一、引言：为何选择k8s私有化部署

随着容器技术的普及，Kubernetes（简称k8s）已成为容器编排领域的标准。对于企业而言，私有化部署k8s不仅能满足数据安全、合规性要求，还能根据业务需求灵活定制集群规模和功能。相较于公有云k8s服务，私有化部署在成本控制、资源自主权及定制化能力上具有显著优势。本文将详细解析k8s私有化部署的全流程，从环境准备到运维实践，为企业提供可落地的技术指南。

二、环境准备：硬件与软件要求

1. 硬件配置建议

k8s集群的硬件配置需根据业务负载动态调整。通常，Master节点建议配置4核CPU、16GB内存及100GB以上存储；Worker节点则需根据容器密度和资源需求，配置8核CPU、32GB内存及200GB以上存储。网络方面，推荐使用万兆网卡，确保节点间低延迟通信。

2. 软件依赖清单

• 操作系统：CentOS 7/8或Ubuntu 20.04 LTS，需关闭SELinux及防火墙（或配置允许k8s通信端口）。
• Docker：版本19.03+（k8s 1.20+推荐使用containerd作为默认运行时）。
• kubeadm/kubelet/kubectl：版本需与k8s集群版本一致，避免兼容性问题。
• 网络插件：Calico、Flannel或Weave Net，用于实现Pod间网络通信。

3. 网络规划要点

私有化部署需提前规划IP地址段、子网划分及DNS解析。建议使用独立的CIDR（如10.244.0.0/16）作为Pod网络，避免与现有网络冲突。同时，配置NTP服务确保节点时间同步，防止因时钟偏差导致的证书验证失败。

三、集群搭建：从零到一的完整流程

1. 初始化Master节点

# 关闭交换分区
swapoff -a
# 初始化集群（使用kubeadm）
kubeadm init --pod-network-cidr=10.244.0.0/16 --kubernetes-version=v1.25.0
# 配置kubectl
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

关键点：--pod-network-cidr需与后续网络插件配置一致；初始化完成后，需保存kubeadm join命令用于Worker节点加入。

2. 部署网络插件（以Calico为例）

kubectl apply -f https://raw.githubusercontent.com/projectcalico/calico/v3.25.0/manifests/calico.yaml

验证：执行kubectl get pods -n kube-system，确认Calico Pod状态为Running。

3. 加入Worker节点

在Worker节点执行Master节点初始化时生成的kubeadm join命令：

kubeadm join <master-ip>:6443 --token <token> --discovery-token-ca-cert-hash <hash>

注意事项：Token有效期为24小时，过期后需通过kubeadm token create --ttl 0重新生成。

四、配置优化：提升集群性能与稳定性

1. 资源限制与QoS策略

通过LimitRange和ResourceQuota限制Namespace资源使用：

# limitrange.yaml
apiVersion: v1
kind: LimitRange
metadata:
  name: mem-cpu-limit
spec:
  limits:
  - default:
      cpu: "500m"
      memory: "512Mi"
    defaultRequest:
      cpu: "200m"
      memory: "256Mi"
    type: Container

QoS分类：根据CPU/内存请求与限制的比例，自动划分为Guaranteed、Burstable和BestEffort三类，优先保障关键业务。

2. 高可用架构设计

• Master节点HA：使用Keepalived+VIP实现API Server负载均衡。
• Etcd集群：部署3节点或5节点Etcd集群，数据持久化至独立磁盘。
• Worker节点弹性：通过Cluster Autoscaler自动扩缩容，结合HPA（水平Pod自动扩缩）应对突发流量。

3. 日志与监控方案

• 日志收集：部署Filebeat+Elasticsearch+Kibana（ELK）或Loki+Promtail+Grafana（PLG）栈。
• 监控告警：Prometheus采集节点/Pod指标，Alertmanager配置阈值告警（如CPU使用率>80%）。

五、运维实践：故障排查与日常维护

1. 常见问题排查

• Pod Pending：检查资源是否充足（kubectl describe pod <pod-name>），或网络插件是否就绪。
• Node NotReady：查看kubectl get nodes状态，检查kubelet日志（journalctl -u kubelet）。
• 证书过期：通过kubeadm certs renew all更新证书，重启相关服务。

2. 备份与恢复策略

• Etcd备份：定期执行ETCDCTL_API=3 etcdctl snapshot save snapshot.db。
• 集群状态备份：使用kubectl get all --all-namespaces -o yaml > full-cluster-backup.yaml。
• 恢复流程：重建Master节点后，通过kubeadm init phase upload-certs重新生成证书，并恢复Etcd数据。

3. 升级与版本管理

• 小版本升级：通过kubeadm upgrade plan检查兼容性，执行kubeadm upgrade apply v1.26.0。
• 大版本升级：需先升级kubelet/kubectl，再逐步升级控制平面组件。
• 回滚方案：保留旧版本镜像，通过kubectl rollout undo回滚Deployment。

六、总结与展望

k8s私有化部署是一项系统工程，需从环境规划、集群搭建到运维优化全链路把控。通过合理配置资源限制、高可用架构及监控体系，可显著提升集群稳定性。未来，随着k8s生态的完善（如Service Mesh、Serverless集成），私有化部署将进一步降低企业上云门槛，成为数字化转型的核心基础设施。