固方案不支持轉換。

• 不開啟：對ECS實例不進行安全加固。

• 等保加固：阿里云為Alibaba Cloud Linux 2和Alibaba Cloud Linux 3等保2.0三級版鏡像提供等保合規的基線檢查標準和掃描程序。等保加固在保障原生鏡像兼容性和性能的基礎上進行了等保合規適配，使其滿足國家信息安全部發布的《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》。更多信息，請參見ACK等保加固使用說明。

  重要

  等保加固會禁止Root用戶通過SSH遠程登錄。您可通過ECS控制臺使用VNC方式登錄系統創建可使用SSH的普通用戶。具體操作，請參見使用VNC登錄實例。

• 阿里云 OS 加固：僅當系統鏡像選擇Alibaba Cloud Linux 2或Alibaba Cloud Linux 3時，可為節點開啟阿里云OS加固。

選擇等保加固時，僅支持設置密碼。

支持設置密鑰、設置密碼和創建后設置。

• 創建時設置：

  • 設置密鑰：阿里云SSH密鑰對是一種安全便捷的登錄認證方式，由公鑰和私鑰組成，僅支持Linux實例。

    請同步配置登錄名（root登錄或ecs-user登錄）和所需的密鑰對。

  • 設置密碼：密碼限制為8～30個字符，且必須同時包含大寫字母、小寫字母、數字和特殊符號。

    請同步配置登錄名（root登錄或ecs-user登錄）和密碼。

• 創建后設置：在實例創建完成后，自行綁定密鑰對或者重置實例密碼。具體操作，請參見綁定SSH密鑰對和重置實例登錄密碼。

支持ESSD AutoPL、ESSD云盤、ESSD Entry以及上一代云盤（SSD云盤和高效云盤）。數據盤可選的類型與選擇的實例規格族相關。如果云盤類型下拉列表沒有顯示的云盤類型，代表不支持該云盤類型。

• 掛載數據盤時，所有云盤類型均支持加密。選擇密鑰時，阿里云默認使用服務密鑰（Default Service CMK）進行加密，您也可以選擇事先在KMS服務中創建好的自定義密鑰（BYOK）為該云盤進行加密。

• 在需要容器鏡像加速、大模型快速加載等場景下，您還可以使用快照創建數據盤，提升系統的響應速度和處理能力。

• 每個節點上需有一塊數據盤被掛載到/var/lib/container（/var/lib/kubelet、/var/lib/containerd將掛載到/var/lib/container目錄下）。對于節點上的其他數據盤，您可以進行初始化設置，自定義其掛載目錄。使用說明，請參見ACK節點池中數據盤可以自定義目錄掛載嗎？