容器云部署運(yùn)維手冊容器云部署運(yùn)維手冊

一、概述

本手冊旨在為容器云的部署和運(yùn)維提供系統(tǒng)性的指導(dǎo)，涵蓋從環(huán)境準(zhǔn)備到日常管理的全過程。通過遵循本手冊的步驟和規(guī)范，可以確保容器云環(huán)境的高效、穩(wěn)定運(yùn)行。主要內(nèi)容包括環(huán)境準(zhǔn)備、部署流程、運(yùn)維管理、故障排查等核心環(huán)節(jié)。本手冊適用于系統(tǒng)管理員、運(yùn)維工程師及相關(guān)技術(shù)人員，可作為日常工作的參考依據(jù)。

---

二、環(huán)境準(zhǔn)備

在開始容器云部署前，需要完成以下準(zhǔn)備工作，確?；A(chǔ)環(huán)境滿足要求。

（一）硬件資源準(zhǔn)備

1.服務(wù)器配置

-CPU：建議8核以上，根據(jù)實(shí)際負(fù)載需求調(diào)整

-內(nèi)存：建議32GB以上，最小16GB

-硬盤：SSD硬盤優(yōu)先，建議500GB以上可用空間

-網(wǎng)絡(luò)帶寬：千兆以太網(wǎng)或更高

2.網(wǎng)絡(luò)規(guī)劃

-物理網(wǎng)絡(luò)：配置至少兩個網(wǎng)絡(luò)接口，分別用于管理流量和數(shù)據(jù)流量

-VLAN規(guī)劃：建議劃分至少三個VLAN（管理、核心、存儲）

-子網(wǎng)規(guī)劃：預(yù)留足夠的IP地址空間

（二）軟件環(huán)境準(zhǔn)備

1.操作系統(tǒng)要求

-推薦使用CentOS7.x或Ubuntu18.04/20.04

-必須為服務(wù)器啟用虛擬化支持（VT-x/AMD-V）

2.依賴軟件安裝

-Docker：建議版本19.03及以上

-Kubernetes：建議版本1.20及以上

-CNI網(wǎng)絡(luò)插件：如Calico或Flannel

-etcd：Kubernetes集群存儲

3.安全配置

-關(guān)閉防火墻非必要端口

-配置SSH密鑰認(rèn)證，禁用root遠(yuǎn)程登錄

-啟用SELinux或AppArmor安全模塊

---

三、部署流程

（一）單節(jié)點(diǎn)部署

1.安裝Docker

更新系統(tǒng)

sudoapt-getupdate&&sudoapt-getupgrade

安裝必要依賴

sudoapt-getinstall-yapt-transport-httpsca-certificatescurlgnupg2software-properties-common

添加Docker官方倉庫

curl-fsSL/linux/ubuntu/gpg|sudoapt-keyadd-

安裝DockerEngine

sudoapt-getinstall-ydocker-cedocker-ce-clicontainerd.io

驗(yàn)證安裝

sudodocker--version

2.安裝Kubernetes組件

添加Kubernetes倉庫

sudoapt-getinstall-ykubeadmkubeletkubectl

設(shè)置kubelet服務(wù)

sudosystemctlenablekubelet

sudosystemctlstartkubelet

3.初始化Master節(jié)點(diǎn)

初始化Kubernetes集群

sudokubeadminit--pod-network-cidr=/16

保存join命令到文件

sudokubeadminit--pod-network-cidr=/16|teekubeadm-join.log

復(fù)制第一個join命令

sudocatkubeadm-join.log|grep-o"kubeadmjoin.:.\n"

4.加入Worker節(jié)點(diǎn)

在Worker節(jié)點(diǎn)執(zhí)行以下命令：

根據(jù)Master節(jié)點(diǎn)的join命令加入集群

sudokubeadmjoin<master-ip>:<master-port>--token<token>--discovery-token-ca-cert-hashsha256:<hash>

（二）多節(jié)點(diǎn)集群部署

1.環(huán)境準(zhǔn)備

1.節(jié)點(diǎn)規(guī)劃

-Master節(jié)點(diǎn)：1-3臺

-Worker節(jié)點(diǎn)：根據(jù)需求配置

-每個節(jié)點(diǎn)建議配置相同硬件環(huán)境

2.網(wǎng)絡(luò)連通性測試

-確保所有節(jié)點(diǎn)間網(wǎng)絡(luò)可達(dá)

-測試節(jié)點(diǎn)間Ping通性

2.部署流程

1.初始化Master節(jié)點(diǎn)

-執(zhí)行與單節(jié)點(diǎn)相同的初始化命令

-保存join命令

2.部署etcd集群

-使用KubernetesStatefulSet部署etcd

-配置持久化存儲

3.部署網(wǎng)絡(luò)插件

-推薦使用Calico網(wǎng)絡(luò)插件

```bash

kubectlapply-f/manifests/calico.yaml

```

4.加入Worker節(jié)點(diǎn)

-執(zhí)行相同的join命令

-驗(yàn)證節(jié)點(diǎn)狀態(tài)：

```bash

kubectlgetnodes

```

---

四、運(yùn)維管理

（一）日常監(jiān)控

1.資源監(jiān)控

-使用Prometheus+Grafana監(jiān)控集群資源

-配置監(jiān)控指標(biāo)：

-CPU使用率

-內(nèi)存使用率

-磁盤I/O

-網(wǎng)絡(luò)流量

2.應(yīng)用監(jiān)控

-部署heapster或PrometheusNodeExporter

-配置應(yīng)用健康檢查

（二）日志管理

1.收集配置

-部署Fluentd或Elasticsearch日志收集系統(tǒng)

-配置Kubernetes日志輸出到收集系統(tǒng)

2.查詢工具

-安裝Kibana進(jìn)行日志查詢

-配置索引模板

（三）自動擴(kuò)縮容

1.Helm部署

-使用Helm安裝自動擴(kuò)縮容工具

```bash

helminstallstable/prometheus--namespacemonitoring

```

2.配置規(guī)則

-設(shè)置基于CPU/內(nèi)存閾值的自動擴(kuò)縮容

-配置擴(kuò)縮容冷卻時間

---

五、故障排查

（一）常見問題

1.節(jié)點(diǎn)加入失敗

-檢查網(wǎng)絡(luò)連通性

-驗(yàn)證token有效性

-檢查kubelet配置文件

2.Pod無法拉起

-檢查Docker服務(wù)狀態(tài)

-驗(yàn)證鏡像拉取權(quán)限

-檢查Pod資源限制

3.網(wǎng)絡(luò)問題

-驗(yàn)證CNI插件狀態(tài)

-檢查Pod網(wǎng)絡(luò)策略

-驗(yàn)證etcd集群狀態(tài)

（二）排查工具

1.診斷命令

```bash

檢查節(jié)點(diǎn)狀態(tài)

kubectlgetnodes-owide

檢查Pod詳情

kubectldescribepod<pod-name>

檢查網(wǎng)絡(luò)連通

kubectlexec<pod-name>--ping<other-pod>

```

2.調(diào)試工具

-kubectldebug

-netcat端口檢測

-etcdctl集群狀態(tài)檢查

---

六、安全維護(hù)

（一）訪問控制

1.RBAC配置

-創(chuàng)建命名空間隔離

-配置最小權(quán)限角色

```bash

kubectlcreatenamespaceproduction

kubectlcreaterolebindingdefault-view--namespaceproduction--clusterroleview--subjectkind:Namespace,imagePullSecrets:[]

```

2.API服務(wù)器訪問

-配置客戶端證書認(rèn)證

-限制API服務(wù)器訪問IP

（二）定期維護(hù)

1.組件更新

-使用Kubernetesrollingupdate

-定期更新鏡像版本

2.安全掃描

-部署Clair漏洞掃描工具

-定期執(zhí)行安全掃描

```bash

kubectlapply-f/coreos/clair/master/clair.yaml

```

3.備份策略

-定期備份etcd數(shù)據(jù)

-備份關(guān)鍵配置文件

---

七、附錄

（一）常用命令清單

|操作|命令示例|

|--------------------------|--------------------------------------------------------------------------|

|初始化Master節(jié)點(diǎn)|kubeadminit--pod-network-cidr=/16|

|加入節(jié)點(diǎn)|kubeadmjoin<ip>:<port>--token<token>--discovery-token-ca-cert-hashsha256:<hash>|

|查看節(jié)點(diǎn)狀態(tài)|kubectlgetnodes-owide|

|查看Pod狀態(tài)|kubectlgetpods-n<namespace>|

|部署Flannel網(wǎng)絡(luò)|kubectlapply-f/coreos/flannel/master/Documentation/kube-flannel.yml|

|部署Calico網(wǎng)絡(luò)|kubectlapply-f/manifests/calico.yaml|

（二）推薦工具

1.監(jiān)控工具

-Prometheus

-Grafana

-cAdvisor

-Heapster

2.日志工具

-Fluentd

-Elasticsearch

-Kibana

-ELKStack

3.網(wǎng)絡(luò)工具

-Calico

-Flannel

-WeaveNet

-Cilium

4.運(yùn)維工具

-Helm

-k9s

-Prometheus-Alertmanager

-Falco

---

本手冊提供容器云部署運(yùn)維的全面指導(dǎo)，通過系統(tǒng)化的步驟和規(guī)范操作，可以確保容器云環(huán)境穩(wěn)定高效運(yùn)行。建議在實(shí)際操作中結(jié)合具體環(huán)境進(jìn)行調(diào)整和優(yōu)化。

容器云部署運(yùn)維手冊

一、概述

本手冊旨在為容器云的部署和運(yùn)維提供系統(tǒng)性的指導(dǎo)，涵蓋從環(huán)境準(zhǔn)備到日常管理的全過程。通過遵循本手冊的步驟和規(guī)范，可以確保容器云環(huán)境的高效、穩(wěn)定運(yùn)行。主要內(nèi)容包括環(huán)境準(zhǔn)備、部署流程、運(yùn)維管理、故障排查等核心環(huán)節(jié)。本手冊適用于系統(tǒng)管理員、運(yùn)維工程師及相關(guān)技術(shù)人員，可作為日常工作的參考依據(jù)。

本手冊重點(diǎn)介紹基于主流開源技術(shù)的容器云搭建方案，以Kubernetes（k8s）為核心，結(jié)合Docker作為容器運(yùn)行時，并集成常用的網(wǎng)絡(luò)、存儲和監(jiān)控組件。手冊內(nèi)容力求詳實(shí)，不僅提供操作步驟，還包含配置說明、參數(shù)解釋和常見問題解決方法，以幫助讀者快速掌握容器云的部署與運(yùn)維技能。

---

二、環(huán)境準(zhǔn)備

在開始容器云部署前，需要完成以下準(zhǔn)備工作，確?；A(chǔ)環(huán)境滿足要求。

（一）硬件資源準(zhǔn)備

1.服務(wù)器配置

-CPU：建議采用多核處理器，如IntelXeon或AMDEPYC系列。對于生產(chǎn)環(huán)境，每臺計算節(jié)點(diǎn)建議配置8核或更多核心，以應(yīng)對容器化應(yīng)用的高并發(fā)需求。對于非計算密集型任務(wù)，如日志處理、數(shù)據(jù)分析等，可適當(dāng)降低CPU配置。CPU的選用應(yīng)考慮未來業(yè)務(wù)增長帶來的性能壓力。

-內(nèi)存：內(nèi)存是容器云中的關(guān)鍵資源，直接影響性能。建議每臺服務(wù)器配置至少32GBRAM，對于內(nèi)存密集型應(yīng)用（如大數(shù)據(jù)處理、緩存服務(wù)），建議64GB或更高。同時，需要合理規(guī)劃內(nèi)存分配，避免單個容器占用過多內(nèi)存導(dǎo)致系統(tǒng)不穩(wěn)定。

-硬盤：存儲性能對容器云的I/O密集型應(yīng)用至關(guān)重要。建議使用NVMeSSD或高性能SAS/SATA硬盤，總?cè)萘拷ㄗh不低于500GB，并留有足夠的余量。應(yīng)采用RAID配置以提高數(shù)據(jù)可靠性和讀寫性能。根據(jù)應(yīng)用需求選擇合適的文件系統(tǒng)，如ext4、XFS等。

-網(wǎng)絡(luò)帶寬：容器云環(huán)境對網(wǎng)絡(luò)帶寬要求較高。建議配置千兆以太網(wǎng)或更高速的網(wǎng)絡(luò)接口卡（NIC），并確保交換機(jī)支持高帶寬和低延遲。對于大規(guī)模集群，可考慮使用10Gbps或25Gbps網(wǎng)絡(luò)。網(wǎng)絡(luò)架構(gòu)設(shè)計時需考慮網(wǎng)絡(luò)分區(qū)、冗余和負(fù)載均衡。

2.網(wǎng)絡(luò)規(guī)劃

-物理網(wǎng)絡(luò)：建議配置至少兩個網(wǎng)絡(luò)接口卡，一個用于管理網(wǎng)絡(luò)（ManagementNetwork），另一個用于數(shù)據(jù)網(wǎng)絡(luò)（DataNetwork）。管理網(wǎng)絡(luò)用于集群管理和控制平面通信，數(shù)據(jù)網(wǎng)絡(luò)用于容器間及容器與外部網(wǎng)絡(luò)之間的通信。

-VLAN規(guī)劃：合理的VLAN規(guī)劃有助于隔離不同類型的網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)安全性。建議至少劃分三個VLAN：

-VLAN10：管理網(wǎng)絡(luò)，用于KubernetesAPI服務(wù)器、etcd集群和管理節(jié)點(diǎn)間通信。

-VLAN20：核心網(wǎng)絡(luò)，用于Worker節(jié)點(diǎn)間的Pod通信和跨節(jié)點(diǎn)服務(wù)通信。

-VLAN30：存儲網(wǎng)絡(luò)，用于容器存儲訪問（如NFS、iSCSI等）。

-子網(wǎng)規(guī)劃：為每個VLAN規(guī)劃獨(dú)立的IP子網(wǎng)，并預(yù)留足夠的IP地址空間。例如：

-管理網(wǎng)絡(luò)：/24

-核心網(wǎng)絡(luò)：/24

-存儲網(wǎng)絡(luò)：/24

-公網(wǎng)訪問（如有）：/24

-DNS和DHCP：確保網(wǎng)絡(luò)中配置了可用的DNS服務(wù)器和DHCP服務(wù)器，為集群節(jié)點(diǎn)提供IP地址分配和域名解析服務(wù)。

（二）軟件環(huán)境準(zhǔn)備

1.操作系統(tǒng)要求

-推薦版本：對于生產(chǎn)環(huán)境，建議使用CentOSStream8或RockyLinux8，或UbuntuServer20.04LTS/22.04LTS。這些操作系統(tǒng)經(jīng)過充分測試，與Kubernetes等組件兼容性良好。

-內(nèi)核要求：必須為服務(wù)器啟用虛擬化支持（VT-x/AMD-V），并在BIOS中關(guān)閉安全啟動（SecureBoot）。檢查內(nèi)核參數(shù)，確保以下參數(shù)設(shè)置合理：

```bash

sysctl-a|grep-ivm

```

-系統(tǒng)更新：在部署前，確保所有系統(tǒng)組件都已更新到最新穩(wěn)定版本：

```bash

sudoaptupdate&&sudoaptupgrade-y

sudoyumupdate-y

```

2.依賴軟件安裝

-Docker：作為容器運(yùn)行時，需要安裝最新穩(wěn)定版的DockerEngine和DockerCompose。安裝步驟因操作系統(tǒng)而異：

-Ubuntu/Debian：

```bash

sudoapt-getinstall-yapt-transport-httpsca-certificatescurlgnupg2software-properties-common

curl-fsSL/linux/ubuntu/gpg|sudogpg--dearmor-o/usr/share/keyrings/docker-archive-keyring.gpg

echo"deb[arch=$(dpkg--print-architecture)signed-by=/usr/share/keyrings/docker-archive-keyring.gpg]/linux/ubuntu$(lsb_release-cs)stable"|sudotee/etc/apt/sources.list.d/docker.list>/dev/null

sudoapt-getupdate

sudoapt-getinstall-ydocker-cedocker-ce-clicontainerd.io

```

-CentOS/RockyLinux：

```bash

sudoyumremovedockerdocker-clientdocker-client-latestdocker-commondocker-enginedocker-engine-latestdocker-containerddocker-containerd-enginedocker-selinuxdocker-engine-storage-driver

sudoyuminstall-yyum-utils

sudoyum-config-manager--add-repo/linux/centos/docker-ce.repo

sudoyuminstall-ydocker-cedocker-ce-clicontainerd.io

```

-Kubernetes：安裝Kubernetes組件（kubelet、kubeadm、kubectl）。建議使用官方推薦的安裝方式：

```bash

Ubuntu/Debian

sudoapt-getinstall-yapt-transport-httpsca-certificatescurlgnupg2software-properties-common

curl-fsSL/apt/doc/apt-key.gpg|sudogpg--dearmor-o/usr/share/keyrings/kubernetes-archive-keyring.gpg

echo"deb[signed-by=/usr/share/keyrings/kubernetes-archive-keyring.gpg]https://apt.kubernetes.io/kubernetes-xenialmain"|sudotee/etc/apt/sources.list.d/kubernetes.list

sudoapt-getupdate

sudoapt-getinstall-ykubeletkubeadmkubectl

CentOS/RockyLinux

sudocat<<EOF|sudotee/etc/yum.repos.d/kubernetes.repo

[kubernetes]

name=Kubernetes

baseurl=/yum/repos/kubernetes-el7-x86_64

enabled=1

gpgcheck=1

gpgkey=/yum/doc/yum-key.gpg

repo_gpgcheck=1

sslverify=1

sslcert=/etc/pki/ca-trust/source/anchors/RPM-GPG-KEY-google.gpg

EOF

sudoyuminstall-ykubeletkubeadmkubectl

```

-CNI網(wǎng)絡(luò)插件：選擇并安裝合適的CNI網(wǎng)絡(luò)插件。Calico和Flannel是常用的選擇：

-Calico：

```bash

kubectlapply-f/manifests/calico.yaml

```

-Flannel：

```bash

kubectlapply-f/coreos/flannel/master/Documentation/kube-flannel.yml

```

-etcd：etcd是Kubernetes的分布式鍵值存儲，用于保存集群狀態(tài)?？梢圆捎靡韵路绞讲渴穑?/p>

-使用KubernetesStatefulSet部署：

```bash

kubectlapply-f/coreos/etcd/master/images/stable/3.x/etcd.yaml

```

-使用獨(dú)立部署方式（需自行配置）

-其他工具：根據(jù)需要安裝如下工具：

-helm：Kubernetes的包管理工具：

```bash

curl/helm/helm/master/scripts/get-helm-3|sudobash

```

-k9s：Kubernetes的終端客戶端：

```bash

curl-shttps://webinstall.dev/k9s|sudobash

```

-Prometheus和Grafana：用于集群監(jiān)控：

```bash

安裝PrometheusServer

helminstallprometheusprometheus-community/prometheus--namespacemonitoring

安裝Grafana

helminstallgrafanagrafana/grafana--namespacemonitoring

```

3.安全配置

-防火墻：根據(jù)需要開放必要的端口。默認(rèn)情況下，Kubernetes需要開放以下端口：

-API服務(wù)器：6443

-etcd：2379-2380

-KubernetesDNS：53

-kube-proxy：10259-10269

-Pod網(wǎng)絡(luò)（根據(jù)CNI插件）：通常為10-10000范圍內(nèi)的隨機(jī)端口

```bash

sudofirewall-cmd--permanent--add-port=6443/tcp

sudofirewall-cmd--permanent--add-port=2379-2380/tcp

sudofirewall-cmd--permanent--add-port=53/tcp

sudofirewall-cmd--permanent--add-port=10259-10269/tcp

sudofirewall-cmd--reload

```

-SSH安全：禁用root遠(yuǎn)程登錄，使用SSH密鑰認(rèn)證：

```bash

sudosed-i's/^PermitRootLoginyes$/PermitRootLoginno/'/etc/ssh/sshd_config

sudosed-i's/^PasswordAuthenticationyes$/PasswordAuthenticationno/'/etc/ssh/sshd_config

sudosystemctlrestartsshd

```

-SELinux/AppArmor：啟用SELinux或AppArmor提高安全性：

```bash

sudosetenforce1

sudosed-i's/^SELINUX=enforcing$/SELINUX=permissive/'/etc/selinux/config

或啟用AppArmor

sudoaa-status--enabled

```

---

三、部署流程

（一）單節(jié)點(diǎn)部署

單節(jié)點(diǎn)部署適用于測試、開發(fā)或小型應(yīng)用場景，包含Master和Worker功能于一臺服務(wù)器上。

1.安裝Docker

安裝Docker是容器化部署的基礎(chǔ)，以下是詳細(xì)步驟：

a.更新系統(tǒng)

```bash

sudoapt-getupdate&&sudoapt-getupgrade-y

```

b.安裝依賴

```bash

sudoapt-getinstall-yapt-transport-httpsca-certificatescurlgnupg2software-properties-common

```

c.添加Docker倉庫

```bash

curl-fsSL/linux/ubuntu/gpg|sudogpg--dearmor-o/usr/share/keyrings/docker-archive-keyring.gpg

echo"deb[arch=$(dpkg--print-architecture)signed-by=/usr/share/keyrings/docker-archive-keyring.gpg]/linux/ubuntu$(lsb_release-cs)stable"|sudotee/etc/apt/sources.list.d/docker.list>/dev/null

```

d.安裝Docker組件

```bash

sudoapt-getupdate

sudoapt-getinstall-ydocker-cedocker-ce-clicontainerd.io

```

e.驗(yàn)證安裝

```bash

sudodocker--version

```

f.配置Docker

-將當(dāng)前用戶添加到docker組，以便無需sudo運(yùn)行docker命令：

```bash

sudousermod-aGdocker${USER}

注銷并重新登錄使更改生效

```

-配置Docker守護(hù)進(jìn)程（可選）：

```bash

sudomkdir-p/etc/docker

sudonano/etc/docker/daemon.json

```

添加以下內(nèi)容：

```json

{

"exec-opts":["native.cgroupdriver=systemd"],

"log-driver":"json-file",

"log-opts":{

"max-size":"10m",

"max-file":"3"

},

"storage-driver":"overlay2"

}

```

重啟Docker服務(wù)：

```bash

sudosystemctldaemon-reload

sudosystemctlrestartdocker

```

2.安裝Kubernetes組件

安裝Kubernetes組件需要在服務(wù)器上部署kubelet、kubeadm和kubectl。

a.添加Kubernetes倉庫

```bash

sudoapt-getinstall-yapt-transport-httpsca-certificatescurlgnupg2software-properties-common

curl-fsSL/apt/doc/apt-key.gpg|sudogpg--dearmor-o/usr/share/keyrings/kubernetes-archive-keyring.gpg

echo"deb[signed-by=/usr/share/keyrings/kubernetes-archive-keyring.gpg]https://apt.kubernetes.io/kubernetes-xenialmain"|sudotee/etc/apt/sources.list.d/kubernetes.list

```

b.安裝Kubernetes組件

```bash

sudoapt-getupdate

sudoapt-getinstall-ykubeletkubeadmkubectl

```

c.設(shè)置kubelet服務(wù)

-啟用kubelet開機(jī)自啟：

```bash

sudosystemctlenablekubelet

```

-啟動kubelet服務(wù)：

```bash

sudosystemctlstartkubelet

```

-檢查kubelet狀態(tài)：

```bash

sudosystemctlstatuskubelet

```

3.初始化Master節(jié)點(diǎn)

初始化Master節(jié)點(diǎn)是創(chuàng)建Kubernetes集群的第一步，需要執(zhí)行以下操作：

a.獲取網(wǎng)絡(luò)插件信息

-選擇一個CNI網(wǎng)絡(luò)插件，例如Flannel。使用Flannel需要獲取其網(wǎng)絡(luò)CIDR范圍：

```bash

kubectlapply-f/coreos/flannel/master/Documentation/kube-flannel.yml

等待Pod運(yùn)行正常后，查看FlannelPod的日志

kubectllogs<flannel-pod-name>-nkube-system

```

日志中會包含類似`PodCIDR:/16`的信息，這就是Flannel分配的網(wǎng)絡(luò)CIDR。

b.初始化Master

-執(zhí)行初始化命令，指定網(wǎng)絡(luò)CIDR：

```bash

sudokubeadminit--pod-network-cidr=/16

```

-初始化成功后，會輸出一系列信息，包括：

-Join命令：用于將Worker節(jié)點(diǎn)加入集群

-etcd證書信息

-API服務(wù)器地址

-將輸出內(nèi)容保存到文件：

```bash

sudokubeadminit--pod-network-cidr=/16|teekubeadm-join.log

```

c.配置kubectl訪問

-創(chuàng)建一個用于Kubernetes管理的用戶：

```bash

mkdir-p$HOME/.kube

sudocp-i/etc/kubernetes/admin.conf$HOME/.kube/config

sudochown$(id-u):$(id-g)$HOME/.kube/config

```

-驗(yàn)證kubectl訪問：

```bash

kubectlgetnodes

```

d.部署網(wǎng)絡(luò)插件

-根據(jù)選擇的網(wǎng)絡(luò)插件，執(zhí)行相應(yīng)的部署命令。例如使用Flannel：

```bash

kubectlapply-f/coreos/flannel/master/Documentation/kube-flannel.yml

```

-等待網(wǎng)絡(luò)插件部署完成：

```bash

kubectlgetpods-nkube-system

```

-驗(yàn)證網(wǎng)絡(luò)連通性（可選）：

```bash

kubectlruntmp--rm-i--tty--imagebusybox--sh

在Pod中執(zhí)行ping命令測試網(wǎng)絡(luò)

ping

```

4.加入Worker節(jié)點(diǎn)

在Worker節(jié)點(diǎn)上執(zhí)行以下步驟加入集群：

a.更新系統(tǒng)

```bash

sudoapt-getupdate&&sudoapt-getupgrade-y

```

b.安裝Docker和Kubernetes組件

-安裝Docker（與Master節(jié)點(diǎn)步驟相同）

-安裝kubelet、kubeadm、kubectl（與Master節(jié)點(diǎn)步驟相同）

c.加入集群

-從Master節(jié)點(diǎn)的`kubeadm-join.log`文件中復(fù)制Join命令，執(zhí)行：

```bash

sudokubeadmjoin<master-ip>:<master-port>--token<token>--discovery-token-ca-cert-hashsha256:<hash>

```

-常見問題：

-如果token過期，可以從Master節(jié)點(diǎn)重新生成：

```bash

sudokubeadmtokencreate--print-join-command

```

-如果遇到證書問題，可以刪除舊的證書并重新生成：

```bash

sudokubeadmdeletetoken<token>

sudokubeadminit--pod-network-cidr=/16

```

d.驗(yàn)證加入

-在Master節(jié)點(diǎn)檢查Worker節(jié)點(diǎn)狀態(tài)：

```bash

kubectlgetnodes-owide

```

-Worker節(jié)點(diǎn)應(yīng)顯示為Ready狀態(tài)

（二）多節(jié)點(diǎn)集群部署

多節(jié)點(diǎn)集群部署適用于生產(chǎn)環(huán)境，需要部署Master節(jié)點(diǎn)和多個Worker節(jié)點(diǎn)。

1.環(huán)境準(zhǔn)備

a.節(jié)點(diǎn)規(guī)劃

-Master節(jié)點(diǎn)：建議配置2-4臺服務(wù)器，每臺配置不低于8核CPU、32GB內(nèi)存、500GBSSD。主要運(yùn)行KubernetesAPI服務(wù)器、etcd集群、調(diào)度器等核心組件。

-Worker節(jié)點(diǎn)：根據(jù)業(yè)務(wù)需求配置數(shù)量，每臺配置不低于4核CPU、16GB內(nèi)存、300GBSSD。運(yùn)行容器化的應(yīng)用服務(wù)。

-網(wǎng)絡(luò)規(guī)劃：確保所有節(jié)點(diǎn)間網(wǎng)絡(luò)連通，推薦使用VLAN隔離不同類型的網(wǎng)絡(luò)流量。

b.網(wǎng)絡(luò)連通性測試

-在所有節(jié)點(diǎn)間測試Ping通性：

```bash

ping<other-node-ip>

```

-檢查SSH免密登錄：

```bash

ssh<other-node-user>@<other-node-ip>

```

2.部署流程

a.初始化Master節(jié)點(diǎn)

-在一臺Master節(jié)點(diǎn)上執(zhí)行與單節(jié)點(diǎn)部署相同的初始化步驟：

```bash

更新系統(tǒng)

sudoapt-getupdate&&sudoapt-getupgrade-y

安裝Docker和Kubernetes組件

...（與單節(jié)點(diǎn)相同）

初始化Master

sudokubeadminit--pod-network-cidr=/16

```

-保存Join命令和etcd證書信息。

b.部署etcd集群

-使用KubernetesStatefulSet部署高可用的etcd集群：

```bash

kubectlapply-f/coreos/etcd/master/images/stable/3.x/etcd.yaml

```

-配置持久化存儲（例如使用NFS或Ceph）：

```bash

kubectleditstatefulsetetcd-nkube-system

添加storageClassName和volumeClaimTemplates

```

c.部署網(wǎng)絡(luò)插件

-推薦使用Calico網(wǎng)絡(luò)插件，提供更豐富的網(wǎng)絡(luò)策略功能：

```bash

kubectlapply-f/manifests/calico.yaml

```

-等待網(wǎng)絡(luò)插件部署完成：

```bash

kubectlgetpods-nkube-system

```

d.部署CoreDNS

-部署KubernetesDNS服務(wù)：

```bash

kubectlapply-f/coreos/flannel/master/Documentation/kube-flannel.yml

或使用CoreDNS

kubectlapply-f/coredns/coredns/master/Corefile.yaml

```

e.加入Worker節(jié)點(diǎn)

-在每臺Worker節(jié)點(diǎn)上執(zhí)行相同的加入步驟：

```bash

更新系統(tǒng)

sudoapt-getupdate&&sudoapt-getupgrade-y

安裝Docker和Kubernetes組件

...（與單節(jié)點(diǎn)相同）

加入集群

sudokubeadmjoin<master-ip>:<master-port>--token<token>--discovery-token-ca-cert-hashsha256:<hash>

```

-在Master節(jié)點(diǎn)驗(yàn)證所有Worker節(jié)點(diǎn)已加入：

```bash

kubectlgetnodes-owide

```

f.配置kubectl訪問

-在所有節(jié)點(diǎn)上配置kubectl訪問：

```bash

mkdir-p$HOME/.kube

sudocp-i/etc/kubernetes/admin.conf$HOME/.kube/config

sudochown$(id-u):$(id-g)$HOME/.kube/config

```

g.安裝kubectl自動補(bǔ)全

-在bash環(huán)境中：

```bash

echo'source<(kubectlcompletionbash)'>>~/.bashrc

source~/.bashrc

```

-在zsh環(huán)境中：

```bash

echo'source<(kubectlcompletionzsh)'>>~/.zshrc

source~/.zshrc

```

h.驗(yàn)證集群

-檢查集群狀態(tài)：

```bash

kubectlgetnodes-owide

kubectlgetpods--all-namespaces

```

-部署一個測試Pod：

```bash

kubectlrunnginx--image=nginx-ndefault

kubectlgetpods-ndefault

```

---

四、運(yùn)維管理

（一）日常監(jiān)控

日常監(jiān)控是確保容器云穩(wěn)定運(yùn)行的關(guān)鍵環(huán)節(jié)，需要建立完善的監(jiān)控體系。

1.資源監(jiān)控

-監(jiān)控工具：推薦使用Prometheus+Grafana組合。Prometheus作為數(shù)據(jù)采集和存儲系統(tǒng)，Grafana作為可視化平臺。

-部署Prometheus：

```bash

helminstallprometheusprometheus-community/prometheus--namespacemonitoring

```

-配置監(jiān)控指標(biāo)：

-CPU使用率：監(jiān)控每個節(jié)點(diǎn)的CPU使用百分比

-內(nèi)存使用率：監(jiān)控每個節(jié)點(diǎn)的內(nèi)存使用量和交換空間使用量

-磁盤I/O：監(jiān)控磁盤讀寫速度和IOPS

-網(wǎng)絡(luò)流量：監(jiān)控每個節(jié)點(diǎn)的入出網(wǎng)流量

-Kubernetes組件：監(jiān)控API服務(wù)器、etcd、kubelet、kube-proxy等組件的運(yùn)行狀態(tài)和資源消耗

-自定義監(jiān)控：

-對于自定義應(yīng)用，可以配置Prometheus的exporter（如NodeExporter、cAdvisor、JMXExporter等）暴露指標(biāo)

-使用`kubectl`部署exporter：

```bash

部署NodeExporter

kubectlapply-f/prometheus/node-exporter/releases/download/v1.3.0/node-exporter-1.3.0.tar.gz

```

2.應(yīng)用監(jiān)控

-Kubernetes自帶監(jiān)控：Kubernetes自帶的Heapster（已廢棄）被CoreMetrics取代，可以通過`kubectltop`命令查看資源使用情況：

```bash

查看Pod資源使用情況

kubectltoppods--all-namespaces

```

-部署監(jiān)控代理：推薦使用ElasticStack（ELK）或Datadog等監(jiān)控平臺收集應(yīng)用日志和指標(biāo)

-配置健康檢查：

-在Deployment或Pod定義中配置livenessProbe和readinessProbe：

```yaml

spec:

containers:

-name:my-app

livenessProbe:

httpGet:

path:/health

port:8080

initialDelaySeconds:60

timeoutSeconds:5

readinessProbe:

httpGet:

path:/ready

port:8080

initialDelaySeconds:30

timeoutSeconds:5

```

3.監(jiān)控面板配置

-Grafana配置：

-創(chuàng)建新的Dashboard

-添加Prometheus數(shù)據(jù)源

-配置各種圖表展示CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)等指標(biāo)

-創(chuàng)建告警規(guī)則，例如：

```json

{

"type":"alerting",

"name":"CPU使用率過高",

"query":"rate(container_cpu_usage_seconds_total{job='node',cluster='my-cluster'}[5m])by(namespace)>90",

"for":1h,

"timeout":"5m",

"message":"節(jié)點(diǎn){{$__range}}的CPU使用率超過90%",

"condition":{

"type":"less",

"operator":">",

"value":90

}

}

```

（二）日志管理

日志管理對于故障排查和系統(tǒng)分析至關(guān)重要，需要建立集中化的日志收集和分析系統(tǒng)。

1.收集配置

-部署Fluentd：Fluentd是一款流行的日志收集器，可以配置為收集Kubernetes中的日志：

```bash

創(chuàng)建FluentdDeployment

kubectlapply-f/fluent/fluentd-kubernetes-daemonset/master/fluentd-daemonset-0.20-debian.yaml

```

-配置Fluentd：

-在Fluentd配置文件中添加Kubernetes日志收集規(guī)則：

```xml

<source>

<syslogtag="kubernetes">

<filterkubernetes>

@typetail

path/var/log/containers/.log

pos_file/var/log/containers/pos

tagkube.

<parse>

@type正則

path/var/log/containers/.log

expression/^(?<logtime>[^\[])\[([^\]]+)\](?<loglevel>[A-Z]+)(?<message>.)$/

time_format%Y-%m-%d%H:%M:%S

</parse>

</filter>

</syslog>

</source>

```

-配置目標(biāo)存儲：

-將日志發(fā)送到Elasticsearch：

```xml

<matchkube.>

@typeelasticsearch

hostlocalhost

port9200

logstash_formattrue

include_tag_keytrue

tag_key@log_name

index_prefixfluentd-kubernetes

</match>

```

2.查詢工具

-Elasticsearch：作為日志存儲和分析引擎，需要部署和配置Elasticsearch集群。

-Kibana：作為Elasticsearch的可視化界面，提供日志查詢、分析和告警功能。

-配置索引模板：

```json

{

"index_patterns":["fluentd-kubernetes-"],

"settings":{

"number_of_shards":3,

"number_of_replicas":1

},

"mappings":{

"properties":{

"@timestamp":{"type":"date"},

"message":{"type":"text"},

"level":{"type":"keyword"},

"source":{"type":"keyword"},

"container":{"type":"keyword"}

}

}

}

```

3.日志輪轉(zhuǎn)

-配置日志輪轉(zhuǎn)：在Kubernetes中配置日志輪轉(zhuǎn)策略，防止日志文件無限增長。

-使用logrotate：在節(jié)點(diǎn)上配置logrotate腳本，定期清理日志文件。

```bash

創(chuàng)建logrotate配置文件

sudonano/etc/logrotate.d/kubernetes-logs

```

添加以下內(nèi)容：

```

/var/log/containers/.log{

daily

missingok

rotate7

compress

notifempty

create644rootroot

}

```

（三）自動擴(kuò)縮容

自動擴(kuò)縮容（HorizontalPodAutoscaler,HPA）可以根據(jù)負(fù)載自動調(diào)整Pod數(shù)量，提高資源利用率。

1.Helm部署

-使用Helm安裝HPA：

```bash

安裝HPA

helminstallstable/prometheus--namespacemonitoring

安裝HPA

helminstallhpastable/horizontal-pod-autoscaler--namespacedefault

```

-配置HPA規(guī)則：

```yaml

apiVersion:autoscaling/v2beta2

kind:HorizontalPodAutoscaler

metadata:

name:my-app-hpa

namespace:default

spec:

scaleTargetRef:

apiVersion:apps/v1

kind:Deployment

name:my-app

minReplicas:1

maxReplicas:10

metrics:

-type:Resource

resource:

name:cpu

target:

type:Utilization

averageUtilization:50

```

2.配置規(guī)則

-基于CPU/內(nèi)存閾值的自動擴(kuò)縮容：

-CPU閾值：

```yaml

metrics:

-type:Resource

resource:

name:cpu

target:

type:Utilization

averageUtilization:70

```

-內(nèi)存閾值：

```yaml

metrics:

-type:Resource

resource:

name:memory

target:

type:Utilization

averageUtilization:70

```

-配置擴(kuò)縮容冷卻時間：

-設(shè)置擴(kuò)縮容的最小間隔時間：

```yaml

spec:

scaleTargetRef:

...

minReplicas:1

maxReplicas:10

metrics:

...

behavior:

scaleUp:

minReplicas:1

maxReplicas:10

adjustmentType:Percent

cooldown:30

scaleDown:

minReplicas:1

adjustmentType:Percent

cooldown:30

```

-配置擴(kuò)縮容策略：

-線性擴(kuò)縮容：每次增減固定數(shù)量Pod

-百分比擴(kuò)縮容：根據(jù)負(fù)載百分比調(diào)整Pod數(shù)量

-縮容策略：防止頻繁縮容導(dǎo)致應(yīng)用不穩(wěn)定

---

五、故障排查

故障排查是運(yùn)維工作的重要組成部分，需要掌握常見問題的診斷方法和解決技巧。

（一）常見問題

1.節(jié)點(diǎn)加入失敗

-檢查網(wǎng)絡(luò)連通性：

```bash

ping<master-ip>

```

-驗(yàn)證token有效性：

```bash

sudokubeadmtokenlist

```

-檢查kubelet配置：

```bash

sudocat/etc/kubernetes/kubelet.env

```

-查看kubelet日志：

```bash

sudojournalctl-ukubelet-f

```

-檢查etcd狀態(tài)：

```bash

sudoetcdctlclusterstatus

```

-解決方法：

-確保所有節(jié)點(diǎn)時間同步：

```bash

sudontpdate

sudosystemctlenablentp

```

-檢查防火墻設(shè)置，確保API服務(wù)器端口開放

-重新生成token并再次嘗試加入

2.Pod無法拉起

-檢查Docker服務(wù)狀態(tài)：

```bash

sudosystemctlstatusdocker

```

-驗(yàn)證鏡像拉取權(quán)限：

```bash

sudodockerpullnginx

```

-檢查Pod資源限制：

```bash

kubectldescribepod<pod-name>

```

-查看Pod日志：

```bash

kubectllogs<pod-name>

```

-檢查網(wǎng)絡(luò)配置：

```bash

kubectlgetsvc-n<namespace>

kubectlgetendpoints-n<namespace>

```

-解決方法：

-確保Docker鏡像已下載到本地

-檢查Pod配置文件中的資源限制是否合理

-驗(yàn)證網(wǎng)絡(luò)插件是否正常工作

-檢查Pod的容器鏡像是否損壞

3.網(wǎng)絡(luò)問題

-驗(yàn)證CNI插件狀態(tài)：

```bash

kubectlgetpods-nkube-system

```

-檢查Pod網(wǎng)絡(luò)策略：

```bash

kubectlgetnetworkpolicy-n<namespace>

```

-驗(yàn)證etcd集群狀態(tài)：

```bash

sudoetcdctlclusterstatus

```

-測試Pod間通信：

```bash

kubectlruntmp--rm-i--tty--imagebusybox--sh

在Pod中執(zhí)行ping命令

ping<other-pod-ip>

```

-解決方法：

-確保CNI插件已正確部署

-檢查網(wǎng)絡(luò)策略是否配置錯誤

-重新配置etcd集群

-檢查網(wǎng)絡(luò)配置是否正確

（二）排查工具

1.診斷命令

-檢查節(jié)點(diǎn)狀態(tài)：

```bash

kubectlgetnodes-owide

```

-檢查Pod詳情：

```bash

kubectldescribepod<pod-name>

```

-檢查網(wǎng)絡(luò)連通：

```bash

kubectlexec<pod-name>--ping<other-pod-name>

```

-檢查API服務(wù)器狀態(tài)：

```bash

kubectlgetcomponentstatus

```

-檢查etcd狀態(tài)：

```bash

sudoetcdctlclusterstatus

```

-檢查網(wǎng)絡(luò)配置：

```bash

kubectlgetnetworkpolicy-n<namespace>

kubectlgetendpoints-n<namespace>

```

2.調(diào)試工具

-kubectldebug：創(chuàng)建一個臨時的調(diào)試Pod，用于診斷問題：

```bash

kubectlruntmp--rm-i--tty--imagebusybox--sh

```

-netcat端口檢測：

```bash

在Master節(jié)點(diǎn)上

sudoapt-getinstall-ynetcat

在Pod中

nc-zv<master-ip><port>

```

-etcdctl：用于管理etcd集群：

```bash

sudoetcdctlgetcluster

sudoetcdctlgetmember

```

-calicoctl：用于管理Calico網(wǎng)絡(luò)：

```bash

calicoctlgetnode

calicoctlgetnetworkpolicy-n<namespace>

```

---

六、安全維護(hù)

安全維護(hù)是保障容器云安全運(yùn)行的關(guān)鍵環(huán)節(jié)，需要采取多種措施提高系統(tǒng)安全性。

（一）訪問控制

訪問控制是容器云安全的第一道防線，需要合理配置權(quán)限和認(rèn)證機(jī)制。

1.RBAC配置

-創(chuàng)建命名空間隔離：

```bash

kubectlcreatenamespaceproduction

```

-配置最小權(quán)限角色：

```bash

創(chuàng)建查看權(quán)限

kubectlcreaterolebindingdefault-view--namespaceproduction--clusterroleview--subjectkind:Namespace,imagePullSecrets:[]

創(chuàng)建編輯權(quán)限

kubectlcreaterolebindingdefault-edit--namespaceproduction--clusterroleedit--subjectkind:Namespace,imagePullSecrets:[]

```

-配置服務(wù)賬戶：

```bash

kubectlcreateserviceaccountdefault--namespacedefault

```

-綁定服務(wù)賬戶權(quán)限：

```bash

kubectlcreaterolebindingsystem-metrics-reader--namespacemonitoring--clusterrolesystem:reader--usersystem:serviceaccount:monitoring:prometheus

```

-配置Kubernetes管理員訪問：

```bash

創(chuàng)建Kubernetes管理員用戶

kubectlcreateuseradmin

創(chuàng)建用戶憑證

```

容器云部署運(yùn)維手冊

一、概述

本手冊旨在為容器云的部署和運(yùn)維提供系統(tǒng)性的指導(dǎo)，涵蓋從環(huán)境準(zhǔn)備到日常管理的全過程。通過遵循本手冊的步驟和規(guī)范，可以確保容器云環(huán)境的高效、穩(wěn)定運(yùn)行。主要內(nèi)容包括環(huán)境準(zhǔn)備、部署流程、運(yùn)維管理、故障排查等核心環(huán)節(jié)。本手冊適用于系統(tǒng)管理員、運(yùn)維工程師及相關(guān)技術(shù)人員，可作為日常工作的參考依據(jù)。

---

二、環(huán)境準(zhǔn)備

在開始容器云部署前，需要完成以下準(zhǔn)備工作，確?；A(chǔ)環(huán)境滿足要求。

（一）硬件資源準(zhǔn)備

1.服務(wù)器配置

-CPU：建議8核以上，根據(jù)實(shí)際負(fù)載需求調(diào)整

-內(nèi)存：建議32GB以上，最小16GB

-硬盤：SSD硬盤優(yōu)先，建議500GB以上可用空間

-網(wǎng)絡(luò)帶寬：千兆以太網(wǎng)或更高

2.網(wǎng)絡(luò)規(guī)劃

-物理網(wǎng)絡(luò)：配置至少兩個網(wǎng)絡(luò)接口，分別用于管理流量和數(shù)據(jù)流量

-VLAN規(guī)劃：建議劃分至少三個VLAN（管理、核心、存儲）

-子網(wǎng)規(guī)劃：預(yù)留足夠的IP地址空間

（二）軟件環(huán)境準(zhǔn)備

1.操作系統(tǒng)要求

-推薦使用CentOS7.x或Ubuntu18.04/20.04

-必須為服務(wù)器啟用虛擬化支持（VT-x/AMD-V）

2.依賴軟件安裝

-Docker：建議版本19.03及以上

-Kubernetes：建議版本1.20及以上

-CNI網(wǎng)絡(luò)插件：如Calico或Flannel

-etcd：Kubernetes集群存儲

3.安全配置

-關(guān)閉防火墻非必要端口

-配置SSH密鑰認(rèn)證，禁用root遠(yuǎn)程登錄

-啟用SELinux或AppArmor安全模塊

---

三、部署流程

（一）單節(jié)點(diǎn)部署

1.安裝Docker

更新系統(tǒng)

sudoapt-getupdate&&sudoapt-getupgrade

安裝必要依賴

sudoapt-getinstall-yapt-transport-httpsca-certificatescurlgnupg2software-properties-common

添加Docker官方倉庫

curl-fsSL/linux/ubuntu/gpg|sudoapt-keyadd-

安裝DockerEngine

sudoapt-getinstall-ydocker-cedocker-ce-clicontainerd.io

驗(yàn)證安裝

sudodocker--version

2.安裝Kubernetes組件

添加Kubernetes倉庫

sudoapt-getinstall-ykubeadmkubeletkubectl

設(shè)置kubelet服務(wù)

sudosystemctlenablekubelet

sudosystemctlstartkubelet

3.初始化Master節(jié)點(diǎn)

初始化Kubernetes集群

sudokubeadminit--pod-network-cidr=/16

保存join命令到文件

sudokubeadminit--pod-network-cidr=/16|teekubeadm-join.log

復(fù)制第一個join命令

sudocatkubeadm-join.log|grep-o"kubeadmjoin.:.\n"

4.加入Worker節(jié)點(diǎn)

在Worker節(jié)點(diǎn)執(zhí)行以下命令：

根據(jù)Master節(jié)點(diǎn)的join命令加入集群

sudokubeadmjoin<master-ip>:<master-port>--token<token>--discovery-token-ca-cert-hashsha256:<hash>

（二）多節(jié)點(diǎn)集群部署

1.環(huán)境準(zhǔn)備

1.節(jié)點(diǎn)規(guī)劃

-Master節(jié)點(diǎn)：1-3臺

-Worker節(jié)點(diǎn)：根據(jù)需求配置

-每個節(jié)點(diǎn)建議配置相同硬件環(huán)境

2.網(wǎng)絡(luò)連通性測試

-確保所有節(jié)點(diǎn)間網(wǎng)絡(luò)可達(dá)

-測試節(jié)點(diǎn)間Ping通性

2.部署流程

1.初始化Master節(jié)點(diǎn)

-執(zhí)行與單節(jié)點(diǎn)相同的初始化命令

-保存join命令

2.部署etcd集群

-使用KubernetesStatefulSet部署etcd

-配置持久化存儲

3.部署網(wǎng)絡(luò)插件

-推薦使用Calico網(wǎng)絡(luò)插件

```bash

kubectlapply-f/manifests/calico.yaml

```

4.加入Worker節(jié)點(diǎn)

-執(zhí)行相同的join命令

-驗(yàn)證節(jié)點(diǎn)狀態(tài)：

```bash

kubectlgetnodes

```

---

四、運(yùn)維管理

（一）日常監(jiān)控

1.資源監(jiān)控

-使用Prometheus+Grafana監(jiān)控集群資源

-配置監(jiān)控指標(biāo)：

-CPU使用率

-內(nèi)存使用率

-磁盤I/O

-網(wǎng)絡(luò)流量

2.應(yīng)用監(jiān)控

-部署heapster或PrometheusNodeExporter

-配置應(yīng)用健康檢查

（二）日志管理

1.收集配置

-部署Fluentd或Elasticsearch日志收集系統(tǒng)

-配置Kubernetes日志輸出到收集系統(tǒng)

2.查詢工具

-安裝Kibana進(jìn)行日志查詢

-配置索引模板

（三）自動擴(kuò)縮容

1.Helm部署

-使用Helm安裝自動擴(kuò)縮容工具

```bash

helminstallstable/prometheus--namespacemonitoring

```

2.配置規(guī)則

-設(shè)置基于CPU/內(nèi)存閾值的自動擴(kuò)縮容

-配置擴(kuò)縮容冷卻時間

---

五、故障排查

（一）常見問題

1.節(jié)點(diǎn)加入失敗

-檢查網(wǎng)絡(luò)連通性

-驗(yàn)證token有效性

-檢查kubelet配置文件

2.Pod無法拉起

-檢查Docker服務(wù)狀態(tài)

-驗(yàn)證鏡像拉取權(quán)限

-檢查Pod資源限制

3.網(wǎng)絡(luò)問題

-驗(yàn)證CNI插件狀態(tài)

-檢查Pod網(wǎng)絡(luò)策略

-驗(yàn)證etcd集群狀態(tài)

（二）排查工具

1.診斷命令

```bash

檢查節(jié)點(diǎn)狀態(tài)

kubectlgetnodes-owide

檢查Pod詳情

kubectldescribepod<pod-name>

檢查網(wǎng)絡(luò)連通

kubectlexec<pod-name>--ping<other-pod>

```

2.調(diào)試工具

-kubectldebug

-netcat端口檢測

-etcdctl集群狀態(tài)檢查

---

六、安全維護(hù)

（一）訪問控制

1.RBAC配置

-創(chuàng)建命名空間隔離

-配置最小權(quán)限角色

```bash

kubectlcreatenamespaceproduction

kubectlcreaterolebindingdefault-view--namespaceproduction--clusterroleview--subjectkind:Namespace,imagePullSecrets:[]

```

2.API服務(wù)器訪問

-配置客戶端證書認(rèn)證

-限制API服務(wù)器訪問IP

（二）定期維護(hù)

1.組件更新

-使用Kubernetesrollingupdate

-定期更新鏡像版本

2.安全掃描

-部署Clair漏洞掃描工具

-定期執(zhí)行安全掃描

```bash

kubectlapply-f/coreos/clair/master/clair.yaml

```

3.備份策略

-定期備份etcd數(shù)據(jù)

-備份關(guān)鍵配置文件

---

七、附錄

（一）常用命令清單

|操作|命令示例|

|--------------------------|--------------------------------------------------------------------------|

|初始化Master節(jié)點(diǎn)|kubeadminit--pod-network-cidr=/16|

|加入節(jié)點(diǎn)|kubeadmjoin<ip>:<port>--token<token>--discovery-token-ca-cert-hashsha256:<hash>|

|查看節(jié)點(diǎn)狀態(tài)|kubectlgetnodes-owide|

|查看Pod狀態(tài)|kubectlgetpods-n<namespace>|

|部署Flannel網(wǎng)絡(luò)|kubectlapply-f/coreos/flannel/master/Documentation/kube-flannel.yml|

|部署Calico網(wǎng)絡(luò)|kubectlapply-f/manifests/calico.yaml|

（二）推薦工具

1.監(jiān)控工具

-Prometheus

-Grafana

-cAdvisor

-Heapster

2.日志工具

-Fluentd

-Elasticsearch

-Kibana

-ELKStack

3.網(wǎng)絡(luò)工具

-Calico

-Flannel

-WeaveNet

-Cilium

4.運(yùn)維工具

-Helm

-k9s

-Prometheus-Alertmanager

-Falco

---

本手冊提供容器云部署運(yùn)維的全面指導(dǎo)，通過系統(tǒng)化的步驟和規(guī)范操作，可以確保容器云環(huán)境穩(wěn)定高效運(yùn)行。建議在實(shí)際操作中結(jié)合具體環(huán)境進(jìn)行調(diào)整和優(yōu)化。

容器云部署運(yùn)維手冊

一、概述

本手冊旨在為容器云的部署和運(yùn)維提供系統(tǒng)性的指導(dǎo)，涵蓋從環(huán)境準(zhǔn)備到日常管理的全過程。通過遵循本手冊的步驟和規(guī)范，可以確保容器云環(huán)境的高效、穩(wěn)定運(yùn)行。主要內(nèi)容包括環(huán)境準(zhǔn)備、部署流程、運(yùn)維管理、