当前位置：首页 > news >正文

Kubernetes 入门篇之网络插件 calico 部署与安装

news 来源：原创 2025/9/19 1:59:36

在运行kubeadm init 和 join 命令部署好master和node节点后，kubectl get nodes 看到节点都是NotReady状态，这是因为没有安装CNI网络插件。

kubectl get nodes
NAME                    STATUS     ROLES           AGE     VERSION   
k8s-master   NotReady    control-plane   5d22h   v1.28.2
k8s-node1    NotReady    <none>          5d22h   v1.28.2

1. 安装

通过命令kubectl apply -f 安装：

1) 直接通过官方yaml文件安装，国内一般都下载不了，需要翻墙

kubectl apply -f "https://raw.githubusercontent.com/projectcalico/calico/v3.26.1/manifests/calico.yaml"

2) 先下载下来calico.yaml，然后执行kubectl apply -f calico.yaml，本文采用的这种方式

两种下载方式，有时网络不好下载也会失败：curl -O https://raw.githubusercontent.com/projectcalico/calico/v3.26.4/manifests/calico.yaml
wget https://github.com/projectcalico/calico/blob/v3.26.4/manifests/calico.yaml

2. 下载镜像到本地

因为calico.yaml中的image 默认使用的是官方源，国内下载不下来，需要先把镜像拉取到本地，从本地镜像启动pod。

下载地址：calico国内镜像下载地址

本文这里把cni， node，kube-controllers 写成了脚本 calico_image_pull.sh, 具体下载版本可以根据需要自行修改。

#!/bin/bashctr -n k8s.io images pull swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/calico/cni:v3.26.4-linuxarm64
ctr -n k8s.io images tag  swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/calico/cni:v3.26.4-linuxarm64  docker.io/calico/cni:v3.26.4ctr -n k8s.io images pull swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/calico/node:v3.26.4-linuxarm64
ctr -n k8s.io images tag  swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/calico/node:v3.26.4-linuxarm64  docker.io/calico/node:v3.26.4ctr -n k8s.io images pull swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/calico/kube-controllers:v3.26.4-linuxarm64
ctr -n k8s.io images tag  swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/calico/kube-controllers:v3.26.4-linuxarm64  docker.io/calico/kube-controllers:v3.26.4

3. 修改calico.yaml

由于上面给镜像tag 就是打的docker.io/calico/xxx，所以保证后面的版本号一直即可。

[root@k8s-master kylin]# cat calico.yaml | grep v3.26.4image: docker.io/calico/cni:v3.26.4image: docker.io/calico/cni:v3.26.4image: docker.io/calico/node:v3.26.4image: docker.io/calico/node:v3.26.4image: docker.io/calico/kube-controllers:v3.26.4

应用修改后的 YAML 文件：

kubectl apply -f calico.yaml

4. 检查

执行 kubectl get pods -n kube-system

NAME                                       READY   STATUS    RESTARTS      AGE
calico-kube-controllers-646957dd46-ktmkl   1/1     Running   0             36m
calico-node-jxznc                          1/1     Running   0             36m
calico-node-ztbsk                          1/1     Running   0             36m
coredns-5c55fb4899-h4v4z                   1/1     Running   0             5d22h
coredns-5c55fb4899-hpfr8                   1/1     Running   0             5d22h
etcd-k8s-master                            1/1     Running   2 (56m ago)   5d22h
kube-apiserver-k8s-master                  1/1     Running   2 (56m ago)   5d22h
kube-controller-manager-k8s-master         1/1     Running   2 (56m ago)   5d22h
kube-proxy-kx9nv                           1/1     Running   0             5d22h
kube-proxy-s5rcq                           1/1     Running   1 (56m ago)   5d22h
kube-scheduler-k8s-master                  1/1     Running   2 (56m ago)   5d22

执行 kubectl get nodes

NAME         STATUS   ROLES           AGE     VERSION
k8s-master   Ready    control-plane   5d23h   v1.28.2
k8s-node1    Ready    <none>          5d23h   v1.28.2

至此部署成功。

5. 踩坑

每个节点都需要拉取calico镜像到本地，不然执行kubectl get pods -n kube-system 存在ImagePullBackOff 状态的pod

Init:ImagePullBackOff

使用 ctr images pull 拉取镜像到本地，创建calico-node pod失败

查看pod日志， kubectl describe pod -n kube-system calico-node-xxxx 报拉取镜像失败。

Failed to pull image "docker.io/calico/cni:v3.26.4": rpc error: code = DeadlineExceeded desc = failed to pull and unpack image "docker.io/calico/cni:v3.26.4": failed to resolve reference "docker.io/calico/cni:v3.26.4": failed to do request: Head "https://registry-1.docker.io/v2/calico/cni/manifests/v3.26.4"

这个是因为kubectl 命令默认的命令空间是k8s.io，而ctr images pull 默认的空间是default，所以使用crictl images 看不到拉取的镜像，从而kubectl apply -f calico.yaml 在命令空间k8s.io中找不到相应镜像就到远程去拉，而远程又连不上，所以失败。

所以上面的脚本中指定了命令空间 ctr -n k8s.io xxxxx, 或者直接使用crictl images pull xxxx。

另外， ctr是Containerd自带的命令行工具，而crictl是Kubernetes社区提供的工具，主要用于调试和管理容器运行时接口（CRI）相关的容器和镜像。

ctr 默认操作的是 Containerd 的 default 命名空间
crictl 操作的是 Kubernetes CRI 专用的 k8s.io 命名空间

6 排错使用到的命令

kubectl logs -n kube-system calico-node-xxxxx -c calico-node //如果 Pod 处于 CrashLoopBackOff，查看 pod 日志
kubectl describe pod -n kube-system calico-node-xxxx     // 查看 Pod 详细信息kubectl delete pod -n kube-system calico-node-xxxxx  // 强制重建 Podkubectl get pods -n kube-system -l k8s-app=calico-node //查看组件状态