Sealos私有化部署完全指南：从环境准备到生产就绪

一、私有化部署的必要性解析

在数字化转型浪潮中，企业对于核心业务系统的自主可控需求日益强烈。Sealos作为基于Kubernetes的云操作系统，其私有化部署方案能够有效解决三大痛点：

1. 数据主权保障：完全掌控集群数据，消除公有云服务的数据跨境风险
2. 性能深度优化：根据企业硬件环境定制存储、网络配置，提升资源利用率达40%以上
3. 合规性要求满足：符合等保2.0三级标准，支持审计日志全量留存

某金融行业客户案例显示，通过Sealos私有化部署，其核心交易系统响应时间缩短至8ms以内，年运维成本降低65%。

二、部署前环境准备

1. 硬件资源规划

组件	最小配置	推荐配置
控制节点	4核8G + 100G磁盘	8核16G + 200G NVMe SSD
计算节点	8核16G + 200G磁盘	16核32G + 500G NVMe SSD
存储节点	12核24G + 4TB HDD	16核32G + 8TB SSD阵列

建议采用3节点以上高可用架构，网络带宽不低于10Gbps，时延控制在0.5ms以内。

2. 操作系统要求

• 基础系统：CentOS 7.9/Ubuntu 20.04 LTS
• 内核版本：5.4+（需启用OverlayFS）
• 预装工具：

  yum install -y conntrack ipset ebtables socat
  apt-get install -y conntrack ipset ebtables socat

3. 网络环境配置

1. 核心交换机需开启Jumbo Frame（MTU=9000）
2. 配置NTP服务同步：

   timedatectl set-ntp true
   systemctl enable --now chronyd

3. 防火墙规则示例：

   iptables -A INPUT -p tcp --dport 6443 -j ACCEPT  # Kubernetes API
   iptables -A INPUT -p tcp --dport 10250 -j ACCEPT # Kubelet

三、Sealos安装实施

1. 单机版快速部署

# 下载安装包（以v4.2.0为例）
wget https://github.com/labring/sealos/releases/download/v4.2.0/sealos_4.2.0_linux_amd64.tar.gz
tar -zxvf sealos_*.tar.gz
chmod +x sealos
mv sealos /usr/local/bin/
# 执行安装（单机模式）
sealos run labring/kubernetes:v1.25.0 \
  --masters 192.168.1.100 \
  --nodes 192.168.1.101,192.168.1.102 \
  --passwd yourpassword \
  --version v1.25.0

2. 高可用集群部署

1. 负载均衡配置：

   # 安装Keepalived
   yum install -y keepalived
   # 配置文件示例（master节点）
   cat > /etc/keepalived/keepalived.conf <<EOF
   vrrp_instance VI_1 {
       state MASTER
       interface eth0
       virtual_router_id 51
       priority 100
       advert_int 1
       authentication {
           auth_type PASS
           auth_pass 1111
       }
       virtual_ipaddress {
           192.168.1.200/24
       }
   }
   EOF

2. Etcd集群配置：

   # /etc/sealos/etcd-config.yaml
   apiVersion: v1
   kind: EtcdCluster
   metadata:
     name: sealos-etcd
   spec:
     version: 3.5.4
     replicas: 3
     storage:
       type: hostPath
       path: /var/lib/etcd
     network:
       peerPort: 2380
       clientPort: 2379

四、集群管理最佳实践

1. 资源监控方案

1. Prometheus配置：

   # /etc/sealos/prometheus-config.yaml
   global:
     scrape_interval: 15s
   scrape_configs:
     - job_name: 'kubernetes-nodes'
       static_configs:
         - targets: ['192.168.1.100:9100', '192.168.1.101:9100']

2. Grafana看板设置：

   • 关键指标：CPU使用率、内存剩余量、磁盘IOPS
   • 告警阈值：CPU>85%持续5分钟，内存<15%

2. 备份恢复策略

1. Etcd数据备份：

   # 每日全量备份
   sealos etcd snapshot save /backup/etcd-snapshot-$(date +%Y%m%d).db
   # 增量备份配置
   cat > /etc/cron.d/etcd-backup <<EOF
   0 2 * * * root /usr/local/bin/sealos etcd snapshot save /backup/etcd-snapshot-\$(date +\\%Y\\%m\\%d).db
   EOF

2. 集群状态检查：

   # 节点健康检查
   sealos get nodes --no-headers | awk '{print $1}' | xargs -I {} sh -c 'echo {}; sealos top node {}'
   # 容器健康检查
   sealos get pods --all-namespaces | grep -v Running | wc -l

五、安全加固方案

1. 访问控制实施

1. RBAC高级配置：

   # 限制开发人员权限
   kind: ClusterRole
   apiVersion: rbac.authorization.k8s.io/v1
   metadata:
     name: developer-role
   rules:
   - apiGroups: [""]
     resources: ["pods", "pods/log"]
     verbs: ["get", "list", "watch"]

2. 网络策略示例：

   apiVersion: networking.k8s.io/v1
   kind: NetworkPolicy
   metadata:
     name: api-server-isolation
   spec:
     podSelector:
       matchLabels:
         app: api-server
     policyTypes:
     - Ingress
     ingress:
     - from:
       - podSelector:
           matchLabels:
             app: load-balancer
       ports:
       - protocol: TCP
         port: 6443

2. 审计日志配置

# /etc/kubernetes/audit-policy.yaml
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: RequestResponse
  verbs: ["create", "update", "delete"]
  resources:
  - group: ""
    resources: ["secrets"]

六、常见问题解决方案

1. 节点加入失败排查：

   • 检查/var/log/sealos/join.log日志
   • 验证SSH免密登录：ssh 192.168.1.101 date
   • 确认防火墙放行端口：6443,10250,2379-2380

2. 存储卷挂载问题：

   # 检查CSI驱动状态
   sealos get csidrivers
   # 查看PVC绑定状态
   sealos get pvc -n <namespace>

3. 性能调优建议：

   • 调整kubelet参数：

     # /var/lib/kubelet/config.yaml
     apiVersion: kubelet.config.k8s.io/v1beta1
     kind: KubeletConfiguration
     systemReserved:
       cpu: "500m"
       memory: "512Mi"

   • 优化conntrack表大小：

     echo "net.netfilter.nf_conntrack_max = 1048576" >> /etc/sysctl.conf
     sysctl -p

七、升级与扩展指南

1. 版本升级流程

# 1. 备份当前集群
sealos save -o backup.tar labring/kubernetes:v1.25.0
# 2. 执行升级（示例升级到v1.26.0）
sealos apply -f https://raw.githubusercontent.com/labring/sealos/main/config/upgrade-v1.26.0.yaml
# 3. 验证升级结果
sealos version --short | grep v1.26.0

2. 横向扩展方法

1. 新增计算节点：

   sealos join \
     --masters 192.168.1.100 \
     --nodes 192.168.1.103 \
     --passwd yourpassword

2. 存储节点扩展：

   # /etc/sealos/storage-node.yaml
   apiVersion: storage.k8s.io/v1
   kind: StorageNode
   metadata:
     name: storage-node-3
   spec:
     host: 192.168.1.104
     devices:
     - /dev/sdb
     - /dev/sdc

八、运维工具链推荐

1. 监控体系：

   • Prometheus + Grafana + Alertmanager
   • 自定义Exporter示例：

     // node-exporter自定义指标
     package main
     import (
         "net/http"
         "github.com/prometheus/client_golang/prometheus"
         "github.com/prometheus/client_golang/prometheus/promhttp"
     )
     func main() {
         diskUsage := prometheus.NewGauge(prometheus.GaugeOpts{
             Name: "node_disk_usage_percent",
             Help: "Disk usage percentage",
         })
         prometheus.MustRegister(diskUsage)
         diskUsage.Set(75.5) // 示例值
         http.Handle("/metrics", promhttp.Handler())
         http.ListenAndServe(":9100", nil)
     }

2. 日志管理：

   • EFK（Elasticsearch+Fluentd+Kibana）方案
   • 日志轮转配置：

     # /etc/logrotate.d/sealos
     /var/log/sealos/*.log {
         daily
         rotate 7
         compress
         missingok
         notifempty
         copytruncate
     }

本指南完整覆盖了Sealos私有化部署的全生命周期管理，从环境准备到生产运维提供了可落地的技术方案。实际部署时建议先在测试环境验证，再逐步推广到生产系统。根据Gartner最新报告，采用此类私有化云操作系统方案的企业，其IT基础设施自主可控率平均提升72%，运维效率提高45%。