玩转 K3s：轻量级 Kubernetes 的高效实践指南

一、K3s 的核心价值：为何选择轻量级 Kubernetes？

K3s 是 Rancher Labs（现属 SUSE）推出的轻量级 Kubernetes 发行版，专为资源受限环境设计。其核心优势体现在三方面：

1. 极简架构
   K3s 通过合并 etcd、kubelet、controller-manager 等组件为单一二进制文件（仅 100MB+），相比标准 Kubernetes 减少 50% 内存占用。例如，在树莓派 4B（4GB RAM）上可稳定运行 10 个 Pod，而传统 K8s 需至少 8GB 内存。

2. 低资源开销
   默认禁用非核心功能（如云控制器、存储插件），通过 k3s server --disable 参数可进一步裁剪。实测显示，空集群状态下 K3s 占用 300MB 内存，而 K8s 需 1.2GB。

3. 快速部署
   单行命令即可启动集群：

   curl -sfL https://get.k3s.io | sh -

   该命令自动完成 TLS 证书生成、API Server 配置等复杂操作，5 分钟内可获得生产级集群。

二、基础玩法：从单节点到多节点集群

1. 单节点快速体验

适合开发测试场景，通过以下命令启动：

# 启动主节点（同时作为工作节点）
k3s server --write-kubeconfig-mode 644
# 获取 kubeconfig 文件
export KUBECONFIG=/etc/rancher/k3s/k3s.yaml
kubectl get nodes

关键配置：

• --write-kubeconfig-mode 644 确保当前用户可读写配置文件
• --no-deploy servicelb 禁用默认负载均衡器（节省资源）

2. 高可用集群搭建

采用嵌入式 etcd 的三节点架构：

# 主节点1
k3s server --cluster-init --tls-san <主节点IP>
# 主节点2/3
k3s server --server https://<主节点IP>:6443 --token <集群token>
# 工作节点
k3s agent --server https://<主节点IP>:6443 --token <集群token>

优化建议：

• 使用 --tls-san 添加额外域名证书
• 通过 --node-taint 为边缘节点打污点（如 k3s-edge=true:NoExecute）
• 配置 --flannel-backend wireguard 启用更安全的网络插件

三、进阶技巧：解锁 K3s 的隐藏能力

1. 存储方案优化

• Local Path Provisioner：默认提供的本地存储卷

  apiVersion: v1
  kind: PersistentVolumeClaim
  metadata:
    name: local-pvc
  spec:
    accessModes:
      - ReadWriteOnce
    storageClassName: local-path
    resources:
      requests:
        storage: 10Gi

• Longhorn 集成：适合分布式存储场景

  kubectl apply -f https://raw.githubusercontent.com/longhorn/longhorn/master/deploy/longhorn.yaml

2. 边缘计算场景适配

针对物联网设备优化：

• 资源限制：通过 --kube-apiserver-arg 调整 API Server 参数

  k3s server --kube-apiserver-arg "default-not-ready-toleration-seconds=30"

• 离线模式：使用 k3s airgap 包预载镜像

  # 导出镜像列表
  k3s crictl images --output json > images.json
  # 在离线环境导入
  k3s crictl pull <镜像名>

3. 监控与日志方案

• Prometheus Operator：

  kubectl apply -f https://raw.githubusercontent.com/prometheus-operator/prometheus-operator/master/bundle.yaml

• EFK 日志栈：

  # elasticsearch-statefulset.yaml 示例
  apiVersion: apps/v1
  kind: StatefulSet
  metadata:
    name: elasticsearch
  spec:
    serviceName: elasticsearch
    replicas: 3
    template:
      spec:
        containers:
        - name: elasticsearch
          image: docker.elastic.co/elasticsearch/elasticsearch:7.9.2
          env:
          - name: discovery.type
            value: single-node

四、故障排查与性能调优

1. 常见问题解决

• 节点注册失败：检查 /var/lib/rancher/k3s/server/token 与 /var/lib/rancher/k3s/agent/token 是否一致
• Pod 启动超时：调整 --kubelet-arg 参数

  k3s server --kubelet-arg "pod-infra-container-image=registry.k8s.io/pause:3.9"

2. 性能基准测试

使用 kubemark 进行模拟负载测试：

# 启动 50 个虚拟节点
kubectl create -f https://storage.googleapis.com/kubemark-resources/hollow-node_template.json

关键指标参考：

• API Server 延迟：<500ms（99% 分位）
• 调度吞吐量：>100 Pods/分钟

五、生态工具集成

1. GitOps 工作流

结合 Argo CD 实现声明式部署：

kubectl create namespace argocd
kubectl apply -n argocd -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml

2. 服务网格

使用 K3s 原生支持的 Istio：

k3s server --disable traefik
kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.16/samples/addons/prometheus.yaml

六、最佳实践总结

1. 资源分配原则：

   • 控制节点预留 20% CPU/内存
   • 为系统组件（coredns、metrics-server）设置 Requests

2. 安全加固：

   • 启用 --tls-san 和 --secrets-encryption
   • 定期轮换 ServiceAccount Token

3. 备份策略：

   # etcd 快照备份
   k3s etcd-snapshot save --name mybackup

通过掌握这些技巧，开发者可在树莓派集群、工业网关甚至车载系统中高效运行 K3s。实际案例显示，某物联网企业通过 K3s 将设备管理成本降低 70%，同时将部署周期从 2 小时缩短至 8 分钟。未来，随着 WASM 运行时和 eBPF 技术的集成，K3s 将在边缘计算领域发挥更大价值。