Kubernetes Engine 常见问题解答

常见问题

什么是 OCI Kubernetes Engine (OKE)？

Oracle Cloud Infrastructure Kubernetes Engine (OKE) 是一个托管式 Kubernetes 服务，可简化大规模容器化工作负载的开发、部署和操作。OKE 支持您快速创建、管理和使用 Kubernetes 集群，以充分利用底层 OCI 计算、网络和存储服务。

在哪些情况下应当使用 OKE？

当您想要使用 Kubernetes 部署和管理基于 Kubernetes 的容器应用时，您需要使用 OKE。OKE 既可支持标准上游 Kubernetes 的生产级容器编排功能，还能提供 Oracle Cloud Infrastructure 出色的控制力、安全性和高度可预测的优异性能。

OKE 在哪些区域中可用？

OKE 在所有区域均受支持，详见区域和可用性域。

OKE 符合哪些标准和法规？

OKE 符合许多行业标准和法规，包括但不限于 FedRAMP High、ISO/IEC 27001、PCI DSS 和 SOC1/2/3。有关更多信息，请参阅基础设施合规性页面。

我是否需要管理 OKE 集群的控制层？

不需要。在您使用 OKE 创建 Kubernetes 集群时，该服务都会自动创建高可用性 Kubernetes 控制层。该服务也能够在没有中断的情况下，无缝处理与控制层有关的持续性管理任务（例如 Kubernetes 版本升级）。

OKE 是否获得 Kubernetes 认证？

是的，OKE 发布的所有 Kubernetes 版本都通过了云原生计算基金会 (CNCF) 一致性认证计划的认证。

OKE 如何提供弹性？

在您创建 OKE 集群时，OKE 会自动创建和管理分布在容错域和可用性域（逻辑数据中心）的多个 Kubernetes 控制层节点，以确保托管 Kubernetes 控制层具有高可用性。控制层操作（例如升级到较新版本的 Kubernetes）可在没有服务中断的情况下执行。此外，预配 worker 节点时，您可以使用放置配置，控制相关的容错域和可用性域。这些节点将自动上线并带有标签，您可以使用标签来安排工作负载，以确保其稳健且具备高可用性。

OKE 是否支持 Kubernetes 基于角色的访问控制 (RBAC)？

OKE 集群支持 Kubernetes 基于角色的访问控制。此外，托管型 Kubernetes 还与 Oracle Identity and Access Management (IAM) 服务集成，为用户提供强有力的集群访问控制。

是否可以将 Kubernetes 集群部署到现有的 Virtual Cloud Network (VCN) 中？

您可以将托管型 Kubernetes 集群部署到现有 VCN 中，更加强有力地控制底层子网和安全列表的使用。

是否可以部署专有 Kubernetes 集群？

OKE 可以将您的 Kubernetes 集群集成到 VCN 中。您的集群工作节点、负载均衡器和 Kubernetes API 端点是 VCN 的专有或公共子网的一部分。常规 VCN 路由和防火墙规则将控制对 Kubernetes API 端点的访问，并且只能从公司网络，通过堡垒主机或特定平台服务进行访问。

什么是增强集群和基本集群？

使用 Kubernetes Engine 创建新集群时，您必须将集群类型指定为下列其中一种类型：

• 增强集群 — 增强集群支持所有可用功能，详见增强集群。
• 基本集群 — 基本集群支持 Kubernetes 和 OKE 提供的所有核心功能，但不支持 OKE 提供的任何增强功能，详见基本集群。

如果您愿意承担更多 OKE 集群管理责任，并且不需要增强 OKE 集群提供的高级功能，您适合使用基本集群。如果将来需要更高级的管理功能，您可以轻松切换到增强 OKE 集群。

OKE 是如何定价的？

OKE 的收费按每集群每小时 0.10 美元计算，具备 SLA 支持。此外，我们也将根据您通过 OKE 创建的 OCI 服务（计算、存储、网络等类型的基础设施资源）收费。

当您为 worker 节点选择虚拟节点时，我们将根据节点的运行时使用情况，每节点额外收取每小时 0.015 美元的费用。

Worker 节点

是否可以在裸金属节点上部署 Kubernetes 集群？

您可以在裸金属节点上部署托管型 Kubernetes 集群，还可以创建具有裸金属和虚拟机的集群，然后据此定位 Kubernetes 工作负载。

我对 Worker 节点拥有什么级别的访问权限？

设置了 OKE 集群后，您可以为托管和自托管节点分配一个公共/专用 SSH 密钥对。然后，您可以使用 SSH 密钥对来访问您的 Worker 节点。但请注意，OKE 虚拟节点完全由 OKE 管理，无法通过 SSH 密钥对访问。

可以在一个集群中设置多种类型的节点吗？

您可以在一个 OKE 集群中同时设置托管节点和自托管节点。但是，OKE 集群不支持虚拟节点与其它类型的节点共存。

虚拟节点、托管节点和自托管节点分别适用于哪些场景？

• 虚拟节点
  虚拟节点可提供无服务器 Kubernetes 体验。如果您更想要专注于应用，不想要管理底层基础设施，则此选项将会是您理想的选择。虚拟节点可减轻您的管理负担，例如扩展、升级、修补、故障排除和配置 Worker 节点。
• 托管节点
  对于通用工作负载来说，托管节点是一个不错的选择。该节点提供了经过 OKE 服务测试的大量可定制配置选项。与完全托管的虚拟节点不同，您可以与 OCI 共享 worker 节点的管理责任。OKE 通过按需循环及其他功能来简化管理流程，自动执行 worker 节点更新、在故障检测时进行集群自我修复、自动缩放等。
• 自托管节点
  自托管节点支持您访问在使用托管节点时无法访问的底层基础设施、配置选项和计算配置，这包括访问专用基础设施，例如支持 RDMA 的裸金属集群网络或机密计算配置。这种高级控制使自托管节点成为了托管节点不支持的专用使用场景的理想选择。请注意，对于自托管节点，您将全权负责管理 worker 节点，并且不具备托管节点或虚拟节点提供的自动化功能。

虚拟节点有哪些存储选项？

OKE 虚拟节点尚未有持久性存储功能。但是，Oracle 计划在未来支持添加由 OCI Block Storage 和 OCI File Storage 支持的持久化存储卷。如果 Kubernetes 应用需要持久性存储，建议使用 OKE 托管节点。

虚拟节点支持哪些计算配置？

虚拟节点与 E3、E4 和 A1 计算配置兼容，并且会定期新配置。如果虚拟节点尚未提供可满足您的工作负载要求的配置，您可以使用托管节点。

附加组件

生命周期管理方面有哪些自带附加组件的可用软件包？

附加组件可使用以下软件包进行生命周期管理。Oracle 会定期添加新的软件包。

• CoreDNS
• Kube-proxy
• Flannel CNI 插件
• OCI VCN-Native Pod Networking CNI 插件
• Kubernetes Dashboard
• OCI Operator for Kubernetes
• Oracle WebLogic Kubernetes Operator
• 认证管理器
• Kubernetes Cluster Autoscaler
• Istio
• Kubernetes Metrics Server