k8s在centos上的自动化运维

在 CentOS 上落地 Kubernetes 自动化运维

一 架构与工具选型

• 基础设施即代码与配置管理：使用 Ansible 批量配置系统、分发密钥、安装依赖；用 Terraform 管理云上资源（如 VPC、ECS、SLB），实现可重复交付与回滚。
• 集群搭建与生命周期：优先选择 kubeadm 搭建集群，或使用 Kubespray 进行多节点自动化部署与升级，减少手工介入。
• 持续交付与 GitOps：用 Argo CD 或 Jenkins/GitLab CI 实现声明式应用交付与自动同步，配合镜像仓库与版本策略实现零停机发布。
• 可观测性：以 Prometheus + Grafana 做指标监控与告警，以 ELK/EFK 做日志采集、检索与可视化，形成统一观测面。
• 平台化能力：引入 KubeSphere 提供多租户、DevOps、日志与监控的一体化控制台，降低团队使用门槛。

二 自动化部署流程

• 基线准备（Ansible 示例要点）
  • 关闭 firewalld、设置 SELinux=disabled、禁用 swap、配置 /etc/hosts 与 主机名。
  • 内核参数与转发：开启桥接流量进入 iptables、开启 ip_forward，示例：
    • net.bridge.bridge-nf-call-ip6tables = 1
    • net.bridge.bridge-nf-call-iptables = 1
    • net.ipv4.ip_forward = 1
  • 时间同步：安装 ntpdate 或 chrony 并校时。
• 容器运行时
  • 安装 Docker CE（或 containerd），配置镜像加速（可选），设置开机自启。
• Kubernetes 组件
  • 配置 kubernetes.repo，安装 kubelet/kubeadm/kubectl，启用 kubelet 服务。
• 初始化控制平面
  • 执行 kubeadm init（可按需指定 pod-network-cidr 与镜像仓库镜像源），完成后拷贝 admin.conf 到 $HOME/.kube/config。
• 工作节点加入
  • 通过 kubeadm token create --print-join-command 获取加入命令，在各节点执行加入集群。
• 网络插件
  • 部署 Calico 或 Flannel，确保 Pod 网络就绪。
• 验证
  • 检查节点状态、系统 Pod 状态与 kubelet 日志，确认集群可用。

三 自动化运维关键能力

• 持续交付与 GitOps
  • 使用 Argo CD 在集群内安装控制面，创建 Application 指向 Git 仓库（Kustomize/Helm），实现自动同步、健康评估与回滚；或采用 Jenkins/GitLab CI 推送清单至集群完成部署。
• 自动扩缩容
  • 应用层：配置 Horizontal Pod Autoscaler（HPA） 基于 CPU/内存/自定义指标 扩缩副本数。
  • 集群层：结合云厂商与 Cluster Autoscaler 实现节点自动扩容，避免资源瓶颈。
• 自愈与健康检查
  • 为工作负载配置 Liveness/Readiness Probe，异常自动重启或摘除；结合 RestartPolicy 与 PodDisruptionBudget 提升稳定性。
• 配置与密钥管理
  • 使用 ConfigMap 管理非敏感配置，Secret 管理凭据并通过 RBAC 精细化授权访问。
• 定时任务
  • 使用 CronJob 执行备份、清理、报表等批处理任务，规范执行与失败重试策略。

四 监控 日志 与 安全合规

• 监控告警
  • 部署 Prometheus 采集 kube-state-metrics、node-exporter、cAdvisor 等指标，使用 Grafana 构建面板与阈值告警，覆盖节点、Pod、控制面组件与业务指标。
• 日志管理
  • 以 EFK（Elasticsearch/Fluent Bit/Kibana） 或 ELK 采集容器标准输出与文件日志，支持多租户、检索与可视化分析，便于故障定位与审计。
• 安全与合规
  • 启用 RBAC 最小权限；通过 NetworkPolicy 实现命名空间与服务间访问控制；镜像使用可信源与 签名；敏感信息使用 Secret 并限制访问范围。

五 部署优化与最佳实践

• 资源与调度
  • 为工作负载设置合理的 requests/limits，结合 NodeSelector/Affinity/Anti-Affinity 提升高可用与资源利用率；使用 ResourceQuota/LimitRange 做命名空间级配额。
• 网络与存储
  • 选择高性能 CNI（Calico/Flannel） 并配置合适的 MTU（如 1450/1500）；通过 NetworkPolicy 限制东西向流量；使用 StorageClass 与动态供给，匹配 Ceph/NFS 等后端满足不同性能需求。
• 镜像与发布
  • 采用 轻量基础镜像（Alpine） 与 多阶段构建 减小镜像体积；合理使用 镜像缓存 加速拉取；发布侧使用 滚动更新 策略（如 maxUnavailable/maxSurge）与快速回滚能力。
• 平台化与自动化
  • 引入 KubeSphere 提供可视化运维与 DevOps 流水线；结合 Terraform/Ansible 实现集群与基础设施的可重复交付；统一 CI/CD 流程与版本标签策略，保障交付质量与可追溯性。