Kubernetes实用命令及运维场景操作

最新推荐文章于 2025-12-08 21:38:07 发布
原创 最新推荐文章于 2025-12-08 21:38:07 发布 · 353 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生 #运维

一.常用命令

1.统计deployment & image信息

$ kubectl get deploy -o custom-columns='NAME:.metadata.name,READY:.status.readyReplicas,UP-TO-DATE:.status.updatedReplicas,AVAILABLE:.status.availableReplicas,AGE:.metadata.creationTimestamp,IMAGES:.spec.template.spec.containers[*].image'

输出示例:

NAME                              READY    UP-TO-DATE   AVAILABLE   AGE                    IMAGES
cert-manager                      1        1            1           2025-05-30T07:01:33Z   quay.io/jetstack/cert-manager-controller:v1.17.2
cert-manager-cainjector           1        1            1           2025-05-30T07:01:32Z   quay.io/jetstack/cert-manager-cainjector:v1.17.2
cert-manager-webhook              1        1            1           2025-05-30T07:01:33Z   quay.io/jetstack/cert-manager-webhook:v1.17.2
app-a                             1        1            1           2025-05-30T07:51:37Z   nginx:alpine
app-b                             1        1            1           2025-05-30T07:54:38Z   nginx:alpine
drone-runner                      1        1            1           2025-07-02T04:01:13Z   drone/drone-runner-kube:latest
drone-server                      1        1            1           2025-07-01T09:52:39Z   drone/drone:2.17
ingress-nginx-controller          1        1            1           2025-11-15T08:31:52Z   registry.k8s.io/ingress-nginx/controller:v1.13.4@sha256:4042ae3c512c5d7bcf9682b0fdff96cd7b46a23dcbe15a762349094cd8087be7
coredns                           2        2            2           2025-05-04T16:06:29Z   registry.aliyuncs.com/google_containers/coredns:v1.12.0
metrics-server                    1        1            1           2025-05-15T06:54:04Z   registry.k8s.io/metrics-server/metrics-server:v0.7.2
nfs-subdir-external-provisioner   1        1            1           2025-05-08T12:14:54Z   registry.k8s.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2

2.下线node节点

$ kubectl get node
$ kubectl cordon 10.151.1.32
$ kubectl drain 10.151.1.32 --ignore-daemonsets --delete-emptydir-data
$ kubectl describe node/10.151.1.32
#1.有autoscaler的集群(如AWS EKS、OCI OKE等),可以观察cluster-autoscaler日志,等待节点自动下线
$ kubectl logs -f cluster-autoscaler-558b9bc664-d8929  -n kube-system
#2.自己管理的集群可以手动删除
$ kubectl delete node/10.151.1.32

3.修改deployment资源占用

$ kubectl patch deployment app-a --type='json'  -p='[{"op": "replace", "path": "/spec/template/spec/containers/0/resources/requests/cpu", "value": "125m"},{"op": "replace", "path": "/spec/template/spec/containers/0/resources/requests/memory", "value": "256Mi"} ]'

4.临时删除/启动pod

$ kubectl scale deployments/app-a --replicas=0
$ kubectl scale deployments/app-a --replicas=1

5.查看pod的实际cpu和内存占用示例

#查看request和limit数值
$ kubectl get pod app-a-776f8bb486-zxhk4  -o jsonpath="{.spec.containers[*].resources}"

输出示例:

{"limits":{"cpu":"2","memory":"2Gi"},"requests":{"cpu":"250m","memory":"512Mi"}}

#查看实际占用
$ kubectl top pod

输出示例:

NAME                        CPU(cores)   MEMORY(bytes)   
app-a-776f8bb486-zxhk4      0m           5Mi             
app-b-6c6878fc5b-tbz5d      0m           2Mi             
cm-acme-http-solver-247nx   1m           2Mi             
cm-acme-http-solver-rcnbr   1m           2Mi

6.开启debug模式

$ kubectl debug -it app-a-776f8bb486-zxhk4  --image=nicolaka/netshoot

输出示例:

--profile=legacy is deprecated and will be removed in the future. It is recommended to explicitly specify a profile, for example "--profile=general".
Defaulting debug container name to debugger-dxhp7.
If you don't see a command prompt, try pressing enter.
                    dP            dP                           dP   
                    88            88                           88   
88d888b. .d8888b. d8888P .d8888b. 88d888b. .d8888b. .d8888b. d8888P 
88'  `88 88ooood8   88   Y8ooooo. 88'  `88 88'  `88 88'  `88   88   
88    88 88.  ...   88         88 88    88 88.  .88 88.  .88   88   
dP    dP `88888P'   dP   `88888P' dP    dP `88888P' `88888P'   dP   
                                                                    
Welcome to Netshoot! (github.com/nicolaka/netshoot)
Version: 0.14

 app-a-776f8bb486-zxhk4 > ~ >

7.查看集群信息

$ kubectl cluster-info
$ kubectl version
$ kubectl api-resources
$ kubectl api-versions

8.查看日志

#查看pod日志
$ kubectl logs <pod> -n <ns> -f
$ kubectl logs <pod> -n <ns> --tail=200
#查看特定容器日志
$ kubectl logs <pod> -c <container> -n <ns> -f
#查看event日志
$ kubectl get events -A --sort-by=.metadata.creationTimestamp

二.运维场景操作

1.Pod中临时阻断某些IP的tcp链接

先在Pod中测试网络连通性(网络可达):

$ kubectl exec -it app-a-645cb9b896-mxpx2 -n ns-01 -- /bin/sh
/ # nc -vz 204.75.143.83 443
204.75.143.83 (204.75.143.83:443) open
/ # nc -vz 52.18.223.17 443
52.18.223.17 (52.18.223.17:443) open
/ # nc -vz 34.250.86.73 443
34.250.86.73 (34.250.86.73:443) open
  1. 找到Pod的容器ID和Pod运行的Node节点:
$ kubectl get pod app-a-645cb9b896-mxpx2 -n ns-01 -o jsonpath='{.status.containerStatuses[0].containerID}' | cut -d '/' -f 3
$ kubectl get pod -n ns-01 app-a-645cb9b896-mxpx2 -o wide
  1. ssh到node节点上:
$ ssh -i ~/key/my-demo-k8s.pem demo@xxxxxx
  1. 找到容器的PID:
$ crictl inspect -o go-template --template '{{.info.pid}}' [第一步查询到的containerID]
  1. 在node节点上进入容器的网络命名空间:
$ nsenter -t [第3步查询到的PID] -n
  1. 在网络命名空间添加iptables规则:
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination               

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

# iptables -A OUTPUT -d 34.250.86.73 -j DROP
# iptables -A OUTPUT -d 52.18.223.17 -j DROP
# iptables -A OUTPUT -d 204.75.143.83 -j DROP
# iptables -A INPUT -s 34.250.86.73 -j DROP
# iptables -A INPUT -s 52.18.223.17 -j DROP
# iptables -A INPUT -s 204.75.143.83 -j DROP

再次在Pod中测试网络连通性(没有响应,网络阻断):

$ kubectl exec -it app-a-645cb9b896-mxpx2 -n ns-01 -- /bin/sh
/ # nc -vz 204.75.143.83 443
/ # nc -vz 52.18.223.17 443
/ # nc -vz 34.250.86.73 443
  1. 在node节点上进入容器的网络命名空间,恢复对iptables的操作:
# iptables -L
# iptables -D OUTPUT -d 34.250.86.73 -j DROP
# iptables -D OUTPUT -d 52.18.223.17 -j DROP
# iptables -D OUTPUT -d 204.75.143.83 -j DROP
# iptables -D INPUT -s 34.250.86.73 -j DROP
# iptables -D INPUT -s 52.18.223.17 -j DROP
# iptables -D INPUT -s 204.75.143.83 -j DROP
# iptables -L

最后在Pod中测试网络连通性(网络再次可达):

$ kubectl exec -it app-a-645cb9b896-mxpx2 -n ns-01 -- /bin/sh
/ # nc -vz 204.75.143.83 443
204.75.143.83 (204.75.143.83:443) open
/ # nc -vz 52.18.223.17 443
52.18.223.17 (52.18.223.17:443) open
/ # nc -vz 34.250.86.73 443
34.250.86.73 (34.250.86.73:443) open

2.只有指定的Deployment可以操作某些资源

以AWS EKS为示例,要求有且只有某个业务的容器能创建AWS KMS:

  1. 手动创建iam policy:demo-kms-service-policy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateKeyWithTag",
            "Effect": "Allow",
            "Action": [
                "kms:TagResource",
                "kms:CreateKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CreatedBy": "app-a-service"
                }
            }
        },
        {
            "Sid": "AllowUseKeysWithAliasPrefix",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GetPublicKey",
                "kms:PutKeyPolicy",
                "kms:GetKeyPolicy",
                "kms:ListResourceTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "app-a-service"
                }
            }
        }
    ]
}
  1. demo-kms-service-policy挂载到新建的iam role:demo-kms-service-role 并且role的信任关系如下:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::xxxxxx:oidc-provider/oidc.eks.ap-xxxxxx-1.amazonaws.com/id/xxxxxx"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "oidc.eks.ap-xxxxxx-1.amazonaws.com/id/xxxxxx:sub": [
                        "system:serviceaccount:default:app-a-service-account",
                        "system:serviceaccount:ns-01:app-a-service-account"
                    ]
                }
            }
        }
    ]
}
  1. 新建service account : app-a-service-account 并挂载到app-a-service的deployment中:
apiVersion: v1
kind: ServiceAccount
metadata:
  name: app-a-service-account
  namespace: default
  annotations:
    eks.amazonaws.com/role-arn: arn:aws:iam::xxxxxx:role/demo-kms-service-role
  1. 部署deployment后,确定身份是否为IRSA使用的Role,而不是node节点上的role
$ cd /test/serviceaccount-selfcontrol-test
$ kubectl exec -it testonly-8479f77456-czqzf -- /bin/sh
sh-4.2# aws sts get-caller-identity
{
    "UserId": "AROATBWVUZE5YGR25Y2HV:botocore-session-1753154494",
    "Account": "xxxxxx",
    "Arn": "arn:aws:sts::xxxxxx:assumed-role/demo-kms-service-role/botocore-session-1753154494"
}

以上输出说明配置已经成功;然后执行如下操作,验证一下iam policy中的tag限制:

#测试创建不带tag的key,失败,符合预期
$ aws kms create-key --key-spec ECC_SECG_P256K1 --key-usage SIGN_VERIFY --output json

An error occurred (AccessDeniedException) when calling the CreateKey operation: User: arn:aws:sts::xxxxxx:assumed-role/demo-kms-service-role/botocore-session-1753157237 is not authorized to perform: kms:CreateKey on resource: * because no identity-based policy allows the kms:CreateKey action
#测试创建带tag的key,成功,符合预期
$ aws kms create-key --key-spec ECC_SECG_P256K1 --key-usage SIGN_VERIFY --tags TagKey=CreatedBy,TagValue=app-a-service --output json
{
    "KeyMetadata": {
        "AWSAccountId": "xxxxxx",
        "KeyId": "b00e5ea1-b053-4427-ba4e-48d0d6445144",
        "Arn": "arn:aws:kms:ap-xxxxxx-1:xxxxxx:key/b00e5ea1-b053-4427-ba4e-48d0d6445144",
        "CreationDate": "2025-07-22T03:33:15.278000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "SIGN_VERIFY",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_SECG_P256K1",
        "KeySpec": "ECC_SECG_P256K1",
        "SigningAlgorithms": [
            "ECDSA_SHA_256"
        ],
        "MultiRegion": false
    }
}
Kubernetes 高频命令运维实操手册,值得收藏!
wjianwei666的专栏
11-12 58
本文总结了常用的Kubernetes操作命令,涵盖Pod查看、容器调试、资源管理、配置变更等核心运维场景。主要内容包括:1)Pod日志查看和容器调试命令;2)资源扩缩容与滚动更新操作;3)配置管理与备份导出;4)节点维护与监控;5)标签操作与事件排查;6)实用组合技和效率技巧。文章还提供了命令别名设置和自动补全配置建议,强调生产环境操作前需确认命名空间,并推荐优先使用events、logs和describe排查问题。这些命令可覆盖90%日常运维需求,是Kubernetes管理的高效参考指南。
云原生运维】基于Kubernetes的故障排查与安全防护:集群多层级错误诊断及实时监控系统设计
08-29
使用场景及目标:①快速诊断和修复Pod崩溃、节点资源耗尽、集群控制平面异常等问题;②掌握kubectl等工具在故障排查中的实际应用;③建立基于监控、审计与准入控制的预防性运维体系,提升系统稳定性与安全性; 阅读...
2024三掌柜赠书活动第二十七期:Kubernetes企业级云原生运维实战
全沾软贱开发攻城狮
09-01 1万+
然而,由于Kubernetes功能丰富且复杂,涉及到操作系统、网络、存储、调度、分布式等各个方面的知识,这使得许多初学者在面对Kubernetes时,要么知识储备不足,要么杂乱无章,不知从何下手的困扰,很难真正地“掌握”这门主流技术!国内早一批K8s布道者;本书将深入浅出地解读Kubernetes的方方面面,从基础概念到实际应用,再到项目案例,从简单操作到复杂场景,一步步引导您进入Kubernetes的世界,从而获得在真实场景中解决问题的能力,成为Kubernetes领域的专业人才。
Kubernetes实用命令总结
专注网络安全、Linux、K8s等技术分享,愿你在云计算运维领域不断进阶,欢迎随时交流。
05-12 359
Kubernetes实用命令总结
Kubernetes 核心命令速查手册:运维与开发必备
小刘运维
07-22 417
本文整理了Kubernetes集群运维实用命令集锦,涵盖8大核心场景:1)集群基础信息查看;2)Pod生命周期管理;3)服务与网络配置;4)存储与配置管理;5)故障排查方法;6)性能监控优化;7)高级运维技巧;8)命令行效率工具。重点包括节点状态查询、Pod调试、日志分析、网络连通性测试、资源监控等高频操作,并提供了批量处理、安全审计、集群维护等进阶技巧。每个命令均标注适用场景,可作为K8s运维的速查手册,帮助管理员快速定位和解决集群问题。
Kubernetes 运维指南:kubectl 命令全解析
kirito0000的博客
10-12 1025
本文系统整理了kubectl的常用命令和参数说明,涵盖集群管理、应用部署、服务发布、故障排查等核心场景。通过清晰的分类和实用的示例,帮助读者快速掌握这一重要工具,提升Kubernetes集群的管理效率。无论您是初学者还是有一定经验的用户,都能从本文中找到实用操作指南,为云原生之旅奠定坚实的基础。kubectl是 Kubernetes 的中枢工具,它不直接"干活",而是将命令转换成 API 调用。
运维开发.Kubernetes探针与应用
jclee95的个人博客
05-31 1226
探针让Kubernetes具备了更好的自我修复和自我调节能力,是提高应用整体可靠性不可或缺的利器。本文将详细介绍Kubernetes中探针的原理和用法。。
Kubernetes企业级云原生运维实战指南【文末送书】
一键难忘的博客
08-29 6296
随着云计算技术的飞速发展,云原生技术已成为现代软件开发和运维的重要趋势。作为云原生技术的核心组件之一,Kubernetes(简称K8s)凭借其强大的容器编排能力,在企业级应用中发挥着越来越重要的作用。本文将深入探讨Kubernetes在企业级云原生运维中的实战应用,包括集群部署、监控、故障排查、性能优化等方面,旨在帮助读者更好地理解和应用这一技术。
Kubernetes运维必备:让kubectl效率提升10倍的实用技巧
先做,然后做对,最后做得更好。学习就是为了自由呀,当你学会了怎么学习,想要学什么就学什么,需要什么就学什么,你就自由了。
09-27 1209
这篇文章分享了提升kubectl使用效率的实用技巧,包括设置简洁别名(k=kubectl)、精选组合别名(kg="k get")、编写实用函数批量管理节点污点和查找pod,以及针对大规模集群的节点组管理方法。文章还介绍了输出格式化工具、sops加密快捷方式和典型工作场景应用,帮助运维人员显著提升Kubernetes日常操作效率。这些技巧经过生产环境验证,可减少重复输入,简化复杂操作
AIGC时代Kubernetes企业级云原生运维实战:智能重构与深度实践指南
热门推荐
程序边界
04-04 1万+
本书是一本实用性很强的Kubernetes运维实战指南,旨在为容器云平台的建设、应用和运维过程提供全面的指导。作者结合丰富的生产环境经验,深入探讨作为一名Kubernetes工程师必备的核心技能,包括部署、存储、网络、安全、日志、监控、CI/CD等方面的技术。本书结合大量的实际案例,深入解析各个知识点,帮助读者更轻松地理解Kubernetes,并掌握在真实应用场景中的使用方法、技巧以及工作原理。
100个k8s高效命令全掌握,让你成为k8s运维大神!
qq_24442273的博客
11-14 1292
98 .:应用自定义资源定义(CRD)文件,创建新的资源类型。99 .:列出所有已定义的自定义资源。100 .:查看特定自定义资源的实例列表,其中是CRD定义中的plural字段值。
Kubernetes实用插件和工具介绍.docx
08-12
以上介绍的插件和工具,都是在Kubernetes集群操作和管理中非常实用的辅助工具。它们能够大幅度简化日常的运维工作,提高工作效率。这些工具的出现,很大程度上得益于Kubernetes社区的活跃和贡献,也反映了Kubernetes...
Kubernetes集群自动化运维:实现CI_CD集成与自动化部署的终极指南
![Kubernetes集群自动化运维:实现CI_CD集成与自动化部署的终极指南]...本文深入探讨了Kubernetes集群的管理与自动化运维高级技巧。第一章为集群基础概述,为后续章节奠定了基础。第二章详细分析了Kubernetes集群中CI/
算力自由:用K8s和Ollama打造你的专属AI基础设施
本人任职于安超云技术架构部,拥有十余年云计算与AI经验。专注AI基础设施、分布式集群、高可用架构、虚拟化、存储、网络及数据库等领域。博客内容以学习笔记为主,力求准确,但个人能力所限,难免疏误。非常欢迎交流指正,期待与您共同探讨技术
12-05 1291
本文详细介绍了在Ubuntu系统上安装NVIDIA显卡驱动、Kubernetes/KubeSphere集群以及GPU Operator的完整流程。主要内容包括:1) 环境准备步骤,如删除旧驱动、禁用开源驱动;2) 通过官方驱动安装及验证方法;3) 使用KubeKey工具部署Kubernetes(1.28.12/1.30.10)和KubeSphere(3.4.1/4.1.3)集群;4) GPU Operator安装前提条件检查及代理配置。文章提供了详细的命令操作指南和版本兼容性说明,适用于需要在Kubern
K8S-daemonset控制器
Empty_777的博客
12-03 544
摘要:DaemonSet是Kubernetes控制器,确保集群每个节点运行指定Pod副本,适用于存储、日志收集和监控等场景。与Deployment不同,它每个节点只运行一个副本。资源清单文件包含apiVersion、kind、metadata和spec等字段,spec定义模板、更新策略等。案例展示如何创建运行nginx的DaemonSet,通过selector匹配Pod标签,template定义Pod配置。DaemonSet自动管理Pod生命周期,随节点增减而调整。
Kubespray在线部署K8s
最新发布
会飞的小蛮猪博客
12-08 314
各种部署k8s方式,都去尝试下,目前相对都是比较简单的基础部署,高级参数好需要各位自己持续研究,最终还是看公司用啥
k8s的cicd流水线环境搭建实验(docker版)
m0_66372733的博客
12-03 806
k8s环境规划:podSubnet(pod 网段) 10.20.0.0/16serviceSubnet(service 网段): 10.10.0.0/16实验环境规划:操作系统:Ubuntu 20.04.3配置: 4G 内存/2核CPU/120G 硬盘网络: NAT。
在线安装 Kubernetes(k8s)集群和开源版KubeSphere
lmzf2011的专栏
12-03 497
【代码】在线安装 Kubernetes(k8s)集群和开源版KubeSphere。
云原生 APM 实战:Prometheus Operator+K8s 构建容器化微服务监控体系
m0_72256543的博客
12-04 702
进入 Grafana → Dashboards → New dashboard → Add visualization;配置关联图表:图表 1:订单服务 Pod CPU 使用率与接口响应时间(双 Y 轴图)左 Y 轴(蓝色):Pod CPU 使用率(指标:sum(rate(container_cpu_usage_seconds_total{namespace="order-namespace",pod=~"order-service-.*"}[5m])) by (pod));
Kubernetes核心API与kubectl操作实战指南
本文围绕“K8s攻克攻略[源码]”这一主题,深入剖析了Kubernetes中的核心API对象及其实际操作方法,涵盖Namespace、Pod、ReplicaSet、Deployment等关键资源类型,并结合kubectl命令行工具的实际使用场景,系统性地...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炸裂狸花猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值