已知问题
已知问题会定期更新,旨在告知您在下一个即将发布的版本中可能无法立即解决的任何问题。
Snap Docker
如果您计划将 K3s 与 docker 一起使用,则不建议使用通过 snap 包安装的 Docker,因为它已知会导致运行 K3s 出现问题。
Iptables
如果您在 nftables 模式下运行 iptables v1.6.1 及更旧版本,可能会遇到问题。我们建议使用较新的 iptables(例如 1.6.1+)以避免问题,或运行 iptables 传统模式。
update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
Iptables 版本 1.8.0-1.8.4 存在已知问题,可能导致 K3s 失败。一些流行的 Linux 发行版默认情况下会附带这些版本。一个错误会导致重复规则的累积,这会对节点的性能和稳定性产生负面影响。请参阅 问题 #3117,了解有关如何确定您是否受此问题影响的信息。
K3s 包含一个正常工作的 iptables 版本(v1.8.8),其功能正常。您可以告诉 K3s 使用其捆绑的 iptables 版本,方法是使用 --prefer-bundled-bin 选项启动 K3s,或从您的操作系统中卸载 iptables/nftables 包。
版本限制
--prefer-bundled-bin 标志从 2022-12 版本(v1.26.0+k3s1、v1.25.5+k3s1、v1.24.9+k3s1、v1.23.15+k3s1)开始可用。
无根模式
使用无根模式运行 K3s 处于实验阶段,并且存在一些 已知问题。
将强化集群从 v1.24.x 升级到 v1.25.x
Kubernetes 从 v1.25 中删除了 PodSecurityPolicy,转而使用 Pod 安全标准。您可以在 上游文档 中阅读有关 PSS 的更多信息。对于 K3S,如果在节点上配置了任何 PodSecurityPolicy,则必须执行一些手动步骤。
- 在所有节点上,更新
kube-apiserver-arg值以删除PodSecurityPolicy准入插件。改为添加以下 arg 值:'admission-control-config-file=/var/lib/rancher/k3s/server/psa.yaml',但**不要**立即重启或升级 K3S。以下是在此更新后节点要强化的配置示例
protect-kernel-defaults: true
secrets-encryption: true
kube-apiserver-arg:
- 'admission-control-config-file=/var/lib/rancher/k3s/server/psa.yaml'
- 'audit-log-path=/var/lib/rancher/k3s/server/logs/audit.log'
- 'audit-policy-file=/var/lib/rancher/k3s/server/audit.yaml'
- 'audit-log-maxage=30'
- 'audit-log-maxbackup=10'
- 'audit-log-maxsize=100'
kube-controller-manager-arg:
- 'terminated-pod-gc-threshold=10'
- 'use-service-account-credentials=true'
kubelet-arg:
- 'streaming-connection-idle-timeout=5m'
- 使用以下内容创建
/var/lib/rancher/k3s/server/psa.yaml文件。您可能也希望豁免更多命名空间。以下示例豁免了kube-system(必需)、cis-operator-system(可选,但在通过 Rancher 运行安全扫描时很有用)和system-upgrade(如果执行 自动升级,则必需)。
apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: PodSecurity
configuration:
apiVersion: pod-security.admission.config.k8s.io/v1beta1
kind: PodSecurityConfiguration
defaults:
enforce: "restricted"
enforce-version: "latest"
audit: "restricted"
audit-version: "latest"
warn: "restricted"
warn-version: "latest"
exemptions:
usernames: []
runtimeClasses: []
namespaces: [kube-system, cis-operator-system, system-upgrade]
apiVersion: v1
kind: Namespace
metadata:
name: system-upgrade
labels:
# This value must be privileged for the controller to run successfully.
pod-security.kubernetes.io/enforce: privileged
pod-security.kubernetes.io/enforce-version: v1.25
# We are setting these to our _desired_ `enforce` level, but note that these below values can be any of the available options.
pod-security.kubernetes.io/audit: privileged
pod-security.kubernetes.io/audit-version: v1.25
pod-security.kubernetes.io/warn: privileged
pod-security.kubernetes.io/warn-version: v1.25
- 升级完成后,删除集群中任何剩余的 PSP 资源。在许多情况下,在
/var/lib/rancher/k3s/server/manifests/中用于强化的自定义文件中可能存在 PodSecurityPolicies 和关联的 RBAC 资源。删除这些资源,k3s 将自动更新。有时,由于时间问题,其中一些资源可能会保留在集群中,在这种情况下,您需要手动删除它们。如果之前遵循了 强化指南,则应该能够通过以下方式删除它们
# Get the resources associated with PSPs
$ kubectl get roles,clusterroles,rolebindings,clusterrolebindings -A | grep -i psp
# Delete those resources:
$ kubectl delete clusterrole.rbac.authorization.k8s.io/psp:restricted-psp clusterrole.rbac.authorization.k8s.io/psp:svclb-psp clusterrole.rbac.authorization.k8s.io/psp:system-unrestricted-psp clusterrolebinding.rbac.authorization.k8s.io/default:restricted-psp clusterrolebinding.rbac.authorization.k8s.io/system-unrestricted-node-psp-rolebinding && kubectl delete -n kube-system rolebinding.rbac.authorization.k8s.io/svclb-psp-rolebinding rolebinding.rbac.authorization.k8s.io/system-unrestricted-svc-acct-psp-rolebinding