阿里云部署
阿里云侧 root module 位于 aliyun/,负责创建 VPC、交换机、ECS、安全组、L4 负载均衡和可选 VPN 资源。
执行顺序
make aliyun-init
make aliyun-plan
make aliyun-apply
make aliyun-output
不要跳过 plan 直接 apply。make aliyun-plan 会先格式化和校验,再生成本次 apply 使用的 tfplan。
关键输入
| 变量 | 默认/建议 | 说明 |
|---|---|---|
region | cn-guangzhou | 阿里云地域 |
zone_id | 按账号库存选择 | ECS、VSwitch、SLB 所在可用区 |
vpc_cidr | 10.1.0.0/16 | 阿里云侧 VPC 网段 |
vswitch_cidr | 10.1.1.0/24 | 节点所在交换机网段 |
pod_cidr | 172.16.0.0/16 | kubeadm/Cilium 使用的 Pod 网段 |
service_cidr | 10.96.0.0/16 | Kubernetes Service 网段 |
master_count / worker_count | 测试建议 1/1 | 变量默认更偏扩展场景,低成本测试可收缩 |
enable_vpn_gateway | false | 低成本路线默认关闭托管 VPN |
wireguard_port | 51820 | 节点 underlay UDP 端口 |
输出用途
make aliyun-output 会生成阿里云侧 Terraform outputs,后续脚本会读取它们来渲染:
- kubeadm 配置。
- Cilium Helm values。
- WireGuard 节点连接信息。
这些输出属于运行产物,只能本地使用,不应该提交或发布。
常见失败点
| 现象 | 优先检查 |
|---|---|
| 找不到实例规格 | 可用区库存、实例规格、抢占式策略 |
| SSH 不通 | admin_cidrs、安全组、默认用户、公钥路径 |
| LB 监听不通 | NodePort 32379、安全组来源、后端节点状态 |
| VPN 相关报错 | 是否真的启用了托管 VPN,以及对端公网 IP 是否已知 |
阿里云侧验收
- 云控制台能看到 VPC、交换机、ECS、安全组和负载均衡。
make aliyun-output能生成本地 JSON 输出。- 节点公网 SSH 可达,后续可以进入 WireGuard 和 kubeadm 阶段。