陈不丢的地盘

使用kubeasz一键安装k8s原生集群

Wed, 27 Aug 2025 00:00:00 GMT

注意事项

在开始安装之前，请仔细阅读以下重要注意事项：

注意1： 确保各节点时区设置一致、时间同步。如果你的环境没有提供NTP时间同步，推荐集成安装chrony

注意2： 确保在干净的系统上开始安装，不要使用曾经装过kubeadm或其他k8s发行版的环境

注意3： 建议操作系统升级到新的稳定内核，请结合阅读内核升级文档

注意4： 在公有云上创建多主集群，请结合阅读在公有云上部署kubeasz

集群节点规划

高可用集群所需节点配置

角色	数量	描述
部署节点	1	运行ansible/ezctl命令，一般复用第一个master节点
etcd节点	3	注意etcd集群需要1,3,5,...奇数个节点，一般复用master节点
master节点	2	高可用集群至少2个master节点
node节点	n	运行应用负载的节点，可根据需要提升机器配置/增加节点数

机器配置要求

master节点： 4c/8g内存/50g硬盘
worker节点： 建议8c/32g内存/200g硬盘以上

注意： 默认配置下容器运行时和kubelet会占用/var的磁盘空间，如果磁盘分区特殊，可以设置config.yml中的容器运行时和kubelet数据目录：CONTAINERD_STORAGE_DIR、DOCKER_STORAGE_DIR、KUBELET_ROOT_DIR

部署方式

在kubeasz 2.x版本，多节点高可用集群安装可以使用2种方式：

按照本文步骤先规划准备，预先配置节点信息后，直接安装多节点高可用集群
先部署单节点集群AllinOne部署，然后通过节点添加扩容成高可用集群

部署步骤

以下示例创建一个4节点的多主高可用集群，文档中命令默认都需要root权限运行。

1. 基础系统配置

2c/4g内存/40g硬盘（该配置仅测试用）
最小化安装Ubuntu 16.04 server或者CentOS 7 Minimal
配置基础网络、更新源、SSH登录等

2. 在每个节点安装依赖工具

推荐使用ansible in docker容器化方式运行，无需安装额外依赖。

3. 准备ssh免密登录

配置从部署节点Master能够ssh免密登录所有节点，并且设置python软连接：

# $IP为所有节点地址包括自身，按照提示输入yes和root密码
ssh-copy-id $IP

<details> <summary>对于密钥登录的服务器设置</summary>

如果目标服务器已经配置了密钥登录，可以使用以下方式：

# 方式1：指定私钥文件
ssh-copy-id -i ~/.ssh/id_rsa.pub -o "IdentityFile=~/.ssh/your_private_key" root@$IP

# 方式2：手动复制公钥内容到目标服务器
cat ~/.ssh/id_rsa.pub | ssh -i ~/.ssh/your_private_key root@$IP "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

# 方式3：使用scp复制公钥文件
scp -i ~/.ssh/your_private_key ~/.ssh/id_rsa.pub root@$IP:/tmp/
ssh -i ~/.ssh/your_private_key root@$IP "cat /tmp/id_rsa.pub >> ~/.ssh/authorized_keys && rm /tmp/id_rsa.pub"

</details>

4. 在部署节点编排k8s安装

4.1 下载项目源码、二进制及离线镜像

下载工具脚本ezdown，举例使用kubeasz版本3.5.0：

版本对应关系：

Kubernetes	kubeasz
1.23	3.2.0
1.24-1.28	3.6.2
1.29	3.6.3
1.30	3.6.4
1.31	3.6.5
1.32	3.6.6
1.33	3.6.7

export release=3.6.7
wget https://github.com/easzlab/kubeasz/releases/download/${release}/ezdown
chmod +x ./ezdown

下载kubeasz代码、二进制、默认容器镜像（更多关于ezdown的参数，运行./ezdown查看）：

# 国内环境
./ezdown -D

# 海外环境
# ./ezdown -D -m standard

<details> <summary>【可选】下载额外容器镜像</summary>

下载额外容器镜像（cilium, flannel, prometheus等）：

# 按需下载
./ezdown -X flannel
./ezdown -X prometheus

</details>

<details> <summary>【可选】下载离线系统包</summary>

适用于无法使用yum/apt仓库情形：

./ezdown -P

</details>

上述脚本运行成功后，所有文件（kubeasz代码、二进制、离线镜像）均已整理好放入目录/etc/kubeasz

<details> <summary>ezctl 命令参数说明</summary>

使用帮助：

随时运行 ezctl 获取命令行提示信息：

Usage: ezctl COMMAND [args]
-------------------------------------------------------------------------------------
Cluster setups:
    list                             显示当前所有管理的集群
    checkout    <cluster>            切换默认集群
    new         <cluster>            创建新集群配置
    setup       <cluster>  <step>    安装新集群
    start       <cluster>            启动临时停止的集群
    stop        <cluster>            临时停止某个集群（包括集群内运行的pod）
    upgrade     <cluster>            升级集群k8s组件版本
    destroy     <cluster>            删除集群
    backup      <cluster>            备份集群（仅etcd数据，不包括pv数据和业务应用数据）
    restore     <cluster>            从备份中恢复集群
    start-aio                        创建单机集群（类似 minikube）

Cluster ops:
    add-etcd    <cluster>  <ip>      增加 etcd 节点
    add-master  <cluster>  <ip>      增加主节点
    add-node    <cluster>  <ip>      增加工作节点
    del-etcd    <cluster>  <ip>      删除 etcd 节点
    del-master  <cluster>  <ip>      删除主节点
    del-node    <cluster>  <ip>      删除工作节点

Extra operation:
    kcfg-adm    <cluster>  <args>    管理客户端kubeconfig

</details>

4.2 创建集群配置实例

# 容器化运行kubeasz
./ezdown -S

# 创建新集群 k8s-01
docker exec -it kubeasz ezctl new k8s-01

输出示例：

2021-01-19 10:48:23 DEBUG generate custom cluster files in /etc/kubeasz/clusters/k8s-01
2021-01-19 10:48:23 DEBUG set version of common plugins
2021-01-19 10:48:23 DEBUG cluster k8s-01: files successfully created.
2021-01-19 10:48:23 INFO next steps 1: to config '/etc/kubeasz/clusters/k8s-01/hosts'
2021-01-19 10:48:23 INFO next steps 2: to config '/etc/kubeasz/clusters/k8s-01/config.yml'

然后根据提示配置：

/etc/kubeasz/clusters/k8s-01/hosts：根据前面节点规划修改hosts文件
/etc/kubeasz/clusters/k8s-01/config.yml：修改其他集群层面的主要配置选项

<details> <summary>hosts 文件配置示例</summary>

根据您的实际节点规划，修改 /etc/kubeasz/clusters/k8s-01/hosts 文件。一般只需要修改以下三个部分：

1. etcd 节点配置

# 'etcd' cluster should have odd member(s) (1,3,5,...)
[etcd]
10.0.1.10

2. master 节点配置

# master node(s), set unique 'k8s_nodename' for each node
# CAUTION: 'k8s_nodename' must consist of lower case alphanumeric characters, '-' or '.',
# and must start and end with an alphanumeric character
[kube_master]
10.0.1.10 k8s_nodename='master-01'

3. worker 节点配置

# work node(s), set unique 'k8s_nodename' for each node
# CAUTION: 'k8s_nodename' must consist of lower case alphanumeric characters, '-' or '.',
# and must start and end with an alphanumeric character
[kube_node]
10.0.1.11 k8s_nodename='node-01'
10.0.1.12 k8s_nodename='node-02'
10.0.1.13 k8s_nodename='node-03'

完整配置文件示例：

# 'etcd' cluster should have odd member(s) (1,3,5,...)
[etcd]
10.0.1.10

# master node(s), set unique 'k8s_nodename' for each node
[kube_master]
10.0.1.10 k8s_nodename='master-01'

# work node(s), set unique 'k8s_nodename' for each node
[kube_node]
10.0.1.11 k8s_nodename='node-01'
10.0.1.12 k8s_nodename='node-02'
10.0.1.13 k8s_nodename='node-03'

# [optional] harbor server, a private docker registry
[harbor]
#10.0.1.20 NEW_INSTALL=false

# [optional] loadbalance for accessing k8s from outside
[ex_lb]
#10.0.1.30 LB_ROLE=backup EX_APISERVER_VIP=10.0.1.100 EX_APISERVER_PORT=8443
#10.0.1.31 LB_ROLE=master EX_APISERVER_VIP=10.0.1.100 EX_APISERVER_PORT=8443

# [optional] ntp server for the cluster
[chrony]
#10.0.1.1

[all:vars]
# --------- Main Variables ---------------
# Secure port for apiservers
SECURE_PORT="6443"

# Cluster container-runtime supported: docker, containerd
CONTAINER_RUNTIME="containerd"

# Network plugins supported: calico, flannel, kube-router, cilium, kube-ovn
CLUSTER_NETWORK="calico"

# Service proxy mode of kube-proxy: 'iptables' or 'ipvs'
PROXY_MODE="ipvs"

# K8S Service CIDR, not overlap with node(host) networking
SERVICE_CIDR="10.68.0.0/16"

# Cluster CIDR (Pod CIDR), not overlap with node(host) networking
CLUSTER_CIDR="172.20.0.0/16"

# NodePort Range
NODE_PORT_RANGE="30000-32767"

# Cluster DNS Domain
CLUSTER_DNS_DOMAIN="cluster.local"

配置说明：

etcd节点：生产环境建议配置奇数个节点（1,3,5个），示例中复用了master节点
master节点：高可用集群至少需要2个master节点
worker节点：根据实际需要配置工作节点数量
k8s_nodename：必须由小写字母、数字、'-' 或 '.' 组成，且必须以字母或数字开头和结尾
可选配置：harbor、负载均衡器、NTP服务器等可根据需要启用

修改步骤：

将示例中的IP地址替换为您的实际节点IP
根据您的节点规划调整etcd、master、worker节点配置
确保每个节点的k8s_nodename唯一且符合命名规范
根据网络环境调整CIDR配置，确保不与现有网络冲突

</details>

4.3 开始安装

如果你对集群安装流程不熟悉，请阅读项目首页安装步骤讲解后分步安装，并对每步都进行验证。

# 建议使用alias命令，查看~/.bashrc文件应该包含：alias dk='docker exec -it kubeasz'
source ~/.bashrc

# 一键安装，等价于执行docker exec -it kubeasz ezctl setup k8s-01 all
dk ezctl setup k8s-01 all

# 或者分步安装，具体使用 dk ezctl help setup 查看分步安装帮助信息
# dk ezctl setup k8s-01 01
# dk ezctl setup k8s-01 02
# dk ezctl setup k8s-01 03
# dk ezctl setup k8s-01 04

验证安装

安装kubectl客户端工具

如果kubeasz安装后没有安装kubectl，请先安装kubectl客户端工具：

<details> <summary>kubectl 二进制安装方法</summary>

下载指定版本

# 替换为您需要的版本
export K8S_VERSION="v1.31.0"

# 下载指定版本
curl -LO "https://dl.k8s.io/release/${K8S_VERSION}/bin/linux/amd64/kubectl"

# 添加执行权限
chmod +x kubectl

# 移动到系统路径
sudo mv kubectl /usr/local/bin/

# 验证安装
kubectl version --client

配置kubectl

# 复制kubeconfig文件
mkdir -p ~/.kube
sudo cp /etc/kubeasz/clusters/k8s-01/kubectl.kubeconfig ~/.kube/config
sudo chown $(id -u):$(id -g) ~/.kube/config

# 或者设置环境变量
export KUBECONFIG=/etc/kubeasz/clusters/k8s-01/kubectl.kubeconfig

</details>

验证集群状态

安装完成后，可以通过以下命令验证集群状态：

# 查看节点状态
kubectl get nodes

# 查看集群信息
kubectl cluster-info

# 查看所有pod状态
kubectl get pods --all-namespaces

# 查看集群版本信息
kubectl version

# 查看集群组件状态
kubectl get componentstatuses

通过以上步骤，你就可以成功部署一个高可用的Kubernetes原生集群了。记住在生产环境中使用时，要根据实际需求调整机器配置和网络规划。

参考项目

本文介绍的安装方法基于 kubeasz 项目，这是一个优秀的开源项目，致力于提供快速部署高可用k8s集群的工具。该项目具有以下特点：

集群特性：Master高可用、离线安装、多架构支持(amd64/arm64)
集群版本：支持kubernetes v1.24 到 v1.33
运行时：containerd v1.7.x, v2.0.x
网络插件：calico, cilium, flannel, kube-ovn, kube-router

更多详细信息和最新版本请访问：https://github.com/easzlab/kubeasz

k8s强制删除pod

Mon, 08 Sep 2025 00:00:00 GMT

问题场景

在使用Kubernetes过程中，有时会遇到Pod无法正常删除的情况，比如：

Pod一直处于 Terminating 状态
删除命令执行后Pod仍然存在
Pod被卡住无响应

解决方案

方法一：标准删除（优先尝试）

kubectl delete pod <pod-name> -n <namespace>

方法二：强制删除

如果标准删除无效，使用强制删除：

kubectl delete pod <pod-name> -n <namespace> --force --grace-period=0

参数说明：

--force：强制删除
--grace-period=0：设置优雅关闭时间为0秒

方法三：清理Finalizers

如果强制删除也无效，可能是finalizers阻止了删除：

kubectl patch pod <pod-name> -n <namespace> -p '{"metadata":{"finalizers":null}}'

实际示例

删除名为 python-vscode-1757260158960-69cfd7976-lrgd5 的Pod：

# 1. 先尝试正常删除
kubectl delete pod python-vscode-1757260158960-69cfd7976-lrgd5 -n default

# 2. 如果失败，使用强制删除
kubectl delete pod python-vscode-1757260158960-69cfd7976-lrgd5 -n default --force --grace-period=0

# 3. 最后手段：清理finalizers
kubectl patch pod python-vscode-1757260158960-69cfd7976-lrgd5 -n default -p '{"metadata":{"finalizers":null}}'

注意事项

警告：强制删除可能导致数据丢失，请确保重要数据已备份

提示：如果Pod是由Deployment等控制器管理的，删除后会自动重新创建新的Pod

验证删除结果

# 检查Pod是否已删除
kubectl get pods -n <namespace>

# 查看Pod详细状态（如果还存在）
kubectl describe pod <pod-name> -n <namespace>

通过以上方法，基本可以解决所有Pod删除卡住的问题。

使用frp实现流量转发

Sun, 07 Sep 2025 00:00:00 GMT

什么是frp

frp是一个专注于内网穿透的高性能的反向代理应用，支持TCP、UDP、HTTP、HTTPS等多种协议。可以将内网的服务通过具有公网IP的服务器暴露到互联网上，同时提供web界面管理内网连接状态。

环境准备

服务端：具有公网IP的服务器（用于运行frps）
客户端：内网设备（用于运行frpc）
系统要求：Linux 64位系统

安装frp

下载和安装

在服务端和客户端都需要执行以下安装步骤：

# 下载frp压缩包
curl -L -O https://github.com/fatedier/frp/releases/download/v0.58.1/frp_0.58.1_linux_amd64.tar.gz

# 解压缩
tar -zxvf frp_0.58.1_linux_amd64.tar.gz

# 移动到系统目录
sudo mv frp_0.58.1_linux_amd64 /usr/local/frp

注意： 确保下载的版本号一致，本教程使用的是v0.58.1版本。

配置服务端(frps)

创建服务端配置文件

在具有公网IP的服务器上配置frps：

# 创建服务端配置文件
cat > /usr/local/frp/frps.ini << EOF
[common]
bind_port = 7000
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = admin
EOF

配置说明

bind_port: frp服务监听端口，默认7000，客户端需要连接此端口
dashboard_port: Web管理界面端口，默认7500
dashboard_user: Web管理界面用户名，默认admin
dashboard_pwd: Web管理界面密码，默认admin

创建systemd服务

# 创建frps服务文件
cat > /etc/systemd/system/frps.service << EOF
[Unit]
Description=frps daemon
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/frp/frps -c /usr/local/frp/frps.ini
Restart=always

[Install]
WantedBy=multi-user.target
EOF

# 启用并启动服务
systemctl enable frps && systemctl start frps

验证服务状态

# 检查服务状态
systemctl status frps

# 检查端口监听
netstat -tulnp | grep :7000
netstat -tulnp | grep :7500

访问 http://你的服务器IP:7500 查看Web管理界面。

配置客户端(frpc)

创建客户端配置文件

在需要进行内网穿透的设备上配置frpc：

# 创建客户端配置文件
cat > /usr/local/frp/frpc.ini << EOF
[common]
server_addr = 你的服务器IP
server_port = 7000

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

[web]
type = tcp
local_ip = 127.0.0.1
local_port = 80
remote_port = 8080
EOF

配置说明

server_addr: frps服务端的公网IP地址
server_port: frps服务端监听端口，默认7000
[ssh]、[web]: 服务配置段，可以配置多个服务
type: 协议类型，支持tcp、udp、http、https等
local_ip: 内网目标设备IP，127.0.0.1代表本机
local_port: 内网目标端口
remote_port: 服务端映射的外网端口

重要： 请根据实际情况修改server_addr。上述示例中，SSH服务将通过服务器的6000端口访问，Web服务通过8080端口访问。

创建systemd服务

# 创建frpc服务文件
cat > /etc/systemd/system/frpc.service << EOF
[Unit]
Description=frpc daemon
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/frp/frpc -c /usr/local/frp/frpc.ini
Restart=always

[Install]
WantedBy=multi-user.target
EOF

# 启用并启动服务
systemctl enable frpc && systemctl start frpc

服务管理

常用管理命令

# 启动服务
systemctl start frps   # 服务端
systemctl start frpc   # 客户端

# 停止服务
systemctl stop frps    # 服务端
systemctl stop frpc    # 客户端

# 重启服务
systemctl restart frps # 服务端
systemctl restart frpc # 客户端

# 查看服务状态
systemctl status frps  # 服务端
systemctl status frpc  # 客户端

# 查看服务日志
journalctl -u frps -f  # 服务端
journalctl -u frpc -f  # 客户端

测试连接

验证连接状态

检查客户端连接：在frps的Web管理界面（http://服务器IP:7500）查看客户端连接状态
测试端口转发：从外网访问 服务器IP:映射端口 验证是否能正常访问内网服务
- SSH访问：ssh -p 6000 用户名@服务器IP
- Web访问：http://服务器IP:8080
查看日志：通过日志排查连接问题
```
journalctl -u frpc -f
```

注意事项

安全提醒：

及时修改默认的dashboard用户名和密码

使用强密码的token进行身份验证

定期更新frp版本以获得安全补丁

网络要求：

服务端必须具有公网IP

服务端防火墙需要开放相应端口

客户端需要能够访问服务端的bind_port

性能考虑：

大量端口映射可能影响性能

建议根据实际需求合理配置端口范围

监控服务器资源使用情况

故障排除

常见问题

客户端无法连接服务端
- 检查服务端防火墙设置
- 验证server_addr和server_port配置
- 确认token一致性
端口映射不生效
- 检查端口范围配置
- 验证目标服务是否正常运行
- 查看frp日志文件
服务异常重启
- 检查配置文件语法
- 查看系统日志
- 验证权限设置

通过以上配置，你就可以成功使用frp实现内网穿透和流量转发功能了。

设置SSH使用密钥登录

Sun, 07 Sep 2025 00:00:00 GMT

什么是SSH密钥登录

SSH密钥登录是一种更安全的服务器登录方式，使用密钥文件代替密码登录，避免密码被破解的风险。

为什么要使用密钥登录

更安全：不用担心密码被暴力破解
更方便：配置后无需输入密码即可登录
适合脚本：自动化部署时不需要交互输入密码

第一步：生成密钥对

在客户端（你的电脑）上生成密钥：

# 生成密钥对（推荐使用ED25519）
ssh-keygen -t ed25519 -C "your_email@example.com"

执行后按提示操作：

密钥保存位置：直接回车使用默认位置
密钥密码：可以设置密码，也可以直接回车跳过

第二步：复制公钥到服务器

方法一：自动复制（推荐）

# 将公钥复制到服务器
ssh-copy-id username@server_ip

方法二：手动复制

查看并复制公钥内容：

cat ~/.ssh/id_ed25519.pub

登录服务器：

ssh username@server_ip

mkdir -p ~/.ssh
chmod 700 ~/.ssh
touch ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

将公钥内容添加到文件中：

# 将公钥内容追加到authorized_keys文件（替换YOUR_PUBLIC_KEY为实际的公钥内容）
echo "YOUR_PUBLIC_KEY" >> ~/.ssh/authorized_keys

第三步：测试密钥登录

# 测试登录
ssh username@server_ip

如果能够免密码登录，说明配置成功！

第四步：禁用密码登录（可选）

为了提高安全性，可以禁用密码登录：

# 禁用密码登录
sudo sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

# 启用密钥登录
sudo sed -i 's/#PubkeyAuthentication yes/PubkeyAuthentication yes/' /etc/ssh/sshd_config
sudo sed -i 's/PubkeyAuthentication no/PubkeyAuthentication yes/' /etc/ssh/sshd_config

重启SSH服务：

sudo systemctl restart sshd

简单的客户端配置

创建SSH配置文件方便管理：

# 一键创建SSH配置文件
cat << EOF >> ~/.ssh/config
Host myserver
    HostName 192.168.1.100
    User username
    IdentityFile ~/.ssh/id_ed25519
EOF

# 设置配置文件权限
chmod 600 ~/.ssh/config

配置后可以直接使用：

ssh myserver

对于k8s禁止不同Namespace之间访问的网络策略

Thu, 28 Aug 2025 00:00:00 GMT

网络策略如下

我使用的网络插件是 Calico，以下是基于 Calico 的网络策略示例，实现不同 Namespace 之间的访问隔离：

# API 版本，指定使用的 Kubernetes 网络策略 API
apiVersion: networking.k8s.io/v1
# 资源类型，这里是 NetworkPolicy
kind: NetworkPolicy
metadata:
  # 策略名称
  name: namespace-isolation
  # 策略所属的命名空间
  namespace: namespace-name
spec:
  # 选择器，{} 表示作用于该命名空间下所有 Pod
  podSelector: {}
  # 策略类型，Ingress 表示入站流量，Egress 表示出站流量
  policyTypes:
    - Ingress
    - Egress
  ingress:
    # 允许同命名空间下的 Pod 访问
    - from:
        - podSelector: {}
    # 允许集群内部分必要组件访问
    - from:
        - namespaceSelector:
            matchLabels:
              kubernetes.io/metadata.name: ingress-nginx
    - from:
        - namespaceSelector:
            matchLabels:
              kubernetes.io/metadata.name: kube-system
    - from:
        - namespaceSelector:
            matchLabels:
              kubernetes.io/metadata.name: cattle-monitoring-system
    - from:
        - namespaceSelector:
            matchLabels:
              kubernetes.io/metadata.name: pod-files-api
    - from:
        - namespaceSelector:
            matchLabels:
              kubernetes.io/metadata.name: web-ssh
    # 允许所有 TCP 和 UDP 协议端口流量（用于 NodePort/LoadBalancer 类型 Service）
    - ports:
        - protocol: TCP
        - protocol: UDP
  egress:
    # 允许访问同命名空间下的 Pod
    - to:
        - podSelector: {}
    # 允许访问 DNS 服务（53 端口，TCP/UDP）
    - ports:
        - port: 53
          protocol: UDP
        - port: 53
          protocol: TCP
    # 允许访问除内网和保留地址外的公网 IP
    - to:
        - ipBlock:
            cidr: 0.0.0.0/0
            except:
              - 10.0.0.0/8        # 私有网段
              - 172.16.0.0/12     # 私有网段
              - 192.168.0.0/16    # 私有网段
              - 169.254.0.0/16    # 链路本地地址
              - 224.0.0.0/4       # 组播地址
              - 240.0.0.0/4       # 保留地址
              - 127.0.0.0/8       # 本地回环地址

思路说明

屏蔽内网网段
首先通过 ipBlock 的 except 字段屏蔽了常见的内网和保留地址段，提升集群安全性，防止 Pod 直接访问内网资源：

- to:
   - ipBlock:
      cidr: 0.0.0.0/0
      except:
       - 10.0.0.0/8        # 私有网段
       - 172.16.0.0/12     # 私有网段
       - 192.168.0.0/16    # 私有网段
       - 169.254.0.0/16    # 链路本地地址
       - 224.0.0.0/4       # 组播地址
       - 240.0.0.0/4       # 保留地址
       - 127.0.0.0/8       # 本地回环地址

只允许必要流量
由于上述策略会禁止所有外部流量（包括集群内部流量），所以需要通过 podSelector 和 namespaceSelector 显式允许同命名空间和部分系统组件的访问。
放行必要组件
允许如 ingress-nginx、kube-system 等命名空间的流量，保证集群管理和监控等功能正常。
NodePort/LoadBalancer 兼容性
由于 NodePort 和 LoadBalancer 类型的 Service 需要暴露端口给外部访问，需通过 ports 字段放行所有 TCP/UDP 流量，否则会导致服务不可用：

- ports:
   - protocol: TCP
   - protocol: UDP

Kubernetes 的 NetworkPolicy 默认是“拒绝优先”，只有被允许的流量才能通过。通过 ipBlock、namespaceSelector 和 ports 的组合，可以实现灵活且安全的网络隔离。若有更细粒度需求，可进一步细化 podSelector 或 namespaceSelector，甚至指定端口范围。

如果有更好的方法，欢迎交流。

docker安装教程与镜像加速

Wed, 27 Aug 2025 00:00:00 GMT

Docker Hub 镜像加速

转载自 emohe.cn

国内从 Docker Hub 拉取镜像有时会遇到困难，此时可以配置镜像加速器。

安装Docker

官方安装脚本：

curl -fsSL https://get.docker.com | sh

国内安装脚本 (说明)

bash <(curl -sSL https://gitee.com/SuperManito/LinuxMirrors/raw/main/DockerInstallation.sh)

或者使用阿里云安装源

bash <(curl -fsSL https://get.docker.com) --mirror Aliyun

<details> <summary>手动离线安装Docker</summary>

下载 Docker:

官方文件下载地址——下载后上传到root目录

清华大学下载地址

tar xzvf docker-26.1.3.tgz     # 替换版本号
sudo mv docker/* /usr/local/bin/

创建 Docker 服务文件

sudo vim /etc/systemd/system/docker.service

添加以下内容

[Unit]
Description=Docker Application Container Engine
After=network-online.target firewalld.service
Wants=network-online.target

[Service]
Type=notify
ExecStart=/usr/local/bin/dockerd
ExecReload=/bin/kill -s HUP $MAINPID
Restart=always
RestartSec=2
StartLimitBurst=3
StartLimitInterval=60s
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
Delegate=yes
KillMode=process

[Install]
WantedBy=multi-user.target

启动并启用 Docker 服务

sudo chmod +x /usr/local/bin/dockerd
sudo systemctl daemon-reload
sudo systemctl start docker
sudo systemctl enable docker.service

查看版本

docker -v

</details>

<details> <summary>手动离线安装Docker-compose</summary>

国内环境手动安装Docker-compose

点这里手动下载文件上传到服务器的/usr/local/bin目录

重命名为docker-compose

sudo cp docker-compose-linux-x86_64 /usr/local/bin/docker-compose

增加执行权限

chmod +x /usr/local/bin/docker-compose

验证安装

docker-compose --version

注意：

由于是以二进制文件安装的docker-compose，所以运行命令有所变化，运行示例

docker-compose up -d

区别在于中间的-，官方安装脚本是以插件形式安装的docker-compose，所以中间不需要-

</details>

配置加速地址

Ubuntu 16.04+、Debian 8+、CentOS 7+

创建或修改 /etc/docker/daemon.json：

sudo mkdir -p /etc/docker

sudo tee /etc/docker/daemon.json <<EOF
{
    "registry-mirrors": [
        "https://docker.1ms.run",
        "https://hub.rat.dev",
        "https://docker.1panel.live"
    ]
}
EOF

sudo systemctl daemon-reload

sudo systemctl restart docker

如果不方便重启Docker服务，也可以不用设置全局加速地址，拉取镜像时增加加速地址即可，示例：

docker pull docker.1panel.live/library/mysql:5.7

说明：library是一个特殊的命名空间，它代表的是官方镜像。如果是某个用户的镜像就把library替换为镜像的用户名。

Docker Desktop 配置

对于电脑的Docker Desktop用户，点击右上角设置，找到Docker Engine然后修改配置，修改后的示例：

{
  "builder": {
    "gc": {
      "defaultKeepStorage": "20GB",
      "enabled": true
    }
  },
  "experimental": false,
  "registry-mirrors": [
    "https://docker.1ms.run",
    "https://hub.rat.dev",
    "https://docker.1panel.live"
  ]
}

然后点击右下角的Apply & restart保存并重启即可。

检查加速是否生效

查看docker系统信息 docker info，如果从结果中看到了你配置的加速地址，说明配置成功。

Registry Mirrors:
 [...]
 https://docker.1panel.live

使用代理拉取镜像

创建配置文件

sudo mkdir -p /etc/systemd/system/docker.service.d

sudo vim /etc/systemd/system/docker.service.d/http-proxy.conf

在文件中添加代理

[Service]
Environment="HTTP_PROXY=http://127.0.0.1:1080"
Environment="HTTPS_PROXY=http://127.0.0.1:1080"

重启Docker

sudo systemctl daemon-reload
sudo systemctl restart docker

查看环境变量

sudo systemctl show --property=Environment docker

本地代理转发到服务器

使用SSH反向转发把本地的10808端口的流量转发给远程服务器1080端口

ssh -R 1080:127.0.0.1:10808 root@服务器地址 -N

-N 代表仅连接但不打开对话框

备用方法：打包镜像到本地

1：压缩保存镜像到本地

docker save 镜像名 > 镜像名.tar

2：手动上传到另一个服务器

3：另一个服务器解压镜像

docker load < 镜像名.tar

4：查看镜像

docker images

Docker Hub 镜像测速

拉取镜像时，可使用 time 统计所花费的总时间。测速前记得移除本地的镜像。

例如：time docker pull node:latest

为Docker启用IPV6

创建或修改/etc/docker/daemon.json文件

增加如下配置：

{
  "ipv6": true,
  "fixed-cidr-v6": "2001:db8:1::/64"
}

重启：sudo systemctl restart docker

卸载Docker

sudo systemctl stop docker
sudo apt-get purge docker-ce docker-ce-cli containerd.io
sudo rm -rf /etc/docker /var/lib/docker

Docker最新稳定加速源列表

提供者	镜像加速地址	说明	加速类型
1panel	`https://docker.1panel.live`	无限制	Docker Hub
毫秒镜像	`https://docker.1ms.run`	有黑名单&可选国内CDN	Docker Hub
DaoCloud	`https://docker.m.daocloud.io`	白名单和限流	Docker Hub
华为云	`https://***.mirror.swr.myhuaweicloud.com`	需登录分配	Docker Hub
腾讯云	`https://mirror.ccs.tencentyun.com`	仅限腾讯云机器	Docker Hub
南京大学	`https://ghcr.nju.edu.cn`	ghcr加速	ghcr
南京大学	`https://k8s.nju.edu.cn`	k8s加速	k8s

参考链接

https://docs.docker.com/registry/recipes/mirror/
https://status.1panel.top/status/docker

转载自 emohe.cn 国内从 Docker Hub 拉取镜像有时会遇到困难，此时可以配置镜像加速器。