K8s网络插件Flannel部署避坑指南:从镜像拉取到YAML配置的完整排错
K8s网络插件Flannel部署避坑指南:从镜像拉取到YAML配置的完整排错
1. 为什么Flannel部署总在镜像拉取环节卡壳?
刚接触Kubernetes时,Flannel网络插件的部署就像一道必经的"入门考试"。而这道考试的第一道坎,往往出现在镜像拉取环节。明明照着文档操作,却卡在ImagePullBackOff状态,这种挫败感我深有体会。
Flannel镜像拉取失败的根源通常有三类:
- 网络连通性问题:国内访问Docker Hub等境外仓库速度慢或不稳定
- 镜像标签不匹配:K8s版本与Flannel版本存在兼容性问题
- 认证配置缺失:私有仓库需要额外的认证信息
诊断镜像拉取问题时,可以按这个顺序排查:
# 查看Pod状态 kubectl get pods -n kube-flannel # 查看具体错误信息 kubectl describe pod <pod-name> -n kube-flannel # 检查节点上的镜像是否存在 docker images | grep flannel # 或者使用containerd crictl images | grep flannel当确认是镜像拉取问题时,我们有几种实用的解决方案:
| 解决方案 | 适用场景 | 操作复杂度 | 持久性 |
|---|---|---|---|
| 使用国内镜像源 | 网络访问受限 | 低 | 高 |
| 手动导入镜像 | 完全离线环境 | 中 | 中 |
| 修改imagePullPolicy | 测试环境快速验证 | 低 | 低 |
提示:生产环境建议优先考虑配置国内镜像仓库,既保证稳定性又便于后续维护。
2. Flannel镜像问题的三大实战解决方案
2.1 配置国内镜像加速
这是最推荐的长期解决方案。以阿里云镜像仓库为例:
# 在Docker配置中添加镜像加速器 sudo mkdir -p /etc/docker sudo tee /etc/docker/daemon.json <<-'EOF' { "registry-mirrors": ["https://<your-aliyun-mirror>.mirror.aliyuncs.com"] } EOF sudo systemctl restart docker对于containerd用户,配置略有不同:
# 编辑containerd配置 sudo vim /etc/containerd/config.toml # 在[plugins."io.containerd.grpc.v1.cri".registry.mirrors]下添加 [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"] endpoint = ["https://<your-aliyun-mirror>.mirror.aliyuncs.com"]2.2 手动导入离线镜像包
当网络完全不可用时,手动导入是最可靠的方式。操作步骤:
在有网络的机器上下载镜像:
docker pull docker.io/flannel/flannel:v0.25.1 docker pull docker.io/flannel/flannel-cni-plugin:v1.4.1-flannel1保存为tar包:
docker save -o flannel-v0.25.1.tar docker.io/flannel/flannel:v0.25.1 docker save -o flannel-cni-plugin-v1.4.1.tar docker.io/flannel/flannel-cni-plugin:v1.4.1-flannel1在目标节点加载镜像:
docker load -i flannel-v0.25.1.tar docker load -i flannel-cni-plugin-v1.4.1.tar
2.3 修改YAML中的镜像策略
对于快速验证的场景,可以临时修改imagePullPolicy:
containers: - name: kube-flannel image: docker.io/flannel/flannel:v0.25.1 imagePullPolicy: IfNotPresent # 修改为IfNotPresent或Never3. Flannel YAML配置文件深度解析
Flannel的部署YAML看似复杂,实则结构清晰。理解每个部分的作用,才能在遇到问题时快速定位。
3.1 关键组件解析
- Namespace:
kube-flannel为Flannel组件提供独立的运行空间 - RBAC配置:定义Flannel操作K8s资源所需的权限
- ConfigMap:包含CNI配置和网络参数
- DaemonSet:确保每个节点都运行Flannel Pod
3.2 网络配置核心参数
net-conf.json中的几个关键参数:
{ "Network": "10.244.0.0/16", // Pod网络CIDR "Backend": { "Type": "vxlan" // 网络后端类型,还支持host-gw等 } }后端类型对比:
| 类型 | 性能 | 跨子网 | 配置复杂度 |
|---|---|---|---|
| vxlan | 中 | 支持 | 低 |
| host-gw | 高 | 不支持 | 中 |
| udp | 低 | 支持 | 低 |
3.3 常见需要修改的配置项
资源限制:根据集群规模调整CPU/内存请求
resources: requests: cpu: "100m" memory: "50Mi"hostPath卷:确保路径存在且权限正确
volumes: - name: cni hostPath: path: /etc/cni/net.dinitContainers:CNI插件安装路径验证
initContainers: - name: install-cni-plugin image: docker.io/flannel/flannel-cni-plugin:v1.4.1-flannel1 command: ["cp", "-f", "/flannel", "/opt/cni/bin/flannel"]
4. 部署后验证与排错技巧
4.1 基础验证步骤
检查所有Flannel Pod是否运行正常:
kubectl get pods -n kube-flannel -o wide查看节点网络接口:
ip a show flannel.1 # vxlan接口测试跨节点Pod通信:
kubectl run test-nginx --image=nginx kubectl exec -it test-nginx -- curl <其他节点PodIP>
4.2 常见问题排查
问题1:Flannel Pod不断重启
检查方向:
- 查看Pod日志:
kubectl logs <pod-name> -n kube-flannel - 确认kubelet日志:
journalctl -u kubelet -f
问题2:跨节点Pod无法通信
排查步骤:
- 检查节点路由表:
ip route - 验证防火墙规则:
iptables -L -n -v - 测试VXLAN隧道:
tcpdump -i flannel.1
问题3:CNI配置不生效
解决方法:
- 确认
/etc/cni/net.d/下存在正确的配置文件 - 检查kubelet参数:
--cni-bin-dir和--cni-conf-dir
4.3 性能调优建议
对于大规模集群,可以考虑以下优化:
env: - name: EVENT_QUEUE_DEPTH value: "5000" # 增加事件队列深度 args: - --ip-masq - --kube-subnet-mgr - --iface=eth0 # 指定网络接口在资源允许的情况下,调整资源限制:
resources: limits: cpu: "500m" memory: "256Mi"