https://md5.pw/api.php?action=feedcontributions&feedformat=atom&user=Koud+Wind
md5.pw - 用户贡献 [zh]
2026-05-19T08:34:28Z
用户贡献
MediaWiki 1.43.5
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1927
如何搭建 Kubernetes 一站式平台
2026-04-15T01:18:33Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
== 1. 什么是 Kubernetes / k8s ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== 2. 环境说明 ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== '''5. 安装 kubeadm kubelet kubectl''' ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== '''8. 安装 CNI 插件''' ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== 9. Headlamp (可选) ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== 10. 常见问题排查 ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== '''11. 常用命令''' ==<br />
<syntaxhighlight lang="bash" line="1"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight><br />
<br />
== '''12. Helm Chart 配置文件模板''' ==<br />
<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1 # Pod 副本数. 单节点或测试环境常设为 1<br />
revisionHistoryLimit: 10 # Deployment 保留的历史版本数. 便于回滚<br />
minReadySeconds: 0 # Pod 就绪后保持多久才视为可用<br />
<br />
deploymentStrategy: # Deployment 更新策略<br />
type: RollingUpdate # 推荐 RollingUpdate. Recreate 会先删后建<br />
rollingUpdate:<br />
maxUnavailable: 25% # 滚动更新期间最大不可用比例<br />
maxSurge: 25% # 滚动更新期间可额外创建的副本比例<br />
<br />
image:<br />
registry: ghcr.io # 镜像仓库地址<br />
repository: headlamp-k8s/headlamp # 示例镜像名. 新容器可改为自己的镜像<br />
tag: "" # 镜像标签. 留空时通常使用 chart 默认 appVersion<br />
pullPolicy: IfNotPresent # 拉取策略. 常用 IfNotPresent 或 Always<br />
<br />
imagePullSecrets: [] # 私有仓库拉取密钥. 无需私仓时保持空数组<br />
<br />
nameOverride: "" # 覆盖 chart 名称的一部分. 一般不需要<br />
fullnameOverride: "headlamp" # 最终资源名. 示例中固定方便管理. 新项目可改<br />
namespaceOverride: "" # 覆盖命名空间. 一般更建议 helm -n 指定<br />
<br />
initContainers: # 初始化容器. 在主容器启动前执行<br />
- name: init-plugin-dir # 初始化容器名称<br />
image: busybox:1.36 # 使用轻量 busybox 镜像<br />
imagePullPolicy: IfNotPresent # initContainer 拉取策略<br />
command:<br />
- sh<br />
- -c<br />
- mkdir -p /headlamp/plugins && chmod -R 755 /headlamp/plugins # 创建插件目录并赋权<br />
securityContext:<br />
runAsNonRoot: false # 初始化目录时通常允许 root 更省事. 严格环境可改<br />
allowPrivilegeEscalation: false # 禁止提权<br />
volumeMounts:<br />
- name: plugins-volume # 挂载插件卷以便初始化目录<br />
mountPath: /headlamp/plugins # 容器内插件目录路径<br />
<br />
extraContainers: [] # 额外 sidecar 容器. 例如日志采集或代理<br />
<br />
terminationGracePeriodSeconds: 30 # 优雅退出宽限期. 过短可能导致连接被硬切断<br />
hostNetwork: false # 是否使用宿主机网络. 一般保持 false<br />
dnsPolicy: ClusterFirst # DNS 策略. hostNetwork=true 时常配 ClusterFirstWithHostNet<br />
dnsConfig: {} # 自定义 DNS 配置. 需模板支持<br />
hostAliases: [] # 额外 hosts 映射. 仅少数场景使用<br />
<br />
config:<br />
inCluster: true # 集群内访问模式. Pod 通过 ServiceAccount 访问 K8s API<br />
inClusterContextName: "main" # 集群内上下文名称<br />
baseURL: "" # 子路径访问时填写如 /headlamp. 根路径保持空<br />
sessionTTL: 86400 # 登录会话有效期. 单位秒. 86400 = 24 小时<br />
<br />
oidc:<br />
secret:<br />
create: false # 是否由 chart 自动创建 OIDC Secret<br />
name: oidc # OIDC Secret 名称<br />
clientID: "" # OIDC 客户端 ID<br />
clientSecret: "" # OIDC 客户端密钥<br />
issuerURL: "" # OIDC 发行者地址<br />
scopes: "" # OIDC scopes<br />
callbackURL: "" # OIDC 回调地址<br />
validatorClientID: "" # Token 校验客户端 ID<br />
validatorIssuerURL: "" # Token 校验发行者地址<br />
useAccessToken: false # 是否使用 Access Token<br />
usePKCE: false # 是否启用 PKCE<br />
useCookie: false # 是否通过 Cookie 保存认证信息<br />
externalSecret:<br />
enabled: false # 是否使用外部 Secret<br />
name: "" # 外部 Secret 名称<br />
<br />
meUserInfoURL: "" # 用户信息接口地址. 未接入外部认证时可留空<br />
pluginsDir: "/headlamp/plugins" # 插件目录<br />
enableHelm: false # 最新 chart 默认值为 false. 仅需展示 Helm 信息时开启<br />
watchPlugins: false # 是否实时监听插件目录变化<br />
extraArgs: [] # 额外启动参数. 例如 -plugins-dir=/headlamp/plugins<br />
<br />
env: # 环境变量<br />
- name: TZ # 时区环境变量名称<br />
value: "Asia/Shanghai" # 时区设置<br />
<br />
envFrom: [] # 从 ConfigMap 或 Secret 批量导入环境变量. 需模板支持<br />
<br />
containerPorts: # 容器端口示例. 需模板支持<br />
- name: http # 端口名称. 多端口 Service 时建议显式命名<br />
containerPort: 4466 # 容器监听端口. 请按实际应用修改<br />
protocol: TCP # 协议. 通常 TCP<br />
<br />
livenessProbe: {} # 存活探针. K8S 原生支持 exec/httpGet/tcpSocket/grpc. 需模板支持<br />
readinessProbe: {} # 就绪探针. 控制是否加入 Service 端点. 需模板支持<br />
startupProbe: {} # 启动探针. 慢启动应用推荐配置. 需模板支持<br />
lifecycle: {} # 生命周期钩子. preStop/postStart. 需模板支持<br />
<br />
automountServiceAccountToken: true # 自动挂载 ServiceAccount Token. 集群内访问通常保持 true<br />
<br />
serviceAccount:<br />
create: true # 是否自动创建 ServiceAccount<br />
annotations: {} # ServiceAccount 注解<br />
name: "" # 最新 chart 默认空字符串. 留空时一般按 fullname 生成<br />
<br />
clusterRoleBinding:<br />
create: true # 是否自动创建 ClusterRoleBinding<br />
clusterRoleName: "cluster-admin" # 示例使用 cluster-admin. 生产环境建议改成最小权限角色<br />
annotations: {} # ClusterRoleBinding 注解<br />
<br />
deploymentAnnotations: {} # Deployment 注解<br />
podAnnotations: # Pod 注解. 可用于 sidecar 注入 监控抓取等<br />
kubectl.kubernetes.io/default-container: "headlamp" # kubectl exec/logs 默认容器提示. 非必须但更顺手<br />
<br />
podLabels:<br />
app.kubernetes.io/name: "headlamp" # 推荐使用标准标签<br />
app.kubernetes.io/component: "web" # 组件标签. 便于筛选和治理<br />
<br />
hostUsers: true # Pod 是否共享宿主用户命名空间. 设 false 可启用 user namespaces<br />
<br />
podSecurityContext:<br />
fsGroup: 101 # 卷文件组 ID. 便于挂载目录权限控制<br />
fsGroupChangePolicy: OnRootMismatch # 新版常用项. 仅在需要时递归改卷权限<br />
seccompProfile:<br />
type: RuntimeDefault # 推荐使用运行时默认 seccomp 配置<br />
<br />
securityContext:<br />
runAsNonRoot: true # 强制非 root 运行<br />
privileged: false # 不使用特权模式<br />
runAsUser: 100 # 容器运行用户 UID<br />
runAsGroup: 101 # 容器运行用户组 GID<br />
allowPrivilegeEscalation: false # 禁止提权<br />
readOnlyRootFilesystem: false # 需要更强约束时可设 true 并配 writable 卷<br />
capabilities:<br />
drop:<br />
- ALL # 建议默认移除全部 Linux capabilities<br />
<br />
service:<br />
annotations: {} # Service 注解<br />
type: NodePort # 暴露方式. 可选 ClusterIP / NodePort / LoadBalancer<br />
port: 80 # Service 端口<br />
targetPort: http # 目标端口. 建议引用命名端口便于变更<br />
appProtocol: http # 应用层协议提示. v1.20 稳定<br />
clusterIP: "" # ClusterIP 一般不手动指定<br />
# loadBalancerIP: "" # 该字段自 v1.24 起已废弃. 新环境不建议再依赖<br />
loadBalancerSourceRanges: [] # 限制允许访问的来源网段<br />
nodePort: 30080 # NodePort 固定端口. 浏览器可通过 NodeIP:30080 访问<br />
externalTrafficPolicy: Cluster # 对外流量策略. Local 可保留客户端源 IP<br />
internalTrafficPolicy: Cluster # 集群内流量策略. v1.26 稳定. Local 可优先本地端点<br />
sessionAffinity: None # 会话亲和性. 可选 None / ClientIP<br />
sessionAffinityConfig: {} # 会话亲和性高级配置. 需按需填写<br />
ipFamilyPolicy: SingleStack # 可选 SingleStack / PreferDualStack / RequireDualStack<br />
ipFamilies: [] # 双栈时可写 [IPv4, IPv6] 或 [IPv6, IPv4]<br />
trafficDistribution: PreferSameZone # v1.33 稳定. v1.35 支持 PreferSameZone / PreferSameNode<br />
<br />
volumeMounts:<br />
- name: plugins-volume # 插件卷名称<br />
mountPath: /headlamp/plugins # 容器内挂载路径<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷名称<br />
# mountPath: /home/headlamp/.config/Headlamp/kubeconfigs/config # 容器内 kubeconfig 文件路径<br />
# subPath: config # 将卷中的 config 文件挂载为单文件<br />
<br />
volumes:<br />
- name: plugins-volume # 卷名称. 需与 volumeMounts 对应<br />
hostPath:<br />
path: /data/headlamp/plugins # 宿主机目录. 等价于 Docker 左侧路径<br />
type: DirectoryOrCreate # 不存在时自动创建目录<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷<br />
# hostPath:<br />
# path: /data/headlamp/kubeconfigs # 宿主机 kubeconfig 所在目录<br />
# type: DirectoryOrCreate # 不存在时自动创建<br />
<br />
persistentVolumeClaim:<br />
enabled: false # 是否改用 PVC 持久化. 使用 hostPath 时通常设 false<br />
annotations: {} # PVC 注解<br />
accessModes: [] # PVC 访问模式. 如 ReadWriteOnce<br />
size: "" # PVC 大小. 如 5Gi<br />
storageClassName: "" # 存储类名称<br />
selector: {} # PVC 选择器<br />
volumeMode: "" # 卷模式. 如 Filesystem / Block<br />
dataSource: {} # 高级项. 可从快照或现有卷克隆. 需模板支持<br />
<br />
ingress:<br />
enabled: false # 是否启用 Ingress<br />
annotations: {} # Ingress 注解<br />
labels: {} # Ingress 标签<br />
ingressClassName: "" # IngressClass 名称. 替代旧注解 kubernetes.io/ingress.class<br />
hosts: [] # 域名和路径配置<br />
tls: [] # TLS 配置<br />
<br />
httpRoute:<br />
enabled: false # 是否启用 Gateway API 的 HTTPRoute<br />
annotations: {} # HTTPRoute 注解<br />
labels: {} # HTTPRoute 标签<br />
parentRefs: [] # 关联 Gateway. 启用时通常必填<br />
hostnames: [] # 绑定域名<br />
rules: [] # 路由规则. 未配置时通常走默认前缀路由<br />
<br />
resources: # 资源请求与限制<br />
requests:<br />
cpu: "100m" # 最低 CPU 请求<br />
memory: "128Mi" # 最低内存请求<br />
limits:<br />
cpu: "500m" # CPU 上限<br />
memory: "512Mi" # 内存上限<br />
<br />
nodeSelector:<br />
kubernetes.io/os: linux # 仅调度到 Linux 节点<br />
<br />
tolerations: [] # 容忍污点. 无特殊需求可留空<br />
affinity: {} # 亲和性规则. 无特殊需求可留空<br />
topologySpreadConstraints: # 拓扑分布约束. 新版 K8S 常用高可用配置<br />
# - maxSkew: 1 # 单个拓扑域允许的最大偏斜<br />
# topologyKey: topology.kubernetes.io/zone # 按可用区分布. 也可用 kubernetes.io/hostname<br />
# whenUnsatisfiable: ScheduleAnyway # 可选 DoNotSchedule / ScheduleAnyway<br />
# labelSelector:<br />
# matchLabels:<br />
# app.kubernetes.io/name: headlamp # 选取同类 Pod<br />
# matchLabelKeys: # v1.27 起 Beta. 可按 Pod 标签键自动匹配<br />
# - pod-template-hash<br />
# nodeAffinityPolicy: Honor # v1.26 起 Beta. 可选 Honor / Ignore<br />
# nodeTaintsPolicy: Ignore # v1.26 起 Beta. 可选 Honor / Ignore<br />
[]<br />
<br />
priorityClassName: "" # 优先级类名称<br />
runtimeClassName: "" # 运行时类. 如 gvisor kata 等. 需模板支持<br />
<br />
pluginsManager:<br />
enabled: false # 是否启用插件管理 sidecar<br />
configFile: "plugin.yml" # 插件配置文件名<br />
configContent: "" # 插件配置内容<br />
baseImage: node:lts-alpine # 插件管理器基础镜像<br />
version: latest # 插件管理器版本<br />
volumeMounts: [] # 插件管理器额外挂载<br />
securityContext: {} # 插件管理器安全上下文<br />
<br />
podDisruptionBudget:<br />
enabled: false # 是否启用 PDB<br />
minAvailable: 0 # 最少可用副本数<br />
maxUnavailable: null # 最大不可用副本数<br />
unhealthyPodEvictionPolicy: null # 不健康 Pod 驱逐策略. 新集群可按需设置<br />
<br />
extraManifests: [] # 附加资源清单. 可内嵌额外 K8s YAML<br />
<br />
</syntaxhighlight>'''参考:'''<br />
* [https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/troubleshooting-kubeadm/ kubeadm 故障排除]<br />
* [https://headlamp.dev/plugins Headlamp Plugins]<br />
* [https://helm.sh/zh/docs/chart_template_guide/getting_started/#charts Helm charts]<br />
[[Category:500 常见应用指南 — Application Guides]]</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1921
如何搭建 Kubernetes 一站式平台
2026-04-15T01:13:46Z
<p>Koud Wind:/* 命令补全: */</p>
<hr />
<div>----<br />
<br />
== 1. 什么是 Kubernetes / k8s ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== 2. 环境说明 ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== '''5. 安装 kubeadm kubelet kubectl''' ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== '''8. 安装 CNI 插件''' ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== 9. Headlamp (可选) ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== 10. 常见问题排查 ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== '''11. 常用命令''' ==<br />
<syntaxhighlight lang="bash" line="1"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight><br />
<br />
== '''12. Helm Chart 配置文件模板''' ==<br />
<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1 # Pod 副本数. 单节点或测试环境常设为 1<br />
revisionHistoryLimit: 10 # Deployment 保留的历史版本数. 便于回滚<br />
minReadySeconds: 0 # Pod 就绪后保持多久才视为可用<br />
<br />
deploymentStrategy: # Deployment 更新策略<br />
type: RollingUpdate # 推荐 RollingUpdate. Recreate 会先删后建<br />
rollingUpdate:<br />
maxUnavailable: 25% # 滚动更新期间最大不可用比例<br />
maxSurge: 25% # 滚动更新期间可额外创建的副本比例<br />
<br />
image:<br />
registry: ghcr.io # 镜像仓库地址<br />
repository: headlamp-k8s/headlamp # 示例镜像名. 新容器可改为自己的镜像<br />
tag: "" # 镜像标签. 留空时通常使用 chart 默认 appVersion<br />
pullPolicy: IfNotPresent # 拉取策略. 常用 IfNotPresent 或 Always<br />
<br />
imagePullSecrets: [] # 私有仓库拉取密钥. 无需私仓时保持空数组<br />
<br />
nameOverride: "" # 覆盖 chart 名称的一部分. 一般不需要<br />
fullnameOverride: "headlamp" # 最终资源名. 示例中固定方便管理. 新项目可改<br />
namespaceOverride: "" # 覆盖命名空间. 一般更建议 helm -n 指定<br />
<br />
initContainers: # 初始化容器. 在主容器启动前执行<br />
- name: init-plugin-dir # 初始化容器名称<br />
image: busybox:1.36 # 使用轻量 busybox 镜像<br />
imagePullPolicy: IfNotPresent # initContainer 拉取策略<br />
command:<br />
- sh<br />
- -c<br />
- mkdir -p /headlamp/plugins && chmod -R 755 /headlamp/plugins # 创建插件目录并赋权<br />
securityContext:<br />
runAsNonRoot: false # 初始化目录时通常允许 root 更省事. 严格环境可改<br />
allowPrivilegeEscalation: false # 禁止提权<br />
volumeMounts:<br />
- name: plugins-volume # 挂载插件卷以便初始化目录<br />
mountPath: /headlamp/plugins # 容器内插件目录路径<br />
<br />
extraContainers: [] # 额外 sidecar 容器. 例如日志采集或代理<br />
<br />
terminationGracePeriodSeconds: 30 # 优雅退出宽限期. 过短可能导致连接被硬切断<br />
hostNetwork: false # 是否使用宿主机网络. 一般保持 false<br />
dnsPolicy: ClusterFirst # DNS 策略. hostNetwork=true 时常配 ClusterFirstWithHostNet<br />
dnsConfig: {} # 自定义 DNS 配置. 需模板支持<br />
hostAliases: [] # 额外 hosts 映射. 仅少数场景使用<br />
<br />
config:<br />
inCluster: true # 集群内访问模式. Pod 通过 ServiceAccount 访问 K8s API<br />
inClusterContextName: "main" # 集群内上下文名称<br />
baseURL: "" # 子路径访问时填写如 /headlamp. 根路径保持空<br />
sessionTTL: 86400 # 登录会话有效期. 单位秒. 86400 = 24 小时<br />
<br />
oidc:<br />
secret:<br />
create: false # 是否由 chart 自动创建 OIDC Secret<br />
name: oidc # OIDC Secret 名称<br />
clientID: "" # OIDC 客户端 ID<br />
clientSecret: "" # OIDC 客户端密钥<br />
issuerURL: "" # OIDC 发行者地址<br />
scopes: "" # OIDC scopes<br />
callbackURL: "" # OIDC 回调地址<br />
validatorClientID: "" # Token 校验客户端 ID<br />
validatorIssuerURL: "" # Token 校验发行者地址<br />
useAccessToken: false # 是否使用 Access Token<br />
usePKCE: false # 是否启用 PKCE<br />
useCookie: false # 是否通过 Cookie 保存认证信息<br />
externalSecret:<br />
enabled: false # 是否使用外部 Secret<br />
name: "" # 外部 Secret 名称<br />
<br />
meUserInfoURL: "" # 用户信息接口地址. 未接入外部认证时可留空<br />
pluginsDir: "/headlamp/plugins" # 插件目录<br />
enableHelm: false # 最新 chart 默认值为 false. 仅需展示 Helm 信息时开启<br />
watchPlugins: false # 是否实时监听插件目录变化<br />
extraArgs: [] # 额外启动参数. 例如 -plugins-dir=/headlamp/plugins<br />
<br />
env: # 环境变量<br />
- name: TZ # 时区环境变量名称<br />
value: "Asia/Shanghai" # 时区设置<br />
<br />
envFrom: [] # 从 ConfigMap 或 Secret 批量导入环境变量. 需模板支持<br />
<br />
containerPorts: # 容器端口示例. 需模板支持<br />
- name: http # 端口名称. 多端口 Service 时建议显式命名<br />
containerPort: 4466 # 容器监听端口. 请按实际应用修改<br />
protocol: TCP # 协议. 通常 TCP<br />
<br />
livenessProbe: {} # 存活探针. K8S 原生支持 exec/httpGet/tcpSocket/grpc. 需模板支持<br />
readinessProbe: {} # 就绪探针. 控制是否加入 Service 端点. 需模板支持<br />
startupProbe: {} # 启动探针. 慢启动应用推荐配置. 需模板支持<br />
lifecycle: {} # 生命周期钩子. preStop/postStart. 需模板支持<br />
<br />
automountServiceAccountToken: true # 自动挂载 ServiceAccount Token. 集群内访问通常保持 true<br />
<br />
serviceAccount:<br />
create: true # 是否自动创建 ServiceAccount<br />
annotations: {} # ServiceAccount 注解<br />
name: "" # 最新 chart 默认空字符串. 留空时一般按 fullname 生成<br />
<br />
clusterRoleBinding:<br />
create: true # 是否自动创建 ClusterRoleBinding<br />
clusterRoleName: "cluster-admin" # 示例使用 cluster-admin. 生产环境建议改成最小权限角色<br />
annotations: {} # ClusterRoleBinding 注解<br />
<br />
deploymentAnnotations: {} # Deployment 注解<br />
podAnnotations: # Pod 注解. 可用于 sidecar 注入 监控抓取等<br />
kubectl.kubernetes.io/default-container: "headlamp" # kubectl exec/logs 默认容器提示. 非必须但更顺手<br />
<br />
podLabels:<br />
app.kubernetes.io/name: "headlamp" # 推荐使用标准标签<br />
app.kubernetes.io/component: "web" # 组件标签. 便于筛选和治理<br />
<br />
hostUsers: true # Pod 是否共享宿主用户命名空间. 设 false 可启用 user namespaces<br />
<br />
podSecurityContext:<br />
fsGroup: 101 # 卷文件组 ID. 便于挂载目录权限控制<br />
fsGroupChangePolicy: OnRootMismatch # 新版常用项. 仅在需要时递归改卷权限<br />
seccompProfile:<br />
type: RuntimeDefault # 推荐使用运行时默认 seccomp 配置<br />
<br />
securityContext:<br />
runAsNonRoot: true # 强制非 root 运行<br />
privileged: false # 不使用特权模式<br />
runAsUser: 100 # 容器运行用户 UID<br />
runAsGroup: 101 # 容器运行用户组 GID<br />
allowPrivilegeEscalation: false # 禁止提权<br />
readOnlyRootFilesystem: false # 需要更强约束时可设 true 并配 writable 卷<br />
capabilities:<br />
drop:<br />
- ALL # 建议默认移除全部 Linux capabilities<br />
<br />
service:<br />
annotations: {} # Service 注解<br />
type: NodePort # 暴露方式. 可选 ClusterIP / NodePort / LoadBalancer<br />
port: 80 # Service 端口<br />
targetPort: http # 目标端口. 建议引用命名端口便于变更<br />
appProtocol: http # 应用层协议提示. v1.20 稳定<br />
clusterIP: "" # ClusterIP 一般不手动指定<br />
# loadBalancerIP: "" # 该字段自 v1.24 起已废弃. 新环境不建议再依赖<br />
loadBalancerSourceRanges: [] # 限制允许访问的来源网段<br />
nodePort: 30080 # NodePort 固定端口. 浏览器可通过 NodeIP:30080 访问<br />
externalTrafficPolicy: Cluster # 对外流量策略. Local 可保留客户端源 IP<br />
internalTrafficPolicy: Cluster # 集群内流量策略. v1.26 稳定. Local 可优先本地端点<br />
sessionAffinity: None # 会话亲和性. 可选 None / ClientIP<br />
sessionAffinityConfig: {} # 会话亲和性高级配置. 需按需填写<br />
ipFamilyPolicy: SingleStack # 可选 SingleStack / PreferDualStack / RequireDualStack<br />
ipFamilies: [] # 双栈时可写 [IPv4, IPv6] 或 [IPv6, IPv4]<br />
trafficDistribution: PreferSameZone # v1.33 稳定. v1.35 支持 PreferSameZone / PreferSameNode<br />
<br />
volumeMounts:<br />
- name: plugins-volume # 插件卷名称<br />
mountPath: /headlamp/plugins # 容器内挂载路径<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷名称<br />
# mountPath: /home/headlamp/.config/Headlamp/kubeconfigs/config # 容器内 kubeconfig 文件路径<br />
# subPath: config # 将卷中的 config 文件挂载为单文件<br />
<br />
volumes:<br />
- name: plugins-volume # 卷名称. 需与 volumeMounts 对应<br />
hostPath:<br />
path: /data/headlamp/plugins # 宿主机目录. 等价于 Docker 左侧路径<br />
type: DirectoryOrCreate # 不存在时自动创建目录<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷<br />
# hostPath:<br />
# path: /data/headlamp/kubeconfigs # 宿主机 kubeconfig 所在目录<br />
# type: DirectoryOrCreate # 不存在时自动创建<br />
<br />
persistentVolumeClaim:<br />
enabled: false # 是否改用 PVC 持久化. 使用 hostPath 时通常设 false<br />
annotations: {} # PVC 注解<br />
accessModes: [] # PVC 访问模式. 如 ReadWriteOnce<br />
size: "" # PVC 大小. 如 5Gi<br />
storageClassName: "" # 存储类名称<br />
selector: {} # PVC 选择器<br />
volumeMode: "" # 卷模式. 如 Filesystem / Block<br />
dataSource: {} # 高级项. 可从快照或现有卷克隆. 需模板支持<br />
<br />
ingress:<br />
enabled: false # 是否启用 Ingress<br />
annotations: {} # Ingress 注解<br />
labels: {} # Ingress 标签<br />
ingressClassName: "" # IngressClass 名称. 替代旧注解 kubernetes.io/ingress.class<br />
hosts: [] # 域名和路径配置<br />
tls: [] # TLS 配置<br />
<br />
httpRoute:<br />
enabled: false # 是否启用 Gateway API 的 HTTPRoute<br />
annotations: {} # HTTPRoute 注解<br />
labels: {} # HTTPRoute 标签<br />
parentRefs: [] # 关联 Gateway. 启用时通常必填<br />
hostnames: [] # 绑定域名<br />
rules: [] # 路由规则. 未配置时通常走默认前缀路由<br />
<br />
resources: # 资源请求与限制<br />
requests:<br />
cpu: "100m" # 最低 CPU 请求<br />
memory: "128Mi" # 最低内存请求<br />
limits:<br />
cpu: "500m" # CPU 上限<br />
memory: "512Mi" # 内存上限<br />
<br />
nodeSelector:<br />
kubernetes.io/os: linux # 仅调度到 Linux 节点<br />
<br />
tolerations: [] # 容忍污点. 无特殊需求可留空<br />
affinity: {} # 亲和性规则. 无特殊需求可留空<br />
topologySpreadConstraints: # 拓扑分布约束. 新版 K8S 常用高可用配置<br />
# - maxSkew: 1 # 单个拓扑域允许的最大偏斜<br />
# topologyKey: topology.kubernetes.io/zone # 按可用区分布. 也可用 kubernetes.io/hostname<br />
# whenUnsatisfiable: ScheduleAnyway # 可选 DoNotSchedule / ScheduleAnyway<br />
# labelSelector:<br />
# matchLabels:<br />
# app.kubernetes.io/name: headlamp # 选取同类 Pod<br />
# matchLabelKeys: # v1.27 起 Beta. 可按 Pod 标签键自动匹配<br />
# - pod-template-hash<br />
# nodeAffinityPolicy: Honor # v1.26 起 Beta. 可选 Honor / Ignore<br />
# nodeTaintsPolicy: Ignore # v1.26 起 Beta. 可选 Honor / Ignore<br />
[]<br />
<br />
priorityClassName: "" # 优先级类名称<br />
runtimeClassName: "" # 运行时类. 如 gvisor kata 等. 需模板支持<br />
<br />
pluginsManager:<br />
enabled: false # 是否启用插件管理 sidecar<br />
configFile: "plugin.yml" # 插件配置文件名<br />
configContent: "" # 插件配置内容<br />
baseImage: node:lts-alpine # 插件管理器基础镜像<br />
version: latest # 插件管理器版本<br />
volumeMounts: [] # 插件管理器额外挂载<br />
securityContext: {} # 插件管理器安全上下文<br />
<br />
podDisruptionBudget:<br />
enabled: false # 是否启用 PDB<br />
minAvailable: 0 # 最少可用副本数<br />
maxUnavailable: null # 最大不可用副本数<br />
unhealthyPodEvictionPolicy: null # 不健康 Pod 驱逐策略. 新集群可按需设置<br />
<br />
extraManifests: [] # 附加资源清单. 可内嵌额外 K8s YAML<br />
<br />
</syntaxhighlight>'''参考:'''<br />
* [https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/troubleshooting-kubeadm/ kubeadm 故障排除]<br />
* [https://headlamp.dev/plugins Headlamp Plugins]<br />
* [https://helm.sh/zh/docs/chart_template_guide/getting_started/#charts Helm charts]<br />
[[index.php?title=Category:500 常见应用指南 — Application Guides]]</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1918
如何搭建 Kubernetes 一站式平台
2026-04-15T01:05:55Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
== 1. 什么是 Kubernetes / k8s ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== 2. 环境说明 ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== '''5. 安装 kubeadm kubelet kubectl''' ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | sudo tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | sudo tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== '''8. 安装 CNI 插件''' ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== 9. Headlamp (可选) ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== 10. 常见问题排查 ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== '''11. 常用命令''' ==<br />
<syntaxhighlight lang="bash" line="1"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight><br />
<br />
== '''12. Helm Chart 配置文件模板''' ==<br />
<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1 # Pod 副本数. 单节点或测试环境常设为 1<br />
revisionHistoryLimit: 10 # Deployment 保留的历史版本数. 便于回滚<br />
minReadySeconds: 0 # Pod 就绪后保持多久才视为可用<br />
<br />
deploymentStrategy: # Deployment 更新策略<br />
type: RollingUpdate # 推荐 RollingUpdate. Recreate 会先删后建<br />
rollingUpdate:<br />
maxUnavailable: 25% # 滚动更新期间最大不可用比例<br />
maxSurge: 25% # 滚动更新期间可额外创建的副本比例<br />
<br />
image:<br />
registry: ghcr.io # 镜像仓库地址<br />
repository: headlamp-k8s/headlamp # 示例镜像名. 新容器可改为自己的镜像<br />
tag: "" # 镜像标签. 留空时通常使用 chart 默认 appVersion<br />
pullPolicy: IfNotPresent # 拉取策略. 常用 IfNotPresent 或 Always<br />
<br />
imagePullSecrets: [] # 私有仓库拉取密钥. 无需私仓时保持空数组<br />
<br />
nameOverride: "" # 覆盖 chart 名称的一部分. 一般不需要<br />
fullnameOverride: "headlamp" # 最终资源名. 示例中固定方便管理. 新项目可改<br />
namespaceOverride: "" # 覆盖命名空间. 一般更建议 helm -n 指定<br />
<br />
initContainers: # 初始化容器. 在主容器启动前执行<br />
- name: init-plugin-dir # 初始化容器名称<br />
image: busybox:1.36 # 使用轻量 busybox 镜像<br />
imagePullPolicy: IfNotPresent # initContainer 拉取策略<br />
command:<br />
- sh<br />
- -c<br />
- mkdir -p /headlamp/plugins && chmod -R 755 /headlamp/plugins # 创建插件目录并赋权<br />
securityContext:<br />
runAsNonRoot: false # 初始化目录时通常允许 root 更省事. 严格环境可改<br />
allowPrivilegeEscalation: false # 禁止提权<br />
volumeMounts:<br />
- name: plugins-volume # 挂载插件卷以便初始化目录<br />
mountPath: /headlamp/plugins # 容器内插件目录路径<br />
<br />
extraContainers: [] # 额外 sidecar 容器. 例如日志采集或代理<br />
<br />
terminationGracePeriodSeconds: 30 # 优雅退出宽限期. 过短可能导致连接被硬切断<br />
hostNetwork: false # 是否使用宿主机网络. 一般保持 false<br />
dnsPolicy: ClusterFirst # DNS 策略. hostNetwork=true 时常配 ClusterFirstWithHostNet<br />
dnsConfig: {} # 自定义 DNS 配置. 需模板支持<br />
hostAliases: [] # 额外 hosts 映射. 仅少数场景使用<br />
<br />
config:<br />
inCluster: true # 集群内访问模式. Pod 通过 ServiceAccount 访问 K8s API<br />
inClusterContextName: "main" # 集群内上下文名称<br />
baseURL: "" # 子路径访问时填写如 /headlamp. 根路径保持空<br />
sessionTTL: 86400 # 登录会话有效期. 单位秒. 86400 = 24 小时<br />
<br />
oidc:<br />
secret:<br />
create: false # 是否由 chart 自动创建 OIDC Secret<br />
name: oidc # OIDC Secret 名称<br />
clientID: "" # OIDC 客户端 ID<br />
clientSecret: "" # OIDC 客户端密钥<br />
issuerURL: "" # OIDC 发行者地址<br />
scopes: "" # OIDC scopes<br />
callbackURL: "" # OIDC 回调地址<br />
validatorClientID: "" # Token 校验客户端 ID<br />
validatorIssuerURL: "" # Token 校验发行者地址<br />
useAccessToken: false # 是否使用 Access Token<br />
usePKCE: false # 是否启用 PKCE<br />
useCookie: false # 是否通过 Cookie 保存认证信息<br />
externalSecret:<br />
enabled: false # 是否使用外部 Secret<br />
name: "" # 外部 Secret 名称<br />
<br />
meUserInfoURL: "" # 用户信息接口地址. 未接入外部认证时可留空<br />
pluginsDir: "/headlamp/plugins" # 插件目录<br />
enableHelm: false # 最新 chart 默认值为 false. 仅需展示 Helm 信息时开启<br />
watchPlugins: false # 是否实时监听插件目录变化<br />
extraArgs: [] # 额外启动参数. 例如 -plugins-dir=/headlamp/plugins<br />
<br />
env: # 环境变量<br />
- name: TZ # 时区环境变量名称<br />
value: "Asia/Shanghai" # 时区设置<br />
<br />
envFrom: [] # 从 ConfigMap 或 Secret 批量导入环境变量. 需模板支持<br />
<br />
containerPorts: # 容器端口示例. 需模板支持<br />
- name: http # 端口名称. 多端口 Service 时建议显式命名<br />
containerPort: 4466 # 容器监听端口. 请按实际应用修改<br />
protocol: TCP # 协议. 通常 TCP<br />
<br />
livenessProbe: {} # 存活探针. K8S 原生支持 exec/httpGet/tcpSocket/grpc. 需模板支持<br />
readinessProbe: {} # 就绪探针. 控制是否加入 Service 端点. 需模板支持<br />
startupProbe: {} # 启动探针. 慢启动应用推荐配置. 需模板支持<br />
lifecycle: {} # 生命周期钩子. preStop/postStart. 需模板支持<br />
<br />
automountServiceAccountToken: true # 自动挂载 ServiceAccount Token. 集群内访问通常保持 true<br />
<br />
serviceAccount:<br />
create: true # 是否自动创建 ServiceAccount<br />
annotations: {} # ServiceAccount 注解<br />
name: "" # 最新 chart 默认空字符串. 留空时一般按 fullname 生成<br />
<br />
clusterRoleBinding:<br />
create: true # 是否自动创建 ClusterRoleBinding<br />
clusterRoleName: "cluster-admin" # 示例使用 cluster-admin. 生产环境建议改成最小权限角色<br />
annotations: {} # ClusterRoleBinding 注解<br />
<br />
deploymentAnnotations: {} # Deployment 注解<br />
podAnnotations: # Pod 注解. 可用于 sidecar 注入 监控抓取等<br />
kubectl.kubernetes.io/default-container: "headlamp" # kubectl exec/logs 默认容器提示. 非必须但更顺手<br />
<br />
podLabels:<br />
app.kubernetes.io/name: "headlamp" # 推荐使用标准标签<br />
app.kubernetes.io/component: "web" # 组件标签. 便于筛选和治理<br />
<br />
hostUsers: true # Pod 是否共享宿主用户命名空间. 设 false 可启用 user namespaces<br />
<br />
podSecurityContext:<br />
fsGroup: 101 # 卷文件组 ID. 便于挂载目录权限控制<br />
fsGroupChangePolicy: OnRootMismatch # 新版常用项. 仅在需要时递归改卷权限<br />
seccompProfile:<br />
type: RuntimeDefault # 推荐使用运行时默认 seccomp 配置<br />
<br />
securityContext:<br />
runAsNonRoot: true # 强制非 root 运行<br />
privileged: false # 不使用特权模式<br />
runAsUser: 100 # 容器运行用户 UID<br />
runAsGroup: 101 # 容器运行用户组 GID<br />
allowPrivilegeEscalation: false # 禁止提权<br />
readOnlyRootFilesystem: false # 需要更强约束时可设 true 并配 writable 卷<br />
capabilities:<br />
drop:<br />
- ALL # 建议默认移除全部 Linux capabilities<br />
<br />
service:<br />
annotations: {} # Service 注解<br />
type: NodePort # 暴露方式. 可选 ClusterIP / NodePort / LoadBalancer<br />
port: 80 # Service 端口<br />
targetPort: http # 目标端口. 建议引用命名端口便于变更<br />
appProtocol: http # 应用层协议提示. v1.20 稳定<br />
clusterIP: "" # ClusterIP 一般不手动指定<br />
# loadBalancerIP: "" # 该字段自 v1.24 起已废弃. 新环境不建议再依赖<br />
loadBalancerSourceRanges: [] # 限制允许访问的来源网段<br />
nodePort: 30080 # NodePort 固定端口. 浏览器可通过 NodeIP:30080 访问<br />
externalTrafficPolicy: Cluster # 对外流量策略. Local 可保留客户端源 IP<br />
internalTrafficPolicy: Cluster # 集群内流量策略. v1.26 稳定. Local 可优先本地端点<br />
sessionAffinity: None # 会话亲和性. 可选 None / ClientIP<br />
sessionAffinityConfig: {} # 会话亲和性高级配置. 需按需填写<br />
ipFamilyPolicy: SingleStack # 可选 SingleStack / PreferDualStack / RequireDualStack<br />
ipFamilies: [] # 双栈时可写 [IPv4, IPv6] 或 [IPv6, IPv4]<br />
trafficDistribution: PreferSameZone # v1.33 稳定. v1.35 支持 PreferSameZone / PreferSameNode<br />
<br />
volumeMounts:<br />
- name: plugins-volume # 插件卷名称<br />
mountPath: /headlamp/plugins # 容器内挂载路径<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷名称<br />
# mountPath: /home/headlamp/.config/Headlamp/kubeconfigs/config # 容器内 kubeconfig 文件路径<br />
# subPath: config # 将卷中的 config 文件挂载为单文件<br />
<br />
volumes:<br />
- name: plugins-volume # 卷名称. 需与 volumeMounts 对应<br />
hostPath:<br />
path: /data/headlamp/plugins # 宿主机目录. 等价于 Docker 左侧路径<br />
type: DirectoryOrCreate # 不存在时自动创建目录<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷<br />
# hostPath:<br />
# path: /data/headlamp/kubeconfigs # 宿主机 kubeconfig 所在目录<br />
# type: DirectoryOrCreate # 不存在时自动创建<br />
<br />
persistentVolumeClaim:<br />
enabled: false # 是否改用 PVC 持久化. 使用 hostPath 时通常设 false<br />
annotations: {} # PVC 注解<br />
accessModes: [] # PVC 访问模式. 如 ReadWriteOnce<br />
size: "" # PVC 大小. 如 5Gi<br />
storageClassName: "" # 存储类名称<br />
selector: {} # PVC 选择器<br />
volumeMode: "" # 卷模式. 如 Filesystem / Block<br />
dataSource: {} # 高级项. 可从快照或现有卷克隆. 需模板支持<br />
<br />
ingress:<br />
enabled: false # 是否启用 Ingress<br />
annotations: {} # Ingress 注解<br />
labels: {} # Ingress 标签<br />
ingressClassName: "" # IngressClass 名称. 替代旧注解 kubernetes.io/ingress.class<br />
hosts: [] # 域名和路径配置<br />
tls: [] # TLS 配置<br />
<br />
httpRoute:<br />
enabled: false # 是否启用 Gateway API 的 HTTPRoute<br />
annotations: {} # HTTPRoute 注解<br />
labels: {} # HTTPRoute 标签<br />
parentRefs: [] # 关联 Gateway. 启用时通常必填<br />
hostnames: [] # 绑定域名<br />
rules: [] # 路由规则. 未配置时通常走默认前缀路由<br />
<br />
resources: # 资源请求与限制<br />
requests:<br />
cpu: "100m" # 最低 CPU 请求<br />
memory: "128Mi" # 最低内存请求<br />
limits:<br />
cpu: "500m" # CPU 上限<br />
memory: "512Mi" # 内存上限<br />
<br />
nodeSelector:<br />
kubernetes.io/os: linux # 仅调度到 Linux 节点<br />
<br />
tolerations: [] # 容忍污点. 无特殊需求可留空<br />
affinity: {} # 亲和性规则. 无特殊需求可留空<br />
topologySpreadConstraints: # 拓扑分布约束. 新版 K8S 常用高可用配置<br />
# - maxSkew: 1 # 单个拓扑域允许的最大偏斜<br />
# topologyKey: topology.kubernetes.io/zone # 按可用区分布. 也可用 kubernetes.io/hostname<br />
# whenUnsatisfiable: ScheduleAnyway # 可选 DoNotSchedule / ScheduleAnyway<br />
# labelSelector:<br />
# matchLabels:<br />
# app.kubernetes.io/name: headlamp # 选取同类 Pod<br />
# matchLabelKeys: # v1.27 起 Beta. 可按 Pod 标签键自动匹配<br />
# - pod-template-hash<br />
# nodeAffinityPolicy: Honor # v1.26 起 Beta. 可选 Honor / Ignore<br />
# nodeTaintsPolicy: Ignore # v1.26 起 Beta. 可选 Honor / Ignore<br />
[]<br />
<br />
priorityClassName: "" # 优先级类名称<br />
runtimeClassName: "" # 运行时类. 如 gvisor kata 等. 需模板支持<br />
<br />
pluginsManager:<br />
enabled: false # 是否启用插件管理 sidecar<br />
configFile: "plugin.yml" # 插件配置文件名<br />
configContent: "" # 插件配置内容<br />
baseImage: node:lts-alpine # 插件管理器基础镜像<br />
version: latest # 插件管理器版本<br />
volumeMounts: [] # 插件管理器额外挂载<br />
securityContext: {} # 插件管理器安全上下文<br />
<br />
podDisruptionBudget:<br />
enabled: false # 是否启用 PDB<br />
minAvailable: 0 # 最少可用副本数<br />
maxUnavailable: null # 最大不可用副本数<br />
unhealthyPodEvictionPolicy: null # 不健康 Pod 驱逐策略. 新集群可按需设置<br />
<br />
extraManifests: [] # 附加资源清单. 可内嵌额外 K8s YAML<br />
<br />
</syntaxhighlight>'''参考:'''<br />
* [https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/troubleshooting-kubeadm/ kubeadm 故障排除]<br />
* [https://headlamp.dev/plugins Headlamp Plugins]<br />
* [https://helm.sh/zh/docs/chart_template_guide/getting_started/#charts Helm charts]<br />
[[Category:500 常见应用指南 — Application Guides]]</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1897
如何搭建 Kubernetes 一站式平台
2026-04-12T20:25:56Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
== 1. 什么是 Kubernetes / k8s ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== 2. 环境说明 ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== '''5. 安装 kubeadm kubelet kubectl''' ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | sudo tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | sudo tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== '''8. 安装 CNI 插件''' ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== 9. Headlamp (可选) ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== 10. 常见问题排查 ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== '''11. 常用命令''' ==<br />
<syntaxhighlight lang="bash" line="1"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight><br />
<br />
== '''12. Helm Chart 配置文件模板''' ==<br />
<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1 # Pod 副本数. 单节点或测试环境常设为 1<br />
revisionHistoryLimit: 10 # Deployment 保留的历史版本数. 便于回滚<br />
minReadySeconds: 0 # Pod 就绪后保持多久才视为可用<br />
<br />
deploymentStrategy: # Deployment 更新策略<br />
type: RollingUpdate # 推荐 RollingUpdate. Recreate 会先删后建<br />
rollingUpdate:<br />
maxUnavailable: 25% # 滚动更新期间最大不可用比例<br />
maxSurge: 25% # 滚动更新期间可额外创建的副本比例<br />
<br />
image:<br />
registry: ghcr.io # 镜像仓库地址<br />
repository: headlamp-k8s/headlamp # 示例镜像名. 新容器可改为自己的镜像<br />
tag: "" # 镜像标签. 留空时通常使用 chart 默认 appVersion<br />
pullPolicy: IfNotPresent # 拉取策略. 常用 IfNotPresent 或 Always<br />
<br />
imagePullSecrets: [] # 私有仓库拉取密钥. 无需私仓时保持空数组<br />
<br />
nameOverride: "" # 覆盖 chart 名称的一部分. 一般不需要<br />
fullnameOverride: "headlamp" # 最终资源名. 示例中固定方便管理. 新项目可改<br />
namespaceOverride: "" # 覆盖命名空间. 一般更建议 helm -n 指定<br />
<br />
initContainers: # 初始化容器. 在主容器启动前执行<br />
- name: init-plugin-dir # 初始化容器名称<br />
image: busybox:1.36 # 使用轻量 busybox 镜像<br />
imagePullPolicy: IfNotPresent # initContainer 拉取策略<br />
command:<br />
- sh<br />
- -c<br />
- mkdir -p /headlamp/plugins && chmod -R 755 /headlamp/plugins # 创建插件目录并赋权<br />
securityContext:<br />
runAsNonRoot: false # 初始化目录时通常允许 root 更省事. 严格环境可改<br />
allowPrivilegeEscalation: false # 禁止提权<br />
volumeMounts:<br />
- name: plugins-volume # 挂载插件卷以便初始化目录<br />
mountPath: /headlamp/plugins # 容器内插件目录路径<br />
<br />
extraContainers: [] # 额外 sidecar 容器. 例如日志采集或代理<br />
<br />
terminationGracePeriodSeconds: 30 # 优雅退出宽限期. 过短可能导致连接被硬切断<br />
hostNetwork: false # 是否使用宿主机网络. 一般保持 false<br />
dnsPolicy: ClusterFirst # DNS 策略. hostNetwork=true 时常配 ClusterFirstWithHostNet<br />
dnsConfig: {} # 自定义 DNS 配置. 需模板支持<br />
hostAliases: [] # 额外 hosts 映射. 仅少数场景使用<br />
<br />
config:<br />
inCluster: true # 集群内访问模式. Pod 通过 ServiceAccount 访问 K8s API<br />
inClusterContextName: "main" # 集群内上下文名称<br />
baseURL: "" # 子路径访问时填写如 /headlamp. 根路径保持空<br />
sessionTTL: 86400 # 登录会话有效期. 单位秒. 86400 = 24 小时<br />
<br />
oidc:<br />
secret:<br />
create: false # 是否由 chart 自动创建 OIDC Secret<br />
name: oidc # OIDC Secret 名称<br />
clientID: "" # OIDC 客户端 ID<br />
clientSecret: "" # OIDC 客户端密钥<br />
issuerURL: "" # OIDC 发行者地址<br />
scopes: "" # OIDC scopes<br />
callbackURL: "" # OIDC 回调地址<br />
validatorClientID: "" # Token 校验客户端 ID<br />
validatorIssuerURL: "" # Token 校验发行者地址<br />
useAccessToken: false # 是否使用 Access Token<br />
usePKCE: false # 是否启用 PKCE<br />
useCookie: false # 是否通过 Cookie 保存认证信息<br />
externalSecret:<br />
enabled: false # 是否使用外部 Secret<br />
name: "" # 外部 Secret 名称<br />
<br />
meUserInfoURL: "" # 用户信息接口地址. 未接入外部认证时可留空<br />
pluginsDir: "/headlamp/plugins" # 插件目录<br />
enableHelm: false # 最新 chart 默认值为 false. 仅需展示 Helm 信息时开启<br />
watchPlugins: false # 是否实时监听插件目录变化<br />
extraArgs: [] # 额外启动参数. 例如 -plugins-dir=/headlamp/plugins<br />
<br />
env: # 环境变量<br />
- name: TZ # 时区环境变量名称<br />
value: "Asia/Shanghai" # 时区设置<br />
<br />
envFrom: [] # 从 ConfigMap 或 Secret 批量导入环境变量. 需模板支持<br />
<br />
containerPorts: # 容器端口示例. 需模板支持<br />
- name: http # 端口名称. 多端口 Service 时建议显式命名<br />
containerPort: 4466 # 容器监听端口. 请按实际应用修改<br />
protocol: TCP # 协议. 通常 TCP<br />
<br />
livenessProbe: {} # 存活探针. K8S 原生支持 exec/httpGet/tcpSocket/grpc. 需模板支持<br />
readinessProbe: {} # 就绪探针. 控制是否加入 Service 端点. 需模板支持<br />
startupProbe: {} # 启动探针. 慢启动应用推荐配置. 需模板支持<br />
lifecycle: {} # 生命周期钩子. preStop/postStart. 需模板支持<br />
<br />
automountServiceAccountToken: true # 自动挂载 ServiceAccount Token. 集群内访问通常保持 true<br />
<br />
serviceAccount:<br />
create: true # 是否自动创建 ServiceAccount<br />
annotations: {} # ServiceAccount 注解<br />
name: "" # 最新 chart 默认空字符串. 留空时一般按 fullname 生成<br />
<br />
clusterRoleBinding:<br />
create: true # 是否自动创建 ClusterRoleBinding<br />
clusterRoleName: "cluster-admin" # 示例使用 cluster-admin. 生产环境建议改成最小权限角色<br />
annotations: {} # ClusterRoleBinding 注解<br />
<br />
deploymentAnnotations: {} # Deployment 注解<br />
podAnnotations: # Pod 注解. 可用于 sidecar 注入 监控抓取等<br />
kubectl.kubernetes.io/default-container: "headlamp" # kubectl exec/logs 默认容器提示. 非必须但更顺手<br />
<br />
podLabels:<br />
app.kubernetes.io/name: "headlamp" # 推荐使用标准标签<br />
app.kubernetes.io/component: "web" # 组件标签. 便于筛选和治理<br />
<br />
hostUsers: true # Pod 是否共享宿主用户命名空间. 设 false 可启用 user namespaces<br />
<br />
podSecurityContext:<br />
fsGroup: 101 # 卷文件组 ID. 便于挂载目录权限控制<br />
fsGroupChangePolicy: OnRootMismatch # 新版常用项. 仅在需要时递归改卷权限<br />
seccompProfile:<br />
type: RuntimeDefault # 推荐使用运行时默认 seccomp 配置<br />
<br />
securityContext:<br />
runAsNonRoot: true # 强制非 root 运行<br />
privileged: false # 不使用特权模式<br />
runAsUser: 100 # 容器运行用户 UID<br />
runAsGroup: 101 # 容器运行用户组 GID<br />
allowPrivilegeEscalation: false # 禁止提权<br />
readOnlyRootFilesystem: false # 需要更强约束时可设 true 并配 writable 卷<br />
capabilities:<br />
drop:<br />
- ALL # 建议默认移除全部 Linux capabilities<br />
<br />
service:<br />
annotations: {} # Service 注解<br />
type: NodePort # 暴露方式. 可选 ClusterIP / NodePort / LoadBalancer<br />
port: 80 # Service 端口<br />
targetPort: http # 目标端口. 建议引用命名端口便于变更<br />
appProtocol: http # 应用层协议提示. v1.20 稳定<br />
clusterIP: "" # ClusterIP 一般不手动指定<br />
# loadBalancerIP: "" # 该字段自 v1.24 起已废弃. 新环境不建议再依赖<br />
loadBalancerSourceRanges: [] # 限制允许访问的来源网段<br />
nodePort: 30080 # NodePort 固定端口. 浏览器可通过 NodeIP:30080 访问<br />
externalTrafficPolicy: Cluster # 对外流量策略. Local 可保留客户端源 IP<br />
internalTrafficPolicy: Cluster # 集群内流量策略. v1.26 稳定. Local 可优先本地端点<br />
sessionAffinity: None # 会话亲和性. 可选 None / ClientIP<br />
sessionAffinityConfig: {} # 会话亲和性高级配置. 需按需填写<br />
ipFamilyPolicy: SingleStack # 可选 SingleStack / PreferDualStack / RequireDualStack<br />
ipFamilies: [] # 双栈时可写 [IPv4, IPv6] 或 [IPv6, IPv4]<br />
trafficDistribution: PreferSameZone # v1.33 稳定. v1.35 支持 PreferSameZone / PreferSameNode<br />
<br />
volumeMounts:<br />
- name: plugins-volume # 插件卷名称<br />
mountPath: /headlamp/plugins # 容器内挂载路径<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷名称<br />
# mountPath: /home/headlamp/.config/Headlamp/kubeconfigs/config # 容器内 kubeconfig 文件路径<br />
# subPath: config # 将卷中的 config 文件挂载为单文件<br />
<br />
volumes:<br />
- name: plugins-volume # 卷名称. 需与 volumeMounts 对应<br />
hostPath:<br />
path: /data/headlamp/plugins # 宿主机目录. 等价于 Docker 左侧路径<br />
type: DirectoryOrCreate # 不存在时自动创建目录<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷<br />
# hostPath:<br />
# path: /data/headlamp/kubeconfigs # 宿主机 kubeconfig 所在目录<br />
# type: DirectoryOrCreate # 不存在时自动创建<br />
<br />
persistentVolumeClaim:<br />
enabled: false # 是否改用 PVC 持久化. 使用 hostPath 时通常设 false<br />
annotations: {} # PVC 注解<br />
accessModes: [] # PVC 访问模式. 如 ReadWriteOnce<br />
size: "" # PVC 大小. 如 5Gi<br />
storageClassName: "" # 存储类名称<br />
selector: {} # PVC 选择器<br />
volumeMode: "" # 卷模式. 如 Filesystem / Block<br />
dataSource: {} # 高级项. 可从快照或现有卷克隆. 需模板支持<br />
<br />
ingress:<br />
enabled: false # 是否启用 Ingress<br />
annotations: {} # Ingress 注解<br />
labels: {} # Ingress 标签<br />
ingressClassName: "" # IngressClass 名称. 替代旧注解 kubernetes.io/ingress.class<br />
hosts: [] # 域名和路径配置<br />
tls: [] # TLS 配置<br />
<br />
httpRoute:<br />
enabled: false # 是否启用 Gateway API 的 HTTPRoute<br />
annotations: {} # HTTPRoute 注解<br />
labels: {} # HTTPRoute 标签<br />
parentRefs: [] # 关联 Gateway. 启用时通常必填<br />
hostnames: [] # 绑定域名<br />
rules: [] # 路由规则. 未配置时通常走默认前缀路由<br />
<br />
resources: # 资源请求与限制<br />
requests:<br />
cpu: "100m" # 最低 CPU 请求<br />
memory: "128Mi" # 最低内存请求<br />
limits:<br />
cpu: "500m" # CPU 上限<br />
memory: "512Mi" # 内存上限<br />
<br />
nodeSelector:<br />
kubernetes.io/os: linux # 仅调度到 Linux 节点<br />
<br />
tolerations: [] # 容忍污点. 无特殊需求可留空<br />
affinity: {} # 亲和性规则. 无特殊需求可留空<br />
topologySpreadConstraints: # 拓扑分布约束. 新版 K8S 常用高可用配置<br />
# - maxSkew: 1 # 单个拓扑域允许的最大偏斜<br />
# topologyKey: topology.kubernetes.io/zone # 按可用区分布. 也可用 kubernetes.io/hostname<br />
# whenUnsatisfiable: ScheduleAnyway # 可选 DoNotSchedule / ScheduleAnyway<br />
# labelSelector:<br />
# matchLabels:<br />
# app.kubernetes.io/name: headlamp # 选取同类 Pod<br />
# matchLabelKeys: # v1.27 起 Beta. 可按 Pod 标签键自动匹配<br />
# - pod-template-hash<br />
# nodeAffinityPolicy: Honor # v1.26 起 Beta. 可选 Honor / Ignore<br />
# nodeTaintsPolicy: Ignore # v1.26 起 Beta. 可选 Honor / Ignore<br />
[]<br />
<br />
priorityClassName: "" # 优先级类名称<br />
runtimeClassName: "" # 运行时类. 如 gvisor kata 等. 需模板支持<br />
<br />
pluginsManager:<br />
enabled: false # 是否启用插件管理 sidecar<br />
configFile: "plugin.yml" # 插件配置文件名<br />
configContent: "" # 插件配置内容<br />
baseImage: node:lts-alpine # 插件管理器基础镜像<br />
version: latest # 插件管理器版本<br />
volumeMounts: [] # 插件管理器额外挂载<br />
securityContext: {} # 插件管理器安全上下文<br />
<br />
podDisruptionBudget:<br />
enabled: false # 是否启用 PDB<br />
minAvailable: 0 # 最少可用副本数<br />
maxUnavailable: null # 最大不可用副本数<br />
unhealthyPodEvictionPolicy: null # 不健康 Pod 驱逐策略. 新集群可按需设置<br />
<br />
extraManifests: [] # 附加资源清单. 可内嵌额外 K8s YAML<br />
<br />
</syntaxhighlight>'''参考:'''<br />
* [https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/troubleshooting-kubeadm/ kubeadm 故障排除]<br />
* [https://headlamp.dev/plugins Headlamp Plugins]<br />
* [https://helm.sh/zh/docs/chart_template_guide/getting_started/#charts Helm charts]</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1896
如何搭建 Kubernetes 一站式平台
2026-04-12T20:23:03Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
== 1. 什么是 Kubernetes / k8s ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== 2. 环境说明 ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== '''5. 安装 kubeadm kubelet kubectl''' ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | sudo tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | sudo tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== '''8. 安装 CNI 插件''' ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== 9. Headlamp (可选) ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== 10. 常见问题排查 ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== '''11. 常用命令''' ==<br />
<syntaxhighlight lang="bash" line="1"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight><br />
<br />
== '''12. Helm Chart 配置文件模板''' ==<br />
<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1 # Pod 副本数. 单节点或测试环境常设为 1<br />
revisionHistoryLimit: 10 # Deployment 保留的历史版本数. 便于回滚<br />
minReadySeconds: 0 # Pod 就绪后保持多久才视为可用<br />
<br />
deploymentStrategy: # Deployment 更新策略<br />
type: RollingUpdate # 推荐 RollingUpdate. Recreate 会先删后建<br />
rollingUpdate:<br />
maxUnavailable: 25% # 滚动更新期间最大不可用比例<br />
maxSurge: 25% # 滚动更新期间可额外创建的副本比例<br />
<br />
image:<br />
registry: ghcr.io # 镜像仓库地址<br />
repository: headlamp-k8s/headlamp # 示例镜像名. 新容器可改为自己的镜像<br />
tag: "" # 镜像标签. 留空时通常使用 chart 默认 appVersion<br />
pullPolicy: IfNotPresent # 拉取策略. 常用 IfNotPresent 或 Always<br />
<br />
imagePullSecrets: [] # 私有仓库拉取密钥. 无需私仓时保持空数组<br />
<br />
nameOverride: "" # 覆盖 chart 名称的一部分. 一般不需要<br />
fullnameOverride: "headlamp" # 最终资源名. 示例中固定方便管理. 新项目可改<br />
namespaceOverride: "" # 覆盖命名空间. 一般更建议 helm -n 指定<br />
<br />
initContainers: # 初始化容器. 在主容器启动前执行<br />
- name: init-plugin-dir # 初始化容器名称<br />
image: busybox:1.36 # 使用轻量 busybox 镜像<br />
imagePullPolicy: IfNotPresent # initContainer 拉取策略<br />
command:<br />
- sh<br />
- -c<br />
- mkdir -p /headlamp/plugins && chmod -R 755 /headlamp/plugins # 创建插件目录并赋权<br />
securityContext:<br />
runAsNonRoot: false # 初始化目录时通常允许 root 更省事. 严格环境可改<br />
allowPrivilegeEscalation: false # 禁止提权<br />
volumeMounts:<br />
- name: plugins-volume # 挂载插件卷以便初始化目录<br />
mountPath: /headlamp/plugins # 容器内插件目录路径<br />
<br />
extraContainers: [] # 额外 sidecar 容器. 例如日志采集或代理<br />
<br />
terminationGracePeriodSeconds: 30 # 优雅退出宽限期. 过短可能导致连接被硬切断<br />
hostNetwork: false # 是否使用宿主机网络. 一般保持 false<br />
dnsPolicy: ClusterFirst # DNS 策略. hostNetwork=true 时常配 ClusterFirstWithHostNet<br />
dnsConfig: {} # 自定义 DNS 配置. 需模板支持<br />
hostAliases: [] # 额外 hosts 映射. 仅少数场景使用<br />
<br />
config:<br />
inCluster: true # 集群内访问模式. Pod 通过 ServiceAccount 访问 K8s API<br />
inClusterContextName: "main" # 集群内上下文名称<br />
baseURL: "" # 子路径访问时填写如 /headlamp. 根路径保持空<br />
sessionTTL: 86400 # 登录会话有效期. 单位秒. 86400 = 24 小时<br />
<br />
oidc:<br />
secret:<br />
create: false # 是否由 chart 自动创建 OIDC Secret<br />
name: oidc # OIDC Secret 名称<br />
clientID: "" # OIDC 客户端 ID<br />
clientSecret: "" # OIDC 客户端密钥<br />
issuerURL: "" # OIDC 发行者地址<br />
scopes: "" # OIDC scopes<br />
callbackURL: "" # OIDC 回调地址<br />
validatorClientID: "" # Token 校验客户端 ID<br />
validatorIssuerURL: "" # Token 校验发行者地址<br />
useAccessToken: false # 是否使用 Access Token<br />
usePKCE: false # 是否启用 PKCE<br />
useCookie: false # 是否通过 Cookie 保存认证信息<br />
externalSecret:<br />
enabled: false # 是否使用外部 Secret<br />
name: "" # 外部 Secret 名称<br />
<br />
meUserInfoURL: "" # 用户信息接口地址. 未接入外部认证时可留空<br />
pluginsDir: "/headlamp/plugins" # 插件目录<br />
enableHelm: false # 最新 chart 默认值为 false. 仅需展示 Helm 信息时开启<br />
watchPlugins: false # 是否实时监听插件目录变化<br />
extraArgs: [] # 额外启动参数. 例如 -plugins-dir=/headlamp/plugins<br />
<br />
env: # 环境变量<br />
- name: TZ # 时区环境变量名称<br />
value: "Asia/Shanghai" # 时区设置<br />
<br />
envFrom: [] # 从 ConfigMap 或 Secret 批量导入环境变量. 需模板支持<br />
<br />
containerPorts: # 容器端口示例. 需模板支持<br />
- name: http # 端口名称. 多端口 Service 时建议显式命名<br />
containerPort: 4466 # 容器监听端口. 请按实际应用修改<br />
protocol: TCP # 协议. 通常 TCP<br />
<br />
livenessProbe: {} # 存活探针. K8S 原生支持 exec/httpGet/tcpSocket/grpc. 需模板支持<br />
readinessProbe: {} # 就绪探针. 控制是否加入 Service 端点. 需模板支持<br />
startupProbe: {} # 启动探针. 慢启动应用推荐配置. 需模板支持<br />
lifecycle: {} # 生命周期钩子. preStop/postStart. 需模板支持<br />
<br />
automountServiceAccountToken: true # 自动挂载 ServiceAccount Token. 集群内访问通常保持 true<br />
<br />
serviceAccount:<br />
create: true # 是否自动创建 ServiceAccount<br />
annotations: {} # ServiceAccount 注解<br />
name: "" # 最新 chart 默认空字符串. 留空时一般按 fullname 生成<br />
<br />
clusterRoleBinding:<br />
create: true # 是否自动创建 ClusterRoleBinding<br />
clusterRoleName: "cluster-admin" # 示例使用 cluster-admin. 生产环境建议改成最小权限角色<br />
annotations: {} # ClusterRoleBinding 注解<br />
<br />
deploymentAnnotations: {} # Deployment 注解<br />
podAnnotations: # Pod 注解. 可用于 sidecar 注入 监控抓取等<br />
kubectl.kubernetes.io/default-container: "headlamp" # kubectl exec/logs 默认容器提示. 非必须但更顺手<br />
<br />
podLabels:<br />
app.kubernetes.io/name: "headlamp" # 推荐使用标准标签<br />
app.kubernetes.io/component: "web" # 组件标签. 便于筛选和治理<br />
<br />
hostUsers: true # Pod 是否共享宿主用户命名空间. 设 false 可启用 user namespaces<br />
<br />
podSecurityContext:<br />
fsGroup: 101 # 卷文件组 ID. 便于挂载目录权限控制<br />
fsGroupChangePolicy: OnRootMismatch # 新版常用项. 仅在需要时递归改卷权限<br />
seccompProfile:<br />
type: RuntimeDefault # 推荐使用运行时默认 seccomp 配置<br />
<br />
securityContext:<br />
runAsNonRoot: true # 强制非 root 运行<br />
privileged: false # 不使用特权模式<br />
runAsUser: 100 # 容器运行用户 UID<br />
runAsGroup: 101 # 容器运行用户组 GID<br />
allowPrivilegeEscalation: false # 禁止提权<br />
readOnlyRootFilesystem: false # 需要更强约束时可设 true 并配 writable 卷<br />
capabilities:<br />
drop:<br />
- ALL # 建议默认移除全部 Linux capabilities<br />
<br />
service:<br />
annotations: {} # Service 注解<br />
type: NodePort # 暴露方式. 可选 ClusterIP / NodePort / LoadBalancer<br />
port: 80 # Service 端口<br />
targetPort: http # 目标端口. 建议引用命名端口便于变更<br />
appProtocol: http # 应用层协议提示. v1.20 稳定<br />
clusterIP: "" # ClusterIP 一般不手动指定<br />
# loadBalancerIP: "" # 该字段自 v1.24 起已废弃. 新环境不建议再依赖<br />
loadBalancerSourceRanges: [] # 限制允许访问的来源网段<br />
nodePort: 30080 # NodePort 固定端口. 浏览器可通过 NodeIP:30080 访问<br />
externalTrafficPolicy: Cluster # 对外流量策略. Local 可保留客户端源 IP<br />
internalTrafficPolicy: Cluster # 集群内流量策略. v1.26 稳定. Local 可优先本地端点<br />
sessionAffinity: None # 会话亲和性. 可选 None / ClientIP<br />
sessionAffinityConfig: {} # 会话亲和性高级配置. 需按需填写<br />
ipFamilyPolicy: SingleStack # 可选 SingleStack / PreferDualStack / RequireDualStack<br />
ipFamilies: [] # 双栈时可写 [IPv4, IPv6] 或 [IPv6, IPv4]<br />
trafficDistribution: PreferSameZone # v1.33 稳定. v1.35 支持 PreferSameZone / PreferSameNode<br />
<br />
volumeMounts:<br />
- name: plugins-volume # 插件卷名称<br />
mountPath: /headlamp/plugins # 容器内挂载路径<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷名称<br />
# mountPath: /home/headlamp/.config/Headlamp/kubeconfigs/config # 容器内 kubeconfig 文件路径<br />
# subPath: config # 将卷中的 config 文件挂载为单文件<br />
<br />
volumes:<br />
- name: plugins-volume # 卷名称. 需与 volumeMounts 对应<br />
hostPath:<br />
path: /data/headlamp/plugins # 宿主机目录. 等价于 Docker 左侧路径<br />
type: DirectoryOrCreate # 不存在时自动创建目录<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷<br />
# hostPath:<br />
# path: /data/headlamp/kubeconfigs # 宿主机 kubeconfig 所在目录<br />
# type: DirectoryOrCreate # 不存在时自动创建<br />
<br />
persistentVolumeClaim:<br />
enabled: false # 是否改用 PVC 持久化. 使用 hostPath 时通常设 false<br />
annotations: {} # PVC 注解<br />
accessModes: [] # PVC 访问模式. 如 ReadWriteOnce<br />
size: "" # PVC 大小. 如 5Gi<br />
storageClassName: "" # 存储类名称<br />
selector: {} # PVC 选择器<br />
volumeMode: "" # 卷模式. 如 Filesystem / Block<br />
dataSource: {} # 高级项. 可从快照或现有卷克隆. 需模板支持<br />
<br />
ingress:<br />
enabled: false # 是否启用 Ingress<br />
annotations: {} # Ingress 注解<br />
labels: {} # Ingress 标签<br />
ingressClassName: "" # IngressClass 名称. 替代旧注解 kubernetes.io/ingress.class<br />
hosts: [] # 域名和路径配置<br />
tls: [] # TLS 配置<br />
<br />
httpRoute:<br />
enabled: false # 是否启用 Gateway API 的 HTTPRoute<br />
annotations: {} # HTTPRoute 注解<br />
labels: {} # HTTPRoute 标签<br />
parentRefs: [] # 关联 Gateway. 启用时通常必填<br />
hostnames: [] # 绑定域名<br />
rules: [] # 路由规则. 未配置时通常走默认前缀路由<br />
<br />
resources: # 资源请求与限制<br />
requests:<br />
cpu: "100m" # 最低 CPU 请求<br />
memory: "128Mi" # 最低内存请求<br />
limits:<br />
cpu: "500m" # CPU 上限<br />
memory: "512Mi" # 内存上限<br />
<br />
nodeSelector:<br />
kubernetes.io/os: linux # 仅调度到 Linux 节点<br />
<br />
tolerations: [] # 容忍污点. 无特殊需求可留空<br />
affinity: {} # 亲和性规则. 无特殊需求可留空<br />
topologySpreadConstraints: # 拓扑分布约束. 新版 K8S 常用高可用配置<br />
# - maxSkew: 1 # 单个拓扑域允许的最大偏斜<br />
# topologyKey: topology.kubernetes.io/zone # 按可用区分布. 也可用 kubernetes.io/hostname<br />
# whenUnsatisfiable: ScheduleAnyway # 可选 DoNotSchedule / ScheduleAnyway<br />
# labelSelector:<br />
# matchLabels:<br />
# app.kubernetes.io/name: headlamp # 选取同类 Pod<br />
# matchLabelKeys: # v1.27 起 Beta. 可按 Pod 标签键自动匹配<br />
# - pod-template-hash<br />
# nodeAffinityPolicy: Honor # v1.26 起 Beta. 可选 Honor / Ignore<br />
# nodeTaintsPolicy: Ignore # v1.26 起 Beta. 可选 Honor / Ignore<br />
[]<br />
<br />
priorityClassName: "" # 优先级类名称<br />
runtimeClassName: "" # 运行时类. 如 gvisor kata 等. 需模板支持<br />
<br />
pluginsManager:<br />
enabled: false # 是否启用插件管理 sidecar<br />
configFile: "plugin.yml" # 插件配置文件名<br />
configContent: "" # 插件配置内容<br />
baseImage: node:lts-alpine # 插件管理器基础镜像<br />
version: latest # 插件管理器版本<br />
volumeMounts: [] # 插件管理器额外挂载<br />
securityContext: {} # 插件管理器安全上下文<br />
<br />
podDisruptionBudget:<br />
enabled: false # 是否启用 PDB<br />
minAvailable: 0 # 最少可用副本数<br />
maxUnavailable: null # 最大不可用副本数<br />
unhealthyPodEvictionPolicy: null # 不健康 Pod 驱逐策略. 新集群可按需设置<br />
<br />
extraManifests: [] # 附加资源清单. 可内嵌额外 K8s YAML<br />
<br />
</syntaxhighlight><br />
<br />
===== 参考: =====<br />
<br />
* [https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/troubleshooting-kubeadm/ kubeadm 故障排除]<br />
* [https://headlamp.dev/plugins Headlamp Plugins]</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1895
如何搭建 Kubernetes 一站式平台
2026-04-12T20:13:00Z
<p>Koud Wind:我有强迫症</p>
<hr />
<div>----<br />
<br />
== 1. 什么是 Kubernetes / k8s ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== 2. 环境说明 ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== '''5. 安装 kubeadm kubelet kubectl''' ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | sudo tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | sudo tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== '''8. 安装 CNI 插件''' ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== 9. Headlamp (可选) ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== 10. 常见问题排查 ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== '''11. 常用命令''' ==<br />
<syntaxhighlight lang="bash" line="1"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight><br />
<br />
== '''12. Helm Chart 配置文件模板''' ==<br />
<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1 # Pod 副本数. 单节点或测试环境常设为 1<br />
revisionHistoryLimit: 10 # Deployment 保留的历史版本数. 便于回滚<br />
minReadySeconds: 0 # Pod 就绪后保持多久才视为可用<br />
<br />
deploymentStrategy: # Deployment 更新策略<br />
type: RollingUpdate # 推荐 RollingUpdate. Recreate 会先删后建<br />
rollingUpdate:<br />
maxUnavailable: 25% # 滚动更新期间最大不可用比例<br />
maxSurge: 25% # 滚动更新期间可额外创建的副本比例<br />
<br />
image:<br />
registry: ghcr.io # 镜像仓库地址<br />
repository: headlamp-k8s/headlamp # 示例镜像名. 新容器可改为自己的镜像<br />
tag: "" # 镜像标签. 留空时通常使用 chart 默认 appVersion<br />
pullPolicy: IfNotPresent # 拉取策略. 常用 IfNotPresent 或 Always<br />
<br />
imagePullSecrets: [] # 私有仓库拉取密钥. 无需私仓时保持空数组<br />
<br />
nameOverride: "" # 覆盖 chart 名称的一部分. 一般不需要<br />
fullnameOverride: "headlamp" # 最终资源名. 示例中固定方便管理. 新项目可改<br />
namespaceOverride: "" # 覆盖命名空间. 一般更建议 helm -n 指定<br />
<br />
initContainers: # 初始化容器. 在主容器启动前执行<br />
- name: init-plugin-dir # 初始化容器名称<br />
image: busybox:1.36 # 使用轻量 busybox 镜像<br />
imagePullPolicy: IfNotPresent # initContainer 拉取策略<br />
command:<br />
- sh<br />
- -c<br />
- mkdir -p /headlamp/plugins && chmod -R 755 /headlamp/plugins # 创建插件目录并赋权<br />
securityContext:<br />
runAsNonRoot: false # 初始化目录时通常允许 root 更省事. 严格环境可改<br />
allowPrivilegeEscalation: false # 禁止提权<br />
volumeMounts:<br />
- name: plugins-volume # 挂载插件卷以便初始化目录<br />
mountPath: /headlamp/plugins # 容器内插件目录路径<br />
<br />
extraContainers: [] # 额外 sidecar 容器. 例如日志采集或代理<br />
<br />
terminationGracePeriodSeconds: 30 # 优雅退出宽限期. 过短可能导致连接被硬切断<br />
hostNetwork: false # 是否使用宿主机网络. 一般保持 false<br />
dnsPolicy: ClusterFirst # DNS 策略. hostNetwork=true 时常配 ClusterFirstWithHostNet<br />
dnsConfig: {} # 自定义 DNS 配置. 需模板支持<br />
hostAliases: [] # 额外 hosts 映射. 仅少数场景使用<br />
<br />
config:<br />
inCluster: true # 集群内访问模式. Pod 通过 ServiceAccount 访问 K8s API<br />
inClusterContextName: "main" # 集群内上下文名称<br />
baseURL: "" # 子路径访问时填写如 /headlamp. 根路径保持空<br />
sessionTTL: 86400 # 登录会话有效期. 单位秒. 86400 = 24 小时<br />
<br />
oidc:<br />
secret:<br />
create: false # 是否由 chart 自动创建 OIDC Secret<br />
name: oidc # OIDC Secret 名称<br />
clientID: "" # OIDC 客户端 ID<br />
clientSecret: "" # OIDC 客户端密钥<br />
issuerURL: "" # OIDC 发行者地址<br />
scopes: "" # OIDC scopes<br />
callbackURL: "" # OIDC 回调地址<br />
validatorClientID: "" # Token 校验客户端 ID<br />
validatorIssuerURL: "" # Token 校验发行者地址<br />
useAccessToken: false # 是否使用 Access Token<br />
usePKCE: false # 是否启用 PKCE<br />
useCookie: false # 是否通过 Cookie 保存认证信息<br />
externalSecret:<br />
enabled: false # 是否使用外部 Secret<br />
name: "" # 外部 Secret 名称<br />
<br />
meUserInfoURL: "" # 用户信息接口地址. 未接入外部认证时可留空<br />
pluginsDir: "/headlamp/plugins" # 插件目录<br />
enableHelm: false # 最新 chart 默认值为 false. 仅需展示 Helm 信息时开启<br />
watchPlugins: false # 是否实时监听插件目录变化<br />
extraArgs: [] # 额外启动参数. 例如 -plugins-dir=/headlamp/plugins<br />
<br />
env: # 环境变量<br />
- name: TZ # 时区环境变量名称<br />
value: "Asia/Shanghai" # 时区设置<br />
<br />
envFrom: [] # 从 ConfigMap 或 Secret 批量导入环境变量. 需模板支持<br />
<br />
containerPorts: # 容器端口示例. 需模板支持<br />
- name: http # 端口名称. 多端口 Service 时建议显式命名<br />
containerPort: 4466 # 容器监听端口. 请按实际应用修改<br />
protocol: TCP # 协议. 通常 TCP<br />
<br />
livenessProbe: {} # 存活探针. K8S 原生支持 exec/httpGet/tcpSocket/grpc. 需模板支持<br />
readinessProbe: {} # 就绪探针. 控制是否加入 Service 端点. 需模板支持<br />
startupProbe: {} # 启动探针. 慢启动应用推荐配置. 需模板支持<br />
lifecycle: {} # 生命周期钩子. preStop/postStart. 需模板支持<br />
<br />
automountServiceAccountToken: true # 自动挂载 ServiceAccount Token. 集群内访问通常保持 true<br />
<br />
serviceAccount:<br />
create: true # 是否自动创建 ServiceAccount<br />
annotations: {} # ServiceAccount 注解<br />
name: "" # 最新 chart 默认空字符串. 留空时一般按 fullname 生成<br />
<br />
clusterRoleBinding:<br />
create: true # 是否自动创建 ClusterRoleBinding<br />
clusterRoleName: "cluster-admin" # 示例使用 cluster-admin. 生产环境建议改成最小权限角色<br />
annotations: {} # ClusterRoleBinding 注解<br />
<br />
deploymentAnnotations: {} # Deployment 注解<br />
podAnnotations: # Pod 注解. 可用于 sidecar 注入 监控抓取等<br />
kubectl.kubernetes.io/default-container: "headlamp" # kubectl exec/logs 默认容器提示. 非必须但更顺手<br />
<br />
podLabels:<br />
app.kubernetes.io/name: "headlamp" # 推荐使用标准标签<br />
app.kubernetes.io/component: "web" # 组件标签. 便于筛选和治理<br />
<br />
hostUsers: true # Pod 是否共享宿主用户命名空间. 设 false 可启用 user namespaces<br />
<br />
podSecurityContext:<br />
fsGroup: 101 # 卷文件组 ID. 便于挂载目录权限控制<br />
fsGroupChangePolicy: OnRootMismatch # 新版常用项. 仅在需要时递归改卷权限<br />
seccompProfile:<br />
type: RuntimeDefault # 推荐使用运行时默认 seccomp 配置<br />
<br />
securityContext:<br />
runAsNonRoot: true # 强制非 root 运行<br />
privileged: false # 不使用特权模式<br />
runAsUser: 100 # 容器运行用户 UID<br />
runAsGroup: 101 # 容器运行用户组 GID<br />
allowPrivilegeEscalation: false # 禁止提权<br />
readOnlyRootFilesystem: false # 需要更强约束时可设 true 并配 writable 卷<br />
capabilities:<br />
drop:<br />
- ALL # 建议默认移除全部 Linux capabilities<br />
<br />
service:<br />
annotations: {} # Service 注解<br />
type: NodePort # 暴露方式. 可选 ClusterIP / NodePort / LoadBalancer<br />
port: 80 # Service 端口<br />
targetPort: http # 目标端口. 建议引用命名端口便于变更<br />
appProtocol: http # 应用层协议提示. v1.20 稳定<br />
clusterIP: "" # ClusterIP 一般不手动指定<br />
# loadBalancerIP: "" # 该字段自 v1.24 起已废弃. 新环境不建议再依赖<br />
loadBalancerSourceRanges: [] # 限制允许访问的来源网段<br />
nodePort: 30080 # NodePort 固定端口. 浏览器可通过 NodeIP:30080 访问<br />
externalTrafficPolicy: Cluster # 对外流量策略. Local 可保留客户端源 IP<br />
internalTrafficPolicy: Cluster # 集群内流量策略. v1.26 稳定. Local 可优先本地端点<br />
sessionAffinity: None # 会话亲和性. 可选 None / ClientIP<br />
sessionAffinityConfig: {} # 会话亲和性高级配置. 需按需填写<br />
ipFamilyPolicy: SingleStack # 可选 SingleStack / PreferDualStack / RequireDualStack<br />
ipFamilies: [] # 双栈时可写 [IPv4, IPv6] 或 [IPv6, IPv4]<br />
trafficDistribution: PreferSameZone # v1.33 稳定. v1.35 支持 PreferSameZone / PreferSameNode<br />
<br />
volumeMounts:<br />
- name: plugins-volume # 插件卷名称<br />
mountPath: /headlamp/plugins # 容器内挂载路径<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷名称<br />
# mountPath: /home/headlamp/.config/Headlamp/kubeconfigs/config # 容器内 kubeconfig 文件路径<br />
# subPath: config # 将卷中的 config 文件挂载为单文件<br />
<br />
volumes:<br />
- name: plugins-volume # 卷名称. 需与 volumeMounts 对应<br />
hostPath:<br />
path: /data/headlamp/plugins # 宿主机目录. 等价于 Docker 左侧路径<br />
type: DirectoryOrCreate # 不存在时自动创建目录<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷<br />
# hostPath:<br />
# path: /data/headlamp/kubeconfigs # 宿主机 kubeconfig 所在目录<br />
# type: DirectoryOrCreate # 不存在时自动创建<br />
<br />
persistentVolumeClaim:<br />
enabled: false # 是否改用 PVC 持久化. 使用 hostPath 时通常设 false<br />
annotations: {} # PVC 注解<br />
accessModes: [] # PVC 访问模式. 如 ReadWriteOnce<br />
size: "" # PVC 大小. 如 5Gi<br />
storageClassName: "" # 存储类名称<br />
selector: {} # PVC 选择器<br />
volumeMode: "" # 卷模式. 如 Filesystem / Block<br />
dataSource: {} # 高级项. 可从快照或现有卷克隆. 需模板支持<br />
<br />
ingress:<br />
enabled: false # 是否启用 Ingress<br />
annotations: {} # Ingress 注解<br />
labels: {} # Ingress 标签<br />
ingressClassName: "" # IngressClass 名称. 替代旧注解 kubernetes.io/ingress.class<br />
hosts: [] # 域名和路径配置<br />
tls: [] # TLS 配置<br />
<br />
httpRoute:<br />
enabled: false # 是否启用 Gateway API 的 HTTPRoute<br />
annotations: {} # HTTPRoute 注解<br />
labels: {} # HTTPRoute 标签<br />
parentRefs: [] # 关联 Gateway. 启用时通常必填<br />
hostnames: [] # 绑定域名<br />
rules: [] # 路由规则. 未配置时通常走默认前缀路由<br />
<br />
resources: # 资源请求与限制<br />
requests:<br />
cpu: "100m" # 最低 CPU 请求<br />
memory: "128Mi" # 最低内存请求<br />
limits:<br />
cpu: "500m" # CPU 上限<br />
memory: "512Mi" # 内存上限<br />
<br />
nodeSelector:<br />
kubernetes.io/os: linux # 仅调度到 Linux 节点<br />
<br />
tolerations: [] # 容忍污点. 无特殊需求可留空<br />
affinity: {} # 亲和性规则. 无特殊需求可留空<br />
topologySpreadConstraints: # 拓扑分布约束. 新版 K8S 常用高可用配置<br />
# - maxSkew: 1 # 单个拓扑域允许的最大偏斜<br />
# topologyKey: topology.kubernetes.io/zone # 按可用区分布. 也可用 kubernetes.io/hostname<br />
# whenUnsatisfiable: ScheduleAnyway # 可选 DoNotSchedule / ScheduleAnyway<br />
# labelSelector:<br />
# matchLabels:<br />
# app.kubernetes.io/name: headlamp # 选取同类 Pod<br />
# matchLabelKeys: # v1.27 起 Beta. 可按 Pod 标签键自动匹配<br />
# - pod-template-hash<br />
# nodeAffinityPolicy: Honor # v1.26 起 Beta. 可选 Honor / Ignore<br />
# nodeTaintsPolicy: Ignore # v1.26 起 Beta. 可选 Honor / Ignore<br />
[]<br />
<br />
priorityClassName: "" # 优先级类名称<br />
runtimeClassName: "" # 运行时类. 如 gvisor kata 等. 需模板支持<br />
<br />
pluginsManager:<br />
enabled: false # 是否启用插件管理 sidecar<br />
configFile: "plugin.yml" # 插件配置文件名<br />
configContent: "" # 插件配置内容<br />
baseImage: node:lts-alpine # 插件管理器基础镜像<br />
version: latest # 插件管理器版本<br />
volumeMounts: [] # 插件管理器额外挂载<br />
securityContext: {} # 插件管理器安全上下文<br />
<br />
podDisruptionBudget:<br />
enabled: false # 是否启用 PDB<br />
minAvailable: 0 # 最少可用副本数<br />
maxUnavailable: null # 最大不可用副本数<br />
unhealthyPodEvictionPolicy: null # 不健康 Pod 驱逐策略. 新集群可按需设置<br />
<br />
extraManifests: [] # 附加资源清单. 可内嵌额外 K8s YAML<br />
<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1894
如何搭建 Kubernetes 一站式平台
2026-04-12T20:05:22Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
== 1. 什么是 Kubernetes / k8s ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== 2. 环境说明 ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== '''5. 安装 kubeadm kubelet kubectl''' ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | sudo tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | sudo tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== '''8. 安装 CNI 插件''' ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== 9. Headlamp (可选) ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== 10. 常见问题排查 ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== '''11. 常用命令''' ==<br />
<syntaxhighlight lang="bash" line="1"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight><br />
<br />
== '''12. Helm Chart 配置文件模板''' ==<br />
<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1 # Pod 副本数. 单节点或测试环境常设为 1<br />
revisionHistoryLimit: 10 # Deployment 保留的历史版本数. 便于回滚<br />
minReadySeconds: 0 # Pod 就绪后保持多久才视为可用<br />
<br />
deploymentStrategy: # Deployment 更新策略<br />
type: RollingUpdate # 推荐 RollingUpdate. Recreate 会先删后建<br />
rollingUpdate:<br />
maxUnavailable: 25% # 滚动更新期间最大不可用比例<br />
maxSurge: 25% # 滚动更新期间可额外创建的副本比例<br />
<br />
image:<br />
registry: ghcr.io # 镜像仓库地址<br />
repository: headlamp-k8s/headlamp # 示例镜像名. 新容器可改为自己的镜像<br />
tag: "" # 镜像标签. 留空时通常使用 chart 默认 appVersion<br />
pullPolicy: IfNotPresent # 拉取策略. 常用 IfNotPresent 或 Always<br />
<br />
imagePullSecrets: [] # 私有仓库拉取密钥. 无需私仓时保持空数组<br />
<br />
nameOverride: "" # 覆盖 chart 名称的一部分. 一般不需要<br />
fullnameOverride: "headlamp" # 最终资源名. 示例中固定方便管理. 新项目可改<br />
namespaceOverride: "" # 覆盖命名空间. 一般更建议 helm -n 指定<br />
<br />
initContainers: # 初始化容器. 在主容器启动前执行<br />
- name: init-plugin-dir # 初始化容器名称<br />
image: busybox:1.36 # 使用轻量 busybox 镜像<br />
imagePullPolicy: IfNotPresent # initContainer 拉取策略<br />
command:<br />
- sh<br />
- -c<br />
- mkdir -p /headlamp/plugins && chmod -R 755 /headlamp/plugins # 创建插件目录并赋权<br />
securityContext:<br />
runAsNonRoot: false # 初始化目录时通常允许 root 更省事. 严格环境可改<br />
allowPrivilegeEscalation: false # 禁止提权<br />
volumeMounts:<br />
- name: plugins-volume # 挂载插件卷以便初始化目录<br />
mountPath: /headlamp/plugins # 容器内插件目录路径<br />
<br />
extraContainers: [] # 额外 sidecar 容器. 例如日志采集或代理<br />
<br />
terminationGracePeriodSeconds: 30 # 优雅退出宽限期. 过短可能导致连接被硬切断<br />
hostNetwork: false # 是否使用宿主机网络. 一般保持 false<br />
dnsPolicy: ClusterFirst # DNS 策略. hostNetwork=true 时常配 ClusterFirstWithHostNet<br />
dnsConfig: {} # 自定义 DNS 配置. 需模板支持<br />
hostAliases: [] # 额外 hosts 映射. 仅少数场景使用<br />
<br />
config:<br />
inCluster: true # 集群内访问模式. Pod 通过 ServiceAccount 访问 K8s API<br />
inClusterContextName: "main" # 集群内上下文名称<br />
baseURL: "" # 子路径访问时填写如 /headlamp. 根路径保持空<br />
sessionTTL: 86400 # 登录会话有效期. 单位秒. 86400 = 24 小时<br />
<br />
oidc:<br />
secret:<br />
create: false # 是否由 chart 自动创建 OIDC Secret<br />
name: oidc # OIDC Secret 名称<br />
clientID: "" # OIDC 客户端 ID<br />
clientSecret: "" # OIDC 客户端密钥<br />
issuerURL: "" # OIDC 发行者地址<br />
scopes: "" # OIDC scopes<br />
callbackURL: "" # OIDC 回调地址<br />
validatorClientID: "" # Token 校验客户端 ID<br />
validatorIssuerURL: "" # Token 校验发行者地址<br />
useAccessToken: false # 是否使用 Access Token<br />
usePKCE: false # 是否启用 PKCE<br />
useCookie: false # 是否通过 Cookie 保存认证信息<br />
externalSecret:<br />
enabled: false # 是否使用外部 Secret<br />
name: "" # 外部 Secret 名称<br />
<br />
meUserInfoURL: "" # 用户信息接口地址. 未接入外部认证时可留空<br />
pluginsDir: "/headlamp/plugins" # 插件目录<br />
enableHelm: false # 最新 chart 默认值为 false. 仅需展示 Helm 信息时开启<br />
watchPlugins: false # 是否实时监听插件目录变化<br />
extraArgs: [] # 额外启动参数. 例如 -plugins-dir=/headlamp/plugins<br />
<br />
env: # 环境变量<br />
- name: TZ # 时区环境变量名称<br />
value: "Asia/Shanghai" # 时区设置<br />
<br />
envFrom: [] # 从 ConfigMap 或 Secret 批量导入环境变量. 需模板支持<br />
<br />
containerPorts: # 容器端口示例. 需模板支持<br />
- name: http # 端口名称. 多端口 Service 时建议显式命名<br />
containerPort: 4466 # 容器监听端口. 请按实际应用修改<br />
protocol: TCP # 协议. 通常 TCP<br />
<br />
livenessProbe: {} # 存活探针. K8S 原生支持 exec/httpGet/tcpSocket/grpc. 需模板支持<br />
readinessProbe: {} # 就绪探针. 控制是否加入 Service 端点. 需模板支持<br />
startupProbe: {} # 启动探针. 慢启动应用推荐配置. 需模板支持<br />
lifecycle: {} # 生命周期钩子. preStop/postStart. 需模板支持<br />
<br />
automountServiceAccountToken: true # 自动挂载 ServiceAccount Token. 集群内访问通常保持 true<br />
<br />
serviceAccount:<br />
create: true # 是否自动创建 ServiceAccount<br />
annotations: {} # ServiceAccount 注解<br />
name: "" # 最新 chart 默认空字符串. 留空时一般按 fullname 生成<br />
<br />
clusterRoleBinding:<br />
create: true # 是否自动创建 ClusterRoleBinding<br />
clusterRoleName: "cluster-admin" # 示例使用 cluster-admin. 生产环境建议改成最小权限角色<br />
annotations: {} # ClusterRoleBinding 注解<br />
<br />
deploymentAnnotations: {} # Deployment 注解<br />
podAnnotations: # Pod 注解. 可用于 sidecar 注入 监控抓取等<br />
kubectl.kubernetes.io/default-container: "headlamp" # kubectl exec/logs 默认容器提示. 非必须但更顺手<br />
<br />
podLabels:<br />
app.kubernetes.io/name: "headlamp" # 推荐使用标准标签<br />
app.kubernetes.io/component: "web" # 组件标签. 便于筛选和治理<br />
<br />
hostUsers: true # Pod 是否共享宿主用户命名空间. 设 false 可启用 user namespaces<br />
<br />
podSecurityContext:<br />
fsGroup: 101 # 卷文件组 ID. 便于挂载目录权限控制<br />
fsGroupChangePolicy: OnRootMismatch # 新版常用项. 仅在需要时递归改卷权限<br />
seccompProfile:<br />
type: RuntimeDefault # 推荐使用运行时默认 seccomp 配置<br />
<br />
securityContext:<br />
runAsNonRoot: true # 强制非 root 运行<br />
privileged: false # 不使用特权模式<br />
runAsUser: 100 # 容器运行用户 UID<br />
runAsGroup: 101 # 容器运行用户组 GID<br />
allowPrivilegeEscalation: false # 禁止提权<br />
readOnlyRootFilesystem: false # 需要更强约束时可设 true 并配 writable 卷<br />
capabilities:<br />
drop:<br />
- ALL # 建议默认移除全部 Linux capabilities<br />
<br />
service:<br />
annotations: {} # Service 注解<br />
type: NodePort # 暴露方式. 可选 ClusterIP / NodePort / LoadBalancer<br />
port: 80 # Service 端口<br />
targetPort: http # 目标端口. 建议引用命名端口便于变更<br />
appProtocol: http # 应用层协议提示. v1.20 稳定<br />
clusterIP: "" # ClusterIP 一般不手动指定<br />
# loadBalancerIP: "" # 该字段自 v1.24 起已废弃. 新环境不建议再依赖<br />
loadBalancerSourceRanges: [] # 限制允许访问的来源网段<br />
nodePort: 30080 # NodePort 固定端口. 浏览器可通过 NodeIP:30080 访问<br />
externalTrafficPolicy: Cluster # 对外流量策略. Local 可保留客户端源 IP<br />
internalTrafficPolicy: Cluster # 集群内流量策略. v1.26 稳定. Local 可优先本地端点<br />
sessionAffinity: None # 会话亲和性. 可选 None / ClientIP<br />
sessionAffinityConfig: {} # 会话亲和性高级配置. 需按需填写<br />
ipFamilyPolicy: SingleStack # 可选 SingleStack / PreferDualStack / RequireDualStack<br />
ipFamilies: [] # 双栈时可写 [IPv4, IPv6] 或 [IPv6, IPv4]<br />
trafficDistribution: PreferSameZone # v1.33 稳定. v1.35 支持 PreferSameZone / PreferSameNode<br />
<br />
volumeMounts:<br />
- name: plugins-volume # 插件卷名称<br />
mountPath: /headlamp/plugins # 容器内挂载路径<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷名称<br />
# mountPath: /home/headlamp/.config/Headlamp/kubeconfigs/config # 容器内 kubeconfig 文件路径<br />
# subPath: config # 将卷中的 config 文件挂载为单文件<br />
<br />
volumes:<br />
- name: plugins-volume # 卷名称. 需与 volumeMounts 对应<br />
hostPath:<br />
path: /data/headlamp/plugins # 宿主机目录. 等价于 Docker 左侧路径<br />
type: DirectoryOrCreate # 不存在时自动创建目录<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷<br />
# hostPath:<br />
# path: /data/headlamp/kubeconfigs # 宿主机 kubeconfig 所在目录<br />
# type: DirectoryOrCreate # 不存在时自动创建<br />
<br />
persistentVolumeClaim:<br />
enabled: false # 是否改用 PVC 持久化. 使用 hostPath 时通常设 false<br />
annotations: {} # PVC 注解<br />
accessModes: [] # PVC 访问模式. 如 ReadWriteOnce<br />
size: "" # PVC 大小. 如 5Gi<br />
storageClassName: "" # 存储类名称<br />
selector: {} # PVC 选择器<br />
volumeMode: "" # 卷模式. 如 Filesystem / Block<br />
dataSource: {} # 高级项. 可从快照或现有卷克隆. 需模板支持<br />
<br />
ingress:<br />
enabled: false # 是否启用 Ingress<br />
annotations: {} # Ingress 注解<br />
labels: {} # Ingress 标签<br />
ingressClassName: "" # IngressClass 名称. 替代旧注解 kubernetes.io/ingress.class<br />
hosts: [] # 域名和路径配置<br />
tls: [] # TLS 配置<br />
<br />
httpRoute:<br />
enabled: false # 是否启用 Gateway API 的 HTTPRoute<br />
annotations: {} # HTTPRoute 注解<br />
labels: {} # HTTPRoute 标签<br />
parentRefs: [] # 关联 Gateway. 启用时通常必填<br />
hostnames: [] # 绑定域名<br />
rules: [] # 路由规则. 未配置时通常走默认前缀路由<br />
<br />
resources: # 资源请求与限制<br />
requests:<br />
cpu: "100m" # 最低 CPU 请求<br />
memory: "128Mi" # 最低内存请求<br />
limits:<br />
cpu: "500m" # CPU 上限<br />
memory: "512Mi" # 内存上限<br />
<br />
nodeSelector:<br />
kubernetes.io/os: linux # 仅调度到 Linux 节点<br />
<br />
tolerations: [] # 容忍污点. 无特殊需求可留空<br />
affinity: {} # 亲和性规则. 无特殊需求可留空<br />
topologySpreadConstraints: # 拓扑分布约束. 新版 K8S 常用高可用配置<br />
# - maxSkew: 1 # 单个拓扑域允许的最大偏斜<br />
# topologyKey: topology.kubernetes.io/zone # 按可用区分布. 也可用 kubernetes.io/hostname<br />
# whenUnsatisfiable: ScheduleAnyway # 可选 DoNotSchedule / ScheduleAnyway<br />
# labelSelector:<br />
# matchLabels:<br />
# app.kubernetes.io/name: headlamp # 选取同类 Pod<br />
# matchLabelKeys: # v1.27 起 Beta. 可按 Pod 标签键自动匹配<br />
# - pod-template-hash<br />
# nodeAffinityPolicy: Honor # v1.26 起 Beta. 可选 Honor / Ignore<br />
# nodeTaintsPolicy: Ignore # v1.26 起 Beta. 可选 Honor / Ignore<br />
[]<br />
<br />
priorityClassName: "" # 优先级类名称<br />
runtimeClassName: "" # 运行时类. 如 gvisor kata 等. 需模板支持<br />
<br />
pluginsManager:<br />
enabled: false # 是否启用插件管理 sidecar<br />
configFile: "plugin.yml" # 插件配置文件名<br />
configContent: "" # 插件配置内容<br />
baseImage: node:lts-alpine # 插件管理器基础镜像<br />
version: latest # 插件管理器版本<br />
volumeMounts: [] # 插件管理器额外挂载<br />
securityContext: {} # 插件管理器安全上下文<br />
<br />
podDisruptionBudget:<br />
enabled: false # 是否启用 PDB<br />
minAvailable: 0 # 最少可用副本数<br />
maxUnavailable: null # 最大不可用副本数<br />
unhealthyPodEvictionPolicy: null # 不健康 Pod 驱逐策略. 新集群可按需设置<br />
<br />
extraManifests: [] # 附加资源清单. 可内嵌额外 K8s YAML<br />
<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1893
如何搭建 Kubernetes 一站式平台
2026-04-12T20:04:05Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
== '''1. 什么是 Kubernetes / k8s''' ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== 2. 环境说明 ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== 4. 安装 containerd ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== '''5. 安装 kubeadm kubelet kubectl''' ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== 6. 初始化单节点 k8s 集群 ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | sudo tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | sudo tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== 8. 安装 CNI 插件 ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== '''9. Headlamp (可选)''' ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== 10. 常见问题排查 ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== '''11. 常用命令''' ==<br />
<syntaxhighlight lang="bash" line="1"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight><br />
<br />
== 12. Helm Chart 配置文件模板 ==<br />
<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1 # Pod 副本数. 单节点或测试环境常设为 1<br />
revisionHistoryLimit: 10 # Deployment 保留的历史版本数. 便于回滚<br />
minReadySeconds: 0 # Pod 就绪后保持多久才视为可用<br />
<br />
deploymentStrategy: # Deployment 更新策略<br />
type: RollingUpdate # 推荐 RollingUpdate. Recreate 会先删后建<br />
rollingUpdate:<br />
maxUnavailable: 25% # 滚动更新期间最大不可用比例<br />
maxSurge: 25% # 滚动更新期间可额外创建的副本比例<br />
<br />
image:<br />
registry: ghcr.io # 镜像仓库地址<br />
repository: headlamp-k8s/headlamp # 示例镜像名. 新容器可改为自己的镜像<br />
tag: "" # 镜像标签. 留空时通常使用 chart 默认 appVersion<br />
pullPolicy: IfNotPresent # 拉取策略. 常用 IfNotPresent 或 Always<br />
<br />
imagePullSecrets: [] # 私有仓库拉取密钥. 无需私仓时保持空数组<br />
<br />
nameOverride: "" # 覆盖 chart 名称的一部分. 一般不需要<br />
fullnameOverride: "headlamp" # 最终资源名. 示例中固定方便管理. 新项目可改<br />
namespaceOverride: "" # 覆盖命名空间. 一般更建议 helm -n 指定<br />
<br />
initContainers: # 初始化容器. 在主容器启动前执行<br />
- name: init-plugin-dir # 初始化容器名称<br />
image: busybox:1.36 # 使用轻量 busybox 镜像<br />
imagePullPolicy: IfNotPresent # initContainer 拉取策略<br />
command:<br />
- sh<br />
- -c<br />
- mkdir -p /headlamp/plugins && chmod -R 755 /headlamp/plugins # 创建插件目录并赋权<br />
securityContext:<br />
runAsNonRoot: false # 初始化目录时通常允许 root 更省事. 严格环境可改<br />
allowPrivilegeEscalation: false # 禁止提权<br />
volumeMounts:<br />
- name: plugins-volume # 挂载插件卷以便初始化目录<br />
mountPath: /headlamp/plugins # 容器内插件目录路径<br />
<br />
extraContainers: [] # 额外 sidecar 容器. 例如日志采集或代理<br />
<br />
terminationGracePeriodSeconds: 30 # 优雅退出宽限期. 过短可能导致连接被硬切断<br />
hostNetwork: false # 是否使用宿主机网络. 一般保持 false<br />
dnsPolicy: ClusterFirst # DNS 策略. hostNetwork=true 时常配 ClusterFirstWithHostNet<br />
dnsConfig: {} # 自定义 DNS 配置. 需模板支持<br />
hostAliases: [] # 额外 hosts 映射. 仅少数场景使用<br />
<br />
config:<br />
inCluster: true # 集群内访问模式. Pod 通过 ServiceAccount 访问 K8s API<br />
inClusterContextName: "main" # 集群内上下文名称<br />
baseURL: "" # 子路径访问时填写如 /headlamp. 根路径保持空<br />
sessionTTL: 86400 # 登录会话有效期. 单位秒. 86400 = 24 小时<br />
<br />
oidc:<br />
secret:<br />
create: false # 是否由 chart 自动创建 OIDC Secret<br />
name: oidc # OIDC Secret 名称<br />
clientID: "" # OIDC 客户端 ID<br />
clientSecret: "" # OIDC 客户端密钥<br />
issuerURL: "" # OIDC 发行者地址<br />
scopes: "" # OIDC scopes<br />
callbackURL: "" # OIDC 回调地址<br />
validatorClientID: "" # Token 校验客户端 ID<br />
validatorIssuerURL: "" # Token 校验发行者地址<br />
useAccessToken: false # 是否使用 Access Token<br />
usePKCE: false # 是否启用 PKCE<br />
useCookie: false # 是否通过 Cookie 保存认证信息<br />
externalSecret:<br />
enabled: false # 是否使用外部 Secret<br />
name: "" # 外部 Secret 名称<br />
<br />
meUserInfoURL: "" # 用户信息接口地址. 未接入外部认证时可留空<br />
pluginsDir: "/headlamp/plugins" # 插件目录<br />
enableHelm: false # 最新 chart 默认值为 false. 仅需展示 Helm 信息时开启<br />
watchPlugins: false # 是否实时监听插件目录变化<br />
extraArgs: [] # 额外启动参数. 例如 -plugins-dir=/headlamp/plugins<br />
<br />
env: # 环境变量<br />
- name: TZ # 时区环境变量名称<br />
value: "Asia/Shanghai" # 时区设置<br />
<br />
envFrom: [] # 从 ConfigMap 或 Secret 批量导入环境变量. 需模板支持<br />
<br />
containerPorts: # 容器端口示例. 需模板支持<br />
- name: http # 端口名称. 多端口 Service 时建议显式命名<br />
containerPort: 4466 # 容器监听端口. 请按实际应用修改<br />
protocol: TCP # 协议. 通常 TCP<br />
<br />
livenessProbe: {} # 存活探针. K8S 原生支持 exec/httpGet/tcpSocket/grpc. 需模板支持<br />
readinessProbe: {} # 就绪探针. 控制是否加入 Service 端点. 需模板支持<br />
startupProbe: {} # 启动探针. 慢启动应用推荐配置. 需模板支持<br />
lifecycle: {} # 生命周期钩子. preStop/postStart. 需模板支持<br />
<br />
automountServiceAccountToken: true # 自动挂载 ServiceAccount Token. 集群内访问通常保持 true<br />
<br />
serviceAccount:<br />
create: true # 是否自动创建 ServiceAccount<br />
annotations: {} # ServiceAccount 注解<br />
name: "" # 最新 chart 默认空字符串. 留空时一般按 fullname 生成<br />
<br />
clusterRoleBinding:<br />
create: true # 是否自动创建 ClusterRoleBinding<br />
clusterRoleName: "cluster-admin" # 示例使用 cluster-admin. 生产环境建议改成最小权限角色<br />
annotations: {} # ClusterRoleBinding 注解<br />
<br />
deploymentAnnotations: {} # Deployment 注解<br />
podAnnotations: # Pod 注解. 可用于 sidecar 注入 监控抓取等<br />
kubectl.kubernetes.io/default-container: "headlamp" # kubectl exec/logs 默认容器提示. 非必须但更顺手<br />
<br />
podLabels:<br />
app.kubernetes.io/name: "headlamp" # 推荐使用标准标签<br />
app.kubernetes.io/component: "web" # 组件标签. 便于筛选和治理<br />
<br />
hostUsers: true # Pod 是否共享宿主用户命名空间. 设 false 可启用 user namespaces<br />
<br />
podSecurityContext:<br />
fsGroup: 101 # 卷文件组 ID. 便于挂载目录权限控制<br />
fsGroupChangePolicy: OnRootMismatch # 新版常用项. 仅在需要时递归改卷权限<br />
seccompProfile:<br />
type: RuntimeDefault # 推荐使用运行时默认 seccomp 配置<br />
<br />
securityContext:<br />
runAsNonRoot: true # 强制非 root 运行<br />
privileged: false # 不使用特权模式<br />
runAsUser: 100 # 容器运行用户 UID<br />
runAsGroup: 101 # 容器运行用户组 GID<br />
allowPrivilegeEscalation: false # 禁止提权<br />
readOnlyRootFilesystem: false # 需要更强约束时可设 true 并配 writable 卷<br />
capabilities:<br />
drop:<br />
- ALL # 建议默认移除全部 Linux capabilities<br />
<br />
service:<br />
annotations: {} # Service 注解<br />
type: NodePort # 暴露方式. 可选 ClusterIP / NodePort / LoadBalancer<br />
port: 80 # Service 端口<br />
targetPort: http # 目标端口. 建议引用命名端口便于变更<br />
appProtocol: http # 应用层协议提示. v1.20 稳定<br />
clusterIP: "" # ClusterIP 一般不手动指定<br />
# loadBalancerIP: "" # 该字段自 v1.24 起已废弃. 新环境不建议再依赖<br />
loadBalancerSourceRanges: [] # 限制允许访问的来源网段<br />
nodePort: 30080 # NodePort 固定端口. 浏览器可通过 NodeIP:30080 访问<br />
externalTrafficPolicy: Cluster # 对外流量策略. Local 可保留客户端源 IP<br />
internalTrafficPolicy: Cluster # 集群内流量策略. v1.26 稳定. Local 可优先本地端点<br />
sessionAffinity: None # 会话亲和性. 可选 None / ClientIP<br />
sessionAffinityConfig: {} # 会话亲和性高级配置. 需按需填写<br />
ipFamilyPolicy: SingleStack # 可选 SingleStack / PreferDualStack / RequireDualStack<br />
ipFamilies: [] # 双栈时可写 [IPv4, IPv6] 或 [IPv6, IPv4]<br />
trafficDistribution: PreferSameZone # v1.33 稳定. v1.35 支持 PreferSameZone / PreferSameNode<br />
<br />
volumeMounts:<br />
- name: plugins-volume # 插件卷名称<br />
mountPath: /headlamp/plugins # 容器内挂载路径<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷名称<br />
# mountPath: /home/headlamp/.config/Headlamp/kubeconfigs/config # 容器内 kubeconfig 文件路径<br />
# subPath: config # 将卷中的 config 文件挂载为单文件<br />
<br />
volumes:<br />
- name: plugins-volume # 卷名称. 需与 volumeMounts 对应<br />
hostPath:<br />
path: /data/headlamp/plugins # 宿主机目录. 等价于 Docker 左侧路径<br />
type: DirectoryOrCreate # 不存在时自动创建目录<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷<br />
# hostPath:<br />
# path: /data/headlamp/kubeconfigs # 宿主机 kubeconfig 所在目录<br />
# type: DirectoryOrCreate # 不存在时自动创建<br />
<br />
persistentVolumeClaim:<br />
enabled: false # 是否改用 PVC 持久化. 使用 hostPath 时通常设 false<br />
annotations: {} # PVC 注解<br />
accessModes: [] # PVC 访问模式. 如 ReadWriteOnce<br />
size: "" # PVC 大小. 如 5Gi<br />
storageClassName: "" # 存储类名称<br />
selector: {} # PVC 选择器<br />
volumeMode: "" # 卷模式. 如 Filesystem / Block<br />
dataSource: {} # 高级项. 可从快照或现有卷克隆. 需模板支持<br />
<br />
ingress:<br />
enabled: false # 是否启用 Ingress<br />
annotations: {} # Ingress 注解<br />
labels: {} # Ingress 标签<br />
ingressClassName: "" # IngressClass 名称. 替代旧注解 kubernetes.io/ingress.class<br />
hosts: [] # 域名和路径配置<br />
tls: [] # TLS 配置<br />
<br />
httpRoute:<br />
enabled: false # 是否启用 Gateway API 的 HTTPRoute<br />
annotations: {} # HTTPRoute 注解<br />
labels: {} # HTTPRoute 标签<br />
parentRefs: [] # 关联 Gateway. 启用时通常必填<br />
hostnames: [] # 绑定域名<br />
rules: [] # 路由规则. 未配置时通常走默认前缀路由<br />
<br />
resources: # 资源请求与限制<br />
requests:<br />
cpu: "100m" # 最低 CPU 请求<br />
memory: "128Mi" # 最低内存请求<br />
limits:<br />
cpu: "500m" # CPU 上限<br />
memory: "512Mi" # 内存上限<br />
<br />
nodeSelector:<br />
kubernetes.io/os: linux # 仅调度到 Linux 节点<br />
<br />
tolerations: [] # 容忍污点. 无特殊需求可留空<br />
affinity: {} # 亲和性规则. 无特殊需求可留空<br />
topologySpreadConstraints: # 拓扑分布约束. 新版 K8S 常用高可用配置<br />
# - maxSkew: 1 # 单个拓扑域允许的最大偏斜<br />
# topologyKey: topology.kubernetes.io/zone # 按可用区分布. 也可用 kubernetes.io/hostname<br />
# whenUnsatisfiable: ScheduleAnyway # 可选 DoNotSchedule / ScheduleAnyway<br />
# labelSelector:<br />
# matchLabels:<br />
# app.kubernetes.io/name: headlamp # 选取同类 Pod<br />
# matchLabelKeys: # v1.27 起 Beta. 可按 Pod 标签键自动匹配<br />
# - pod-template-hash<br />
# nodeAffinityPolicy: Honor # v1.26 起 Beta. 可选 Honor / Ignore<br />
# nodeTaintsPolicy: Ignore # v1.26 起 Beta. 可选 Honor / Ignore<br />
[]<br />
<br />
priorityClassName: "" # 优先级类名称<br />
runtimeClassName: "" # 运行时类. 如 gvisor kata 等. 需模板支持<br />
<br />
pluginsManager:<br />
enabled: false # 是否启用插件管理 sidecar<br />
configFile: "plugin.yml" # 插件配置文件名<br />
configContent: "" # 插件配置内容<br />
baseImage: node:lts-alpine # 插件管理器基础镜像<br />
version: latest # 插件管理器版本<br />
volumeMounts: [] # 插件管理器额外挂载<br />
securityContext: {} # 插件管理器安全上下文<br />
<br />
podDisruptionBudget:<br />
enabled: false # 是否启用 PDB<br />
minAvailable: 0 # 最少可用副本数<br />
maxUnavailable: null # 最大不可用副本数<br />
unhealthyPodEvictionPolicy: null # 不健康 Pod 驱逐策略. 新集群可按需设置<br />
<br />
extraManifests: [] # 附加资源清单. 可内嵌额外 K8s YAML<br />
<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1892
如何搭建 Kubernetes 一站式平台
2026-04-12T20:03:08Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
== '''1. 什么是 Kubernetes / k8s''' ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== 2. 环境说明 ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== 4. 安装 containerd ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== 5. 安装 kubeadm kubelet kubectl ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== 7. 安装 Helm并设置补全 ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | sudo tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | sudo tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== '''8. 安装 CNI 插件''' ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== 9. Headlamp (可选) ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== 10. 常见问题排查 ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== '''11. 常用命令''' ==<br />
<syntaxhighlight lang="bash" line="1"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight><br />
<br />
== 12. Helm Chart 配置文件模板 ==<br />
<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1 # Pod 副本数. 单节点或测试环境常设为 1<br />
revisionHistoryLimit: 10 # Deployment 保留的历史版本数. 便于回滚<br />
minReadySeconds: 0 # Pod 就绪后保持多久才视为可用<br />
<br />
deploymentStrategy: # Deployment 更新策略<br />
type: RollingUpdate # 推荐 RollingUpdate. Recreate 会先删后建<br />
rollingUpdate:<br />
maxUnavailable: 25% # 滚动更新期间最大不可用比例<br />
maxSurge: 25% # 滚动更新期间可额外创建的副本比例<br />
<br />
image:<br />
registry: ghcr.io # 镜像仓库地址<br />
repository: headlamp-k8s/headlamp # 示例镜像名. 新容器可改为自己的镜像<br />
tag: "" # 镜像标签. 留空时通常使用 chart 默认 appVersion<br />
pullPolicy: IfNotPresent # 拉取策略. 常用 IfNotPresent 或 Always<br />
<br />
imagePullSecrets: [] # 私有仓库拉取密钥. 无需私仓时保持空数组<br />
<br />
nameOverride: "" # 覆盖 chart 名称的一部分. 一般不需要<br />
fullnameOverride: "headlamp" # 最终资源名. 示例中固定方便管理. 新项目可改<br />
namespaceOverride: "" # 覆盖命名空间. 一般更建议 helm -n 指定<br />
<br />
initContainers: # 初始化容器. 在主容器启动前执行<br />
- name: init-plugin-dir # 初始化容器名称<br />
image: busybox:1.36 # 使用轻量 busybox 镜像<br />
imagePullPolicy: IfNotPresent # initContainer 拉取策略<br />
command:<br />
- sh<br />
- -c<br />
- mkdir -p /headlamp/plugins && chmod -R 755 /headlamp/plugins # 创建插件目录并赋权<br />
securityContext:<br />
runAsNonRoot: false # 初始化目录时通常允许 root 更省事. 严格环境可改<br />
allowPrivilegeEscalation: false # 禁止提权<br />
volumeMounts:<br />
- name: plugins-volume # 挂载插件卷以便初始化目录<br />
mountPath: /headlamp/plugins # 容器内插件目录路径<br />
<br />
extraContainers: [] # 额外 sidecar 容器. 例如日志采集或代理<br />
<br />
terminationGracePeriodSeconds: 30 # 优雅退出宽限期. 过短可能导致连接被硬切断<br />
hostNetwork: false # 是否使用宿主机网络. 一般保持 false<br />
dnsPolicy: ClusterFirst # DNS 策略. hostNetwork=true 时常配 ClusterFirstWithHostNet<br />
dnsConfig: {} # 自定义 DNS 配置. 需模板支持<br />
hostAliases: [] # 额外 hosts 映射. 仅少数场景使用<br />
<br />
config:<br />
inCluster: true # 集群内访问模式. Pod 通过 ServiceAccount 访问 K8s API<br />
inClusterContextName: "main" # 集群内上下文名称<br />
baseURL: "" # 子路径访问时填写如 /headlamp. 根路径保持空<br />
sessionTTL: 86400 # 登录会话有效期. 单位秒. 86400 = 24 小时<br />
<br />
oidc:<br />
secret:<br />
create: false # 是否由 chart 自动创建 OIDC Secret<br />
name: oidc # OIDC Secret 名称<br />
clientID: "" # OIDC 客户端 ID<br />
clientSecret: "" # OIDC 客户端密钥<br />
issuerURL: "" # OIDC 发行者地址<br />
scopes: "" # OIDC scopes<br />
callbackURL: "" # OIDC 回调地址<br />
validatorClientID: "" # Token 校验客户端 ID<br />
validatorIssuerURL: "" # Token 校验发行者地址<br />
useAccessToken: false # 是否使用 Access Token<br />
usePKCE: false # 是否启用 PKCE<br />
useCookie: false # 是否通过 Cookie 保存认证信息<br />
externalSecret:<br />
enabled: false # 是否使用外部 Secret<br />
name: "" # 外部 Secret 名称<br />
<br />
meUserInfoURL: "" # 用户信息接口地址. 未接入外部认证时可留空<br />
pluginsDir: "/headlamp/plugins" # 插件目录<br />
enableHelm: false # 最新 chart 默认值为 false. 仅需展示 Helm 信息时开启<br />
watchPlugins: false # 是否实时监听插件目录变化<br />
extraArgs: [] # 额外启动参数. 例如 -plugins-dir=/headlamp/plugins<br />
<br />
env: # 环境变量<br />
- name: TZ # 时区环境变量名称<br />
value: "Asia/Shanghai" # 时区设置<br />
<br />
envFrom: [] # 从 ConfigMap 或 Secret 批量导入环境变量. 需模板支持<br />
<br />
containerPorts: # 容器端口示例. 需模板支持<br />
- name: http # 端口名称. 多端口 Service 时建议显式命名<br />
containerPort: 4466 # 容器监听端口. 请按实际应用修改<br />
protocol: TCP # 协议. 通常 TCP<br />
<br />
livenessProbe: {} # 存活探针. K8S 原生支持 exec/httpGet/tcpSocket/grpc. 需模板支持<br />
readinessProbe: {} # 就绪探针. 控制是否加入 Service 端点. 需模板支持<br />
startupProbe: {} # 启动探针. 慢启动应用推荐配置. 需模板支持<br />
lifecycle: {} # 生命周期钩子. preStop/postStart. 需模板支持<br />
<br />
automountServiceAccountToken: true # 自动挂载 ServiceAccount Token. 集群内访问通常保持 true<br />
<br />
serviceAccount:<br />
create: true # 是否自动创建 ServiceAccount<br />
annotations: {} # ServiceAccount 注解<br />
name: "" # 最新 chart 默认空字符串. 留空时一般按 fullname 生成<br />
<br />
clusterRoleBinding:<br />
create: true # 是否自动创建 ClusterRoleBinding<br />
clusterRoleName: "cluster-admin" # 示例使用 cluster-admin. 生产环境建议改成最小权限角色<br />
annotations: {} # ClusterRoleBinding 注解<br />
<br />
deploymentAnnotations: {} # Deployment 注解<br />
podAnnotations: # Pod 注解. 可用于 sidecar 注入 监控抓取等<br />
kubectl.kubernetes.io/default-container: "headlamp" # kubectl exec/logs 默认容器提示. 非必须但更顺手<br />
<br />
podLabels:<br />
app.kubernetes.io/name: "headlamp" # 推荐使用标准标签<br />
app.kubernetes.io/component: "web" # 组件标签. 便于筛选和治理<br />
<br />
hostUsers: true # Pod 是否共享宿主用户命名空间. 设 false 可启用 user namespaces<br />
<br />
podSecurityContext:<br />
fsGroup: 101 # 卷文件组 ID. 便于挂载目录权限控制<br />
fsGroupChangePolicy: OnRootMismatch # 新版常用项. 仅在需要时递归改卷权限<br />
seccompProfile:<br />
type: RuntimeDefault # 推荐使用运行时默认 seccomp 配置<br />
<br />
securityContext:<br />
runAsNonRoot: true # 强制非 root 运行<br />
privileged: false # 不使用特权模式<br />
runAsUser: 100 # 容器运行用户 UID<br />
runAsGroup: 101 # 容器运行用户组 GID<br />
allowPrivilegeEscalation: false # 禁止提权<br />
readOnlyRootFilesystem: false # 需要更强约束时可设 true 并配 writable 卷<br />
capabilities:<br />
drop:<br />
- ALL # 建议默认移除全部 Linux capabilities<br />
<br />
service:<br />
annotations: {} # Service 注解<br />
type: NodePort # 暴露方式. 可选 ClusterIP / NodePort / LoadBalancer<br />
port: 80 # Service 端口<br />
targetPort: http # 目标端口. 建议引用命名端口便于变更<br />
appProtocol: http # 应用层协议提示. v1.20 稳定<br />
clusterIP: "" # ClusterIP 一般不手动指定<br />
# loadBalancerIP: "" # 该字段自 v1.24 起已废弃. 新环境不建议再依赖<br />
loadBalancerSourceRanges: [] # 限制允许访问的来源网段<br />
nodePort: 30080 # NodePort 固定端口. 浏览器可通过 NodeIP:30080 访问<br />
externalTrafficPolicy: Cluster # 对外流量策略. Local 可保留客户端源 IP<br />
internalTrafficPolicy: Cluster # 集群内流量策略. v1.26 稳定. Local 可优先本地端点<br />
sessionAffinity: None # 会话亲和性. 可选 None / ClientIP<br />
sessionAffinityConfig: {} # 会话亲和性高级配置. 需按需填写<br />
ipFamilyPolicy: SingleStack # 可选 SingleStack / PreferDualStack / RequireDualStack<br />
ipFamilies: [] # 双栈时可写 [IPv4, IPv6] 或 [IPv6, IPv4]<br />
trafficDistribution: PreferSameZone # v1.33 稳定. v1.35 支持 PreferSameZone / PreferSameNode<br />
<br />
volumeMounts:<br />
- name: plugins-volume # 插件卷名称<br />
mountPath: /headlamp/plugins # 容器内挂载路径<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷名称<br />
# mountPath: /home/headlamp/.config/Headlamp/kubeconfigs/config # 容器内 kubeconfig 文件路径<br />
# subPath: config # 将卷中的 config 文件挂载为单文件<br />
<br />
volumes:<br />
- name: plugins-volume # 卷名称. 需与 volumeMounts 对应<br />
hostPath:<br />
path: /data/headlamp/plugins # 宿主机目录. 等价于 Docker 左侧路径<br />
type: DirectoryOrCreate # 不存在时自动创建目录<br />
<br />
# - name: kubeconfig-volume # 可选 kubeconfig 卷<br />
# hostPath:<br />
# path: /data/headlamp/kubeconfigs # 宿主机 kubeconfig 所在目录<br />
# type: DirectoryOrCreate # 不存在时自动创建<br />
<br />
persistentVolumeClaim:<br />
enabled: false # 是否改用 PVC 持久化. 使用 hostPath 时通常设 false<br />
annotations: {} # PVC 注解<br />
accessModes: [] # PVC 访问模式. 如 ReadWriteOnce<br />
size: "" # PVC 大小. 如 5Gi<br />
storageClassName: "" # 存储类名称<br />
selector: {} # PVC 选择器<br />
volumeMode: "" # 卷模式. 如 Filesystem / Block<br />
dataSource: {} # 高级项. 可从快照或现有卷克隆. 需模板支持<br />
<br />
ingress:<br />
enabled: false # 是否启用 Ingress<br />
annotations: {} # Ingress 注解<br />
labels: {} # Ingress 标签<br />
ingressClassName: "" # IngressClass 名称. 替代旧注解 kubernetes.io/ingress.class<br />
hosts: [] # 域名和路径配置<br />
tls: [] # TLS 配置<br />
<br />
httpRoute:<br />
enabled: false # 是否启用 Gateway API 的 HTTPRoute<br />
annotations: {} # HTTPRoute 注解<br />
labels: {} # HTTPRoute 标签<br />
parentRefs: [] # 关联 Gateway. 启用时通常必填<br />
hostnames: [] # 绑定域名<br />
rules: [] # 路由规则. 未配置时通常走默认前缀路由<br />
<br />
resources: # 资源请求与限制<br />
requests:<br />
cpu: "100m" # 最低 CPU 请求<br />
memory: "128Mi" # 最低内存请求<br />
limits:<br />
cpu: "500m" # CPU 上限<br />
memory: "512Mi" # 内存上限<br />
<br />
nodeSelector:<br />
kubernetes.io/os: linux # 仅调度到 Linux 节点<br />
<br />
tolerations: [] # 容忍污点. 无特殊需求可留空<br />
affinity: {} # 亲和性规则. 无特殊需求可留空<br />
topologySpreadConstraints: # 拓扑分布约束. 新版 K8S 常用高可用配置<br />
# - maxSkew: 1 # 单个拓扑域允许的最大偏斜<br />
# topologyKey: topology.kubernetes.io/zone # 按可用区分布. 也可用 kubernetes.io/hostname<br />
# whenUnsatisfiable: ScheduleAnyway # 可选 DoNotSchedule / ScheduleAnyway<br />
# labelSelector:<br />
# matchLabels:<br />
# app.kubernetes.io/name: headlamp # 选取同类 Pod<br />
# matchLabelKeys: # v1.27 起 Beta. 可按 Pod 标签键自动匹配<br />
# - pod-template-hash<br />
# nodeAffinityPolicy: Honor # v1.26 起 Beta. 可选 Honor / Ignore<br />
# nodeTaintsPolicy: Ignore # v1.26 起 Beta. 可选 Honor / Ignore<br />
[]<br />
<br />
priorityClassName: "" # 优先级类名称<br />
runtimeClassName: "" # 运行时类. 如 gvisor kata 等. 需模板支持<br />
<br />
pluginsManager:<br />
enabled: false # 是否启用插件管理 sidecar<br />
configFile: "plugin.yml" # 插件配置文件名<br />
configContent: "" # 插件配置内容<br />
baseImage: node:lts-alpine # 插件管理器基础镜像<br />
version: latest # 插件管理器版本<br />
volumeMounts: [] # 插件管理器额外挂载<br />
securityContext: {} # 插件管理器安全上下文<br />
<br />
podDisruptionBudget:<br />
enabled: false # 是否启用 PDB<br />
minAvailable: 0 # 最少可用副本数<br />
maxUnavailable: null # 最大不可用副本数<br />
unhealthyPodEvictionPolicy: null # 不健康 Pod 驱逐策略. 新集群可按需设置<br />
<br />
extraManifests: [] # 附加资源清单. 可内嵌额外 K8s YAML<br />
<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1891
如何搭建 Kubernetes 一站式平台
2026-04-12T19:58:34Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
== '''1. 什么是 Kubernetes / k8s''' ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== '''2. 环境说明''' ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== 5. 安装 kubeadm kubelet kubectl ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>因为我们是单节点, 需要移除 control plane 污点, 除非多台主机节点<syntaxhighlight lang="bash"><br />
kubectl taint nodes --all node-role.kubernetes.io/control-plane-<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | sudo tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | sudo tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== 8. 安装 CNI 插件 ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== '''9. Headlamp (可选)''' ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况<br />
<br />
== '''10. 常见问题排查''' ==<br />
<br />
==== 10.1 Flannel 启动失败 ====<br />
优先检查这几个点, Flannel 官方 README 明确指出 它依赖 <code>br_netfilter</code> 另外它默认使用 <code>portmap</code> 作为 CNI 网络插件的一部分 并要求相关 CNI 二进制位于 <code>/opt/cni/bin</code> <br />
<br />
==== 10.2 Headlamp 页面能打开但无法登录 ====<br />
重点检查<br />
<br />
* token 是否复制完整<br />
* ServiceAccount 是否创建在 <code>kube-system</code><br />
* ClusterRoleBinding 是否绑定成功<br />
* Headlamp 是否真的暴露成 NodePort<br />
<br />
==== 10.3 Pod 无法联网 ====<br />
重点检查<br />
<br />
* <code>kubeadm init</code> 的 <code>--pod-network-cidr</code><br />
* Flannel Chart 的 <code>podCidr</code><br />
* 主机自身网段是否与 Pod 网段冲突<br />
<br />
Kubernetes 官方明确提醒 Pod network 不应与宿主机网络重叠 否则容易出现网络异常<br />
<br />
== 11. 常用命令 ==<br />
<syntaxhighlight lang="bash"><br />
# -------------------------<br />
# 1 集群和命名空间<br />
# -------------------------<br />
kubectl config current-context # 查看当前 kubeconfig 上下文<br />
kubectl config get-contexts # 查看所有可用上下文<br />
kubectl config use-context my-cluster # 切换到指定集群上下文<br />
kubectl get ns # 查看所有命名空间<br />
kubectl get pods -n kube-system # 查看指定命名空间中的 Pod<br />
kubectl config set-context --current --namespace=default # 设置当前上下文默认命名空间<br />
<br />
# -------------------------<br />
# 2 Helm 安装和版本管理<br />
# -------------------------<br />
helm repo add bitnami https://charts.bitnami.com/bitnami # 添加 Helm 仓库<br />
helm repo update # 更新 Helm 仓库索引<br />
helm search repo nginx # 在 Helm 仓库中搜索 chart<br />
helm install my-nginx bitnami/nginx # 安装一个 Helm release<br />
helm install my-nginx bitnami/nginx -n web --create-namespace # 安装到指定命名空间 不存在则创建<br />
helm install headlamp headlamp/headlamp -n kube-system -f values.yaml # 使用 values 文件安装 release<br />
helm upgrade headlamp headlamp/headlamp -n kube-system -f values.yaml # 升级已有 release<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml # 不存在则安装 存在则升级<br />
helm list -A # 查看所有命名空间中的 Helm release<br />
helm status headlamp -n kube-system # 查看某个 release 当前状态<br />
helm history headlamp -n kube-system # 查看 release 历史版本<br />
helm rollback headlamp 2 -n kube-system # 回滚到指定 revision<br />
helm uninstall headlamp -n kube-system # 卸载 release<br />
helm show values headlamp/headlamp # 查看 chart 默认 values<br />
helm template headlamp headlamp/headlamp -n kube-system -f values.yaml # 本地渲染模板 不实际安装<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run # 试运行安装或升级<br />
helm upgrade --install headlamp headlamp/headlamp -n kube-system -f values.yaml --dry-run --debug # 试运行并输出详细调试信息<br />
<br />
# -------------------------<br />
# 3 常用资源查看<br />
# -------------------------<br />
kubectl get pods # 查看当前命名空间的 Pod<br />
kubectl get pods -o wide # 查看 Pod 并显示节点 IP 等更多信息<br />
kubectl get pods -w # 持续监听 Pod 状态变化<br />
kubectl get deploy # 查看 Deployment<br />
kubectl get svc # 查看 Service<br />
kubectl get ds # 查看 DaemonSet<br />
kubectl get sts # 查看 StatefulSet<br />
kubectl get ingress # 查看 Ingress<br />
kubectl get all -n kube-system # 查看命名空间下常见资源<br />
kubectl get pods -l app.kubernetes.io/name=headlamp -n kube-system # 根据标签筛选 Pod<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看 Deployment 的完整 YAML<br />
kubectl get svc headlamp -n kube-system -o wide # 查看 Service 详细信息<br />
<br />
# -------------------------<br />
# 4 排障常用<br />
# -------------------------<br />
kubectl describe pod headlamp-xxx-xxx -n kube-system # 查看 Pod 详细状态和事件<br />
kubectl describe deploy headlamp -n kube-system # 查看 Deployment 详细信息<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 详细信息<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 按时间排序查看命名空间事件<br />
kubectl get events -A --sort-by=.metadata.creationTimestamp # 查看全局事件并按时间排序<br />
kubectl logs headlamp-xxx-xxx -n kube-system # 查看 Pod 日志<br />
kubectl logs -f headlamp-xxx-xxx -n kube-system # 持续跟踪 Pod 日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system -c headlamp # 查看指定容器日志<br />
kubectl logs headlamp-xxx-xxx -n kube-system --previous # 查看容器上一次崩溃前日志<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/sh # 进入容器 shell<br />
kubectl exec -it headlamp-xxx-xxx -n kube-system -- /bin/bash # 进入容器 bash<br />
kubectl get pods -n kube-system # 先列出 Pod 再选择进入<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入指定 Pod<br />
kubectl top pod -n kube-system # 查看 Pod CPU 和内存使用量<br />
kubectl top node # 查看节点资源使用量<br />
<br />
# -------------------------<br />
# 5 发布和重启相关<br />
# -------------------------<br />
kubectl rollout restart deploy headlamp -n kube-system # 滚动重启 Deployment<br />
kubectl rollout status deploy headlamp -n kube-system # 查看 Deployment 发布状态<br />
kubectl rollout history deploy headlamp -n kube-system # 查看 Deployment 发布历史<br />
kubectl rollout undo deploy headlamp -n kube-system # 回滚 Deployment 到上一版本<br />
kubectl scale deploy headlamp --replicas=3 -n kube-system # 调整副本数<br />
kubectl delete pod headlamp-xxx-xxx -n kube-system # 删除 Pod 让控制器自动重建<br />
<br />
# -------------------------<br />
# 6 网络和端口相关<br />
# -------------------------<br />
kubectl get svc -n kube-system # 查看命名空间下 Service<br />
kubectl port-forward pod/headlamp-xxx-xxx 8080:80 -n kube-system # 将本地 8080 转发到 Pod 的 80<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 将本地 8080 转发到 Service 的 80<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 后端 Endpoint<br />
kubectl run tmp-shell -it --rm --image=busybox -- /bin/sh # 临时启动调试 Pod<br />
nslookup kubernetes.default # 在调试容器中解析集群 DNS<br />
wget -qO- http://headlamp.kube-system.svc.cluster.local # 在调试容器中访问集群内部 Service<br />
<br />
# -------------------------<br />
# 7 配置和存储相关<br />
# -------------------------<br />
<br />
kubectl get configmap -n kube-system # 查看 ConfigMap<br />
kubectl get secret -n kube-system # 查看 Secret<br />
kubectl get pvc -A # 查看所有 PVC<br />
kubectl get pv # 查看所有 PV<br />
kubectl get nodes -o wide # 查看节点及详细信息<br />
kubectl describe node node-1 # 查看节点详细状态<br />
kubectl get deploy headlamp -n kube-system -o yaml # 查看实际生效的 Deployment YAML<br />
<br />
# -------------------------<br />
# 8 Helm 配合排障常用<br />
# -------------------------<br />
helm status headlamp -n kube-system # 查看 release 当前运行状态<br />
helm get values headlamp -n kube-system # 查看用户自定义 values<br />
helm get values headlamp -n kube-system -a # 查看合并后的全部 values<br />
helm get manifest headlamp -n kube-system # 查看 release 实际渲染出的 manifest<br />
helm get notes headlamp -n kube-system # 查看安装说明和访问提示<br />
kubectl get pod headlamp-xxx-xxx -n kube-system --show-labels # 查看 Pod 标签 判断所属 release<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 根据 Helm release 标签筛选整套资源<br />
<br />
# -------------------------<br />
# 9 最常用 20 个命令<br />
# -------------------------<br />
kubectl get pods -A # 查看所有命名空间 Pod<br />
kubectl get svc -A # 查看所有命名空间 Service<br />
kubectl get deploy -A # 查看所有命名空间 Deployment<br />
kubectl get all -n kube-system # 查看 kube-system 中常见资源<br />
kubectl get pods -o wide -n kube-system # 查看 Pod 详细信息<br />
kubectl describe pod pod-name -n kube-system # 查看 Pod 详情<br />
kubectl describe deploy deploy-name -n kube-system # 查看 Deployment 详情<br />
kubectl logs pod-name -n kube-system # 查看日志<br />
kubectl logs -f pod-name -n kube-system # 持续跟踪日志<br />
kubectl logs pod-name -n kube-system --previous # 查看上一次容器日志<br />
kubectl exec -it pod-name -n kube-system -- /bin/sh # 进入容器<br />
kubectl get events -n kube-system --sort-by=.metadata.creationTimestamp # 查看时间排序事件<br />
kubectl port-forward svc/service-name 8080:80 -n kube-system # 本地端口转发到 Service<br />
kubectl rollout restart deploy deploy-name -n kube-system # 重启 Deployment<br />
kubectl rollout status deploy deploy-name -n kube-system # 查看滚动发布状态<br />
kubectl scale deploy deploy-name --replicas=2 -n kube-system # 调整副本数<br />
helm list -A # 查看所有 Helm release<br />
helm status release-name -n kube-system # 查看 release 状态<br />
helm get values release-name -n kube-system -a # 查看 release 全部 values<br />
helm upgrade --install release-name repo/chart -n kube-system -f values.yaml # Helm 安装或升级<br />
<br />
# -------------------------<br />
# 10 实战排障流程<br />
# -------------------------<br />
helm status headlamp -n kube-system # 先检查 release 状态<br />
kubectl get all -n kube-system -l app.kubernetes.io/instance=headlamp # 查看 release 关联资源<br />
kubectl get pods -n kube-system -o wide # 查看 Pod 是否正常运行<br />
kubectl describe pod pod-name -n kube-system # 检查 Pod 事件和错误<br />
kubectl logs pod-name -n kube-system # 查看应用日志<br />
kubectl get svc -n kube-system # 查看 Service 是否创建成功<br />
kubectl describe svc headlamp -n kube-system # 查看 Service 配置详情<br />
kubectl get endpoints headlamp -n kube-system # 查看 Service 是否关联到后端 Pod<br />
kubectl port-forward svc/headlamp 8080:80 -n kube-system # 用本地转发验证服务本身是否正常<br />
<br />
# -------------------------<br />
# 11 常用别名<br />
# -------------------------<br />
alias k=kubectl # kubectl 简写<br />
alias kgp='kubectl get pods' # 快速查看 Pod<br />
alias kgs='kubectl get svc' # 快速查看 Service<br />
alias kgd='kubectl get deploy' # 快速查看 Deployment<br />
alias kdp='kubectl describe pod' # 快速查看 Pod 详情<br />
alias kdd='kubectl describe deploy' # 快速查看 Deployment 详情<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1890
如何搭建 Kubernetes 一站式平台
2026-04-12T19:40:22Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
== '''1. 什么是 Kubernetes / k8s''' ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== '''2. 环境说明''' ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== 5. 安装 kubeadm kubelet kubectl ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash">mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash">kubectl get nodes<br />
kubectl get pods -A</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm并设置补全''' ==<br />
安装 Helm<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
===== '''命令补全:''' =====<br />
<br />
* zsh<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion zsh)' >> ~/.zshrc<br />
echo 'source <(helm completion zsh)' >> ~/.zshrc<br />
source ~/.zshrc<br />
</syntaxhighlight><br />
* bash<syntaxhighlight lang="bash"><br />
echo 'source <(kubectl completion bash)' >> ~/.bashrc<br />
echo 'source <(helm completion bash)' >> ~/.bashrc<br />
source ~/.bashrc<br />
</syntaxhighlight><br />
* fish<syntaxhighlight lang="bash"><br />
kubectl completion fish | sudo tee /etc/fish/completions/kubectl.fish > /dev/null<br />
helm completion fish | sudo tee /etc/fish/completions/helm.fish > /dev/null<br />
</syntaxhighlight><br />
<br />
== 8. 安装 CNI 插件 ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态, '''至此, k8s 已经初步部署完成'''<br />
<br />
== '''9. Headlamp (可选)''' ==<br />
<br />
==== 9.1 什么是 '''<code>Headlamp</code>''' ====<br />
Headlamp是一个面向 k8s 的图形化管理界面, 它的目标是用更直观的方式帮助用户查看和管理集群资源, 例如节点/Pod/Deployment/Service/ConfigMap/Secret 等常见对象, 都可以通过 Web 页面进行浏览和操作<br />
<br />
它定义为一个易用且可扩展的 Kubernetes WebUI 并强调它既可以作为集群内 Web 应用运行, 也可以作为桌面应用使用, 和很多传统 Dashboard 相比<br />
<br />
Headlamp 的特点主要有三点:<br />
<br />
# 界面更现代 更偏向日常运维与开发使用<br />
# 它支持基于 Kubernetes RBAC 的权限控制 用户能看到和操作的资源会自动受当前权限约束<br />
# 它具备插件扩展能力 可以根据团队需求定制界面和功能<br />
<br />
我个人认为可以帮助初学者摆脱只看命令行输出的方式, 更直观地观察集群中资源的创建/状态变化/日志/配置情况, 因此很适合作为 k8s 学习和演示环境中的可视化入口. <br />
<br />
==== 9.2 开始安装 ====<br />
先新建一个 <code>values.yml</code> 文件<syntaxhighlight><br />
mkdir -p /main/k8s/headlamp<br />
nano /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
replicaCount: 1<br />
<br />
image:<br />
registry: ghcr.io<br />
repository: headlamp-k8s/headlamp<br />
tag: ""<br />
pullPolicy: IfNotPresent<br />
<br />
nameOverride: ""<br />
fullnameOverride: "headlamp"<br />
namespaceOverride: ""<br />
<br />
<br />
service:<br />
type: NodePort<br />
port: 80<br />
# 宿主机开放端口<br />
nodePort: 30080<br />
<br />
<br />
env:<br />
- name: TZ<br />
value: "Asia/Shanghai"<br />
<br />
config:<br />
pluginsDir: /headlamp/plugins<br />
<br />
volumes:<br />
- name: plugins-volume<br />
hostPath:<br />
path: /main/k8s/headlamp/plugins<br />
type: DirectoryOrCreate<br />
<br />
volumeMounts:<br />
- name: plugins-volume<br />
mountPath: /headlamp/plugins<br />
<br />
<br />
resources:<br />
requests:<br />
cpu: 100m<br />
memory: 128Mi<br />
limits:<br />
cpu: 500m<br />
memory: 512Mi<br />
<br />
</syntaxhighlight>用 Helm 安装<syntaxhighlight lang="bash"><br />
helm repo add headlamp https://kubernetes-sigs.github.io/headlamp/<br />
helm repo update<br />
helm upgrade --install headlamp headlamp/headlamp -n headlamp --create-namespace -f /main/k8s/headlamp/values.yml<br />
</syntaxhighlight>通过开放的端口访问到 Headlamp, 初次加载需要等待一会, 之后需要输入 <code>token</code>, 使用命令生成<syntaxhighlight lang="bash"><br />
kubectl create token headlamp --namespace headlamp --duration 168h<br />
</syntaxhighlight>若不通则进行检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight><br />
<br />
==== 9.3 查看资源使用概览 ====<br />
Headlamp中各种资源显示, 需要依赖 <code>metrics-server</code><syntaxhighlight lang="bash"><br />
helm repo add metrics-server https://kubernetes-sigs.github.io/metrics-server/<br />
helm repo update<br />
helm upgrade --install metrics-server metrics-server/metrics-server -n kube-system --set "args[0]=--kubelet-insecure-tls"<br />
</syntaxhighlight>安装好后就可以正常显示资源占用情况</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BA_Kubernetes_%E4%B8%80%E7%AB%99%E5%BC%8F%E5%B9%B3%E5%8F%B0&diff=1889
如何搭建 Kubernetes 一站式平台
2026-04-12T19:04:56Z
<p>Koud Wind:尚未完成</p>
<hr />
<div>----<br />
<br />
== '''1. 什么是 Kubernetes / k8s''' ==<br />
k8s 也就是 Kubernetes 是一个面向容器化应用的自动化管理平台, 核心职责是管理程序运行的环境, 包括 <code>部署应用/调度资源/维护副本/处理故障/对外暴露服务</code>等等...<br />
<br />
对于初学者来说可以把它理解成一个专门管理容器集群的平台, 当你只有一个容器时也许还感觉不到它的必要性<br />
<br />
但当你需要同时运行多个服务, 需要让服务彼此通信, 需要保证应用异常后自动恢复, 甚至需要后续扩容到多台机器时 Kubernetes 的价值就会非常明显<br />
<br />
而本文要做的事情, 就是在一台主机上先搭建一个最小可运行的 Kubernetes 环境, 借助这个过程去理解 Kubernetes 是怎样从零开始被组织起来的<br />
<br />
为了易读性, 在这里会将 <code>Kubernetes</code> 简称为 <code>k8s</code><br />
<br />
== '''2. 环境说明''' ==<br />
运行 kubeadm 集群建议 control plane 节点至少具备 <code>2 Core CPU</code> 和 <code>2 GiB</code> 运存, 推荐购买搬瓦工的 [https://bandwagonhost.com/cart.php?a=add&pid=166 ECOMMERCE SLA] 套餐<br />
<br />
* 操作系统以 Debian13 为例<br />
* 主机数量 1 台<br />
* 使用 root 用户<br />
* 主机承担 control plane 和 workload 调度<br />
* k8s pod网段为 <code>10.10.0.0/16</code> , service网段为 <code>192.168.0.0/16</code><br />
* 使用 <code>Headlamp</code> 管理k8s pods<br />
<br />
== '''3. 前置准备''' ==<br />
<br />
==== 3.1 加载模块并启用转发 ====<br />
<syntaxhighlight lang="bash"><br />
cat <<'EOF' | tee /etc/modules-load.d/k8s.conf<br />
overlay<br />
br_netfilter<br />
EOF<br />
<br />
modprobe overlay<br />
modprobe br_netfilter<br />
<br />
cat <<'EOF' | tee /etc/sysctl.d/k8s.conf<br />
net.bridge.bridge-nf-call-iptables = 1<br />
net.bridge.bridge-nf-call-ip6tables = 1<br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
EOF<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
==== 3.2 配置 hosts ====<br />
<syntaxhighlight lang="bash"><br />
tee -a /etc/hosts > /dev/null <<'EOF'<br />
127.0.0.1 k8s-master<br />
EOF<br />
</syntaxhighlight><br />
<br />
==== 3.3 关闭 swap (可选) ====<br />
<syntaxhighlight lang="bash"><br />
swapoff -a<br />
sed -ri '/\sswap\s/s/^/#/' /etc/fstab<br />
</syntaxhighlight><br />
<br />
== '''4. 安装 containerd''' ==<br />
更新软件源并安装 containerd 与 其他核心组件<syntaxhighlight lang="bash"><br />
apt update<br />
apt install -y containerd apt-transport-https ca-certificates curl gpg<br />
</syntaxhighlight>生成默认配置文件并修改配置文件, 这里为了防止后续可能报错, 修改了 <code>bin_dir</code><syntaxhighlight lang="bash">mkdir -p /etc/containerd<br />
containerd config default | tee /etc/containerd/config.toml > /dev/null<br />
sed -i 's#bin_dir = "/usr/lib/cni"#bin_dir = "/opt/cni/bin"#' /etc/containerd/config.toml<br />
sed -i 's/SystemdCgroup = false/SystemdCgroup = true/' /etc/containerd/config.toml</syntaxhighlight>重启并设置自启<syntaxhighlight lang="bash"><br />
systemctl daemon-reload<br />
systemctl restart containerd<br />
systemctl enable containerd<br />
systemctl status containerd<br />
</syntaxhighlight><br />
<br />
== 5. 安装 kubeadm kubelet kubectl ==<br />
<syntaxhighlight lang="bash"><br />
mkdir -p -m 755 /etc/apt/keyrings<br />
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.35/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg<br />
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.35/deb/ /' | tee /etc/apt/sources.list.d/kubernetes.list<br />
apt-get update<br />
apt-get install -y kubelet kubeadm kubectl<br />
apt-mark hold kubelet kubeadm kubectl<br />
systemctl enable --now kubelet<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubeadm version<br />
kubectl version --client<br />
kubelet --version<br />
</syntaxhighlight><br />
<br />
== '''6. 初始化单节点 k8s 集群''' ==<br />
新建一个初始化配置<syntaxhighlight lang="bash"><br />
mkdir -p /main/k8s<br />
nano /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>粘贴并自行修改配置后进行保存<syntaxhighlight lang="yaml" line="1"><br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: InitConfiguration<br />
nodeRegistration:<br />
name: master<br />
criSocket: "unix:///run/containerd/containerd.sock"<br />
localAPIEndpoint:<br />
advertiseAddress: <你的公网主机IP><br />
bindPort: 6443<br />
<br />
---<br />
apiVersion: kubeadm.k8s.io/v1beta4<br />
kind: ClusterConfiguration<br />
kubernetesVersion: v1.35.0<br />
networking:<br />
podSubnet: 10.10.0.0/16<br />
serviceSubnet: 192.168.0.0/16<br />
dnsDomain: cluster.local<br />
<br />
# 若开启了Swap需要解除此注释!<br />
#---<br />
#apiVersion: kubelet.config.k8s.io/v1beta1<br />
#kind: KubeletConfiguration<br />
#cgroupDriver: systemd<br />
#failSwapOn: false<br />
#memorySwap:<br />
# swapBehavior: LimitedSwap<br />
<br />
<br />
</syntaxhighlight>开始初始化<syntaxhighlight lang="bash"><br />
kubeadm init --config /main/k8s/kubeadm-config.yaml<br />
</syntaxhighlight>初始化完成后配置 kubectl<syntaxhighlight lang="bash"><br />
mkdir -p $HOME/.kube<br />
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config<br />
chown "$(id -u)":"$(id -g)" $HOME/.kube/config<br />
</syntaxhighlight>检查<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>这时 master 大概率是 <code>NotReady</code> 状态, 目前 CNI 还没有安装, CoreDNS 也通常不会处于 <code>Running</code> 状态<br />
<br />
== '''7. 安装 Helm''' ==<br />
<syntaxhighlight lang="bash">curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-4<br />
chmod 700 get_helm.sh<br />
./get_helm.sh<br />
helm version</syntaxhighlight><br />
<br />
== 8. 安装 CNI 插件 ==<br />
在资源紧凑的主机中我更推荐使用 <code>Flannel</code> , 这里也会提供 <code>Calico</code> 与 <code>Cilium</code> 的安装, 根据应用场景自行选择其一<br />
<br />
资源占用: <code>Flannel</code> < <code>Calico</code> < <code>Cilium</code><br />
<br />
==== 8.1 Flannel ====<br />
<syntaxhighlight lang="bash">kubectl create namespace kube-flannel<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/enforce=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/audit=privileged<br />
kubectl label namespace kube-flannel --overwrite pod-security.kubernetes.io/warn=privileged<br />
helm upgrade --install flannel -n kube-flannel --create-namespace --set podCidr=10.10.0.0/16 https://github.com/flannel-io/flannel/releases/download/v0.28.1/flannel.tgz</syntaxhighlight><br />
<br />
==== 8.2 Calico ====<br />
<syntaxhighlight lang="bash">helm repo add projectcalico https://docs.tigera.io/calico/charts<br />
helm repo update<br />
kubectl create namespace tigera-operator<br />
helm upgrade --install calico projectcalico/tigera-operator --version v3.31.4 --namespace tigera-operator --set installation.calicoNetwork.ipPools[0].cidr=10.10.0.0/16 --set installation.calicoNetwork.ipPools[0].encapsulation=VXLAN</syntaxhighlight><br />
<br />
==== 8.3 Cilium ====<br />
<syntaxhighlight lang="bash"><br />
helm repo add cilium https://helm.cilium.io/<br />
helm repo update<br />
helm upgrade --install cilium cilium/cilium --version 1.19.1 --namespace kube-system<br />
</syntaxhighlight>'''检查CNI'''<syntaxhighlight lang="bash"><br />
kubectl get nodes<br />
kubectl get pods -A<br />
</syntaxhighlight>节点状态从 <code>NotReady</code> 变为 <code>Ready</code> , CoreDNS 进入 <code>Running</code> 状态</div>
Koud Wind
https://md5.pw/index.php?title=%E4%BD%BF%E7%94%A8nftables%E4%B8%BA%E6%8C%87%E5%AE%9ALinux%E7%94%A8%E6%88%B7%E5%BC%BA%E5%88%B6%E4%BD%BF%E7%94%A8%E4%BB%A3%E7%90%86&diff=1466
使用nftables为指定Linux用户强制使用代理
2026-02-19T15:21:21Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
=== 1. 准备 ===<br />
确保 nftables 已经安装, 且本地有透明代理端口 (比如Xray的<code>dokodemo-door</code>), 这里就不注重如何开设透明代理<syntaxhighlight><br />
nft --version<br />
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update<br />
apt install nftables<br />
systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code><br />
<br />
=== 2. 配置nftables ===<br />
查看用户id<syntaxhighlight><br />
cat /etc/passwd<br />
</syntaxhighlight>这里假设我在<code>10809</code>端口开设了Xray的<code>dokodemo-door</code>, 需要将<code>1000</code>与<code>1001</code>的用户id所建立的tcp连接使用代理<br />
<br />
<br />
请在合适位置添加或与其它的table进行合并<syntaxhighlight line="1"><br />
table inet proxy {<br />
<br />
chain output {<br />
type nat hook output priority 10;<br />
policy accept;<br />
<br />
meta skuid { 1000, 1001 } ip protocol tcp dnat to 127.0.0.1:10809;<br />
}<br />
<br />
}<br />
</syntaxhighlight>保存后并重启<syntaxhighlight><br />
systemctl restart nftables.service<br />
</syntaxhighlight><br />
<br />
=== 3. 配置sysctl ===<br />
<code>sysctl</code> 中需要配置IP转发, 新建一个<code>forward.conf</code>并进行编辑<syntaxhighlight line="1"><br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
</syntaxhighlight>保存好后链接过去, 并让其生效<syntaxhighlight><br />
ln -f /main/nftables/forward.conf /etc/sysctl.d/<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
=== 4. 测试 ===<br />
<syntaxhighlight><br />
su 1000或1001用户名<br />
curl https://ipinfo.io/ip<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BAIKEV2_VPN&diff=1464
如何搭建IKEV2 VPN
2026-02-19T15:03:11Z
<p>Koud Wind:</p>
<hr />
<div>'''注意''': IKEV2协议可能会被GFW污染IKEV2数据包一个月, 临时使用为优, 请勿长时间使用, 如果主机在国内可以忽略<br />
<br />
适合不能配置HTTP代理且不能安装其他代理客户端的设备<br />
----<br />
<br />
=== 1. 准备 ===<br />
以 Debian13 为例<syntaxhighlight>apt update<br />
apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins<br />
systemctl enable strongswan-starter<br />
mkdir -p /main/ikev2/cert<br />
cd /main/ikev2</syntaxhighlight><code>sysctl</code> 中需要配置IP转发, 新建一个<code>forward.conf</code>并进行编辑<syntaxhighlight line="1"><br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
</syntaxhighlight>保存好后链接过去, 并让其生效<syntaxhighlight><br />
ln -f /main/ikev2/forward.conf /etc/sysctl.d/<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
=== 2. 配置证书 ===<br />
这里我们使用自签证书, 先切换目录<syntaxhighlight><br />
cd /main/ikev2/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = ikev2<br />
CN = ikev2 cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存<br />
<br />
<br />
执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=ikev2/CN=ikev2 ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight>将证书链接到配置目录中<syntaxhighlight><br />
mkdir -p /etc/ipsec.d/{private,certs}<br />
ln -f /main/ikev2/cert/server.key.pem /etc/ipsec.d/private/<br />
ln -f /main/ikev2/cert/server.cert.pem /etc/ipsec.d/certs/<br />
</syntaxhighlight><br />
<br />
=== 3. 配置nftables ===<br />
主要是为了根据 IKEV2 服务端分配给客户端的IP, 将数据包转发到指定网卡<br />
<br />
如果你之前配置过nftables, 不是编辑配置文件, 那就从之前的配置中取, 并进行链接, 准备编辑<syntaxhighlight><br />
mkdir /main/nftables<br />
cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/<br />
</syntaxhighlight>如果你没有配置过, 那就在<code>/main/nftables/</code>中创建一个<code>nftables.conf</code>配置文件并链接过去, 准备编辑<syntaxhighlight>ln -f /main/nftables/nftables.conf /etc/</syntaxhighlight>如果你之前配置过nftables, 且编辑了配置文件, 就直接修改那个配置文件, 准备编辑<br />
<br />
现在开始编辑<code>nftables.conf</code>, 加入以下配置<syntaxhighlight><br />
table inet ikev2_nat {<br />
chain postrouting {<br />
type nat hook postrouting priority 10;<br />
policy accept;<br />
<br />
# 自行修改网卡或IP<br />
ip saddr 10.10.0.0/16 oif "eth0" masquerade;<br />
ip6 saddr fd00:ce20::/16 oif "eth0" masquerade;<br />
}<br />
}<br />
</syntaxhighlight>保存好后并生效<syntaxhighlight><br />
systemctl enable nftables.service<br />
systemctl restart nftables.service<br />
</syntaxhighlight>如果你有其他防火墙规则, 记得放行 UDP<code>500</code>与<code>4500</code><br />
<br />
=== 4. 配置IKEV2 ===<br />
在<code>/main/ikev2</code>中分别创建文件: <code>ipsec.conf</code>, <code>ipsec.secrets</code><br />
<br />
conf是核心配置, secrets是用户配置, 需要自行修改<br />
<br />
<code>ipsec.conf</code>的配置: <syntaxhighlight line="1"><br />
config setup<br />
charondebug="ike 2, knl 2, net 2, esp 2, dmn 2, mgr 2"<br />
uniqueids=no<br />
<br />
conn ikev2-eap-mschapv2<br />
keyexchange=ikev2<br />
ike=aes256-sha1-sha256-sha384-modp2048,aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024!<br />
esp=aes256-3des-sha1<br />
<br />
auto=add<br />
compress=no<br />
dpdaction=clear<br />
fragmentation=yes<br />
forceencaps=yes<br />
<br />
dpddelay=30s<br />
ikelifetime=10h<br />
lifetime=30m<br />
<br />
left=%defaultroute<br />
leftauth=pubkey<br />
leftid=你的域名<br />
leftcert=server.cert.pem<br />
leftsendcert=always<br />
leftsubnet=0.0.0.0/0,::/0<br />
leftfirewall=yes<br />
<br />
right=%any<br />
rightid=%any<br />
rightauth=eap-mschapv2<br />
rightsourceip=10.10.0.0/16,fd00:ce20::/16<br />
rightdns=1.1.1.1,8.8.8.8<br />
rightsendcert=never<br />
eap_identity=%identity<br />
</syntaxhighlight><code>ipsec.secrets</code>的配置: <syntaxhighlight><br />
: RSA "server.key.pem"<br />
User1 : EAP "123456789"<br />
User2 : EAP "这是用户密码, 换行前面要注意不能有空格"<br />
</syntaxhighlight>自行修改好后, 重启服务并生效<syntaxhighlight><br />
systemctl restart strongswan-starter.service<br />
systemctl status strongswan-starter.service<br />
</syntaxhighlight><br />
<br />
=== 5. 安装证书 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面配置证书的<code>ca.cert.pem</code><br />
<br />
'''Windows安装证书:'''<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''安卓安装证书:'''<br />
<br />
以'''iqoo'''为例, 进入手机设置 -> 安全 -> 更多安全设置 -> 从手机存储安装 -> CA证书, 文件选择<code>ca.cert.pem</code><br />
<br />
其他手机可以搜索 <code>CA/证书/凭证</code><br />
<br />
'''IOS安装证书:'''<br />
<br />
下载证书后, 进入设置直接安装<br />
<br />
=== 6. 设备使用 ===<br />
添加 IKEV2 基本都是在任何系统里的设置中, 进入设置后找到VPN选项, 并添加<br />
<br />
类型选择IKEV2, 名称随便起, 地址则是你的域名, 有些可能需要设置<code>IPSec标识符</code>或者<code>远程ID</code>, 这些也填写成你的域名, 再输入设置好的用户名与密码, 就可以连接了<br />
<br />
Windows可能无法保存密码信息, 要求密码信息时不能取消, 否则资源管理器会卡死<br />
<br />
'''Windows设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-1.png|frameless|631x631px]]<br />
<br />
'''安卓设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-2.jpg|frameless|498x498px]]</div>
Koud Wind
https://md5.pw/index.php?title=%E4%BD%BF%E7%94%A8nftables%E4%B8%BA%E6%8C%87%E5%AE%9ALinux%E7%94%A8%E6%88%B7%E5%BC%BA%E5%88%B6%E4%BD%BF%E7%94%A8%E4%BB%A3%E7%90%86&diff=1463
使用nftables为指定Linux用户强制使用代理
2026-02-19T15:02:14Z
<p>Koud Wind:</p>
<hr />
<div>----<br />
<br />
=== 1. 准备 ===<br />
确保 nftables 已经安装, 且本地有透明代理端口 (比如Xray的<code>dokodemo-door</code>), 这里就不注重如何开设透明代理<syntaxhighlight><br />
nft --version<br />
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update<br />
apt install nftables<br />
systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code><br />
<br />
=== 2. 配置nftables ===<br />
查看用户id<syntaxhighlight><br />
cat /etc/passwd<br />
</syntaxhighlight>这里假设我在<code>10809</code>端口开设了透明代理, 我需要<code>1000</code>与<code>1001</code>的用户id所建立的tcp连接使用代理<br />
<br />
<br />
请在合适位置添加或与其它的table进行合并<syntaxhighlight line="1"><br />
table inet proxy {<br />
<br />
chain output {<br />
type nat hook output priority 10;<br />
policy accept;<br />
<br />
meta skuid { 1000, 1001 } ip protocol tcp dnat to 127.0.0.1:10809;<br />
}<br />
<br />
}<br />
</syntaxhighlight><br />
<br />
=== 4. 完成配置 ===<br />
保存后并重启<syntaxhighlight><br />
systemctl restart nftables.service<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E4%BD%BF%E7%94%A8nftables%E5%B1%8F%E8%94%BD%E5%9B%BD%E5%A4%96%E6%B5%81%E9%87%8F&diff=1462
使用nftables屏蔽国外流量
2026-02-19T15:01:45Z
<p>Koud Wind:/* 2. 获取国内IP段 */</p>
<hr />
<div>----<br />
<br />
=== 1. 准备 ===<br />
确保 nftables 与 python3 已经安装<syntaxhighlight><br />
nft --version<br />
python3 --version<br />
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update<br />
apt install nftables python3 unzip<br />
systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code><br />
<br />
=== 2. 获取国内IP段 ===<br />
先获取并解压项目文件<syntaxhighlight><br />
mkdir /main/nftables/geoip<br />
cd /main/nftables/geoip<br />
wget https://github.com/pvxe/nftables-geoip/archive/refs/heads/master.zip<br />
unzip master.zip<br />
rm master.zip<br />
</syntaxhighlight>执行脚本<syntaxhighlight>mv nftables-geoip-master/* ./<br />
chmod u+x nft_geoip.py<br />
./nft_geoip.py --file-location location.csv --download<br />
./nft_geoip.py --download -c cn</syntaxhighlight><br />
<br />
=== 3. 配置nftables ===<br />
在合适位置添加或与其它的table进行合并, 这里比如只有访问tcp 46端口的国内IP, 才能放行<syntaxhighlight line="1"><br />
table inet geoip_filter {<br />
<br />
include "/main/nftables/geoip/geoip-def-all.nft";<br />
include "/main/nftables/geoip/geoip-ipv4-interesting.nft";<br />
include "/main/nftables/geoip/geoip-ipv6-interesting.nft";<br />
<br />
chain geoip_mark_input {<br />
type filter hook prerouting priority -10;<br />
policy accept;<br />
<br />
<br />
meta mark set ip saddr map @geoip4;<br />
meta mark set ip6 saddr map @geoip6;<br />
}<br />
<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
# 放行本地/已建立/相关的连接<br />
iif lo accept;<br />
ct state established,related accept;<br />
<br />
tcp dport { 46 } meta mark $CN ct state new accept;<br />
}<br />
}<br />
</syntaxhighlight><br />
<br />
=== 4. 完成配置 ===<br />
保存后并重启<syntaxhighlight><br />
systemctl restart nftables.service<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E4%BD%BF%E7%94%A8nftables%E4%B8%BA%E6%8C%87%E5%AE%9ALinux%E7%94%A8%E6%88%B7%E5%BC%BA%E5%88%B6%E4%BD%BF%E7%94%A8%E4%BB%A3%E7%90%86&diff=1461
使用nftables为指定Linux用户强制使用代理
2026-02-19T15:01:27Z
<p>Koud Wind:创建页面,内容为“---- === 1. 准备 === 确保 nftables 已经安装, 且本地有透明代理端口 (比如Xray的<code>dokodemo-door</code>), 这里就不注重如何开设透明代理<syntaxhighlight> nft --version </syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update apt install nftables systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进…”</p>
<hr />
<div>----<br />
<br />
=== 1. 准备 ===<br />
确保 nftables 已经安装, 且本地有透明代理端口 (比如Xray的<code>dokodemo-door</code>), 这里就不注重如何开设透明代理<syntaxhighlight><br />
nft --version<br />
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update<br />
apt install nftables<br />
systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code><br />
<br />
=== 2. 配置nftables ===<br />
查看用户id<syntaxhighlight><br />
cat /etc/passwd<br />
</syntaxhighlight>这里假设我在<code>10809</code>端口开设了透明代理, 我需要<code>1000</code>与<code>1001</code>的用户id所建立的tcp连接使用代理<br />
<br />
请在合适位置添加或与其它的table进行合并<syntaxhighlight line="1"><br />
table inet proxy {<br />
<br />
chain output {<br />
type nat hook output priority 10;<br />
policy accept;<br />
<br />
meta skuid { 1000, 1001 } ip protocol tcp dnat to 127.0.0.1:10809;<br />
}<br />
<br />
}<br />
</syntaxhighlight><br />
<br />
=== 4. 完成配置 ===<br />
保存后并重启<syntaxhighlight><br />
systemctl restart nftables.service<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E4%BD%BF%E7%94%A8nftables%E5%B1%8F%E8%94%BD%E5%9B%BD%E5%A4%96%E6%B5%81%E9%87%8F&diff=1460
使用nftables屏蔽国外流量
2026-02-19T14:47:26Z
<p>Koud Wind:/* 2. 获取国内IP段 */</p>
<hr />
<div>----<br />
<br />
=== 1. 准备 ===<br />
确保 nftables 与 python3 已经安装<syntaxhighlight><br />
nft --version<br />
python3 --version<br />
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update<br />
apt install nftables python3 unzip<br />
systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code><br />
<br />
=== 2. 获取国内IP段 ===<br />
先获取并解压项目文件<syntaxhighlight><br />
mkdir /main/nftables/geoip<br />
cd /main/nftables/geoip<br />
wget https://github.com/pvxe/nftables-geoip/archive/refs/heads/master.zip<br />
unzip master.zip<br />
rm master.zip<br />
</syntaxhighlight>执行脚本<syntaxhighlight>mv nftables-geoip-master/* ./<br />
chmod u+x nft_geoip.py<br />
./nft_geoip.py --file-location location.csv --download<br />
./nft_geoip.py --download -c cn</syntaxhighlight><br />
<br />
=== 3. 配置nftables ===<br />
在合适位置的添加或与其它的table进行合并, 这里比如只有访问tcp 46端口的国内IP, 才能放行<syntaxhighlight line="1"><br />
table inet geoip_filter {<br />
<br />
include "/main/nftables/geoip/geoip-def-all.nft";<br />
include "/main/nftables/geoip/geoip-ipv4-interesting.nft";<br />
include "/main/nftables/geoip/geoip-ipv6-interesting.nft";<br />
<br />
chain geoip_mark_input {<br />
type filter hook prerouting priority -10;<br />
policy accept;<br />
<br />
<br />
meta mark set ip saddr map @geoip4;<br />
meta mark set ip6 saddr map @geoip6;<br />
}<br />
<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
# 放行本地/已建立/相关的连接<br />
iif lo accept;<br />
ct state established,related accept;<br />
<br />
tcp dport { 46 } meta mark $CN ct state new accept;<br />
}<br />
}<br />
</syntaxhighlight><br />
<br />
=== 4. 完成配置 ===<br />
保存后并重启<syntaxhighlight><br />
systemctl restart nftables.service<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E4%BD%BF%E7%94%A8nftables%E5%B1%8F%E8%94%BD%E5%9B%BD%E5%A4%96%E6%B5%81%E9%87%8F&diff=1459
使用nftables屏蔽国外流量
2026-02-19T14:42:24Z
<p>Koud Wind:创建页面,内容为“---- === 1. 准备 === 确保 nftables 与 python3 已经安装<syntaxhighlight> nft --version python3 --version </syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update apt install nftables python3 unzip systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/ ln -f /main…”</p>
<hr />
<div>----<br />
<br />
=== 1. 准备 ===<br />
确保 nftables 与 python3 已经安装<syntaxhighlight><br />
nft --version<br />
python3 --version<br />
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>apt update<br />
apt install nftables python3 unzip<br />
systemctl enable nftables</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code><br />
<br />
=== 2. 获取国内IP段 ===<br />
先获取并解压项目文件<syntaxhighlight><br />
mkdir /main/nftables/geoip<br />
cd /main/nftables/geoip<br />
wget https://github.com/pvxe/nftables-geoip/archive/refs/heads/master.zip<br />
unzip master.zip<br />
rm master.zip<br />
</syntaxhighlight>执行脚本<syntaxhighlight><br />
chmod u+x nft_geoip.py<br />
./nft_geoip.py --file-location location.csv --download<br />
./nft_geoip.py --download -c cn<br />
</syntaxhighlight><br />
<br />
=== 3. 配置nftables ===<br />
在合适位置的添加或与其它的table进行合并, 这里比如只有访问tcp 46端口的国内IP, 才能放行<syntaxhighlight line="1"><br />
table inet geoip_filter {<br />
<br />
include "/main/nftables/geoip/geoip-def-all.nft";<br />
include "/main/nftables/geoip/geoip-ipv4-interesting.nft";<br />
include "/main/nftables/geoip/geoip-ipv6-interesting.nft";<br />
<br />
chain geoip_mark_input {<br />
type filter hook prerouting priority -10;<br />
policy accept;<br />
<br />
<br />
meta mark set ip saddr map @geoip4;<br />
meta mark set ip6 saddr map @geoip6;<br />
}<br />
<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
# 放行本地/已建立/相关的连接<br />
iif lo accept;<br />
ct state established,related accept;<br />
<br />
tcp dport { 46 } meta mark $CN ct state new accept;<br />
}<br />
}<br />
</syntaxhighlight><br />
<br />
=== 4. 完成配置 ===<br />
保存后并重启<syntaxhighlight><br />
systemctl restart nftables.service<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BAIKEV2_VPN&diff=1458
如何搭建IKEV2 VPN
2026-02-19T11:01:09Z
<p>Koud Wind:</p>
<hr />
<div>'''注意''': IKEV2协议可能会被GFW污染IKEV2数据包一个月, 临时使用为优, 请勿长时间使用, 如果主机在国内可以忽略<br />
<br />
适合不能配置HTTP代理且不能安装其他代理客户端的设备<br />
----<br />
<br />
=== 1. 准备 ===<br />
以 Debian13 为例<syntaxhighlight>apt update<br />
apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins<br />
systemctl enable strongswan-starter<br />
mkdir -p /main/ikev2/cert<br />
cd /main/ikev2</syntaxhighlight><code>sysctl</code> 中需要配置IP转发, 新建一个<code>forward.conf</code>并进行编辑<syntaxhighlight line="1"><br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
</syntaxhighlight>保存好后链接过去, 并让其生效<syntaxhighlight><br />
ln -f /main/ikev2/forward.conf /etc/sysctl.d/<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
=== 2. 配置证书 ===<br />
这里我们使用自签证书, 先切换目录<syntaxhighlight><br />
cd /main/ikev2/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = ikev2<br />
CN = ikev2 cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存 执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=ikev2/CN=ikev2 ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight>将证书链接到配置目录中<syntaxhighlight><br />
mkdir -p /etc/ipsec.d/{private,certs}<br />
ln -f /main/ikev2/cert/server.key.pem /etc/ipsec.d/private/<br />
ln -f /main/ikev2/cert/server.cert.pem /etc/ipsec.d/certs/<br />
</syntaxhighlight><br />
<br />
=== 3. 配置nftables ===<br />
主要是为了根据 IKEV2 服务端分配给客户端的IP, 将数据包转发到指定网卡<br />
<br />
如果你之前配置过nftables, 不是编辑配置文件, 那就从之前的配置中取, 并进行链接, 准备编辑<syntaxhighlight><br />
mkdir /main/nftables<br />
cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/<br />
</syntaxhighlight>如果你没有配置过, 那就在<code>/main/nftables/</code>中创建一个<code>nftables.conf</code>配置文件并链接过去, 准备编辑<syntaxhighlight>ln -f /main/nftables/nftables.conf /etc/</syntaxhighlight>如果你之前配置过nftables, 且编辑了配置文件, 就直接修改那个配置文件, 准备编辑<br />
<br />
现在开始编辑<code>nftables.conf</code>, 加入以下配置<syntaxhighlight><br />
table inet ikev2_nat {<br />
chain postrouting {<br />
type nat hook postrouting priority 10;<br />
policy accept;<br />
<br />
# 自行修改网卡或IP<br />
ip saddr 10.10.0.0/16 oif "eth0" masquerade;<br />
ip6 saddr fd00:ce20::/16 oif "eth0" masquerade;<br />
}<br />
}<br />
</syntaxhighlight>保存好后并生效<syntaxhighlight><br />
systemctl enable nftables.service<br />
systemctl restart nftables.service<br />
</syntaxhighlight>如果你有其他防火墙规则, 记得放行 UDP<code>500</code>与<code>4500</code><br />
<br />
=== 4. 配置IKEV2 ===<br />
在<code>/main/ikev2</code>中分别创建文件: <code>ipsec.conf</code>, <code>ipsec.secrets</code><br />
<br />
conf是核心配置, secrets是用户配置, 需要自行修改<br />
<br />
<code>ipsec.conf</code>的配置: <syntaxhighlight line="1"><br />
config setup<br />
charondebug="ike 2, knl 2, net 2, esp 2, dmn 2, mgr 2"<br />
uniqueids=no<br />
<br />
conn ikev2-eap-mschapv2<br />
keyexchange=ikev2<br />
ike=aes256-sha1-sha256-sha384-modp2048,aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024!<br />
esp=aes256-3des-sha1<br />
<br />
auto=add<br />
compress=no<br />
dpdaction=clear<br />
fragmentation=yes<br />
forceencaps=yes<br />
<br />
dpddelay=30s<br />
ikelifetime=10h<br />
lifetime=30m<br />
<br />
left=%defaultroute<br />
leftauth=pubkey<br />
leftid=你的域名<br />
leftcert=server.cert.pem<br />
leftsendcert=always<br />
leftsubnet=0.0.0.0/0,::/0<br />
leftfirewall=yes<br />
<br />
right=%any<br />
rightid=%any<br />
rightauth=eap-mschapv2<br />
rightsourceip=10.10.0.0/16,fd00:ce20::/16<br />
rightdns=1.1.1.1,8.8.8.8<br />
rightsendcert=never<br />
eap_identity=%identity<br />
</syntaxhighlight><code>ipsec.secrets</code>的配置: <syntaxhighlight><br />
: RSA "server.key.pem"<br />
User1 : EAP "123456789"<br />
User2 : EAP "这是用户密码, 换行前面要注意不能有空格"<br />
</syntaxhighlight>自行修改好后, 重启服务并生效<syntaxhighlight><br />
systemctl restart strongswan-starter.service<br />
systemctl status strongswan-starter.service<br />
</syntaxhighlight><br />
<br />
=== 5. 安装证书 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面配置证书的<code>ca.cert.pem</code><br />
<br />
'''Windows安装证书:'''<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''安卓安装证书:'''<br />
<br />
以'''iqoo'''为例, 进入手机设置 -> 安全 -> 更多安全设置 -> 从手机存储安装 -> CA证书, 文件选择<code>ca.cert.pem</code><br />
<br />
其他手机可以搜索 <code>CA/证书/凭证</code><br />
<br />
'''IOS安装证书:'''<br />
<br />
下载证书后, 进入设置直接安装<br />
<br />
=== 6. 设备使用 ===<br />
添加 IKEV2 基本都是在任何系统里的设置中, 进入设置后找到VPN选项, 并添加<br />
<br />
类型选择IKEV2, 名称随便起, 地址则是你的域名, 有些可能需要设置<code>IPSec标识符</code>或者<code>远程ID</code>, 这些也填写成你的域名, 再输入设置好的用户名与密码, 就可以连接了<br />
<br />
Windows可能无法保存密码信息, 要求密码信息时不能取消, 否则资源管理器会卡死<br />
<br />
'''Windows设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-1.png|frameless|631x631px]]<br />
<br />
'''安卓设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-2.jpg|frameless|498x498px]]</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BAIKEV2_VPN&diff=1457
如何搭建IKEV2 VPN
2026-02-19T11:00:30Z
<p>Koud Wind:</p>
<hr />
<div>'''注意''': IKEV2协议可能会被GFW污染IKEV2数据包一个月, 临时使用为优, 请勿长时间使用<br />
<br />
适合不能配置HTTP代理且不能安装其他代理客户端的设备<br />
----<br />
<br />
=== 1. 准备 ===<br />
以 Debian13 为例<syntaxhighlight>apt update<br />
apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins<br />
systemctl enable strongswan-starter<br />
mkdir -p /main/ikev2/cert<br />
cd /main/ikev2</syntaxhighlight><code>sysctl</code> 中需要配置IP转发, 新建一个<code>forward.conf</code>并进行编辑<syntaxhighlight line="1"><br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
</syntaxhighlight>保存好后链接过去, 并让其生效<syntaxhighlight><br />
ln -f /main/ikev2/forward.conf /etc/sysctl.d/<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
=== 2. 配置证书 ===<br />
这里我们使用自签证书, 先切换目录<syntaxhighlight><br />
cd /main/ikev2/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = ikev2<br />
CN = ikev2 cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存 执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=ikev2/CN=ikev2 ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight>将证书链接到配置目录中<syntaxhighlight><br />
mkdir -p /etc/ipsec.d/{private,certs}<br />
ln -f /main/ikev2/cert/server.key.pem /etc/ipsec.d/private/<br />
ln -f /main/ikev2/cert/server.cert.pem /etc/ipsec.d/certs/<br />
</syntaxhighlight><br />
<br />
=== 3. 配置nftables ===<br />
主要是为了根据 IKEV2 服务端分配给客户端的IP, 将数据包转发到指定网卡<br />
<br />
如果你之前配置过nftables, 不是编辑配置文件, 那就从之前的配置中取, 并进行链接, 准备编辑<syntaxhighlight><br />
mkdir /main/nftables<br />
cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/<br />
</syntaxhighlight>如果你没有配置过, 那就在<code>/main/nftables/</code>中创建一个<code>nftables.conf</code>配置文件并链接过去, 准备编辑<syntaxhighlight>ln -f /main/nftables/nftables.conf /etc/</syntaxhighlight>如果你之前配置过nftables, 且编辑了配置文件, 就直接修改那个配置文件, 准备编辑<br />
<br />
现在开始编辑<code>nftables.conf</code>, 加入以下配置<syntaxhighlight><br />
table inet ikev2_nat {<br />
chain postrouting {<br />
type nat hook postrouting priority 10;<br />
policy accept;<br />
<br />
# 自行修改网卡或IP<br />
ip saddr 10.10.0.0/16 oif "eth0" masquerade;<br />
ip6 saddr fd00:ce20::/16 oif "eth0" masquerade;<br />
}<br />
}<br />
</syntaxhighlight>保存好后并生效<syntaxhighlight><br />
systemctl enable nftables.service<br />
systemctl restart nftables.service<br />
</syntaxhighlight>如果你有其他防火墙规则, 记得放行 UDP<code>500</code>与<code>4500</code><br />
<br />
=== 4. 配置IKEV2 ===<br />
在<code>/main/ikev2</code>中分别创建文件: <code>ipsec.conf</code>, <code>ipsec.secrets</code><br />
<br />
conf是核心配置, secrets是用户配置, 需要自行修改<br />
<br />
<code>ipsec.conf</code>的配置: <syntaxhighlight line="1"><br />
config setup<br />
charondebug="ike 2, knl 2, net 2, esp 2, dmn 2, mgr 2"<br />
uniqueids=no<br />
<br />
conn ikev2-eap-mschapv2<br />
keyexchange=ikev2<br />
ike=aes256-sha1-sha256-sha384-modp2048,aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024!<br />
esp=aes256-3des-sha1<br />
<br />
auto=add<br />
compress=no<br />
dpdaction=clear<br />
fragmentation=yes<br />
forceencaps=yes<br />
<br />
dpddelay=30s<br />
ikelifetime=10h<br />
lifetime=30m<br />
<br />
left=%defaultroute<br />
leftauth=pubkey<br />
leftid=你的域名<br />
leftcert=server.cert.pem<br />
leftsendcert=always<br />
leftsubnet=0.0.0.0/0,::/0<br />
leftfirewall=yes<br />
<br />
right=%any<br />
rightid=%any<br />
rightauth=eap-mschapv2<br />
rightsourceip=10.10.0.0/16,fd00:ce20::/16<br />
rightdns=1.1.1.1,8.8.8.8<br />
rightsendcert=never<br />
eap_identity=%identity<br />
</syntaxhighlight><code>ipsec.secrets</code>的配置: <syntaxhighlight><br />
: RSA "server.key.pem"<br />
User1 : EAP "123456789"<br />
User2 : EAP "这是用户密码, 换行前面要注意不能有空格"<br />
</syntaxhighlight>自行修改好后, 重启服务并生效<syntaxhighlight><br />
systemctl restart strongswan-starter.service<br />
systemctl status strongswan-starter.service<br />
</syntaxhighlight><br />
<br />
=== 5. 安装证书 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面配置证书的<code>ca.cert.pem</code><br />
<br />
'''Windows安装证书:'''<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''安卓安装证书:'''<br />
<br />
以'''iqoo'''为例, 进入手机设置 -> 安全 -> 更多安全设置 -> 从手机存储安装 -> CA证书, 文件选择<code>ca.cert.pem</code><br />
<br />
其他手机可以搜索 <code>CA/证书/凭证</code><br />
<br />
'''IOS安装证书:'''<br />
<br />
下载证书后, 进入设置直接安装<br />
<br />
=== 6. 设备使用 ===<br />
添加 IKEV2 基本都是在任何系统里的设置中, 进入设置后找到VPN选项, 并添加<br />
<br />
类型选择IKEV2, 名称随便起, 地址则是你的域名, 有些可能需要设置<code>IPSec标识符</code>或者<code>远程ID</code>, 这些也填写成你的域名, 再输入设置好的用户名与密码, 就可以连接了<br />
<br />
Windows可能无法保存密码信息, 要求密码信息时不能取消, 否则资源管理器会卡死<br />
<br />
'''Windows设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-1.png|frameless|631x631px]]<br />
<br />
'''安卓设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-2.jpg|frameless|498x498px]]</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BAIKEV2_VPN&diff=1456
如何搭建IKEV2 VPN
2026-02-19T10:59:42Z
<p>Koud Wind:</p>
<hr />
<div>'''注意''': IKEV2协议可能会被GFW污染数据包一个月, 临时使用为优, 请勿长时间使用<br />
<br />
适合不能配置HTTP代理且不能安装其他代理客户端的设备<br />
----<br />
<br />
=== 1. 准备 ===<br />
以 Debian13 为例<syntaxhighlight>apt update<br />
apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins<br />
systemctl enable strongswan-starter<br />
mkdir -p /main/ikev2/cert<br />
cd /main/ikev2</syntaxhighlight><code>sysctl</code> 中需要配置IP转发, 新建一个<code>forward.conf</code>并进行编辑<syntaxhighlight line="1"><br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
</syntaxhighlight>保存好后链接过去, 并让其生效<syntaxhighlight><br />
ln -f /main/ikev2/forward.conf /etc/sysctl.d/<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
=== 2. 配置证书 ===<br />
这里我们使用自签证书, 先切换目录<syntaxhighlight><br />
cd /main/ikev2/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = ikev2<br />
CN = ikev2 cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存 执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=ikev2/CN=ikev2 ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight>将证书链接到配置目录中<syntaxhighlight><br />
mkdir -p /etc/ipsec.d/{private,certs}<br />
ln -f /main/ikev2/cert/server.key.pem /etc/ipsec.d/private/<br />
ln -f /main/ikev2/cert/server.cert.pem /etc/ipsec.d/certs/<br />
</syntaxhighlight><br />
<br />
=== 3. 配置nftables ===<br />
主要是为了根据 IKEV2 服务端分配给客户端的IP, 将数据包转发到指定网卡<br />
<br />
如果你之前配置过nftables, 不是编辑配置文件, 那就从之前的配置中取, 并进行链接, 准备编辑<syntaxhighlight><br />
mkdir /main/nftables<br />
cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/<br />
</syntaxhighlight>如果你没有配置过, 那就在<code>/main/nftables/</code>中创建一个<code>nftables.conf</code>配置文件并链接过去, 准备编辑<syntaxhighlight>ln -f /main/nftables/nftables.conf /etc/</syntaxhighlight>如果你之前配置过nftables, 且编辑了配置文件, 就直接修改那个配置文件, 准备编辑<br />
<br />
现在开始编辑<code>nftables.conf</code>, 加入以下配置<syntaxhighlight><br />
table inet ikev2_nat {<br />
chain postrouting {<br />
type nat hook postrouting priority 10;<br />
policy accept;<br />
<br />
# 自行修改网卡或IP<br />
ip saddr 10.10.0.0/16 oif "eth0" masquerade;<br />
ip6 saddr fd00:ce20::/16 oif "eth0" masquerade;<br />
}<br />
}<br />
</syntaxhighlight>保存好后并生效<syntaxhighlight><br />
systemctl enable nftables.service<br />
systemctl restart nftables.service<br />
</syntaxhighlight>如果你有其他防火墙规则, 记得放行 UDP<code>500</code>与<code>4500</code><br />
<br />
=== 4. 配置IKEV2 ===<br />
在<code>/main/ikev2</code>中分别创建文件: <code>ipsec.conf</code>, <code>ipsec.secrets</code><br />
<br />
conf是核心配置, secrets是用户配置, 需要自行修改<br />
<br />
<code>ipsec.conf</code>的配置: <syntaxhighlight line="1"><br />
config setup<br />
charondebug="ike 2, knl 2, net 2, esp 2, dmn 2, mgr 2"<br />
uniqueids=no<br />
<br />
conn ikev2-eap-mschapv2<br />
keyexchange=ikev2<br />
ike=aes256-sha1-sha256-sha384-modp2048,aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024!<br />
esp=aes256-3des-sha1<br />
<br />
auto=add<br />
compress=no<br />
dpdaction=clear<br />
fragmentation=yes<br />
forceencaps=yes<br />
<br />
dpddelay=30s<br />
ikelifetime=10h<br />
lifetime=30m<br />
<br />
left=%defaultroute<br />
leftauth=pubkey<br />
leftid=你的域名<br />
leftcert=server.cert.pem<br />
leftsendcert=always<br />
leftsubnet=0.0.0.0/0,::/0<br />
leftfirewall=yes<br />
<br />
right=%any<br />
rightid=%any<br />
rightauth=eap-mschapv2<br />
rightsourceip=10.10.0.0/16,fd00:ce20::/16<br />
rightdns=1.1.1.1,8.8.8.8<br />
rightsendcert=never<br />
eap_identity=%identity<br />
</syntaxhighlight><code>ipsec.secrets</code>的配置: <syntaxhighlight><br />
: RSA "server.key.pem"<br />
User1 : EAP "123456789"<br />
User2 : EAP "这是用户密码, 换行前面要注意不能有空格"<br />
</syntaxhighlight>自行修改好后, 重启服务并生效<syntaxhighlight><br />
systemctl restart strongswan-starter.service<br />
systemctl status strongswan-starter.service<br />
</syntaxhighlight><br />
<br />
=== 5. 安装证书 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面配置证书的<code>ca.cert.pem</code><br />
<br />
'''Windows安装证书:'''<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''安卓安装证书:'''<br />
<br />
以'''iqoo'''为例, 进入手机设置 -> 安全 -> 更多安全设置 -> 从手机存储安装 -> CA证书, 文件选择<code>ca.cert.pem</code><br />
<br />
其他手机可以搜索 <code>CA/证书/凭证</code><br />
<br />
'''IOS安装证书:'''<br />
<br />
下载证书后, 进入设置直接安装<br />
<br />
=== 6. 设备使用 ===<br />
添加 IKEV2 基本都是在任何系统里的设置中, 进入设置后找到VPN选项, 并添加<br />
<br />
类型选择IKEV2, 名称随便起, 地址则是你的域名, 有些可能需要设置<code>IPSec标识符</code>或者<code>远程ID</code>, 这些也填写成你的域名, 再输入设置好的用户名与密码, 就可以连接了<br />
<br />
Windows可能无法保存密码信息, 要求密码信息时不能取消, 否则资源管理器会卡死<br />
<br />
'''Windows设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-1.png|frameless|631x631px]]<br />
<br />
'''安卓设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-2.jpg|frameless|498x498px]]</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BAIKEV2_VPN&diff=1455
如何搭建IKEV2 VPN
2026-02-19T10:57:49Z
<p>Koud Wind:</p>
<hr />
<div>'''注意''': IKEV2协议可能会被GFW污染数据包一个月, 临时使用为优, 请勿长时间使用<br />
<br />
适合不能配置HTTP代理且不能安装其他代理客户端的设备<br />
----<br />
<br />
=== 1. 准备 ===<br />
以 Debian13 为例<syntaxhighlight>apt update<br />
apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins<br />
systemctl enable strongswan-starter<br />
mkdir -p /main/ikev2/cert<br />
cd /main/ikev2</syntaxhighlight><code>sysctl</code> 中需要配置IP转发, 新建一个<code>forward.conf</code>并进行编辑<syntaxhighlight line="1"><br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
</syntaxhighlight>保存好后链接过去, 并让其生效<syntaxhighlight><br />
ln -f /main/ikev2/forward.conf /etc/sysctl.d/<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
=== 2. 配置证书 ===<br />
这里我们使用自签证书, 先切换目录<syntaxhighlight><br />
cd /main/ikev2/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = ikev2<br />
CN = ikev2 cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存 执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=ikev2/CN=ikev2 ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight>将证书链接到配置目录中<syntaxhighlight><br />
mkdir -p /etc/ipsec.d/{private,certs}<br />
ln -f /main/ikev2/cert/server.key.pem /etc/ipsec.d/private/<br />
ln -f /main/ikev2/cert/server.cert.pem /etc/ipsec.d/certs/<br />
</syntaxhighlight><br />
<br />
=== 3. 配置nftables ===<br />
主要是为了根据 IKEV2 服务端分配给客户端的IP, 将数据包转发到指定网卡<br />
<br />
如果你之前配置过nftables, 不是编辑配置文件, 那就从之前的配置中取, 并进行链接, 准备编辑<syntaxhighlight><br />
mkdir /main/nftables<br />
cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/<br />
</syntaxhighlight>如果你没有配置过, 那就在<code>/main/nftables/</code>中创建一个<code>nftables.conf</code>配置文件并链接过去, 准备编辑<syntaxhighlight>ln -f /main/nftables/nftables.conf /etc/</syntaxhighlight>如果你之前配置过nftables, 且编辑了配置文件, 就直接修改那个配置文件, 准备编辑<br />
<br />
现在开始编辑<code>nftables.conf</code>, 加入以下配置<syntaxhighlight><br />
table inet ikev2_nat {<br />
chain postrouting {<br />
type nat hook postrouting priority 10;<br />
policy accept;<br />
<br />
# 自行修改网卡或IP<br />
ip saddr 10.10.0.0/16 oif "eth0" masquerade;<br />
ip6 saddr fd00:ce20::/16 oif "eth0" masquerade;<br />
}<br />
}<br />
</syntaxhighlight>保存好后并生效<syntaxhighlight><br />
systemctl enable nftables.service<br />
systemctl restart nftables.service<br />
</syntaxhighlight><br />
<br />
=== 4. 配置IKEV2 ===<br />
在<code>/main/ikev2</code>中分别创建文件: <code>ipsec.conf</code>, <code>ipsec.secrets</code><br />
<br />
conf是核心配置, secrets是用户配置, 需要自行修改<br />
<br />
<code>ipsec.conf</code>的配置: <syntaxhighlight line="1"><br />
config setup<br />
charondebug="ike 2, knl 2, net 2, esp 2, dmn 2, mgr 2"<br />
uniqueids=no<br />
<br />
conn ikev2-eap-mschapv2<br />
keyexchange=ikev2<br />
ike=aes256-sha1-sha256-sha384-modp2048,aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024!<br />
esp=aes256-3des-sha1<br />
<br />
auto=add<br />
compress=no<br />
dpdaction=clear<br />
fragmentation=yes<br />
forceencaps=yes<br />
<br />
dpddelay=30s<br />
ikelifetime=10h<br />
lifetime=30m<br />
<br />
left=%defaultroute<br />
leftauth=pubkey<br />
leftid=你的域名<br />
leftcert=server.cert.pem<br />
leftsendcert=always<br />
leftsubnet=0.0.0.0/0,::/0<br />
leftfirewall=yes<br />
<br />
right=%any<br />
rightid=%any<br />
rightauth=eap-mschapv2<br />
rightsourceip=10.10.0.0/16,fd00:ce20::/16<br />
rightdns=1.1.1.1,8.8.8.8<br />
rightsendcert=never<br />
eap_identity=%identity<br />
</syntaxhighlight><code>ipsec.secrets</code>的配置: <syntaxhighlight><br />
: RSA "server.key.pem"<br />
User1 : EAP "123456789"<br />
User2 : EAP "这是用户密码, 换行前面要注意不能有空格"<br />
</syntaxhighlight>自行修改好后, 重启服务并生效<syntaxhighlight><br />
systemctl restart strongswan-starter.service<br />
systemctl status strongswan-starter.service<br />
</syntaxhighlight><br />
<br />
=== 5. 安装证书 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面配置证书的<code>ca.cert.pem</code><br />
<br />
'''Windows安装证书:'''<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''安卓安装证书:'''<br />
<br />
以'''iqoo'''为例, 进入手机设置 -> 安全 -> 更多安全设置 -> 从手机存储安装 -> CA证书, 文件选择<code>ca.cert.pem</code><br />
<br />
其他手机可以搜索 <code>CA/证书/凭证</code><br />
<br />
'''IOS安装证书:'''<br />
<br />
下载证书后, 进入设置直接安装<br />
<br />
=== 6. 设备使用 ===<br />
添加 IKEV2 基本都是在任何系统里的设置中, 进入设置后找到VPN选项, 并添加<br />
<br />
类型选择IKEV2, 名称随便起, 地址则是你的域名, 有些可能需要设置<code>IPSec标识符</code>或者<code>远程ID</code>, 这些也填写成你的域名, 再输入设置好的用户名与密码, 就可以连接了<br />
<br />
Windows可能无法保存密码信息, 要求密码信息时不能取消, 否则资源管理器会卡死<br />
<br />
'''Windows设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-1.png|frameless|631x631px]]<br />
<br />
'''安卓设置:'''<br />
<br />
[[File:如何搭建IKEV2 VPN-2.jpg|frameless|498x498px]]</div>
Koud Wind
https://md5.pw/index.php?title=File:%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BAIKEV2_VPN-2.jpg&diff=1454
File:如何搭建IKEV2 VPN-2.jpg
2026-02-19T10:57:19Z
<p>Koud Wind:</p>
<hr />
<div>1</div>
Koud Wind
https://md5.pw/index.php?title=File:%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BAIKEV2_VPN-1.png&diff=1453
File:如何搭建IKEV2 VPN-1.png
2026-02-19T10:55:13Z
<p>Koud Wind:</p>
<hr />
<div>1</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E6%90%AD%E5%BB%BAIKEV2_VPN&diff=1452
如何搭建IKEV2 VPN
2026-02-19T10:50:23Z
<p>Koud Wind:创建页面,内容为“'''注意''': IKEV2协议可能会被GFW污染数据包一个月, 临时使用为优, 请勿长时间使用 适合不能配置HTTP代理且不能安装其他代理客户端的设备 ---- === 1. 准备 === 以 Debian13 为例<syntaxhighlight>apt update apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins systemctl enable strongswan-starter mkdir -p /main/ikev2/cert cd /main/ikev2</syntaxhighlight><code>s…”</p>
<hr />
<div>'''注意''': IKEV2协议可能会被GFW污染数据包一个月, 临时使用为优, 请勿长时间使用<br />
<br />
适合不能配置HTTP代理且不能安装其他代理客户端的设备<br />
----<br />
<br />
=== 1. 准备 ===<br />
以 Debian13 为例<syntaxhighlight>apt update<br />
apt install nftables strongswan libstrongswan-extra-plugins libcharon-extra-plugins libcharon-extauth-plugins<br />
systemctl enable strongswan-starter<br />
mkdir -p /main/ikev2/cert<br />
cd /main/ikev2</syntaxhighlight><code>sysctl</code> 中需要配置IP转发, 新建一个<code>forward.conf</code>并进行编辑<syntaxhighlight line="1"><br />
net.ipv4.ip_forward = 1<br />
net.ipv6.conf.all.forwarding = 1<br />
</syntaxhighlight>保存好后链接过去, 并让其生效<syntaxhighlight><br />
ln -f /main/ikev2/forward.conf /etc/sysctl.d/<br />
sysctl --system<br />
</syntaxhighlight><br />
<br />
=== 2. 配置证书 ===<br />
这里我们使用自签证书, 先切换目录<syntaxhighlight><br />
cd /main/ikev2/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = ikev2<br />
CN = ikev2 cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存 执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=ikev2/CN=ikev2 ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight>将证书链接到配置目录中<syntaxhighlight><br />
mkdir -p /etc/ipsec.d/{private,certs}<br />
ln -f /main/ikev2/cert/server.key.pem /etc/ipsec.d/private/<br />
ln -f /main/ikev2/cert/server.cert.pem /etc/ipsec.d/certs/<br />
</syntaxhighlight><br />
<br />
=== 3. 配置nftables ===<br />
主要是为了根据 IKEV2 服务端分配给客户端的IP, 将数据包转发到指定网卡<br />
<br />
如果你之前配置过nftables, 不是编辑配置文件, 那就从之前的配置中取, 并进行链接, 准备编辑<syntaxhighlight><br />
mkdir /main/nftables<br />
cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/<br />
</syntaxhighlight>如果你没有配置过, 那就在<code>/main/nftables/</code>中创建一个<code>nftables.conf</code>配置文件并链接过去, 准备编辑<syntaxhighlight>ln -f /main/nftables/nftables.conf /etc/</syntaxhighlight>如果你之前配置过nftables, 且编辑了配置文件, 就直接修改那个配置文件, 准备编辑<br />
<br />
现在开始编辑<code>nftables.conf</code>, 加入以下配置<syntaxhighlight><br />
table inet ikev2_nat {<br />
chain postrouting {<br />
type nat hook postrouting priority 10;<br />
policy accept;<br />
<br />
# 自行修改网卡或IP<br />
ip saddr 10.10.0.0/16 oif "eth0" masquerade;<br />
ip6 saddr fd00:ce20::/16 oif "eth0" masquerade;<br />
}<br />
}<br />
</syntaxhighlight>保存好后并生效<syntaxhighlight><br />
systemctl enable nftables.service<br />
systemctl restart nftables.service<br />
</syntaxhighlight><br />
<br />
=== 4. 配置IKEV2 ===<br />
在<code>/main/ikev2</code>中分别创建文件: <code>ipsec.conf</code>, <code>ipsec.secrets</code><br />
<br />
conf是核心配置, secrets是用户配置, 需要自行修改<br />
<br />
<code>ipsec.conf</code>的配置: <syntaxhighlight line="1"><br />
config setup<br />
charondebug="ike 2, knl 2, net 2, esp 2, dmn 2, mgr 2"<br />
uniqueids=no<br />
<br />
conn ikev2-eap-mschapv2<br />
keyexchange=ikev2<br />
ike=aes256-sha1-sha256-sha384-modp2048,aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024!<br />
esp=aes256-3des-sha1<br />
<br />
auto=add<br />
compress=no<br />
dpdaction=clear<br />
fragmentation=yes<br />
forceencaps=yes<br />
<br />
dpddelay=30s<br />
ikelifetime=10h<br />
lifetime=30m<br />
<br />
left=%defaultroute<br />
leftauth=pubkey<br />
leftid=你的域名<br />
leftcert=server.cert.pem<br />
leftsendcert=always<br />
leftsubnet=0.0.0.0/0,::/0<br />
leftfirewall=yes<br />
<br />
right=%any<br />
rightid=%any<br />
rightauth=eap-mschapv2<br />
rightsourceip=10.10.0.0/16,fd00:ce20::/16<br />
rightdns=1.1.1.1,8.8.8.8<br />
rightsendcert=never<br />
eap_identity=%identity<br />
</syntaxhighlight><code>ipsec.secrets</code>的配置: <syntaxhighlight><br />
: RSA "server.key.pem"<br />
User1 : EAP "123456789"<br />
User2 : EAP "这是用户密码, 换行前面要注意不能有空格"<br />
</syntaxhighlight>自行修改好后, 重启服务并生效<syntaxhighlight><br />
systemctl restart strongswan-starter.service<br />
systemctl status strongswan-starter.service<br />
</syntaxhighlight><br />
<br />
=== 5. 安装证书 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面配置证书的<code>ca.cert.pem</code><br />
<br />
'''Windows安装证书:'''<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''安卓安装证书:'''<br />
<br />
以'''iqoo'''为例, 进入手机设置 -> 安全 -> 更多安全设置 -> 从手机存储安装 -> CA证书, 文件选择<code>ca.cert.pem</code><br />
<br />
其他手机可以搜索 <code>CA/证书/凭证</code><br />
<br />
'''IOS安装证书:'''<br />
<br />
下载证书后, 进入设置直接安装<br />
<br />
=== 6. 设备使用 ===<br />
添加 IKEV2 基本都是在任何系统里的设置中, 进入设置后找到VPN选项, 并添加<br />
<br />
名称随便起, 地址则是你的域名, 有些可能需要设置<code>IPSec标识符</code>或者<code>远程ID</code>, 这些也填写成你的域名, 再输入设置好的用户名与密码, 就可以连接了</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8gost%E6%90%AD%E5%BB%BAHTTPS%E4%BB%A3%E7%90%86&diff=1448
如何使用gost搭建HTTPS代理
2026-02-19T05:55:48Z
<p>Koud Wind:/* 5. 客户端使用 */</p>
<hr />
<div>有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理?<br />
<br />
有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差<br />
----<br />
<br />
=== 1. 准备 ===<br />
主要使用3.0版本<syntaxhighlight><br />
wget https://github.com/go-gost/gost/releases/download/v3.2.6/gost_3.2.6_linux_amd64.tar.gz<br />
tar -xzf gost_3.2.6_linux_amd64.tar.gz<br />
mv gost /usr/local/bin/<br />
chmod u+x /usr/local/bin/gost<br />
rm gost_3.2.6_linux_amd64.tar.gz<br />
</syntaxhighlight>可以自行更换版本, 也可以使用[https://github.com/go-gost/gost Github]上的安装脚本<br />
<br />
=== 2. 配置service ===<br />
新建一个<code>gost.service</code>并进行配置<syntaxhighlight line="1"><br />
[Unit]<br />
Description=gost<br />
After=network.target network-online.target<br />
<br />
[Service]<br />
Type=simple<br />
StandardError=journal<br />
ExecStart="/usr/local/bin/gost"<br />
ExecReload=/bin/kill -HUP $MAINPID<br />
Restart=on-failure<br />
RestartSec=1s<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
</syntaxhighlight>我们保存在<code>/main/gost/</code>为例, 建立一个软链接以方便备份与配置<syntaxhighlight><br />
ln -f /main/gost/gost.service /etc/systemd/system/<br />
</syntaxhighlight>添加到开机启动中<syntaxhighlight><br />
systemctl daemon-reload<br />
systemctl enable gost.service<br />
</syntaxhighlight><br />
<br />
=== 3. 配置证书 ===<br />
你可以选择使用自签证书或正式证书, 若'''使用正式证书且不配置代理账号密码'''会导致主机变为肉鸡, 若使用自签证书会有更好的安全性, 前提是你的自签证书没有被泄露, 这里仅展示自签证书的配置方法<syntaxhighlight><br />
mkdir /main/gost/cert<br />
cd /main/gost/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = gost<br />
CN = gost cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存<br />
<br />
执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=gost/CN=gost ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight><br />
=== 4. 配置gost ===<br />
<syntaxhighlight><br />
cd /main/gost<br />
</syntaxhighlight>新建一个<code>gost.json</code>并进行配置, 可以参考[https://gost.run/ 官网]的教程<syntaxhighlight lang="json" line="1"><br />
{<br />
"services": [<br />
{<br />
"name": "https-proxy",<br />
"addr": ":56000",<br />
"handler": {<br />
"type": "http",<br />
"metadata": {<br />
"knock": "你的域名",<br />
"probeResist": "web:test-ipv6.com:80"<br />
}<br />
},<br />
"listener": {<br />
"type": "tls"<br />
}<br />
}<br />
<br />
],<br />
<br />
"tls": {<br />
"certFile": "/main/gost/cert/server.cert.pem",<br />
"keyFile": "/main/gost/cert/server.key.pem"<br />
}<br />
}<br />
</syntaxhighlight>对原配置文件进行链接<syntaxhighlight><br />
ln -f /main/gost/gost.json /etc/gost/<br />
</syntaxhighlight>重启服务<syntaxhighlight><br />
systemctl restart gost.service<br />
systemctl status gost.service<br />
</syntaxhighlight><br />
<br />
=== 5. 客户端使用 ===<br />
若是自签证书, 任何系统想用就必须装上'''CA证书''', 也就是上面提到的<code>ca.cert.pem</code><br />
<br />
'''Windows安装证书:'''<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''Linux安装证书:'''<syntaxhighlight><br />
mkdir -p /usr/local/share/ca-certificates<br />
cp ca.cert.pem /usr/local/share/ca-certificates/<br />
chmod 0644 /usr/local/share/ca-certificates/ca.cert.pem<br />
update-ca-certificates<br />
</syntaxhighlight><br />
<br />
'''Windows使用:'''<br />
<br />
[[File:如何使用gost搭建HTTPS代理-1.png|frameless|421x421px]]<br />
'''Linux使用:''' <syntaxhighlight><br />
export https_proxy="https://你的域名:56000"<br />
</syntaxhighlight>'''其他系统设置可能不支持HTTPS代理, 仅有HTTP代理'''</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8gost%E6%90%AD%E5%BB%BAHTTPS%E4%BB%A3%E7%90%86&diff=1441
如何使用gost搭建HTTPS代理
2026-02-18T20:42:01Z
<p>Koud Wind:</p>
<hr />
<div>有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理?<br />
<br />
有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差<br />
----<br />
<br />
=== 1. 准备 ===<br />
主要使用3.0版本<syntaxhighlight><br />
wget https://github.com/go-gost/gost/releases/download/v3.2.6/gost_3.2.6_linux_amd64.tar.gz<br />
tar -xzf gost_3.2.6_linux_amd64.tar.gz<br />
mv gost /usr/local/bin/<br />
chmod u+x /usr/local/bin/gost<br />
rm gost_3.2.6_linux_amd64.tar.gz<br />
</syntaxhighlight>可以自行更换版本, 也可以使用[https://github.com/go-gost/gost Github]上的安装脚本<br />
<br />
=== 2. 配置service ===<br />
新建一个<code>gost.service</code>并进行配置<syntaxhighlight line="1"><br />
[Unit]<br />
Description=gost<br />
After=network.target network-online.target<br />
<br />
[Service]<br />
Type=simple<br />
StandardError=journal<br />
ExecStart="/usr/local/bin/gost"<br />
ExecReload=/bin/kill -HUP $MAINPID<br />
Restart=on-failure<br />
RestartSec=1s<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
</syntaxhighlight>我们保存在<code>/main/gost/</code>为例, 建立一个软链接以方便备份与配置<syntaxhighlight><br />
ln -f /main/gost/gost.service /etc/systemd/system/<br />
</syntaxhighlight>添加到开机启动中<syntaxhighlight><br />
systemctl daemon-reload<br />
systemctl enable gost.service<br />
</syntaxhighlight><br />
<br />
=== 3. 配置证书 ===<br />
你可以选择使用自签证书或正式证书, 若'''使用正式证书且不配置代理账号密码'''会导致主机变为肉鸡, 若使用自签证书会有更好的安全性, 前提是你的自签证书没有被泄露, 这里仅展示自签证书的配置方法<syntaxhighlight><br />
mkdir /main/gost/cert<br />
cd /main/gost/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = gost<br />
CN = gost cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存<br />
<br />
执行以下命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=gost/CN=gost ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight><br />
=== 4. 配置gost ===<br />
<syntaxhighlight><br />
cd /main/gost<br />
</syntaxhighlight>新建一个<code>gost.json</code>并进行配置, 可以参考[https://gost.run/ 官网]的教程<syntaxhighlight lang="json" line="1"><br />
{<br />
"services": [<br />
{<br />
"name": "https-proxy",<br />
"addr": ":56000",<br />
"handler": {<br />
"type": "http",<br />
"metadata": {<br />
"knock": "你的域名",<br />
"probeResist": "web:test-ipv6.com:80"<br />
}<br />
},<br />
"listener": {<br />
"type": "tls"<br />
}<br />
}<br />
<br />
],<br />
<br />
"tls": {<br />
"certFile": "/main/gost/cert/server.cert.pem",<br />
"keyFile": "/main/gost/cert/server.key.pem"<br />
}<br />
}<br />
</syntaxhighlight>对原配置文件进行链接<syntaxhighlight><br />
ln -f /main/gost/gost.json /etc/gost/<br />
</syntaxhighlight>重启服务<syntaxhighlight><br />
systemctl restart gost.service<br />
systemctl status gost.service<br />
</syntaxhighlight><br />
<br />
=== 5. 客户端使用 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面提到的<code>ca.cert.pem</code><br />
<br />
'''Windows安装证书:'''<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''Linux安装证书:'''<syntaxhighlight><br />
mkdir -p /usr/local/share/ca-certificates<br />
cp ca.cert.pem /usr/local/share/ca-certificates/<br />
chmod 0644 /usr/local/share/ca-certificates/ca.cert.pem<br />
update-ca-certificates<br />
</syntaxhighlight><br />
<br />
'''Windows使用:'''<br />
<br />
[[File:如何使用gost搭建HTTPS代理-1.png|frameless|421x421px]]<br />
'''Linux使用:''' <syntaxhighlight><br />
export https_proxy="https://你的域名:56000"<br />
</syntaxhighlight>'''其他系统设置可能不支持HTTPS代理, 仅有HTTP代理'''</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8gost%E6%90%AD%E5%BB%BAHTTPS%E4%BB%A3%E7%90%86&diff=1440
如何使用gost搭建HTTPS代理
2026-02-18T20:40:19Z
<p>Koud Wind:</p>
<hr />
<div>有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理?<br />
<br />
有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差<br />
----<br />
<br />
=== 1. 准备 ===<br />
主要使用3.0版本<syntaxhighlight><br />
wget https://github.com/go-gost/gost/releases/download/v3.2.6/gost_3.2.6_linux_amd64.tar.gz<br />
tar -xzf gost_3.2.6_linux_amd64.tar.gz<br />
mv gost /usr/local/bin/<br />
chmod u+x /usr/local/bin/gost<br />
rm gost_3.2.6_linux_amd64.tar.gz<br />
</syntaxhighlight>可以自行更换版本, 也可以使用[https://github.com/go-gost/gost Github]上的安装脚本<br />
<br />
=== 2. 配置service ===<br />
新建一个<code>gost.service</code>并进行配置<syntaxhighlight line="1"><br />
[Unit]<br />
Description=gost<br />
After=network.target network-online.target<br />
<br />
[Service]<br />
Type=simple<br />
StandardError=journal<br />
ExecStart="/usr/local/bin/gost"<br />
ExecReload=/bin/kill -HUP $MAINPID<br />
Restart=on-failure<br />
RestartSec=1s<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
</syntaxhighlight>我们保存在<code>/main/gost/</code>为例, 建立一个软链接以方便备份与配置<syntaxhighlight><br />
ln -f /main/gost/gost.service /etc/systemd/system/<br />
</syntaxhighlight>添加到开机启动中<syntaxhighlight><br />
systemctl daemon-reload<br />
systemctl enable gost.service<br />
</syntaxhighlight><br />
<br />
=== 3. 配置证书 ===<br />
你可以选择使用自签证书或正式证书, 若'''使用正式证书且不配置代理账号密码'''会导致主机变为肉鸡, 若使用自签证书会有更好的安全性, 前提是你的自签证书没有被泄露, 这里仅展示自签证书的配置方法<syntaxhighlight><br />
mkdir /main/gost/cert<br />
cd /main/gost/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = gost<br />
CN = gost cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存<br />
<br />
执行命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=gost/CN=gost ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight><br />
=== 4. 配置gost ===<br />
<syntaxhighlight><br />
cd /main/gost<br />
</syntaxhighlight>新建一个<code>gost.json</code>并进行配置, 可以参考[https://gost.run/ 官网]的教程<syntaxhighlight lang="json" line="1"><br />
{<br />
"services": [<br />
{<br />
"name": "https-proxy",<br />
"addr": ":56000",<br />
"handler": {<br />
"type": "http",<br />
"metadata": {<br />
"knock": "你的域名",<br />
"probeResist": "web:test-ipv6.com:80"<br />
}<br />
},<br />
"listener": {<br />
"type": "tls"<br />
}<br />
}<br />
<br />
],<br />
<br />
"tls": {<br />
"certFile": "/main/gost/cert/server.cert.pem",<br />
"keyFile": "/main/gost/cert/server.key.pem"<br />
}<br />
}<br />
</syntaxhighlight>对原配置文件进行链接<syntaxhighlight><br />
ln -f /main/gost/gost.json /etc/gost/<br />
</syntaxhighlight>重启服务<syntaxhighlight><br />
systemctl restart gost.service<br />
systemctl status gost.service<br />
</syntaxhighlight><br />
<br />
=== 5. 客户端使用 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面提到的<code>ca.cert.pem</code><br />
<br />
'''Windows安装证书:'''<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''Linux安装证书:'''<syntaxhighlight><br />
mkdir -p /usr/local/share/ca-certificates<br />
cp ca.cert.pem /usr/local/share/ca-certificates/<br />
chmod 0644 /usr/local/share/ca-certificates/ca.cert.pem<br />
update-ca-certificates<br />
</syntaxhighlight><br />
<br />
'''Windows使用:'''<br />
<br />
[[File:如何使用gost搭建HTTPS代理-1.png|frameless|421x421px]]<br />
'''Linux使用:''' <syntaxhighlight><br />
export https_proxy="https://你的域名:56000"<br />
</syntaxhighlight>'''其他系统设置可能不支持HTTPS代理, 仅有HTTP代理'''</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8gost%E6%90%AD%E5%BB%BAHTTPS%E4%BB%A3%E7%90%86&diff=1439
如何使用gost搭建HTTPS代理
2026-02-18T20:31:11Z
<p>Koud Wind:</p>
<hr />
<div>有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理?<br />
<br />
有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差<br />
----<br />
<br />
=== 1. 准备 ===<br />
主要使用3.0版本<syntaxhighlight><br />
wget https://github.com/go-gost/gost/releases/download/v3.2.6/gost_3.2.6_linux_amd64.tar.gz<br />
tar -xzf gost_3.2.6_linux_amd64.tar.gz<br />
mv gost /usr/local/bin/<br />
chmod u+x /usr/local/bin/gost<br />
rm gost_3.2.6_linux_amd64.tar.gz<br />
</syntaxhighlight>可以自行更换版本, 也可以使用[https://github.com/go-gost/gost Github]上的安装脚本<br />
<br />
=== 2. 配置service ===<br />
新建一个<code>gost.service</code>并进行配置<syntaxhighlight line="1"><br />
[Unit]<br />
Description=gost<br />
After=network.target network-online.target<br />
<br />
[Service]<br />
Type=simple<br />
StandardError=journal<br />
ExecStart="/usr/local/bin/gost"<br />
ExecReload=/bin/kill -HUP $MAINPID<br />
Restart=on-failure<br />
RestartSec=1s<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
</syntaxhighlight>我们保存在<code>/main/gost/</code>为例, 建立一个软链接以方便备份与配置<syntaxhighlight><br />
ln -f /main/gost/gost.service /etc/systemd/system/<br />
</syntaxhighlight>添加到开机启动中<syntaxhighlight><br />
systemctl daemon-reload<br />
systemctl enable gost.service<br />
</syntaxhighlight><br />
<br />
=== 3. 配置证书 ===<br />
你可以选择使用自签证书或正式证书, 若'''使用正式证书且不配置代理账号密码'''会导致主机变为肉鸡, 若使用自签证书会有更好的安全性, 前提是你的自签证书没有被泄露, 这里仅展示自签证书的配置方法<syntaxhighlight><br />
mkdir /main/gost/cert<br />
cd /main/gost/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = gost<br />
CN = gost cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存<br />
<br />
执行命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=gost/CN=gost ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight>'''Windows'''安装证书:<br />
<br />
<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)<br />
<br />
'''Linux安装证书:'''<syntaxhighlight><br />
mkdir -p /usr/local/share/ca-certificates<br />
cp ca.cert.pem /usr/local/share/ca-certificates/<br />
chmod 0644 /usr/local/share/ca-certificates/ca.cert.pem<br />
update-ca-certificates<br />
</syntaxhighlight><br />
<br />
=== 4. 配置gost ===<br />
<syntaxhighlight><br />
cd /main/gost<br />
</syntaxhighlight>新建一个<code>gost.json</code>并进行配置, 可以参考[https://gost.run/ 官网]的教程<syntaxhighlight lang="json" line="1"><br />
{<br />
"services": [<br />
{<br />
"name": "https-proxy",<br />
"addr": ":56000",<br />
"handler": {<br />
"type": "http",<br />
"metadata": {<br />
"knock": "你的域名",<br />
"probeResist": "web:test-ipv6.com:80"<br />
}<br />
},<br />
"listener": {<br />
"type": "tls"<br />
}<br />
}<br />
<br />
],<br />
<br />
"tls": {<br />
"certFile": "/main/gost/cert/server.cert.pem",<br />
"keyFile": "/main/gost/cert/server.key.pem"<br />
}<br />
}<br />
</syntaxhighlight>对原配置文件进行链接<syntaxhighlight><br />
ln -f /main/gost/gost.json /etc/gost/<br />
</syntaxhighlight>重启服务<syntaxhighlight><br />
systemctl restart gost.service<br />
systemctl status gost.service<br />
</syntaxhighlight><br />
<br />
=== 5. 客户端使用 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面提到的<code>ca.cert.pem</code><br />
<br />
'''Windows:'''<br />
<br />
[[File:如何使用gost搭建HTTPS代理-1.png|frameless|421x421px]]<br />
'''Linux:''' <syntaxhighlight><br />
export https_proxy="https://你的域名:56000"<br />
</syntaxhighlight>'''其他系统设置可能不支持HTTPS代理, 仅有HTTP代理'''</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8gost%E6%90%AD%E5%BB%BAHTTPS%E4%BB%A3%E7%90%86&diff=1438
如何使用gost搭建HTTPS代理
2026-02-18T20:16:13Z
<p>Koud Wind:</p>
<hr />
<div>有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理?<br />
<br />
有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差<br />
----<br />
<br />
=== 1. 准备 ===<br />
主要使用3.0版本<syntaxhighlight><br />
wget https://github.com/go-gost/gost/releases/download/v3.2.6/gost_3.2.6_linux_amd64.tar.gz<br />
tar -xzf gost_3.2.6_linux_amd64.tar.gz<br />
mv gost /usr/local/bin/<br />
chmod u+x /usr/local/bin/gost<br />
rm gost_3.2.6_linux_amd64.tar.gz<br />
</syntaxhighlight>可以自行更换版本, 也可以使用[https://github.com/go-gost/gost Github]上的安装脚本<br />
<br />
=== 2. 配置service ===<br />
新建一个<code>gost.service</code>并进行配置<syntaxhighlight line="1"><br />
[Unit]<br />
Description=gost<br />
After=network.target network-online.target<br />
<br />
[Service]<br />
Type=simple<br />
StandardError=journal<br />
ExecStart="/usr/local/bin/gost"<br />
ExecReload=/bin/kill -HUP $MAINPID<br />
Restart=on-failure<br />
RestartSec=1s<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
</syntaxhighlight>我们保存在<code>/main/gost/</code>为例, 建立一个软链接以方便备份与配置<syntaxhighlight><br />
ln -f /main/gost/gost.service /etc/systemd/system/<br />
</syntaxhighlight>添加到开机启动中<syntaxhighlight><br />
systemctl daemon-reload<br />
systemctl enable gost.service<br />
</syntaxhighlight><br />
<br />
=== 3. 配置证书 ===<br />
你可以选择使用自签证书或正式证书, 若'''使用正式证书且不配置代理账号密码'''会导致主机变为肉鸡, 若使用自签证书会有更好的安全性, 前提是你的自签证书没有被泄露, 这里仅展示自签证书的配置方法<syntaxhighlight><br />
mkdir /main/gost/cert<br />
cd /main/gost/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = gost<br />
CN = gost cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存<br />
<br />
执行命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=gost/CN=gost ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight><code>ca.cert.pem</code>可改为<code>.der</code>后缀以供windows系统安装<br />
<br />
查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight><br />
<br />
=== 4. 配置gost ===<br />
<syntaxhighlight><br />
cd /main/gost<br />
</syntaxhighlight>新建一个<code>gost.json</code>并进行配置, 可以参考[https://gost.run/ 官网]的教程<syntaxhighlight lang="json" line="1"><br />
{<br />
"services": [<br />
{<br />
"name": "https-proxy",<br />
"addr": ":56000",<br />
"handler": {<br />
"type": "http",<br />
"metadata": {<br />
"knock": "你的域名",<br />
"probeResist": "web:test-ipv6.com:80"<br />
}<br />
},<br />
"listener": {<br />
"type": "tls"<br />
}<br />
}<br />
<br />
],<br />
<br />
"tls": {<br />
"certFile": "/main/gost/cert/server.cert.pem",<br />
"keyFile": "/main/gost/cert/server.key.pem"<br />
}<br />
}<br />
</syntaxhighlight>对原配置文件进行链接<syntaxhighlight><br />
ln -f /main/gost/gost.json /etc/gost/<br />
</syntaxhighlight>重启服务<syntaxhighlight><br />
systemctl restart gost.service<br />
systemctl status gost.service<br />
</syntaxhighlight><br />
<br />
=== 5. 客户端使用 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面提到的<code>ca.cert.pem</code><br />
<br />
'''Windows:'''<br />
<br />
[[File:如何使用gost搭建HTTPS代理-1.png|frameless|421x421px]]<br />
'''Linux:''' <syntaxhighlight><br />
export https_proxy="https://你的域名:56000"<br />
</syntaxhighlight>'''其他系统设置可能不支持HTTPS代理, 仅有HTTP代理'''</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8gost%E6%90%AD%E5%BB%BAHTTPS%E4%BB%A3%E7%90%86&diff=1437
如何使用gost搭建HTTPS代理
2026-02-18T20:14:24Z
<p>Koud Wind:</p>
<hr />
<div>有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理?<br />
<br />
有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差<br />
----<br />
<br />
=== 1. 准备 ===<br />
主要使用3.0版本<syntaxhighlight><br />
wget https://github.com/go-gost/gost/releases/download/v3.2.6/gost_3.2.6_linux_amd64.tar.gz<br />
tar -xzf gost_3.2.6_linux_amd64.tar.gz<br />
mv gost /usr/local/bin/<br />
chmod u+x /usr/local/bin/gost<br />
rm gost_3.2.6_linux_amd64.tar.gz<br />
</syntaxhighlight>可以自行更换版本, 也可以使用[https://github.com/go-gost/gost Github]上的安装脚本<br />
<br />
=== 2. 配置service ===<br />
新建一个<code>gost.service</code>并进行配置<syntaxhighlight line="1"><br />
[Unit]<br />
Description=gost<br />
After=network.target network-online.target<br />
<br />
[Service]<br />
Type=simple<br />
StandardError=journal<br />
ExecStart="/usr/local/bin/gost"<br />
ExecReload=/bin/kill -HUP $MAINPID<br />
Restart=on-failure<br />
RestartSec=1s<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
</syntaxhighlight>我们保存在<code>/main/gost/</code>为例, 建立一个软链接以方便备份与配置<syntaxhighlight><br />
ln -f /main/gost/gost.service /etc/systemd/system/<br />
</syntaxhighlight>添加到开机启动中<syntaxhighlight><br />
systemctl daemon-reload<br />
systemctl enable gost.service<br />
</syntaxhighlight><br />
<br />
=== 3. 配置证书 ===<br />
你可以选择使用自签证书或正式证书, 若'''使用正式证书且不配置代理账号密码'''会导致主机变为肉鸡, 若使用自签证书会有更好的安全性, 前提是你的自签证书没有被泄露, 这里仅展示自签证书的配置方法<syntaxhighlight><br />
mkdir /main/gost/cert<br />
cd /main/gost/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = gost<br />
CN = gost cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存<br />
<br />
执行命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=gost/CN=gost ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight><code>ca.cert.pem</code>可改为<code>.der</code>后缀以供windows系统安装<br />
<br />
查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight><br />
<br />
=== 4. 配置gost ===<br />
<syntaxhighlight><br />
cd /main/gost<br />
</syntaxhighlight>新建一个<code>gost.json</code>并进行配置<syntaxhighlight lang="json" line="1"><br />
{<br />
"services": [<br />
{<br />
"name": "https-proxy",<br />
"addr": ":56000",<br />
"handler": {<br />
"type": "http",<br />
"metadata": {<br />
"knock": "你的域名",<br />
"probeResist": "web:test-ipv6.com:80"<br />
}<br />
},<br />
"listener": {<br />
"type": "tls"<br />
}<br />
}<br />
<br />
],<br />
<br />
"tls": {<br />
"certFile": "/main/gost/cert/server.cert.pem",<br />
"keyFile": "/main/gost/cert/server.key.pem"<br />
}<br />
}<br />
</syntaxhighlight>对原配置文件进行链接<syntaxhighlight><br />
ln -f /main/gost/gost.json /etc/gost/<br />
</syntaxhighlight>重启服务<syntaxhighlight><br />
systemctl restart gost.service<br />
systemctl status gost.service<br />
</syntaxhighlight><br />
<br />
=== 5. 客户端使用 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面提到的<code>ca.cert.pem</code><br />
<br />
'''Windows:'''<br />
<br />
[[File:如何使用gost搭建HTTPS代理-1.png|frameless|421x421px]]<br />
'''Linux:''' <syntaxhighlight><br />
export https_proxy="https://你的域名:56000"<br />
</syntaxhighlight>'''其他系统设置可能不支持HTTPS代理, 仅有HTTP代理'''</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8gost%E6%90%AD%E5%BB%BAHTTPS%E4%BB%A3%E7%90%86&diff=1436
如何使用gost搭建HTTPS代理
2026-02-18T20:11:41Z
<p>Koud Wind:/* 5. 客户端使用 */</p>
<hr />
<div>有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理?<br />
<br />
有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差<br />
----<br />
<br />
=== 1. 准备 ===<br />
主要使用3.0版本<syntaxhighlight><br />
wget https://github.com/go-gost/gost/releases/download/v3.2.6/gost_3.2.6_linux_amd64.tar.gz<br />
tar -xzf gost_3.2.6_linux_amd64.tar.gz<br />
mv gost /usr/local/bin/<br />
chmod u+x /usr/local/bin/gost<br />
rm gost_3.2.6_linux_amd64.tar.gz<br />
</syntaxhighlight>可以自行更换版本, 也可以使用[https://github.com/go-gost/gost Github]上的安装脚本<br />
<br />
=== 2. 配置service ===<br />
新建一个<code>gost.service</code>并进行配置<syntaxhighlight line="1"><br />
[Unit]<br />
Description=gost<br />
After=network.target network-online.target<br />
<br />
[Service]<br />
Type=simple<br />
StandardError=journal<br />
ExecStart="/usr/local/bin/gost"<br />
ExecReload=/bin/kill -HUP $MAINPID<br />
Restart=on-failure<br />
RestartSec=1s<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
</syntaxhighlight>我们保存在<code>/main/gost/</code>为例, 建立一个软链接以方便备份与配置<syntaxhighlight><br />
ln -f /main/gost/gost.service /etc/systemd/system/<br />
</syntaxhighlight>添加到开机启动中<syntaxhighlight><br />
systemctl daemon-reload<br />
systemctl enable gost.service<br />
</syntaxhighlight><br />
<br />
=== 3. 配置证书 ===<br />
你可以选择使用自签证书或正式证书, 若'''使用正式证书且不配置代理账号密码'''会导致主机变为肉鸡, 若使用自签证书会有更好的安全性, 前提是你的自签证书没有被泄露, 这里仅展示自签证书的配置方法<syntaxhighlight><br />
mkdir /main/gost/cert<br />
cd /main/gost/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = gost<br />
CN = gost cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存<br />
<br />
执行命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=gost/CN=gost ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight><code>ca.cert.pem</code>可改为<code>.der</code>后缀以供windows系统安装<br />
<br />
查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight><br />
<br />
=== 4. 配置gost ===<br />
<syntaxhighlight><br />
cd /main/gost<br />
</syntaxhighlight>新建一个<code>gost.json</code>并进行配置<syntaxhighlight lang="json" line="1"><br />
{<br />
"services": [<br />
{<br />
"name": "https-proxy",<br />
"addr": ":56000",<br />
"handler": {<br />
"type": "http",<br />
"metadata": {<br />
"knock": "你的域名",<br />
"probeResist": "web:test-ipv6.com:80"<br />
}<br />
},<br />
"listener": {<br />
"type": "tls"<br />
}<br />
}<br />
<br />
],<br />
<br />
"tls": {<br />
"certFile": "/main/gost/cert/server.cert.pem",<br />
"keyFile": "/main/gost/cert/server.key.pem"<br />
}<br />
}<br />
</syntaxhighlight>对原配置文件进行链接<syntaxhighlight><br />
ln -f /main/gost/gost.json /etc/gost/<br />
</syntaxhighlight>重启服务<syntaxhighlight><br />
systemctl restart gost.service<br />
systemctl status gost.service<br />
</syntaxhighlight><br />
<br />
=== 5. 客户端使用 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面提到的<code>ca.cert.pem</code><br />
<br />
'''Windows:'''<br />
<br />
[[File:如何使用gost搭建HTTPS代理-1.png|frameless|421x421px]]<br />
'''Linux:''' <syntaxhighlight><br />
export https_proxy="https://你的域名:56000"<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8gost%E6%90%AD%E5%BB%BAHTTPS%E4%BB%A3%E7%90%86&diff=1435
如何使用gost搭建HTTPS代理
2026-02-18T20:11:20Z
<p>Koud Wind:创建页面,内容为“有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理? 有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差 ---- === 1. 准备 === 主要使用3.0版本<syntaxhighlight> wget htt…”</p>
<hr />
<div>有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理?<br />
<br />
有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差<br />
----<br />
<br />
=== 1. 准备 ===<br />
主要使用3.0版本<syntaxhighlight><br />
wget https://github.com/go-gost/gost/releases/download/v3.2.6/gost_3.2.6_linux_amd64.tar.gz<br />
tar -xzf gost_3.2.6_linux_amd64.tar.gz<br />
mv gost /usr/local/bin/<br />
chmod u+x /usr/local/bin/gost<br />
rm gost_3.2.6_linux_amd64.tar.gz<br />
</syntaxhighlight>可以自行更换版本, 也可以使用[https://github.com/go-gost/gost Github]上的安装脚本<br />
<br />
=== 2. 配置service ===<br />
新建一个<code>gost.service</code>并进行配置<syntaxhighlight line="1"><br />
[Unit]<br />
Description=gost<br />
After=network.target network-online.target<br />
<br />
[Service]<br />
Type=simple<br />
StandardError=journal<br />
ExecStart="/usr/local/bin/gost"<br />
ExecReload=/bin/kill -HUP $MAINPID<br />
Restart=on-failure<br />
RestartSec=1s<br />
<br />
[Install]<br />
WantedBy=multi-user.target<br />
<br />
</syntaxhighlight>我们保存在<code>/main/gost/</code>为例, 建立一个软链接以方便备份与配置<syntaxhighlight><br />
ln -f /main/gost/gost.service /etc/systemd/system/<br />
</syntaxhighlight>添加到开机启动中<syntaxhighlight><br />
systemctl daemon-reload<br />
systemctl enable gost.service<br />
</syntaxhighlight><br />
<br />
=== 3. 配置证书 ===<br />
你可以选择使用自签证书或正式证书, 若'''使用正式证书且不配置代理账号密码'''会导致主机变为肉鸡, 若使用自签证书会有更好的安全性, 前提是你的自签证书没有被泄露, 这里仅展示自签证书的配置方法<syntaxhighlight><br />
mkdir /main/gost/cert<br />
cd /main/gost/cert<br />
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1"><br />
[req]<br />
default_bits = 4096<br />
default_md = sha256<br />
distinguished_name = req_distinguished_name<br />
req_extensions = req_ext<br />
x509_extensions = v3_ca<br />
prompt = no<br />
<br />
[req_distinguished_name]<br />
O = gost<br />
CN = gost cert<br />
<br />
[req_ext]<br />
subjectAltName = @alt_names<br />
<br />
[v3_ca]<br />
subjectAltName = @alt_names<br />
basicConstraints = CA:FALSE<br />
keyUsage = digitalSignature, keyEncipherment<br />
extendedKeyUsage = serverAuth, clientAuth<br />
<br />
[alt_names]<br />
DNS.1 = 你的域名<br />
DNS.2 = 你的第二个域名<br />
</syntaxhighlight>需要设置好域名并进行保存<br />
<br />
执行命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096<br />
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=gost/CN=gost ca"<br />
<br />
openssl genrsa -out server.key.pem 4096<br />
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf<br />
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight><code>ca.cert.pem</code>可改为<code>.der</code>后缀以供windows系统安装<br />
<br />
查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight><br />
<br />
=== 4. 配置gost ===<br />
<syntaxhighlight><br />
cd /main/gost<br />
</syntaxhighlight>新建一个<code>gost.json</code>并进行配置<syntaxhighlight lang="json" line="1"><br />
{<br />
"services": [<br />
{<br />
"name": "https-proxy",<br />
"addr": ":56000",<br />
"handler": {<br />
"type": "http",<br />
"metadata": {<br />
"knock": "你的域名",<br />
"probeResist": "web:test-ipv6.com:80"<br />
}<br />
},<br />
"listener": {<br />
"type": "tls"<br />
}<br />
}<br />
<br />
],<br />
<br />
"tls": {<br />
"certFile": "/main/gost/cert/server.cert.pem",<br />
"keyFile": "/main/gost/cert/server.key.pem"<br />
}<br />
}<br />
</syntaxhighlight>对原配置文件进行链接<syntaxhighlight><br />
ln -f /main/gost/gost.json /etc/gost/<br />
</syntaxhighlight>重启服务<syntaxhighlight><br />
systemctl restart gost.service<br />
systemctl status gost.service<br />
</syntaxhighlight><br />
<br />
=== 5. 客户端使用 ===<br />
任何系统想用就必须装上'''CA证书''', 也就是上面提到的<code>ca.cert.pem</code><br />
<br />
'''Windows:'''<br />
[[File:如何使用gost搭建HTTPS代理-1.png|frameless|421x421px]]<br />
'''Linux:''' <syntaxhighlight><br />
export https_proxy="https://你的域名:56000"<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=File:%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8gost%E6%90%AD%E5%BB%BAHTTPS%E4%BB%A3%E7%90%86-1.png&diff=1434
File:如何使用gost搭建HTTPS代理-1.png
2026-02-18T20:08:14Z
<p>Koud Wind:</p>
<hr />
<div>1</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8IPv6/64%E6%AE%B5%E5%86%85%E4%BB%BB%E6%84%8F%E4%B8%80%E4%B8%AAIPv6%E5%9C%B0%E5%9D%80%E8%80%8C%E9%9D%9E%E9%BB%98%E8%AE%A4%E5%9C%B0%E5%9D%80&diff=1428
如何使用IPv6/64段内任意一个IPv6地址而非默认地址
2026-02-18T15:59:24Z
<p>Koud Wind:</p>
<hr />
<div>== 概述 ==<br />
本教程介绍如何在搬瓦工的 Linux 系统中通过配置虚拟网卡(v4tunnel),从分配的 IPv6 /64 段中自由指定并使用任意一个 IPv6 地址。<br />
<br />
== 操作步骤 ==<br />
<br />
=== 1. 清理现有网络设备 ===<br />
在开始配置前,先尝试关闭并删除可能冲突的旧设备:<syntaxhighlight>ifdown ipv6net 2>/dev/null<br />
ip link delete ipv6net 2>/dev/null</syntaxhighlight><br />
<br />
=== 2. 修改网络配置文件 ===<br />
编辑网络配置文件 <code>/etc/network/interfaces</code>,添加以下配置段。<syntaxhighlight><br />
nano /etc/network/interfaces<br />
</syntaxhighlight><syntaxhighlight>auto ipv6net<br />
iface ipv6net inet6 v4tunnel<br />
#输入你要指定的IPv6地址<br />
address 2607:8700:5501:xxxx:xxxx:xxxx:xxxx:xxxx<br />
netmask 64<br />
endpoint 207.246.106.118<br />
#输入IPv4地址<br />
local xxx.xxx.xxx.xxx<br />
ttl 255<br />
gateway 2607:8700:5501:xxxx::1<br />
mtu 1480</syntaxhighlight><br />
<br />
=== 3. 启用并验证 ===<br />
执行以下命令启用网卡并检查状态:<syntaxhighlight># 启动接口<br />
ifup ipv6net<br />
<br />
# 查看接口状态<br />
ip link show ipv6net<br />
<br />
# 验证 IPv6<br />
curl -6 ifconfig.me</syntaxhighlight><br />
<br />
=== 4. 关闭IPv6地址自动配置 ===<br />
<syntaxhighlight><br />
systemctl stop ipv6net.service <br />
systemctl disable ipv6net.service<br />
</syntaxhighlight><br />
<br />
== 注意事项 ==<br />
VPS在进行迁移或快照恢复的时候, 会重置<code>ipv6net</code>, 需要重新按照此教程进行配置</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8IPv6/64%E6%AE%B5%E5%86%85%E4%BB%BB%E6%84%8F%E4%B8%80%E4%B8%AAIPv6%E5%9C%B0%E5%9D%80%E8%80%8C%E9%9D%9E%E9%BB%98%E8%AE%A4%E5%9C%B0%E5%9D%80&diff=1427
如何使用IPv6/64段内任意一个IPv6地址而非默认地址
2026-02-18T15:57:46Z
<p>Koud Wind:</p>
<hr />
<div>== 概述 ==<br />
本教程介绍如何在搬瓦工的 Linux 系统中通过配置虚拟网卡(v4tunnel),从分配的 IPv6 /64 段中自由指定并使用任意一个 IPv6 地址。<br />
<br />
== 操作步骤 ==<br />
<br />
=== 1. 清理现有网络设备 ===<br />
在开始配置前,先尝试关闭并删除可能冲突的旧设备:<syntaxhighlight>ifdown ipv6net 2>/dev/null<br />
ip link delete ipv6net 2>/dev/null</syntaxhighlight><br />
<br />
=== 2. 修改网络配置文件 ===<br />
编辑网络配置文件 <code>/etc/network/interfaces</code>,添加以下配置段。<syntaxhighlight><br />
nano /etc/network/interfaces<br />
</syntaxhighlight><syntaxhighlight>auto ipv6net<br />
iface ipv6net inet6 v4tunnel<br />
#输入你要指定的IPv6地址<br />
address 2607:8700:5501:xxxx:xxxx:xxxx:xxxx:xxxx<br />
netmask 64<br />
endpoint 207.246.106.118<br />
#输入IPv4地址<br />
local xxx.xxx.xxx.xxx<br />
ttl 255<br />
gateway 2607:8700:5501:xxxx::1<br />
mtu 1480</syntaxhighlight><br />
<br />
=== 3. 启用并验证 ===<br />
执行以下命令启用网卡并检查状态:<syntaxhighlight># 启动接口<br />
ifup ipv6net<br />
<br />
# 查看接口状态<br />
ip link show ipv6net<br />
<br />
# 验证 IPv6<br />
curl -6 ifconfig.me</syntaxhighlight><br />
<br />
=== 4. 关闭IPv6地址自动配置 ===<br />
<syntaxhighlight><br />
systemctl stop ipv6net.service <br />
systemctl disable ipv6net.service<br />
</syntaxhighlight><br />
<br />
== 注意事项 ==<br />
VPS在进行迁移或快照恢复的时候, 会重置<code>ipv6net</code>, 需要重新按照此教程进行配置<br />
<br />
Category: [[300 VPS 设置与管理 — VPS Setup and Management]]</div>
Koud Wind
https://md5.pw/index.php?title=%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8IPv6/64%E6%AE%B5%E5%86%85%E4%BB%BB%E6%84%8F%E4%B8%80%E4%B8%AAIPv6%E5%9C%B0%E5%9D%80%E8%80%8C%E9%9D%9E%E9%BB%98%E8%AE%A4%E5%9C%B0%E5%9D%80&diff=1426
如何使用IPv6/64段内任意一个IPv6地址而非默认地址
2026-02-18T15:53:18Z
<p>Koud Wind:修正与补充</p>
<hr />
<div>== 概述 ==<br />
本教程介绍如何在搬瓦工的 Linux 系统中通过配置虚拟网卡(v4tunnel),从分配的 IPv6 /64 段中自由指定并使用任意一个 IPv6 地址。<br />
<br />
== 操作步骤 ==<br />
<br />
=== 1. 清理现有网络设备 ===<br />
在开始配置前,先尝试关闭并删除可能冲突的旧设备:<syntaxhighlight>ifdown ipv6net 2>/dev/null<br />
ip link delete ipv6net 2>/dev/null</syntaxhighlight><br />
<br />
=== 2. 修改网络配置文件 ===<br />
编辑网络配置文件 <code>/etc/network/interfaces</code>,添加以下配置段。<syntaxhighlight><br />
nano /etc/network/interfaces<br />
</syntaxhighlight><syntaxhighlight>auto ipv6net<br />
iface ipv6net inet6 v4tunnel<br />
#输入你要指定的IPv6地址<br />
address 2607:8700:5501:xxxx:xxxx:xxxx:xxxx:xxxx<br />
netmask 64<br />
endpoint 207.246.106.118<br />
#输入IPv4地址<br />
local xxx.xxx.xxx.xxx<br />
ttl 255<br />
gateway 2607:8700:5501:xxxx::1<br />
mtu 1480</syntaxhighlight><br />
<br />
=== 3. 启用并验证 ===<br />
执行以下命令启用网卡并检查状态:<syntaxhighlight># 启动接口<br />
ifup ipv6net<br />
<br />
# 查看接口状态<br />
ip link show ipv6net<br />
<br />
# 验证 IPv6<br />
curl -6 ifconfig.me</syntaxhighlight><br />
<br />
=== 4. 关闭IPv6地址自动配置 ===<br />
<syntaxhighlight><br />
systemctl stop ipv6net.service <br />
systemctl disable ipv6net.service<br />
</syntaxhighlight><br />
<br />
== 注意事项 ==<br />
VPS在进行迁移或快照恢复的时候, 会重置<code>ipv6net</code>, 需要重新按照此教程进行配置<br />
[[index.php?title=Category:300 VPS 设置与管理 — VPS Setup and Management]]</div>
Koud Wind
https://md5.pw/index.php?title=%E6%9F%A5%E7%9C%8BXray%E4%B8%AD%E5%90%84%E7%94%A8%E6%88%B7%E6%B5%81%E9%87%8F%E4%BD%BF%E7%94%A8%E6%83%85%E5%86%B5%E7%9A%84%E8%84%9A%E6%9C%AC&diff=1425
查看Xray中各用户流量使用情况的脚本
2026-02-18T15:27:45Z
<p>Koud Wind:</p>
<hr />
<div>== 预览 ==<br />
----[[File:查看Xray中各用户流量使用情况的脚本-预览1.png|alt=|frameless|1104x1104px]]<br />
----<br />
<br />
== 要求 ==<br />
Xray中需要配置, 分别开启 [https://xtls.github.io/config/stats.html 统计] / [https://xtls.github.io/config/api.html API] / [https://xtls.github.io/config/policy.html 本地策略], 且[https://xtls.github.io/config/inbounds/vless.html 用户]设置了<code>email</code>与<code>level</code><br />
<br />
'''配置参考:''' <syntaxhighlight lang="json"><br />
{<br />
"stats": {},<br />
<br />
"api": {<br />
"tag": "API",<br />
"listen": "127.0.0.1:8080",<br />
"services": [<br />
"LoggerService",<br />
"StatsService"<br />
]<br />
},<br />
<br />
"policy": {<br />
"levels": {<br />
"0": {<br />
"handshake": 5,<br />
"connIdle": 600,<br />
"statsUserUplink": true,<br />
"statsUserDownlink": true,<br />
"statsUserOnline": true<br />
}<br />
},<br />
"system": {<br />
"statsInboundUplink": true,<br />
"statsInboundDownlink": true<br />
}<br />
}<br />
}<br />
</syntaxhighlight>'''用户配置参考:'''<syntaxhighlight lang="json"><br />
{<br />
"id": "UserId123456",<br />
"email": "易于标识的名称",<br />
"level": 0<br />
}<br />
</syntaxhighlight><br />
----<br />
<br />
== 内容 ==<br />
<syntaxhighlight lang="bash"><br />
#!/usr/bin/env bash<br />
set -euo pipefail<br />
<br />
XRAY_BIN="${XRAY_BIN:-xray}"<br />
# 自行修改 Xray API 地址<br />
SERVER="${1:-127.0.0.1:8080}"<br />
<br />
declare -A IN_UP IN_DOWN IN_TOTAL<br />
declare -A U_UP U_DOWN U_TOTAL<br />
declare -A USERSET<br />
<br />
bytes_to_gb() {<br />
local b="${1-}"<br />
if [[ -z "${b}" ]]; then<br />
echo "null"<br />
return 0<br />
fi<br />
awk -v b="${b}" 'BEGIN{printf "%.3f", b/1024/1024/1024}'<br />
}<br />
<br />
normalize_stats_objects() {<br />
tr -d '\n\r\t ' \<br />
| grep -oE '\{"name":"[^"]+","value":[0-9]+\}'<br />
}<br />
<br />
extract_field() {<br />
local obj="$1"<br />
local key="$2"<br />
echo "$obj" | sed -nE "s/.*\"${key}\":\"?([^\",}]*)\"?.*/\1/p"<br />
}<br />
<br />
accumulate_stats() {<br />
local stats_json="$1"<br />
local line name value kind tag dir email<br />
<br />
while IFS= read -r line; do<br />
[[ -z "$line" ]] && continue<br />
<br />
name="$(extract_field "$line" "name")"<br />
[[ -z "$name" ]] && continue<br />
<br />
value="$(echo "$line" | sed -nE 's/.*"value":([0-9]+).*/\1/p')"<br />
value="${value:-0}"<br />
<br />
kind="$(awk -F'>>>' '{print $1}' <<<"$name")"<br />
<br />
if [[ "$kind" == "inbound" ]]; then<br />
tag="$(awk -F'>>>' '{print $2}' <<<"$name")"<br />
dir="$(awk -F'>>>' '{print $4}' <<<"$name")"<br />
<br />
if [[ "$dir" == "uplink" ]]; then<br />
IN_UP["$tag"]=$(( ${IN_UP["$tag"]:-0} + value ))<br />
elif [[ "$dir" == "downlink" ]]; then<br />
IN_DOWN["$tag"]=$(( ${IN_DOWN["$tag"]:-0} + value ))<br />
fi<br />
IN_TOTAL["$tag"]=$(( ${IN_TOTAL["$tag"]:-0} + value ))<br />
<br />
elif [[ "$kind" == "user" ]]; then<br />
email="$(awk -F'>>>' '{print $2}' <<<"$name")"<br />
dir="$(awk -F'>>>' '{print $4}' <<<"$name")"<br />
<br />
USERSET["$email"]=1<br />
<br />
if [[ "$dir" == "uplink" ]]; then<br />
U_UP["$email"]=$(( ${U_UP["$email"]:-0} + value ))<br />
elif [[ "$dir" == "downlink" ]]; then<br />
U_DOWN["$email"]=$(( ${U_DOWN["$email"]:-0} + value ))<br />
fi<br />
U_TOTAL["$email"]=$(( ${U_TOTAL["$email"]:-0} + value ))<br />
fi<br />
done < <(echo "$stats_json" | normalize_stats_objects)<br />
}<br />
<br />
query_online_ips() {<br />
local email="$1"<br />
local out pairs status<br />
<br />
out="$("$XRAY_BIN" api statsonlineiplist -s="$SERVER" -email "$email" 2>/dev/null || true)"<br />
<br />
pairs="$(echo "$out" | tr -d '\n\r\t ' \<br />
| grep -oE '"([0-9]{1,3}\.){3}[0-9]{1,3}":[0-9]+' \<br />
| sed -E 's/"//g' \<br />
| awk -F: '{<br />
ip=$1<br />
ts=$2<br />
cmd="TZ=Asia/Shanghai date -d @"ts" \"+%Y-%m-%d %H:%M:%S\""<br />
cmd | getline t<br />
close(cmd)<br />
printf "%s(%s) ", ip, t<br />
}' \<br />
| sed -E 's/[[:space:]]+$//')"<br />
<br />
if [[ -n "$pairs" ]]; then<br />
status="ONLINE"<br />
echo "$status"<br />
echo "$pairs"<br />
else<br />
echo "OFFLINE"<br />
echo "-"<br />
fi<br />
}<br />
<br />
main() {<br />
local stats_json<br />
stats_json="$("$XRAY_BIN" api statsquery --server="$SERVER" 2>/dev/null || true)"<br />
#echo "$stats_json"<br />
<br />
if [[ -z "$stats_json" ]]; then<br />
echo "Server: $SERVER"<br />
echo "Unit: GB, bytes divided by 1024^3"<br />
echo<br />
echo "Inbound traffic"<br />
printf "%-22s %14s %14s %14s\n" "tag" "uplink_GB" "downlink_GB" "total_GB"<br />
echo<br />
echo "User traffic and online status"<br />
printf "%-24s %14s %14s %14s %8s %s\n" "email" "uplink_GB" "downlink_GB" "total_GB" "status" "ips"<br />
exit 0<br />
fi<br />
<br />
accumulate_stats "$stats_json"<br />
<br />
echo "Server: $SERVER"<br />
echo "Unit: GB, bytes divided by 1024^3"<br />
echo<br />
<br />
echo "Inbound traffic"<br />
printf "%-22s %14s %14s %14s\n" "tag" "uplink_GB" "downlink_GB" "total_GB"<br />
<br />
{<br />
for tag in "${!IN_TOTAL[@]}"; do<br />
echo "$tag"<br />
done<br />
} | sort | while IFS= read -r tag; do<br />
local up down total up_s down_s total_s<br />
<br />
if [[ -v IN_UP["$tag"] ]]; then up="${IN_UP["$tag"]}"; else up=""; fi<br />
if [[ -v IN_DOWN["$tag"] ]]; then down="${IN_DOWN["$tag"]}"; else down=""; fi<br />
if [[ -v IN_TOTAL["$tag"] ]]; then total="${IN_TOTAL["$tag"]}"; else total=""; fi<br />
<br />
up_s="$(bytes_to_gb "$up")"<br />
down_s="$(bytes_to_gb "$down")"<br />
total_s="$(bytes_to_gb "$total")"<br />
<br />
printf "%-22s %14s %14s %14s\n" "$tag" "$up_s" "$down_s" "$total_s"<br />
done<br />
<br />
echo<br />
echo "User traffic and online status"<br />
printf "%-24s %14s %14s %14s %8s %s\n" "email" "uplink_GB" "downlink_GB" "total_GB" "status" "ips"<br />
<br />
{<br />
for email in "${!USERSET[@]}"; do<br />
echo "$email"<br />
done<br />
} | sort | while IFS= read -r email; do<br />
local up down total up_s down_s total_s status ips<br />
local qout<br />
<br />
if [[ -v U_UP["$email"] ]]; then up="${U_UP["$email"]}"; else up=""; fi<br />
if [[ -v U_DOWN["$email"] ]]; then down="${U_DOWN["$email"]}"; else down=""; fi<br />
if [[ -v U_TOTAL["$email"] ]]; then total="${U_TOTAL["$email"]}"; else total=""; fi<br />
<br />
up_s="$(bytes_to_gb "$up")"<br />
down_s="$(bytes_to_gb "$down")"<br />
total_s="$(bytes_to_gb "$total")"<br />
<br />
qout="$(query_online_ips "$email")"<br />
status="$(sed -n '1p' <<<"$qout")"<br />
ips="$(sed -n '2p' <<<"$qout")"<br />
<br />
printf "%-24s %14s %14s %14s %8s %s\n" \<br />
"$email" "$up_s" "$down_s" "$total_s" "$status" "$ips"<br />
done<br />
}<br />
<br />
main "$@"<br />
</syntaxhighlight>'''推荐配置定时任务:'''<syntaxhighlight line="1"><br />
TZ=Asia/Shanghai<br />
# 每月8号早上7点重置统计信息<br />
0 7 8 * * /usr/local/bin/xray api statsquery -s=127.0.0.1:8080 -reset=true >/dev/null 2>&1<br />
# 每天早上7点重启日志记录器<br />
0 7 * * * /usr/local/bin/xray api restartlogger -s=127.0.0.1:8080<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E6%9F%A5%E7%9C%8BXray%E4%B8%AD%E5%90%84%E7%94%A8%E6%88%B7%E6%B5%81%E9%87%8F%E4%BD%BF%E7%94%A8%E6%83%85%E5%86%B5%E7%9A%84%E8%84%9A%E6%9C%AC&diff=1424
查看Xray中各用户流量使用情况的脚本
2026-02-18T15:18:33Z
<p>Koud Wind:创建页面,内容为“== 预览 == ----1104x1104px ---- == 要求 == Xray中需要配置, 分别开启 [https://xtls.github.io/config/stats.html 统计] / [https://xtls.github.io/config/api.html API] / [https://xtls.github.io/config/policy.html 本地策略], 且[https://xtls.github.io/config/inbounds/vless.html 用户]设置了<code>email</code>与<code>level</code> '''配置参考:''' <syntaxhi…”</p>
<hr />
<div>== 预览 ==<br />
----[[File:查看Xray中各用户流量使用情况的脚本-预览1.png|alt=|frameless|1104x1104px]]<br />
----<br />
<br />
== 要求 ==<br />
Xray中需要配置, 分别开启 [https://xtls.github.io/config/stats.html 统计] / [https://xtls.github.io/config/api.html API] / [https://xtls.github.io/config/policy.html 本地策略], 且[https://xtls.github.io/config/inbounds/vless.html 用户]设置了<code>email</code>与<code>level</code><br />
<br />
'''配置参考:''' <syntaxhighlight lang="json"><br />
{<br />
"stats": {},<br />
<br />
"api": {<br />
"tag": "API",<br />
"listen": "127.0.0.1:8080",<br />
"services": [<br />
"LoggerService",<br />
"StatsService"<br />
]<br />
},<br />
<br />
"policy": {<br />
"levels": {<br />
"0": {<br />
"handshake": 5,<br />
"connIdle": 600,<br />
"statsUserUplink": true,<br />
"statsUserDownlink": true,<br />
"statsUserOnline": true<br />
}<br />
},<br />
"system": {<br />
"statsInboundUplink": true,<br />
"statsInboundDownlink": true<br />
}<br />
}<br />
}<br />
</syntaxhighlight>'''用户配置参考:'''<syntaxhighlight lang="json"><br />
{<br />
"id": "UserId123456",<br />
"email": "易于标识的名称",<br />
"level": 0<br />
}<br />
</syntaxhighlight><br />
----<br />
<br />
== 内容 ==<br />
<syntaxhighlight lang="bash"><br />
#!/usr/bin/env bash<br />
set -euo pipefail<br />
<br />
XRAY_BIN="${XRAY_BIN:-xray}"<br />
# 自行修改 Xray API 地址<br />
SERVER="${1:-127.0.0.1:8080}"<br />
<br />
declare -A IN_UP IN_DOWN IN_TOTAL<br />
declare -A U_UP U_DOWN U_TOTAL<br />
declare -A USERSET<br />
<br />
bytes_to_gb() {<br />
local b="${1-}"<br />
if [[ -z "${b}" ]]; then<br />
echo "null"<br />
return 0<br />
fi<br />
awk -v b="${b}" 'BEGIN{printf "%.3f", b/1024/1024/1024}'<br />
}<br />
<br />
normalize_stats_objects() {<br />
tr -d '\n\r\t ' \<br />
| grep -oE '\{"name":"[^"]+","value":[0-9]+\}'<br />
}<br />
<br />
extract_field() {<br />
local obj="$1"<br />
local key="$2"<br />
echo "$obj" | sed -nE "s/.*\"${key}\":\"?([^\",}]*)\"?.*/\1/p"<br />
}<br />
<br />
accumulate_stats() {<br />
local stats_json="$1"<br />
local line name value kind tag dir email<br />
<br />
while IFS= read -r line; do<br />
[[ -z "$line" ]] && continue<br />
<br />
name="$(extract_field "$line" "name")"<br />
[[ -z "$name" ]] && continue<br />
<br />
value="$(echo "$line" | sed -nE 's/.*"value":([0-9]+).*/\1/p')"<br />
value="${value:-0}"<br />
<br />
kind="$(awk -F'>>>' '{print $1}' <<<"$name")"<br />
<br />
if [[ "$kind" == "inbound" ]]; then<br />
tag="$(awk -F'>>>' '{print $2}' <<<"$name")"<br />
dir="$(awk -F'>>>' '{print $4}' <<<"$name")"<br />
<br />
if [[ "$dir" == "uplink" ]]; then<br />
IN_UP["$tag"]=$(( ${IN_UP["$tag"]:-0} + value ))<br />
elif [[ "$dir" == "downlink" ]]; then<br />
IN_DOWN["$tag"]=$(( ${IN_DOWN["$tag"]:-0} + value ))<br />
fi<br />
IN_TOTAL["$tag"]=$(( ${IN_TOTAL["$tag"]:-0} + value ))<br />
<br />
elif [[ "$kind" == "user" ]]; then<br />
email="$(awk -F'>>>' '{print $2}' <<<"$name")"<br />
dir="$(awk -F'>>>' '{print $4}' <<<"$name")"<br />
<br />
USERSET["$email"]=1<br />
<br />
if [[ "$dir" == "uplink" ]]; then<br />
U_UP["$email"]=$(( ${U_UP["$email"]:-0} + value ))<br />
elif [[ "$dir" == "downlink" ]]; then<br />
U_DOWN["$email"]=$(( ${U_DOWN["$email"]:-0} + value ))<br />
fi<br />
U_TOTAL["$email"]=$(( ${U_TOTAL["$email"]:-0} + value ))<br />
fi<br />
done < <(echo "$stats_json" | normalize_stats_objects)<br />
}<br />
<br />
query_online_ips() {<br />
local email="$1"<br />
local out pairs status<br />
<br />
out="$("$XRAY_BIN" api statsonlineiplist -s="$SERVER" -email "$email" 2>/dev/null || true)"<br />
<br />
pairs="$(echo "$out" | tr -d '\n\r\t ' \<br />
| grep -oE '"([0-9]{1,3}\.){3}[0-9]{1,3}":[0-9]+' \<br />
| sed -E 's/"//g' \<br />
| awk -F: '{<br />
ip=$1<br />
ts=$2<br />
cmd="TZ=Asia/Shanghai date -d @"ts" \"+%Y-%m-%d %H:%M:%S\""<br />
cmd | getline t<br />
close(cmd)<br />
printf "%s(%s) ", ip, t<br />
}' \<br />
| sed -E 's/[[:space:]]+$//')"<br />
<br />
if [[ -n "$pairs" ]]; then<br />
status="ONLINE"<br />
echo "$status"<br />
echo "$pairs"<br />
else<br />
echo "OFFLINE"<br />
echo "-"<br />
fi<br />
}<br />
<br />
main() {<br />
local stats_json<br />
stats_json="$("$XRAY_BIN" api statsquery --server="$SERVER" 2>/dev/null || true)"<br />
#echo "$stats_json"<br />
<br />
if [[ -z "$stats_json" ]]; then<br />
echo "Server: $SERVER"<br />
echo "Unit: GB, bytes divided by 1024^3"<br />
echo<br />
echo "Inbound traffic"<br />
printf "%-22s %14s %14s %14s\n" "tag" "uplink_GB" "downlink_GB" "total_GB"<br />
echo<br />
echo "User traffic and online status"<br />
printf "%-24s %14s %14s %14s %8s %s\n" "email" "uplink_GB" "downlink_GB" "total_GB" "status" "ips"<br />
exit 0<br />
fi<br />
<br />
accumulate_stats "$stats_json"<br />
<br />
echo "Server: $SERVER"<br />
echo "Unit: GB, bytes divided by 1024^3"<br />
echo<br />
<br />
echo "Inbound traffic"<br />
printf "%-22s %14s %14s %14s\n" "tag" "uplink_GB" "downlink_GB" "total_GB"<br />
<br />
{<br />
for tag in "${!IN_TOTAL[@]}"; do<br />
echo "$tag"<br />
done<br />
} | sort | while IFS= read -r tag; do<br />
local up down total up_s down_s total_s<br />
<br />
if [[ -v IN_UP["$tag"] ]]; then up="${IN_UP["$tag"]}"; else up=""; fi<br />
if [[ -v IN_DOWN["$tag"] ]]; then down="${IN_DOWN["$tag"]}"; else down=""; fi<br />
if [[ -v IN_TOTAL["$tag"] ]]; then total="${IN_TOTAL["$tag"]}"; else total=""; fi<br />
<br />
up_s="$(bytes_to_gb "$up")"<br />
down_s="$(bytes_to_gb "$down")"<br />
total_s="$(bytes_to_gb "$total")"<br />
<br />
printf "%-22s %14s %14s %14s\n" "$tag" "$up_s" "$down_s" "$total_s"<br />
done<br />
<br />
echo<br />
echo "User traffic and online status"<br />
printf "%-24s %14s %14s %14s %8s %s\n" "email" "uplink_GB" "downlink_GB" "total_GB" "status" "ips"<br />
<br />
{<br />
for email in "${!USERSET[@]}"; do<br />
echo "$email"<br />
done<br />
} | sort | while IFS= read -r email; do<br />
local up down total up_s down_s total_s status ips<br />
local qout<br />
<br />
if [[ -v U_UP["$email"] ]]; then up="${U_UP["$email"]}"; else up=""; fi<br />
if [[ -v U_DOWN["$email"] ]]; then down="${U_DOWN["$email"]}"; else down=""; fi<br />
if [[ -v U_TOTAL["$email"] ]]; then total="${U_TOTAL["$email"]}"; else total=""; fi<br />
<br />
up_s="$(bytes_to_gb "$up")"<br />
down_s="$(bytes_to_gb "$down")"<br />
total_s="$(bytes_to_gb "$total")"<br />
<br />
qout="$(query_online_ips "$email")"<br />
status="$(sed -n '1p' <<<"$qout")"<br />
ips="$(sed -n '2p' <<<"$qout")"<br />
<br />
printf "%-24s %14s %14s %14s %8s %s\n" \<br />
"$email" "$up_s" "$down_s" "$total_s" "$status" "$ips"<br />
done<br />
}<br />
<br />
main "$@"<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=File:%E6%9F%A5%E7%9C%8BXray%E4%B8%AD%E5%90%84%E7%94%A8%E6%88%B7%E6%B5%81%E9%87%8F%E4%BD%BF%E7%94%A8%E6%83%85%E5%86%B5%E7%9A%84%E8%84%9A%E6%9C%AC-%E9%A2%84%E8%A7%881.png&diff=1421
File:查看Xray中各用户流量使用情况的脚本-预览1.png
2026-02-18T14:56:42Z
<p>Koud Wind:</p>
<hr />
<div>1</div>
Koud Wind
https://md5.pw/index.php?title=%E4%BD%BF%E7%94%A8nftables%E9%A2%84%E9%98%B2%E8%A2%AB%E7%AB%AF%E5%8F%A3%E6%89%AB%E6%8F%8F&diff=1418
使用nftables预防被端口扫描
2026-02-18T13:18:21Z
<p>Koud Wind:/* 3. 配置 */</p>
<hr />
<div>我想很多人有这样的困惑, 明明自己改了默认端口, 一看日志, 仍然还有陌生IP在对端口进行暴力破解, 即便是上了类似Fail2ban这种防护工具, 日志里陌生IP的记录也永远不会消停; 想上白名单, 但每次自己的IP变了之后, 还要再手动加进白名单里, 比较麻烦. <br />
<br />
这时候, 我们就可以用 <code>nftables</code> 自动拉黑那些尝试扫描端口的陌生IP. <br />
----<br />
<br />
=== 1. 准备 ===<br />
确保 nftables 已经安装<syntaxhighlight><br />
nft --version<br />
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight><br />
apt update<br />
apt install nftables<br />
systemctl enable nftables<br />
</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code><br />
----<br />
<br />
=== 2. 基础策略 ===<br />
如果你之前配置过nftables, 那就在原有基础上进行新增或合并<br />
<br />
现在假设我不希望ssh端口被扫中, 默认的22端口肯定不得使用, 需要将ssh端口开放到一个'''没有任何协议所使用的的默认端口上''' (比如ssh开放到80端口)<br />
<br />
一般的陌生IP暴力破解一个端口, 需要先进行网络嗅探, 陌生IP可以自行扫描获取端口协议, 也可以使用其他平台公示的端口, 端口扫描器肯定优先扫描一些协议的默认端口, 绝对不能使用这些<br />
<br />
端口扫描器扫完常见协议的端口, 之后大部分只会按照端口顺序进行扫描, 但这样基本上是不可能扫中的, 只有随机顺序扫描才有可能扫中<br />
<br />
=== 3. 配置 ===<br />
这里以ssh开放在46端口为例<br />
<br />
我们可以分成两种方式: <br />
<br />
* 设立陷阱端口, 只有尝试建立连接时才会封禁, 推荐设为一些协议的默认端口, 误封概率适中<br />
<syntaxhighlight>table inet prevent_scanning {<br />
set tmp_blacklist_ipv4 {<br />
type ipv4_addr<br />
flags timeout<br />
# 封禁时间<br />
timeout 30m<br />
}<br />
<br />
set tmp_blacklist_ipv6 {<br />
type ipv6_addr<br />
flags timeout<br />
timeout 20m<br />
}<br />
<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
# 放行本地/已建立/相关的连接<br />
iif lo accept;<br />
ct state established,related accept;<br />
<br />
# 不希望被ping到可以注释掉<br />
ip protocol icmp accept;<br />
ip6 nexthdr ipv6-icmp accept;<br />
<br />
<br />
ip saddr @tmp_blacklist_ipv4 drop;<br />
ip6 saddr @tmp_blacklist_ipv6 drop;<br />
<br />
# 放行后不会往后执行<br />
tcp dport { 46 } ct state new accept;<br />
<br />
# 自行配置陷阱端口<br />
tcp dport { 1-25, 3300-3500, 6379, 8080 } ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;<br />
tcp dport { 1-25, 3300-3500, 6379, 8080 } ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;<br />
udp dport { 50-70, 110-170, 514, 1194, 5353 } ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;<br />
udp dport { 50-70, 110-170, 514, 1194, 5353 } ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;<br />
}<br />
}</syntaxhighlight><br />
<br />
* 任何端口没被放行后, 直接拉黑, 端口被扫中的概率最低, 但误封率较高 (比如不小心访问到80端口)<br />
<syntaxhighlight line="1" start="0">table inet prevent_scanning {<br />
set tmp_blacklist_ipv4 {<br />
type ipv4_addr<br />
flags timeout<br />
timeout 30m<br />
}<br />
<br />
set tmp_blacklist_ipv6 {<br />
type ipv6_addr<br />
flags timeout<br />
timeout 20m<br />
}<br />
<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
iif lo accept;<br />
ct state established,related accept;<br />
<br />
# 不希望被ping到可以注释掉<br />
ip protocol icmp accept;<br />
ip6 nexthdr ipv6-icmp accept;<br />
<br />
<br />
ip saddr @tmp_blacklist_ipv4 drop;<br />
ip6 saddr @tmp_blacklist_ipv6 drop;<br />
<br />
tcp dport { 46 } ct state new accept;<br />
<br />
ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;<br />
ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;<br />
}<br />
}</syntaxhighlight><br />
<br />
=== 4. 完成配置 ===<br />
根据自己的喜好进行调整后保存, 重启<syntaxhighlight><br />
systemctl restart nftables.service<br />
</syntaxhighlight>查看封禁了哪些IP<syntaxhighlight><br />
nft list set inet prevent_scanning tmp_blacklist_ipv4<br />
nft list set inet prevent_scanning tmp_blacklist_ipv6<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E4%BD%BF%E7%94%A8nftables%E9%A2%84%E9%98%B2%E8%A2%AB%E7%AB%AF%E5%8F%A3%E6%89%AB%E6%8F%8F&diff=1417
使用nftables预防被端口扫描
2026-02-18T13:13:58Z
<p>Koud Wind:</p>
<hr />
<div>我想很多人有这样的困惑, 明明自己改了默认端口, 一看日志, 仍然还有陌生IP在对端口进行暴力破解, 即便是上了类似Fail2ban这种防护工具, 日志里陌生IP的记录也永远不会消停; 想上白名单, 但每次自己的IP变了之后, 还要再手动加进白名单里, 比较麻烦. <br />
<br />
这时候, 我们就可以用 <code>nftables</code> 自动拉黑那些尝试扫描端口的陌生IP. <br />
----<br />
<br />
=== 1. 准备 ===<br />
确保 nftables 已经安装<syntaxhighlight><br />
nft --version<br />
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight><br />
apt update<br />
apt install nftables<br />
systemctl enable nftables<br />
</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code><br />
----<br />
<br />
=== 2. 基础策略 ===<br />
如果你之前配置过nftables, 那就在原有基础上进行新增或合并<br />
<br />
现在假设我不希望ssh端口被扫中, 默认的22端口肯定不得使用, 需要将ssh端口开放到一个'''没有任何协议所使用的的默认端口上''' (比如ssh开放到80端口)<br />
<br />
一般的陌生IP暴力破解一个端口, 需要先进行网络嗅探, 陌生IP可以自行扫描获取端口协议, 也可以使用其他平台公示的端口, 端口扫描器肯定优先扫描一些协议的默认端口, 绝对不能使用这些<br />
<br />
端口扫描器扫完常见协议的端口, 之后大部分只会按照端口顺序进行扫描, 但这样基本上是不可能扫中的, 只有随机顺序扫描才有可能扫中<br />
<br />
=== 3. 配置 ===<br />
这里以ssh开放在46端口为例<br />
<br />
我们可以分成两种方式: <br />
<br />
* 设立陷阱端口, 只有尝试建立连接时才会封禁, 推荐设为一些协议的默认端口, 误封概率适中<br />
<syntaxhighlight>table inet prevent_scanning {<br />
set tmp_blacklist_ipv4 {<br />
type ipv4_addr<br />
flags timeout<br />
# 封禁时间<br />
timeout 30m<br />
}<br />
<br />
set tmp_blacklist_ipv6 {<br />
type ipv6_addr<br />
flags timeout<br />
timeout 20m<br />
}<br />
<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
iif lo accept;<br />
ct state established,related accept;<br />
<br />
# 不希望被ping到可以注释掉<br />
ip protocol icmp accept;<br />
ip6 nexthdr ipv6-icmp accept;<br />
<br />
<br />
ip saddr @tmp_blacklist_ipv4 drop;<br />
ip6 saddr @tmp_blacklist_ipv6 drop;<br />
<br />
# 放行后不会往后执行<br />
tcp dport { 46 } ct state new accept;<br />
<br />
# 自行配置陷阱端口<br />
tcp dport { 1-25, 3300-3500, 6379, 8080 } ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;<br />
tcp dport { 1-25, 3300-3500, 6379, 8080 } ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;<br />
udp dport { 50-70, 110-170, 514, 1194, 5353 } ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;<br />
udp dport { 50-70, 110-170, 514, 1194, 5353 } ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;<br />
}<br />
}</syntaxhighlight><br />
<br />
* 任何端口没被放行后, 直接拉黑, 端口被扫中的概率最低, 但误封率较高 (比如不小心访问到80端口)<br />
<syntaxhighlight line="1" start="0">table inet prevent_scanning {<br />
set tmp_blacklist_ipv4 {<br />
type ipv4_addr<br />
flags timeout<br />
timeout 30m<br />
}<br />
<br />
set tmp_blacklist_ipv6 {<br />
type ipv6_addr<br />
flags timeout<br />
timeout 20m<br />
}<br />
<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
iif lo accept;<br />
ct state established,related accept;<br />
<br />
# 不希望被ping到可以注释掉<br />
ip protocol icmp accept;<br />
ip6 nexthdr ipv6-icmp accept;<br />
<br />
<br />
ip saddr @tmp_blacklist_ipv4 drop;<br />
ip6 saddr @tmp_blacklist_ipv6 drop;<br />
<br />
tcp dport { 46 } ct state new accept;<br />
<br />
ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;<br />
ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;<br />
}<br />
}</syntaxhighlight><br />
<br />
=== 4. 完成配置 ===<br />
根据自己的喜好进行调整后保存, 重启<syntaxhighlight><br />
systemctl restart nftables.service<br />
</syntaxhighlight>查看封禁了哪些IP<syntaxhighlight><br />
nft list set inet prevent_scanning tmp_blacklist_ipv4<br />
nft list set inet prevent_scanning tmp_blacklist_ipv6<br />
</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=%E4%BD%BF%E7%94%A8nftables%E9%A2%84%E9%98%B2%E8%A2%AB%E7%AB%AF%E5%8F%A3%E6%89%AB%E6%8F%8F&diff=1416
使用nftables预防被端口扫描
2026-02-18T13:05:07Z
<p>Koud Wind:创建页面,内容为“我想很多人有这样的困惑, 明明自己改了默认端口, 一看日志, 仍然还有陌生IP在对端口进行暴力破解, 即便是上了类似Fail2ban这种防护工具, 日志里陌生IP的记录也永远不会消停; 想上白名单, 但每次自己的IP变了之后, 还要再手动加进白名单里, 比较麻烦. 这时候, 我们就可以用 <code>nftables</code> 自动拉黑那些尝试扫描端口的陌生IP. ---- === 1. 准备 === 确保…”</p>
<hr />
<div>我想很多人有这样的困惑, 明明自己改了默认端口, 一看日志, 仍然还有陌生IP在对端口进行暴力破解, 即便是上了类似Fail2ban这种防护工具, 日志里陌生IP的记录也永远不会消停; 想上白名单, 但每次自己的IP变了之后, 还要再手动加进白名单里, 比较麻烦. <br />
<br />
这时候, 我们就可以用 <code>nftables</code> 自动拉黑那些尝试扫描端口的陌生IP. <br />
----<br />
<br />
=== 1. 准备 ===<br />
确保 nftables 已经安装<syntaxhighlight><br />
nft --version<br />
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight><br />
apt update<br />
apt install nftables<br />
systemctl enable nftables<br />
</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/<br />
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code><br />
----<br />
<br />
=== 2. 基础策略 ===<br />
如果你之前配置过nftables, 那就在原有基础上进行新增或合并<br />
<br />
现在假设我不希望ssh端口被扫中, 默认的22端口肯定不得使用, 需要将ssh端口开放到一个'''没有任何协议所使用的的默认端口上''' (比如ssh开放到80端口)<br />
<br />
一般的陌生IP暴力破解一个端口, 需要先进行网络嗅探, 陌生IP可以自行扫描获取端口协议, 也可以使用其他平台公示的端口, 端口扫描器肯定优先扫描一些协议的默认端口, 绝对不能使用这些<br />
<br />
端口扫描器扫完常见协议的端口, 之后大部分只会按照端口顺序进行扫描, 但这样基本上是不可能扫中的, 只有随机顺序扫描才有可能扫中<br />
<br />
=== 3. 配置 ===<br />
这里以ssh开放在46端口为例<br />
<br />
我们可以分成两种方式: <br />
<br />
* 设立陷阱端口, 只有尝试建立连接时才会封禁, 推荐设为一些协议的默认端口, 误封概率适中<br />
<syntaxhighlight><br />
table inet prevent_scanning {<br />
set tmp_blacklist_ipv4 {<br />
type ipv4_addr<br />
flags timeout<br />
# 封禁时间<br />
timeout 30m<br />
}<br />
<br />
set tmp_blacklist_ipv6 {<br />
type ipv6_addr<br />
flags timeout<br />
timeout 20m<br />
}<br />
<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
iif lo accept;<br />
ct state established,related accept;<br />
<br />
# 不希望被ping到可以注释掉<br />
ip protocol icmp accept;<br />
ip6 nexthdr ipv6-icmp accept;<br />
<br />
<br />
ip saddr @tmp_blacklist_ipv4 drop;<br />
ip6 saddr @tmp_blacklist_ipv6 drop;<br />
<br />
# 放行后不会往后执行<br />
tcp dport { 46 } ct state new accept;<br />
<br />
# 自行配置陷阱端口<br />
tcp dport { 1-25, 3300-3500, 6379, 8080 } ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;<br />
tcp dport { 1-25, 3300-3500, 6379, 8080 } ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;<br />
udp dport { 50-70, 110-170, 514, 1194, 5353 } ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;<br />
udp dport { 50-70, 110-170, 514, 1194, 5353 } ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;<br />
}<br />
}<br />
</syntaxhighlight><br />
<br />
* 任何端口没被放行后, 直接拉黑, 端口被扫中的概率最低, 但误封率较高 (比如不小心访问到80端口)<br />
<syntaxhighlight line="1" start="0">table inet prevent_scanning {<br />
set tmp_blacklist_ipv4 {<br />
type ipv4_addr<br />
flags timeout<br />
timeout 30m<br />
}<br />
<br />
set tmp_blacklist_ipv6 {<br />
type ipv6_addr<br />
flags timeout<br />
timeout 20m<br />
}<br />
<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
iif lo accept;<br />
ct state established,related accept;<br />
<br />
# 不希望被ping到可以注释掉<br />
ip protocol icmp accept;<br />
ip6 nexthdr ipv6-icmp accept;<br />
<br />
<br />
ip saddr @tmp_blacklist_ipv4 drop;<br />
ip6 saddr @tmp_blacklist_ipv6 drop;<br />
<br />
tcp dport { 46 } ct state new accept;<br />
<br />
ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;<br />
ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;<br />
}<br />
}</syntaxhighlight></div>
Koud Wind
https://md5.pw/index.php?title=User:Koud_Wind&diff=1391
User:Koud Wind
2026-02-13T05:55:36Z
<p>Koud Wind:清空全部内容</p>
<hr />
<div></div>
Koud Wind