一、部署前环境准备

1.1 基础设施选型

生产环境推荐使用3节点高可用架构，节点配置建议不低于4核16G内存，磁盘采用SSD+HDD混合存储方案。网络拓扑需规划独立的管理网络（Control Plane）与业务网络（Data Plane），推荐使用BGP路由协议实现Pod网络互通。

1.2 操作系统调优

• 内核参数优化：
  ```bash

  修改sysctl配置

  cat < /etc/sysctl.d/99-kubernetes.conf
  net.ipv4.ip_forward=1
  net.bridge.bridge-nf-call-iptables=1
  fs.inotify.max_user_watches=1048576
  EOF

加载br_netfilter模块

modprobe br_netfilter

- 文件系统限制调整：
```bash
# 修改/etc/security/limits.conf
* soft nofile 65536
* hard nofile 65536
* soft nproc 65536
* hard nproc 65536

1.3 容器运行时选择

生产环境推荐containerd作为运行时，其优势在于：

• 轻量级架构（仅依赖runc）
• 符合OCI标准的镜像管理
• 低于50MB的内存占用
• 支持CRI接口的标准实现

安装命令示例：

# 安装containerd
curl -L https://github.com/containerd/containerd/releases/download/v1.7.11/containerd-1.7.11-linux-amd64.tar.gz | tar -xz -C /usr/local
# 生成配置文件
mkdir -p /etc/containerd
containerd config default > /etc/containerd/config.toml
# 修改配置启用systemd cgroup驱动
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml

二、核心组件安装部署

2.1 控制平面组件安装

使用kubeadm初始化控制平面：

# 生成初始化配置
kubeadm config print init-defaults > kubeadm-init.yaml
# 修改关键配置项
apiServer:
  extraArgs:
    authorization-mode: Node,RBAC
    audit-webhook-batch-max-size: "100"
controllerManager:
  extraArgs:
    node-monitor-grace-period: "40s"
    pod-eviction-timeout: "5m0s"
scheduler:
  extraArgs:
    leader-elect-resource-lock: "leases"
# 执行初始化
kubeadm init --config kubeadm-init.yaml --upload-certs

2.2 工作节点加入集群

# 主节点获取join命令
kubeadm token create --print-join-command
# 工作节点执行（示例）
kubeadm join 192.168.1.10:6443 --token abcdef.1234567890abcdef \
  --discovery-token-ca-cert-hash sha256:xxxxxxxxxxxxxxxxxxxxxxxx \
  --control-plane  # 如果是加入控制平面节点

2.3 网络插件部署

推荐Calico作为网络插件，其企业版特性包括：

• 网络策略增强
• 流量可视化
• 跨云网络支持

安装命令：

# 基础版安装
kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.27.0/manifests/calico.yaml
# 企业版配置示例
cat <<EOF | kubectl apply -f -
apiVersion: operator.tigera.io/v1
kind: Installation
metadata:
  name: default
spec:
  calicoNetwork:
    bgp: Disabled
    ipPools:
    - cidr: 10.244.0.0/16
      encapsulation: VXLAN
      natOutgoing: Enabled
      nodeSelector: all()
EOF

三、集群优化与验证

3.1 性能调优参数

• etcd配置优化：

  # /etc/kubernetes/manifests/etcd.yaml 修改示例
  spec:
  containers:
  - command:
    - etcd
    - --snapshot-count=10000
    - --quota-backend-bytes=8589934592  # 8GB
    - --max-request-bytes=33554432      # 32MB

• kube-apiserver优化：

  # /etc/kubernetes/manifests/kube-apiserver.yaml
  spec:
  containers:
  - command:
    - kube-apiserver
    - --default-not-ready-toleration-seconds=300
    - --default-unreachable-toleration-seconds=300
    - --service-account-signing-key-file=/etc/kubernetes/pki/sa.key
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub

3.2 集群健康检查

# 核心组件状态检查
kubectl get cs
# 节点资源检查
kubectl top nodes
# 事件日志分析
kubectl get events --sort-by='.metadata.creationTimestamp'
# 自动化检查脚本示例
#!/bin/bash
CHECK_ITEMS=(
  "kubectl get nodes --no-headers | awk '{print \$2}' | grep -v Ready | wc -l"
  "kubectl get pods -n kube-system --no-headers | grep -v Running | wc -l"
  "kubectl get ingress --no-headers | grep -v '<none>' | wc -l"
)
for item in "${CHECK_ITEMS[@]}"; do
  count=$(eval $item)
  if [ $count -gt 0 ]; then
    echo "警告：发现异常项 $(echo $item | cut -d\" -f2)"
  fi
done

四、运维管理最佳实践

4.1 备份恢复策略

• etcd数据备份：

  # 创建备份目录
  mkdir -p /backup/etcd
  # 执行备份（需在kube-apiserver节点）
  ETCDCTL_API=3 etcdctl --endpoints=https://127.0.0.1:2379 \
  --cacert=/etc/kubernetes/pki/etcd/ca.crt \
  --cert=/etc/kubernetes/pki/etcd/server.crt \
  --key=/etc/kubernetes/pki/etcd/server.key \
  snapshot save /backup/etcd/snapshot-$(date +%Y%m%d).db

• 集群状态备份：

  # 使用velero进行应用级备份
  velero backup create full-backup \
  --include-cluster-resources \
  --storage-location=default

4.2 升级策略实施

推荐采用金丝雀升级方式：

1. 先升级单个控制平面节点
2. 验证核心组件（api-server、etcd）健康状态
3. 逐步升级剩余控制平面节点
4. 分批次升级工作节点（每次不超过1/3）

升级命令示例：

# 查看可用版本
kubeadm upgrade plan
# 执行升级
kubeadm upgrade apply v1.28.4
# 节点升级
kubeadm upgrade node
# 升级kubelet
systemctl restart kubelet

4.3 安全加固方案

• RBAC权限控制示例：
  ```yaml
  apiVersion: rbac.authorization.k8s.io/v1
  kind: Role
  metadata:
  namespace: dev
  name: pod-reader
  rules:
• apiGroups: [“”]
  resources: [“pods”]
  verbs: [“get”, “list”, “watch”]

---

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-pods
namespace: dev
subjects:

• kind: User
  name: alice@example.com
  apiGroup: rbac.authorization.k8s.io
  roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
  ```

• Pod安全策略配置：

  apiVersion: policy/v1beta1
  kind: PodSecurityPolicy
  metadata:
  name: restricted
  spec:
  privileged: false
  allowPrivilegeEscalation: false
  hostNetwork: false
  hostPorts:
  - min: 10000
    max: 11000
  runAsUser:
    rule: MustRunAsNonRoot
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: MustRunAs
    ranges:
    - min: 1
      max: 65535
  fsGroup:
    rule: MustRunAs
    ranges:
    - min: 1
      max: 65535
  volumes:
  - 'configMap'
  - 'emptyDir'
  - 'projected'
  - 'secret'
  - 'downwardAPI'
  - 'persistentVolumeClaim'

五、故障排查指南

5.1 常见问题处理

• 节点NotReady状态：

  # 检查kubelet日志
  journalctl -u kubelet -n 100 --no-pager
  # 常见原因：
  # 1. CNI插件未正常运行
  # 2. 容器运行时故障
  # 3. 证书过期
  # 4. 资源不足（内存/磁盘）

• Pod一直Pending：

  # 检查事件日志
  kubectl describe pod <pod-name> | grep -A 20 Events
  # 常见原因：
  # 1. 资源不足（CPU/内存请求超过节点容量）
  # 2. 持久卷绑定失败
  # 3. 调度器限制（节点选择器/亲和性）
  # 4. 镜像拉取失败

5.2 高级诊断工具

• crictl命令集：

  # 查看容器状态
  crictl ps -a
  # 查看容器日志
  crictl logs <container-id>
  # 执行容器内命令
  crictl exec -it <container-id> sh

• etcd诊断：
  ```bash

  检查集群健康状态

  ETCDCTL_API=3 etcdctl —endpoints=https://127.0.0.1:2379 \
  —cacert=/etc/kubernetes/pki/etcd/ca.crt \
  —cert=/etc/kubernetes/pki/etcd/server.crt \
  —key=/etc/kubernetes/pki/etcd/server.key \
  endpoint health

检查存储使用情况

etcdctl endpoint status —write-out=table
```

本教程完整覆盖了Kubernetes从环境准备到生产运维的全生命周期管理，特别针对企业级部署场景提供了经过验证的配置方案和故障处理指南。建议在实际部署前进行充分的测试环境验证，并根据具体业务需求调整参数配置。对于超大规模集群（1000+节点），建议考虑采用分区域部署架构和自动化运维平台。