Multus CNI v4.0.2 DaemonSet 部署问题分析与解决方案

问题背景

Multus CNI 是一个 Kubernetes 网络插件，允许单个 Pod 连接多个网络接口。在部署 Multus CNI v4.0.2 版本时，用户遇到了 DaemonSet 初始化容器执行失败的问题，错误信息显示系统无法找到 cp 命令。

问题现象

当用户尝试部署 Multus CNI v4.0.2 版本时，DaemonSet 的初始化容器（initContainer）在执行 cp 命令时失败，错误信息为：

exec: "cp": executable file not found in $PATH: unknown

有趣的是，当用户将容器镜像切换为 "multus-cni:snapshot-thick" 时，问题得到解决。

根本原因分析

经过深入分析，我们发现这个问题主要由以下几个因素导致：

1. 镜像构建差异：Multus CNI 提供了两种类型的镜像构建方式：

   • "thin" 镜像：最小化镜像，移除了非必要的工具（包括 cp 命令）
   • "thick" 镜像：包含完整工具集的镜像

2. 版本不匹配：用户配置中混合使用了 v4.0.2 和 v4.0.0 版本的镜像，虽然这不是直接导致问题的原因，但可能引发其他兼容性问题。

3. 架构兼容性问题：部分用户报告在 arm64 架构节点上会遇到类似问题，这是因为构建管道可能没有正确生成多架构镜像。

解决方案

针对这个问题，我们推荐以下几种解决方案：

方案一：使用 thick 镜像

最简单的解决方案是使用 thick 版本的镜像，这些镜像包含了完整的工具集：

image: multus-cni:v4.0.2-thick

方案二：调整命令格式

对于 initContainer，建议使用更明确的命令格式：

command: ["cp"]
args: ["/usr/src/multus-cni/bin/multus-shim", "/host/opt/cni/bin/multus-shim"]

方案三：手动构建镜像

对于特殊架构（如 arm64）的需求，可以考虑从源代码手动构建镜像，确保包含所有必要的工具和正确的架构支持。

最佳实践建议

1. 版本一致性：确保 DaemonSet 中所有容器使用相同版本的 Multus CNI 镜像。

2. 镜像选择：根据部署环境选择适当的镜像类型：

   • 生产环境：推荐使用 thick 镜像确保稳定性
   • 资源受限环境：可以考虑 thin 镜像，但需要确保所有必要工具可用

3. 架构兼容性检查：在混合架构集群中部署时，确认镜像支持所有节点架构。

总结

Multus CNI 的镜像构建策略导致了这次部署问题。理解 thin 和 thick 镜像的区别对于成功部署至关重要。通过选择正确的镜像类型和版本，可以避免这类基础工具缺失的问题，确保网络插件在 Kubernetes 集群中正常运行。

对于生产环境，我们强烈推荐使用 thick 镜像版本，它不仅包含了必要的工具，还能减少因工具缺失导致的意外问题。同时，保持整个部署配置中版本的一致性也是避免兼容性问题的关键。