選對方法，K8s 多集羣管理沒那麼難

Kubernetes 作爲一項核心技術已成爲現代應用程序架構的基礎，將 Kubernetes 作爲容器編排系統已發展爲越來越多企業的必然選擇。

隨着對雲計算接受程度不斷提高，以及企業規模和業務持續發展的共同驅動下，越來越多的企業在考慮或已經採用多雲和混合雲方案，以提升架構的靈活性和健壯性。

Kubernetes 多集羣需求的演進及運維挑戰

企業可能會將集羣部署在不同雲廠商的公有云 K8s 集羣中、本地 IDC 中的 K8s 集羣、開源自建集羣等等。在幫助企業能夠更好地利用混合環境資源的同時，這些分佈在不同形態、地域、基礎設施和網絡環境的集羣，給運維管理帶來了極大的挑戰，比如要應對不同的訪問控制檯、不同的權限管理策略、不同的日誌監控工具、不同的安全工具等等。

如果您也正面臨着類似的需求和挑戰，可以考慮使用本文分享的阿里雲 ACK One 註冊集羣，使雲上雲下 K8s 集羣統一管理變得輕鬆簡單。

如何使用 ACK One 簡化混合雲集羣搭建與管理

ACK One 是阿里雲面向混合雲、多集羣、分佈式計算等場景推出的分佈式雲容器平臺，能夠統一管理阿里雲上、邊緣、部署在客戶數據中心以及其他雲上的 Kubernetes 集羣。

通過 ACK One 註冊集羣，您可以將來自不同提供商和不同位置的 K8s 集羣統一接入到阿里雲容器服務 ACK 控制檯，提供統一的集羣控制面，實現多集羣統一的應用分發、流量管理、運維管理、安全管理等。

1. 註冊集羣核心功能

ACK One 註冊集羣可以幫助企業應對的 K8s 集羣統一管理需求包括：

一致的運維體驗

K8s 集羣統一運維管理，提供與 ACK 一致的運維體驗。他雲 K8s 集羣或者本地 IDC 集羣接入 ACK One 註冊集羣后，可以使用 ACK 控制檯統一管理，包括：權限，日誌，監控，事件，告警，成本分析，安全巡檢，安全策略。

K8s 集羣中的微服務治理

微服務引擎 MSE，服務網格 ASM。

雲上彈性

本地 IDC 中的 K8s 集羣彈性擴容阿里雲 ECS 節點池，擴容 Virutal Kubelet ECI 彈性容器實例，應對 IDC 資源不足和突發業務流量。

備份容災

提供雲上備份、恢復、遷移一體化的方案，支持數據和應用的雲容災，全面提升企業的業務連續性。

大數據賦能

混合雲分佈式緩存 Fluid 統一雲下雲上存儲訪問，訪問提升訪問效率 10 倍和減少帶寬佔用 90%。

更重要的是，ACK One 團隊爲以上能力提供完善的售後支持。

2. 註冊集羣架構

2.1 連接鏈路

爲了統一管理 K8s 集羣，您需要爲每個 K8s 集羣創建一個 ACK One 註冊集羣，並在 K8s 集羣中安裝 agent ack-connector 組件，connector 會與註冊集羣建立連接。之後用戶通過ACK控制檯對註冊集羣的操作，會通過 connector 轉發給 K8s 集羣的 API Server，例如：獲取集羣狀態，安裝 ACK 組件等。

2.2 安全保證

爲了保證 K8s 集羣與註冊集羣之間連接的安全，ACK One 註冊集羣設計實現了一系列的安全加固措施。

提供公網和內網專線兩種連接方式：
公網連接簡單並可有效承載控制面連接。內網專線連接具有更高的安全性和穩定性，更低的時延，但同時也意味着更高的成本。您可以根據實際情況選擇。
TLS 加密連接：
每個 Connector 與註冊集羣之間的連接通過獨立的 TLS 證書加密。
SLB 訪問控制：
註冊集羣通過 SLB 暴露連接端點，如果您選擇公網連接，連接端點爲 SLB 公網 IP 地址，這時您可以通過設置 SLB 的訪問控制，限制只有 K8s 集羣的出公網網段可以訪問註冊集羣 SLB 公網連接端點，保證安全性。
RBAC 控制 connector 權限：
註冊集羣通過 connector 連接 K8s 集羣的 API Server，連接使用 connector 的 Service Account，您可以在 K8s 集羣中設置 RBAC 權限以控制 connector 的對 API Server 的操作。
Connector 開源，保證透明性，開源項目地址爲：https://github.com/AliyunContainerService/alibabacloud-ack-connector