K8S 1.28.2 + Calico 3.27.3 完美避坑指南：解决节点NotReady和DNS Pending问题

K8S 1.28.2 + Calico 3.27.3 完美避坑指南：解决节点NotReady和DNS Pending问题

搭建Kubernetes集群时，网络插件配置不当往往是新手踩坑的重灾区。最近在社区里看到不少朋友反馈节点状态持续NotReady、CoreDNS一直Pending的问题，这通常与版本兼容性和网络插件初始化失败有关。本文将基于实战经验，手把手带你用K8S 1.28.2和Calico 3.27.3这对黄金组合避开常见陷阱。

1. 版本选择的艺术

选择Kubernetes和网络插件版本就像搭配西装和领带——看似随意实则暗藏玄机。Calico官方文档明确标注了各版本K8S的适配范围，但很多开发者容易忽略这个关键信息。

版本匹配黄金法则：

• Kubernetes 1.28.x 最佳适配 Calico 3.25.x-3.27.x
• 避免使用边缘版本（如K8S最新版+Calico老版本）
• 生产环境建议选择经过充分验证的次新版本

提示：使用kubectl version --short检查当前集群版本时，注意Client和Server版本可能不同

常见版本冲突症状包括：

1. CNI配置文件无法自动生成
2. kubelet持续报NetworkPluginNotReady错误
3. CoreDNS Pod始终处于Pending状态

2. 环境准备与安装流程

2.1 系统基础配置

在开始前，确保所有节点满足以下条件：

# 关闭swap sudo swapoff -a sudo sed -i '/ swap / s/^/#/' /etc/fstab # 设置内核参数 cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf overlay br_netfilter EOF sudo modprobe overlay sudo modprobe br_netfilter # 设置sysctl参数 cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-ip6tables = 1 net.ipv4.ip_forward = 1 EOF sudo sysctl --system

2.2 使用kubeadm初始化集群

推荐使用以下命令初始化控制平面：

sudo kubeadm init \ --kubernetes-version=v1.28.2 \ --pod-network-cidr=192.168.0.0/16 \ --service-cidr=10.96.0.0/12 \ --upload-certs

关键参数说明：

• --pod-network-cidr必须与后续Calico配置一致
• --service-cidr避免与现有网络冲突
• --upload-certs简化多控制平面部署

3. Calico网络插件部署

3.1 安装Calico 3.27.3

执行以下命令部署经过验证的稳定版本：

kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.27.3/manifests/tigera-operator.yaml kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.27.3/manifests/custom-resources.yaml

验证安装成功的三个关键点：

1. 检查CNI二进制文件：

   ls /opt/cni/bin/ | grep calico

   应包含calico和calico-ipam

2. 检查网络配置文件：

   ls /etc/cni/net.d/

   应存在10-calico.conflist

3. 查看Pod状态：

   watch kubectl get pods -n calico-system

   所有Pod最终应变为Running

3.2 常见安装问题排查

当节点状态异常时，按以下顺序排查：

1. 检查kubelet日志：

   journalctl -u kubelet -f

   重点关注cni config uninitialized类错误

2. 验证网络插件目录：

   ls -l /etc/cni/net.d/

   若目录为空，说明Calico未正确安装

3. 检查节点污点：

   kubectl describe node | grep Taints

   可能需要移除node.kubernetes.io/not-ready污点

4. CoreDNS故障处理

当CoreDNS处于Pending状态时，通常是因为网络插件未就绪。解决方法：

1. 先确认网络插件正常工作
2. 删除并重建CoreDNS部署：

   kubectl delete deployment coredns -n kube-system kubectl apply -f https://github.com/kubernetes/kubernetes/blob/release-1.28/cluster/addons/dns/coredns/coredns.yaml

3. 检查DNS服务Endpoint：

   kubectl get endpoints kube-dns -n kube-system

注意：直接修改CoreDNS配置可能导致配置丢失，建议通过ConfigMap持久化变更

5. 高级调试技巧

对于顽固的节点NotReady问题，可以尝试：

方法一：完整重置环境

kubeadm reset -f rm -rf /etc/cni/net.d /opt/cni/bin iptables -F

方法二：手动清理网络命名空间

ip -all netns delete

方法三：深度检查网络连接

# 检查Calico节点通信 kubectl exec -ti -n calico-system calico-node-xxxx -- /bin/bash ping <其他节点IP> # 验证BGP连接 calicoctl node status

在最近的一次生产环境部署中，我们发现当内核版本低于5.4时，Calico 3.27.3可能出现间歇性网络中断。升级内核后问题消失，这提醒我们基础设施的每个环节都可能影响最终效果。