一、集群部署环境准备与架构设计

1.1 部署环境规划

Kubernetes集群部署需基于明确的资源规划，包括节点数量、角色分配及网络拓扑。生产环境建议采用3主节点+N工作节点的架构，主节点承载API Server、Scheduler、Controller Manager等核心组件，工作节点专注Pod运行。硬件配置需满足CPU核心数≥4、内存≥16GB、存储采用SSD或高性能分布式存储方案。

1.2 网络模型选择

集群网络需解决Pod间通信、服务发现及外部访问三大问题。主流方案包括：

• Flannel：简单易用的Overlay网络，通过VXLAN或Host-GW实现跨节点通信
• Calico：基于BGP协议的Underlay网络，提供高性能和细粒度网络策略
• Cilium：基于eBPF的新型网络方案，支持L4/L7层安全策略

示例Flannel配置（YAML格式）：

net-conf.json: |
  {
    "Network": "10.244.0.0/16",
    "Backend": {
      "Type": "vxlan"
    }
  }

1.3 存储方案规划

持久化存储需根据业务需求选择方案：

• 本地存储：适用于无状态应用，通过hostPath或emptyDir实现
• 网络存储：NFS、iSCSI等传统方案，适合中小规模集群
• CSI驱动：对接云厂商块存储或对象存储，实现动态卷供应

二、核心组件部署与验证

2.1 使用kubeadm初始化集群

kubeadm是官方推荐的标准化部署工具，关键步骤包括：

1. 初始化主节点：

   kubeadm init --pod-network-cidr=10.244.0.0/16 \
             --apiserver-advertise-address=<MASTER_IP>

2. 配置kubectl访问凭证
3. 部署网络插件（如Calico）
4. 加入工作节点：

   kubeadm join <MASTER_IP>:6443 --token <TOKEN> --discovery-token-ca-cert-hash <HASH>

2.2 组件健康检查

部署完成后需验证核心组件状态：

kubectl get componentstatuses  # 检查kube-apiserver/scheduler/controller-manager状态
kubectl get nodes -o wide     # 确认节点Ready状态
kubectl top nodes             # 查看资源使用情况

三、资源管理与高级调度

3.1 资源配额管理

通过ResourceQuota和LimitRange实现资源控制：

apiVersion: v1
kind: ResourceQuota
metadata:
  name: compute-quota
spec:
  hard:
    requests.cpu: "10"
    requests.memory: 20Gi
    limits.cpu: "20"
    limits.memory: 40Gi

3.2 高级调度策略

• 节点选择器：通过nodeSelector匹配节点标签
• 亲和性调度：

  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: disktype
            operator: In
            values: ["ssd"]

• 污点与容忍度：防止特定Pod被调度到特定节点

3.3 水平自动伸缩（HPA）

基于CPU/内存指标的自动伸缩配置示例：

apiVersion: autoscaling/v2
kind: HorizontalPodAutoscaler
metadata:
  name: nginx-hpa
spec:
  scaleTargetRef:
    apiVersion: apps/v1
    kind: Deployment
    name: nginx
  minReplicas: 2
  maxReplicas: 10
  metrics:
  - type: Resource
    resource:
      name: cpu
      target:
        type: Utilization
        averageUtilization: 50

四、服务暴露与负载均衡

4.1 Service类型选择

• ClusterIP：集群内部访问（默认）
• NodePort：通过节点端口暴露服务
• LoadBalancer：对接云厂商负载均衡器
• Ingress：基于7层的HTTP路由

4.2 Ingress控制器部署

以Nginx Ingress为例：

helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx
helm install ingress-nginx ingress-nginx/ingress-nginx

配置示例：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web-ingress
spec:
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: web-service
            port:
              number: 80

五、安全加固与最佳实践

5.1 RBAC权限控制

创建最小权限Role示例：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]

5.2 镜像安全实践

• 启用镜像签名验证
• 使用私有镜像仓库
• 定期扫描镜像漏洞
• 限制镜像拉取策略为IfNotPresent

5.3 运维监控体系

建议构建包含以下组件的监控体系：

• Metrics Server：收集资源指标
• Prometheus：时序数据存储
• Grafana：可视化展示
• Alertmanager：告警通知

六、Helm包管理实战

6.1 Helm基础操作

helm create mychart          # 创建Chart
helm install myrelease ./mychart  # 安装Release
helm list                    # 查看已安装Release
helm upgrade myrelease ./mychart --set replicaCount=3  # 升级

6.2 模板开发技巧

• 使用values.yaml实现参数化
• 通过_helpers.tpl定义可复用模板
• 使用if/range实现条件渲染
• 添加notes.txt提供使用说明

示例values.yaml片段：

replicaCount: 2
image:
  repository: nginx
  tag: "1.23.4"
service:
  type: ClusterIP
  port: 80

七、故障排查与维护

7.1 常见问题处理

• NodeNotReady：检查kubelet状态及网络连接
• ImagePullBackOff：验证镜像地址及访问权限
• CrashLoopBackOff：查看容器日志定位原因
• Pending状态Pod：检查资源不足或调度约束

7.2 集群维护操作

• 节点维护模式：

  kubectl drain <node-name> --ignore-daemonsets
  kubectl uncordon <node-name>  # 恢复调度

• 证书轮换：

  kubeadm certs renew all

• 版本升级：

  kubeadm upgrade plan
  kubeadm upgrade apply v1.26.0

本文系统梳理了Kubernetes集群从部署到运维的全流程技术要点，既包含CKA认证的核心考点解析，也融入了企业级生产环境的最佳实践。通过理论讲解与实战案例相结合的方式，帮助读者构建完整的容器编排知识体系，为从事云计算相关工作奠定坚实基础。