实战指南:在CentOS 7.9上构建高可用RKE2集群并集成Rancher 2.9.1管理平台
1. 环境准备与系统优化
在CentOS 7.9上部署高可用RKE2集群前,系统环境的准备就像盖房子前打地基一样重要。我遇到过不少因为基础环境没配好导致后续部署失败的案例,这里把关键步骤拆解成小白也能跟上的操作流程。
先说说硬件配置要求。管理节点建议至少4核CPU、8GB内存和100GB磁盘空间,工作节点可以适当降低配置。网络方面需要确保所有节点在同一个局域网段,互相能通过主机名和IP访问。我习惯用三台机器做最小化高可用部署,两台管理节点加一台工作节点,这样即使一台管理节点挂了集群还能继续运行。
主机名和IP配置是第一个容易踩坑的地方。很多人在多节点部署时图省事直接用IP操作,后期维护时发现k8s各种证书报错。正确的做法是每台机器都要设置唯一主机名,比如:
hostnamectl set-hostname minio1 # 第一台执行 hostnamectl set-hostname minio2 # 第二台执行 hostnamectl set-hostname minio3 # 第三台执行接着配置静态IP避免DHCP导致的地址变化问题。编辑网卡配置文件时要注意CentOS 7.9默认使用eth0网卡:
vi /etc/sysconfig/network-scripts/ifcfg-eth0内容模板参考(以minio1为例):
TYPE="Ethernet" BOOTPROTO="none" DEFROUTE="yes" IPADDR="10.2.64.91" PREFIX="24" GATEWAY="10.2.64.1" DNS1="8.8.8.8" ONBOOT="yes"系统优化部分有几个重点必须做:
- 关闭防火墙和SELinux:k8s需要大量端口通信,生产环境可以用更精细的规则,但测试环境直接关闭更方便
- 时间同步:集群对时间敏感,ntpdate和chrony双保险
- 内核升级:CentOS 7.9默认内核(3.10)对k8s支持不好,建议升级到5.4以上长期支持版
内核升级的具体操作(使用阿里云镜像加速):
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org yum -y install https://mirrors.aliyun.com/elrepo/elrepo-release-7.el7.elrepo.noarch.rpm yum --enablerepo=elrepo-kernel install kernel-lt -y grub2-set-default 0 && grub2-mkconfig -o /boot/grub2/grub.cfg reboot2. RKE2集群部署实战
RKE2是Rancher开发的轻量级Kubernetes发行版,相比kubeadm部署更简单,内置了容器运行时、网络插件等组件。我在生产环境实测发现它的稳定性确实比原生k8s要好,特别适合中小规模集群。
2.1 管理节点部署
第一台管理节点的部署是关键,这里分享几个避坑技巧。首先创建配置文件时,token建议用复杂字符串,我遇到过被暴力破解的情况:
mkdir -p /etc/rancher/rke2/ cat > /etc/rancher/rke2/config.yaml <<EOF token: your_secure_token_here node-name: minio1 tls-san: - 10.2.64.91 - minio1 system-default-registry: "registry.cn-hangzhou.aliyuncs.com" kube-proxy-arg: - "proxy-mode=ipvs" - "ipvs-strict-arp=true" EOF国内用户一定要设置system-default-registry参数,否则拉取镜像会非常慢甚至失败。安装时使用国内镜像源加速:
curl -sfL https://rancher-mirror.rancher.cn/rke2/install.sh | \ INSTALL_RKE2_MIRROR=cn \ INSTALL_RKE2_METHOD=tar sh -启动服务后别急着操作,等2-3分钟让组件初始化完成。检查状态的正确姿势:
systemctl enable --now rke2-server journalctl -u rke2-server -f # 实时查看日志2.2 高可用配置
单管理节点部署太简单,生产环境至少要三个管理节点。第二、第三台节点的配置要注意server参数指向第一台的IP:
server: https://10.2.64.91:9345 token: your_secure_token_here # 必须与第一台相同 node-name: minio2 tls-san: 10.2.64.91加入集群后验证高可用性有个小技巧:随便一个节点执行kubectl get nodes -w,然后重启当前主管理节点,观察kubectl连接是否自动切换到其他节点。
2.3 工作节点加入
工作节点要安装rke2-agent而不是server,config.yaml配置示例:
server: https://10.2.64.91:9345 token: your_secure_token_here node-name: worker1 system-default-registry: "registry.cn-hangzhou.aliyuncs.com"安装命令与server节点略有不同:
curl -sfL https://rancher-mirror.rancher.cn/rke2/install.sh | \ INSTALL_RKE2_MIRROR=cn \ INSTALL_RKE2_TYPE="agent" \ INSTALL_RKE2_METHOD=tar sh -3. Rancher 2.9.1集成指南
Rancher是k8s的"管理驾驶舱",2.9.1版本对国内用户特别友好,内置了很多优化。不过安装过程比RKE2复杂些,需要先部署cert-manager处理证书。
3.1 Helm工具准备
Helm是k8s的包管理工具,相当于Linux的yum。安装时注意版本兼容性:
wget https://mirrors.aliyun.com/helm/v3.16.1/helm-v3.16.1-linux-amd64.tar.gz tar zxvf helm-v3.16.1-linux-amd64.tar.gz mv linux-amd64/helm /usr/local/bin/ helm version # 验证安装3.2 cert-manager部署
证书管理是Rancher安装最容易出错的环节。使用国内镜像源的完整命令:
helm repo add jetstack https://charts.jetstack.io --force-update helm install cert-manager jetstack/cert-manager \ --namespace cert-manager \ --create-namespace \ --version v1.15.0 \ --set installCRDs=true \ --set image.repository=registry.cn-hangzhou.aliyuncs.com/google_containers/cert-manager-controller \ --set webhook.image.repository=registry.cn-hangzhou.aliyuncs.com/google_containers/cert-manager-webhook \ --set cainjector.image.repository=registry.cn-hangzhou.aliyuncs.com/google_containers/cert-manager-cainjector验证安装成功的正确方法:
kubectl -n cert-manager get pods # 应该看到3个Pod运行 kubectl get crd | grep cert-manager # 应该列出多个CRD3.3 Rancher核心安装
终于到主角登场了!Rancher的Helm chart配置有很多可调参数,这里给出生产环境验证过的配置:
helm repo add rancher-latest https://releases.rancher.com/server-charts/latest helm install rancher rancher-latest/rancher \ --namespace cattle-system \ --version 2.9.1 \ --create-namespace \ --set hostname=rancher.yourdomain.com \ --set replicas=3 \ --set ingress.tls.source=letsEncrypt \ --set letsEncrypt.email=your@email.com \ --set rancherImage=registry.cn-hangzhou.aliyuncs.com/rancher/rancher \ --set systemDefaultRegistry=registry.cn-hangzhou.aliyuncs.com \ --set bootstrapPassword=Admin@123456安装完成后别急着访问,先检查所有Pod状态:
kubectl -n cattle-system get deployments kubectl -n cattle-system get pods -o wide通常需要5-10分钟所有组件才能就绪。遇到镜像拉取失败时,可以手动到节点上执行crictl pull拉取镜像。
4. 集群验证与调优
部署完成不是终点,我见过太多人在这步翻车。分享几个必做的验证项和调优技巧。
4.1 基础功能验证
首先检查节点状态,所有节点应该都是Ready:
kubectl get nodes -o wide然后创建测试Deployment验证调度功能:
kubectl create deployment nginx --image=nginx:alpine kubectl scale deployment nginx --replicas=3 kubectl get pods -o wide | grep nginx网络验证最容易被忽视,跨节点Pod之间要能互相ping通:
kubectl run test-net --image=alpine --restart=Never --rm -it -- ping <另一个Pod的IP>4.2 性能调优参数
RKE2默认配置比较保守,生产环境建议调整:
- kubelet参数:增加镜像拉取并发数
kubelet-arg: - "max-concurrent-downloads=10"- etcd调优:提升大集群性能
etcd-extra-args: - "heartbeat-interval=500" - "election-timeout=5000"- 控制平面资源预留:避免系统进程饿死
kube-controller-manager-arg: - "kube-api-burst=100" - "kube-api-qps=50"4.3 日常维护技巧
维护RKE2集群有些小窍门:
- 升级版本时先备份:
/var/lib/rancher/rke2/server/cred目录 - 查看组件日志:
journalctl -u rke2-server -f - 重置集群:
/usr/local/bin/rke2-uninstall.sh - 添加节点时如果token丢失,可以在server节点查看:
cat /var/lib/rancher/rke2/server/token
Rancher的管理也有讲究:
- 首次登录后立即修改admin密码
- 定期备份Rancher的PostgreSQL数据库
- 使用项目(Project)隔离不同团队资源
- 开启监控和告警功能