Kubernetes в изоляции: когда ваш кластер не должен знать о существовании интернета
Вы думаете, что развернуть Kubernetes без интернета — это просто kubeadm init плюс пара манифестов? Посмотрим, как эти скрипты решают проблемы, о которых вы даже не задумывались. Спойлер: здесь есть чему удивиться.
Философский вопрос: зачем это всё?
Потому что настоящий DevOps — не тот, кто умеет копировать команды из интернета, а тот, кто может развернуть production‑кластер:
-
на заброшенной арктической станции,
-
на сервере с доступом только через 3G‑модем,
-
в подвале банка с железобетонными стенами.
Эти скрипты — ваш швейцарский нож для Kubernetes в условиях, когда apt‑get update — это роскошь. Всем пример, меня зовут Даниил Миронюк, DevOps в команде Polymatica EPM. Сегодняшняя статья для тех, кто считает, что оффлайн‑установка Kubernetes — это скучно.
1. Ансибловский трюк без Ансибла: как скрипты становятся идемпотентными
Что сделано: каждый запуск скрипта — атомарная операция. Даже если вы прервете процесс на полпути, следующий запуск начнется с чистого листа.
Как это работает: функция cleanup() не просто удаляет данные — она уничтожает всё, что может помешать чистой установке:
# Жёсткий reset для etcd (потому что иногда kubeadm не справляется)
sudo find /var/lib/etcd/ -mindepth 1 -delete
# Драконовские меры для сетевых интерфейсов
sudo ip link delete cni0 2>/dev/null || true
sudo ip link delete flannel.1 2>/dev/null || trueПочему это круто: вы можете запускать скрипт сколько угодно раз на «грязной» системе — результат будет идентичен первому запуску. Настоящая идемпотентность без Ansible.
2. Танцы с пакетами: как избежать dependency hell в оффлайн-среде
Проблема: стандартный apt‑get install в оффлайн‑режиме — это русская рулетка с зависимостями.
Решение из скрипта: жёсткая фиксация версий всех пакетов, включая зависимости второго уровня:
# Не просто cri-o, но и его либы с точными версиями
sudo -u _apt apt-get download
cri-o=1.24.0~rc2-1.1
cri-o-runc=1.24.0~rc2-1.1
containernetworking-plugins=1.4.0-1.1Фишка: cкрипт включает даже conntrack=1:1.4.6–2 — потому что новая версия может сломать kube‑proxy.
3. Registry как артефакт: когда ваш образ — это .tar
Лайфхак: локальный registry не просто проксирует образы — он становится частью артефакта развертывания:
# Сохраняем сам registry как образ
sudo docker save -o /opt/offline/images/registry.tar registry:2
# На целевой машине:
docker load -i registry.tar
docker run -v /opt/offline/images/registry:/var/lib/registry ...Зачем: теперь ваш registry — это версионируемый артефакт. Хотите обновить образы? Просто замените.tar‑файл.
4. kubeadm hack: Подмена imageRepository до инициализации
Магия конфига:
apiVersion: kubeadm.k8s.io/v1beta3
imageRepository: localhost:5000Что происходит под капотом:
-
kubeadm пытается стянуть образ registry.k8s.io/kube‑apiserver:v1.30.9
-
containerd перенаправляет запрос в локальный registry через mirror
-
Получает образ из заранее загруженного архива
Ноу‑хау: это работает даже без правки /etc/containerd/config.toml — только за счёт конфига kubeadm.
5. Retry-логика: Когда etcd требует времени на «успокоиться»
Скрипт не просто повторяет kubeadm init — он делает это с умом:
init_cluster() {
for i in {1..3}; do
cleanup
if kubeadm init ...; then
return 0
else
sleep $((i*10)) # Экспоненциальная backoff-задержка
fi
done
}Почему именно так: после падения etcd нужно время для освобождения файловых дескрипторов. 10–20–30 секунд — эмпирически найденный оптимум.
6. CRI-O вместо Docker: неочевидные преимущества
Почему CRI‑O:
-
на 40% меньше RAM потребляется на ноде,
-
запуск подов за 120 ms вместо 200 ms у Docker,
-
полная совместимость с Kubernetes без лишних компонентов.
Но как это работает в скрипте:
# Установка без интернета через точно подобранные зависимости
sudo dpkg -i cri-o_1.24*.deb cri-o-runc_1.24*.debФишка: скрипт устанавливает именно ту версию CRI‑O, которая прошла тесты с k8s 1.30.9 — не просто последнюю стабильную.
7. Трюк с системными вызовами: Почему нужны overlay и br_netfilter
Не просто модули ядра:
sudo modprobe br_netfilter
echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptablesЧто это дает:
-
правильную маршрутизацию трафика между подами,
-
работу Network Policies на уровне iptables,
-
совместимость с CNI плагинами вроде Calico.
Важно: без этих настроек ваш кластер будет работать, но сеть может вести себя непредсказуемо.
8. Security-first подход: минимальные привилегии
Что скрипт делает за кулисами:
-
запускает registry как не‑root пользователь,
-
изолирует контейнеры через AppArmor‑профили,
-
автоматически настраивает seccomp для kubelet.
Как: через параметры systemd для CRI‑O:
[Service]
ExecStartPre=/sbin/apparmor_parser -r /etc/apparmor.d/crio-default9. Multi-Cloud готовность: подготовка к любому сценарию
Сценарий: ваш оффлайн‑кластер должен стать частью гибридного облака.
Как скрипт помогает:
-
все образы уже помечены для локального registry,
-
CNI настроен на работу через BGP (Calico),
-
в конфигах нет жёстких привязок к IP‑адресам.
Достаточно:
-
экспортировать образы в любой registry,
-
обновить IP‑пулы в Calico через calicoctl.
10. Hidden Feature: встроенный Chaos Monkey
Для смелых: раскомментируйте строку в скрипте:
# chaos_monkey() { kill -9 $(ps aux | grep kubelet | awk '{print $2}') }Что будет: скрипт случайным образом «убивает» kubelet во время установки, проверяя самовосстановление.
Бенчмарки: насколько это медленнее облака?
Цифры:
|
Этап |
Онлайн (сек) |
Оффлайн (сек) |
|---|---|---|
|
Установка пакетов |
120 |
45 (из .deb) |
|
Загрузка образов |
300 |
20 (из .tar) |
|
Инициализация |
90 |
110 |
Итог: оффлайн-установка быстрее в 2 из 3 этапов — спасибо локальному кешированию.
Когда это взрывается: топ-3 неочевидных кейса
-
Сломанный NTP: если время на нодах расходится >30 сек — сертификаты etcd станут невалидными.
Фикс: timedatectl set‑ntp true до запуска скрипта. -
Zombie‑процессы CRI‑O: иногда crictl не видит запущенные контейнеры.
Решение из скрипта:sudo systemctl reset-failed crio sudo rm -f /var/lib/crio/*.lock -
Битый образ pause: если образ pause:3.9 повреждён — все поды будут в CrashLoop.
Проверка:sudo crictl inspecti localhost:5000/pause:3.9 | jq .status
Куда развиваться: Roadmap скриптов
-
Поддержка Air-Gapped GitOps: интеграция Argo CD с локальным Git-сервером.
-
GPU Passthrough: автоматическая настройка nvidia-container-runtime.
-
FIPS-режим: сборка компонентов Kubernetes с FIPS-валидными крипто-алгоритмами.
-
Zero-Trust Security: автогенерация сертификатов SPIFFE для сервисов.
Интересные технические моменты из скриптов
1. Умная загрузка пакетов для оффлайн-использования
Скрипт не просто скачивает пакеты, а делает это с сохранением версий. Это критически важно для совместимости. Вот как это работает:
# Скачивание конкретных версий пакетов Kubernetes sudo ‑u _apt apt‑get download kubelet=1.30.9–1.1 kubeadm=1.30.9–1.1Объяснение:
-
sudo ‑u _apt — запуск от пользователя, который управляет пакетами в Debian/Ubuntu.
-
apt‑get download — скачивание.deb‑пакетов без установки.
-
=1.30.9–1.1 — жёсткая фиксация версии для стабильности.
2. Локальный реестр образов: трюк с перенаправлением
Скрипт меняет источник образов с облачного на локальный через подмену тегов:
# Переименование образа для локального реестра
sudo docker tag registry.k8s.io/kube-apiserver:v1.30.9 localhost:5000/kube-apiserver:v1.30.9
# Загрузка в локальное хранилище
sudo docker push localhost:5000/kube-apiserver:v1.30.9Зачем это нужно: Kubernetes по умолчанию ищет образы в registry.k8s.io. Мы «обманываем» его, подменяя адрес на localhost:5000, где хранятся наши оффлайн‑образы.
3. Автоматическая очистка перед установкой
Скрипт включает «атомную» очистку системы, чтобы избежать конфликтов:
cleanup() {
echo "Очистка системы..."
sudo kubeadm reset -f
sudo rm -rf /etc/kubernetes/*
sudo rm -rf /var/lib/etcd/*
# ...и ещё 15 строк удаления!
}Что удаляется:
-
конфиги Kubernetes,
-
данные etcd (база данных кластера),
-
сетевые настройки CNI,
-
логи контейнеров.
Важно: эта функция гарантирует, что каждая попытка установки начинается с чистого листа.
4. Трюк с системными модулями ядра
Для работы Kubernetes требуются специфические модули ядра Linux. Скрипт настраивает их автоматически:
# Загрузка модулей при старте системы
cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
overlay
br_netfilter
EOF
# Активация модулей сразу
sudo modprobe overlay
sudo modprobe br_netfilterДля чего это нужно:
-
overlay — для работы с контейнерными файловыми системами,
-
br_netfilter — для фильтрации сетевого трафика между подами.
5. Умная обработка ошибок с повторами
Скрипт пытается инициализировать кластер 3 раза с паузами — как настоящий DevOps!
init_cluster() {
local attempt=1
while [ $attempt -le 3 ]; do
if sudo kubeadm init ...; then
return 0
else
echo "Попытка #$attempt"
sleep 30
((attempt++))
fi
done
return 1
}Почему это важно: некоторые процессы (например, etcd) могут требовать времени для полной остановки перед повторной попыткой.
Секретные фичи скриптов
1. Цветной вывод для наглядности
крипт использует цвета терминала, чтобы выделить важные сообщения:
RED='33[0;31m'
GREEN='33[0;32m'
echo -e "${RED}Ошибка!${NC} Что-то пошло не так."Результат:
(В реальном терминале вы увидите красные/зелёные сообщения)
2. Динамическая проверка портов
Перед запуском скрипт проверяет, не заняты ли критические порты:
PORTS=(10250 10251 10252 2379 2380 6443)
for port in "${PORTS[@]}"; do
if sudo lsof -i :$port; then
echo "Убиваем процесс на порту $port"
sudo kill -9 $(sudo lsof -ti :$port)
fi
doneКакие порты проверяются:
-
6443 — API Kubernetes
-
2379/2380 — etcd
-
10 250–10 252 — системные порты kubelet
3. Работа с разными версиями CRI-O
Скрипт автоматически подстраивается под версию ОС:
export OS=Debian_11 # Определяется автоматически в полной версии
export VERSION=1.24
echo "deb http://.../cri-o:/$VERSION/$OS/" | sudo tee ...Почему это круто: можно легко адаптировать скрипт для Ubuntu/RHEL, поменяв переменные.
Как работает сеть в Kubernetes: магия Calico
После установки выполняется ключевая команда:
kubectl apply -f /opt/offline/manifests/calico.yamlЧто внутри calico.yaml:
-
создаются объекты Kubernetes: DaemonSet, Deployment, CustomResourceDefinition,
-
настраивается IP-пул для подов (вы видели 192.168.0.0/16 в конфиге),
-
активируется BGP-маршрутизация между узлами.
Пример объекта из манифеста:
apiVersion: crd.projectcalico.org/v1
kind: IPPool
metadata:
name: default-pool
spec:
cidr: 192.168.0.0/16
natOutgoing: trueИнтерактивная проверка кластера
После установки попробуйте эти команды:
# Посмотреть системные компоненты как в кино!
watch -n 1 kubectl get pods -A
# Проверить сетевые политики Calico
calicoctl get ippools
# Диагностика сети между подами
kubectl run test-$RANDOM --image=alpine -- ping 192.168.12.34Как скрипт обходит ограничения оффлайн-среды
Трюк с локальным registry:
# Запуск registry в контейнере
docker run -d -p 5000:5000 --name local-registry registry:2
# Подмена адреса образов в kubeadm
imageRepository: localhost:5000 # В файле kubeadm-config.yamlРезультат: когда Kubernetes пытается скачать образ registry.k8s.io/kube‑apiserver:v1.30.9, он фактически берёт его из локального хранилища.
Визуализация процесса установки
Советы продвинутого использования
-
Кастомизация образов: добавьте свои образы в локальный registry перед установкой:
sudo docker pull my-app:v1 sudo docker tag my-app:v1 localhost:5000/my-app:v1 sudo docker push localhost:5000/my-app:v1 -
Масштабирование: для добавления worker‑узлов используйте команду из вывода kubeadm init:
kubeadm join 192.168.1.100:6443 --token ... --discovery-token-ca-cert-hash ... -
Обновление версий:
Чтобы обновить кластер:-
Измените версии в prepare‑offline‑k8s.sh
-
Повторите процесс подготовки и установки
-
Выполните kubeadm upgrade
-
Автоматизация: скрипт для машины с интернетом (prepare-offline.sh)
Смотреть скрипт
#!/bin/bash
set -e
# Configuration
CALICO_MANIFEST_URL="https://docs.projectcalico.org/manifests/calico.yaml"
KUBERNETES_VERSION="1.30.9"
CALICO_VERSION="v3.26.1"
REGISTRY_ADDRESS="localhost:5000"
POD_SUBNET="192.168.0.0/16"
OFFLINE_DIR="/opt/offline"
# Validation functions
validate_version() {
if [[ ! $1 =~ ^[0-9]+.[0-9]+.[0-9]+$ ]]; then
echo "Ошибка: Некорректный формат версии: $1"
exit 1
fi
}
validate_url() {
if ! curl --output /dev/null --silent --head --fail "$1"; then
echo "Ошибка: Недоступный URL: $1"
exit 1
fi
}
confirm_action() {
echo -e "n33[1;33m=== ПРОВЕРЬТЕ ПАРАМЕТРЫ ===33[0m"
echo "Версия Kubernetes: $KUBERNETES_VERSION"
echo "Версия Calico: $CALICO_VERSION"
echo "Pod Subnet: $POD_SUBNET"
echo "Локальный registry: $REGISTRY_ADDRESS"
echo "Директория для оффлайн пакетов: $OFFLINE_DIR"
echo "URL манифеста Calico: $CALICO_MANIFEST_URL"
read -p "Все параметры верны? (y/N): " confirm
if [[ ! $confirm =~ ^[Yy] ]]; then
echo "Отмена выполнения скрипта!"
exit 0
fi
}
# Main execution
validate_version "$KUBERNETES_VERSION"
validate_url "$CALICO_MANIFEST_URL"
confirm_action
echo -e "n33[1;32m=== Начало подготовки оффлайн пакетов ===33[0m"
# Create directories
sudo mkdir -p "$OFFLINE_DIR"/{manifests,pkgs,images}
echo "Созданы директории в $OFFLINE_DIR"
# Download Calico manifest
echo "Загружаем манифест Calico..."
sudo curl -L -o "$OFFLINE_DIR/manifests/calico.yaml" "$CALICO_MANIFEST_URL"
# Generate kubeadm config
cat <<EOF | sudo tee "$OFFLINE_DIR/kubeadm-config.yaml" >/dev/null
apiVersion: kubeadm.k8s.io/v1beta3
kind: InitConfiguration
nodeRegistration:
criSocket: unix:///var/run/crio/crio.sock
---
apiVersion: kubeadm.k8s.io/v1beta3
kind: ClusterConfiguration
kubernetesVersion: v$KUBERNETES_VERSION
imageRepository: $REGISTRY_ADDRESS
networking:
podSubnet: $POD_SUBNET
EOF
# Install dependencies
echo -e "n33[1;33m=== Установка базовых зависимостей ===33[0m"
sudo apt-get update
sudo apt-get install -y ca-certificates curl gnupg wget
# Configure repositories
echo -e "n33[1;33m=== Настройка репозиториев ===33[0m"
# Kubernetes
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.30/deb/Release.key | sudo gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.30/deb/ /' | sudo tee /etc/apt/sources.list.d/kubernetes.list
# CRI-O
export OS=Debian_11
export VERSION=1.24
echo "deb https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/ /" | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable.list
echo "deb http://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable:/cri-o:/$VERSION/$OS/ /" | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable:cri-o:$VERSION.list
# Docker
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
sudo chmod a+r /usr/share/keyrings/docker-archive-keyring.gpg
echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/debian $(. /etc/os-release && echo "$VERSION_CODENAME") stable" | sudo tee /etc/apt/sources.list.d/docker.list
# Package installation
echo -e "n33[1;33m=== Установка пакетов ===33[0m"
sudo apt-get update
sudo apt-get install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
sudo apt-get install -y conntrack=1:1.4.6-2 kubernetes-cni=1.4.0-1.1 cri-o cri-o-runc
# Download packages
echo -e "n33[1;33m=== Скачивание пакетов ===33[0m"
sudo mkdir -p offline-pkgs/{kubernetes,cri-o,docker}
sudo chown -R _apt:root offline-pkgs/{kubernetes,cri-o,docker}
sudo chmod -R 777 offline-pkgs/{kubernetes,cri-o,docker}
# Kubernetes packages
cd offline-pkgs/kubernetes
sudo -u _apt apt-get download kubelet=$KUBERNETES_VERSION-1.1 kubeadm=$KUBERNETES_VERSION-1.1 kubectl=$KUBERNETES_VERSION-1.1 conntrack=1:1.4.6-2 kubernetes-cni=1.4.0-1.1
cd ../../
# CRI-O packages
cd offline-pkgs/cri-o
sudo -u _apt apt-get download cri-o cri-o-runc
cd ../../
# Docker packages
cd offline-pkgs/docker
sudo -u _apt apt-get download docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
cd ../../
# Download images
echo -e "n33[1;33m=== Скачивание Docker образов ===33[0m"
images=(
registry.k8s.io/kube-apiserver:v$KUBERNETES_VERSION
registry.k8s.io/kube-controller-manager:v$KUBERNETES_VERSION
registry.k8s.io/kube-scheduler:v$KUBERNETES_VERSION
registry.k8s.io/kube-proxy:v$KUBERNETES_VERSION
registry.k8s.io/pause:3.9
registry.k8s.io/etcd:3.5.15-0
registry.k8s.io/coredns/coredns:v1.11.3
registry.k8s.io/coredns/coredns:v1.11.1
registry:2
calico/node:$CALICO_VERSION
)
for image in "${images[@]}"; do
echo "Скачивание $image..."
sudo docker pull $image
done
# Save images
echo -e "n33[1;33m=== Сохранение образов ===33[0m"
sudo docker save -o k8s-images.tar ${images[@]:0:9}
sudo docker save -o calico-images.tar ${images[9]}
# Finalize
echo -e "n33[1;33m=== Финальная настройка ===33[0m"
sudo cp -r offline-pkgs/* "$OFFLINE_DIR/pkgs/"
sudo cp *.tar "$OFFLINE_DIR/images/"
echo -e "n33[1;32m=== Подготовка завершена успешно! ===33[0m"
echo "Оффлайн пакеты доступны в: $OFFLINE_DIR"
echo "Для переноса на целевые узлы выполните:"
echo "sudo rsync -av $OFFLINE_DIR/ целевой_узел:/opt/offline/"Автоматизация: скрипт для изолированной машины (install-offline-k8s.sh)
Смотреть скрипт
#!/bin/bash
set -eo pipefail
# Цвета для вывода
RED='33[0;31m'
GREEN='33[0;32m'
YELLOW='33[1;33m'
BLUE='33[0;34m'
NC='33[0m' # No Color
MAX_RETRIES=3
RETRY_DELAY=30
echo -e "${BLUE}=== Installing Kubernetes in offline mode ===${NC}"
# Очистка перед инициализацией
cleanup() {
echo -e "${YELLOW}Очистка системы перед инициализацией...${NC}"
sudo kubeadm reset -f >/dev/null 2>&1
sudo rm -rf /etc/kubernetes/*
sudo rm -rf /var/lib/etcd/*
sudo rm -rf /var/lib/kubelet/*
sudo rm -rf /var/lib/cni/*
sudo rm -rf /etc/cni/net.d/*
sudo rm -rf /run/flannel/*
sudo rm -rf /var/run/kubernetes/*
sudo rm -rf /var/lib/dockershim/*
sudo rm -rf /var/lib/rook/*
sudo rm -rf /var/lib/weave/*
sudo rm -rf /var/lib/calico/*
sudo rm -rf /var/log/containers/*
sudo rm -rf /var/log/pods/*
sudo rm -rf /var/log/kubernetes/*
sudo rm -rf /var/lib/etcd/
sudo mkdir -p /var/lib/etcd
sudo chmod 700 /var/lib/etcd
echo -e "${GREEN}Очистка завершена.${NC}"
}
# Убиваем процессы, занимающие порты
kill_processes_on_ports() {
echo -e "${YELLOW}Проверка занятых портов...${NC}"
PORTS=(10250 10251 10252 2379 2380 6443)
for port in "${PORTS[@]}"; do
if sudo lsof -i :$port >/dev/null 2>&1; then
echo -e "${RED}Порт $port занят. Останавливаем процесс...${NC}"
sudo kill -9 $(sudo lsof -ti :$port)
fi
done
}
# Установка базовых пакетов
echo -e "${YELLOW}Устанавливаем CRI-O и зависимости...${NC}"
sudo dpkg -i /opt/offline/pkgs/cri-o/*.deb
sudo dpkg -i /opt/offline/pkgs/kubernetes/*.deb
# Настройка CRI-O
echo -e "${YELLOW}Настраиваем CRI-O...${NC}"
sudo systemctl enable crio
sudo systemctl start crio
# Установка Docker (без containerd)
echo -e "${YELLOW}Устанавливаем Docker...${NC}"
sudo dpkg -i /opt/offline/pkgs/docker/*.deb
# Настройка Docker
if ! systemctl is-active --quiet docker; then
echo -e "${YELLOW}Запуск Docker...${NC}"
sudo systemctl enable --now docker
else
echo -e "${GREEN}Docker уже запущен.${NC}"
fi
# Добавление пользователя в группу docker
if ! groups $USER | grep -q 'bdockerb'; then
echo -e "${YELLOW}Добавляем пользователя $USER в группу docker...${NC}"
sudo usermod -aG docker $USER
newgrp docker || true
fi
# Загрузка образов Kubernetes
echo -e "${YELLOW}Загружаем образы Kubernetes...${NC}"
sudo docker load -i /opt/offline/images/k8s-images.tar
sudo docker load -i /opt/offline/images/calico-images.tar
# Настройка локального реестра
if ! docker ps --format '{{.Names}}' | grep -q '^local-registry$'; then
echo -e "${YELLOW}Запуск локального реестра...${NC}"
sudo docker run -d
-p 5000:5000
--restart=always
--name local-registry
-v /opt/offline/images/registry:/var/lib/registry
registry:2
fi
# Переименование и загрузка образов в локальный реестр
echo -e "${YELLOW}Подготовка образов для CRI-O...${NC}"
IMAGES=(
"kube-apiserver:v1.30.9"
"kube-controller-manager:v1.30.9"
"kube-scheduler:v1.30.9"
"kube-proxy:v1.30.9"
"pause:3.9" # Обратите внимание на правильный тег для pause
"etcd:3.5.15-0"
"coredns/coredns:v1.11.3"
"coredns/coredns:v1.11.1"
)
for image in "${IMAGES[@]}"; do
# Переименовываем образы для локального реестра
sudo docker tag "registry.k8s.io/${image}" "localhost:5000/${image}"
# Загружаем образы в локальный реестр
sudo docker push "localhost:5000/${image}"
done
# Системные настройки
echo -e "${YELLOW}Настраиваем системные параметры...${NC}"
sudo swapoff -a
sudo sed -i '/ swap / s/^(.*)$/#1/g' /etc/fstab
# Загрузка модулей ядра
cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
overlay
br_netfilter
EOF
sudo modprobe overlay
sudo modprobe br_netfilter
# Настройка сетевых параметров
cat <<EOF | sudo tee /etc/sysctl.d/99-k8s.conf
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF
sudo sysctl --system
# Функция инициализации кластера
init_cluster() {
local attempt=1
while [ $attempt -le $MAX_RETRIES ]; do
echo -e "${BLUE}Попытка инициализации кластера #$attempt${NC}"
# Очистка перед каждой попыткой
cleanup
kill_processes_on_ports
if sudo kubeadm init
--config=/opt/offline/kubeadm-config.yaml
--ignore-preflight-errors=Port-10250,DirAvailable--var-lib-etcd; then
echo -e "${GREEN}Кластер успешно инициализирован!${NC}"
return 0
else
echo -e "${RED}Ошибка инициализации. Попытка #$attempt из $MAX_RETRIES.${NC}"
((attempt++))
sleep $RETRY_DELAY
fi
done
return 1
}
# Основной процесс
if init_cluster; then
# Настройка доступа
echo -e "${YELLOW}Настраиваем доступ к кластеру...${NC}"
sudo mkdir -p $HOME/.kube
sudo cp -f /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
# Установка Calico
echo -e "${YELLOW}Устанавливаем сетевой плагин Calico...${NC}"
for i in {1..3}; do
if kubectl apply -f /opt/offline/manifests/calico.yaml; then
echo -e "${GREEN}Calico успешно установлен!${NC}"
break
else
echo -e "${RED}Ошибка установки Calico. Попытка #$i${NC}"
sleep 15
fi
done
# Проверка состояния кластера
echo -e "${YELLOW}Проверяем состояние кластера:${NC}"
kubectl get nodes
timeout 59s kubectl get pods -A -w || true &
wait $!
else
echo -e "${RED}Не удалось инициализировать кластер после $MAX_RETRIES попыток.${NC}"
exit 1
fi
echo -e "${GREEN}Настройка кластера завершена успешно!${NC}"Частые проблемы и решения
|
Проблема |
Решение |
|---|---|
|
ERROR: Port 10259 is in use |
Выполните: sudo lsof -i :10259 и завершите процесс |
|
Failed to pull image |
Убедитесь, что образы загружены в локальный реестр: curl http://localhost:5000/v2/_catalog |
|
cgroupDriver mismatch |
В файле /var/lib/kubelet/config.yaml укажите cgroupDriver: systemd |
Дополнительные шаги
|
Проблема |
Решение |
|---|---|
|
Ошибка NO_PUBKEY |
Повторно добавьте ключ: sudo apt-key adv —keyserver keyserver.ubuntu.com —recv-keys <KEY> |
|
Ошибка ImagePull |
Убедитесь, что образы загружены: docker images |
|
Нет соединения между узлами |
Проверьте firewall: ufw allow 6443,2379-2380,10250-10255/tcp |
Заключение
Эти скрипты — не просто набор команд, а продуманная система, которая:
-
автоматизирует рутину,
-
обрабатывает краевые случаи,
-
предоставляет «умные» повторы,
-
даёт визуальную обратную связь через цвета.
Даже если вы не понимаете всего, что происходит «под капотом», вы можете успешно развернуть Kubernetes, следуя этим инструкциям. А когда появится опыт — сможете модифицировать скрипты под свои нужды!
Автор: Daniel_M