深度实战K8s集群中Flannel网络插件的离线部署全指南1. 为什么需要离线部署Flannel在Kubernetes集群的搭建过程中网络插件的部署往往是关键一步。Flannel作为最流行的CNI插件之一其官方镜像默认从Docker Hub拉取。然而在实际生产环境中尤其是国内网络环境下经常会遇到镜像拉取失败、速度缓慢甚至完全无法访问的情况。这不仅会导致集群初始化失败还可能影响后续的运维工作。我曾经在一个金融行业客户现场遇到过这样的场景由于安全策略限制所有节点都无法直接访问外网而集群又必须当天交付。通过手动导入Flannel镜像的方式我们最终在2小时内完成了整个集群的网络部署。这种离线部署的方法后来成为了我们团队的标准操作流程。2. 准备工作获取离线镜像包2.1 官方镜像下载首先需要从官方渠道获取Flannel的镜像文件。推荐两种可靠的方式通过GitHub Releases下载wget https://github.com/flannel-io/flannel/releases/download/v0.25.1/flannel-v0.25.1-amd64.docker使用docker save导出如果已有可访问Docker Hub的环境docker pull flannel/flannel:v0.25.1 docker save -o flannel-v0.25.1.tar flannel/flannel:v0.25.12.2 镜像完整性校验下载完成后务必进行校验以确保文件完整sha256sum flannel-v0.25.1-amd64.docker对比输出结果与官方发布的校验值是否一致。这一步经常被忽略但却是避免后续问题的关键。3. 镜像导入适配不同容器运行时3.1 Docker环境下的导入对于仍在使用Docker作为容器运行时的集群导入过程相对简单docker load -i flannel-v0.25.1.tar导入后检查镜像是否可用docker images | grep flannel3.2 Containerd环境下的导入大多数新版本K8s集群默认使用containerd导入方式略有不同ctr -n k8s.io images import flannel-v0.25.1.tar验证镜像是否成功导入ctr -n k8s.io images list | grep flannel注意containerd的k8s.io命名空间是Kubernetes专用的必须指定-n参数4. 配置Flannel部署文件4.1 修改YAML的关键点原始的Flannel部署文件需要做以下几处修改imagePullPolicy改为Never或IfNotPresent镜像地址去掉仓库前缀直接使用镜像名称initContainers配置确保与主容器使用相同的本地镜像4.2 完整配置示例apiVersion: apps/v1 kind: DaemonSet metadata: name: kube-flannel-ds namespace: kube-flannel spec: template: spec: containers: - name: kube-flannel image: flannel:v0.25.1 imagePullPolicy: Never initContainers: - name: install-cni image: flannel:v0.25.1 imagePullPolicy: Never4.3 配置参数对比表参数原始值离线部署值说明imagedocker.io/flannel/flannel:v0.25.1flannel:v0.25.1去掉仓库前缀imagePullPolicyAlwaysNever禁止从远程拉取command/opt/bin/flanneld/opt/bin/flanneld保持不变5. 部署与验证5.1 应用配置kubectl apply -f kube-flannel.yml5.2 验证部署状态检查Pod是否正常运行kubectl -n kube-flannel get pods查看日志确认无错误kubectl -n kube-flannel logs pod-name5.3 网络连通性测试创建一个测试Pod验证网络功能kubectl run -it --rm --imagealpine testpod -- sh ping 10.244.1.1 # 替换为其他节点的Pod IP6. 常见问题排查6.1 镜像导入失败可能原因及解决方案文件损坏重新下载并校验SHA256权限不足使用sudo或确保当前用户在docker/ctr组存储空间不足清理旧镜像或扩容磁盘6.2 Pod启动失败典型错误现象ImagePullBackOff检查imagePullPolicy是否为NeverCrashLoopBackOff查看日志确认flanneld是否正常启动6.3 网络不通排查步骤确认各节点flannel Pod都正常运行检查节点路由表是否有10.244.0.0/16相关条目验证防火墙是否放行VXLAN流量通常UDP 8472端口7. 高级技巧与优化建议7.1 批量部署方案对于大规模集群可以编写自动化脚本完成所有节点的镜像分发for node in $(kubectl get nodes -o name | cut -d/ -f2); do scp flannel-v0.25.1.tar $node:/tmp/ ssh $node ctr -n k8s.io images import /tmp/flannel-v0.25.1.tar done7.2 版本升级策略离线环境下的升级流程下载新版本镜像到管理节点按照上述方法导入所有节点修改Flannel YAML中的镜像版本滚动更新DaemonSet7.3 镜像缓存方案建议在本地搭建镜像仓库作为缓存部署Harbor或简单的Docker Registry将Flannel镜像推送到本地仓库修改YAML使用本地仓库地址这种方法尤其适合需要频繁部署的场景。8. 安全注意事项镜像来源只从官方渠道获取镜像避免使用第三方修改版权限控制确保flannel Pod运行在最小必要权限下网络隔离如果环境允许限制flannel相关端口的访问范围日志审计定期检查flannel日志排查异常行为在一次政府项目部署中我们发现直接使用离线镜像虽然解决了网络问题但也带来了版本管理的挑战。为此我们建立了内部的镜像校验流程每个使用的镜像都必须有对应的数字签名和版本记录。这种严谨的做法后来帮助我们快速定位和解决了一个由镜像版本不一致导致的网络故障。