之前的文章中,我们详细介绍了K3s的架构以及部署场景,给尚未了解K3s的朋友提供了一个很好的入门方向。那么,在本文中我们将探索如何配置一个3节点的etcd集群,它将会被用于高可用、多节点的K3s集群中。

etcd是云原生生态中最受欢迎的开源项目之一,它是云原生计算基金会(CNCF)孵化的项目,目前已经成为Kubernetes基础架构的核心构件。

在本教程结束的时候,你将完成部署一个启用了TLS的3节点etcd集群,作为具有多个master的高可用K3s集群的外部数据存储。

首先,请确保你有3个带有静态IP地址的Linux host。在我的实验环境中,我运行着4台Intel NUC迷你电脑,这4台电脑上运行着Ubuntu 18.04,IP地址从10.0.0.60到10.0.0.63不等。我们将在IP地址为10.0.0.60、10.0.0.61和10.0.0.62的主机上安装etcd。你在自己进行实践时务必用你自己的一套地址来替换这些IP地址。

下载etcd二进制文件

在每个Linux host上,运行以下命令以下载和安装最新版本的二进制文件:

ETCD_VER=v3.4.10

DOWNLOAD_URL=https://storage.googleapis.com/etcd

rm -f /tmp/etcd-${ETCD_VER}-linux-amd64.tar.gz

rm -rf /tmp/etcd-download-test && mkdir -p /tmp/etcd-download-test

curl -L ${DOWNLOAD_URL}/${ETCD_VER}/etcd-${ETCD_VER}-linux-amd64.tar.gz -o /tmp/etcd-${ETCD_VER}-linux-amd64.tar.gz

tar xzvf /tmp/etcd-${ETCD_VER}-linux-amd64.tar.gz -C /tmp/etcd-download-test --strip-components=1

rm -f /tmp/etcd-${ETCD_VER}-linux-amd64.tar.gz

chmod +x /tmp/etcd-download-test/etcd

chmod +x /tmp/etcd-download-test/etcdctl 

#Verify the downloads

/tmp/etcd-download-test/etcd --version

/tmp/etcd-download-test/etcdctl version

#Move them to the bin folder

sudo mv /tmp/etcd-download-test/etcd /usr/local/bin

sudo mv /tmp/etcd-download-test/etcdctl /usr/local/bin

生成和分发证书

我们将使用Cloudflare的cfssl工具来生成证书和密钥。如果你使用Mac作为你的工作站,你可以使用Homebrew安装它。

brew install cfssl

建立一个名为certs的目录,并运行以下命令为每台主机生成CA证书和server证书及密钥组合。

mkdir certs && cd certs

首先,创建CA证书,它将被所有的etcd server和客户端使用。

echo '{"CN":"CA","key":{"algo":"rsa","size":2048}}' | cfssl gencert -initca - | cfssljson -bare ca -

echo '{"signing":{"default":{"expiry":"43800h","usages":["signing","key encipherment","server auth","client auth"]}}}' > ca-config.json

这将生成三个文件——ca-key.pemca.pemca.csr

接下来,我们将为第一个节点生成证书和密钥

export NAME=node-1

export ADDRESS=10.0.0.60,$NAME

echo '{"CN":"'$NAME'","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -config=ca-config.json -ca=ca.pem -ca-key=ca-key.pem -hostname="$ADDRESS" - | cfssljson -bare $NAME

对接下来的两个节点也重复以上步骤。

export NAME=node-2

export ADDRESS=10.0.0.61,$NAME

echo '{"CN":"'$NAME'","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -config=ca-config.json -ca=ca.pem -ca-key=ca-key.pem -hostname="$ADDRESS" - | cfssljson -bare $NAME


export NAME=node-3

export ADDRESS=10.0.0.62,$NAME

不要忘记用自己的组合替换IP地址以及节点名称。

此时,我们已经为CA和所有三个节点生成了证书和密钥。

现在是时候开始分发证书到集群的每个节点。

运行以下命令,替换用户名和IP地址,将证书复制到相应的节点上。

HOST=10.0.0.60

USER=ubuntu

scp ca.pem $USER@$HOST:etcd-ca.crt

scp node-1.pem $USER@$HOST:server.crt

scp node-1-key.pem $USER@$HOST:server.key

SSH进入每个节点,并运行以下命令将证书移动到适当的目录中。

HOST=10.0.0.60

USER=ubuntu

ssh $USER@$HOST

sudo mkdir -p /etc/etcd

sudo mv * /etc/etcd

sudo chmod 600 /etc/etcd/server.key

我们完成了每个节点上证书的生成和分发。下一步,我们将为每个节点创建配置文件和Systemd单元文件。

配置和启动etcd集群

在节点1上,在etc/etcd目录中创建一个名为etcd.conf的文件,包含以下内容:

ETCD_NAME=node-1

ETCD_LISTEN_PEER_URLS="https://10.0.0.60:2380"

ETCD_LISTEN_CLIENT_URLS="https://10.0.0.60:2379"

ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"

ETCD_INITIAL_CLUSTER="node-1=https://10.0.0.60:2380,node-2=https://10.0.0.61:2380,node-3=https://10.0.0.62:2380"

ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.0.0.60:2380"

ETCD_ADVERTISE_CLIENT_URLS="https://10.0.0.60:2379"

ETCD_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"

ETCD_CERT_FILE="/etc/etcd/server.crt"

ETCD_KEY_FILE="/etc/etcd/server.key"

ETCD_PEER_CLIENT_CERT_AUTH=true

ETCD_PEER_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"

ETCD_PEER_KEY_FILE="/etc/etcd/server.key"

ETCD_PEER_CERT_FILE="/etc/etcd/server.crt"

ETCD_DATA_DIR="/var/lib/etcd"

节点2的文件则使用以下内容:

ETCD_NAME=node-2

ETCD_LISTEN_PEER_URLS="https://10.0.0.61:2380"

ETCD_LISTEN_CLIENT_URLS="https://10.0.0.61:2379"

ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"

ETCD_INITIAL_CLUSTER="node-1=https://10.0.0.60:2380,node-2=https://10.0.0.61:2380,node-3=https://10.0.0.62:2380"

ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.0.0.61:2380"

ETCD_ADVERTISE_CLIENT_URLS="https://10.0.0.61:2379"

ETCD_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"

ETCD_CERT_FILE="/etc/etcd/server.crt"

ETCD_KEY_FILE="/etc/etcd/server.key"

ETCD_PEER_CLIENT_CERT_AUTH=true

ETCD_PEER_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"

ETCD_PEER_KEY_FILE="/etc/etcd/server.key"

ETCD_PEER_CERT_FILE="/etc/etcd/server.crt"

ETCD_DATA_DIR="/var/lib/etcd"

最后,为节点3创建配置文件。

ETCD_NAME=node-3

ETCD_LISTEN_PEER_URLS="https://10.0.0.62:2380"

ETCD_LISTEN_CLIENT_URLS="https://10.0.0.62:2379"

ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"

ETCD_INITIAL_CLUSTER="node-1=https://10.0.0.60:2380,node-2=https://10.0.0.61:2380,node-3=https://10.0.0.62:2380"

ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.0.0.62:2380"

ETCD_ADVERTISE_CLIENT_URLS="https://10.0.0.62:2379"

ETCD_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"

ETCD_CERT_FILE="/etc/etcd/server.crt"

ETCD_KEY_FILE="/etc/etcd/server.key"

ETCD_PEER_CLIENT_CERT_AUTH=true

ETCD_PEER_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"

ETCD_PEER_KEY_FILE="/etc/etcd/server.key"

ETCD_PEER_CERT_FILE="/etc/etcd/server.crt"

ETCD_DATA_DIR="/var/lib/etcd"

请不要忘记更换你的网络专用IP地址。

配置完成后,我们就可以在每个节点上创建systemd单元文件了。

在/lib/system/systemd处创建文件etcd.service,内容如下:

[Unit]

Description=etcd key-value store

Documentation=https://github.com/etcd-io/etcd

After=network.target

[Service]

Type=notify

EnvironmentFile=/etc/etcd/etcd.conf

ExecStart=/usr/bin/etcd

Restart=always

RestartSec=10s

LimitNOFILE=40000

[Install]

WantedBy=multi-user.target

由于每个节点的配置都被移到了专用文件(/etc/etcd/etcd.conf)中,所以所有节点的单元文件保持不变。

现在我们已经准备好启动服务了。在每个节点上运行下面的命令来启动etcd集群:

sudo systemctl daemon-reload

sudo systemctl enable etcd

sudo systemctl start etcd

确保etcd服务已经启动,并且运行中没有出现错误。

sudo systemctl status etcd

测试和验证集群

SSH进入其中一个节点,通过etcd CLI连接到集群。

etcdctl --endpoints https://10.0.0.60:2379 --cert /etc/etcd/server.crt --cacert /etc/etcd/etcd-ca.crt --key /etc/etcd/server.key put foo bar

我们在etcd数据库中插入一个密钥。让我们看看能否找回它。

etcdctl --endpoints https://10.0.0.60:2379 --cert /etc/etcd/server.crt --cacert /etc/etcd/etcd-ca.crt --key /etc/etcd/server.key get foo

接下来,让我们使用API端点(endpoint)来检查集群的健康状态。

curl --cacert /etc/etcd/etcd-ca.crt --cert /etc/etcd/server.crt --key /etc/etcd/server.key https://10.0.0.60:2379/health

最后,让我们确保所有的节点都参与到集群中。

etcdctl --endpoints https://10.0.0.60:2379 --cert /etc/etcd/server.crt --cacert /etc/etcd/etcd-ca.crt --key /etc/etcd/server.key member list

Congratulations!现在你拥有了一个安全、分布式的以及高可用的etcd集群,它已经为生产级K3s集群环境做好了准备。

在下一篇文章中,我将向你详细介绍如何安装和配置一个具有高可用控制平面的4节点K3s集群。保持关注哟~!

如何设置一个生产级别的高可用etcd集群的更多相关文章

  1. 03-创建高可用 etcd 集群

    本文档记录自己的学习历程! 创建高可用 etcd 集群 kuberntes 系统使用 etcd 存储所有数据,本文档介绍部署一个三节点高可用 etcd 集群的步骤,这三个节点使用以下机器: 192.1 ...

  2. kubeadm配置高可用etcd集群

    操作系统为ubuntu18 kubernetes版本为v1.15.1 k8s默认在控制平面节点上的kubelet管理的静态pod中运行单个成员的etcd集群,但这不是高可用的方案. etcd高可用集群 ...

  3. Kubernetes1.91(K8s)安装部署过程(三)--创建高可用etcd集群

    这里的etcd集群复用我们测试的3个节点,3个node都要安装并启动,注意修改配置文件 1.TLS认证文件分发:etcd集群认证用,除了本机有,分发到其他node节点 scp ca.pem kuber ...

  4. 高可用etcd集群(三节点) + ssl双向认证

    # etcd下载地址 https://github.com/etcd-io/etcd/tags wget https://github.com/etcd-io/etcd/releases/downlo ...

  5. 如何安装一个高可用K3s集群?

    作者介绍 Janakiram MSV是Janakiram & Associates的首席分析师,也是国际信息技术学院的兼职教师.他也是Google Qualified Developer.亚马 ...

  6. 高可用Kubernetes集群-3. etcd高可用集群

    五.部署高可用etcd集群 etcd是key-value存储(同zookeeper),在整个kubernetes集群中处于中心数据库地位,以集群的方式部署,可有效避免单点故障. 这里采用静态配置的方式 ...

  7. 搭建高可用mongodb集群(四)—— 分片(经典)

    转自:http://www.lanceyan.com/tech/arch/mongodb_shard1.html 按照上一节中<搭建高可用mongodb集群(三)-- 深入副本集>搭建后还 ...

  8. [转]搭建高可用mongodb集群(四)—— 分片

    按照上一节中<搭建高可用mongodb集群(三)—— 深入副本集>搭建后还有两个问题没有解决: 从节点每个上面的数据都是对数据库全量拷贝,从节点压力会不会过大? 数据压力大到机器支撑不了的 ...

  9. [转]搭建高可用mongodb集群(二)—— 副本集

    在上一篇文章<搭建高可用MongoDB集群(一)——配置MongoDB> 提到了几个问题还没有解决. 主节点挂了能否自动切换连接?目前需要手工切换. 主节点的读写压力过大如何解决? 从节点 ...

随机推荐

  1. 哇,ElasticSearch多字段权重排序居然可以这么玩

    背景 读者提问:ES 的权重排序有没有示列,参考参考? 刚好之前也稍微接触过,于是写了这篇文章,可以简单参考下. 在很多复杂的业务场景下,排序的规则会比较复杂,单一的降序,升序无法满足日常需求.不过 ...

  2. Windows Server 2012 两台服务器文件同步

    下载cwRsyncServer软件安装(这是Windows下的文件同步软件) 一.(1)在文件客户端服务器安装该软件,找到安装位置下的rsyncd.conf,修改配置文件(注意在Windows下输入位 ...

  3. jQuery源码分析系列(三)Sizzle选择器引擎-下

    选择函数:select() 看到select()函数,if(match.length === 1){}存在的意义是尽量简化执行步骤,避免compile()函数的调用. 简化操作同样根据tokenize ...

  4. python 四位玫瑰数 + 100以内素数求和

    四位玫瑰数 描述‪‬‪‬‪‬‪‬‪‬‮‬‫‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‫‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‭‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‮‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‭‬‪‬‪‬‪‬‪‬‪‬‮‬ ...

  5. gdb我在我本机上p不了,在别人机子上可以

    gdb我在我本机上p不了,在别人机子上可以,不知道什么 (gdb) p EventFlow->devicetypeThere is no member or method named devic ...

  6. 蒲公英 · JELLY技术周刊 Vol.20: Vue3 极致优化——分析 Vue3 Compiler 告诉你为什么这么快

    蒲公英 · JELLY技术周刊 Vol.20 性能优化是一条无尽的路,我们总是可以找到各种途径去提升体验,不论是响应时间还是按需加载,亦或是根据框架或者组件有针对性的优化都会是不错的方法.如果你在使用 ...

  7. Google Analytics谷歌分析事件之非互动事件

    非互动事件官方的解释如下 “非互动”一词是指可选的布尔值参数,此参数可以传递到用于发送事件命中的方法.通过此参数,您可以确定要如何为网站上包含事件衡量的网页定义跳出率.例如,假设您的首页上内嵌有一个视 ...

  8. P1082 同余方程(拓展欧几里德)

    题目描述 求关于xx的同余方程 a x \equiv 1 \pmod {b}ax≡1(modb) 的最小正整数解. 输入输出格式 输入格式: 一行,包含两个正整数 a,ba,b,用一个空格隔开. 输出 ...

  9. java初探(1)之静态页面化——客户端缓存

    利用服务端缓存技术,将页面和对象缓存在redis中,可以减少时间浪费,内存开销.但在每次请求的过程中,仍然会有大量静态资源的请求和返回. 使用静态页面技术,页面不必要使用页面交互技术,比如thymel ...

  10. Windows下安装nvm管理多个nodejs版本

    平常在工作中难免会有node版本的要求,下面介绍一种利用nvm工具管理多个node版本的方法 下载安装 Github: Download nvm-windows --- nvm-setup.zip 程 ...