centos安装k8s注意事项

CentOS 安装 Kubernetes 注意事项

一 系统与版本兼容

• 操作系统建议选择 CentOS 7.6+ 或 CentOS 8.x，内核至少 3.10；更早的 7.5 及以下版本通常不被新版本 Kubernetes 支持。规划时同步确认 kubeadm/kubelet/kubectl 与 Kubernetes 版本一致，避免跨大版本混用。容器运行时可选 Docker、containerd、CRI-O，务必与所选 Kubernetes 版本匹配。网络插件（如 Calico、Flannel、Cilium）也有版本适配要求，部署前核对官方清单版本说明。

二 基础环境与安全基线

• 主机与网络：为所有节点配置 静态 IP，完成 主机名/IP 映射（/etc/hosts），并确保节点间网络互通。时间同步建议使用 NTP/chrony，避免因时间漂移导致证书校验或组件异常。
• 防火墙与端口：不建议直接粗暴关闭防火墙，生产环境应 按需开放端口（如 6443 kube-apiserver、10250 kubelet、10251 kube-scheduler 等），使用 firewalld/iptables 精准放行，减少攻击面。
• SELinux：测试环境可临时 setenforce 0 简化排障；生产环境建议保留 SELinux 并配置策略 以允许 Kubernetes 正常运行，而非长期禁用。
• 交换分区：Kubernetes 要求禁用 Swap，执行 swapoff -a 并在 /etc/fstab 注释 swap 行，防止 kubelet 异常。

三 内核与容器运行时配置

• 内核参数：开启桥接流量转发与 IPv4 转发，创建文件 /etc/sysctl.d/k8s.conf，内容示例： net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.ipv4.ip_forward = 1 执行 sysctl --system 使配置生效。
• cgroup 驱动一致性：确保 kubelet 的 cgroup driver 与容器运行时（如 Docker/containerd）配置一致，避免因驱动不一致导致 Pod 无法启动 或 kubelet 反复重启。
• Docker 存储驱动：如使用 Docker，建议配置 overlay2 存储驱动（编辑 /etc/docker/daemon.json 设置 “storage-driver”: “overlay2”），并重启 Docker 服务。

四 初始化与网络插件部署

• kubeadm 初始化：在 Master 节点执行 kubeadm init，显式指定 –kubernetes-version 与 –pod-network-cidr（如 10.244.0.0/16），并记录生成的 join 命令 用于添加 Worker 节点。完成后按提示配置 kubectl（拷贝 admin.conf 至 $HOME/.kube/config）。
• 网络插件：集群初始化后需尽快部署 CNI 网络插件，否则节点无法进入 Ready。常见选择：
  • Calico：适合中大规模与网络策略场景，支持自定义 Pod CIDR 与网卡绑定（如 IP_AUTODETECTION_METHOD）。
  • Flannel：轻量易用，默认 VXLAN，同网段可切换 Host-GW 提升性能。
  • Cilium：基于 eBPF，性能与可观测性强，建议 内核 ≥ 5.4 并按需调整 rp_filter 等内核参数。 部署后通过 kubectl get nodes 与 kubectl get pods -n kube-system/calico-system/flannel 等确认状态与连通性。

五 高可用、运维与故障排查

• 高可用：多 Master 场景部署 etcd 集群 与 负载均衡（如 Nginx/HAProxy）对外暴露 API Server 6443，避免单点故障。
• 备份与恢复：定期 etcd 数据备份（快照/导出），并备份关键 Kubernetes 资源清单 与 证书，确保可快速恢复。
• 升级与维护：采用 滚动升级 策略升级 kubelet/kubeadm/kubectl 与网络插件版本，先在测试环境验证，再滚动发布到生产。
• 监控与日志：部署 Prometheus + Grafana 监控集群与应用指标，使用 ELK/EFK 集中管理日志；为关键业务配置 Liveness/Readiness 探针提升可用性。
• 安全加固：启用 RBAC 最小权限、按需配置 NetworkPolicy 实现命名空间与服务间隔离，使用 Cert-Manager 管理证书生命周期，镜像使用 私有仓库 + ImagePullSecret。
• 故障排查常用命令：journalctl -u kubelet -f 查看 kubelet 日志，kubectl logs -n 查看组件日志，kubectl describe node/ 获取事件与状态详情。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！