一、K3s 的核心定位：轻量与灵活的完美平衡

K3s 是 Rancher Labs（现被 SUSE 收购）推出的认证 Kubernetes 发行版，专为资源受限环境设计。其核心特点包括：

1. 极简架构：通过合并 etcd、kubelet、API Server 等组件为单一进程，减少资源占用（内存占用约 500MB）。
2. 模块化设计：支持按需加载组件（如 Helm、Traefik），避免不必要的资源消耗。
3. 边缘计算适配：内置 SQLite 数据库替代 etcd，降低硬件要求，适合 IoT 设备、ARM 架构等边缘场景。

典型应用场景：

• 嵌入式设备集群管理（如树莓派集群）
• 开发测试环境快速搭建
• 边缘节点（如工厂、农场）的自动化部署
• 资源受限的云主机或本地服务器

二、基础部署：从零到一的快速上手

1. 单节点部署（All-in-One）

# 安装 K3s（默认包含 Traefik Ingress）
curl -sfL https://get.k3s.io | sh -
# 验证节点状态
sudo k3s kubectl get nodes

关键配置：

• 通过环境变量 INSTALL_K3S_EXEC 自定义参数，例如禁用 Traefik：

  curl -sfL https://get.k3s.io | INSTALL_K3S_EXEC="--disable traefik" sh -

• 使用 k3s-killall.sh 快速清理环境。

2. 高可用集群部署

K3s 支持两种 HA 模式：

• 内置 SQLite HA：通过 k3s server --datastore-endpoint sqlite:///path/to/db 共享数据库文件。
• 外部数据库：支持 MySQL、PostgreSQL 等，适合生产环境。

示例：使用外部 MySQL

# 主节点
k3s server --datastore-endpoint="mysql://user:pass@tcp(db-host:3306)/k3s"
# 工作节点加入集群
curl -sfL https://get.k3s.io | K3S_URL=https://<master-ip>:6443 K3S_TOKEN=<token> sh -

三、进阶玩法：解锁 K3s 的隐藏技能

1. 自定义镜像仓库

K3s 默认使用 Docker Hub，但可通过修改 /etc/rancher/k3s/registries.yaml 配置私有仓库：

mirrors:
  docker.io:
    endpoint:
      - "https://<private-registry>:5000"
configs:
  "<private-registry>:5000":
    auth:
      username: "user"
      password: "pass"

重启 K3s 服务后生效：systemctl restart k3s。

2. 存储方案优化

K3s 支持多种存储插件：

• Local Path Provisioner：默认提供本地存储，适合单节点测试。
• Longhorn：分布式块存储，适合生产环境。
• NFS：通过 nfs-client-provisioner 快速挂载共享存储。

示例：部署 Longhorn

kubectl apply -f https://raw.githubusercontent.com/longhorn/longhorn/master/deploy/longhorn.yaml

3. 网络插件选择

K3s 默认使用 Flannel，但支持替换为 Calico 或 Cilium：

# 安装 Calico
kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml
# 修改 K3s 启动参数禁用 Flannel
k3s server --flannel-backend=none

4. 监控与日志管理

• Prometheus + Grafana：通过 kube-prometheus-stack 快速部署。
• EFK 栈：集成 Elasticsearch、Fluentd、Kibana 处理日志。

示例：部署 Prometheus

helm repo add prometheus-community https://prometheus-community.github.io/helm-charts
helm install prometheus prometheus-community/kube-prometheus-stack

四、性能调优：让 K3s 跑得更快

1. 资源限制优化

通过 kubelet 参数调整资源分配：

# /var/lib/rancher/k3s/agent/etc/containerd/config.toml
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]
  SystemdCgroup = true

2. 调度策略优化

• 节点亲和性：将 Pod 分配到特定架构（如 ARM）。

  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: "kubernetes.io/arch"
            operator: In
            values: ["arm64"]

• Taint 与 Toleration：隔离专用节点。

3. 升级策略

K3s 支持滚动升级：

# 升级到最新版本
k3s upgrade --server-config /etc/rancher/k3s/config.yaml

五、安全加固：守护你的集群

1. 认证与授权

• RBAC 策略：限制用户权限。

  kubectl create role developer --verb=get --resource=pods --namespace=default
  kubectl create rolebinding dev-binding --role=developer --user=dev-user

• 证书管理：定期轮换证书（默认 1 年有效期）。

2. 网络隔离

• NetworkPolicy：限制 Pod 间通信。

  apiVersion: networking.k8s.io/v1
  kind: NetworkPolicy
  metadata:
    name: default-deny
  spec:
    podSelector: {}
    policyTypes:
    - Ingress

3. 审计日志

启用 Kubernetes 审计日志：

# /etc/rancher/k3s/config.yaml
audit-policy-file: /var/lib/rancher/k3s/audit/policy.yaml
audit-log-path: /var/lib/rancher/k3s/audit/logs.json

六、生态集成：扩展 K3s 的边界

1. GitOps 工作流

通过 ArgoCD 或 Flux 实现声明式部署：

kubectl create namespace argocd
kubectl apply -n argocd -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml

2. 服务网格

集成 Istio 或 Linkerd 增强服务治理：

# 安装 Istio
curl -L https://istio.io/downloadIstio | sh -
cd istio-*
export PATH=$PWD/bin:$PATH
istioctl install --set profile=demo -y

3. 多云管理

结合 Rancher 实现跨集群管理，或通过 KubeFed 统一调度。

七、常见问题与解决方案

1. 节点状态 NotReady：检查 kubelet 日志（journalctl -u k3s），确认网络插件是否正常。
2. Pod 调度失败：使用 kubectl describe pod <pod-name> 查看事件，检查资源是否充足。
3. Ingress 502 错误：确认后端服务是否就绪，或调整 Traefik 配置。

八、总结：K3s 的最佳实践

• 开发环境：单节点 + Local Path Provisioner + Traefik。
• 边缘计算：ARM 架构 + Longhorn 存储 + Calico 网络。
• 生产环境：HA 集群 + 外部数据库 + Prometheus 监控。

K3s 的轻量级特性使其成为现代化应用的理想选择，通过合理配置与优化，可满足从开发到生产的全生命周期需求。掌握本文介绍的技巧，你将能够高效“玩转” K3s，释放其最大潜力。