导入阿里云 ACK 集群

导入已有的阿里云 ACK 托管集群（Managed Kubernetes）或阿里云 ACK 专属集群（Dedicated Kubernetes），实现统一平台管理。

TIP

有关 ACK 托管集群（Managed Kubernetes）或阿里云 ACK 专属集群（Dedicated Kubernetes）的产品信息，请参见官方文档。

前提条件获取镜像仓库地址判断镜像仓库是否需要额外配置获取 KubeConfig 导入集群网络配置常见问题阿里云监控与平台监控组件端口冲突如何处理？阿里云集群如何使用公网访问？导入集群后添加节点按钮灰显，如何添加节点？导入集群的证书管理功能支持哪些证书？导入的阿里云 ACK 托管集群和ACK 专属集群还不支持哪些功能？

前提条件

集群上的 Kubernetes 版本和参数需满足导入标准 Kubernetes 集群的组件版本和参数要求。

获取镜像仓库地址

若使用 global 集群部署的平台部署镜像仓库，在global 集群的控制节点执行以下命令获取地址：

if [ "$(kubectl get productbase -o jsonpath='{.items[].spec.registry.preferPlatformURL}')" = 'false' ]; then
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.registryAddress}')
else
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.platformURL}' | awk -F \// '{print $NF}')
fi
echo "镜像仓库地址为: $REGISTRY"

若使用外部镜像仓库，请手动设置 REGISTRY 变量。

REGISTRY=<外部镜像仓库地址>  # 有效示例：registry.example.cn:60080 或 192.168.134.43
echo "镜像仓库地址为: $REGISTRY"

判断镜像仓库是否需要额外配置

执行以下命令判断指定镜像仓库是否支持 HTTPS 访问且使用受信任 CA 机构颁发的证书：

REGISTRY=<从“获取镜像仓库地址”部分获得的镜像仓库地址>

if curl -s -o /dev/null --retry 3 --retry-delay 5 -- "https://${REGISTRY}/v2/"; then
    echo '测试通过：镜像仓库使用受信任 CA 机构颁发的证书，无需执行“信任不安全镜像仓库”部分内容。'
else
    echo '测试失败：镜像仓库不支持 HTTPS 或证书不受信任，请参考“信任不安全镜像仓库”部分进行配置。'
fi

若测试失败，请参见常见问题如何信任不安全的镜像仓库？。

获取 KubeConfig

登录阿里云容器服务管理平台。
在控制台左侧导航栏点击集群。
在集群列表页，点击目标集群名称或目标集群右侧操作列下的详情。
在集群信息页，点击连接信息标签页，然后点击生成临时 KubeConfig。
在临时 KubeConfig对话框中，设置临时凭证的有效期及访问集群的方式（包括公网访问和内网访问）。
点击生成临时 KubeConfig，然后点击复制，将内容保存到本地计算机的 KubeConfig 文件中。
集群导入成功后，可以撤销临时凭证。

导入集群

在左侧导航栏点击 集群管理 > 集群。
点击 导入集群。

按照以下说明配置相关参数。

参数	说明
镜像仓库	存储集群所需平台组件镜像的仓库。- 平台默认：global 集群部署时配置的镜像仓库。- 私有仓库：预先搭建的存储平台所需组件镜像的私有仓库。需填写访问镜像仓库的私有镜像仓库地址、端口、用户名和密码。- 公共仓库：使用互联网的公共镜像仓库服务，使用前需参考更新公共仓库云凭证获取仓库认证权限。
集群信息	提示：可手动填写，也可通过上传 KubeConfig 文件由平台自动解析填写。解析 KubeConfig 文件：上传获取的 KubeConfig 文件后，平台自动解析并填写集群信息，可修改自动填写的信息。集群地址：集群对外暴露的 API Server 访问地址，平台通过该地址访问集群 API Server。CA 证书：集群的 CA 证书。注意：手动输入时需填写 Base64 解码后的证书。认证方式：访问集群的认证方式，需使用具有集群管理权限的token或证书认证（客户端证书和密钥）进行认证。

参数

说明

镜像仓库

存储集群所需平台组件镜像的仓库。- 平台默认：global 集群部署时配置的镜像仓库。- 私有仓库：预先搭建的存储平台所需组件镜像的私有仓库。需填写访问镜像仓库的私有镜像仓库地址、端口、用户名和密码。- 公共仓库：使用互联网的公共镜像仓库服务，使用前需参考更新公共仓库云凭证获取仓库认证权限。

集群信息

提示：可手动填写，也可通过上传 KubeConfig 文件由平台自动解析填写。解析 KubeConfig 文件：上传获取的 KubeConfig 文件后，平台自动解析并填写集群信息，可修改自动填写的信息。集群地址：集群对外暴露的 API Server 访问地址，平台通过该地址访问集群 API Server。CA 证书：集群的 CA 证书。注意：手动输入时需填写 Base64 解码后的证书。认证方式：访问集群的认证方式，需使用具有集群管理权限的token或**证书认证（客户端证书和密钥）**进行认证。

点击 检查连通性，检测与待导入集群的网络连通性，并自动识别待导入集群类型。集群类型会以徽章形式显示在表单右上角。
连通性检测通过后，点击导入并确认。
TIP
- 点击处于导入中状态集群右侧的详情图标，可在弹出的执行进度对话框中查看集群执行进度（status.conditions）。
- 集群导入成功后，可在集群列表查看集群关键信息，集群状态显示正常，且可进行集群相关操作。

网络配置

确保 global 集群与待导入集群之间的网络连通性。详见导入集群的网络配置。

常见问题

阿里云监控与平台监控组件端口冲突如何处理？

阿里云内置监控与平台监控组件共存时会发生端口冲突，建议卸载阿里云监控，仅保留平台监控。

阿里云集群如何使用公网访问？

若使用阿里云集群的公网访问，可在阿里云绑定公网 IP。

导入集群后添加节点按钮灰显，如何添加节点？

阿里云 ACK 托管集群和ACK 专属集群均不支持通过平台界面添加节点，请在后台添加或联系集群提供方添加。

导入集群的证书管理功能支持哪些证书？

Kubernetes 证书：所有导入集群仅支持在平台证书管理界面查看 APIServer 证书信息，不支持查看其他 Kubernetes 证书，也不支持自动轮换。
平台组件证书：所有导入集群可在平台证书管理界面查看平台组件证书信息，并支持自动轮换。

导入的阿里云 ACK 托管集群和ACK 专属集群还不支持哪些功能？

阿里云 ACK 托管集群不支持获取审计数据。
阿里云 ACK 托管集群不支持 ETCD、Scheduler、Controller Manager 相关监控信息，但支持部分 APIServer 监控图表。
阿里云 ACK 托管集群和ACK 专属集群均不支持获取除 Kubernetes APIServer 证书外的集群证书相关信息。

#导入阿里云 ACK 集群

#目录

#前提条件

#获取镜像仓库地址

#判断镜像仓库是否需要额外配置

#获取 KubeConfig

#导入集群

#网络配置

#常见问题

#阿里云监控与平台监控组件端口冲突如何处理？

#阿里云集群如何使用公网访问？

#导入集群后添加节点按钮灰显，如何添加节点？

#导入集群的证书管理功能支持哪些证书？

#导入的阿里云 ACK 托管集群和ACK 专属集群还不支持哪些功能？