导入 Alibaba Cloud ACK 集群

导入已有的 Alibaba Cloud ACK 托管集群（Managed Kubernetes）或 Alibaba Cloud ACK 专属集群（Dedicated Kubernetes），实现统一平台管理。

TIP

有关 ACK 托管集群（Managed Kubernetes）或 Alibaba Cloud ACK 专属集群（Dedicated Kubernetes）的产品信息，请参见官方文档。

前提条件

集群上的 Kubernetes 版本和参数需满足导入标准 Kubernetes 集群的组件版本和参数要求。

获取镜像仓库地址

若使用 global 集群部署的平台部署镜像仓库，在global 集群的控制节点执行以下命令获取地址：

if [ "$(kubectl get productbase -o jsonpath='{.items[].spec.registry.preferPlatformURL}')" = 'false' ]; then
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.registryAddress}')
else
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.platformURL}' | awk -F \// '{print $NF}')
fi
echo "镜像仓库地址为: $REGISTRY"

若使用外部镜像仓库，需手动设置 REGISTRY 变量。

REGISTRY=<外部镜像仓库地址>  # 有效示例：registry.example.cn:60080 或 192.168.134.43
echo "镜像仓库地址为: $REGISTRY"

判断镜像仓库是否需要额外配置

执行以下命令判断指定镜像仓库是否支持 HTTPS 访问且使用受信任 CA 机构颁发的证书：

REGISTRY=<从“获取镜像仓库地址”部分获得的镜像仓库地址>

if curl -s -o /dev/null --retry 3 --retry-delay 5 -- "https://${REGISTRY}/v2/"; then
    echo '测试通过：镜像仓库使用受信任 CA 机构颁发的证书，无需执行“信任不安全镜像仓库”部分内容。'
else
    echo '测试失败：镜像仓库不支持 HTTPS 或证书不受信任，请参考“信任不安全镜像仓库”部分进行配置。'
fi

若测试失败，请参考 FAQ 如何信任不安全的镜像仓库？。

获取 KubeConfig

登录 Alibaba Cloud 容器服务管理平台。
在控制台左侧导航栏，点击集群。
在集群列表页面，点击目标集群名称或目标集群右侧操作列下的详情。
在集群信息页面，点击连接信息标签页，然后点击生成临时 KubeConfig。
在临时 KubeConfig对话框中，设置临时凭证的有效期及访问集群的方式（包括公网访问和内网访问）。
点击生成临时 KubeConfig，然后点击复制，将内容复制并保存到本地计算机的 KubeConfig 文件中。
集群成功导入后，可撤销临时凭证。

导入集群

在左侧导航栏，点击 集群管理 > 集群。
点击 导入集群。

按照以下说明配置相关参数。

参数	说明
镜像仓库	存储集群所需平台组件镜像的仓库。- 平台默认：global 集群部署时配置的镜像仓库。- 私有仓库：预构建的存储平台所需组件镜像的私有仓库。需填写访问镜像仓库的私有镜像仓库地址、端口、用户名和密码。- 公共仓库：使用互联网公共镜像仓库服务，使用前需参考更新公共仓库云凭证获取仓库认证权限。
集群信息	提示：可手动填写，也可上传 KubeConfig 文件由平台自动解析填写。解析 KubeConfig 文件：上传获取的 KubeConfig 文件后，平台自动解析并填写集群信息，可修改自动填写的信息。集群地址：集群对外暴露的 API Server 访问地址，平台通过该地址访问集群 API Server。CA 证书：集群的 CA 证书。注意：手动填写时需输入 Base64 解码后的证书。认证方式：访问集群的认证方式，需使用具有集群管理权限的token或证书认证（客户端证书和密钥）进行认证。

参数

说明

镜像仓库

存储集群所需平台组件镜像的仓库。- 平台默认：global 集群部署时配置的镜像仓库。- 私有仓库：预构建的存储平台所需组件镜像的私有仓库。需填写访问镜像仓库的私有镜像仓库地址、端口、用户名和密码。- 公共仓库：使用互联网公共镜像仓库服务，使用前需参考更新公共仓库云凭证获取仓库认证权限。

集群信息

提示：可手动填写，也可上传 KubeConfig 文件由平台自动解析填写。解析 KubeConfig 文件：上传获取的 KubeConfig 文件后，平台自动解析并填写集群信息，可修改自动填写的信息。集群地址：集群对外暴露的 API Server 访问地址，平台通过该地址访问集群 API Server。CA 证书：集群的 CA 证书。注意：手动填写时需输入 Base64 解码后的证书。认证方式：访问集群的认证方式，需使用具有集群管理权限的token或**证书认证（客户端证书和密钥）**进行认证。

点击 检查连通性，检测与待导入集群的网络连通性，并自动识别待导入集群类型。集群类型会以徽章形式显示在表单右上角。
连通性检测通过后，点击导入并确认。
TIP
- 点击处于导入中状态的集群右侧的详情图标，可在弹出的执行进度对话框中查看集群执行进度（status.conditions）。
- 集群导入成功后，可在集群列表查看集群关键信息，集群状态显示正常，且可进行集群相关操作。

网络配置

确保 global 集群与待导入集群之间的网络连通性。详见导入集群的网络配置。

FAQ

如何处理 Alibaba Cloud 监控与平台监控组件的端口冲突？

当 Alibaba Cloud 内置监控与平台监控组件共存时，会发生端口冲突，建议卸载 Alibaba Cloud 监控，仅保留平台监控。

如何使用公网访问 Alibaba Cloud 集群？

若使用 Alibaba Cloud 集群的公网访问，可在 Alibaba Cloud 上绑定公网 IP。

导入集群后，添加节点按钮灰显，如何添加节点？

Alibaba Cloud ACK 托管集群和ACK 专属集群均不支持通过平台界面添加节点，请在后台添加或联系集群提供方添加。

导入集群的证书管理功能支持哪些证书？

Kubernetes 证书：所有导入集群仅支持在平台证书管理界面查看 APIServer 证书信息，不支持查看其他 Kubernetes 证书，也不支持自动轮换。
平台组件证书：所有导入集群均可在平台证书管理界面查看平台组件证书信息，且支持自动轮换。

导入的 Alibaba Cloud ACK 托管集群和 ACK 专属集群还不支持哪些功能？

Alibaba Cloud ACK 托管集群不支持获取审计数据。
Alibaba Cloud ACK 托管集群不支持 ETCD、Scheduler、Controller Manager 相关监控信息，但支持部分 APIServer 监控图表。
Alibaba Cloud ACK 托管集群和ACK 专属集群均不支持获取除 Kubernetes APIServer 证书外的集群证书相关信息。

#导入 Alibaba Cloud ACK 集群

#目录

#前提条件

#获取镜像仓库地址

#判断镜像仓库是否需要额外配置

#获取 KubeConfig

#导入集群

#网络配置

#FAQ

#如何处理 Alibaba Cloud 监控与平台监控组件的端口冲突？

#如何使用公网访问 Alibaba Cloud 集群？

#导入集群后，添加节点按钮灰显，如何添加节点？

#导入集群的证书管理功能支持哪些证书？

#导入的 Alibaba Cloud ACK 托管集群 和 ACK 专属集群还不支持哪些功能？