Kubernetes 容器编排标准教程,涵盖环境准备、集群搭建、核心操作及高级特性。内容包括节点初始化、Docker/Containerd 安装、kubeadm 部署 Master/Worker 节点、网络插件 Calico 配置。实战部分涉及 Deployment、Service 创建,ConfigMap/Secret 管理,PV/PVC 持久化存储及探针配置。提供常见避坑指南与监控方案(Prometheus+Grafana),帮助开发者从零掌握 K8s 运维与故障排查。
Kubernetes(简称 K8s)是容器编排领域的事实标准,能够自动化容器的部署、扩缩容、运维和故障恢复。本文从环境搭建、核心概念、实战操作到高级特性,全方位讲解 K8s 的使用,适合零基础入门到企业级实战。
先掌握 3 个核心概念,避免后续操作迷茫:
| 角色 | 配置建议 | 系统要求 |
|---|---|---|
| Master 节点 | 2 核 4G 以上,1 台 | CentOS7+/Ubuntu20.04+,64 位 |
| Worker 节点 | 2 核 2G 以上,至少 1 台(推荐 2+ 台) | 同上 |
| 网络 | 所有节点互通,禁用防火墙/SELinux | – |
# 1. 关闭防火墙
systemctl stop firewalld && systemctl disable firewalld
# 2. 关闭 SELinux
setenforce 0
sed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config
# 3. 关闭 swap(K8s 强制要求)
swapoff -a
sed -i '/swap/s/^/#/' /etc/fstab
# 4. 配置主机名(Master 节点示例,Worker 节点改名称)
hostnamectl set-hostname k8s-master
# 配置 hosts 解析(所有节点)
cat>> /etc/hosts <<EOF
192.168.1.100 k8s-master
192.168.1.101 k8s-worker1
192.168.1.102 k8s-worker2
EOF
# 5. 配置内核参数
cat> /etc/sysctl.d/k8s.conf <<EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
EOF
sysctl --system
K8s 需要容器运行时,推荐 Containerd(Docker 已逐步淘汰):
# 安装依赖
yum install -y yum-utils device-mapper-persistent-data lvm2
# 添加阿里云源
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
# 安装 Containerd
yum install -y containerd.io
# 配置 Containerd
mkdir -p /etc/containerd
containerd config default > /etc/containerd/config.toml
# 修改 sandbox 镜像为国内源(关键!避免拉取镜像失败)
sed -i 's/registry.k8s.io\/pause/registry.aliyuncs.com\/google_containers\/pause/g' /etc/containerd/config.toml
# 启用 SystemdCgroups
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/g' /etc/containerd/config.toml
# 重启并设置开机自启
systemctl restart containerd && systemctl enable containerd
# 添加 K8s 阿里云源
cat> /etc/yum.repos.d/kubernetes.repo <<EOF
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF
# 安装指定版本(推荐稳定版 v1.28.x)
yum install -y kubelet-1.28.3 kubeadm-1.28.3 kubectl-1.28.3
systemctl enable kubelet && systemctl start kubelet
# 初始化集群(指定国内镜像仓库,避免拉取失败)
kubeadm init \
--apiserver-advertise-address=192.168.1.100 \
--image-repository=registry.aliyuncs.com/google_containers \
--kubernetes-version=v1.28.3 \
--service-cidr=10.96.0.0/12 \
--pod-network-cidr=10.244.0.0/16
# 配置 kubectl(普通用户也能使用)
mkdir -p $HOME/.kube
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
chown $(id -u):$(id -g) $HOME/.kube/config
# 验证 Master 节点状态
kubectl get nodes
# 此时状态为 NotReady,需安装网络插件
# 下载 Calico 配置文件
curl -O https://raw.githubusercontent.com/projectcalico/calico/v3.27.0/manifests/calico.yaml
# 修改 Pod 网段(需和 kubeadm init 的 pod-network-cidr 一致)
sed -i 's/192.168.0.0\/16/10.244.0.0\/16/g' calico.yaml
# 部署 Calico
kubectl apply -f calico.yaml
# 等待 3-5 分钟,验证网络插件和节点状态
kubectl get pods -n kube-system
kubectl get nodes
# 状态变为 Ready 即成功
# 在 Master 节点执行,获取加入集群的命令(含 token 和 hash)
kubeadm token create --print-join-command
# 复制输出的命令,在所有 Worker 节点执行(示例):
kubeadm join 192.168.1.100:6443 --token abcdef.0123456789abcdef \
--discovery-token-ca-cert-hash sha256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
# 回到 Master 节点,验证节点加入
kubectl get nodes
# 输出所有 Master/Worker 节点,状态均为 Ready 即集群搭建完成
# nginx-deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
labels:
app: nginx
spec:
replicas: 3 # 运行 3 个 Pod 副本
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: nginx:1.24-alpine # 轻量版镜像
ports:
- containerPort: 80
resources:
# 限制资源,避免占用过多
limits:
cpu:"0.5"
memory:"512Mi"
requests:
cpu:"0.1"
memory:"128Mi"
# 创建 Deployment
kubectl apply -f nginx-deployment.yaml
# 查看 Deployment 状态
kubectl get deployments
# 查看 Pod 状态
kubectl get pods -o wide
# nginx-service.yaml
apiVersion: v1
kind: Service
metadata:
name: nginx-service
spec:
type: NodePort # 暴露到节点端口
selector:
app: nginx
ports:
- port: 80 # Service 端口
targetPort: 80 # Pod 端口
nodePort: 30080 # 节点端口(30000-32767)
# 创建 Service
kubectl apply -f nginx-service.yaml
# 查看 Service
kubectl get svc
# 访问应用(任意节点 IP+NodePort)
curl http://192.168.1.101:30080
# 查看资源详情
kubectl describe pod nginx-deployment-xxxx-xxxx
kubectl describe svc nginx-service
# 查看 Pod 日志
kubectl logs nginx-deployment-xxxx-xxxx
kubectl logs -f nginx-deployment-xxxx-xxxx # 实时日志
# 进入 Pod 容器
kubectl exec -it nginx-deployment-xxxx-xxxx -- /bin/sh
# 扩缩容(修改 Pod 副本数)
kubectl scale deployment nginx-deployment --replicas=5
# 更新应用镜像
kubectl set image deployment/nginx-deployment nginx=nginx:1.25-alpine
# 回滚更新
kubectl rollout undo deployment/nginx-deployment
# 删除资源
kubectl delete deployment nginx-deployment
kubectl delete svc nginx-service
# 创建 ConfigMap(从文件)
kubectl create configmap nginx-config --from-file=nginx.conf=/etc/nginx/nginx.conf
# 或从 yaml 创建
kubectl apply -f - <<EOF
apiVersion: v1
kind: ConfigMap
metadata:
name: nginx-config
data:
nginx.conf: |
worker_processes 1;
events {
worker_connections 1024;
}
http {
server {
listen 80;
location / {
return 200 "Hello K8s!\n";
}
}
}
EOF
# 挂载到 Pod
kubectl apply -f - <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-config-demo
spec:
replicas: 1
selector:
matchLabels:
app: nginx-config
template:
metadata:
labels:
app: nginx-config
spec:
containers:
- name: nginx
image: nginx:1.24-alpine
ports:
- containerPort: 80
volumeMounts:
- name: nginx-config-volume
mountPath: /etc/nginx/nginx.conf
subPath: nginx.conf
volumes:
- name: nginx-config-volume
configMap:
name: nginx-config
EOF
# 创建 Secret(存储密码/密钥)
kubectl create secret generic mysql-secret \
--from-literal=username=root \
--from-literal=password=123456
# 查看 Secret(默认 base64 加密)
kubectl get secret mysql-secret -o yaml
# 挂载到 Pod 使用
kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:
name: secret-demo
spec:
containers:
- name: busybox
image: busybox:1.36
command: ["sleep", "3600"]
env:
- name: MYSQL_USER
valueFrom:
secretKeyRef:
name: mysql-secret
key: username
- name: MYSQL_PWD
valueFrom:
secretKeyRef:
name: mysql-secret
key: password
EOF
# 创建 PV(持久卷,管理员创建)
apiVersion: v1
kind: PersistentVolume
metadata:
name: nginx-pv
spec:
capacity:
storage: 1Gi
accessModes:
- ReadWriteOnce
hostPath:
# 测试环境用主机路径,生产用 NFS/CSI
path: /data/nginx-pv
type: DirectoryOrCreate
# 创建 PVC(持久卷声明,用户申请)
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: nginx-pvc
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 1Gi
# 挂载 PVC 到 Pod
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-pv-demo
spec:
replicas: 1
selector:
matchLabels:
app: nginx-pv
template:
metadata:
labels:
app: nginx-pv
spec:
containers:
- name: nginx
image: nginx:1.24-alpine
ports:
- containerPort: 80
volumeMounts:
- name: nginx-storage
mountPath: /usr/share/nginx/html
volumes:
- name: nginx-storage
persistentVolumeClaim:
claimName: nginx-pvc
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-probe-demo
spec:
replicas: 1
selector:
matchLabels:
app: nginx-probe
template:
metadata:
labels:
app: nginx-probe
spec:
containers:
- name: nginx
image: nginx:1.24-alpine
ports:
- containerPort: 80
# 存活探针:检测容器是否运行,失败则重启
livenessProbe:
httpGet:
path: /
port: 80
initialDelaySeconds: 5
periodSeconds: 10
# 就绪探针:检测容器是否就绪,失败则移除 Service 路由
readinessProbe:
httpGet:
path: /
port: 80
initialDelaySeconds: 5
periodSeconds: 10
# 启动探针:检测容器是否启动完成
startupProbe:
httpGet:
path: /
port: 80
failureThreshold: 30
periodSeconds: 10
# 创建命名空间(隔离环境)
kubectl create namespace dev
# 在 dev 命名空间部署应用
kubectl apply -f nginx-deployment.yaml -n dev
# 配置资源配额(限制 dev 命名空间资源使用)
kubectl apply -f - <<EOF
apiVersion: v1
kind: ResourceQuota
metadata:
name: dev-quota
namespace: dev
spec:
hard:
pods: "10" # 最多 10 个 Pod
requests.cpu: "2" # 总 CPU 请求不超过 2 核
requests.memory: "2Gi" # 总内存请求不超过 2Gi
limits.cpu: "4" # 总 CPU 限制不超过 4 核
limits.memory: "4Gi" # 总内存限制不超过 4Gi
EOF
kubeadm init 时指定 --image-repository 为阿里云镜像仓库,避免访问国外仓库超时。kubectl get pods -n kube-system;journalctl -u kubelet -f。kubeadm token create --print-join-command;yum install -y ntp && ntpdate ntp.aliyun.com。kubectl create secret docker-registry regcred --docker-server=xxx --docker-username=xxx --docker-password=xxx。# 查看集群组件状态
kubectl get componentstatuses
# 查看 Pod 事件(排查启动失败原因)
kubectl describe pod <pod-name>
# 查看节点资源使用
kubectl top nodes
# 查看 Pod 资源使用
kubectl top pods
# 一键部署 Prometheus(使用 Prometheus Operator)
kubectl apply -f https://raw.githubusercontent.com/prometheus-operator/kube-prometheus/main/manifests/setup/0namespace-namespace.yaml
kubectl apply -f https://raw.githubusercontent.com/prometheus-operator/kube-prometheus/main/manifests/
# 暴露 Grafana 服务(NodePort)
kubectl patch svc grafana -n monitoring -p '{"spec":{"type":"NodePort"}}'
kubectl get svc grafana -n monitoring
# 获取访问端口
# 默认账号密码:admin/admin(首次登录需修改)
通过本文的教程,你可以从零搭建 K8s 集群,掌握应用部署、配置管理、持久化存储等核心操作,同时避开新手常见的坑。对于生产环境,建议使用多 Master 节点(高可用)、专业存储方案(如 NFS/CSI)和完善的监控告警体系,确保集群稳定运行。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online