云服务器
在阿里云 ECS(Elastic Compute Service)上运行 Docker 和 Kubernetes(如通过 ACK、K3s、或自建 K8s),对操作系统有明确且关键的要求。以下是详细说明,分为 Docker 和 Kubernetes 两层,并强调 ECS 场景下的实际约束与最佳实践:
✅ 一、Docker 对操作系统的最低要求(适用于 ECS)
| 项目 | 要求 | 说明 |
|---|---|---|
| Linux 发行版 | ✅ 支持主流发行版: • CentOS 7.6+ / CentOS Stream 8/9 • Alibaba Cloud Linux 2/3(强烈推荐) • Ubuntu 18.04 LTS / 20.04 LTS / 22.04 LTS • Debian 10/11/12 • Rocky Linux / AlmaLinux 8/9 |
❌ 不支持 Windows Server(除非使用 Docker Desktop for Windows,但 ECS 是 Linux 实例); ❌ CentOS 6 及更早版本已不再支持(Docker CE ≥ 20.10 要求内核 ≥ 3.10,且依赖 systemd)。 |
| 内核版本 | ⚠️ ≥ 3.10(最低),推荐 ≥ 4.18 或更高 | • 高版本内核提供更好的 cgroups v2、overlay2 存储驱动支持、安全特性(如 seccomp、AppArmor); • Alibaba Cloud Linux 3 默认启用 cgroups v2 + overlay2,性能与稳定性更优。 |
| cgroups 版本 | ✅ 推荐启用 cgroups v2(需内核 ≥ 4.15 + systemd 启用);⚠️ cgroups v1 仍兼容,但部分新特性(如 Kubernetes 1.25+ 的 CPUManager 策略)需 v2 |
在 ECS 中可通过 /proc/cgroups 或 stat /sys/fs/cgroup/cgroup.controllers 检查;Alibaba Cloud Linux 3 默认启用 cgroups v2。 |
| 存储驱动 | ✅ overlay2(唯一推荐且默认) | • 要求:XFS(带 ftype=1)或 ext4 文件系统;• ❌ aufs(已弃用)、devicemapper(不推荐,仅限 legacy 模式); • ECS 创建实例时建议选择 cloud-init 初始化的系统盘(默认 ext4/XFS),避免 LVM 或 RAID 导致 overlay2 兼容问题。 |
| SELinux/AppArmor | ✅ 支持,但需正确配置: • CentOS/RHEL/Alibaba Cloud Linux:SELinux 应为 enforcing 或 permissive(禁用可能导致安全风险);• Ubuntu/Debian:AppArmor 需启用 |
Docker 官方支持 SELinux/AppArmor,但若关闭需显式配置 --selinux-enabled=false(不推荐)。 |
📌 ECS 特别提示:
- 首选 Alibaba Cloud Linux 2/3:深度适配阿里云虚拟化(KVM)、优化内核、预装 docker-ce、自动处理 cgroups/overlay2、长期免费更新,是 ACK 节点官方推荐 OS。
- 避免使用 EOL(End-of-Life)系统:如 CentOS 7 已于 2024-06-30 停止维护,生产环境应升级至 Alibaba Cloud Linux 3 或 Ubuntu 22.04 LTS。
✅ 二、Kubernetes(K8s)对操作系统的额外要求(叠加 Docker)
Kubernetes 本身不直接依赖特定 OS,但其组件(kubelet、containerd、CNI 插件等)和运行时(Docker 或 containerd)对 OS 有组合性要求:
| 维度 | 要求 | 说明 |
|---|---|---|
| OS 兼容性 | ✅ 与 Docker 要求基本一致,但更严格: • Kubernetes 官方支持列表:Ubuntu, Debian, CentOS/RHEL, Rocky/Alma, Amazon Linux 2/2023, Alibaba Cloud Linux |
• ACK(阿里云容器服务)仅正式支持:Alibaba Cloud Linux 2/3、CentOS 7.x(历史兼容)、Ubuntu 18.04+/20.04+/22.04; • Kubernetes ≥ 1.24 已移除 dockershim → 若继续用 Docker,需通过 cri-dockerd 适配层(非原生,运维复杂);强烈建议迁移到 containerd(ACK 默认、更轻量、更稳定)。 |
| 内核参数调优(必需) | ✅ 必须启用以下内核模块 & 参数:bash<br>modprobe br_netfilter<br>sysctl -w net.bridge.bridge-nf-call-iptables=1<br>sysctl -w net.ipv4.ip_forward=1<br>sysctl -w net.ipv4.tcp_tw_reuse=1<br> | • ECS 实例默认可能未开启 br_netfilter;• 需写入 /etc/sysctl.conf 并 sysctl -p 持久化;• 否则 kube-proxy/IPVS/CNI(如 Terway/Flannel)将无法工作。 |
|
| 时间同步 | ✅ 必须启用 NTP/chrony(如 chronyd 或 systemd-timesyncd) |
• 节点间时间偏差 > 1s 可导致 etcd 故障、证书失效、调度异常; • ECS 默认启用 chronyd(Alibaba Cloud Linux/Ubuntu),需确认 timedatectl status。 |
| 用户与权限 | ✅ kubelet 运行用户需有: • 访问 /var/run/docker.sock(若用 Docker)或 /run/containerd/containerd.sock 权限;• CAP_NET_ADMIN, CAP_SYS_ADMIN 等能力(由 systemd service 配置);• /etc/kubernetes/pki 目录读写权限(证书管理) |
• 使用 ACK 托管节点池时,这些已自动配置; • 自建需确保 kubelet.service 正确设置 Capabilities= 和 ReadWritePaths=。 |
| 文件描述符 & 进程数 | ✅ 提升系统限制:bash<br>echo "* soft nofile 65536" >> /etc/security/limits.conf<br>echo "* hard nofile 65536" >> /etc/security/limits.conf<br>echo "vm.max_map_count=262144" >> /etc/sysctl.conf<br> | • 大规模 Pod 场景下,低限制会导致 Too many open files 或 Cannot allocate memory 错误;• ECS 实例规格越高,越需调优(尤其计算密集型节点)。 |
✅ 三、ECS 上的推荐实践(生产环境)
| 项目 | 推荐方案 | 理由 |
|---|---|---|
| 操作系统 | ✅ Alibaba Cloud Linux 3(x86_64 / ARM64) | • 内核 5.10+,默认 cgroups v2 + overlay2 + eBPF; • 与 ACK 深度集成,一键部署、自动打补丁、性能优化; • 免费、LTS 支持至 2029。 |
| 容器运行时 | ✅ containerd(非 Docker) | • Kubernetes 1.24+ 原生支持,无 dockershim 开销; • ACK 默认、更轻量、启动更快、安全性更高; • Docker CE 本身也基于 containerd,多一层抽象无必要。 |
| Kubernetes 部署方式 | ✅ 使用 ACK(阿里云容器服务)托管集群 | • 自动处理 OS 配置、内核调优、证书轮换、节点升级; • 支持弹性伸缩(ECI/ASK)、安全沙箱(runv)、GPU 调度等; • 避免自建 etcd/kube-apiserver 的运维负担。 |
| 实例规格与磁盘 | ✅ 系统盘 ≥ 100GB(SSD),推荐 ESSD PL1 或更高; ✅ 数据盘(如挂载 /var/lib/containerd)用独立 SSD |
• 避免 overlay2 占满系统盘导致节点 NotReady; • 高 IO 场景下,本地盘性能优于云盘(但注意数据持久化策略)。 |
❌ 四、常见不兼容/高风险场景(务必规避)
| 场景 | 风险 | 解决方案 |
|---|---|---|
| 在 CentOS 6 或 Ubuntu 16.04 上部署 Kubernetes 1.25+ | ❌ 内核过旧(< 3.10)、缺少 cgroups v2、systemd 版本低 → kubelet 启动失败 | 升级 OS 至受支持版本(如 Alibaba Cloud Linux 3) |
使用 Docker 作为运行时且未安装 cri-dockerd(K8s ≥ 1.24) |
❌ kubelet 无法连接容器运行时 → 所有 Pod Pending | ✅ 切换至 containerd;或手动部署 cri-dockerd(不推荐生产) |
ECS 实例未开启 ip_forward 或 br_netfilter |
❌ Pod 网络不通、Service VIP 不可达 | 运行 sudo sysctl -w net.ipv4.ip_forward=1 && sudo modprobe br_netfilter 并持久化 |
SELinux 设置为 disabled(而非 permissive/enforcing) |
❌ 某些 CNI 插件(如 Calico)或安全策略异常 | 设为 permissive 测试,再根据日志调整策略,或使用 ACK 默认策略 |
🔚 总结:一句话答案
在阿里云 ECS 上运行 Docker 和 Kubernetes,推荐使用 Alibaba Cloud Linux 3(内核 ≥ 5.10,启用 cgroups v2 和 overlay2),搭配 containerd 运行时,并通过 ACK 托管集群;必须配置内核参数(
ip_forward,br_netfilter)、时间同步及系统资源限制。避免使用已停止维护的 OS(如 CentOS 7)或过时内核。
如需具体配置脚本(如一键初始化 ECS 节点)、ACK 节点池配置示例,或 containerd 替换 Docker 的迁移步骤,我可立即为您提供 👇