k8s离线安装部署

在 Kubernetes（K8s）离线环境中进行安装和部署需要一些准备工作，因为无法直接使用在线的包管理工具和镜像仓库。以下是一个详细的步骤指南，帮助你在离线环境中成功部署 Kubernetes 集群。

前提条件

硬件要求：
- 至少 1 台控制平面节点（推荐 3 台以实现高可用性）。
- 至少 2 台工作节点（根据需求扩展）。
- 每个节点至少 2 核 CPU 和 2 GB 内存（推荐更多资源）。
操作系统：
- 推荐使用 Ubuntu 18.04+、CentOS 7 或其他主流 Linux 发行版。
网络配置：
- 节点之间网络互通，且防火墙规则允许必要的端口通信。
- 确保所有节点的时间同步（推荐使用 NTP）。
离线资源准备：
- 下载 Kubernetes 组件二进制文件。
- 获取所需的 Docker 镜像并保存为 tar 文件。
- 准备 etcd、CNI 插件（如 Calico、Flannel）等相关组件的离线包。

步骤一：准备工作节点

1.1 更新系统并安装基础工具

在所有节点上执行以下命令：

bashsudo apt-get update && sudo apt-get upgrade -y
sudo apt-get install -y apt-transport-https ca-certificates curl gnupg lsb-release

对于 CentOS：

bashsudo yum update -y
sudo yum install -y epel-release
sudo yum install -y vim wget curl git

1.2 安装 Docker 或容器运行时

Kubernetes 需要一个容器运行时，Docker 是最常用的选择之一。

安装 Docker（以 Ubuntu 为例）：

bashsudo apt-get install -y docker.io
sudo systemctl enable docker
sudo systemctl start docker

验证 Docker 安装：

bashdocker --version

1.3 禁用交换分区

Kubernetes 对交换分区的使用有限制，建议禁用交换分区。

bashsudo swapoff -a
sudo sed -i '/swap/d' /etc/fstab

步骤二：准备离线安装包

2.1 下载 Kubernetes 组件二进制文件

在一台有网络的机器上下载所需版本的 Kubernetes 二进制文件：

bashcurl -LO "https://dl.k8s.io/v1.26.0/kubernetes-server-linux-amd64.tar.gz"
tar -zxvf kubernetes-server-linux-amd64.tar.gz

将解压后的 kubelet、kubectl 和 kubeadm 二进制文件复制到所有节点的 /usr/local/bin/ 目录下，并赋予执行权限。

bashsudo cp kubelet kubectl kubeadm /usr/local/bin/
sudo chmod +x /usr/local/bin/kubelet /usr/local/bin/kubectl /usr/local/bin/kubeadm

2.2 获取并保存 Docker 镜像

在有网络的机器上拉取所需的 Kubernetes 镜像，并保存为 tar 文件：

bashkubeadm config images list --kubernetes-version v1.26.0

根据输出结果，逐个拉取镜像并保存：

bashdocker pull k8s.gcr.io/kube-apiserver:v1.26.0
docker pull k8s.gcr.io/kube-controller-manager:v1.26.0
docker pull k8s.gcr.io/kube-scheduler:v1.26.0
docker pull k8s.gcr.io/kube-proxy:v1.26.0
docker pull k8s.gcr.io/pause:3.6
docker pull k8s.gcr.io/etcd:3.5.1-0
# 根据需要拉取其他镜像

保存镜像为 tar 文件：

bashdocker save -o kube-apiserver_v1.26.0.tar k8s.gcr.io/kube-apiserver:v1.26.0
# 重复上述命令保存其他镜像

将所有 tar 文件传输到离线节点。

2.3 导入 Docker 镜像到离线节点

在每个离线节点上加载镜像：

bashdocker load -i kube-apiserver_v1.26.0.tar
# 重复加载其他镜像

验证镜像是否加载成功：

bashdocker images

步骤三：初始化控制平面节点

在控制平面节点上执行初始化命令。假设使用 kubeadm 进行初始化：

bashsudo kubeadm init --apiserver-advertise-address=<控制平面节点IP> --pod-network-cidr=192.168.0.0/16 --kubernetes-version v1.26.0

初始化完成后，按照输出提示配置 kubectl：

bashmkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

步骤四：部署网络插件

Kubernetes 需要网络插件来实现 Pod 之间的通信。这里以 Calico 为例。

4.1 下载 Calico 离线配置

在有网络的机器上下载 Calico 的 YAML 配置文件：

bashcurl https://docs.projectcalico.org/manifests/calico.yaml -O

修改 calico.yaml 中的 IP 地址池配置，确保与 kubeadm init 时的 --pod-network-cidr 一致。

将 calico.yaml 传输到离线节点。

4.2 应用 Calico 配置

在控制平面节点上应用配置：

bashkubectl apply -f calico.yaml

等待网络插件部署完成。

步骤五：加入工作节点

在工作节点上执行 kubeadm join 命令。这个命令在控制平面节点初始化时会提供。

示例：

bashsudo kubeadm join <控制平面节点IP>:6443 --token <token> \
    --discovery-token-ca-cert-hash sha256:<hash>

如果 token 过期，可以在控制平面节点上重新生成：

bashkubeadm token create --print-join-command

将生成的 kubeadm join 命令复制到工作节点并执行。

步骤六：验证集群状态

在控制平面节点上运行以下命令，检查集群状态：

bashkubectl get nodes

所有节点应显示为 Ready 状态。

常见问题排查

镜像拉取失败：
- 确保所有需要的镜像都已正确导入到每个节点的 Docker 中。
网络插件无法启动：
- 检查网络插件的 YAML 文件是否正确，确保 CIDR 配置一致。
- 查看相关 Pod 的日志以获取更多信息。
节点无法加入集群：
- 检查 kubeadm join 命令是否正确。
- 确保控制平面节点的防火墙允许工作节点的连接。
- 确认 token 和 CA 证书哈希值正确。

页面内容是否对你有帮助？

有帮助

没帮助

在本地k8s集群上安装具有保险库机密的舵机图表的最佳方法是什么？

、、、

我在k8s部署中使用舵机图表。图表有来自Hashicorp的Vault的秘密，我使用ArgoCD来自动化部署，而argocd-vault-plugin在GKE k8s集群上安装头盔图表之前要小心从金库服务器注入金库机密。我想了解一下如何将图表部署(helm install)应用到本地k8s集群。在本地k8s集群上安装图表(有保险库机密)的推荐方法是什么？

浏览 23提问于2022-11-08得票数 -1

回答已采纳

2回答

在kubernetes上安装纺纱机时出错

、

我遵循了实验性的k8s安装，它似乎可以工作，直到我打开门户。然后应用程序和项目有标题栏，但主页面主体只是一个纺纱装置。我如何调试这个？安装说明：2017-09-12 19:29:35.764 INFO 1 --- [x-credentials-1] c.n.s.g.s.internal.ClouddriverService

浏览 7提问于2017-09-12得票数 1

回答已采纳

1回答

Kubernetes & Terraform:安装到所有K8s节点以防止ImagePullBackOff

、

错误: K8s“依赖于Pod清单中描述的图像在集群中的每台机器上都可用”.如果不满足这一假设，您可能会看到ImagePullBackOff。这样我就完全明白了(我的K8s集群运行容器)，这些是真的吗？这是Terraform K8s提供者可以做的事情吗？据我所知，Terraform 应用通常假定图像已经被容器所知，因为其他东西已经将图像放置到k8s集群中的每个节点上。Terraform 不制作映像，也没有 terr

浏览 2提问于2021-08-03得票数 0

1回答

在部署服务时，最后一个请求流会被切断吗？

、、、、

问:当我们使用k8s部署服务时，使用蓝绿色部署，在容器切换期间是否会切断(对旧容器)的最后请求？旧的容器可能已经离线，内部的进程在请求返回之前就被杀死了。有人能帮我解决这个问题吗？

浏览 5提问于2022-11-02得票数 0

2回答

如何进行Kubernetes吊舱通信

、

我学习Kubernetes并尝试部署NodeJs应用程序。如何将我的MongoDb数据库连接到后端清单文件？这是我的nodejs，也就是后端日志。

浏览 4提问于2022-06-24得票数 -1

1回答

在Hadoop集群上的Kubernetes中运行Python

、、

FileNotFoundError: [Errno 2] No such file or directory: 'hadoop' 那么，我是否可以将mrjob配置为在GKE集群上运行我现有的Hadoop安装

浏览 16提问于2022-10-24得票数 0

回答已采纳

1回答

从码头集装箱将Redis迁移到Kubernetes

、、

目前，我们正在运行我们的哨兵红色部署作为码头集装箱。到目前为止，码头集装箱工作正常，但作为我们新增强的一部分，我们将我们的所有服务转移到Kubernetes (K8S)。我不确定K8s是否正式支持Redis。请建议我们能否在生产中做到这一点？如果不在生产中，那么在SIT / QA/ UAT等其他工程环境中迁移是否安全？

浏览 0提问于2021-01-15得票数 0

回答已采纳

1回答

如何在kubernetes负载平衡器中直接将吊舱标记为离线

、

我在一些吊舱前有一个k8s负载平衡器。当我部署更新后的豆荚--在豆荚中有一定数量的流量会超时和失败--基本上看来k8s会按预期处理荚的更新/部署，但是负载平衡器将不知道这一点，只会继续向所有的荚发送流量，直到活性监视器出现故障，然后停止向吊舱发送流量我想看到的是以下场景：

浏览 4提问于2020-11-09得票数 2

回答已采纳

1回答

jelastic如何控制新安装的程序并使其持久？

我在python中使用pip安装了一些东西，然后重新启动pod，但是在重启后，我在pod中安装的新包仍然存在，但是如果我在kubernetes中执行此操作，则kubernetes无法处理它。如果是，它如何处理用户安装和挂载/新程序包

浏览 9提问于2019-06-23得票数 0

1回答

Kubernetes命令未在Jenkins容器内运行

、、

我已经成功地在k8s集群中部署了Jenkins容器，但我无法执行"kubectl get pod -A“，因为kubectl也安装在Jenkins容器中。如何在Jenkins容器中运行k8s命令，以便能够为k8s应用CI/CD。下面是我在Jenkins容器中运行k8s命令时的错误，Jenkins容器在k8s pod中运行。

浏览 0提问于2021-04-15得票数 0

1回答

Kubernetes主机离线场景

、

因此，我有两个虚拟机管理程序运行以下Kubernetes VM： A) 1x K8s主机，1x k8s节点 B) 1x K8s节点如果虚拟机管理程序B离线，所有pods仍可按设计正常工作。当虚拟机管理程序A离线时，群集和节点会发生什么情况？假设我配置了节点反亲和性，以便在每个节点上至少有一个pod已经运行，那么虚拟机管理程序B K8s节点上所有正在运行的pod还能正常工作吗？谢谢！

浏览 16提问于2020-05-04得票数 1

3回答

是否可以在GKE上安装Sysbox容器运行时？

、

我想在GKE上安装一个CI工具，这样我就可以通过Sysbox运行对接工具。在GKE能做到这一点吗？

浏览 2提问于2021-01-28得票数 3

回答已采纳

1回答

如何将变量值与k8s字段值组合？

kind: Role apiGroup: rbac.authorization.k8s.io 我以这种方式创建资源-- kubectl apply -f k8s

浏览 0提问于2019-11-06得票数 1

回答已采纳

1回答

我是否需要在所有worker机器上运行spark-submit，并在同一worker机器内的k8s集群上运行Spark作业？

、、

我有一个k8s集群。现在我想在k8s集群上部署一个spark作业，我想知道是否需要在所有的worker机器上安装和配置spark。

浏览 3提问于2020-01-29得票数 0

1回答

在istio-system命名空间中找不到集群本地网关

、、、

我正在使用K8s在K8s中部署无服务器应用程序，最近我发现istio命名空间中缺少集群本地网关，这有什么原因吗？恐怕在最新的版本中，istio删除了它，或者，它必须由本机方来完成。我做我的部署在GCP使istio。我没有手动安装istio

浏览 1提问于2020-03-15得票数 1

回答已采纳

2回答

能够在没有云提供商的情况下使用Spinnaker？

、、、

我的团队正在努力改进我们的CI/CD流水线，并已开始研究Spinnaker。我们还没有云平台，但希望尝试在本地环境中设置POC。这个是可能的吗？我看过很多关于设置本地环境的文章，但似乎我们仍然必须选择云提供商。注意:在未来，我们计划有一个云提供商，但由于基础设施配置的时间限制，我们最感兴趣的是从本地开始，稍后再添加云。

浏览 1提问于2020-02-05得票数 1

1回答

Kubernetes什么时候自动重新创建AWS ELB？

、、、

我使用Helm将k8s集群部署到AWS EKS上。在第一次运行helm upgrade --install --force...来安装图表之后，发出以下helm upgrade --install --force...命令有时会导致创建新的我想了解更多关于将k8s资源重新<em

浏览 0提问于2019-03-27得票数 2

2回答

如何备份Helm3 nginx控制器配置和更新正在运行的LoadBalancer服务？

、、

我通过helm install app-name stable/nginx-ingress安装了stable/nginx-ingress图表。我后来了解到，我可以在安装过程中通过将--set controller.service.externalTrafficPolicy=Local添加到helm命令来设置它。如何使用新设置更新LoadBalancer服务，而无需移除入口控制器并重新安装？Helm3只是下载并设置了入口控制器，并且没有在本地保存任何内容。有没有办法备份我所有的k8s集群配

浏览 2提问于2020-02-21得票数 1

1回答

为什么它没有被k8s应用程序广泛采用和优先考虑？

、

到目前为止，Helm是我所知道的唯一适用于K8s的包管理器。它可以帮助无缝地部署和管理k8s应用程序依赖项。为什么这么多K8s应用程序仍然没有采用它，也没有优先考虑它？我用过相当多的流行软件，比如Argo，Istio等等，他们似乎把默认的安装方法推广到了$ kubectl apply -f <http path to YAML config>。有些确实支持Helm安装方法，但它被进一步向下推，并且在许多情况下缺少文档或已过时。有些甚至不支持Helm charts。人们如何实际

浏览 0提问于2021-09-18得票数 1

1回答