Linux系统中Kubernetes如何管理

Linux系统中Kubernetes管理指南

一、Kubernetes集群部署（Linux环境）

1. 安装前准备

• 系统要求：选择Ubuntu、CentOS等Linux发行版，每节点需≥2核CPU、≥2GB内存、≥30GB硬盘；所有节点需网络互通，能访问外网拉取镜像。
• 基础配置：关闭防火墙（systemctl stop firewalld && systemctl disable firewalld）、禁用SELinux（sed -i 's/enforcing/disabled/' /etc/selinux/config && setenforce 0）、关闭swap分区（swapoff -a并注释/etc/fstab中的swap行）；设置主机名与IP对应关系（编辑/etc/hosts文件）。
• 安装Docker：Kubernetes依赖Docker作为容器运行时，通过以下命令安装（以Ubuntu为例）：

  sudo apt update && sudo apt install -y apt-transport-https ca-certificates curl software-properties-common
  curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
  sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
  sudo apt update && sudo apt install -y docker-ce
  sudo systemctl enable --now docker
  

2. 安装Kubernetes核心组件

使用kubeadm（官方推荐工具）、kubelet（节点代理）、kubectl（命令行工具）：

sudo apt update && sudo apt install -y apt-transport-https curl
curl -s https://packages.cloud.google.com/apt/doc/apt-key.gpg | sudo apt-key add -
echo "deb https://apt.kubernetes.io/ kubernetes-xenial main" | sudo tee /etc/apt/sources.list.d/kubernetes.list
sudo apt update && sudo apt install -y kubelet kubeadm kubectl
sudo apt-mark hold kubelet kubeadm kubectl  # 锁定版本避免自动升级

3. 初始化Master节点

在Master节点执行初始化命令（以指定Pod网络CIDR为例）：

sudo kubeadm init --pod-network-cidr=10.244.0.0/16 --apiserver-advertise-address=<Master_IP>

初始化完成后，按提示配置kubectl：

mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

4. 加入Worker节点

Master节点初始化后会生成kubeadm join命令（包含token和CA证书哈希），在Worker节点执行该命令即可加入集群：

sudo kubeadm join <Master_IP>:6443 --token <token> --discovery-token-ca-cert-hash sha256:<hash>

5. 部署网络插件

Kubernetes需要网络插件实现Pod间通信，常用Calico（适合生产环境）：

kubectl apply -f https://docs.projectcalico.org/v3.25/manifests/calico.yaml

验证网络插件是否正常：

kubectl get pods -n kube-system  # 查看网络插件Pod是否为Running状态

二、Kubernetes日常管理

1. 集群状态检查

• 查看节点状态（需所有节点显示Ready）：

  kubectl get nodes
  

• 查看集群组件状态：

  kubectl get componentstatuses
  

2. 应用部署与管理

• 部署应用：使用Deployment控制器部署Nginx示例：

  kubectl create deployment nginx --image=nginx:latest
  

• 暴露服务：将Deployment暴露为NodePort类型服务（外部可通过节点IP+端口访问）：

  kubectl expose deployment nginx --port=80 --type=NodePort
  

• 查看资源状态：

  kubectl get pods          # 查看Pod状态
  kubectl get svc           # 查看服务状态
  kubectl describe pod <pod_name>  # 查看Pod详情（排查问题）
  

3. 常用运维命令

• 扩缩容：调整Deployment的副本数（如将Nginx副本从1扩至3）：

  kubectl scale deployment nginx --replicas=3
  

• 删除资源：删除指定资源（如删除Nginx Deployment）：

  kubectl delete deployment nginx
  

• 日志查看：查看Pod日志（如查看Nginx Pod日志）：

  kubectl logs <pod_name>
  

• 进入容器：进入Pod内的容器（如进入Nginx容器）：

  kubectl exec -it <pod_name> -- /bin/bash
  

三、集群监控与日志管理

1. 监控系统（Metrics）

使用Prometheus+Grafana组合监控集群性能：

• 部署Prometheus（通过Operator简化部署）：

  kubectl apply -f https://raw.githubusercontent.com/prometheus-operator/prometheus-operator/master/bundle.yaml
  

• 部署Grafana并配置Prometheus数据源：

  kubectl apply -f https://raw.githubusercontent.com/grafana/grafana/master/deploy/kubernetes/deployment.yaml
  kubectl apply -f https://raw.githubusercontent.com/grafana/grafana/master/deploy/kubernetes/datasource.yaml
  

• 访问Grafana（默认端口3000，账号admin/admin），导入Kubernetes监控Dashboard（如ID：3119）。

2. 日志管理（Logging）

使用**EFK（Elasticsearch+Fluentd+Kibana）**收集和分析日志：

• 部署Elasticsearch：

  kubectl apply -f https://raw.githubusercontent.com/elastic/elasticsearch-operator/master/deploy/deployment.yaml
  

• 部署Fluentd（作为DaemonSet收集节点日志）：

  kubectl apply -f https://raw.githubusercontent.com/fluent/fluentd-kubernetes-daemonset/master/fluentd-daemonset-elasticsearch.yaml
  

• 部署Kibana并配置Elasticsearch索引：

  kubectl apply -f https://raw.githubusercontent.com/elastic/kibana/master/deploy/kubernetes/elasticsearch-kibana.yaml
  

• 访问Kibana（默认端口5601），创建索引模式（如logstash-*）并查看日志。

四、集群安全配置

1. RBAC（基于角色的访问控制）

通过Role和RoleBinding限制用户对资源的访问权限，例如创建pod-reader角色（允许读取default命名空间的Pod）：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: alice  # 用户名（需提前创建）
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

2. 网络策略（NetworkPolicy）

通过NetworkPolicy限制Pod间的通信，例如禁止所有Pod间的入站流量（默认拒绝）：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-all
spec:
  podSelector: {}  # 选择所有Pod
  policyTypes:
  - Ingress  # 仅限制入站流量
  - Egress   # 可选：限制出站流量

五、集群升级与维护

1. 升级Kubernetes版本

使用kubeadm升级集群（以升级到v1.28.0为例）：

sudo kubeadm upgrade plan v1.28.0  # 检查升级兼容性
sudo kubeadm upgrade apply v1.28.0  # 执行升级

升级后需重启kubelet服务：

sudo systemctl restart kubelet

2. 备份与恢复

• 备份etcd（集群数据存储）：使用etcdctl工具备份etcd数据：

  ETCDCTL_API=3 etcdctl --endpoints=https://127.0.0.1:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt --cert=/etc/kubernetes/pki/etcd/server.crt --key=/etc/kubernetes/pki/etcd/server.key snapshot save /opt/etcd-backup.db
  

• 恢复etcd：停止kubelet服务，删除旧数据目录，恢复快照：

  ETCDCTL_API=3 etcdctl --endpoints=https://127.0.0.1:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt --cert=/etc/kubernetes/pki/etcd/server.crt --key=/etc/kubernetes/pki/etcd/server.key snapshot restore /opt/etcd-backup.db --data-dir=/var/lib/etcd-new
  

六、自动化管理工具（可选）

• Ansible：通过Playbook自动化部署Kubernetes集群，减少手动操作：

  git clone https://github.com/kubernetes-sigs/kubespray.git
  cd kubespray
  pip3 install -r requirements.txt
  ansible-playbook -i inventory/mycluster/hosts.yaml cluster.yml
  

• Helm：Kubernetes包管理器，简化应用部署（如部署Nginx Ingress Controller）：

  helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx
  helm repo update
  helm install my-nginx ingress-nginx/ingress-nginx