Docs
RKE2 vs K3s

RKE2 vs K3s

RKE2 vs K3s: 深入比較

RKE2 (Rancher Kubernetes Engine 2) 和 K3s 都是 Rancher Labs 推出的輕量級 Kubernetes 發行版,旨在簡化 Kubernetes 的部署和管理。儘管它們都強調輕量化,但各自有不同的設計目標和適用場景。本文將對 RKE2 和 K3s 進行詳細比較,幫助您根據需求選擇最適合的解決方案。

1. 簡介

RKE2

RKE2 是一個完全符合 CNCF 認證的 Kubernetes 發行版,專為邊緣、物聯網和 CI/CD 等生產環境設計。它主要關注安全性、合規性和企業級特性,同時保持輕量級。RKE2 移除了許多傳統 Kubernetes 發行版中不必要的組件,但保留了所有核心功能,並加強了安全配置。

K3s

K3s 是一個超輕量級的 Kubernetes 發行版,專為資源受限的環境設計,例如邊緣設備、物聯網、CI/CD 和開發環境。它將 Kubernetes 的所有組件打包成一個單一的二進制文件,並且只包含運行 Kubernetes 所需的最低限度組件。K3s 的目標是小巧、易用且資源佔用極低。

2. 安裝方式

RKE2 和 K3s 的安裝都非常簡單,通常只需要執行一個 curl | sh - 命令。

RKE2 安裝 

1

curl -sfL https://get.rke2.io | sh -

K3s 安裝 

1

curl -sfL https://get.k3s.io | sh -

3. 自動啟動與服務管理

RKE2

RKE2 在安裝後預設不會自動啟動 Kubernetes 節點服務。需要手動啟用或配置 systemd 服務來確保其在系統啟動時自動運行。

K3s

K3s 在安裝後會自動配置並啟動 Kubernetes 節點服務,這簡化了其部署過程。

4. CLI 工具與 kubectl 整合

RKE2

RKE2 預設包含 kubectl 命令,它位於 RKE2 的二進制目錄 /var/lib/rancher/rke2/bin/ 中。使用者可以通過配置環境變數或直接使用完整路徑來執行 kubectl。此外,RKE2 也提供一個獨立的 rke2 CLI 工具,可以執行相關管理操作。

$ rke2 --help
NAME:
rke2 - Rancher Kubernetes Engine 2

USAGE:
rke2 [global options] command [command options]

VERSION:
v1.33.5+rke2r1 (d1092839cf08cb901b1d40461b0fa6e7ae6f8fc4)

COMMANDS:
server           Run management server
agent            Run node agent
etcd-snapshot    Manage etcd snapshots
certificate      Manage RKE2 certificates
secrets-encrypt  Control secrets encryption and keys rotation
token            Manage tokens
completion       Install shell completion script
help, h          Shows a list of commands or help for one command

GLOBAL OPTIONS:
--help, -h     show help
--version, -v  print the version

K3s

K3s 預設整合了 kubectl 命令,可以直接通過 k3s kubectl 或配置 KUBECONFIG 環境變量來使用。

$ k3s
NAME:
k3s - Kubernetes, but small and simple

USAGE:
k3s [global options] command [command options]

VERSION:
v1.33.5+k3s1 (fab4a5c3)

COMMANDS:
server           Run management server
agent            Run node agent
kubectl          Run kubectl
crictl           Run crictl
ctr              Run ctr
check-config     Run config check
token            Manage tokens
etcd-snapshot    Manage etcd snapshots
secrets-encrypt  Control secrets encryption and keys rotation
certificate      Manage K3s certificates
completion       Install shell completion script
help, h          Shows a list of commands or help for one command

GLOBAL OPTIONS:
--debug                     (logging) Turn on debug logs (default: false) [$K3S_DEBUG]
--data-dir value, -d value  (data) Folder to hold state default /var/lib/rancher/k3s or ${HOME}/.rancher/k3s if not root [$K3S_DATA_DIR]
--help, -h                  show help
--version, -v               print the version

5. 預設資料庫與高可用性

RKE2

RKE2 預設使用嵌入式 etcd 作為其資料庫,這使其能夠支援多節點高可用性配置,適合需要高可靠性和數據持久性的生產級部署。

K3s

K3s 預設使用 SQLite 作為其資料庫,這使得它非常輕量級且易於部署,特別適合單節點部署。然而,在預設配置下,SQLite 不支援多伺服器節點的高可用性。為了實現高可用性,K3s 也支援使用外部資料庫(如 PostgreSQLMySQL 、 嵌入式 etcd 或外部 etcd 集群)來實現多節點集群。

6. 系統資源使用

資源使用是 RKE2 和 K3s 之間一個關鍵的區別點,尤其是在資源受限的環境中。

RKE2

RKE2 由於其企業級特性和對 etcd 的依賴,通常會比 K3s 佔用更多的系統資源。這使得 RKE2 更適合具有充足資源的伺服器或虛擬機,以確保其穩定性和性能。

# systemctl status rke2-server
● rke2-server.service - Rancher Kubernetes Engine v2 (server)
Loaded: loaded (/usr/local/lib/systemd/system/rke2-server.service; enabled; preset: enabled)
Active: active (running) since Mon 2025-11-10 05:05:55 UTC; 15min ago
Docs: https://github.com/rancher/rke2#readme
Main PID: 1559 (rke2)
Tasks: 201
Memory: 2.1G (peak: 2.6G)

分析:

  • Memory: 2.1G (peak: 2.6G) - RKE2 服務在運行時佔用較高的記憶體,峰值可達 2.6GB。這表明它在資源配置上需要更多的考量。
  • Tasks: 201 - 較多的任務數量也反映了其更為豐富的功能和組件。

K3s

K3s 以其極低的資源佔用而聞名,非常適合資源受限的環境,例如邊緣設備、物聯網裝置或小型開發伺服器。

$ systemctl status k3s
● k3s.service - Lightweight Kubernetes
Loaded: loaded (/etc/systemd/system/k3s.service; enabled; preset: enabled)
Active: active (running) since Mon 2025-11-10 05:04:20 UTC; 17min ago
Docs: https://k3s.io
Process: 1526 ExecStartPre=/sbin/modprobe br_netfilter (code=exited, status=0/SUCCESS)
Process: 1528 ExecStartPre=/sbin/modprobe overlay (code=exited, status=0/SUCCESS)
Main PID: 1529 (k3s-server)
Tasks: 92
Memory: 1.5G (peak: 1.6G)

分析:

  • Memory: 1.5G (peak: 1.6G) - K3s 服務的記憶體佔用明顯低於 RKE2,峰值約為 1.6GB,這使其在資源有限的設備上運行更具優勢。
  • Tasks: 92 - 較少的任務數量表明 K3s 裁剪了許多非核心組件,以實現其輕量級的目標。

7. 目標受眾與使用場景

RKE2 和 K3s 雖然都是輕量級 Kubernetes,但其設計目標和最佳使用場景有所不同。

RKE2

  • 目標受眾: 需要企業級安全性、合規性和穩定性的用戶,特別是那些在邊緣環境中運行關鍵任務應用程序的企業。
  • 使用場景:
    • 邊緣計算: 在邊緣位置部署需要高安全性和穩定性的應用程序。
    • CI/CD 環境: 用於構建和測試需要標準 Kubernetes 功能的應用程序。
    • 生產環境: 作為傳統 Kubernetes 的輕量級替代方案,特別是在資源有限但仍需遵循嚴格安全標準的環境。
    • 合規性要求: 適用於需要滿足特定行業合規性標準(如 FIPS 140-2)的場景。

K3s

  • 目標受眾: 需要極致輕量化、快速部署和低資源佔用的用戶,特別是開發者、物聯網設備製造商和在資源受限環境中運行的個人用戶。
  • 使用場景:
    • 物聯網 (IoT) 和邊緣設備: 在記憶體、CPU 和存儲空間都非常有限的設備上運行 Kubernetes。
    • 開發和測試環境: 快速啟動和關閉 Kubernetes 集群,進行應用程序的開發和測試。
    • CI/CD 流水線: 作為輕量級的運行時環境,加速 CI/CD 流程。
    • 嵌入式系統: 將 Kubernetes 嵌入到各種硬體設備中。
    • 單節點集群: 部署簡單的應用程序,不需要高可用性但需要 Kubernetes 的編排能力。

8. 安全特性與合規性

安全是運行 Kubernetes 集群時最重要的考量之一,RKE2 和 K3s 在這方面有不同的側重。

RKE2

RKE2 的設計從一開始就將安全性放在首位,它被稱為 “Kubernetes 的安全強化版”。

  • FIPS 140-2 合規性: RKE2 致力於滿足 FIPS 140-2 (Federal Information Processing Standard) 標準,這對於政府和受監管行業的部署至關重要。它使用 FIPS 認證的加密模塊。
  • CIS Benchmark 強化: RKE2 預設配置符合 CIS (Center for Internet Security) Kubernetes Benchmark,這是一個廣泛認可的安全配置基準。
  • Secrets 加密 (secrets-encrypt): RKE2 預設啟用 secrets-encrypt 功能,對 Kubernetes secrets 進行加密,確保敏感數據在靜態時的安全。這可以通過 secrets-encrypt 命令進行管理,包括啟用、禁用、重新加密和備份等操作。
  • 組件簽名: RKE2 的所有組件都經過簽名,確保其完整性和來源可信,防止惡意篡改。
  • 容器化組件: 將所有 Kubernetes 控制平面組件作為容器運行,進一步隔離並增強安全性。

K3s

K3s 雖然在設計上強調輕量化和易用性,但也包含了許多安全特性,以確保其在邊緣和資源受限環境中的安全性。

  • 最小化組件: K3s 移除了許多傳統 Kubernetes 組件,只保留了運行集群所需的核心功能,從而減少了潛在的攻擊面。
  • 單一二進制文件: 將所有組件打包成一個單一的二進制文件,簡化了部署和管理,也減少了配置錯誤的機會。
  • Secrets 加密 (secrets-encrypt): K3s 預設情況下不啟用 secrets-encrypt 功能,但提供了 secrets-encrypt 命令來管理 secrets 的生命週期,包括啟用、禁用和重新加密等操作。啟用後,它將確保敏感數據在靜態時的安全。
  • 預設安全配置: K3s 預設採用合理的安全配置,例如使用自簽名證書和最小化權限原則。
  • 輕量級容器運行時: 預設使用 containerd 作為容器運行時,該運行時以其輕量級和安全性而聞名。

9. Kubernetes 一致性 (Conformance)

Kubernetes 一致性是指 Kubernetes 發行版是否符合 CNCF (Cloud Native Computing Foundation) 定義的標準 Kubernetes API 和功能。

RKE2

RKE2 是一個完全符合 CNCF 認證的 Kubernetes 發行版。這意味著它通過了所有 Kubernetes 一致性測試,提供了完整的 Kubernetes 功能集,並且與上游 Kubernetes 版本保持高度兼容。

  • CNCF 認證: 完全符合 CNCF 認證,提供完整的 Kubernetes 功能。
  • 上游兼容性: 與標準 Kubernetes 保持高度兼容,確保應用程序在 RKE2 上能夠無縫運行。

K3s

K3s 也是一個符合 CNCF 認證的 Kubernetes 發行版。儘管它為了輕量化而移除了某些非核心組件,但這些移除並不會影響其 Kubernetes 一致性。K3s 確保了核心 Kubernetes API 和功能的完整性。

  • CNCF 認證: 符合 CNCF 認證,提供了核心 Kubernetes 功能。
  • 輕量化優化: 雖然移除了某些組件,但這些移除是經過精心設計的,不會影響其作為一個功能齊全的 Kubernetes 發行版。

10. 總結與建議

RKE2 和 K3s 都是 Rancher Labs 提供的優秀輕量級 Kubernetes 發行版,但它們各自的優勢和適用場景有所不同。

特性 RKE2 K3s
目標 企業級、安全強化、生產環境 極致輕量、邊緣、物聯網、開發環境
安裝 簡單 (`curl sh -`)
CLI 工具 獨立 rke2 CLI,kubectl 需額外配置 內建 k3s kubectl
預設資料庫 嵌入式 etcd (支援高可用性) SQLite (單節點)
資源佔用 較高 (約 2.1G 記憶體) 極低 (約 1.5G 記憶體)
安全性 FIPS 140-2 合規、CIS Benchmark 強化、Secrets 加密 (預設啟用)、組件簽名 最小化組件、單一二進制、Secrets 加密 (預設不啟用)、預設安全配置、輕量級容器運行時
Kubernetes 一致性 完全符合 CNCF 認證 符合 CNCF 認證 (核心功能完整)
建議場景 邊緣生產環境、CI/CD、高合規性需求、資源充足的伺服器 物聯網、邊緣設備、開發測試、CI/CD 流水線、資源受限環境

如何選擇?

  • 選擇 RKE2 如果您需要:

    • 在生產環境中運行,對安全性、合規性和穩定性有嚴格要求。
    • 需要 FIPS 140-2 合規或 CIS Benchmark 強化配置。
    • 部署在資源相對充足的伺服器或虛擬機上,並需要多節點高可用性。
    • 希望獲得與上游 Kubernetes 版本高度兼容的完整功能集。

  • 選擇 K3s 如果您需要:

    • 在資源極度受限的環境中運行,例如物聯網設備或邊緣設備。
    • 快速部署和啟動 Kubernetes 集群,進行開發、測試或 CI/CD。
    • 追求極致的輕量化和低資源佔用。
    • 部署單節點集群,或者願意配置外部資料庫以實現高可用性。

總之,RKE2 更適合那些尋求企業級安全性、合規性和完整 Kubernetes 功能,同時又希望比傳統 Kubernetes 更輕量化的用戶。而 K3s 則是那些對資源佔用有極高要求,追求快速部署和簡單管理的用戶的理想選擇。根據您的具體需求和環境限制,選擇最適合您的 Rancher Kubernetes 發行版。

Last updated on
k8s prometheus annotations scrape config