kubernetes 用到的工具及组件

kubernetes 用到的工具及组件，将所有的组件下载后放到/usr/local/bin目录下（记得chmod a+x /usr/local/bin/*）。所有的组件，原则上都用最新的，如果遇到不支持的，最有可能是docker，可以换成docker-17.03.2-ce。

1、cfssl、cfssljson，为确保安全，kubernetes 系统各组件需要使用 x509 证书对通信进行加密和认证。

CA (Certificate Authority) 是自签名的根证书，用来签名后续创建的其它证书。

本文档使用 CloudFlare 的 PKI 工具集 cfssl 创建所有证书。

官网：https://pkg.cfssl.org/

一般我们用到两个组件：cfssl、cfssljson
# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
# mv cfssl_linux-amd64 /usr/local/bin/cfssl
# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
# mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

如果不想安装wget：

curl -s -L -o /usr/local/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o /usr/local/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x /usr/local/bin/{cfssl,cfssljson}

创建证书都在/etc/kubernetes/ca 这个目录下。

创建根证书 (CA)
CA 证书是集群所有节点共享的，只需要创建一个 CA 证书，后续创建的所有证书都由它签名。

创建配置文件
CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage，过期时间、服务端认证、客户端认证、加密等)，后续在签名其它证书时需要指定特定场景。

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF

signing：表示该证书可用于签名其它证书，生成的 ca.pem 证书中 CA=TRUE；
server auth：表示 client 可以用该该证书对 server 提供的证书进行验证；
client auth：表示 server 可以用该该证书对 client 提供的证书进行验证；

创建证书签名请求文件

cat > ca-csr.json <<EOF
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ChongQing",
      "L": "ChongQing",
      "O": "k8s",
      "OU": "yunwei"
    }
  ]
}
EOF

CN: Common Name，浏览器使用该字段验证网站是否合法，一般写的是域名。非常重要。浏览器使用该字段验证网站是否合法

C: Country， 国家

ST: State，州，省

L: Locality，地区，城市

O: Organization Name，组织名称，公司名称

OU: Organization Unit Name，组织单位名称，公司部门

生成 CA 证书和私钥
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
ls ca*

分发证书文件（证书都在一台上生成，根据需要拷贝到其他节点）
将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /etc/kubernetes/ca 目录下。

# scp /etc/kubernetes/ca/* 192.168.111.11:/etc/kubernetes/ca/
# scp /etc/kubernetes/ca/* 192.168.111.12:/etc/kubernetes/ca/

2、etcd 是基于 Raft 的分布式 key-value 存储系统，由 CoreOS 开发，常用于服务发现、共享配置以及并发控制（如 leader 选举、分布式锁等）。kubernetes 使用 etcd 存储所有运行数据。

项目地址：https://github.com/etcd-io/etcd/releases
选择etcd-v3.3.9-linux-amd64.tar.gz下载，主要用到两个文件etcd，etcdctl，分别是数据库文件盒客户端文件。

# wget https://github.com/etcd-io/etcd/releases/download/v3.3.9/etcd-v3.3.9-linux-amd64.tar.gz
# tar -zxvf etcd-v3.3.9-linux-amd64.tar.gz
# cd /etcd-v3.3.9-linux-amd64
# mv ./etcd etcdctl /usr/local/bin

将这两个文件拷贝到所有etcd集群的节点的/usr/local/bin 目录下

3、flannel，使用 vxlan 技术为各节点kubernetes集群内各节点(包括 master 节点)创建一个可以互通的 Pod 网络。

flaneel 第一次启动时，从 etcd 获取 Pod 网段信息，为本节点分配一个未使用的 /24 段地址，然后创建 flannedl.1（也可能是其它名称，如 flannel1 等） 接口。

flannel 将分配的 Pod 网段信息写入 /run/flannel/docker 文件，docker 后续使用这个文件中的环境变量设置 docker0 网桥。

项目地址：https://github.com/coreos/flannel/releases
选择flannel-v0.10.0-linux-amd64.tar.gz，主要用到的就是flanneld、mk-docker-opts.sh两个文件。

# wget https://github.com/coreos/flannel/releases/download/v0.10.0/flannel-v0.10.0-linux-amd64.tar.gz
# tar -zxvf flannel-v0.10.0-linux-amd64.tar.gz
# mv ./flanneld mk-docker-opts.sh /usr/local/bin

将这两个文件拷贝到所有的节点的/usr/local/bin 目录下。

4、docker 是容器的运行环境，管理它的生命周期。kubelet 通过 Container Runtime Interface (CRI) 与 docker 进行交互。
官网下载地址：https://download.docker.com/linux/static/stable/x86_64/

# wget https://download.docker.com/linux/static/stable/x86_64/docker-17.03.2-ce.tgz
# tar -zxvf docker-17.03.2-ce.tgz
# mv ./docker-17.03.2-ce/* /usr/local/bin

将docker的全部文件拷贝到所有的节点的/usr/local/bin 目录下。

5、Kubernetes（k8s），是自动化容器操作的开源平台，这些操作包括部署，调度和节点集群间扩展。如果你曾经用过Docker容器技术部署容器，那么可以将Docker看成Kubernetes内部使用的低级别组件。Kubernetes不仅仅支持Docker，还支持Rocket，这是另一种容器技术。
使用Kubernetes可以：

• 自动化容器的部署和复制
• 随时扩展或收缩容器规模
• 将容器组织成组，并且提供容器间的负载均衡
• 很容易地升级应用程序容器的新版本
• 提供容器弹性，如果容器失效就替换它，等等...

Kubernetes主要包含服务器端（kube-apiserver、kube-controller-manager、kube-scheduler）和客户端（kubelet、kube-proxy）及管理端kubectl。

kube-apiserver，kube-apiserver主要负责暴露Kubernetes API，不管是kubectl还是HTTP调用来操作Kubernetes集群各种资源，都是通过kube-apiserver提供的接口进行操作的。

kube-controller-manager，管理控制器负责整个Kubernetes的管理工作，保证集群中各种资源的状态处于期望状态，当监控到集群中某个资源状态不正常时，管理控制器会触发对应的调度操作，主要由以下几部分组成：

• 节点控制器（Node Controller）
• 副本控制器（Replication Controller）
• 端点控制器（Endpoints Controller）
• 命名空间控制器（Namespace Controller）
• 身份认证控制器（Serviceaccounts Controller）

kube-scheduler，调度器负责Kubernetes集群的具体调度工作，接收来自于管理控制器（kube-controller-manager）触发的调度操作请求，然后根据请求规格、调度约束、整体资源情况等因素进行调度计算，最后将任务发送到目标节点的kubelet组件执行。

kubelet，是Node节点上最重要的核心组件，负责Kubernetes集群具体的计算任务，具体功能包括：

• 监听Scheduler组件的任务分配
• 挂载POD所需Volume
• 下载POD所需Secrets
• 通过与docker daemon的交互运行docker容器
• 定期执行容器健康检查
• 监控、报告POD状态到kube-controller-manager组件
• 监控、报告Node状态到kube-controller-manager组件

kube-proxy，主要负责Service Endpoint到POD实例的请求转发及负载均衡的规则管理。
kube-proxy本身实际上并不负责请求转发和负载均衡，而时从kube-apiserver获取Service和POD的状态更新，生成对应的DNAT规则到本地的iptabels，最终的转发和负载均衡动作有iptabels实施，所以kube-proxy组件即使出现问题，已经更新到iptabels的转发规则依然能够生效。

kubectl,用于运行Kubernetes集群命令的管理工具。对于kubectl的安装可以在服务端安装完成后安装，一般安装在服务端的其中一台上就ok了。

项目地址：https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG.md
选择一个版本的，选择Server Binaries，选择kubernetes-node-linux-amd64.tar.gz下载

# wget https://dl.k8s.io/v1.11.3/kubernetes-node-linux-amd64.tar.gz
# tar -zxvf kubernetes-node-linux-amd64.tar.gz
# cd /kubernetes-node-linux-amd64
# mv ./kube-apiserver kube-controller-manager kube-scheduler /usr/local/bin #服务端只复制这三个
# mv ./kubelet kube-proxy /usr/local/bin #客户端复制这两个个，也复制到其他几台客户端的/usr/local/bin目录下。

kube-scheduler 和 kube-controller-manager 可以以集群模式运行，通过 leader 选举产生一个工作进程，其它进程处于阻塞模式。但是我们一般不这么做，多个 kube-apiserver，一个kube-scheduler 和 kube-controller-manager，效率有问题，二是可能会跨主机，比如A机的kube-apiserver，用的是B机的kube-scheduler 和C机的kube-controller-manager。

对于 kube-apiserver，可以运行多个实例（本文档是 3 实例），但对其它组件需要提供统一的访问地址，该地址需要高可用。本文档使用 keepalived 和 haproxy （或者nginx）实现 kube-apiserver VIP 高可用和负载均衡。

最好的是kube-apiserver、kube-scheduler 和 kube-controller-manager是一个整体，都用本机的，都用本机还可以不用认证授权（后续版本会删除非安全端口，建议还是用认证的），而且三个主机的kube-apiserver、kube-scheduler 和 kube-controller-manager都是可用的。