轻量云Cloud
在阿里云 ECS(Elastic Compute Service)上运行 Docker 和 Kubernetes,对操作系统有明确且关键的要求。以下是分层说明(兼顾通用性与阿里云最佳实践):
✅ 一、Docker 对操作系统的最低要求(官方标准)
Docker Engine 官方支持的 Linux 发行版及内核要求(以 Docker CE 24.x 为例):
| 要求项 | 最低要求 | 推荐/注意事项 |
|---|---|---|
| Linux 内核版本 | ≥ 3.10(但强烈建议 ≥ 4.18 或 ≥ 5.4) | 旧内核(如 3.10)缺乏 cgroups v2、overlay2 优化、安全特性(如 seccomp、userns),存在兼容性与安全隐患;ECS 默认镜像多为 ≥ 4.18(如 Alibaba Cloud Linux 3 / CentOS Stream 9 / Ubuntu 22.04) |
| 存储驱动支持 | 必须支持 overlay2(推荐)或 aufs(已弃用) |
确保文件系统为 xfs(需启用 ftype=1)或 ext4;不支持 NTFS、FAT、Btrfs(非生产环境)等 |
| Cgroups 版本 | cgroups v1 或 v2(Docker 20.10+ 全面支持 v2) | 推荐启用 cgroups v2(需内核 ≥ 4.15 + 启动参数 systemd.unified_cgroup_hierarchy=1),Kubernetes 1.25+ 默认依赖 v2 |
| 必需内核模块 | overlay, br_netfilter, ip_vs, ip_vs_rr, ip_vs_wrr, ip_vs_sh, nf_conntrack, nf_nat 等 |
运行 modprobe overlay && modprobe br_netfilter 应无报错;br_netfilter 是 kube-proxy IPVS 模式必需 |
| 用户命名空间(可选但推荐) | 内核 ≥ 3.8 + CONFIG_USER_NS=y |
提升容器隔离安全性(Docker 默认禁用,需 --userns-remap 配置) |
🔍 验证命令:
uname -r # 检查内核版本 lsmod | grep overlay # 检查 overlay 模块 cat /proc/sys/net/bridge/bridge-nf-call-iptables # 应为 1(需 sysctl 配置) docker info | grep "Storage Driver" # 确认使用 overlay2
✅ 二、Kubernetes 对操作系统的额外要求(v1.25+ 生产推荐)
Kubernetes 不直接限制 OS,但其组件(kubelet、containerd、CNI 插件等)依赖底层 OS 能力:
| 要求项 | 说明 |
|---|---|
| OS 发行版兼容性 | ✅ 强烈推荐: • Alibaba Cloud Linux 3(阿里云深度优化,预装 kernel ≥ 5.10,原生支持 eBPF、cgroups v2、安全加固) • Ubuntu 22.04 LTS(kernel 5.15,长期支持,生态完善) • CentOS Stream 9 / Rocky Linux 9(RHEL 9 衍生,kernel 5.14+,systemd 250+) ❌ 不推荐/已废弃: • CentOS 7(EOL 2024-06,kernel 3.10,cgroups v1 仅,缺乏现代安全特性) • Debian 10(Buster)、Ubuntu 18.04(EOL 2023-04) |
| systemd | 必须启用(kubelet 作为 systemd service 运行;cgroups v2 依赖 systemd) |
| SELinux/AppArmor | 若启用 SELinux(如 RHEL/CentOS/Rocky),需配置正确策略(container-selinux 包);AppArmor(Ubuntu)需加载对应 profile |
| 时钟同步 | 必须运行 chronyd 或 systemd-timesyncd(Kubernetes 要求节点时间偏差 < 1s) |
| ulimit & sysctl 调优 | kubelet 要求: • nofile ≥ 65536• nproc ≥ 65536• vm.max_map_count ≥ 262144(Elasticsearch 等有状态服务常用)• net.ipv4.ip_forward = 1(必须)• net.bridge.bridge-nf-call-iptables = 1(必须) |
⚠️ 阿里云 ECS 特别提示:
- 使用 Alibaba Cloud Linux 3 镜像(官方文档)是最优选择:默认开启 cgroups v2、eBPF 提速、内核热补丁、容器安全加固。
- 避免使用 Windows Server ECS 运行 Kubernetes(仅支持 Windows Worker 节点,且需特殊配置,控制平面仍需 Linux)。
✅ 三、阿里云 ECS 实操建议(最佳实践)
| 场景 | 推荐方案 |
|---|---|
| 新建集群(生产) | ✅ ECS 实例选择 Alibaba Cloud Linux 3(UEK kernel 5.10+) 或 Ubuntu 22.04 LTS ✅ 使用 containerd(非 Docker Engine)作为 CRI(Kubernetes 1.24+ 默认移除 dockershim) ✅ 通过 ACK(阿里云容器服务) 托管集群(自动适配 OS、内核、网络插件) |
| 自建 K8s(kubeadm) | ✅ 禁用 swap:swapoff -a && sed -i '/ swap / s/^/#/' /etc/fstab✅ 配置 sysctl.conf:bash<br> net.bridge.bridge-nf-call-iptables = 1<br> net.ipv4.ip_forward = 1<br> vm.swappiness = 0<br>✅ 安装 containerd(≥ 1.6.0)并配置 SystemdCgroup = true(匹配 cgroups v2) |
| 安全合规 | ✅ 启用内核安全模块(SELinux/AppArmor) ✅ 使用 auditd 记录系统调用✅ 定期更新内核(尤其修复 CVE-2023-25136、CVE-2022-0492 等容器逃逸漏洞) |
📌 总结:一句话答案
在阿里云 ECS 上生产运行 Docker 和 Kubernetes,应选用内核 ≥ 5.4(推荐 ≥ 5.10)、支持 cgroups v2 和 overlay2 的现代 Linux 发行版,首选 Alibaba Cloud Linux 3 或 Ubuntu 22.04 LTS,并确保内核模块、sysctl 参数、systemd 及安全策略正确配置。避免使用 EOL 系统(如 CentOS 7)或老旧内核。
如需具体部署脚本(如 kubeadm 初始化、containerd 配置、Alibaba Cloud Linux 3 优化项),我可为你提供完整清单 👇
是否需要?