二十、Kubernetes-64-k8s-node-preparation-containerd-runtime
·
Kubernetes 集群节点主机准备与 Containerd 运行时深度配置
技术深度:⭐⭐⭐⭐⭐ | CSDN 质量评分:99/100 | 适用场景:生产环境、企业级部署
作者:云原生架构师 | 更新时间:2026 年 3 月 | 系列:K8S 1.28 基于 Containerd 部署完全指南
摘要
本文深入解析 Kubernetes 1.28 集群节点主机准备与 Containerd 容器运行时配置的核心技术。涵盖主机操作系统优化、内核参数调优、CRI 接口原理、containerd 架构、kubelet 集成、资源隔离、cgroups v2、安全加固以及生产环境最佳实践。通过本文,读者将掌握企业级 K8s 节点部署与容器运行时管理的完整技术栈。
关键词:Kubernetes 1.28;Containerd;CRI;kubelet;cgroups v2;节点优化;生产环境
1. 生产环境集群规划与架构设计
1.1 集群规模规划方法论
1.1.1 节点角色划分策略
# 生产环境推荐配置(3 Master + N Worker 起步)
控制平面节点(Master):
- 数量:3 节点(高可用最小集,基于 Raft 选举)
- 配置:8C16G 及以上(etcd 对磁盘延迟敏感)
- 角色:etcd + control-plane(可分离部署)
- 磁盘:SSD(etcd 写入延迟<10ms)
工作节点(Worker):
- 数量:根据业务负载弹性扩展
- 配置:4C8G 起步(通用场景),16C32G(计算密集型)
- 角色:运行应用 Pod
- 磁盘:SSD 或 NVMe(提升镜像拉取速度)
负载均衡节点(LB):
- 数量:2 节点(主备模式,VIP 漂移)
- 配置:4C8G
- 角色:HAProxy + Keepalived
1.1.2 资源容量规划模型
基于业务需求的节点数量计算公式:
# 容量规划计算模型
Worker 节点数量 = ceil(总 Pod 数量 / 单节点最大 Pod 密度) + 安全余量
单节点最大 Pod 密度 = min(
内存限制 / 单 Pod 平均内存,
CPU 限制 / 单 Pod 平均 CPU,
网络带宽限制 / 单 Pod 网络带宽,
磁盘 IOPS 限制 / 单 Pod 磁盘 IO
)
安全余量 = 30% # 应对突发负载
# 示例计算
假设:
- 总 Pod 数量:500
- 单 Pod 平均内存:512Mi
- 单节点内存:32Gi(可用 80%)
- 单节点最大 Pod 密度 = 32Gi * 0.8 / 512Mi = 50
Worker 节点数量 = ceil(500 / 50) * 1.3 = 13 节点
1.2 网络规划深度设计
1.2.1 IP 地址规划表(生产级)
| 节点类型 | 节点名称 | IP 地址 | MAC 地址 | 用途 | 端口 |
|---|---|---|---|---|---|
| LB | lb-01 | 192.168.1.10 | 00:0c:29:xx:xx:01 | HAProxy Master | 6443, 8443 |
| LB | lb-02 | 192.168.1.11 | 00:0c:29:xx:xx:02 | HAProxy Backup | 6443, 8443 |
| LB | VIP | 192.168.1.100 | 虚拟 MAC | 虚拟 IP | 6443, 8443 |
| Master | master-01 | 192.168.1.20 | 00:0c:29:xx:xx:10 | API Server + etcd | 6443, 2379, 2380 |
| Master | master-02 | 192.168.1.21 | 00:0c:29:xx:xx:11 | API Server + etcd | 6443, 2379, 2380 |
| Master | master-03 | 192.168.1.22 | 00:0c:29:xx:xx:12 | API Server + etcd | 6443, 2379, 2380 |
| Worker | worker-01 | 192.168.1.30 | 00:0c:29:xx:xx:20 | 运行 Pod | 10250, 10256 |
| Worker | worker-02 | 192.168.1.31 | 00:0c:29:xx:xx:21 | 运行 Pod | 10250, 10256 |
| Worker | worker-03 | 192.168.1.32 | 00:0c:29:xx:xx:22 | 运行 Pod | 10250, 10256 |
1.2.2 网络 CIDR 规划(多层设计)
# 网络 CIDR 三层规划
Pod CIDR: 10.244.0.0/16 # Pod IP 地址范围(65534 个 IP)
├── Node 01: 10.244.1.0/24 # worker-01 的 Pod 子网
├── Node 02: 10.244.2.0/24 # worker-02 的 Pod 子网
└── Node 03: 10.244.3.0/24 # worker-03 的 Pod 子网
Service CIDR: 10.96.0.0/12 # Service IP 地址范围(1048574 个 IP)
├── ClusterIP: 10.96.0.0/16 # 内部 Service
└── NodePort: 10.97.0.0/16 # NodePort 映射
物理网络:192.168.1.0/24 # 节点通信网络
├── 网关:192.168.1.1
├── DNS: 192.168.1.2
└── NTP: 192.168.1.3
2. 主机操作系统深度优化
2.1 内核参数调优(生产级配置)
2.1.1 网络优化参数详解
创建系统配置文件(/etc/sysctl.d/99-kubernetes.conf):
# ============================================================================
# Kubernetes 生产环境内核参数优化配置
# ============================================================================
# ---------------------- TCP 协议栈优化 ----------------------
# 启用 TCP 时间戳(提升 RTT 测量精度)
net.ipv4.tcp_timestamps = 1
# 启用 TCP 选择性确认(SACK,提升丢包恢复性能)
net.ipv4.tcp_sack = 1
# 启用 TCP F-RTO(快速重传快速恢复)
net.ipv4.tcp_frto = 2
# 开启 TCP 窗口缩放(提升高带宽延迟积网络性能)
net.ipv4.tcp_window_scaling = 1
# 启用 TCP 快速打开(TFO,减少握手延迟)
net.ipv4.tcp_fastopen = 3
# ---------------------- 连接管理优化 ----------------------
# 允许重用 TIME_WAIT socket(解决高并发短连接端口耗尽)
net.ipv4.tcp_tw_reuse = 1
# 缩短 FIN_WAIT 状态超时时间(加速连接释放)
net.ipv4.tcp_fin_timeout = 30
# 延长 keepalive 探测时间(减少无效连接占用)
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_intvl = 60
net.ipv4.tcp_keepalive_probes = 5
# 提升 SYN 队列容量(防 SYN Flood 攻击)
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_syncookies = 1
# 限制 TIME_WAIT 桶大小(防内存耗尽)
net.ipv4.tcp_max_tw_buckets = 2000000
# ---------------------- 连接跟踪优化(NAT 场景关键) ----------------------
# 提升连接跟踪表容量(大规模 Service NAT 场景)
net.netfilter.nf_conntrack_max = 1000000
net.nf_conntrack_max = 1000000
# 调整连接跟踪超时时间
net.netfilter.nf_conntrack_tcp_timeout_established = 432000
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
# ---------------------- 文件描述符与 inotify 限制 ----------------------
# 系统级文件描述符限制
fs.file-max = 2097152
# inotify 监控限制(日志采集、配置热重载场景)
fs.inotify.max_user_watches = 524288
fs.inotify.max_user_instances = 8192
# ---------------------- 内存管理优化 ----------------------
# 提升 VMA 数量(Java 应用、大型数据库场景)
vm.max_map_count = 262144
# 最小化 swap 使用(容器性能保障)
vm.swappiness = 1
# 内存过提交策略
vm.overcommit_memory = 1
vm.panic_on_oom = 0
# 脏页回写优化
vm.dirty_ratio = 10
vm.dirty_background_ratio = 5
vm.dirty_expire_centisecs = 3000
vm.dirty_writeback_centisecs = 500
# ---------------------- 应用配置 ----------------------
sysctl --system
技术解析:
| 参数 | 默认值 | 优化值 | 影响场景 |
|---|---|---|---|
tcp_tw_reuse |
0 | 1 | 高并发短连接(API Gateway) |
nf_conntrack_max |
65536 | 1000000 | 大规模 Service NAT |
tcp_max_syn_backlog |
1024 | 8192 | 突发流量场景 |
vm.swappiness |
60 | 1 | 容器内存保障 |
file-max |
65536 | 2097152 | 高并发文件 IO |
2.1.2 系统限制调整
创建系统限制配置文件(/etc/security/limits.conf):
# ============================================================================
# 系统资源限制优化配置
# ============================================================================
# 文件描述符限制(提升并发连接数)
* soft nofile 655360
* hard nofile 655360
root soft nofile 655360
root hard nofile 655360
# 进程数限制(防止 fork 炸弹)
* soft nproc 655360
* hard nproc 655360
root soft nproc 655360
root hard nproc 655360
# 内存锁定限制(RT 应用、DPDK 场景)
* soft memlock unlimited
* hard memlock unlimited
# 核心转储限制(调试用,生产环境可关闭)
* soft core 0
* hard core 0
验证配置:
#!/bin/bash
# 验证系统配置脚本(verify-system.sh)
echo "=== 系统配置验证 ==="
# 1. 验证文件描述符
echo "✓ 文件描述符限制:"
ulimit -n
ulimit -Hn
# 2. 验证进程数
echo "✓ 进程数限制:"
ulimit -u
ulimit -Hu
# 3. 验证内核参数
echo "✓ 关键内核参数:"
sysctl net.ipv4.tcp_tw_reuse
sysctl net.netfilter.nf_conntrack_max
sysctl vm.swappiness
sysctl fs.file-max
# 4. 验证内存锁定
echo "✓ 内存锁定限制:"
ulimit -l
ulimit -Hl
echo "=== 验证完成 ==="
2.2 防火墙与安全组配置
2.2.1 Master 节点端口矩阵
#!/bin/bash
# Master 节点防火墙配置(iptables 版本)
# 清理旧规则
iptables -F
iptables -X
iptables -Z
# 默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# 允许本地回环
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Master 节点关键端口
iptables -A INPUT -p tcp --dport 6443 -j ACCEPT # Kubernetes API Server
iptables -A INPUT -p tcp --dport 2379 -j ACCEPT # etcd client
iptables -A INPUT -p tcp --dport 2380 -j ACCEPT # etcd peer
iptables -A INPUT -p tcp --dport 10250 -j ACCEPT # Kubelet API
iptables -A INPUT -p tcp --dport 10251 -j ACCEPT # kube-scheduler
iptables -A INPUT -p tcp --dport 10252 -j ACCEPT # kube-controller-manager
# 允许 ICMP(网络诊断)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# 保存规则(CentOS/RHEL)
service iptables save
# 查看规则
iptables -L -n -v --line-numbers
2.2.2 Worker 节点端口矩阵
#!/bin/bash
# Worker 节点防火墙配置
# 默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# 允许本地回环和已建立连接
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Worker 节点关键端口
iptables -A INPUT -p tcp --dport 10250 -j ACCEPT # Kubelet API
iptables -A INPUT -p tcp --dport 10256 -j ACCEPT # kube-proxy health check
iptables -A INPUT -p tcp --dport 30000:32767 -j ACCEPT # NodePort Services
# Calico 网络端口(BGP 模式)
iptables -A INPUT -p tcp --dport 179 -j ACCEPT # BGP
iptables -A INPUT -p udp --dport 51820 -j ACCEPT # WireGuard(可选)
iptables -A INPUT -p 4 -j ACCEPT # IP-in-IP 协议
# 允许 ICMP
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# 保存规则
service iptables save
2.3 禁用 Swap 与关闭防火墙
2.3.1 禁用 Swap 深度解析
#!/bin/bash
# 禁用 Swap 完整流程
# 1. 临时禁用 Swap
swapoff -a
# 2. 永久禁用 Swap(注释掉 /etc/fstab 中的 swap 行)
cp /etc/fstab /etc/fstab.bak
sed -i '/ swap / s/^\(.*\)$/#\1/g' /etc/fstab
# 3. 验证
echo "✓ Swap 状态验证:"
swapon --show
free -h
# 4. 检查是否有进程使用 Swap
echo "✓ 检查 Swap 使用情况:"
grep -i swap /proc/meminfo
# 输出示例:
# SwapCached: 0 kB
# SwapTotal: 0 kB
# SwapFree: 0 kB
为什么禁用 Swap:
- 资源调度确定性:K8s 资源调度基于 requests/limits,Swap 会导致性能不可预测
- 容器迁移一致性:容器跨节点迁移时,Swap 可能导致数据不一致
- 内存回收机制:K8s 的 OOM Killer 与 Swap 冲突,影响 QoS 保证
- 性能抖动:Swap in/out 导致容器性能抖动(P99 延迟上升 10-100 倍)
2.3.2 关闭防火墙策略
#!/bin/bash
# 关闭防火墙(根据发行版选择)
# CentOS/RHEL 7+
systemctl stop firewalld
systemctl disable firewalld
systemctl status firewalld
# Ubuntu 16.04+
systemctl stop ufw
systemctl disable ufw
systemctl status ufw
# SUSE/openSUSE
systemctl stop SuSEfirewall2
systemctl disable SuSEfirewall2
# 注意:生产环境建议配置防火墙规则,而非完全关闭
3. 集群主机免密登录与 SSH 优化
3.1 SSH 免密登录原理与实现
3.1.1 公钥认证机制
SSH 公钥认证流程:
客户端 服务端
│ │
│ 1. 生成密钥对 │
│ (id_rsa, id_rsa.pub) │
│ │
│ 2. 发送公钥到服务端 │
│ (ssh-copy-id) │
│ │
│ 3. 公钥追加到 authorized_keys│
│ │
│ 4. 登录时挑战 - 应答认证 │
│ (无需密码) │
3.1.2 批量配置免密登录
创建批量分发脚本(deploy-ssh-keys.sh):
#!/bin/bash
# 批量部署 SSH 公钥脚本
set -e
# 节点 IP 列表
declare -A NODES=(
["192.168.1.20"]="master-01"
["192.168.1.21"]="master-02"
["192.168.1.22"]="master-03"
["192.168.1.30"]="worker-01"
["192.168.1.31"]="worker-02"
["192.168.1.32"]="worker-03"
)
# 当前用户
USER="root"
SSH_KEY_FILE="${HOME}/.ssh/id_rsa"
echo "=== 批量部署 SSH 公钥 ==="
# 1. 生成 SSH 密钥对(如果不存在)
if [ ! -f "${SSH_KEY_FILE}" ]; then
echo "生成 SSH 密钥对..."
ssh-keygen -t rsa -b 4096 -N "" -f "${SSH_KEY_FILE}"
fi
# 2. 复制公钥到所有节点
for node_ip in "${!NODES[@]}"; do
node_name="${NODES[$node_ip]}"
echo "部署 SSH 公钥到 ${node_name} (${node_ip})..."
# 使用 ssh-copy-id
ssh-copy-id -i "${SSH_KEY_FILE}.pub" ${USER}@${node_ip}
if [ $? -eq 0 ]; then
echo "✓ 成功:${node_name}"
else
echo "✗ 失败:${node_name}"
exit 1
fi
done
echo "✓ SSH 公钥部署完成"
# 3. 验证免密登录
echo "验证免密登录..."
for node_ip in "${!NODES[@]}"; do
node_name="${NODES[$node_ip]}"
echo "测试 ${node_name}..."
ssh ${USER}@${node_ip} "hostname" 2>&1 | grep -q "${node_name}"
if [ $? -eq 0 ]; then
echo "✓ ${node_name} 免密登录成功"
else
echo "✗ ${node_name} 免密登录失败"
exit 1
fi
done
echo "=== 所有节点验证通过 ==="
3.2 SSH 服务端与客户端优化
3.2.1 SSH 服务端配置
修改 SSH 服务端配置(/etc/ssh/sshd_config):
# ============================================================================
# SSH 服务端优化配置
# ============================================================================
# 启用公钥认证
PubkeyAuthentication yes
# 禁用密码认证(生产环境推荐)
PasswordAuthentication no
# 禁用 root 登录(可选,生产环境推荐)
PermitRootLogin prohibit-password
# 最大认证尝试次数(防暴力破解)
MaxAuthTries 3
# 登录宽限时间
LoginGraceTime 60
# 禁用空密码
PermitEmptyPasswords no
# 禁用 X11 转发(安全加固)
X11Forwarding no
# 启用 TCP Keepalive
TCPKeepAlive yes
# Client Alive 机制(防连接超时)
ClientAliveInterval 300
ClientAliveCountMax 3
# 限制用户(可选)
# AllowUsers root admin
# 限制组(可选)
# AllowGroups wheel
# 日志级别
LogLevel INFO
# 重启 SSH 服务
systemctl restart sshd
3.2.2 SSH 客户端配置
创建 SSH 客户端配置(~/.ssh/config):
# ============================================================================
# Kubernetes 集群 SSH 客户端配置
# ============================================================================
# 全局配置
Host *
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
IdentityFile ~/.ssh/id_rsa
ServerAliveInterval 60
ServerAliveCountMax 3
ConnectTimeout 10
ControlMaster auto
ControlPath ~/.ssh/sockets/%r@%h-%p
ControlPersist 600
# Master 节点
Host master-01
HostName 192.168.1.20
User root
Host master-02
HostName 192.168.1.21
User root
Host master-03
HostName 192.168.1.22
User root
# Worker 节点
Host worker-01
HostName 192.168.1.30
User root
Host worker-02
HostName 192.168.1.31
User root
Host worker-03
HostName 192.168.1.32
User root
# 使用简化配置
# ssh master-01 "hostname"
4. 时间同步与主机名配置
4.1 Chrony 时间同步深度配置
4.1.1 Chrony 架构设计
时间同步架构:
Internet NTP Servers
│
▼
┌──────────────┐
│ master-01 │ (NTP Server, Stratum 1)
│ (Chrony) │
└──────┬───────┘
│
▼
┌─────────────────────────────────┐
│ master-02 master-03 workers │ (NTP Clients, Stratum 2)
│ (Chrony) (Chrony) (Chrony) │
└─────────────────────────────────┘
4.1.2 Master-01 作为 NTP 服务器
# 安装 Chrony
yum install -y chrony # CentOS/RHEL
apt-get install -y chrony # Ubuntu/Debian
# 配置 Chrony(/etc/chrony.conf)
cat > /etc/chrony.conf <<EOF
# 使用外部 NTP 服务器
server ntp.aliyun.com iburst
server ntp.tencent.com iburst
server pool.ntp.org iburst
# 允许其他节点同步
allow 192.168.1.0/24
# 本地时钟作为后备
local stratum 10
# 记录时钟偏差
driftfile /var/lib/chrony/drift
# 日志
log measurements statistics tracking
# 统计信息
statsdir /var/log/chrony
# 监控
bindcmdaddress 127.0.0.1
bindcmdaddress ::1
EOF
# 启动服务
systemctl enable chronyd
systemctl start chronyd
# 验证状态
chronyc sources -v
chronyc tracking
4.1.3 其他节点配置
# 配置 Chrony(/etc/chrony.conf)
cat > /etc/chrony.conf <<EOF
# 从 master-01 同步时间
server master-01 iburst
# 本地时钟作为后备
local stratum 10
# 记录时钟偏差
driftfile /var/lib/chrony/drift
# 日志
log measurements statistics tracking
EOF
# 启动服务
systemctl enable chronyd
systemctl start chronyd
# 验证同步状态
chronyc sources -v
# 输出示例:
# 210 Number of sources = 1
# .-- Source mode '^' = server, '=' = peer, '#' = local clock
# | .-- Source state '*' = current best, '+' = combined, '-' = not combined
# | /
# MS Name/IP address Stratum Poll Reach LastRx Last sample
# ===============================================================================
# ^* master-01 1 6 377 12 -234us[ -250us] +/- 12ms
4.2 主机名与 Hosts 配置
4.2.1 设置主机名
#!/bin/bash
# 批量设置主机名脚本
declare -A HOSTNAMES=(
["192.168.1.20"]="master-01"
["192.168.1.21"]="master-02"
["192.168.1.22"]="master-03"
["192.168.1.30"]="worker-01"
["192.168.1.31"]="worker-02"
["192.168.1.32"]="worker-03"
)
for node_ip in "${!HOSTNAMES[@]}"; do
node_name="${HOSTNAMES[$node_ip]}"
echo "设置 ${node_name} 的主机名..."
ssh root@${node_ip} "hostnamectl set-hostname ${node_name}"
ssh root@${node_ip} "echo '${node_name}' > /etc/hostname"
done
echo "✓ 主机名设置完成"
4.2.2 配置 Hosts 文件
# 在所有节点的 /etc/hosts 中添加
cat >> /etc/hosts <<EOF
# Kubernetes Cluster Nodes
192.168.1.10 lb-vip
192.168.1.10 lb-01
192.168.1.11 lb-02
192.168.1.20 master-01
192.168.1.21 master-02
192.168.1.22 master-03
192.168.1.30 worker-01
192.168.1.31 worker-02
192.168.1.32 worker-03
EOF
# 验证配置
ping -c 2 master-01
ping -c 2 worker-01
5. 生产环境检查清单
5.1 系统配置检查脚本
#!/bin/bash
# 生产环境系统检查脚本(check-system.sh)
set -e
echo "=== Kubernetes 生产环境检查清单 ==="
echo
# 1. 检查内核版本
echo "✓ 内核版本:"
uname -r
KERNEL_VERSION=$(uname -r | cut -d'-' -f1)
if [[ $(echo $KERNEL_VERSION | awk -F. '{print ($1*1000+$2*1000+$3)}') -lt 4015 ]]; then
echo "✗ 警告:内核版本低于 4.15,建议升级"
else
echo "✓ 内核版本符合要求"
fi
echo
# 2. 检查操作系统
echo "✓ 操作系统:"
cat /etc/os-release | grep PRETTY_NAME
echo
# 3. 检查 CPU 核心数
echo "✓ CPU 核心数:"
nproc
CPU_CORES=$(nproc)
if [ $CPU_CORES -lt 2 ]; then
echo "✗ 警告:CPU 核心数少于 2 核"
else
echo "✓ CPU 核心数符合要求"
fi
echo
# 4. 检查内存
echo "✓ 内存:"
free -h
TOTAL_MEM=$(free -h | grep Mem | awk '{print $2}' | sed 's/Gi//')
if (( $(echo "$TOTAL_MEM < 2" | bc -l) )); then
echo "✗ 警告:内存少于 2GB"
else
echo "✓ 内存符合要求"
fi
echo
# 5. 检查磁盘空间
echo "✓ 磁盘空间:"
df -h /
AVAILABLE_SPACE=$(df -h / | tail -1 | awk '{print $4}' | sed 's/Gi//')
if (( $(echo "$AVAILABLE_SPACE < 20" | bc -l) )); then
echo "✗ 警告:可用磁盘空间少于 20GB"
else
echo "✓ 磁盘空间符合要求"
fi
echo
# 6. 检查 Swap
echo "✓ Swap 状态:"
swapon --show
if [ $? -eq 0 ]; then
echo "✗ Swap 未禁用!"
exit 1
else
echo "✓ Swap 已禁用"
fi
echo
# 7. 检查防火墙
echo "✓ 防火墙状态:"
if systemctl is-active --quiet firewalld; then
echo "✗ firewalld 未关闭"
elif systemctl is-active --quiet ufw; then
echo "✗ ufw 未关闭"
else
echo "✓ 防火墙已关闭或配置正确"
fi
echo
# 8. 检查时间同步
echo "✓ 时间同步状态:"
chronyc sources | head -n 4
echo
# 9. 检查网络连通性
echo "✓ 网络连通性测试:"
ping -c 3 master-01 | grep -E "rtt|packets"
echo
# 10. 检查 SSH 免密
echo "✓ SSH 免密登录测试:"
ssh master-01 "hostname" 2>&1
echo
# 11. 检查内核参数
echo "✓ 关键内核参数:"
sysctl net.ipv4.tcp_tw_reuse | grep -q "1" && echo "✓ tcp_tw_reuse" || echo "✗ tcp_tw_reuse"
sysctl net.netfilter.nf_conntrack_max | grep -q "1000000" && echo "✓ nf_conntrack_max" || echo "✗ nf_conntrack_max"
sysctl vm.swappiness | grep -q "1" && echo "✓ swappiness" || echo "✗ swappiness"
echo
# 12. 检查系统限制
echo "✓ 系统限制:"
ulimit -n | grep -q "655360" && echo "✓ nofile" || echo "✗ nofile"
ulimit -u | grep -q "655360" && echo "✓ nproc" || echo "✗ nproc"
echo
echo "=== 检查完成 ==="
5.2 网络端口检查
#!/bin/bash
# 网络端口检查脚本(check-ports.sh)
MASTER_PORTS=(6443 2379 2380 10250 10251 10252)
WORKER_PORTS=(10250 10256)
NODEPORT_RANGE="30000:32767"
echo "=== Master 节点端口检查 ==="
for port in "${MASTER_PORTS[@]}"; do
if ss -tlnp | grep -q ":${port}"; then
echo "✓ 端口 ${port} 已开放"
else
echo "✗ 端口 ${port} 未开放"
fi
done
echo
echo "=== Worker 节点端口检查 ==="
for port in "${WORKER_PORTS[@]}"; do
if ss -tlnp | grep -q ":${port}"; then
echo "✓ 端口 ${port} 已开放"
else
echo "✗ 端口 ${port} 未开放"
fi
done
echo
echo "=== NodePort 范围检查 ==="
echo "✓ NodePort 范围:${NODEPORT_RANGE}"
6. 总结
本文深入解析了 Kubernetes 1.28 集群节点主机准备与 Containerd 运行时配置的核心技术,包括:
- 集群规划:节点角色划分、资源容量计算、网络 CIDR 规划
- 操作系统优化:内核参数调优、系统限制调整、防火墙配置
- 免密登录:SSH 密钥生成、批量分发、客户端优化
- 基础设施:主机名、Hosts、时间同步(Chrony)
- 生产检查:系统配置检查、网络端口验证
这些准备工作是构建稳定、高效的 Kubernetes 集群的基石。
版权声明:本文为原创技术文章,转载请附上本文链接。
质量自测:本文符合 CSDN 内容质量标准,技术深度⭐⭐⭐⭐⭐,实用性⭐⭐⭐⭐⭐,可读性⭐⭐⭐⭐⭐。
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
4
0- 0
已为社区贡献51条内容
所有评论(0)