Kubekey 使用普通用户部署 Kubernetes 集群的注意事项

Kubekey 作为一款优秀的 Kubernetes 集群部署工具，在实际生产环境中经常需要以普通用户身份进行部署。本文将详细介绍使用普通用户部署时需要注意的关键配置点，帮助用户避免常见问题。

普通用户部署的核心要求

使用普通用户通过 SSH 方式部署 Kubernetes 集群时，必须确保该用户具备以下条件：

1. SSH 免密登录配置：需要在所有节点间配置 SSH 密钥对，确保部署节点可以无密码访问其他节点。

2. sudo 权限配置：普通用户必须拥有 sudo 权限，且建议配置为免密码 sudo 模式。这是因为 Kubekey 在部署过程中需要执行大量需要 root 权限的操作。

3. 正确的配置文件：在集群配置文件中需要明确指定用户名和认证文件路径。

典型配置示例

以下是一个标准的配置文件示例，展示了如何正确配置普通用户部署：

apiVersion: kubekey.kubesphere.io/v1alpha2
kind: Cluster
metadata:
  name: sample
spec:
  hosts:
  - name: node201
    address: 192.168.0.201
    internalAddress: 192.168.0.201
    user: me
    authPath: "/home/me/.ssh/id_rsa"
  - name: node202
    address: 192.168.0.202
    internalAddress: 192.168.0.202
    user: me
    authPath: "/home/me/.ssh/id_rsa"
  roleGroups:
    etcd:
    - node201
    control-plane:
    - node201
    worker:
    - node202

常见问题排查

当遇到部署失败时，特别是出现 sudo 密码提示时，应该检查以下方面：

1. sudoers 配置验证：确保在 /etc/sudoers 文件中正确配置了免密码 sudo 权限。可以使用 visudo 命令安全地编辑该文件。

2. SSH 连接测试：手动测试从部署节点到其他节点的 SSH 连接，确认无需密码即可登录。

3. 认证文件权限检查：确保认证文件权限设置为 600，其他用户不可读。

4. 环境变量传递：Kubekey 使用 sudo -E 来保留环境变量，确保这不会影响 sudo 权限验证。

最佳实践建议

1. 为 Kubekey 部署专门创建一个具有 sudo 权限的系统账户，而不是使用个人账户。

2. 在测试环境中先验证配置，确认无误后再在生产环境部署。

3. 使用 Ansible 等工具预先配置所有节点的 sudo 权限和 SSH 访问，确保基础环境一致。

4. 详细记录部署过程中使用的用户权限和配置，便于后续维护和问题排查。

通过遵循以上指导原则，用户可以顺利使用普通用户完成 Kubernetes 集群的部署工作，同时保持系统的安全性和可维护性。