生产环境 Kubespray 安装 Kubernetes 集群详解

最新推荐文章于 2025-07-15 18:35:35 发布
最新推荐文章于 2025-07-15 18:35:35 发布
阅读量854 收藏 20
点赞数 29
CC 4.0 BY-SA版权
分类专栏: k8s 文章标签: kubernetes 容器 云原生 kubespray
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csdn_tom_168/article/details/149277105

以下是针对生产环境的 Kubespray 安装 Kubernetes 集群的深度优化指南,涵盖高可用架构、安全加固、性能调优和灾备方案,满足企业级需求。

一、生产环境架构设计

推荐拓扑
外部负载均衡器
Master 1
Master 2
Master 3
etcd集群
Worker Pool
关键组件
组件生产级配置说明
Master节点3节点(跨机架/可用区)避免单点故障
etcd集群3节点独立部署(SSD磁盘,低延迟网络)与Master分离,避免资源争用
负载均衡器HAProxy + Keepalived(Active-Standby)提供虚拟IP(VIP)
Worker节点按业务分池(CPU密集型/GPU/内存优化)资源隔离
网络插件Calico with IPIP/BGP模式支持NetworkPolicy

二、生产环境部署流程

1. 节点准备(所有节点)
# 禁用Swap并优化内核参数
sudo swapoff -a
sudo sed -i '/swap/s/^/#/' /etc/fstab

# 设置sysctl参数
cat <<EOF | sudo tee /etc/sysctl.d/99-k8s.conf
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
vm.swappiness = 0
vm.max_map_count = 262144
EOF
sudo sysctl -p /etc/sysctl.d/99-k8s.conf

# 安装基础工具
sudo apt-get update && sudo apt-get install -y \
    apt-transport-https ca-certificates curl \
    ipvsadm ipset conntrack ntp
2. 负载均衡器配置(HAProxy + Keepalived)

/etc/haproxy/haproxy.cfg

frontend k8s-api
    bind *:6443
    mode tcp
    default_backend k8s-masters

backend k8s-masters
    balance roundrobin
    mode tcp
    server master1 192.168.1.10:6443 check
    server master2 192.168.1.11:6443 check
    server master3 192.168.1.12:6443 check

/etc/keepalived/keepalived.conf

vrrp_script chk_haproxy {
    script "killall -0 haproxy"
    interval 2
}

vrrp_instance VI_1 {
    interface eth0
    state MASTER   # 备节点设为BACKUP
    virtual_router_id 51
    priority 100   # 备节点设为更低值
    virtual_ipaddress {
        192.168.1.100/24
    }
    track_script {
        chk_haproxy
    }
}

三、Kubespray 生产级配置

1. 关键参数优化 (inventory/mycluster/group_vars)

all.yml

# 容器运行时
container_manager: containerd

# 网络插件(Calico生产推荐)
kube_network_plugin: calico
calico_ipip_mode: "CrossSubnet"  # 跨子网用IPIP,同子网用BGP
calico_vxlan_mode: "Never"

# 镜像仓库(私有仓库认证)
gcr_image_repo: "registry.example.com/google_containers"
docker_registry_auths:
  "registry.example.com":
    username: "user"
    password: "pass"

k8s-cluster.yml

# 高可用配置
kubernetes_ha_cluster: true
apiserver_loadbalancer_domain_name: "k8s-api.example.com"
loadbalancer_apiserver:
  address: 192.168.1.100  # VIP地址
  port: 6443

# 资源限制
kubelet_max_pods: 250
kubelet_pods_per_core: 10

# 安全加固
kube_encrypt_secret_data: true  # 加密Secrets
enable_pod_security_policies: true

etcd.yml

# etcd独立集群配置
etcd_deployment_type: host
etcd_data_dir: "/var/lib/etcd"
etcd_disk_priority: high
etcd_compaction_retention: "2"  # 小时为单位

四、安全加固方案

1. 证书管理
# 自定义CA根证书
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -days 3650 -out ca.crt

# Kubespray配置
kube_certificates_custom_ca: true
kube_certificates_ca_crt: "{{ lookup('file', '/path/to/ca.crt') }}"
kube_certificates_ca_key: "{{ lookup('file', '/path/to/ca.key') }}"
2. RBAC与策略
# 启用OPA Gatekeeper
gatekeeper_enabled: true
gatekeeper_version: v3.12.0

# 网络策略示例
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

五、监控与日志

1. 监控栈部署
# 启用Prometheus+Alertmanager
prometheus_enabled: true
alertmanager_enabled: true
grafana_enabled: true

# 关键告警规则
prometheus_alert_rules:
  - name: KubeAPIHighLatency
    expr: histogram_quantile(0.99, sum(rate(apiserver_request_duration_seconds_bucket[5m])) by (le) > 1
2. 日志收集
# EFK日志栈
efk_enabled: true
elasticsearch_data_storage_class: "ssd"
fluentd_logrotate_enabled: true
kibana_ingress_enabled: true

六、灾备与升级

1. 集群备份
# etcd快照备份
ETCDCTL_API=3 etcdctl snapshot save snapshot.db \
  --endpoints=https://etcd1:2379 \
  --cacert=/etc/ssl/etcd/ca.crt \
  --cert=/etc/ssl/etcd/server.crt \
  --key=/etc/ssl/etcd/server.key

# Velero云原生备份
velero install \
  --provider aws \
  --bucket k8s-backup \
  --secret-file ./credentials
2. 滚动升级策略
# 分阶段升级
ansible-playbook upgrade-cluster.yml \
  --limit=workers_first \
  -e kube_version=v1.28.3

ansible-playbook upgrade-cluster.yml \
  --limit=masters \
  -e kube_version=v1.28.3

七、生产验证清单

  1. 高可用测试
    • 模拟Master节点宕机:systemctl stop kubelet
    • 验证API服务连续性:curl -k https://VIP:6443/healthz
  2. 故障恢复
    # 快速恢复etcd节点
ETCDCTL_API=3 etcdctl snapshot restore snapshot.db \
  --data-dir /var/lib/etcd-new
  3. 性能压测
    kubectl apply -f https://k8s.io/examples/application/deployment.yaml
kubectl run stress --image=loadimpact/k6 run -< script.js

八、关键生产建议

  1. 网络隔离
    • 使用Calico的 NetworkSet 隔离敏感Pod
    • 启用 egressGateway 控制出口流量
  2. 资源配额
    apiVersion: v1
kind: ResourceQuota
metadata:
  name: prod-quota
spec:
  hard:
    requests.cpu: "100"
    requests.memory: 200Gi
    limits.cpu: "200"
    limits.memory: 400Gi
  3. 审计日志
    # 启用K8s审计
audit_enabled: true
audit_log_maxbackup: 10
audit_policy_path: "/etc/kubernetes/audit-policy.yaml"

:生产环境部署后,定期执行 kubespray-check 进行集群健康扫描,并建立持续集成流水线管理集群配置变更。

通过以上配置,可构建符合金融级要求的Kubernetes生产环境,满足等保2.0/PCI-DSS等合规标准。

云计算系列之Kubernetes(K8S)集群部署实战解析
sinat_30844883的博客
07-25 1437
Kubernetes用于自动部署、扩缩和管理容器化应用程序的开源系统。 Kubernetes简称为K8S或K8,是业界领先的容器编排解决方案。
Kubernetes架构与组件详解
BXA
05-16 2810
Kubernetes是由Google开源的容器编排系统,用于自动化部署、扩展和管理容器化应用程序的平台。Kubernetes充分利用了云计算和容器化技术,可以大幅简化应用程序的开发、部署和运行过程。Kubernetes是一个分布式系统,它的核心是将容器化的应用程序分配到一组机器上,并管理它们的生命周期,从而可以高效、稳定地运行应用程序。Kubernetes的架构支持将一个容器化的应用程序部署在一个节点上,也支持它跨多个节点和多台机器部署。控制面板组件是 Kubernetes 系统的核心,用于管理整个系统。
kubespray部署k8s 1.26集群指南丨Kubernetes
weixin_47758895的博客
05-05 1471
Kubespray 是一个自由开源的工具,它提供了 Ansible剧本(playbook)来部署和管理 Kubernetes 集群。它旨在简化跨多个节点的 Kubernetes 集群安装过程,允许用户快速轻松地部署和管理生产就绪的 Kubernetes 集群。它支持一系列操作系统,包括 Ubuntu、CentOS、Rocky Linux 和 Red Hat Enterprise Linux(RHEL),它可以在各种平台上部署 Kubernetes,包括裸机、公共云和私有云。
Kubernetes部署篇:使用kubespray工具部署高可用K8S集群方案操作指南》
东城绝神
04-28 4364
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
kubernetes详解
weixin_43812198的博客
12-12 1248
claimName -required- #pvc名称accessModes #访问模型必须是pv访问模型的子集#访问模型帮助文档resources #资源限制。设置存储空间最少多大,例如设置为10G则要找10G以上的pv进行绑定limits #限制使用的最大资源requests #指定请求的资源大小。
KuboardSpray:图形化Kubernetes集群离线部署与维护工具详解
gitblog_00932的博客
06-27 367
KuboardSpray:图形化Kubernetes集群离线部署与维护工具详解 什么是KuboardSpray KuboardSpray是一款基于kubespray的图形化工具,专门用于Kubernetes集群的离线安装和维护。它通过直观的Web界面简化了Kubernetes集群的部署流程,特别适合需要在离线环境中部署K8s集群的用户。 核心特性 图形化操作界面:告别复杂的命令行操作,通过Web...
【一起来学kubernetes】25、Master使用详解
技术人集结地
03-27 1003
Master 节点是 Kubernetes 集群的“指挥中心”,其稳定性和性能直接影响整个集群的可靠性。理解其核心组件、高可用架构及运维要点,是构建和管理生产Kubernetes 集群的关键基础。(控制平面)是集群的“大脑”,负责管理整个集群的状态、调度工作负载、处理 API 请求以及维护系统的核心组件。A: 若多 Master 节点部署,其他节点可接管服务;操作)、启用分页查询、使用缓存(如 Client-go 的 Informer)。A: 检查磁盘 I/O、网络延迟,使用。
【详细教程】Kubernetes集群部署:使用kubeadm创建集群
STRANGEX-03的博客
02-02 2670
根据官方文档,总共有三种使用部署工具安装kubernetes的方式,分别是使用kubeadm 引导集群、使用kOps安装 Kubernetes、使用Kubespray安装 Kubernetes。在本次部署设计中,采用kubeadm引导集群的方式,主要运用了安装kubeadm、对kubeadm进行故障排查、使用kubeadm创建集群。目标是要安装单个控制平面的Kubernetes集群,在集群安装Pod网络,以便Pod可以相互连通。
Kubernetes Service 类型与实例详解
1dea_Cao的博客
05-26 747
Kubernetes 的 Service 是集群内外部通信的核心组件,它通过固定 IP 和负载均衡机制,将动态变化的 Pod 抽象为稳定的服务入口。本文将从 Service 的核心类型、适用场景、企业真实案例 三个维度展开,结合通俗的比喻和代码示例,帮助读者深入理解其设计哲学与实践应用。
使用terraform-vsphere-kubespray在VMware vSphere上部署高可用Kubernetes集群
Kubespray 是一个开源工具,可以用来部署一个生产级的Kubernetes集群。它利用Ansible自动化脚本来部署和配置整个集群,支持多个云平台和虚拟化解决方案。Kubespray 支持高可用性配置,并且其代码库经常更新,使得...
### 容器编排Kubernetes核心技术详解与实践指南:集群管理、资源调度及性能优化
04-28
单机部署用于开发和测试环境,而集群部署则适用于生产环境,支持不同的部署工具,如kubeadm、kops和Kubespray等。这些工具能够简化部署过程,自动化集群的初始化和配置工作。 资源调度是Kubernetes的核心功能之一,...
Kubernetes集群部署参考指南与组件详解
标题和描述中涉及的知识点: 标题“krd:Kubernetes参考部署”意味着本项目是一个关于...通过易于使用的部署脚本和对多种技术的支持,该项目旨在降低部署和管理Kubernetes集群的难度,实现高效且可扩展的容器环境
Kubernetes 集群管理与自动化部署详解:构建可伸缩应用
Kubernetes 集群管理概述 ## 1.1 什么是Kubernetes Kubernetes(常简称为K8s)是一个开源的容器编排引擎,旨在简化容器化应用的部署、扩展和管理。通过Kubernetes,可以轻松地管理容器化应用程序的部署和自动化...
k8s运行应用
qq_36828822的博客
07-14 734
Kubernetes Deployment概述 Deployment是Kubernetes中用于管理Pod副本的核心对象,它比传统的Replication Controller提供了更多高级功能。Deployment通过控制ReplicaSet来确保指定数量的Pod副本运行,并支持滚动更新、版本回滚、状态查看等特性。用户创建Deployment后,系统会自动生成对应的ReplicaSet和Pod,其中ReplicaSet负责维护Pod副本数量,而Deployment则专注于管理更新策略和历史版本。典型的De
容器化改造避坑指南:传统应用迁移K8s的10个关键节点(2025实战复盘)
水务人
07-12 715
2025年企业容器化进程加速,但​​传统应用迁移K8s的失败率仍高达34%​​(Gartner报告)。本文基于50+企业级迁移案例,提炼出贯穿改造全周期的​​10个关键决策点​​,覆盖架构评估、数据持久化、网络拓扑、安全合规等核心维度。通过金融核心系统、工业物联网平台两大实战场景,详解如何规避存储卷丢失、服务雪崩、配置漂移等典型问题,提供可复用的​​风险量化评估模型​​与​​渐进式迁移路径​​,助力企业降低43%迁移成本,提升8倍投产效率。
k8s深度讲解:无限的扩展性 - CRD 与 Operator
weixin_42587823的博客
07-11 973
今天,我们站在了 Kubernetes 这座技术巨塔的顶端,窥见了其设计的终极智慧。我们从etcd的数据一致性出发,见证了Scheduler和Controller的决策之舞,下沉到Kubelet的具体执行,探索了Service的网络魔法,最终,我们学会了如何通过CRD 和 Operator,成为这个生态的创造者。我们深刻地认识到,Kubernetes 不仅仅是一个“容器编排器”,它是一个通用的、声明式的、事件驱动的、可无限扩展的控制平面框架。
十二、k8s工程化管理Helm
不能将运气当成战略!
07-11 810
Helm是K8s的包管理器,类似于Linux上的apt或yum,可以用包的形式工程化管理和部署复杂的k8S应用程序,比如一键安装zookeeper集群、一键部署整个项目等。简化应用部署多环境部署快速迭代和回滚CI/CD集成项目一键启动# 创建一个自定义 Chart:test/├── charts # 依赖文件├── Chart.yaml # 当前chart的基本信息├── templates # 模板位置│ ├── _helpers.tpl # 自定义的模板或者函数。
k8s高级调度02
2401_83683659的博客
07-14 204
nodeAffinity:节点亲和性,用于控制pod部署在哪些节点上,以及不能部署在哪些节点上,这个是pod与node之间匹配规则的。当节点进行升级时,为了避免影响节点上的pod,可使用转移将节点上的pod转移到其他节点,同时会将节点设置为警戒状态。当节点拥有污点时,想让pod部署在污点节点上,可以为pod设置容忍,使其部署到污点节点上。软节点亲和:尽量将pod部署到某个节点,取决于yaml文件中节点的顺序。软pod亲和:尽量将pod部署到亲和pod所在节点,取决于权重。污点属性所有节点都可设置。
k8s之Snapshots 详解
最新发布
woshihlf的博客
07-15 161
Kubernetes中,Volume Snapshots(卷快照) 是一项关键的存储功能,用于创建持久卷(PV)的时间点副本。这一特性通过CSI(容器存储接口) 实现,并引入了一组新的API资源来管理快照生命周期。本文将详细讲解Kubernetes中的Volume Snapshots相关概念、工作原理及使用方法。Kubernetes通过以下CRD(自定义资源定义)管理卷快照:类似于,定义了创建快照的存储后端配置和删除策略。 ② 用户创建的快照请求,指向一个现有的PVC(PersistentVolumeC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值