本篇安装单个etcd,然后进行扩容etcd节点至2个,环境配置如果做了的话就跳过

实验架构

test1: 192.168.0.91   etcd

test2: 192.168.0.92    无

test3: 192.168.0.93    无

、环境配置

# 如下操作在所有节点操作

修改主机名

# 注意修改 各自节点对应的 主机名

sed -i '$a\hostname=test1' /etc/hostname

sed -i '$a\hostname=test1' /etc/sysconfig/network && hostnamectl set-hostname test1

配置hosts解析

cat >>/etc/hosts<<EOF

192.168.0.91 test1

192.168.0.92 test2

192.168.0.93 test3

EOF

禁用selinux

sed -i 's/SELINUX=permissive/SELINUX=disabled/' /etc/sysconfig/selinux

sed -i 's/enforcing/disabled/g' /etc/selinux/config

关闭swap

# 注释/etc/fstab文件里swap相关的行

sed -i 's/\/dev\/mapper\/centos-swap/#\/dev\/mapper\/centos-swap/g' /etc/fstab

关掉防火墙

systemctl stop firewalld && systemctl disable firewalld

退出xshell重新登录,查看主机名

开启forward

iptables -P FORWARD ACCEPT

配置转发相关参数

cat >> /etc/sysctl.d/k8s.conf <<EOF

net.bridge.bridge-nf-call-ip6tables =

net.bridge.bridge-nf-call-iptables =

vm.swappiness=

EOF

加载系统参数

sysctl --system

加载ipvs相关内核模块

# 如果重新开机,需要重新加载

modprobe ip_vs

modprobe ip_vs_rr

modprobe ip_vs_wrr

modprobe ip_vs_sh

modprobe nf_conntrack_ipv4

lsmod | grep ip_vs

安装etcd

下面几步都在test1 节点操作

下载安装包

useradd etcd

mkdir -p /server/software/k8s

mkdir -p /opt/k8s/bin

cd /server/software/k8s

wget https://github.com/coreos/etcd/releases/download/v3.2.18/etcd-v3.2.18-linux-amd64.tar.gz

tar -xf etcd-v3.2.18-linux-amd64.tar.gz

mv etcd-v3.2.18-linux-amd64/etcd* /opt/k8s/bin

chmod +x /opt/k8s/bin/*

ln -s /opt/k8s/bin/etcd /usr/bin/etcd

ln -s /opt/k8s/bin/etcdctl /usr/bin/etcdctl

etcd --version

2、安装CFSSL证书生成工具

只在test1节点操作

mkdir -pv /server/software/k8s

cd /server/software/k8s

wget下载cfssl工具

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

安装cfssl工具

# 只要把安装包改下名字,移动到usr/local/bin/下,加上授权即可

mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

mv cfssl_linux-amd64 /usr/local/bin/cfssl

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

chmod +x /usr/local/bin/cfssl*

3、创建PKI配置文件

# 只 在test1节点操作

# 作用:生成其他组件ca证书时需要用到(除了根证书)CA 配置文件

mkdir -p $HOME/ssl && cd $HOME/ssl

cat >ca-config.json<<EOF

{

  "signing": {

    "default": {

      "expiry": "87600h"

    },

    "profiles": {

      "kubernetes": {

        "usages": [

            "signing",

            "key encipherment",

            "server auth",

            "client auth"

        ],

        "expiry": "87600h"

      }

    }

  }

}

EOF

注意:PKI配置文件中的profiles中同时定义了 server、clietns,表明使用这个PKI创建的证书既可以作为服务器验证用,也可以作为客户端验证用

这里对PKI安全认证不做过多解释,

PKI安全认证请参照:https://www.cnblogs.com/effortsing/p/10332492.html

4、生成 ca 根证书

# 只在test1节点操作

# ca 证书作用:生成其他组件证书时需要用到根证书

cd $HOME/ssl

cat >ca-csr.json<<EOF

{

  "CN": "kubernetes",

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "BeiJing",

      "L": "BeiJing",

      "O": "k8s",

      "OU": "System"

    }

  ],

  "ca": {

     "expiry": "87600h"

  }

}

EOF

生成证书

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

查看生成的证书

[root@test1 ssl]# ls

ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem 

5、添加证书到受信任列表(选做)

# 在 test1 节点操作

# 添加ca证书到linux系统受信任列表,这样在执行命令的时候就不用带上证书路径了。

# 添加信任后: etcdctl cluster-health = etcdctl cluster-health /etc/kubernetes/cert/ca.pem ,就是省了个证书

# 如果没有添加ca证书到linux系统受信任列表,后面执行etcdctl cluster-health 会报如下错误。

cat ca.pem >>  /etc/pki/tls/certs/ca-bundle.crt

6、管理证书

# 把根证书和私钥复制到一个目录里面

mkdir -p /etc/kubernetes/cert/

cp ca*.pem /etc/kubernetes/cert/

chmod 777 /etc/kubernetes/*

5、生成etcd的ca证书和私钥

# 只在test1节点上操作

cd $HOME/ssl

cat >etcd-csr.json<<EOF

{

    "CN": "etcd",

    "hosts": [

      "127.0.0.1",

      "192.168.0.92",

      "192.168.0.93",

      "192.168.0.91"

    ],

    "key": {

        "algo": "rsa",

        "size": 2048

    },

    "names": [

        {

            "C": "CN",

            "ST": "BeiJing",

            "L": "BeiJing",

            "O": "etcd",

            "OU": "Etcd Security"

        }

    ]

}

EOF

生成证书

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes etcd-csr.json | cfssljson -bare etcd

查看生成的证书和私钥

[root@test1 ssl]# ls

ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem  etcd.csr  etcd-csr.json  etcd-key.pem  etcd.pem

6、添加证书到受信任列表(选做)

# 在 test1 节点操作

# 添加ca证书到linux系统受信任列表

cat etcd.pem >>  /etc/pki/tls/certs/ca-bundle.crt

7、管理证书

把etcd证书复制到一个目录里面

mkdir -p /etc/etcd/cert/

cp etcd*.pem /etc/etcd/cert/

chmod 777 /etc/etcd/cert/*

8、启动etcd

8.1、 配置etcd启动脚本

# 配置 环境变量

cat >> /etc/profile << EOF

export ETCD_NAME=$(hostname)

export INTERNAL_IP=$(hostname -i | awk '{print $NF}')

export ECTD_CLUSTER='test1=https://192.168.0.91:2380'

EOF

source /etc/profile

8.2、配置启动文件

本文配置文件开启了集群外部服务端、客户端、认证,以及集群内部之间服务端、客户端认证。所以客户端etcdctl访问时候需要带上客户端证书

mkdir -p /data/etcd

cat> /etc/systemd/system/etcd.service<< EOF

[Service]

Type=notify

WorkingDirectory=/data/etcd

EnvironmentFile=-/etc/etcd/etcd.conf

ExecStart=/opt/k8s/bin/etcd \\

--name ${ETCD_NAME} \\

--cert-file=/etc/etcd/cert/etcd.pem \\

--key-file=/etc/etcd/cert/etcd-key.pem \\

--peer-cert-file=/etc/etcd/cert/etcd.pem \\

--peer-key-file=/etc/etcd/cert/etcd-key.pem \\

--trusted-ca-file=/etc/kubernetes/cert/ca.pem \\

--peer-trusted-ca-file=/etc/kubernetes/cert/ca.pem \\

--initial-advertise-peer-urls https://${INTERNAL_IP}:2380 \\

--listen-peer-urls https://${INTERNAL_IP}:2380 \\

--listen-client-urls https://${INTERNAL_IP}:2379,http://127.0.0.1:2379 \\

--advertise-client-urls https://${INTERNAL_IP}:2379 \\

--initial-cluster-token my-etcd-token \\

--initial-cluster $ECTD_CLUSTER \\

--initial-cluster-state new \\

--data-dir=/data/etcd

Restart=on-failure

RestartSec=5

LimitNOFILE=65536

[Install]

WantedBy=multi-user.target

EOF

8.3、启动etctd

systemctl daemon-reload      #一定要执行,否则报错

systemctl start etcd

systemctl status etcd

systemctl enable etcd

9、查看集群成员和安全状态

必须得带上证书,涉及到服务端、客户端认证

[root@test1 ~]# etcdctl --ca-file /etc/kubernetes/cert/ca.pem --cert-file /etc/etcd/cert/etcd.pem --key-file /etc/etcd/cert/etcd-key.pem member list

42f7141ed6110de1: name=test1 peerURLs=https://192.168.0.91:2380 clientURLs=https://192.168.0.91:2379 isLeader=true

[root@test1 ~]# etcdctl --ca-file /etc/kubernetes/cert/ca.pem --cert-file /etc/etcd/cert/etcd.pem --key-file /etc/etcd/cert/etcd-key.pem cluster-health

member 42f7141ed6110de1 is healthy: got healthy result from https://192.168.0.91:2379

cluster is healthy

可以看到peerURLs已经是https模式了,由于test1节点是新建的集群,所以属于重建集群开启pki安全认证;

这里对pki安全认证不多做解释,具体请参照:https://www.cnblogs.com/effortsing/p/10332492.html

报错解决:

删除etcd数据目录重新启动

参照文档:

http://www.maogx.win/posts/35/

http://www.maogx.win/

https://juejin.im/user/59ffa2836fb9a0451c39c64f/posts

https://blog.csdn.net/fy573060627/article/details/52872740

etcd单节点安装的更多相关文章

  1. 部署k8s集群之环境搭建和etcd单节点安装

    环境搭建以及etcd 单节点安装过程 安装之前的环境搭建 在进行k8s安装之前先把虚拟机准备好,这里准备的是三台虚拟机 主机名 ip地址 角色 master 172.16.163.131 master ...

  2. Hadoop介绍及最新稳定版Hadoop 2.4.1下载地址及单节点安装

     Hadoop介绍 Hadoop是一个能对大量数据进行分布式处理的软件框架.其基本的组成包括hdfs分布式文件系统和可以运行在hdfs文件系统上的MapReduce编程模型,以及基于hdfs和MapR ...

  3. hbase伪分布式安装(单节点安装)

    hbase伪分布式安装(单节点安装) http://hbase.apache.org/book.html#quickstart   1.    前提配置好java,环境java变量     上传jdk ...

  4. vertica单节点安装教程

    [准备] 1.CentOS 7.6的镜像盘(下载地址:官网) 2.vertica-9.1.0-0.x86_64.RHEL6(下载地址:https://pan.baidu.com/s/1IjWBUTku ...

  5. 二、hdfs单节点安装

    一.准备环境 在配置hdfs之前,我们需要先安装好hadoop的配置,本文主要讲述hdfs单节点的安装配置. hadoop的单节点安装配置请参考:https://www.cnblogs.com/lay ...

  6. 一、hadoop单节点安装测试

    一.hadoop简介 相信你或多或少都听过hadoop这个名字,hadoop是一个开源的.分布式软件平台.它主要解决了分布式存储(hdfs)和分布式计算(mapReduce)两个大数据的痛点问题,在h ...

  7. Centos7 单节点安装 FastDFS + FastDHT服务

    Centos7 单节点安装 FastDFS + FastDHT服务 1.安装gcc(编译时需要) FastDFS是C语言开发,安装FastDFS需要先将官网下载的源码进行编译,编译依赖gcc环境,如果 ...

  8. Flume 学习笔记之 Flume NG概述及单节点安装

    Flume NG概述: Flume NG是一个分布式,高可用,可靠的系统,它能将不同的海量数据收集,移动并存储到一个数据存储系统中.轻量,配置简单,适用于各种日志收集,并支持 Failover和负载均 ...

  9. Redis02——Redis单节点安装

    Redis单节点安装 一.Redis的数据类型 string hash list set zset 二.安装 2.1.下载 wget http://download.redis.io/releases ...

随机推荐

  1. STL源码阅读-traits与迭代器

    迭代器模式 提供一种方法,使之能够依序访问容器的各个元素,而又无需暴露容器的内部表述方式 STL设计的中心思想在于将数据容器和算法分离开,容器和算法分开设计,迭代器则是两者之间的胶着剂,一般迭代器的设 ...

  2. JS 深拷贝/合并

    var mix = function(r, s, ov) { if (!s || !r) return r; if (ov === undefined) ov = true; for (var p i ...

  3. docker资源隔离实现方式

    默认情况下,一个容器没有资源限制,几乎可以使用宿主主机的所有资源.docker提供了控制内存.cpu.block io.但是实际上主要是namespace和cgroup控制资源的隔离. Docker的 ...

  4. Gym - 102040F Path Intersection (树链剖分+线段树)

    题意:给出棵树上的k条路径,求这些路径的公共点数量. 将每条路径上的点都打上标记,被标记过k次的点就是公共点了.由于公共点形成的区间是连续的,因此直接在线段树上暴搜即可在$O(logn)$求出一条链上 ...

  5. 在CSS3中,可以利用transform功能来实现文字或图像的旋转、缩放、倾斜、移动这四种类型的变形处理

    CSS3中的变形处理(transform)属 transform的功能分类 1.旋转 transform:rotate(45deg); 该语句使div元素顺时针旋转45度.deg是CSS 3的“Val ...

  6. 字符串格式化-String类format方法

    常规类型的格式化 String类的format()方法用于创建格式化的字符串以及连接多个字符串对象. format()方法有两种重载形式. 显示不同转换符实现不同数据类型到字符串的转换,如图所示: 测 ...

  7. Python 面向对象Ⅱ

    创建实例对象 实例化类其他编程语言中一http://www.xuanhe.net/般用关键字 new,但是在 Python 中并没有这个关键字,类的实例化类似函数调用方式. 以下使用类的名称 Empl ...

  8. Python 异常处理Ⅳ

    异常的参数 一个异常可以带上参数,可作为输出的异常信息参数. 你可以通过except语句来捕获异常的参数,如下所示: 变量接收的异常值通常包含在异常的语句中.在元组的表单中变量可以接收一个或者多个值. ...

  9. STM32使用HAL库,使用延时卡死的问题。

    之前一直使用标准库的,现在转到HAL库来后,编写了第一个程序就遇到了问题.发现我使用库里的延时程序HAL_Delay()时,会卡死在里面. 根据程序,进入到这个延时程序后 ,发现HAL_GetTick ...

  10. PHPmailer类的使用

    实现需要下载相关文件:在项目目录中运行 composer require phpmailer/phpmailer 还需要根据PHPinfo(); 确认是否开启了socket扩展和OpenSSL扩展 在 ...