活动公告

系统通知
通知:关于部分勋章领取条件及购买价格调整的通知
05-18 21:22
系统通知
通知:本站资源由网友上传分享,如有违规等问题请到版务模块进行投诉,资源失效请在帖子内回复要求补档,会尽快处理!
10-23 09:31
>社区 > 科技 > 经验交流 >帖子
本版发帖返回

在CentOS Stream上搭建高可用Kubernetes集群的详细配置实例与最佳实践包括负载均衡故障恢复和性能优化

这是个蓝孩子 当前离线 威震华夏关云长
SunJu_FaceMall

3万

主题

2860

科技点

3万

积分

白金月票

碾压王

积分
32872

塔罗立华奏
<font color=白金月票" /> 发表于 2025-9-12 17:20:00 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
1. 引言

Kubernetes已经成为容器编排的事实标准,它提供了自动化部署、扩展和管理容器化应用程序的能力。在生产环境中,确保Kubernetes集群的高可用性至关重要,因为任何单点故障都可能导致服务中断,影响业务连续性。

CentOS Stream是CentOS项目的一个滚动发布版本,它位于RHEL的上游,提供了一个稳定且前瞻性的平台,非常适合部署Kubernetes集群。本文将详细介绍如何在CentOS Stream上搭建高可用Kubernetes集群,包括负载均衡配置、故障恢复机制和性能优化的最佳实践。

2. 环境准备

2.1 硬件要求

在开始部署之前,我们需要规划合适的硬件资源。对于一个高可用的Kubernetes集群,至少需要以下配置:

• 控制平面节点:至少3个,每个节点至少2核CPU、4GB内存
• 工作节点:至少2个,每个节点至少2核CPU、4GB内存
• 负载均衡节点:至少2个(可以是虚拟机或物理机)
• 所有节点之间的网络连接稳定,延迟低

2.2 网络规划

我们需要为集群规划以下网络:

• 节点IP:静态IP地址,确保节点间通信
• Pod网络:通常使用CIDR如10.244.0.0/16
• Service网络:通常使用CIDR如10.96.0.0/12
• 虚拟IP:用于API服务器负载均衡的浮动IP

2.3 系统初始化

在所有节点上执行以下初始化步骤:

首先,更新系统:
  2. sudo dnf update -y
复制代码

安装必要的软件包:
  2. sudo dnf install -y curl vim wget git net-tools bind-utils
复制代码

禁用SELinux(或者适当配置SELinux策略):
  2. sudo setenforce 0
  3. sudo sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config
复制代码

禁用swap:
  2. sudo swapoff -a
  3. sudo sed -i '/ swap / s/^\(.*\)$/#\1/g' /etc/fstab
复制代码

配置内核参数:
  2. cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
  3. br_netfilter
  4. EOF
  6. cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf
  7. net.bridge.bridge-nf-call-ip6tables = 1
  8. net.bridge.bridge-nf-call-iptables = 1
  9. net.ipv4.ip_forward = 1
  10. EOF
  12. sudo sysctl --system
复制代码

3. 基础组件安装

3.1 安装容器运行时

Kubernetes支持多种容器运行时,如Docker、containerd等。这里我们选择containerd,因为它是Kubernetes推荐的容器运行时。

安装containerd:
  2. sudo dnf install -y containerd
复制代码

配置containerd:
  2. sudo mkdir -p /etc/containerd
  3. sudo containerd config default | sudo tee /etc/containerd/config.toml
  4. sudo sed -i 's/SystemdCgroup = false/SystemdCgroup = true/g' /etc/containerd/config.toml
  5. sudo systemctl restart containerd
  6. sudo systemctl enable containerd
复制代码

3.2 安装Kubernetes组件

添加Kubernetes仓库:
  2. cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo
  3. [kubernetes]
  4. name=Kubernetes
  5. baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-\$basearch
  6. enabled=1
  7. gpgcheck=1
  8. repo_gpgcheck=1
  9. gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
  10. exclude=kubelet kubeadm kubectl
  11. EOF
复制代码

安装kubelet、kubeadm和kubectl:
  2. sudo dnf install -y kubelet kubeadm kubectl --disableexcludes=kubernetes
  3. sudo systemctl enable --now kubelet
复制代码

4. 高可用控制平面部署

4.1 负载均衡器配置

在部署控制平面之前,我们需要先设置一个负载均衡器来分发API服务器的请求。这里我们使用HAProxy和Keepalived来实现。

在两个负载均衡节点上安装HAProxy和Keepalived:
  2. sudo dnf install -y haproxy keepalived
复制代码

配置HAProxy(/etc/haproxy/haproxy.cfg):
  2. frontend kubernetes-frontend
  3.     bind *:6443
  4.     mode tcp
  5.     option tcplog
  6.     default_backend kubernetes-backend
  8. backend kubernetes-backend
  9.     mode tcp
  10.     option tcp-check
  11.     balance roundrobin
  12.     server master1 192.168.1.11:6443 check
  13.     server master2 192.168.1.12:6443 check
  14.     server master3 192.168.1.13:6443 check
复制代码

配置Keepalived(/etc/keepalived/keepalived.conf):
  2. vrrp_script check_haproxy {
  3.     script "killall -0 haproxy"
  4.     interval 2
  5.     weight 2
  6. }
  8. vrrp_instance VI_1 {
  9.     state MASTER
  10.     interface eth0
  11.     virtual_router_id 51
  12.     priority 101
  13.     advert_int 1
  14.     authentication {
  15.         auth_type PASS
  16.         auth_pass your_secret_password
  17.     }
  18.     virtual_ipaddress {
  19.         192.168.1.10
  20.     }
  21.     track_script {
  22.         check_haproxy
  23.     }
  24. }
复制代码

在第二个负载均衡节点上,将Keepalived配置中的state改为BACKUP,priority改为100。

启动并启用HAProxy和Keepalived:
  2. sudo systemctl enable --now haproxy keepalived
复制代码

4.2 初始化第一个控制平面节点

在第一个主节点上,使用kubeadm初始化集群:
  2. sudo kubeadm init --control-plane-endpoint "192.168.1.10:6443" --upload-certs --pod-network-cidr=10.244.0.0/16
复制代码

初始化完成后,按照输出配置kubectl:
  2. mkdir -p $HOME/.kube
  3. sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
  4. sudo chown $(id -u):$(id -g) $HOME/.kube/config
复制代码

保存加入控制平面和工作节点的命令,这些命令在初始化输出中提供。

4.3 加入其他控制平面节点

在其他控制平面节点上,使用第一个节点初始化时提供的加入命令:
  2. sudo kubeadm join 192.168.1.10:6443 --token <token> --discovery-token-ca-cert-hash <hash> --control-plane --certificate-key <key>
复制代码

5. 网络插件部署

Kubernetes需要网络插件来实现Pod之间的通信。这里我们选择Calico作为网络插件。

部署Calico:
  2. kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml
复制代码

等待Calico Pod部署完成:
  2. kubectl get pods -n kube-system -w
复制代码

6. 工作节点加入

在工作节点上,使用第一个节点初始化时提供的加入命令:
  2. sudo kubeadm join 192.168.1.10:6443 --token <token> --discovery-token-ca-cert-hash <hash>
复制代码

在控制平面节点上验证节点是否加入成功:
  2. kubectl get nodes
复制代码

7. 故障恢复机制

7.1 etcd备份与恢复

etcd是Kubernetes的关键组件,存储了集群的所有状态信息。定期备份etcd数据是必要的。

创建etcd备份脚本(/usr/local/bin/etcd-backup.sh):
  2. #!/bin/bash
  4. ETCDCTL_API=3
  5. ETCDCTL_CACERT=/etc/kubernetes/pki/etcd/ca.crt
  6. ETCDCTL_CERT=/etc/kubernetes/pki/etcd/server.crt
  7. ETCDCTL_KEY=/etc/kubernetes/pki/etcd/server.key
  8. BACKUP_DIR=/var/backups/etcd
  9. DATE=$(date +%Y%m%d_%H%M%S)
  11. mkdir -p ${BACKUP_DIR}
  13. etcdctl --endpoints=https://127.0.0.1:2379 \
  14.   --cacert=${ETCDCTL_CACERT} \
  15.   --cert=${ETCDCTL_CERT} \
  16.   --key=${ETCDCTL_KEY} \
  17.   snapshot save ${BACKUP_DIR}/snapshot-${DATE}.db
  19. # 保留最近7天的备份
  20. find ${BACKUP_DIR} -name "*.db" -mtime +7 -delete
复制代码

设置脚本可执行权限:
  2. chmod +x /usr/local/bin/etcd-backup.sh
复制代码

添加到cron定时任务:
  2. echo "0 0 * * * /usr/local/bin/etcd-backup.sh" | sudo crontab -
复制代码

恢复etcd备份:
  2. # 停止静态Pod
  3. sudo mv /etc/kubernetes/manifests/etcd.yaml /etc/kubernetes/manifests/etcd.yaml.bak
  5. # 恢复数据
  6. ETCDCTL_API=3
  7. ETCDCTL_CACERT=/etc/kubernetes/pki/etcd/ca.crt
  8. ETCDCTL_CERT=/etc/kubernetes/pki/etcd/server.crt
  9. ETCDCTL_KEY=/etc/kubernetes/pki/etcd/server.key
  10. BACKUP_FILE=/var/backups/etcd/snapshot-YYYYMMDD_HHMMSS.db
  12. etcdctl --endpoints=https://127.0.0.1:2379 \
  13.   --cacert=${ETCDCTL_CACERT} \
  14.   --cert=${ETCDCTL_CERT} \
  15.   --key=${ETCDCTL_KEY} \
  16.   --data-dir /var/lib/etcd \
  17.   snapshot restore ${BACKUP_FILE}
  19. # 恢复静态Pod
  20. sudo mv /etc/kubernetes/manifests/etcd.yaml.bak /etc/kubernetes/manifests/etcd.yaml
复制代码

7.2 节点故障处理

当节点出现故障时,我们需要及时处理以维持集群的高可用性。

检查节点状态:
  2. kubectl get nodes
复制代码

如果节点处于NotReady状态,可以尝试以下步骤:

1. 检查节点上的kubelet服务状态:
  2. ssh <node-ip> sudo systemctl status kubelet
复制代码

1. 如果kubelet服务未运行,尝试启动它:
  2. ssh <node-ip> sudo systemctl start kubelet
复制代码

1. 检查节点上的容器运行时状态:
  2. ssh <node-ip> sudo systemctl status containerd
复制代码

1. 如果容器运行时未运行,尝试启动它:
  2. ssh <node-ip> sudo systemctl start containerd
复制代码

如果节点无法恢复,可以考虑将其从集群中移除:

1. 驱逐节点上的Pod:
  2. kubectl drain <node-name> --ignore-daemonsets --delete-local-data
复制代码

1. 从集群中删除节点:
  2. kubectl delete node <node-name>
复制代码

1. 在节点上重置kubeadm:
  2. ssh <node-ip> sudo kubeadm reset
复制代码

8. 性能优化

8.1 系统级优化

调整内核参数:
  2. cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-performance.conf
  3. # 增加文件描述符限制
  4. fs.file-max = 100000
  5. fs.inotify.max_user_instances = 8192
  6. fs.inotify.max_user_watches = 1048576
  8. # 网络优化
  9. net.core.somaxconn = 65535
  10. net.ipv4.tcp_max_syn_backlog = 65536
  11. net.core.netdev_max_backlog = 65536
  12. net.ipv4.tcp_fin_timeout = 10
  13. net.ipv4.tcp_keepalive_time = 1200
  14. net.ipv4.tcp_max_tw_buckets = 5000
  15. net.ipv4.tcp_tw_reuse = 1
  16. net.ipv4.tcp_tw_recycle = 0
  17. net.ipv4.ip_local_port_range = 1024 65000
  18. net.ipv4.tcp_rmem = 4096 87380 16777216
  19. net.ipv4.tcp_wmem = 4096 65536 16777216
  20. net.core.rmem_max = 16777216
  21. net.core.wmem_max = 16777216
  22. net.ipv4.tcp_slow_start_after_idle = 0
  24. # 虚拟内存优化
  25. vm.swappiness = 10
  26. vm.dirty_ratio = 60
  27. vm.dirty_background_ratio = 2
  28. EOF
  30. sudo sysctl --system
复制代码

调整文件描述符限制:
  2. cat <<EOF | sudo tee /etc/security/limits.d/kubernetes.conf
  3. * soft nofile 100000
  4. * hard nofile 100000
  5. * soft nproc 32768
  6. * hard nproc 32768
  7. EOF
复制代码

8.2 Kubernetes级优化

配置Kubelet资源管理:
  2. cat <<EOF | sudo tee /etc/systemd/system/kubelet.service.d/10-kubelet-args.conf
  3. [Service]
  4. Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf"
  5. Environment="KUBELET_CONFIG_ARGS=--config=/var/lib/kubelet/config.yaml"
  6. Environment="KUBELET_EXTRA_ARGS=--node-labels=node.kubernetes.io/exclude-from-external-load-balancers --cgroup-driver=systemd --max-pods=110 --eviction-hard=memory.available<500Mi,nodefs.available<10%,nodefs.inodesFree<5% --eviction-soft=memory.available<1Gi,nodefs.available<15%,nodefs.inodesFree<10% --eviction-soft-grace-period=1m30s --eviction-max-pod-grace-period=60"
  7. EOF
  9. sudo systemctl daemon-reload
  10. sudo systemctl restart kubelet
复制代码

优化API服务器性能:
  2. # 编辑API服务器配置
  3. sudo vim /etc/kubernetes/manifests/kube-apiserver.yaml
  5. # 添加或修改以下参数
  6. - --max-mutating-requests-inflight=3000
  7. - --max-requests-inflight=3000
  8. - --default-watch-cache-size=500
  9. - --watch-cache-sizes=resource#pods#1000,resource#events#2000
复制代码

8.3 应用级优化

使用资源请求和限制:
  2. apiVersion: v1
  3. kind: Pod
  4. metadata:
  5.   name: resource-pod
  6. spec:
  7.   containers:
  8.   - name: resource-container
  9.     image: nginx
  10.     resources:
  11.       requests:
  12.         memory: "64Mi"
  13.         cpu: "250m"
  14.       limits:
  15.         memory: "128Mi"
  16.         cpu: "500m"
复制代码

使用Pod亲和性和反亲和性优化调度:
  2. apiVersion: apps/v1
  3. kind: Deployment
  4. metadata:
  5.   name: nginx-deployment
  6. spec:
  7.   replicas: 3
  8.   selector:
  9.     matchLabels:
  10.       app: nginx
  11.   template:
  12.     metadata:
  13.       labels:
  14.         app: nginx
  15.     spec:
  16.       affinity:
  17.         podAntiAffinity:
  18.           requiredDuringSchedulingIgnoredDuringExecution:
  19.           - labelSelector:
  20.               matchExpressions:
  21.               - key: app
  22.                 operator: In
  23.                 values:
  24.                 - nginx
  25.             topologyKey: "kubernetes.io/hostname"
  26.       containers:
  27.       - name: nginx
  28.         image: nginx:1.14.2
  29.         ports:
  30.         - containerPort: 80
复制代码

使用Horizontal Pod Autoscaler自动扩展:
  2. apiVersion: autoscaling/v2beta2
  3. kind: HorizontalPodAutoscaler
  4. metadata:
  5.   name: nginx-hpa
  6. spec:
  7.   scaleTargetRef:
  8.     apiVersion: apps/v1
  9.     kind: Deployment
  10.     name: nginx-deployment
  11.   minReplicas: 3
  12.   maxReplicas: 10
  13.   metrics:
  14.   - type: Resource
  15.     resource:
  16.       name: cpu
  17.       target:
  18.         type: Utilization
  19.         averageUtilization: 50
  20.   - type: Resource
  21.     resource:
  22.       name: memory
  23.       target:
  24.         type: Utilization
  25.         averageUtilization: 70
复制代码

9. 监控与日志

9.1 部署Prometheus和Grafana

使用Helm部署Prometheus Operator:
  2. # 添加Helm仓库
  3. helm repo add prometheus-community https://prometheus-community.github.io/helm-charts
  4. helm repo update
  6. # 创建命名空间
  7. kubectl create namespace monitoring
  9. # 安装Prometheus Operator
  10. helm install prometheus prometheus-community/kube-prometheus-stack -n monitoring
复制代码

访问Grafana:
  2. # 获取Grafana密码
  3. kubectl get secret --namespace monitoring prometheus-grafana -o jsonpath="{.data.admin-password}" | base64 --decode ; echo
  5. # 端口转发
  6. kubectl port-forward --namespace monitoring svc/prometheus-grafana 3000:80
复制代码

9.2 部署ELK日志系统

部署Elasticsearch:
  2. apiVersion: v1
  3. kind: Service
  4. metadata:
  5.   name: elasticsearch
  6.   namespace: logging
  7.   labels:
  8.     app: elasticsearch
  9. spec:
  10.   ports:
  11.   - port: 9200
  12.     name: http
  13.   clusterIP: None
  14.   selector:
  15.     app: elasticsearch
  16. ---
  17. apiVersion: apps/v1
  18. kind: StatefulSet
  19. metadata:
  20.   name: elasticsearch
  21.   namespace: logging
  22. spec:
  23.   serviceName: "elasticsearch"
  24.   replicas: 3
  25.   selector:
  26.     matchLabels:
  27.       app: elasticsearch
  28.   template:
  29.     metadata:
  30.       labels:
  31.         app: elasticsearch
  32.     spec:
  33.       containers:
  34.       - name: elasticsearch
  35.         image: docker.elastic.co/elasticsearch/elasticsearch:7.10.1
  36.         ports:
  37.         - containerPort: 9200
  38.           name: http
  39.         env:
  40.         - name: discovery.type
  41.           value: "single-node"
  42.         resources:
  43.           limits:
  44.             cpu: 1000m
  45.             memory: 2Gi
  46.           requests:
  47.             cpu: 100m
  48.             memory: 1Gi
复制代码

部署Kibana:
  2. apiVersion: v1
  3. kind: Service
  4. metadata:
  5.   name: kibana
  6.   namespace: logging
  7.   labels:
  8.     app: kibana
  9. spec:
  10.   ports:
  11.   - port: 5601
  12.   selector:
  13.     app: kibana
  14. ---
  15. apiVersion: apps/v1
  16. kind: Deployment
  17. metadata:
  18.   name: kibana
  19.   namespace: logging
  20. spec:
  21.   replicas: 1
  22.   selector:
  23.     matchLabels:
  24.       app: kibana
  25.   template:
  26.     metadata:
  27.       labels:
  28.         app: kibana
  29.     spec:
  30.       containers:
  31.       - name: kibana
  32.         image: docker.elastic.co/kibana/kibana:7.10.1
  33.         ports:
  34.         - containerPort: 5601
  35.         env:
  36.         - name: ELASTICSEARCH_HOSTS
  37.           value: "http://elasticsearch:9200"
  38.         resources:
  39.           limits:
  40.             cpu: 1000m
  41.             memory: 1Gi
  42.           requests:
  43.             cpu: 100m
  44.             memory: 512Mi
复制代码

部署Filebeat:
  2. apiVersion: v1
  3. kind: ConfigMap
  4. metadata:
  5.   name: filebeat-config
  6.   namespace: logging
  7.   labels:
  8.     app: filebeat
  9. data:
  10.   filebeat.yml: |-
  11.     filebeat.inputs:
  12.     - type: container
  13.       paths:
  14.       - /var/log/containers/*.log
  15.       processors:
  16.       - add_kubernetes_metadata:
  17.           host: ${NODE_NAME}
  18.           matchers:
  19.           - logs_path:
  20.               logs_path: "/var/log/containers/"
  21.     output.elasticsearch:
  22.       hosts: ['${ELASTICSEARCH_HOST:elasticsearch}:9200']
  23. ---
  24. apiVersion: apps/v1
  25. kind: DaemonSet
  26. metadata:
  27.   name: filebeat
  28.   namespace: logging
  29.   labels:
  30.     app: filebeat
  31. spec:
  32.   selector:
  33.     matchLabels:
  34.       app: filebeat
  35.   template:
  36.     metadata:
  37.       labels:
  38.         app: filebeat
  39.     spec:
  40.       serviceAccountName: filebeat
  41.       terminationGracePeriodSeconds: 30
  42.       containers:
  43.       - name: filebeat
  44.         image: docker.elastic.co/beats/filebeat:7.10.1
  45.         args: [
  46.           "-c", "/etc/filebeat.yml",
  47.           "-e",
  48.         ]
  49.         env:
  50.         - name: ELASTICSEARCH_HOST
  51.           value: elasticsearch
  52.         - name: NODE_NAME
  53.           valueFrom:
  54.             fieldRef:
  55.               fieldPath: spec.nodeName
  56.         securityContext:
  57.           runAsUser: 0
  58.           privileged: true
  59.         resources:
  60.           limits:
  61.             memory: 200Mi
  62.           requests:
  63.             cpu: 100m
  64.             memory: 100Mi
  65.         volumeMounts:
  66.         - name: config
  67.           mountPath: /etc/filebeat.yml
  68.           readOnly: true
  69.           subPath: filebeat.yml
  70.         - name: data
  71.           mountPath: /usr/share/filebeat/data
  72.         - name: varlog
  73.           mountPath: /var/log
  74.           readOnly: true
  75.         - name: varlibdockercontainers
  76.           mountPath: /var/lib/docker/containers
  77.           readOnly: true
  78.       volumes:
  79.       - name: config
  80.         configMap:
  81.           defaultMode: 0600
  82.           name: filebeat-config
  83.       - name: varlog
  84.         hostPath:
  85.           path: /var/log
  86.       - name: varlibdockercontainers
  87.         hostPath:
  88.           path: /var/lib/docker/containers
  89.       - name: data
  90.         hostPath:
  91.           path: /var/lib/filebeat-data
  92.           type: DirectoryOrCreate
复制代码

10. 安全最佳实践

10.1 RBAC配置

创建ServiceAccount:
  2. apiVersion: v1
  3. kind: ServiceAccount
  4. metadata:
  5.   name: my-serviceaccount
  6.   namespace: default
复制代码

创建Role:
  2. apiVersion: rbac.authorization.k8s.io/v1
  3. kind: Role
  4. metadata:
  5.   namespace: default
  6.   name: my-role
  7. rules:
  8. - apiGroups: [""]
  9.   resources: ["pods"]
  10.   verbs: ["get", "watch", "list"]
复制代码

创建RoleBinding:
  2. apiVersion: rbac.authorization.k8s.io/v1
  3. kind: RoleBinding
  4. metadata:
  5.   name: my-rolebinding
  6.   namespace: default
  7. subjects:
  8. - kind: ServiceAccount
  9.   name: my-serviceaccount
  10.   namespace: default
  11. roleRef:
  12.   kind: Role
  13.   name: my-role
  14.   apiGroup: rbac.authorization.k8s.io
复制代码

10.2 网络策略

默认拒绝所有入站流量:
  2. apiVersion: networking.k8s.io/v1
  3. kind: NetworkPolicy
  4. metadata:
  5.   name: default-deny
  6. spec:
  7.   podSelector: {}
  8.   policyTypes:
  9.   - Ingress
复制代码

允许特定命名空间中的Pod访问:
  2. apiVersion: networking.k8s.io/v1
  3. kind: NetworkPolicy
  4. metadata:
  5.   name: allow-specific-namespace
  6. spec:
  7.   podSelector:
  8.     matchLabels:
  9.       app: myapp
  10.   policyTypes:
  11.   - Ingress
  12.   ingress:
  13.   - from:
  14.     - namespaceSelector:
  15.         matchLabels:
  16.           name: allowed-namespace
复制代码

10.3 Pod安全策略

创建Pod安全策略:
  2. apiVersion: policy/v1beta1
  3. kind: PodSecurityPolicy
  4. metadata:
  5.   name: restricted
  6. spec:
  7.   privileged: false
  8.   allowPrivilegeEscalation: false
  9.   requiredDropCapabilities:
  10.     - ALL
  11.   volumes:
  12.     - 'configMap'
  13.     - 'emptyDir'
  14.     - 'projected'
  15.     - 'secret'
  16.     - 'downwardAPI'
  17.     - 'persistentVolumeClaim'
  18.   runAsUser:
  19.     rule: 'MustRunAsNonRoot'
  20.   seLinux:
  21.     rule: 'RunAsAny'
  22.   fsGroup:
  23.     rule: 'RunAsAny'
复制代码

创建RoleBinding以使用Pod安全策略:
  2. apiVersion: rbac.authorization.k8s.io/v1
  3. kind: ClusterRole
  4. metadata:
  5.   name: psp:restricted
  6. rules:
  7. - apiGroups: ['policy']
  8.   resources: ['podsecuritypolicies']
  9.   verbs: ['use']
  10.   resourceNames: ['restricted']
  11. ---
  12. apiVersion: rbac.authorization.k8s.io/v1
  13. kind: ClusterRoleBinding
  14. metadata:
  15.   name: psp:restricted
  16. roleRef:
  17.   apiGroup: rbac.authorization.k8s.io
  18.   kind: ClusterRole
  19.   name: psp:restricted
  20. subjects:
  21. - kind: Group
  22.   name: system:authenticated
复制代码

11. 总结与展望

在CentOS Stream上搭建高可用Kubernetes集群需要仔细规划和配置。本文详细介绍了从环境准备到集群部署、负载均衡配置、故障恢复机制和性能优化的全过程。通过遵循这些最佳实践,可以构建一个稳定、可靠且高性能的Kubernetes集群。

随着Kubernetes生态系统的不断发展,新的工具和技术不断涌现。未来,我们可以期待更多自动化工具和最佳实践的出现,使Kubernetes集群的部署和管理变得更加简单和高效。同时,随着边缘计算和混合云的兴起,Kubernetes在这些领域的应用也将越来越广泛。

无论技术如何发展,高可用性、故障恢复和性能优化始终是Kubernetes集群管理的核心关注点。通过不断学习和实践,我们可以更好地利用Kubernetes的强大功能,为业务提供稳定可靠的支持。

以上就是在CentOS Stream上搭建高可用Kubernetes集群的详细配置实例与最佳实践,包括负载均衡、故障恢复和性能优化的全面指南。希望这篇文章能够帮助您成功部署和管理高可用的Kubernetes集群。
网络连接
「七転び八起き(ななころびやおき)」
回复

使用道具 举报

返回列表 发新帖
您需要登录后才可以回帖 登录 | 立即注册
高级模式
B Color Image Link Quote Code Smilies

本版积分规则