k8s的部署

一、k8s的二进制部署

1.环境准备：

IP                               节点

172.16.10.1         k8s-master01

172.16.10.3         k8s-master02

172.16.10.10       k8s-node01

172.16.10.20       k8s-node02

172.16.10.11           master

172.16.10.12          backup

所有节点关闭防火墙和 iptables、selinux 以及 swap

systemctl stop firewalld
systemctl disable firewalld
iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X

#关闭selinux
setenforce 0
sed -i 's/enforcing/disabled/' /etc/selinux/config #永久性关闭

#关闭swap
swapoff -a
sed -ri 's/.*swap.*/#&/' /etc/fstab

2.主机名设置

hostnamectl set-hostname master01

hostnamectl set-hostname master02

hostnamectl set-hostname node01

hostnamectl set-hostname node02

hostnamectl set-hostname master

hostnamectl set-hostname backup

su -

3.在 master 添加 hosts 并调整内核参数

#在master添加hosts
cat >> /etc/hosts << EOF
172.16.10.1 master01
172.16.10.3 master02
172.16.10.10 node01
172.16.10.20 node02
EOF

#调整内核参数
-开启网桥模式，可将网桥的流量传递给iptables链,关闭ipv6协议

cat > /etc/sysctl.d/k8s.conf << EOF

#开启网桥模式，可将网桥的流量传递给iptables链
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1

#关闭ipv6协议
net.ipv6.conf.all.disable_ipv6=1
net.ipv4.ip_forward=1
EOF

sysctl --system #一次性全部加载

#时间同步
yum install ntpdate -y
ntpdate time.windows.com

crontab -e
*/30 * * * * /usr/sbin/ntpdate time.windows.com
crontab -l

4.部署etcd集群

master节点：

（1）生成证书：没有软件包执行以下命令

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo

（2）有软件包直接将cfssl、cfssljson、cfssl-certinfo拖入/usr/local/bin目录中

cd /usr/local/bin目录中
cfssl、cfssljson、cfssl-certinfo

chmod +x /usr/local/bin/cfssl*      #赋予执行权限

#cfssl：证书签发的工具命令
#cfssljson：将cfssl生成的证书（json格式）变为文件承载式证书
#cfssl-certinfo：验证证书的信息
#cfssl-certinfo -cert <证书名称> #查看证书的信息

准备 cfssl 证书生成工具和授权

（1）生成Etcd证书
mkdir /opt/k8s
cd /opt/k8s/

上传 etcd-cert.sh 和 etcd.sh 到 /opt/k8s/ 目录中
chmod +x etcd-cert.sh etcd.sh        #赋权

（2）创建用于生成CA证书、etcd 服务器证书以及私钥的目录
（先去etcd-cert.sh改ip地址，再运行这个脚本）
mkdir /opt/k8s/etcd-cert
mv etcd-cert.sh etcd-cert/
cd /opt/k8s/etcd-cert/

vim etcd-cert.sh

./etcd-cert.sh

上传 etcd-v3.4.9-linux-amd64.tar.gz 到 /opt/k8s 目录中，启动etcd服务

cd /opt/k8s/
tar zxvf etcd-v3.4.9-linux-amd64.tar.gz

#创建用于存放etcd配置文件，命令文件，证书的目录
mkdir -p /opt/etcd/{cfg,bin,ssl}

cd /opt/k8s/etcd-v3.4.9-linux-amd64/
mv etcd etcdctl /opt/etcd/bin/
cp /opt/k8s/etcd-cert/*.pem /opt/etcd/ssl/

#在master上运行etcd集群，进入卡住状态等待其他节点加入
cd /opt/k8s/
./etcd.sh etcd01 172.16.10.1 etcd02=https://172.16.10.10:2380,etcd03=https://172.16.10.20:2380

ps -ef | grep etcd

启动etcd服务，配置好后，传给2个node节点

scp -r /opt/etcd/ root@172.16.10.10:/opt/
scp -r /opt/etcd/ root@172.16.10.20:/opt/

scp /usr/lib/systemd/system/etcd.service root@172.16.10.10:/usr/lib/systemd/system/
scp /usr/lib/systemd/system/etcd.service root@172.16.10.20:/usr/lib/systemd/system/

node01 节点：

修改vim /opt/etcd/cfg/etcd

systemctl start etcd

systemctl enable etcd
systemctl status etcd

node02 节点：

vim /opt/etcd/cfg/etcd

systemctl start etcd

systemctl enable etcd
systemctl status etcd

在node节点上检验节点是否启动

cd /opt/etcd/ssl

ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://172.16.10.1:2379,https://172.16.10.10:2379,https://172.16.10.20:2379" endpoint health --write-out=table

#查看etcd集群成员列表

ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://172.16.10.1:2379,https://172.16.10.10:2379,https://172.16.10.20:2379" --write-out=table member list

5.部署 docker 引擎

#所有 node 节点部署docker引擎
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io

systemctl start docker.service
systemctl enable docker.service

6.部署master组件

master01：

#上传 master.zip 和 k8s-cert.sh 到 /opt/k8s 目录中，解压 master.zip 压缩包
cd /opt/k8s/
unzip master.zip
chmod +x *.sh

#创建kubernetes工作目录
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}

#创建用于生成CA证书、相关组件的证书和私钥的目录
mkdir /opt/k8s/k8s-cert -p
mv /opt/k8s/k8s-cert.sh /opt/k8s/k8s-cert
cd /opt/k8s/k8s-cert/
./k8s-cert.sh #生成CA证书、相关组件的证书和私钥

ls *pem

#复制CA证书、apiserver相关证书和私钥到kubernetes工作目录的ssl子目录中
cp ca*pem apiserver*pem /opt/kubernetes/ssl/

#上传 kubernetes-server-linux-amd64.tar.gz 到 /opt/k8s/ 目录中，解压 kubernetes 压缩包
#下载地址：https://github.com/kubernetes/kubernetes/blob/release-1.20/CHANGELOG/CHANGELOG-1.20.md
#注：打开链接你会发现里面有很多包，下载一个server包就够了，包含了Master和Worker Node二进制文件。
cd /opt/k8s/
tar zxvf kubernetes-server-linux-amd64.tar.gz

#复制master组件的关键命令文件到kubernetes工作目录的bin子目录中
cd /opt/k8s/kubernetes/server/bin
cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/
ln -s /opt/kubernetes/bin/* /usr/local/bin/

#创建 bootstrap token 认证文件，apiserver 启动时会调用，然后就相当于在集群内创建了一个这个用户，接下来就可以用 RBAC 给他授权
cd /opt/k8s/
vim token.sh
#!/bin/bash
#获取随机数前16个字节内容，以十六进制格式输出，并删除其中空格
BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
#生成 token.csv 文件，按照 Token序列号,用户名,UID,用户组的格式生成
cat > /opt/kubernetes/cfg/token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

chmod +x token.sh
./token.sh

cat /opt/kubernetes/cfg/token.csv

#二进制文件、token、证书都准备好后，开启apiserver服务
cd /opt/k8s/
vim apiserver.sh

./apiserver.sh 172.16.10.1 https://172.16.10.1:2379,https://172.16.10.10:2379,https://172.16.10.20:2379

#检查进程是否启动成功
ps aux | grep kube-apiserver

netstat -natp | grep 6443 #安全端口6443用于接收HTTPS请求，用于基于Token文件或客户端证书等认证

cd /opt/k8s/

#启动 scheduler 服务

vim scheduler.sh

./scheduler.sh
ps aux | grep kube-scheduler

#启动 controller-manager 服务

vim controller-manager.sh

./controller-manager.sh
ps aux | grep kube-controller-manager

#生成kubectl连接集群的证书

vim admin.sh

./admin.sh

#绑定默认cluster-admin管理员集群角色，授权kubectl访问集群
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous

#通过kubectl工具查看当前集群组件状态
kubectl get cs

#查看版本信息
kubectl version

7.部署 Worker Node 组件

所有 node 节点:

#创建kubernetes工作目录
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}

#上传 node.zip 到 /opt 目录中，解压 node.zip 压缩包，获得kubelet.sh、proxy.sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh

在 master01 节点上操作==

#把 kubelet、kube-proxy 拷贝到 node 节点
cd /opt/k8s/kubernetes/server/bin
scp kubelet kube-proxy root@172.16.10.10:/opt/kubernetes/bin/
scp kubelet kube-proxy root@172.16.10.20:/opt/kubernetes/bin/
​

#上传 kubeconfig.sh 文件到 /opt/k8s/kubeconfig 目录中，生成 kubeconfig 的配置文件
​
#上传kubeconfig.sh文件到/opt/k8s/kubeconfig目录中，生成kubelet初次加入集群引导kubeconfig文件和kube-proxy.kubeconfig文件
#kubeconfig 文件包含集群参数（CA证书、API Server 地址），客户端参数（上面生成的证书和私钥），集群context上下文参数（集群名称、用户名）。Kubenetes组件（如kubelet、kube-proxy）通过启动时指定不同的kubeconfig文件可以切换到不同的集群，连接到apiserver。
mkdir /opt/k8s/kubeconfig
cd /opt/k8s/kubeconfig
chmod +x kubeconfig.sh
./kubeconfig.sh 172.16.10.1 /opt/k8s/k8s-cert/
​

#把配置文件 bootstrap.kubeconfig、kube-proxy.kubeconfig 拷贝到node节点
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@172.16.10.10:/opt/kubernetes/cfg/
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@172.16.10.20:/opt/kubernetes/cfg/
​

#RBAC授权，使用户 kubelet-bootstrap 能够有权限发起 CSR 请求
kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap
​

#若执行失败，可先给kubectl绑定默认cluster-admin管理员集群角色，授权集群操作权限
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous

 

在 node01 节点上操作

#启动 kubelet 服务
cd /opt/

vim kubelet.sh
./kubelet.sh 172.16.10.10
ps aux | grep kubelet

​//在 master01 节点上操作，通过 CSR 请求#检查到 node01 节点的 kubelet 发起的 CSR 请求，Pending 表示等待集群给该节点签发证书

kubectl get csr
#通过 CSR 请求
kubectl certificate approve RmA1K6zToOY8D4iFaxxzndsAPg_SPJ2caK7lgbPRDm8   11s
#Approved,Issued 表示已授权 CSR 请求并签发证书
kubectl get csr
#查看节点，由于网络插件还没有部署，节点会没有准备就绪 NotReady
kubectl get node
​

node02 节点同上

在 node01 节点上操作

#加载 ip_vs 模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

#启动proxy服务
cd /opt/
./proxy.sh 172.16.10.10
ps aux | grep kube-proxy

node02 节点同上

8.部署 CNI 网络组件

node01 节点:

#上传 cni-plugins-linux-amd64-v0.8.6.tgz 和 flannel.tar 到 /opt 目录中
cd /opt/

mkdir -p /opt/cni/bin
tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin

docker load -i flannel.tar
docker images
scp -r cni/ flannel.tar 172.16.10.20:/opt

在 master01 节点上操作

#上传 kube-flannel.yml 文件到 /opt/k8s 目录中，部署 CNI 网络
cd /opt/k8s
kubectl apply -f kube-flannel.yml
kubectl get pods -n kube-system
kubectl get nodes

9.把 master01 相关主机的配置文件复制到 master02

复制并修改 kube-apiserver

scp -r /opt/kubernetes/ master02:/opt

master02节点：

vim /opt/kubernetes/cfg/kube-apiserver

ln -s /opt/kubernetes/bin/* /usr/local/bin/

master01节点:

复制etcd

scp -r /opt/etcd/ master02:/opt

复制家目录下的.kube

scp -r .kube/ master02:/root

kubectl get nodes

复制system 目录下的 kube*

scp -r /usr/lib/systemd/system/kube* master02:/usr/lib/systemd/system

master02节点：

systemctl start kube-apiserver.service kube-controller-manager.service kube-scheduler.service
systemctl enable kube-apiserver.service kube-controller-manager.service kube-scheduler.service

kubectl get nodes

10.负载均衡部署

#关闭防火墙和iptables
systemctl stop firewalld
systemctl disable firewalld
​
#关闭selinux
setenforce 0

11.部署nginx服务

配置load balancer集群双机热备负载均衡（nginx实现负载均衡，keepalived实现双机热备）

==在master、backup节点上操作==

配置nginx的官方在线yum源，配置本地nginx的yum源
cat > /etc/yum.repos.d/nginx.repo << 'EOF'
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/7/$basearch/
gpgcheck=0
EOF
​

yum install nginx -y
​

修改nginx配置文件，配置四层反向代理负载均衡，指定k8s群集2台master的节点ip和6443端口
vim /etc/nginx/nginx.conf
events {
  worker_connections  1024;
}
​
#添加
stream {
  log_format main  '$remote_addr $upstream_addr - [$time_local] $status $upstream_bytes_sent';
   
access_log /var/log/nginx/k8s-access.log main;
​
  upstream k8s-apiserver {
      server 172.16.10.1:6443;
      server 172.16.10.3:6443;
  }
  server {
      listen 6443;
      proxy_pass k8s-apiserver;
  }
}
​
http {
......
​

#检查配置文件语法
nginx -t  
​

#启动nginx服务，查看已监听6443端口
systemctl start nginx
systemctl enable nginx
netstat -natp | grep nginx

11.部署 keepalived 服务

yum install keepalived -y   #安装

修改 keepalived 配置文件

vim /etc/keepalived/keepalived.conf
! Configuration File for keepalived
​
global_defs {
  # 接收邮件地址
  notification_email {
    acassen@firewall.loc
    failover@firewall.loc
    sysadmin@firewall.loc
  }
  # 邮件发送地址
  notification_email_from Alexandre.Cassen@firewall.loc
  smtp_server 127.0.0.1
  smtp_connect_timeout 30
  router_id NGINX_MASTER #lb01节点的为 NGINX_MASTER，lb02节点的为 NGINX_BACKUP
}
​
#添加一个周期性执行的脚本
vrrp_script check_nginx {
  script "/etc/nginx/check_nginx.sh" #指定检查nginx存活的脚本路径
}
​
vrrp_instance VI_1 {
  state MASTER #lb01节点的为 MASTER，lb02节点的为 BACKUP
  interface ens33 #指定网卡名称 ens33
  virtual_router_id 51 #指定vrid，两个节点要一致
  priority 100 #lb01节点的为 100，lb02节点的为 90
  advert_int 1
  authentication {
      auth_type PASS
      auth_pass 1111
  }
  virtual_ipaddress {
       172.16.10.100/24 #指定 VIP
  }
  track_script {
      check_nginx #指定vrrp_script配置的脚本
  }
}

创建 nginx 状态检查脚本

vim /etc/nginx/check_nginx.sh
#!/bin/bash
#egrep -cv "grep|$$" 用于过滤掉包含grep 或者 $$ 表示的当前Shell进程ID
count=$(ps -ef | grep nginx | egrep -cv "grep|$$")
if [ "$count" -eq 0 ];then
  systemctl stop keepalived
fi
chmod +x /etc/nginx/check_nginx.sh
#启动keepalived服务（一定要先启动了nginx服务，再启动keepalived服务）
systemctl start keepalived
systemctl enable keepalived

ip a #查看VIP是否生成

 

修改node节点上bootstrap.kubeconfig,kubelet.kubeconfi配置文件为 VIP

cd /opt/kubernetes/cfg/
vim bootstrap.kubeconfig
server: https://172.16.10.100:6443

vim kubelet.kubeconfig
server: https://172.16.10.100:6443

vim kube-proxy.kubeconfig
server: https://172.16.10.100:6443

#重启kubelet和kube-proxy服务
systemctl restart kubelet.service
systemctl restart kube-proxy.service

#在 lb01 上查看 nginx 和 node 、 master 节点的连接状态
netstat -natp | grep nginx

#在 master 节点上操作
cd .kube/
ls
vim config
server: https://172.16.10.100:6443

在 master01 节点上操作

#测试创建pod

kubectl run nginx --image=nginx
#查看Pod的状态信息
kubectl get pods

kubectl get pods -o wide

//READY为1/1，表示这个Pod中有1个容器
​
#在对应网段的node节点上操作，可以直接使用浏览器或者curl命令访问
curl 10.244.0.2
​

 

12.部署 Dashboard

//在 master01 节点上操作
#上传 recommended.yaml 文件到 /opt/k8s 目录中
cd /opt/k8s
vim recommended.yaml
#默认Dashboard只能集群内部访问，修改Service为NodePort类型，暴露到外部：
kind: Service
apiVersion: v1
metadata:
labels:
k8s-app: kubernetes-dashboard
name: kubernetes-dashboard
namespace: kubernetes-dashboard
spec:
ports:
- port: 443
targetPort: 8443
nodePort: 30001 #添加
type: NodePort #添加
selector:
k8s-app: kubernetes-dashboard

kubectl apply -f recommended.yaml

#创建service account并绑定默认cluster-admin管理员集群角色
kubectl create serviceaccount dashboard-admin -n kube-system
kubectl create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin
kubectl describe secrets -n kube-system $(kubectl -n kube-system get secret | awk '/dashboard-admin/{print $1}')

#使用输出的token登录Dashboard
https://172.16.10.10:30001

点击“高级”

点击“添加例外”

点击“确认安全例外”

复制选中的部分将其输入并点击“登录”