# Kubernetes集群部署:最佳实践指南
## 一、集群架构设计与规划
### 1.1 节点角色划分与容量规划
在Kubernetes(K8s)集群部署中,合理的节点角色划分是确保系统稳定性的基石。我们建议采用以下架构模型:
- **控制平面节点(Control Plane Node)**:运行kube-apiserver、etcd、kube-controller-manager等核心组件,建议至少3节点构成高可用集群
- **工作节点(Worker Node)**:运行实际业务负载,根据业务需求动态扩展
- **基础服务节点**:可选专用节点运行监控、日志等系统服务
根据CNCF 2023年度调查报告显示,生产环境中78%的集群采用至少5个节点配置。容量规划可参考以下公式:
```
总所需vCPU = (应用总vCPU需求 × 1.2) + 控制平面预留(4vCPU)
内存预留 = 工作节点内存 × 10%(系统预留) + 控制平面节点内存 × 15%
```
### 1.2 网络架构设计要点
Kubernetes网络模型要求每个Pod拥有唯一IP地址,我们推荐采用Calico或Cilium作为CNI插件。关键配置参数示例:
```yaml
# calico-config.yaml
apiVersion: projectcalico.org/v3
kind: CalicoNetwork
metadata:
name: calico-config
spec:
ipPool:
cidr: 192.168.0.0/16
natOutgoing: true
nodeSelector: all()
```
网络性能优化建议:
- 控制平面节点间延迟应<5ms
- Pod网络MTU建议设置为1440(适用于大多数云环境)
- 使用NetworkPolicy实施微隔离策略
## 二、高可用部署实施方案
### 2.1 控制平面高可用架构
通过kubeadm部署高可用集群时,需配置负载均衡器(如HAProxy)和冗余etcd集群。关键部署命令:
```bash
# 初始化首个控制平面节点
kubeadm init --control-plane-endpoint "LOAD_BALANCER_DNS:6443" \
--upload-certs \
--pod-network-cidr=192.168.0.0/16
# 添加额外控制平面节点
kubeadm join LOAD_BALANCER_DNS:6443 \
--token \
--discovery-token-ca-cert-hash \
--control-plane \
--certificate-key
```
### 2.2 工作节点弹性扩展策略
结合Cluster Autoscaler和Horizontal Pod Autoscaler实现智能扩缩容。典型HPA配置示例:
```yaml
apiVersion: autoscaling/v2
kind: HorizontalPodAutoscaler
metadata:
name: web-app-hpa
spec:
scaleTargetRef:
apiVersion: apps/v1
kind: Deployment
name: web-app
minReplicas: 2
maxReplicas: 10
metrics:
- type: Resource
resource:
name: cpu
target:
type: Utilization
averageUtilization: 80
```
## 三、安全加固与合规配置
### 3.1 RBAC权限管控体系
实施最小权限原则,创建细粒度角色绑定:
```yaml
# dev-team-rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: dev
name: pod-manager
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "create", "delete"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: dev-team-binding
namespace: dev
subjects:
- kind: Group
name: "dev-team"
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: pod-manager
apiGroup: rbac.authorization.k8s.io
```
### 3.2 运行时安全防护
关键加固措施包括:
1. 启用PodSecurityPolicy(PSP)或更新版本Pod Security Admission
2. 配置seccomp和AppArmor配置文件
3. 使用Trivy定期扫描容器镜像漏洞
```bash
# 检查Pod安全上下文配置
kubectl get pod -o jsonpath='{.spec.securityContext}'
```
## 四、监控与运维最佳实践
### 4.1 可观测性体系建设
推荐采用Prometheus+Grafana+AlertManager监控黄金组合。核心监控指标包括:
| 指标类型 | 关键指标 | 告警阈值 |
|-------------------|--------------------------|----------------|
| 集群健康 | API Server延迟 | >1s P99 |
| 节点资源 | 内存使用率 | >85%持续5分钟 |
| 工作负载 | Pod重启次数 | >3次/小时 |
| 存储性能 | etcd写入延迟 | >500ms |
### 4.2 灾备与恢复策略
实施定期etcd快照备份:
```bash
# 创建etcd快照
ETCDCTL_API=3 etcdctl --endpoints=https://127.0.0.1:2379 \
--cacert=/etc/kubernetes/pki/etcd/ca.crt \
--cert=/etc/kubernetes/pki/etcd/server.crt \
--key=/etc/kubernetes/pki/etcd/server.key \
snapshot save /var/lib/etcd/snapshot.db
# 恢复集群
kubeadm reset
etcdctl snapshot restore snapshot.db --data-dir /var/lib/etcd
systemctl restart kubelet
```
---
Kubernetes, 容器编排, DevOps, 云原生, 集群部署, 基础设施即代码
