CentOS Stream容器运行环境配置实战步骤详解与常见问题解决从环境准备到服务启动手把手教你构建稳定高效的容器平台

威震华夏关云长 · 发表于 2025-9-12 21:20:01

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？立即注册

x

引言

CentOS Stream作为RHEL的上游开发平台，为企业提供了一个稳定且先进的Linux发行版选择。在当今的云原生时代，容器技术已成为应用部署和管理的标准方式。本文将详细介绍如何在CentOS Stream上构建一个稳定高效的容器运行环境，从基础环境准备到服务启动的全过程，并针对常见问题提供解决方案，帮助读者构建自己的容器平台。

环境准备

系统要求

在开始配置CentOS Stream容器环境之前，需要确保系统满足以下最低要求：

• CPU：64位架构，至少2核心
• 内存：至少4GB RAM（推荐8GB或以上）
• 存储：至少20GB可用磁盘空间
• 网络：稳定的互联网连接，用于下载软件包和更新

安装CentOS Stream

首先，需要下载并安装CentOS Stream系统。可以通过以下步骤完成：

1. 访问CentOS Stream官方网站下载最新的ISO镜像文件。
2. 创建启动介质（如USB启动盘）。
3. 从启动介质引导系统并按照安装向导进行安装。

安装完成后，首次登录系统并更新系统软件包：

sudo dnf update -y
sudo reboot

复制代码

系统基础配置

为系统设置一个合适的主机名，便于识别和管理：

sudo hostnamectl set-hostname container-node01

复制代码

确保网络配置正确，可以使用以下命令查看网络状态：

nmcli connection show
ip addr show

复制代码

如果需要配置静态IP地址，可以编辑网络配置文件：

sudo nmcli connection modify "Wired connection 1" ipv4.method manual ipv4.addresses 192.168.1.100/24 ipv4.gateway 192.168.1.1 ipv4.dns "8.8.8.8 8.8.4.4"
sudo nmcli connection up "Wired connection 1"

复制代码

CentOS Stream默认使用firewalld作为防火墙管理工具。根据容器环境需求，可能需要开放特定端口：

sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
sudo firewall-cmd --reload

复制代码

SELinux是CentOS Stream中的安全模块，对于容器环境，建议保持开启状态，但可能需要调整策略：

sudo setenforce 1
sudo sed -i 's/^SELINUX=.*/SELINUX=enforcing/g' /etc/selinux/config

复制代码

容器运行时安装

在CentOS Stream上，可以选择多种容器运行时，包括Docker、Podman和CRI-O等。下面将分别介绍这些运行时的安装方法。

Docker安装

Docker是最流行的容器平台之一，可以通过以下步骤在CentOS Stream上安装：

1. 安装必要的软件包：

sudo dnf install -y dnf-utils device-mapper-persistent-data lvm2

复制代码

1. 添加Docker仓库：

sudo dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

复制代码

1. 安装Docker引擎：

sudo dnf install -y docker-ce docker-ce-cli containerd.io

复制代码

1. 启动并启用Docker服务：

sudo systemctl start docker
sudo systemctl enable docker

复制代码

1. 验证Docker安装：

sudo docker run hello-world

复制代码

Podman安装

Podman是一个无守护进程的容器引擎，与Docker CLI兼容，是CentOS Stream的默认容器工具：

1. 安装Podman：

sudo dnf install -y podman

复制代码

1. 验证Podman安装：

podman run hello-world

复制代码

CRI-O安装

CRI-O是一个轻量级的容器运行时，专为Kubernetes设计：

1. 添加CRI-O仓库：

sudo curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable.repo https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/CentOS_8/devel:kubic:libcontainers:stable.repo
sudo curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable:cri-o:1.20.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:1.20/CentOS_8/devel:kubic:libcontainers:stable:cri-o:1.20.repo

复制代码

1. 安装CRI-O：

sudo dnf install -y cri-o

复制代码

1. 启动并启用CRI-O服务：

sudo systemctl start crio
sudo systemctl enable crio

复制代码

Kubernetes集群部署

如果需要构建完整的容器平台，可以考虑部署Kubernetes集群。以下是单节点Kubernetes集群的部署步骤：

安装Kubernetes工具

1. 添加Kubernetes仓库：

cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-\$basearch
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
exclude=kubelet kubeadm kubectl
EOF

复制代码

1. 安装Kubernetes组件：

sudo dnf install -y kubelet kubeadm kubectl --disableexcludes=kubernetes

复制代码

1. 启动并启用kubelet服务：

sudo systemctl enable --now kubelet

复制代码

初始化Kubernetes集群

1. 初始化控制平面节点：

sudo kubeadm init --pod-network-cidr=10.244.0.0/16

复制代码

1. 配置kubectl：

mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

复制代码

1. 安装Pod网络插件（以Flannel为例）：

kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

复制代码

1. 允许控制平面节点调度Pod（仅适用于单节点集群）：

kubectl taint nodes --all node-role.kubernetes.io/master-

复制代码

容器编排工具配置

Docker Compose安装

Docker Compose是用于定义和运行多容器Docker应用程序的工具：

1. 下载Docker Compose二进制文件：

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

复制代码

1. 添加执行权限：

sudo chmod +x /usr/local/bin/docker-compose

复制代码

1. 创建软链接：

sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

复制代码

1. 验证安装：

docker-compose --version

复制代码

Podman Compose安装

Podman Compose是Podman的替代方案，用于管理多容器应用：

1. 安装Python和pip：

sudo dnf install -y python3 python3-pip

复制代码

1. 安装Podman Compose：

pip3 install podman-compose

复制代码

1. 验证安装：

podman-compose --version

复制代码

网络配置

容器网络基础

容器网络是容器平台的重要组成部分，它允许容器之间以及容器与外部网络进行通信。在CentOS Stream上，可以使用多种网络解决方案：

1. 查看Docker网络：

sudo docker network ls

复制代码

1. 创建自定义网络：

sudo docker network create --driver bridge my-network

复制代码

1. 运行容器并连接到自定义网络：

sudo docker run -d --name nginx --network my-network nginx

复制代码

1. 查看Podman网络：

podman network ls

复制代码

1. 创建自定义网络：

podman network create my-network

复制代码

1. 运行容器并连接到自定义网络：

podman run -d --name nginx --network my-network nginx

复制代码

高级网络配置

对于多主机容器环境，可以使用以下解决方案：

1. Flannel：一个简单的覆盖网络，专为Kubernetes设计。
2. Calico：提供网络策略和安全性。
3. Weave Net：创建虚拟网络，连接部署在多个主机上的Docker容器。

Flannel：一个简单的覆盖网络，专为Kubernetes设计。

Calico：提供网络策略和安全性。

Weave Net：创建虚拟网络，连接部署在多个主机上的Docker容器。

以Flannel为例，安装步骤如下：

1. 下载Flannel配置文件：

wget https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

复制代码

1. 应用配置：

kubectl apply -f kube-flannel.yml

复制代码

网络策略允许控制Pod之间的流量：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: default
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
ingress:
- from:
- ipBlock:
cidr: 172.17.0.0/16
except:
- 172.17.1.0/24
- namespaceSelector:
matchLabels:
project: myproject
- podSelector:
matchLabels:
role: frontend
ports:
- protocol: TCP
port: 6379
egress:
- to:
- ipBlock:
cidr: 10.0.0.0/24
ports:
- protocol: TCP
port: 5978

复制代码

存储配置

持久化存储概述

容器本身是无状态的，但许多应用程序需要持久化存储。在CentOS Stream容器环境中，可以使用多种存储解决方案：

Docker存储配置

1. 查看Docker存储信息：

sudo docker info | grep "Storage Driver"

复制代码

1. 创建数据卷：

sudo docker volume create my-volume

复制代码

1. 挂载数据卷到容器：

sudo docker run -d -v my-volume:/app/data nginx

复制代码

1. 挂载主机目录到容器：

sudo docker run -d -v /host/path:/container/path nginx

复制代码

Podman存储配置

1. 查看Podman存储信息：

podman info | grep "graphRoot"

复制代码

1. 创建数据卷：

podman volume create my-volume

复制代码

1. 挂载数据卷到容器：

podman run -d -v my-volume:/app/data nginx

复制代码

1. 挂载主机目录到容器：

podman run -d -v /host/path:/container/path nginx

复制代码

Kubernetes持久化存储

在Kubernetes中，可以使用PersistentVolume和PersistentVolumeClaim来管理持久化存储：

1. 创建PersistentVolume：

apiVersion: v1
kind: PersistentVolume
metadata:
name: my-pv
spec:
capacity:
storage: 5Gi
volumeMode: Filesystem
accessModes:
- ReadWriteOnce
persistentVolumeReclaimPolicy: Retain
storageClassName: manual
hostPath:
path: /mnt/data

复制代码

1. 创建PersistentVolumeClaim：

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: my-pvc
spec:
accessModes:
- ReadWriteOnce
volumeMode: Filesystem
resources:
requests:
storage: 5Gi
storageClassName: manual

复制代码

1. 在Pod中使用PVC：

apiVersion: v1
kind: Pod
metadata:
name: my-pod
spec:
containers:
- name: my-container
image: nginx
volumeMounts:
- mountPath: "/usr/share/nginx/html"
name: my-storage
volumes:
- name: my-storage
persistentVolumeClaim:
claimName: my-pvc

复制代码

高级存储解决方案

对于生产环境，可以考虑以下高级存储解决方案：

1. Ceph：分布式存储系统，提供块、对象和文件存储。
2. GlusterFS：可扩展的网络文件系统。
3. NFS：网络文件系统，适合共享存储。

Ceph：分布式存储系统，提供块、对象和文件存储。

GlusterFS：可扩展的网络文件系统。

NFS：网络文件系统，适合共享存储。

以NFS为例，配置步骤如下：

1. 安装NFS服务器：

sudo dnf install -y nfs-utils

复制代码

1. 创建共享目录：

sudo mkdir -p /nfs/share
sudo chmod 777 /nfs/share

复制代码

1. 配置NFS导出：

echo "/nfs/share *(rw,sync,no_root_squash)" | sudo tee -a /etc/exports

复制代码

1. 启动NFS服务：

sudo systemctl enable --now nfs-server

复制代码

1. 在客户端挂载NFS共享：

sudo dnf install -y nfs-utils
sudo mkdir -p /mnt/nfs
sudo mount -t nfs <nfs-server-ip>:/nfs/share /mnt/nfs

复制代码

安全设置

容器安全基础

容器安全是容器平台的重要组成部分，需要从多个层面进行保护：

1. 使用非root用户运行容器：

# Dockerfile示例
FROM alpine
RUN addgroup -g 1001 -S appgroup && \
adduser -u 1001 -S appuser -G appgroup
USER appuser

复制代码

1. 限制容器能力：

sudo docker run --cap-drop ALL --cap-add NET_BIND_SERVICE nginx

复制代码

1. 使用只读根文件系统：

sudo docker run --read-only nginx

复制代码

1. 使用官方镜像或可信来源的镜像。
2. 定期扫描镜像漏洞：

使用官方镜像或可信来源的镜像。

定期扫描镜像漏洞：

sudo dnf install -y clamav
freshclam
clamscan --infected --remove --recursive /var/lib/docker

复制代码

1. 使用多阶段构建减少镜像大小和攻击面：

# 构建阶段
FROM golang:1.16 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp .
# 运行阶段
FROM alpine:latest
WORKDIR /app
COPY --from=builder /app/myapp .
CMD ["./myapp"]

复制代码

网络安全

1. 使用网络隔离：

sudo docker network create --internal isolated-network

复制代码

1. 限制容器端口暴露：

sudo docker run -p 127.0.0.1:8080:80 nginx

复制代码

1. 使用TLS加密通信：

sudo docker run -d \
--name registry \
-v /path/to/certs:/certs \
-e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
-p 443:443 \
registry:2

复制代码

Kubernetes安全

1. 使用RBAC控制访问：

apiVersion: v1
kind: ServiceAccount
metadata:
name: my-service-account
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: my-role
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: my-role-binding
subjects:
- kind: ServiceAccount
name: my-service-account
roleRef:
kind: Role
name: my-role
apiGroup: rbac.authorization.k8s.io

复制代码

1. 使用Pod Security Policies：

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: my-psp
spec:
privileged: false
allowPrivilegeEscalation: false
requiredDropCapabilities:
- ALL
volumes:
- 'configMap'
- 'emptyDir'
- 'projected'
- 'secret'
- 'downwardAPI'
- 'persistentVolumeClaim'
runAsUser:
rule: 'MustRunAsNonRoot'
seLinux:
rule: 'RunAsAny'
fsGroup:
rule: 'RunAsAny'

复制代码

1. 使用网络策略：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: my-network-policy
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
ingress:
- from:
- namespaceSelector:
matchLabels:
project: myproject
ports:
- protocol: TCP
port: 80

复制代码

服务启动与管理

容器服务管理

1. 启动容器：

sudo docker run -d --name my-nginx -p 80:80 nginx

复制代码

1. 停止容器：

sudo docker stop my-nginx

复制代码

1. 重启容器：

sudo docker restart my-nginx

复制代码

1. 查看容器日志：

sudo docker logs my-nginx

复制代码

1. 进入容器：

sudo docker exec -it my-nginx /bin/bash

复制代码

1. 启动容器：

podman run -d --name my-nginx -p 80:80 nginx

复制代码

1. 停止容器：

podman stop my-nginx

复制代码

1. 重启容器：

podman restart my-nginx

复制代码

1. 查看容器日志：

podman logs my-nginx

复制代码

1. 进入容器：

podman exec -it my-nginx /bin/bash

复制代码

使用systemd管理容器

可以使用systemd来管理容器，使其在系统启动时自动启动：

1. 创建systemd服务文件：

sudo tee /etc/systemd/system/nginx-container.service > /dev/null <<EOL
[Unit]
Description=Nginx Container
After=docker.service
Requires=docker.service
[Service]
Restart=always
ExecStart=/usr/bin/docker run -p 80:80 --name nginx nginx
ExecStop=/usr/bin/docker stop -t 2 nginx
ExecStopPost=/usr/bin/docker rm -f nginx
[Install]
WantedBy=multi-user.target
EOL

复制代码

1. 重新加载systemd配置：

sudo systemctl daemon-reload

复制代码

1. 启动并启用服务：

sudo systemctl start nginx-container
sudo systemctl enable nginx-container

复制代码

Kubernetes服务管理

1. 创建Deployment：

apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
spec:
replicas: 3
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: nginx:1.14.2
ports:
- containerPort: 80

复制代码

1. 创建Service：

apiVersion: v1
kind: Service
metadata:
name: nginx-service
spec:
selector:
app: nginx
ports:
- protocol: TCP
port: 80
targetPort: 80
type: LoadBalancer

复制代码

1. 应用配置：

kubectl apply -f nginx-deployment.yaml
kubectl apply -f nginx-service.yaml

复制代码

1. 查看服务状态：

kubectl get deployments
kubectl get services
kubectl get pods

复制代码

常见问题及解决方案

容器启动失败

解决方案：

1. 查看端口占用情况：

sudo netstat -tlnp | grep :80

复制代码

1. 停止占用端口的进程或更改容器端口映射：

sudo docker run -d --name my-nginx -p 8080:80 nginx

复制代码

解决方案：

1. 查看容器日志：

sudo docker logs my-container

复制代码

1. 确保容器有前台进程运行：

# Dockerfile示例
FROM alpine
CMD ["tail", "-f", "/dev/null"]

复制代码

1. 交互式运行容器进行调试：

sudo docker run -it --entrypoint /bin/sh my-image

复制代码

网络连接问题

解决方案：

1. 检查防火墙设置：

sudo firewall-cmd --list-all

复制代码

1. 添加必要的防火墙规则：

sudo firewall-cmd --permanent --add-masquerade
sudo firewall-cmd --reload

复制代码

1. 检查Docker网络配置：

sudo docker network inspect bridge

复制代码

解决方案：

1. 确保容器在同一网络中：

sudo docker network create my-network
sudo docker run -d --name container1 --network my-network my-image
sudo docker run -d --name container2 --network my-network my-image

复制代码

1. 使用容器名称进行通信：

sudo docker exec -it container1 ping container2

复制代码

存储问题

解决方案：

1. 检查主机目录是否存在：

ls -la /host/path

复制代码

1. 确保目录权限正确：

sudo chmod 755 /host/path

复制代码

1. 检查SELinux设置：

sudo chcon -Rt svirt_sandbox_file_t /host/path

复制代码

解决方案：

1. 确保正确使用数据卷：

sudo docker run -d -v my-volume:/app/data my-image

复制代码

1. 定期备份数据卷：

sudo docker run --rm -v my-volume:/source -v $(pwd):/backup alpine tar cvf /backup/my-volume-backup.tar /source

复制代码

性能问题

解决方案：

1. 检查资源使用情况：

sudo docker stats

复制代码

1. 限制容器资源使用：

sudo docker run -d --memory="512m" --cpus="1.0" my-image

复制代码

1. 优化镜像大小：

# 使用多阶段构建
FROM golang:1.16 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp .
FROM alpine:latest
WORKDIR /app
COPY --from=builder /app/myapp .
CMD ["./myapp"]

复制代码

解决方案：

1. 清理未使用的Docker资源：

sudo docker system prune -a

复制代码

1. 更改Docker存储位置：

sudo systemctl stop docker
sudo mkdir -p /new/docker/path
sudo rsync -avP /var/lib/docker/ /new/docker/path
sudo vi /etc/docker/daemon.json

复制代码

在daemon.json中添加：

{
"data-root": "/new/docker/path"
}

复制代码

然后重启Docker服务：

sudo systemctl start docker

复制代码

Kubernetes问题

解决方案：

1. 检查Pod事件：

kubectl describe pod <pod-name>

复制代码

1. 检查节点资源：

kubectl describe nodes

复制代码

1. 检查PVC状态（如果使用持久化存储）：

kubectl get pvc

复制代码

解决方案：

1. 查看Pod日志：

kubectl logs <pod-name>
kubectl logs <pod-name> --previous

复制代码

1. 检查Pod状态：

kubectl describe pod <pod-name>

复制代码

1. 检查资源限制：

kubectl get pod <pod-name> -o yaml | grep -A 10 resources

复制代码

性能优化

容器性能优化

1. 使用多阶段构建减少镜像大小：

# 构建阶段
FROM golang:1.16 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp .
# 运行阶段
FROM alpine:latest
WORKDIR /app
COPY --from=builder /app/myapp .
CMD ["./myapp"]

复制代码

1. 使用轻量级基础镜像：

# 使用alpine代替ubuntu
FROM alpine:latest
RUN apk add --no-cache nginx
CMD ["nginx", "-g", "daemon off;"]

复制代码

1. 合并RUN指令减少层数：

# 不推荐
FROM alpine
RUN apk add --no-cache curl
RUN apk add --no-cache wget
RUN apk add --no-cache git
# 推荐
FROM alpine
RUN apk add --no-cache curl wget git

复制代码

1. 设置CPU和内存限制：

sudo docker run -d --memory="512m" --cpus="1.0" my-image

复制代码

1. 在Kubernetes中设置资源限制：

apiVersion: v1
kind: Pod
metadata:
name: my-pod
spec:
containers:
- name: my-container
image: my-image
resources:
requests:
memory: "64Mi"
cpu: "250m"
limits:
memory: "128Mi"
cpu: "500m"

复制代码

系统性能优化

1. 调整内核参数：

# 编辑sysctl配置
sudo tee -a /etc/sysctl.conf > /dev/null <<EOL
# 增加文件描述符限制
fs.file-max = 100000
# 优化网络参数
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 120
net.ipv4.ip_local_port_range = 10000 65000
EOL

复制代码

1. 应用配置：

sudo sysctl -p

复制代码

1. 使用高性能存储：

# 使用SSD存储
sudo mkfs.ext4 /dev/sdb
sudo mount /dev/sdb /var/lib/docker

复制代码

1. 调整文件系统参数：

# 添加noatime选项减少磁盘I/O
sudo vi /etc/fstab

复制代码

在/etc/fstab中添加noatime选项：

/dev/sdb /var/lib/docker ext4 defaults,noatime 0 0

复制代码

然后重新挂载：

sudo mount -o remount /var/lib/docker

复制代码

网络性能优化

1. 使用高性能网络插件：

# 安装Calico网络插件
kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml

复制代码

1. 优化网络参数：

# 编辑网络配置
sudo tee -a /etc/sysctl.conf > /dev/null <<EOL
# 优化网络性能
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_congestion_control = bbr
net.ipv4.tcp_fastopen = 3
EOL

复制代码

1. 应用配置：

sudo sysctl -p

复制代码

1. 使用高效的负载均衡器：

apiVersion: v1
kind: Service
metadata:
name: my-service
spec:
selector:
app: my-app
ports:
- protocol: TCP
port: 80
targetPort: 8080
type: LoadBalancer
externalTrafficPolicy: Local

复制代码

1. 配置HPA（Horizontal Pod Autoscaler）：

apiVersion: autoscaling/v2beta2
kind: HorizontalPodAutoscaler
metadata:
name: my-hpa
spec:
scaleTargetRef:
apiVersion: apps/v1
kind: Deployment
name: my-deployment
minReplicas: 1
maxReplicas: 10
metrics:
- type: Resource
resource:
name: cpu
target:
type: Utilization
averageUtilization: 50

复制代码

监控与日志

容器监控

1. 部署Prometheus：

apiVersion: v1
kind: ConfigMap
metadata:
name: prometheus-config
data:
prometheus.yml: |
global:
scrape_interval: 15s
scrape_configs:
- job_name: 'kubernetes-pods'
kubernetes_sd_configs:
- role: pod
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: prometheus
spec:
replicas: 1
selector:
matchLabels:
app: prometheus
template:
metadata:
labels:
app: prometheus
spec:
containers:
- name: prometheus
image: prom/prometheus:latest
ports:
- containerPort: 9090
volumeMounts:
- name: config-volume
mountPath: /etc/prometheus
volumes:
- name: config-volume
configMap:
name: prometheus-config

复制代码

1. 部署Grafana：

apiVersion: apps/v1
kind: Deployment
metadata:
name: grafana
spec:
replicas: 1
selector:
matchLabels:
app: grafana
template:
metadata:
labels:
app: grafana
spec:
containers:
- name: grafana
image: grafana/grafana:latest
ports:
- containerPort: 3000
env:
- name: GF_SECURITY_ADMIN_PASSWORD
value: "admin"
---
apiVersion: v1
kind: Service
metadata:
name: grafana
spec:
selector:
app: grafana
ports:
- protocol: TCP
port: 80
targetPort: 3000
type: LoadBalancer

复制代码

cAdvisor是Google开发的容器资源监控工具：

# 运行cAdvisor
sudo docker run \
--volume=/:/rootfs:ro \
--volume=/var/run:/var/run:ro \
--volume=/sys:/sys:ro \
--volume=/var/lib/docker/:/var/lib/docker:ro \
--publish=8080:8080 \
--detach=true \
--name=cadvisor \
google/cadvisor:latest

复制代码

日志管理

1. 部署Elasticsearch：

apiVersion: apps/v1
kind: Deployment
metadata:
name: elasticsearch
spec:
replicas: 1
selector:
matchLabels:
app: elasticsearch
template:
metadata:
labels:
app: elasticsearch
spec:
containers:
- name: elasticsearch
image: elasticsearch:7.10.1
env:
- name: discovery.type
value: single-node
ports:
- containerPort: 9200
---
apiVersion: v1
kind: Service
metadata:
name: elasticsearch
spec:
selector:
app: elasticsearch
ports:
- protocol: TCP
port: 9200
targetPort: 9200

复制代码

1. 部署Kibana：

apiVersion: apps/v1
kind: Deployment
metadata:
name: kibana
spec:
replicas: 1
selector:
matchLabels:
app: kibana
template:
metadata:
labels:
app: kibana
spec:
containers:
- name: kibana
image: kibana:7.10.1
env:
- name: ELASTICSEARCH_HOSTS
value: http://elasticsearch:9200
ports:
- containerPort: 5601
---
apiVersion: v1
kind: Service
metadata:
name: kibana
spec:
selector:
app: kibana
ports:
- protocol: TCP
port: 5601
targetPort: 5601
type: LoadBalancer

复制代码

1. 部署Filebeat：

apiVersion: apps/v1
kind: DaemonSet
metadata:
name: filebeat
spec:
selector:
matchLabels:
app: filebeat
template:
metadata:
labels:
app: filebeat
spec:
containers:
- name: filebeat
image: elastic/filebeat:7.10.1
volumeMounts:
- name: varlog
mountPath: /var/log
- name: varlibdockercontainers
mountPath: /var/lib/docker/containers
volumes:
- name: varlog
hostPath:
path: /var/log
- name: varlibdockercontainers
hostPath:
path: /var/lib/docker/containers

复制代码

Fluentd是另一个流行的日志收集工具：

apiVersion: apps/v1
kind: DaemonSet
metadata:
name: fluentd
spec:
selector:
matchLabels:
app: fluentd
template:
metadata:
labels:
app: fluentd
spec:
containers:
- name: fluentd
image: fluent/fluentd:v1.12-1
volumeMounts:
- name: varlog
mountPath: /var/log
- name: varlibdockercontainers
mountPath: /var/lib/docker/containers
- name: config-volume
mountPath: /fluentd/etc
volumes:
- name: varlog
hostPath:
path: /var/log
- name: varlibdockercontainers
hostPath:
path: /var/lib/docker/containers
- name: config-volume
configMap:
name: fluentd-config
---
apiVersion: v1
kind: ConfigMap
metadata:
name: fluentd-config
data:
fluent.conf: |
<source>
@type tail
path /var/log/containers/*.log
pos_file /var/log/fluentd-containers.log.pos
tag kubernetes.*
format json
time_format %Y-%m-%dT%H:%M:%S.%NZ
</source>
<match kubernetes.**>
@type elasticsearch
host elasticsearch
port 9200
index_name fluentd
type_name _doc
</match>

复制代码

总结

本文详细介绍了在CentOS Stream上构建容器运行环境的完整流程，从环境准备到服务启动的全过程。我们涵盖了以下关键方面：

1. 环境准备：详细介绍了CentOS Stream的系统要求、安装步骤和基础配置。
2. 容器运行时安装：提供了Docker、Podman和CRI-O的安装和配置方法。
3. Kubernetes集群部署：介绍了如何部署单节点Kubernetes集群。
4. 容器编排工具配置：提供了Docker Compose和Podman Compose的安装和使用方法。
5. 网络配置：详细介绍了容器网络的基础知识和高级配置。
6. 存储配置：涵盖了持久化存储的各种方案，包括本地存储、NFS和分布式存储。
7. 安全设置：从容器运行时、镜像、网络和Kubernetes等多个层面介绍了安全配置。
8. 服务启动与管理：提供了容器服务和Kubernetes服务的管理方法。
9. 常见问题及解决方案：针对容器启动失败、网络连接问题、存储问题和性能问题提供了详细的解决方案。
10. 性能优化：从镜像优化、资源限制、内核参数调优、存储性能优化和网络性能优化等方面提供了性能优化建议。
11. 监控与日志：介绍了使用Prometheus、Grafana、ELK Stack和Fluentd等工具进行监控和日志管理的方法。

环境准备：详细介绍了CentOS Stream的系统要求、安装步骤和基础配置。

容器运行时安装：提供了Docker、Podman和CRI-O的安装和配置方法。

Kubernetes集群部署：介绍了如何部署单节点Kubernetes集群。

容器编排工具配置：提供了Docker Compose和Podman Compose的安装和使用方法。

网络配置：详细介绍了容器网络的基础知识和高级配置。

存储配置：涵盖了持久化存储的各种方案，包括本地存储、NFS和分布式存储。

安全设置：从容器运行时、镜像、网络和Kubernetes等多个层面介绍了安全配置。

服务启动与管理：提供了容器服务和Kubernetes服务的管理方法。

常见问题及解决方案：针对容器启动失败、网络连接问题、存储问题和性能问题提供了详细的解决方案。

性能优化：从镜像优化、资源限制、内核参数调优、存储性能优化和网络性能优化等方面提供了性能优化建议。

监控与日志：介绍了使用Prometheus、Grafana、ELK Stack和Fluentd等工具进行监控和日志管理的方法。

通过遵循本文提供的步骤和建议，您可以在CentOS Stream上构建一个稳定、高效、安全的容器平台，为您的应用提供强大的运行环境。无论是开发环境、测试环境还是生产环境，这些配置和优化措施都能帮助您充分利用容器技术的优势，提高应用的可靠性和性能。

随着容器技术的不断发展，CentOS Stream作为一个稳定且先进的Linux发行版，为容器化应用提供了理想的基础平台。希望本文能够帮助您成功构建和管理自己的容器环境，为您的业务发展提供强有力的技术支持。

	通知：关于部分勋章领取条件及购买价格调整的通知	05-18 21:22
	通知：本站资源由网友上传分享，如有违规等问题请到版务模块进行投诉，资源失效请在帖子内回复要求补档，会尽快处理！	10-23 09:31

活动公告

CentOS Stream容器运行环境配置实战步骤详解与常见问题解决从环境准备到服务启动手把手教你构建稳定高效的容器平台

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

浏览过的版块

塔罗

立华奏

站长推荐 /1

友情链接

Tencent QQ