etcd 是一个分布式一致性k-v存储系统,可用于服务注册发现与共享配置,具有以下优点:
1.简单:相比于晦涩难懂的paxos算法,etcd基于相对简单且易实现的raft算法实现一致性,并通过gRPC提供接口调用
2.安全:支持TLS通信,并可以针对不同的用户进行对key的读写控制
3.高性能:10,000/秒的写性能

开放端口:

firewall-cmd --zone=public --add-port=2379/tcp --permanent

firewall-cmd --zone=public --add-port=2380/tcp --permanent

firewall-cmd --zone=public --add-port=4001/tcp --permanent

firewall-cmd --reload

    

设置hosts

172.16.150.25 etcd1

172.16.150.26 etcd2

172.16.150.27 etcd3

  

创建用户

mkdir -p /opt/platform/etcd

useradd etcd -d /opt/platform/etcd -c "Etcd user" -r -s /sbin/nologin

  

安装cfssl

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64

mv cfssl_linux-amd64 /usr/local/bin/cfssl

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

 

创建CA证书配置,生成CA证书和私钥, 只需要在一台机器上操作即可

先用 cfssl 命令生成包含默认配置的 config.json和 csr.json文件

mkdir /opt/ssl

cd /opt/ssl

cfssl print-defaults config > config.json

cfssl print-defaults csr > csr.json

  

然后分别修改这两个文件为如下内容

vim /opt/ssl/config.json

{

    "signing": {

        "default": {

            "expiry": "87600h"

            },

        "profiles": {

            "kubernetes": {

                 "usages": [

                     "signing",

                     "key encipherment",

                     "server auth",

                     "client auth"

                  ],

                 "expiry": "87600h"

                }

            }

       }

}

config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;
server auth:表示client可以用该 CA 对server提供的证书进行验证;
client auth:表示server可以用该CA对client提供的证书进行验证;

vim /opt/ssl/csr.json

{

  "CN": "kubernetes",

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "Wuhan",

      "L": "Hubei",

      "O": "k8s",

      "OU": "System"

    }

  ]

}

CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (UserName);浏览器使用该字段验证网站是否合法;
O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组(Group)

生成CA 证书和私钥

cd /opt/ssl

cfssl gencert -initca csr.json | cfssljson -bare ca

  

CA有关证书列表如下

[root@k8s-console ssl]# tree

.

├── ca.csr

├── ca-key.pem

├── ca.pem

├── config.json

└── csr.json

  

创建etcd证书配置,生成 etcd 证书和私钥

在/opt/ssl 下添加文件 etcd-csr.json,内容如下

{

  "CN": "etcd",

  "hosts": [

    "127.0.0.1",

    "172.16.150.25",

    "172.16.150.26",

    "172.16.150.27"

  ],

  "key": {

    "algo": "rsa",

    "size": 2048

},

  "names": [

  {

    "C": "CN",

    "ST": "Shanghai",

    "L": "Shanghai",

    "O": "etcd",

    "OU": "Etcd Security"

    }

  ]

}

  

生成etcd证书和密钥

cd /opt/ssl

cfssl gencert -ca=/opt/ssl/ca.pem \

-ca-key=/opt/ssl/ca-key.pem \

-config=/opt/ssl/config.json \

-profile=kubernetes etcd-csr.json | cfssljson -bare etcd

 

给证书读权限

chmod 644 /opt/ssl/*

  

etcd 有关证书证书列表如下

etcd.csr etcd-csr.json etcd-key.pem etcd.pem

  

至此CA证书就弄完了, 将这台机器侠/opt/ssl下所有东西,拷贝到其他两台机器下面的/opt/ssl下即可

安装etcd

在三台上都安装etcd

yum install etcd -y

 

添加etcd配置

wget https://github.com/coreos/etcd/releases/download/v3.3.7/etcd-v3.3.7-linux-amd64.tar.gz

tar -xvf etcd-v3.3.7-linux-amd64.tar.gz

cd etcd-v3.3.7-linux-amd64

cp -a etcd* /opt/platform/etcd/

 

添加etcd为系统服务
vim /usr/lib/systemd/system/etcd.service 

etcd1

[Unit]

Description=etcd server

After=network.target

After=network-online.target

Wants=network-online.target

[Service]

Type=notify

User=etcd

WorkingDirectory=/opt/platform/etcd

EnvironmentFile=-/opt/platform/etcd/etcd.conf

ExecStart=/opt/platform/etcd/etcd \

  --name etcd1 \

  --cert-file=/opt/ssl/etcd.pem \

  --key-file=/opt/ssl/etcd-key.pem \

  --trusted-ca-file=/opt/ssl/ca.pem \

  --peer-cert-file=/opt/ssl/etcd.pem \

  --peer-key-file=/opt/ssl/etcd-key.pem \

  --peer-trusted-ca-file=/opt/ssl/ca.pem \

  --initial-advertise-peer-urls https://172.16.150.25:2380 \

  --listen-peer-urls https://172.16.150.25:2380 \

  --listen-client-urls https://172.16.150.25:2379,https://127.0.0.1:2379 \

  --advertise-client-urls https://172.16.150.25:2379 \

  --initial-cluster-token consul_etcd \

  --initial-cluster etcd1=https://172.16.150.25:2380,etcd2=https://172.16.150.26:2380,etcd3=https://172.16.150.27:2380 \

  --initial-cluster-state new \

  --data-dir=/opt/platform/etcd/data

Restart=on-failure

RestartSec=5

  

etcd2

[Unit]

Description=etcd server

After=network.target

After=network-online.target

Wants=network-online.target

[Service]

Type=notify

User=etcd

WorkingDirectory=/opt/platform/etcd

EnvironmentFile=-/opt/platform/etcd/etcd.conf

ExecStart=/opt/platform/etcd/etcd \

  --name etcd2 \

  --cert-file=/opt/ssl/etcd.pem \

  --key-file=/opt/ssl/etcd-key.pem \

  --trusted-ca-file=/opt/ssl/ca.pem \

  --peer-cert-file=/opt/ssl/etcd.pem \

  --peer-key-file=/opt/ssl/etcd-key.pem \

  --peer-trusted-ca-file=/opt/ssl/ca.pem \

  --initial-advertise-peer-urls https://172.16.150.26:2380 \

  --listen-peer-urls https://172.16.150.26:2380 \

  --listen-client-urls https://172.16.150.26:2379,https://127.0.0.1:2379 \

  --advertise-client-urls https://172.16.150.26:2379 \

  --initial-cluster-token consul_etcd \

  --initial-cluster etcd1=https://172.16.150.25:2380,etcd2=https://172.16.150.26:2380,etcd3=https://172.16.150.27:2380 \

  --initial-cluster-state new \

  --data-dir=/opt/platform/etcd/data

Restart=on-failure

RestartSec=5

  

etcd3

[Unit]

Description=etcd server

After=network.target

After=network-online.target

Wants=network-online.target

[Service]

Type=notify

User=etcd

WorkingDirectory=/opt/platform/etcd

EnvironmentFile=-/opt/platform/etcd/etcd.conf

ExecStart=/opt/platform/etcd/etcd \

  --name etcd3 \

  --cert-file=/opt/ssl/etcd.pem \

  --key-file=/opt/ssl/etcd-key.pem \

  --trusted-ca-file=/opt/ssl/ca.pem \

  --peer-cert-file=/opt/ssl/etcd.pem \

  --peer-key-file=/opt/ssl/etcd-key.pem \

  --peer-trusted-ca-file=/opt/ssl/ca.pem \

  --initial-advertise-peer-urls https://172.16.150.27:2380 \

  --listen-peer-urls https://172.16.150.27:2380 \

  --listen-client-urls https://172.16.150.27:2379,https://127.0.0.1:2379 \

  --advertise-client-urls https://172.16.150.27:2379 \

  --initial-cluster-token consul_etcd \

  --initial-cluster etcd1=https://172.16.150.25:2380,etcd2=https://172.16.150.26:2380,etcd3=https://172.16.150.27:2380 \

  --initial-cluster-state new \

  --data-dir=/opt/platform/etcd/data

Restart=on-failure

RestartSec=5

  

启动etcd:

mkdir -p /opt/platform/etcd/data && chown etcd:etcd -R /opt/platform/etcd

systemctl enable etcd.service && systemclt daemon-reload && systemctl start etcd.service

 

添加alias:

vim /etc/profile.d/alias_bash.sh

alias etcdctl='etcdctl --endpoints=https://172.16.150.25:2379,https://172.16.150.26:2379,https://172.16.150.27:2379 --cert-file=/opt/ssl/etcd.pem --ca-file=/opt/ssl/ca.pem --key-file=/opt/ssl/etcd-key.pem'

source /etc/profile.d/alias_bash.sh

验证etcd集群状态

etcdctl cluster-health

   

查看etcd 集群成员

etcdctl member list

测试验证:

etcdctl set test/testkey0 0

etcdctl get test/testkey0

 

etcd集群安装的更多相关文章

  1. centos下etcd集群安装

    先仔细了解学习etcd 官方: https://github.com/etcd-io/etcd https://www.cnblogs.com/softidea/p/6517959.html http ...

  2. ETCD集群安装实验

    目录 [1.下载二进制程序] [2.安装etcd集群] [3.查询集群状态] [4.存入读取数据] [5.注意事项] [6.参考链接] 简介:     Etcd的官网文档及其在GitHub上的文档,已 ...

  3. etcd集群安装部署

    1. 集群架构 由于我们只有两个机房,所以选择的是以上图中所示的数据同步方案, 通过做镜像的方式保证两个集群的数据实时同步. 整体架构如上图所示, 整个全局元数据中心包括两套集群,廊坊集群和马驹桥集群 ...

  4. kubernetes 集群安装etcd集群,带证书

    install etcd 准备证书 https://www.kubernetes.org.cn/3096.html 在master1需要安装CFSSL工具,这将会用来建立 TLS certificat ...

  5. 使用docker方式安装etcd集群,带TLS证书

    网上文档也多,安装的时候,还是踩了几个坑. 现在作一个安装记录吧. 1,先作自签名的证书ca-csr.json(为了和k8s共用根证书,可能将信息调为k8s). { "CN": & ...

  6. 使用k8s operator安装和维护etcd集群

    关于Kubernetes Operator这个新生事物,可以参考下文来了解这一技术的来龙去脉: https://yq.aliyun.com/articles/685522?utm_content=g_ ...

  7. Kubernetes1.91(K8s)安装部署过程(三)--创建高可用etcd集群

    这里的etcd集群复用我们测试的3个节点,3个node都要安装并启动,注意修改配置文件 1.TLS认证文件分发:etcd集群认证用,除了本机有,分发到其他node节点 scp ca.pem kuber ...

  8. yum安装etcd集群

       前一篇文章介绍了如何yum安装简单的kubernetes集群,其中etcd是单点部署.本篇我们来搭建etcd集群,方便日后搭建kubernetes HA集群架构. 1,环境配置说明 etcd1 ...

  9. etcd简介及集群安装部署使用

    目录 1. 简介 2. Linux下载安装 3. 单机模式启动 4. 指定各集群成员的方式配置集群 5. 使用discovery service的方式配置集群 6. 集群模式下客户端命令行 7. et ...

随机推荐

  1. Hive 利用 on tez 引擎 合并小文件

    Hive 利用 on tez 引擎 合并小文件 标签(空格分隔): Hive \[f(N) + \sum_{i=2}^N f(N-i+1)*X_i\] SET hive.exec.dynamic.pa ...

  2. LeetCode 36. 有效的数独(Valid Sudoku)

    题目描述 判断一个 9x9 的数独是否有效.只需要根据以下规则,验证已经填入的数字是否有效即可. 数字 1-9 在每一行只能出现一次. 数字 1-9 在每一列只能出现一次. 数字 1-9 在每一个以粗 ...

  3. 黑马lavarel教程---10、lavarel模型关联

    黑马lavarel教程---10.lavarel模型关联 一.总结 一句话总结: 1.模型关联比较方便,一次定义,后面都可以使用 2.关联关系 使用动态属性进行调用 1.一对多,多对多实例? 一对多: ...

  4. koa 项目实战(五)全球公用头像的使用

    1.安装模块 npm install gravatar --save 2.使用 根目录/routes/api/users.js const gravatar = require('gravatar') ...

  5. ArrayList && HashMap扩容策略

    ArrayList扩容策略:默认10 扩容时是base + base/2, 即10 15 22 33 49...扩容时不安全:grow方法扩容时,赋值 elementData = Arrays.cop ...

  6. 使用构造器模式动态构建Map作为mybatis的查询条件

    import com.alibaba.fastjson.JSON; import com.fasterxml.jackson.databind.ObjectMapper; import com.fas ...

  7. 【JVM学习笔记】类加载过程

    在Java代码中,类型的加载.连接与初始化过程都是在程序运行期间完成的:提供了更大的灵活性,增加了更多的可能性 JVM启动过程包括:加载.连接.初始化 加载:就是将class文件加载到内存.详细的说是 ...

  8. 备份和恢复IMail数据/IMail的服务端口

    1.备份和恢复IMail数据 首先你需要备份它的系统文件.方法是将“\imail”整个目录树复制下来. 其次还需要备份它的注册表.可选“localhost→General→Backup”来复制:或打开 ...

  9. PHP $_SERVER超全局变量

    $_SERVER是php中的超全局变量,一个包含了诸如头信息(header).路径(path).以及脚本位置(script locations)等等信息的数组.这个数组中的项目由 Web 服务器创建. ...

  10. Tensorflow 从文件中载入训练数据

    本节包含: 用纯文本文件准备训练数据 加载文件中的训练数据 一.用纯文本文件准备训练数据 1.数据的数字化 比如,“是” —— “1”,“否” —— “0” “优”,“中”,“差” —— 1 2 3  ...