Debian系统K8s安装最佳实践是什么

时间2025-12-01 10:48:03发布访客分类主机资讯浏览740

导读：Debian 上安装 Kubernetes 的最佳实践一环境与规划使用稳定版本：优先选择 Debian 12（Bookworm），并保持系统与内核为较新稳定版，便于兼容与获得安全修复。资源基线：单节点至少 2 核 CPU、2GB...

Debian 上安装 Kubernetes 的最佳实践

一环境与规划

二系统准备与内核参数

更新系统并安装基础工具：执行 apt update & & apt upgrade -y，安装 apt-transport-https、ca-certificates、curl。
关闭 Swap：执行 swapoff -a，并在 /etc/fstab 中注释或移除 swap 条目，避免 kubelet 异常。
加载内核模块与网络参数：
- 模块：加载 overlay、br_netfilter
- 转发与桥接：开启 net.bridge.bridge-nf-call-iptables=1、net.ipv4.ip_forward=1
容器运行时：安装并启用 containerd，配置 SystemdCgroup = true，确保与 kubelet cgroup 驱动一致。
防火墙放行：如使用 UFW，放行 6443、2379、2380、10250、10251、10252、10255/tcp 等端口；如使用 firewalld/云安全组，做等价的入站放行。

三安装与初始化

安装工具链：添加 Kubernetes APT 源并安装 kubelet、kubeadm、kubectl，完成后执行 apt-mark hold 固定版本，避免被系统升级干扰。
初始化控制面：使用 kubeadm init 初始化集群，常见做法显式指定 –pod-network-cidr（如 10.244.0.0/16），必要时同时指定 –service-cidr（如 10.96.0.0/12）；如在国内环境，可使用 –image-repository registry.aliyuncs.com/google_containers 加速镜像拉取。
配置 kubectl：将 /etc/kubernetes/admin.conf 拷贝至 $HOME/.kube/config 并修正权限，确保本地可管理集群。
安装网络插件：选择 Calico 或 Flannel 等主流 CNI，例如：
- Calico：kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml
- Flannel：kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
加入工作节点：在控制面初始化输出或 kubeadm token create 生成命令，工作节点执行 kubeadm join 加入集群。

四安全加固与运维要点

身份与授权：启用 RBAC，按最小权限原则配置 ServiceAccount、ClusterRole/RoleBinding，为不同团队/应用划分 Namespace。
网络与边界：使用 命名空间 隔离工作负载，结合网络策略（如 Calico NetworkPolicy）限制跨命名空间/Pod 通信。
主机与端口：最小化暴露面，仅开放必要端口；限制对 敏感端口 的访问，定期审计节点安全配置。
审计与合规：启用 API 审计日志，集中采集并告警异常调用。
镜像与组件：优先使用 官方/可信镜像仓库，定期 升级 Kubernetes 与运行时 获取安全修复；为 kubelet 配置合适的 cgroup 驱动与资源预留。

五验证与常见问题

基础检查：
- 查看节点状态：kubectl get nodes
- 查看系统 Pod：kubectl get pods -A
- 查看集群信息：kubectl cluster-info
常见问题速查：
- 节点 NotReady：多因 CNI 未就绪 或 内核参数未生效，检查 CNI 运行状态与 sysctl 配置。
- Pod 无法拉取镜像：检查 image-repository、镜像仓库可达性与镜像名称。
- 工作节点无法加入：确认 token 有效、CA 证书哈希正确、6443/10250 等端口 放行、时间同步正常。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！