centos下k8s网络配置怎样实现

CentOS下Kubernetes网络配置实现指南

一、前置准备

在配置Kubernetes网络前，需完成以下基础环境设置，确保集群节点间通信正常：

1. 关闭防火墙与SELinux
   防火墙和SELinux可能拦截网络流量，测试环境可临时关闭：

   systemctl stop firewalld && systemctl disable firewalld # 关闭防火墙 setenforce 0 # 临时关闭SELinux sed -i 's/enforcing/disabled/' /etc/selinux/config # 永久关闭SELinux 

2. 禁用Swap分区
   Kubernetes要求禁用Swap，否则Pod网络可能异常：

   swapoff -a # 临时禁用 sed -i '/swap/s//#/' /etc/fstab # 永久禁用 

3. 配置静态IP
   为每个节点（Master/Node）配置静态IP，编辑/etc/sysconfig/network-scripts/ifcfg-ens33（网卡名以实际为准）：

   TYPE=Ethernet BOOTPROTO=static ONBOOT=yes IPADDR=192.168.1.100 # 节点IP NETMASK=255.255.255.0 # 子网掩码 GATEWAY=192.168.1.1 # 网关 DNS1=8.8.8.8 # DNS 

   重启网络服务生效：systemctl restart network。
4. 时间同步
   安装chrony同步时间，避免因时间差导致集群问题：

   yum install chrony -y systemctl enable chronyd --now 

二、安装Kubernetes基础组件

确保已安装kubelet、kubeadm、kubectl（版本需一致）：

yum install -y kubelet kubeadm kubectl systemctl enable kubelet --now 

三、初始化Kubernetes集群（指定Pod CIDR）

使用kubeadm初始化集群时，需指定Pod网络的CIDR范围（后续网络插件需匹配此范围）：

kubeadm init --pod-network-cidr=10.244.0.0/16 # Flannel默认CIDR，若用Calico可改为192.168.0.0/16 

初始化完成后，配置kubectl访问集群：

mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config 

四、选择并部署网络插件

Kubernetes需通过CNI插件实现Pod网络，常见插件及部署步骤如下：

1. Flannel（简单易用，适合基础场景）

Flannel通过overlay网络实现Pod通信，不支持网络策略：

kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml 

验证插件状态：

kubectl get pods -n kube-system # 查看Flannel Pod是否Running 

2. Calico（支持网络策略，安全性高）

Calico提供细粒度的网络策略控制，适合生产环境：

kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml 

验证插件状态：

kubectl get pods -n kube-system | grep calico # 查看Calico Pod是否Running 

3. Weave Net（支持加密，多云环境）

Weave Net部署简单，支持自动加密：

kubectl apply -f https://cloud.weave.works/k8s/net?k8s-version=$(kubectl version | base64 tr -d '\n') 

五、验证网络连通性

1. 部署测试Pod
   创建两个Nginx Pod用于测试：

   kubectl run nginx1 --image=nginx --port=80 kubectl run nginx2 --image=nginx --port=80 kubectl get pods -o wide # 查看Pod IP 

2. 测试Pod间通信
   进入nginx1 Pod，ping nginx2的IP：

   kubectl exec -it nginx1 -- /bin/sh ping <nginx2的IP> 

   若能ping通，说明Pod网络配置成功。

六、配置网络策略（可选，增强安全性）

若使用Calico，可通过NetworkPolicy限制Pod间流量，例如：仅允许default命名空间内nginx Pod访问redis Pod：

apiVersion: projectcalico.org/v3 kind: NetworkPolicy metadata: name: allow-nginx-to-redis namespace: default spec: selector: app == 'redis' ingress: - from: - namespaceSelector: name == 'default' podSelector: app == 'nginx' ports: - protocol: TCP port: 6379 

应用策略：

kubectl apply -f network-policy.yaml 

七、常见问题排查

• Pod无法通信：检查网络插件Pod是否Running（kubectl get pods -n kube-system）；确认--pod-network-cidr与插件配置一致。
• 节点无法加入集群：检查kubeadm join命令是否过期（有效期24小时）；确认节点网络可达。

通过以上步骤，可在CentOS上完成Kubernetes网络配置，实现Pod间通信及可选的安全策略控制。根据实际需求选择合适的网络插件，并参考官方文档优化配置。