K8s 集群总搭失败？多节点报错有解吗？附命令！

黄老师

“按教程搭 K8s 集群，节点连不上；好不容易启动服务，多节点通信又报‘Timeout’；翻日志半天找不到问题？” 不少运维、开发新手都被这些报错卡过，其实 K8s 集群搭建涉及环境、网络、配置等环节，一点小疏漏就会翻车。今天针对 “集群搭建失败”“多节点报错”，拆解决策方案 + 实操命令，帮你少走弯路。

点击查看>>>深入解析 Kubernetes 架构组成，手把手完成 K8s 环境的安装、配置视频教学

一、先排查：K8s 集群搭建前的 3 个 “基础坑”

（一）环境配置得达标

• 系统版本：CentOS 选 7.9/8.5，Ubuntu 选 20.04/22.04，别用 CentOS 6 这类旧版本，多数 K8s 组件不兼容；
• 内核参数：必须开 “网桥转发” 和 “IPv4 转发”，否则 Pod 间没法通信。执行命令检查，返回 “1” 才合格：
  bash

  # 检查网桥转发 sysctl net.bridge.bridge-nf-call-iptables # 检查IPv4转发 sysctl net.ipv4.ip_forward
  没开启的话，用这两条命令配置并生效：
  bash

  echo "net.bridge.bridge-nf-call-iptables=1" >> /etc/sysctl.conf echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p 
• 依赖包：得提前装 containerd（或 Docker）、kubelet、kubeadm、kubectl，少一个都不行。以 CentOS 为例，安装命令参考：
  bash

  # 装containerd yum install -y containerd.io # 配置K8s源 cat <<EOF > /etc/yum.repos.d/kubernetes.repo [kubernetes]
  name=Kubernetes
  baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-\$basearch enabled=1
  gpgcheck=1
  gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
  exclude=kubelet kubeadm kubectl
  EOF # 装指定版本的kube组件（1.28版适配性强） yum install -y kubelet-1.28.0 kubeadm-1.28.0 kubectl-1.28.0 --disableexcludes=kubernetes

（二）防火墙与 SELinux 要关掉

• 关防火墙：CentOS 用 firewalld，Ubuntu 用 ufw，以 CentOS 为例：
  bash

  systemctl stop firewalld
  systemctl disable firewalld
• 关 SELinux：这是 Linux 安全模块，会限制容器资源访问。临时关用setenforce 0，永久关得改配置文件：
  bash

  # 临时关闭 setenforce 0 # 永久关闭（编辑/etc/selinux/config，把SELINUX=enforcing改成SELINUX=disabled） vi /etc/selinux/config

（三）容器运行时配置要对齐

• Containerd 配置：得设 “SystemdCgroup=true”，不然 Kubelet 管不了容器：
  bash

  # 生成默认配置 containerd config default > /etc/containerd/config.toml # 编辑文件，找到对应字段改成true vi /etc/containerd/config.toml # 找到[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options] # 把SystemdCgroup改成true # 重启生效 systemctl restart containerd
• Docker 配置（用 Docker 的话）：要加 “exec-opts”: ["native.cgroupdriver=systemd"]，和 Kubelet 的 Cgroup 驱动保持一致，不然报 “Cgroup driver mismatch”：
  bash

  # 编辑Docker配置 vi /etc/docker/daemon.json # 加下面内容 { "exec-opts": ["native.cgroupdriver=systemd"] } # 重启Docker和Kubelet systemctl restart docker systemctl restart kubelet

二、多节点报错：3 类高频问题 + 命令级解决

（一）Master 初始化失败：“kubeadm init” 报错

• 报错 1：镜像拉取超时（Failed to pull image k8s.gcr.io/xxx）
  原因：默认镜像源在国外，国内服务器拉不下来。
  解决：用阿里云镜像源，初始化时加参数：
  bash

  kubeadm init --image-repository registry.aliyuncs.com/google_containers --pod-network-cidr=10.244.0.0/16
• 报错 2：etcd 启动失败（etcd exited with code 1）
  原因：之前初始化过，etcd 数据有残留，或端口被占。
  解决：重置 K8s + 清数据，再重新初始化：
  bash

  # 强制重置 kubeadm reset -f # 清etcd数据（默认目录/var/lib/etcd） rm -rf /var/lib/etcd/* # 重新执行上面的初始化命令 

（二）Worker 加不进集群：“kubeadm join” 报错

• 报错 1：Token 已过期（error: token has expired）
  原因：Token 默认 24 小时过期，超期用不了。
  解决：在 Master 节点重新生成 Token：
  bash

  # 生成新的join命令，直接复制用 kubeadm token create --print-join-command
• 报错 2：连接 Master 超时（dial tcp 192.168.1.100:6443: connect: connection refused）
  原因：Master 的 6443 端口没开，或 Worker 与 Master 网络不通。
  解决：先在 Worker 节点测端口连通性：
  bash

  # 测Master的6443端口，替换成自己的MasterIP nc -zv 192.168.1.100 6443 
  不通的话，检查 Master 防火墙（参考第一部分关防火墙）或网络是否互通。

（三）节点通信异常：“kubectl get nodes” 显示 NotReady

• 原因 1：没装网络插件（Calico/Flannel）
  K8s 靠网络插件实现 Pod 通信，没装就一直 NotReady。推荐装 Calico：
  bash

  # 在Master节点执行，Pod网段要和初始化时一致 kubectl apply -f https://docs.projectcalico.org/v3.26/manifests/calico.yaml # 等几分钟再看节点状态 kubectl get nodes
• 原因 2：节点内存不足（K8s 至少要 2GB 内存）
  内存不够，Kubelet 启动不了。执行free -h看内存，不够就扩容，或关无用服务：
  bash

  # 查看内存 free -h # 比如关httpd服务 systemctl stop httpd

三、避坑技巧：K8s 集群搭建的 3 个 “好习惯”

（一）用配置文件初始化，少踩参数坑

# 生成默认配置 kubeadm config print init-defaults > kubeadm-config.yaml # 编辑文件，改镜像源（k8s.gcr.io→registry.aliyuncs.com/google_containers） # 改Pod网段（podSubnet: ""→podSubnet: 10.244.0.0/16） vi kubeadm-config.yaml # 用配置文件初始化 kubeadm init --config=kubeadm-config.yaml

（二）报错先查日志，定位问题更快

• 查 Kubelet 日志（最常用）：
  bash

  journalctl -u kubelet -f 
• 查 etcd 日志（Master 节点，etcd 有问题会影响集群）：
  bash

  journalctl -u etcd -f 

（三）记录关键命令，后续维护方便