K8S二进制单节点部署
一、常见的k8s部署方式
1、inikube: Minikube是一个工具,可以在本地快速运行一个单节点微型K8s,仅用于学习预览K8s的一些特性使用 部署地址: https://kubernetes.io/docs/setup/minikube
2、Kubeadmin: Kubeadmin也是一个工具,提供kubeadm init和kubeadm join,用于快速部署K8S集群,相对简单 https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/
3、二进制安装部署 生产首选,从官方下载发行版的二进制包,手动部署每个组件和自签TLS证书,组成K8s集群,新手推荐 https://github.com/kubernetes/kubernetes/releases
二、Kubernetes二进制部署(单节点)
1、环境准备
服务器 | ip | 组件 |
---|---|---|
k8s集群master1 | 192.168.142.3 | kube-apiserver、kube-controller-manager、kube-scheduler、etcd |
k8s集群node1 | 192.168.142.4 | kubelet、kube-proxy、docker、flannel |
k8s集群node2 | 192.168.142.5 | kubelet、kube-proxy、docker、flannel |
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
#关闭防火墙和安全功能 systemctl stop firewalld systemctl disable firewalld setenforce 0 #关闭swap swapoff -a sed -ir 's/.*swap.*/#&/' /etc/fstab #设置主机名 hostnamectl set -hostname master01 hostnamectl set -hostname node01 hostnamectl set -hostname node02 #添加hosts cat >> /etc/hosts << EOF 192.168.142.3 master01 192.168.142.4 node01 192.168.142.5 node02 EOF #将桥接的ipv4流量传递到iptables的链 cat > /etc/sysctl.d/k8s.conf << EOF net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 EOF sysctl --system #时间同步 yum install ntpdate -y ntpdate time.windows.com |
2、部署etcd集群(这里就不在单独的服务器上部署,直接部署在各节点上,节省资源)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
1.etcd目前默认使用2379端口提供HTTP API服务,2380端口和peer通信(这两个端口已经被TAMA(互联网数字分配机构)官方预留给etced)。即etcd默认使用2379端口对外为客户端提供通讯,使用端口2380来进行服务器间内部通讯 2.etcd在生产环境中一般推荐集群方式部署。由于etcd的leader选举机制,要求至少为3台或以上的奇数台 3.etcd作为服务发现系统,有以下的特点: • 简单 安装配置简单,而且提供了HTTP API进行交互,使用也很简单 • 安全: 支持SSL证书验证 • 快速: 单实例支持每秒2k+读操作 • 可靠: 采用raft算法实现分布式系统数据的可用性和一致性 ========================================================== ##准备签发证书环境 CFSSL是CloudFlare公司开源的一款PKI/TLS工具。CESSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。 CFSSL使用配置文件生成证书,因此自签之前,需要生成它识别的json 格式的配置文件,CFSSL 提供了方便的命令行生成配置文件。 CFSSL用来为etcd提供TLS证书,它支持签三种类型的证书: 1、client证书,服务端连接客户端时携带的证书,用于客户端验证服务端身份,如kube-apiserver 访问etcd; 2、server证书,客户端连接服务端时携带的证书,用于服务端验证客户端身份,如etcd对外提供服务: 3、peer证书,相互之间连接时使用的证书,如etcd节点之间进行验证和通信。 这里全部都使用同一套证书认证。 |
(1)下载证书制作工具
1
2
3
4
5
6
7
8
9
10
11
|
curl -L https: //pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl curl -L https: //pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson curl -L https: //pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo chmod +x /usr/local/bin/cfssl* ========================================================== cfssl: 证书签发的工具命令 cfssljson: 将cfssl 生成的证书( json格式)变为文件承载式证书 cfssl-certinfo:验证证书的信息 cfssl-certinfo -cert <证书名称> |
(2)利用etcd-cert.sh生成CA证书、etcd服务器证书以及私钥
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
|
1.创建k8s.工作目录 mkdir /opt/k8s cd /opt/k8s/ 2.mkdir /opt/k8s/etcd-cert #创建用于生成CA证书、etcd服务器证书以及私钥的目录 cd /opt/k8s/etcd-cert vim etcd-cert.sh ---------------------------------------------------------- cat > ca-config.json <<EOF #CA证书配置文件 { "signing" : { #键名称 "default" : { "expiry" : "87600h" #证书有效期(10年) }, "profiles" : { #简介 "www" : { #名称 "expiry" : "87600h" , "usages" : [ #使用方法 "signing" , #键 "key encipherment" , #密钥验证(密钥验证要设置在CA证书中) "server auth" , #服务器端验证 "client auth" #客户端验证 ] } } } } EOF cat > ca-csr.json <<EOF #CA签名 { "CN" : "etcd CA" , #CA签名为etcd指定(三个节点均需要) "key" : { "algo" : "rsa" , #使用rsa非对称密钥的形式 "size" : 2048 #密钥长度为2048 }, "names" : [ #在证书中定义信息(标准格式) { "C" : "CN" , #名称 "L" : "Beijing" , "ST" : "Beijing" } ] } EOF cfssl gencert -initca ca-csr.json | cfssljson -bare ca - cat > server-csr.json <<EOF #服务器端的签名 { "CN" : "etcd" , "hosts" : [ #定义三个节点的IP地址 "192.168.142.3" , "192.168.142.4" , "192.168.142.5" ], "key" : { "algo" : "rsa" , "size" : 2048 }, "names" : [ { "C" : "CN" , "L" : "BeiJing" , "ST" : "BeiJing" } ] } EOF cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server #cfssl 为证书制作工具 ---------------------------------------------------------- chmod +x etcd-cert.sh ./etcd-cert.sh |
(3)利用etcd.sh启动etcd
1)解压etcd包
1
2
3
4
5
6
7
8
9
10
|
#etcd二进制包地址: https://github.com/etcd-io/etcd/releases 1.上传etcd-v3.3.10-1inux-amd64.tar.gz 到/opt/k8s/目录中,解压etcd 压缩包 2.cd /opt/k8s/ tar zxvf etcd-v3.3.10-linux-amd64.tar.gz 3.1s etcd-v3.3.10-linux-amd64 Documentation etcd etcdctl README-etcdctl.md README.md READMEv2-etcdctl.md ========================================================== etcd就是etcd服务的启动命令,后面可跟各种启动参数 etcdct1主要为etcd服务提供了命令行操作 |
2)创建用于存放etcd配置文件,命令文件,证书的目录
1
2
3
4
|
mkdir -p /opt/etcd/{cfg,bin,ssl} mv /opt/k8s/etcd-v3.3.10-linux-amd64/etcd /opt/etcd/bin/ mv /opt/k8s/etcd-v3.3.10-linux-amd64/etcdctl /opt/etcd/bin/ cp /opt/k8s/etcd-cert/*.pem /opt/etcd/ssl/ |
3)编写etcd.sh启动etcd(先起一台,再scp)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
cd /opt/k8s vim etcd.sh ---------------------------------------------------------- #!/bin/bash #以下为使用格式:etcd名称 当前etcd的IP地址+完整的集群名称和地址 # example: ./etcd.sh etcd01 192.168.80.11 etcd02=https://192.168.80.12:2380,etcd03=https://192.168.80.13:2380 ETCD_NAME=$1 #位置变量1:etcd节点名称 ETCD_IP=$2 #位置变量2:节点地址 ETCD_CLUSTER=$3 #位置变量3:集群 WORK_DIR=/opt/etcd #指定工作目录 cat <<EOF >$WORK_DIR/cfg/etcd #在指定工作目录创建ETCD的配置文件 #[Member] ETCD_NAME= "${ETCD_NAME}" #etcd名称 ETCD_DATA_DIR= "/var/lib/etcd/default.etcd" ETCD_LISTEN_PEER_URLS= "https://${ETCD_IP}:2380" #etcd IP地址:2380端口。用于集群之间通讯 ETCD_LISTEN_CLIENT_URLS= "https://${ETCD_IP}:2379" #etcd IP地址:2379端口,用于开放给外部客户端通讯 #[Clustering] ETCD_INITIAL_ADVERTISE_PEER_URLS= "https://${ETCD_IP}:2380" ETCD_ADVERTISE_CLIENT_URLS= "https://${ETCD_IP}:2379" #对外提供的url使用https的协议进行访问 ETCD_INITIAL_CLUSTER= "etcd01=https://${ETCD_IP}:2380,${ETCD_CLUSTER}" #多路访问 ETCD_INITIAL_CLUSTER_TOKEN= "etcd-cluster" #tokens 令牌环名称:etcd-cluster ETCD_INITIAL_CLUSTER_STATE= "new" #状态,重新创建 EOF cat <<EOF >/usr/lib/systemd/system/etcd.service #定义ectd的启动脚本 [Unit] #基本项 Description=Etcd Server #类似为 etcd 服务 After=network.target #vu癌症 After=network-online.target Wants=network-online.target [Service] #服务项 Type=notify EnvironmentFile=${WORK_DIR}/cfg/etcd #etcd文件位置 ExecStart=${WORK_DIR}/bin/etcd \ #准启动状态及以下的参数 --name=\${ETCD_NAME} \ --data-dir=\${ETCD_DATA_DIR} \ --listen-peer-urls=\${ETCD_LISTEN_PEER_URLS} \ --listen-client-urls=\${ETCD_LISTEN_CLIENT_URLS},http: //127.0.0.1:2379 \ --advertise-client-urls=\${ETCD_ADVERTISE_CLIENT_URLS} \ #以下为群集内部的设定 --initial-advertise-peer-urls=\${ETCD_INITIAL_ADVERTISE_PEER_URLS} \ --initial-cluster=\${ETCD_INITIAL_CLUSTER} \ --initial-cluster-token=\${ETCD_INITIAL_CLUSTER_TOKEN} \ #群集内部通信,也是使用的令牌,为了保证安全(防范中间人窃取) --initial-cluster-state= new \ --cert-file=${WORK_DIR}/ssl/server.pem \ #证书相关参数 --key-file=${WORK_DIR}/ssl/server-key.pem \ --peer-cert-file=${WORK_DIR}/ssl/server.pem \ --peer-key-file=${WORK_DIR}/ssl/server-key.pem \ --trusted-ca-file=${WORK_DIR}/ssl/ca.pem \ --peer-trusted-ca-file=${WORK_DIR}/ssl/ca.pem Restart= on -failure LimitNOFILE=65536 #开放最多的端口号 [Install] WantedBy=multi-user.target #进行启动 EOF systemctl daemon-reload #参数重载 systemctl enable etcd systemctl restart etcd ---------------------------------------------------------- chmod +x etcd.sh 主机master01:./etcd.sh etcd01 192.168.80.11 etcd02=https: //192.168.80.12:2380,etcd03=https://192.168.80.13:2380 #执行脚本 另外打开一个终端窗口查看etcd进程是否正常 ps -ef | grep etcd //把etcd相关证书文件和命令文件全部拷贝到另外两个etcd集群节点 scp -r /opt/etcd/ root@192.168.142.4:/opt/ scp -r /opt/etcd/ root@192.168.142.5:/opt/ //把etcd服务管理文件拷贝到另外两个etcd集群节点 scp /usr/lib/systemd/system/etcd.service root@192.168.142.4:/usr/lib/systemd/system/ scp /usr/lib/systemd/system/etcd.service root@192.168.142.5:/usr/lib/systemd/system/ 修改vim /opt/etcd/cfg/etcd文件,每一台主机都有自己的etc编号和ip,除了集群那行一致,其他都要修改成本机ip和etc编号 再次systemctl daemon-reload #参数重载 systemctl enable etcd systemctl restart etcd |
4)在master01节点上测试健康检查
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
1.ln -s /opt/etcd/bin/etcd* /usr/local/bin 2.检查etcd群集状态 cd /opt/etcd/ssl etcdctl \ --ca-file=ca.pem \ --cert-file=server.pem \ --key-file=server-key.pem \ --endpoints= "https://192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379" \ cluster-health ========================================================== --cert-file:识别HTTPS端使用sSL证书文件 --key-file: 使用此SSL密钥文件标识HTTPS客户端 -ca-file:使用此CA证书验证启用https的服务器的证书 --endpoints:集群中以逗号分隔的机器地址列表 cluster-health:检查etcd集群的运行状况 ========================================================== 3.切换到etcd3版本查看集群节点状态和成员列表 export ETCDCTL_API=3 #v2和v3命令略有不同,etcd2 和etcd3也是不兼容的,默认是v2版本 etcdctl --write- out =table endpoint status etcdctl --write- out =table member list export ETCDCTL_API=2 #再切回v2版本 |
3、部署docker引擎(node节点上部署)
1
2
3
4
5
6
|
yum install -y yum-utils device-mapper-persistent-data lvm2 yum-config-manager --add-repo https: //mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo yum install -y docker-ce docker-ce-cli containerd.io systemctl start docker.service systemctl enable docker.service |
三、flannel网络
1、K8S中Pod网络通信的方式
Pod内容器与容器之间的通信:
在同一个Pod内的容器(Pod内的容器是不会跨宿主机的)共享同一个网络命令空间,相当于它们在网一台机器上一样,可以用localhost地址访间彼此的端口
同一个Node内Pod之间的通信:
每个Pod 都有一个真实的全局IP地址,同一个Node 内的不同Pod之间可以直接采用对方Pod的IP地址进行通信,Pod1与Pod2都是通过veth连接到同一个docker0网桥,网段相同,所以它们之间可以直接通信
不同Node上Pod之间的通信:
Pod地址与docker0在同一网段,dockor0网段与宿主机网卡是两个不同的网段,且不同Nodo之间的通信贝能通过宿主机的物理网卡进行
要想实现不同node上pod之间的通信,就必须想办法通过主机的物理网卡IP地址进行寻址和通信,因此要满足两个条件;pod的ip不能冲突;将pod的IP和所在的node的IP关联起来,通过这个管理让不同node上pod之间直接通过内网IP地址通信
2、K8S的三种网络
(1)Overlay Network
叠加网络,在二层或者三层基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路隧道连接起来(类似于vpn)
(2)VXLAN
将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层报文头进行封装,然后再以太网上传输,到达目的地后由隧道断点解封装并将数据发送给目标地址
(3)Flannel
Flannle的功能是让集群中的不同节点主机创建的docker容器都具有全集群唯一的虚拟IP地址
Flannel是Overlay网络中的一种,也是将TCP源数据包封装在另一种网络包里面进行路由转发和通信,目前支持UDP、VXLAN、host-GW3中数据转发方式
3、Flannel工作原理
数据从源node节点的pod发出后,会经由docker0网卡转发到flannel0网卡,在flannel0网卡有个flanneld服务会把这个数据包podIP头部封装到UDP报文中,然后根据自己在etcd中维护路由表通过物理网卡转发到目标node节点,数据包到达目标node节点后会被flanneld服务解封装会暴露UDP报文中的podIP地址,然后经由flannel0 网卡和docker0网卡转发到目标pod的容器
4、ETCD 之 Flannel 提供说明
存储管理Flannel可分配的IP地址段资源
监控 ETCD 中每个 Pod 的实际地址,并在内存中建立维护 Pod 节点路由表
四、配置flannel网络
1、master01节点上操作
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
//添加 flannel 网络配置信息,写入分配的子网段到 etcd 中,供 flannel 使用 cd /opt/etcd/ssl /opt/etcd/bin/etcdctl \ --ca-file=ca.pem \ --cert-file=server.pem \ --key-file=server-key.pem \ --endpoints= "https://192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379" \ set /coreos.com/network/config '{"Network": "172.17.0.0/16", "Backend": {"Type": "vxlan"}}' //查看写入的信息 /opt/etcd/bin/etcdctl \ --ca-file=ca.pem \ --cert-file=server.pem \ --key-file=server-key.pem \ --endpoints= "https://192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379" \ get /coreos.com/network/config ------------------------------------------------------------------------------------------ set <key> <value> set /coreos.com/network/config 添加一条网络配置记录,这个配置将用于flannel分配给每个docker的虚拟IP地址段 get <key> get /coreos.com/network/config 获取网络配置记录,后面不用再跟参数了 Network:用于指定Flannel地址池 Backend:用于指定数据包以什么方式转发,默认为udp模式,Backend为vxlan比起预设的udp性能相对好一些 |
2、在所有 node 节点上操作
(1)上传压缩包
1
2
3
4
5
6
|
//上传 flannel.sh 和 flannel-v0.10.0-linux-amd64.tar.gz 到 /opt 目录中,解压 flannel 压缩包 cd /opt tar zxvf flannel-v0.10.0-linux-amd64.tar.gz flanneld #flanneld为主要的执行文件 mk-docker-opts.sh #mk-docker-opts.sh脚本用于生成Docker启动参数 README.md |
(2)创建kubernetes工作目录
1
2
3
4
|
mkdir -p /opt/kubernetes/{cfg,bin,ssl} cd /opt mv mk-docker-opts.sh flanneld /opt/kubernetes/bin/ |
(3)利用脚本启动flanneld服务,开启flannel网络功能
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
|
cd /opt vim flannel.sh ========================================================== ========================================================== #!/bin/bash --------------定义etcd集群的端点IP地址和对外提供服务的2379端口 ETCD_ENDPOINTS=${1:- "http://127.0.0.1:2379" } #${ var :- string }:若变量 var 为空,则用在命令行中用 string 来替换;否则变量 var 不为空时>,则用变量 var 的值来替换,这里的1代表的是位置变量$1 --------------#创建flanneld配置文件 cat > /opt/kubernetes/cfg/flanneld <<EOF FLANNEL_OPTIONS="--etcd-endpoints=${ETCD_ENDPOINTS} \\ -etcd-cafile=/opt/etcd/ssl/ca.pem \\ -etcd-certfile=/opt/etcd/ssl/server.pem \\ -etcd-keyfile=/opt/etcd/ssl/server-key.pem" EOF #flanneld本应使用etcd客户端TLS相关证书(client 证书),这里全部都使用同一套证书认证。 ---------------#创建flanneld.service服务管理文件 cat > /usr/lib/systemd/system/flanneld.service <<EOF [Unit] Description=Flanneld overlay address etcd agent After=network-online.target network.target Before=docker.service [Service] Type=notify EnvironmentFile=/opt/kubernetes/cfg/flanneld ExecStart=/opt/kubernetes/bin/flanneld --ip-masq \$FLANNEL_OPTIONS ExecStartPost=/opt/kubernetes/bin/mk-docker-opts.sh -k DOCKER_NETWORK_OPTIONS -d /run/flannel/subnet.env Restart= on -failure [Install] WantedBy=multi-user.target EOF #flanneld启动后会使用 mk-docker-opts.sh 脚本生成 docker 网络相关配置信息 #mk-docker-opts.sh -k DOCKER_NETWORK_OPTIONS:将组合选项键设置为环境变量DOCKER_NETWORK_OPTIONS,docker启动时将使用此变量 #mk-docker-opts.sh -d /run/flannel/subnet.env:指定要生成的docker网络相关信息配置>文件的路径,docker启动时候引用此配置 ---------------启动flanneld服务 systemctl daemon-reload systemctl enable flanneld systemctl restart flanneld ========================================================== ========================================================== chmod +x flannel.sh ./flannel.sh https: //192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379 |
(4)查看 cat /run/flannel/subnet.env
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
flanne1启动后会生成一个docker网络相关信息配置文件/run/flannel/subnet.env,包含了docker要使用flannel通讯的相关参数 cat /run/flannel/subnet.env DOCKER_OPT_BIP= "--bip=172.17.85.1/24" DOCKER_OPT_IPMASQ= "--ip-masq= false" DOCKER_OPT_MTU= "--mtu=1450" DOCKER_NETWORK_OPTIONS= " --bip=172.17.85.1/24 --ip-masq=false --mtu=1450" ------------------------------------------------ --bi: 指定docker 启动时的子网 --ip-masq: 设置ipmasq= false 关闭snat 伪装策略 --mtu=1450:mtu要留出50字节给外层的vxlan封包的额外开销使用 Flannel启动过程解析: 1、从etcd中获取network的配置信息 2、划分subnet, 并在etcd中进行注册 3、将子网信息记录到/run/flannel/subnet.env中 |
(5)修改docker服务管理文件,配置docker连接flannel
1
2
3
4
5
6
7
8
9
10
11
12
13
|
vim /lib/systemd/system/docker.service [Service] Type=notify # the default is not to use systemd for cgroups because the delegate issues stillt # exists and systemd currently dges not support the cgroup feature set requi red # for containers run by docker EnvironmentFile=/run/flannel/subnet.env #添加 ExecStart=/usr/bin/dockerd $DOCKER_NETWORK_OPTIONS -H fd: // --containerd=/run/containerd/containerd.sock #修改 ExecReload=/bin/kill -s HUP $MAINPID TimeoutSec=0 RestartSec=2 Restart=always |
(6)重启docker服务
systemctl daemon-reload
systemctl restart docker
//查看 docker0 和 flannel.1 的 IP 地址,此时应该在同一网段里
(7)测试
1
2
3
4
5
6
7
8
9
|
在 node01 节点测试 ping 通 node02 节点的 docker0 网卡,证明 flannel 已起到路由作用 ping -I 172.17.15.1 172.17.45.1 //创建并进入容器 docker run -itd centos:7 /bin/bash //在容器中下载工具,测试 ping 通 node02 节点中的 centos:7 容器 yum install net-tools -y ping -I 172.17.15.2 172.17.45.2 |
五、部署 master 组件
1、在 master01 节点上操作
(1)上传 master.zip 和 k8s-cert.sh 到 /opt/k8s 目录中,解压 master.zip 压缩包
1
2
3
4
5
6
7
|
cd /opt/k8s/ unzip master.zip apiserver.sh scheduler.sh controller-manager.sh chmod +x *.sh |
(2)创建kubernetes工作目录
1
|
mkdir -p /opt/kubernetes/{cfg,bin,ssl} |
(3)创建用于生成CA证书、相关组件的证书和私钥的目录
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
|
mkdir /opt/k8s/k8s-cert mv /opt/k8s/k8s-cert.sh /opt/k8s/k8s-cert cd /opt/k8s/k8s-cert/ vim k8s-cert.sh ========================================================== #!/bin/bash #配置证书生成策略,让 CA 软件知道颁发有什么功能的证书,生成用来签发其他组件证书的根证书 cat > ca-config.json <<EOF { "signing" : { "default" : { "expiry" : "87600h" }, "profiles" : { "kubernetes" : { "expiry" : "87600h" , "usages" : [ "signing" , "key encipherment" , "server auth" , "client auth" ] } } } } EOF #生成CA证书和私钥(根证书和私钥) cat > ca-csr.json <<EOF { "CN" : "kubernetes" , "key" : { "algo" : "rsa" , "size" : 2048 }, "names" : [ { "C" : "CN" , "L" : "Beijing" , "ST" : "Beijing" , "O" : "k8s" , "OU" : "System" } ] } EOF cfssl gencert -initca ca-csr.json | cfssljson -bare ca - #----------------------- #生成 apiserver 的证书和私钥(apiserver和其它k8s组件通信使用) #hosts中将所有可能作为 apiserver 的 ip 添加进去,后面 keepalived 使用的 VIP 也要加入 cat > apiserver-csr.json <<EOF { "CN" : "kubernetes" , "hosts" : [ "10.0.0.1" , "127.0.0.1" , "192.168.80.11" , #master01 "192.168.80.16" , #master02 "192.168.80.100" , #vip,后面 keepalived 使用 "kubernetes" , "kubernetes.default" , "kubernetes.default.svc" , "kubernetes.default.svc.cluster" , "kubernetes.default.svc.cluster.local" ], "key" : { "algo" : "rsa" , "size" : 2048 }, "names" : [ { "C" : "CN" , "L" : "BeiJing" , "ST" : "BeiJing" , "O" : "k8s" , "OU" : "System" } ] } EOF cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes apiserver-csr.json | cfssljson -bare apiserver #----------------------- #生成 kubectl 的证书和私钥,具有admin权限 cat > admin-csr.json <<EOF { "CN" : "admin" , "hosts" : [], "key" : { "algo" : "rsa" , "size" : 2048 }, "names" : [ { "C" : "CN" , "L" : "BeiJing" , "ST" : "BeiJing" , "O" : "system:masters" , "OU" : "System" } ] } EOF cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin #----------------------- #生成 kube-proxy 的证书和私钥 cat > kube-proxy-csr.json <<EOF { "CN" : "system:kube-proxy" , "hosts" : [], "key" : { "algo" : "rsa" , "size" : 2048 }, "names" : [ { "C" : "CN" , "L" : "BeiJing" , "ST" : "BeiJing" , "O" : "k8s" , "OU" : "System" } ] } EOF cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy ========================================================== ./k8s-cert.sh //controller-manager和kube-scheduler设置为只调用当前机器的apiserver, 使用127.0.0.1:8080 通信,因此不需要签发证书 |
(4)复制CA证书、apiserver相关证书和私钥到 kubernetes工作目录的 ssl 子目录中
1
|
cp ca*pem apiserver*pem /opt/kubernetes/ssl/ |
(5)上传 kubernetes-server-linux-amd64.tar.gz 到 /opt/k8s/ 目录中,解压 kubernetes 压缩包
1
2
|
cd /opt/k8s/ tar zxvf kubernetes-server-linux-amd64.tar.gz |
(6)复制master组件的关键命令文件到 kubernetes工作目录的 bin 子目录中
1
2
3
|
cd /opt/k8s/kubernetes/server/bin cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/ ln -s /opt/kubernetes/bin/* /usr/local/bin/ |
(7)创建 bootstrap token 认证文件,apiserver 启动时会调用
1
2
3
4
5
6
7
8
9
10
11
12
13
|
相当于在集群内创建了一个这个用户,接下来就可以用RBAC 给他授权 1.head -c 16 /dev/urandom | od -An -t x | tr -d ' ' #获取随机数前16个字节内容,以十六进制格式输出,并删除其中空格 结果是:21de1597292d523d3a7c79fdf7477c3e 2.cd /opt/k8s/ vim token.sh ========================================================== #!/bin/bash #生成token.csv 文件,按照Token序列号,用户名,UID,用户组的格式生成 cat > /opt/kubernetes/cfg/token.csv <<EOF21de1597292d523d3a7c79fdf7477c3e,kubelet-bootstrap,10001, "system: kubelet-bootstrap" EOF ========================================================== chmod +x token.sh ./token.sh cat /opt/kubernetes/cfg/token.csv |
(8)开启apiserver服务,检查进程是否启动成功
1
2
3
4
5
|
二进制文件、token、证书都准备好 cd /opt/k8s/ ./apiserver.sh 192.168.142.3 https: //192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379 #开启apiserver服务 ps aux | grep kube-apiserver |
(9)查看6443、8080两个端口和版本信息
1
2
3
4
5
6
7
8
9
|
k8s通过kube- apiserver这个进程提供服务,该进程运行在单个master节点上。默认有两个端口6443和8080 //安全端口6443用于接收HTTPS请求,用于基于Token文件或客户端证书等认证 netstat -natp | grep 6443 //本地端口8080用于接收HTTP请求,非认证或授权的HTTP请求通过该端口访问APIServer netstat -natp | grep 8080 //查看版本信息(必须保证apiserver启动正常,不然无法查询到server的版本信息) kubectl version |
(10)启动scheduler和controller-manager
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
|
1.启动scheduler服务 cd /opt/k8s/ vim scheduler.sh ========================================================== !/bin/bash #创建 kube-scheduler 启动参数配置文件 MASTER_ADDRESS=$1 cat >/opt/kubernetes/cfg/kube-scheduler <<EOF KUBE_SCHEDULER_OPTS="--logtostderr= true \\ --v=4 \\ --master=${MASTER_ADDRESS}:8080 \\ --leader-elect= true " EOF #--master:监听 apiserver 的地址和8080端口 #--leader-elect=true:启动 leader 选举 #k8s中Controller-Manager和Scheduler的选主逻辑:k8s中的etcd是整个集群所有状态信息的存储,>涉及数据的读写和多个etcd之间数据的同步,对数据的一致性要求严格,所以使用较复杂的 raft 算>法来选择用于提交数据的主节点。而 apiserver 作为集群入口,本身是无状态的web服务器,多个 apiserver 服务之间直接负载请求并不需要做选主。Controller-Manager 和 Scheduler 作为任务类型>的组件,比如 controller-manager 内置的 k8s 各种资源对象的控制器实时的 watch apiserver 获>取对象最新的变化事件做期望状态和实际状态调整,调度器watch未绑定节点的pod做节点选择,显然>多个这些任务同时工作是完全没有必要的,所以 controller-manager 和 scheduler 也是需要选主的 ,但是选主逻辑和 etcd 不一样的,这里只需要保证从多个 controller-manager 和 scheduler 之间 选出一个 leader 进入工作状态即可,而无需考虑它们之间的数据一致和同步。 #创建 kube-scheduler.service 服务管理文件 cat >/usr/lib/systemd/system/kube-scheduler.service <<EOF [Unit] Description=Kubernetes Scheduler Documentation=https: //github.com/kubernetes/kubernetes [Service] EnvironmentFile=-/opt/kubernetes/cfg/kube-scheduler ExecStart=/opt/kubernetes/bin/kube-scheduler \$KUBE_SCHEDULER_OPTS Restart= on -failure [Install] WantedBy=multi-user.target EOF systemctl daemon-reload systemctl enable kube-scheduler systemctl restart kube-scheduler ========================================================== ./scheduler.sh 127.0.0.1 ps aux | grep kube-scheduler 2.启动controller-manager服务 cd /opt/k8s/ vim controller-manager.sh ========================================================== #!/bin/bash #创建 kube-controller-manager 启动参数配置文件 MASTER_ADDRESS=$1 cat >/opt/kubernetes/cfg/kube-controller-manager <<EOF KUBE_CONTROLLER_MANAGER_OPTS="--logtostderr= true \\ --v=4 \\ --master=${MASTER_ADDRESS}:8080 \\ --leader-elect= true \\ --address=127.0.0.1 \\ --service-cluster-ip-range=10.0.0.0/24 \\ --cluster-name=kubernetes \\ --cluster-signing-cert-file=/opt/kubernetes/ssl/ca.pem \\ --cluster-signing-key-file=/opt/kubernetes/ssl/ca-key.pem \\ --root-ca-file=/opt/kubernetes/ssl/ca.pem \\ --service-account- private -key-file=/opt/kubernetes/ssl/ca-key.pem \\ --experimental-cluster-signing-duration=87600h0m0s" EOF #--cluster-name=kubernetes:集群名称,与CA证书里的CN匹配 #--cluster-signing-cert-file:指定签名的CA机构根证书,用来签名为 TLS BootStrapping 创建的 证书和私钥 #--root-ca-file:指定根CA证书文件路径,用来对 kube-apiserver 证书进行校验,指定该参数后, 才会在 Pod 容器的 ServiceAccount 中放置该 CA 证书文件 #--experimental-cluster-signing-duration:设置为 TLS BootStrapping 签署的证书有效时间为10年,默认为1年 #创建 kube-controller-manager.service 服务管理文件 cat >/usr/lib/systemd/system/kube-controller-manager.service <<EOF [Unit] Description=Kubernetes Controller Manager Documentation=https: //github.com/kubernetes/kubernetes [Service] EnvironmentFile=-/opt/kubernetes/cfg/kube-controller-manager ExecStart=/opt/kubernetes/bin/kube-controller-manager \$KUBE_CONTROLLER_MANAGER_OPTS Restart= on -failure [Install] WantedBy=multi-user.target EOF systemctl daemon-reload systemctl enable kube-controller-manager systemctl restart kube-controller-manager ========================================================== ./controller-manager.sh 127.0.0.1 3.查看节点状态 kubectl get cs |
六、部署 Worker Node 组件(kubelet、kube-proxy)
1、在 master01 节点上操作,把 kubelet、kube-proxy 拷贝到 node 节点
1
2
3
|
cd /opt/k8s/kubernetes/server/bin scp kubelet kube-proxy root@192.168.142.4:/opt/kubernetes/bin/ scp kubelet kube-proxy root@192.168.142.5:/opt/kubernetes/bin/ |
2、在 node01 节点上操作
1
2
3
|
上传 node.zip 到 /opt 目录中,解压 node.zip 压缩包,获得kubelet.sh、proxy.sh cd /opt/ unzip node.zip |
3、在 master01 节点上操作
(1)创建用于生成kubelet的配置文件的目录
1
|
mkdir /opt/k8s/kubeconfig |
(2)上传 kubeconfig.sh 文件到 /opt/k8s/kubeconfig 目录中
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
|
#kubeconfig.sh文件包含集群参数(CA证书、API Server地址),客户端参数(上面生成的证书和私钥),集群context上下文参数(集群名称、用户名)。Kubenetes组件(如kubelet、kube-proxy) 通过启动时指定不同的kubeconfig文件可以切换到不同的集群,连接到apiserver cd /opt/k8s/kubeconfig vim kubeconfig.sh ========================================================== #!/bin/bash #example: kubeconfig 192.168.142.3 /opt/k8s/k8s-cert/ #创建bootstrap.kubeconfig文件 #该文件中内置了 token.csv 中用户的 Token,以及 apiserver CA 证书;kubelet 首次启动会加载>此文件,使用 apiserver CA 证书建立与 apiserver 的 TLS 通讯,使用其中的用户 Token 作为身份 标识向 apiserver 发起 CSR 请求 BOOTSTRAP_TOKEN=$(awk -F ',' '{print $1}' /opt/kubernetes/cfg/token.csv) APISERVER=$1 SSL_DIR=$2 export KUBE_APISERVER= "https://$APISERVER:6443" # 设置集群参数 kubectl config set -cluster kubernetes \ --certificate-authority=$SSL_DIR/ca.pem \ --embed-certs= true \ --server=${KUBE_APISERVER} \ --kubeconfig=bootstrap.kubeconfig #--embed-certs=true:表示将ca.pem证书写入到生成的bootstrap.kubeconfig文件中 # 设置客户端认证参数,kubelet 使用 bootstrap token 认证 kubectl config set -credentials kubelet-bootstrap \ --token=${BOOTSTRAP_TOKEN} \ --kubeconfig=bootstrap.kubeconfig # 设置上下文参数 kubectl config set -context default \ --cluster=kubernetes \ --user=kubelet-bootstrap \ --kubeconfig=bootstrap.kubeconfig # 使用上下文参数生成 bootstrap.kubeconfig 文件 kubectl config use-context default --kubeconfig=bootstrap.kubeconfig #---------------------- #创建kube-proxy.kubeconfig文件 # 设置集群参数 kubectl config set -cluster kubernetes \ --certificate-authority=$SSL_DIR/ca.pem \ --embed-certs= true \ --server=${KUBE_APISERVER} \ --kubeconfig=kube-proxy.kubeconfig # 设置客户端认证参数,kube-proxy 使用 TLS 证书认证 kubectl config set -credentials kube-proxy \ --client-certificate=$SSL_DIR/kube-proxy.pem \ --client-key=$SSL_DIR/kube-proxy-key.pem \ --embed-certs= true \ --kubeconfig=kube-proxy.kubeconfig # 设置上下文参数 kubectl config set -context default \ --cluster=kubernetes \ --user=kube-proxy \ --kubeconfig=kube-proxy.kubeconfig # 使用上下文参数生成 kube-proxy.kubeconfig 文件 kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig ========================================================== chmod +x kubeconfig.sh |
(3)执行脚本生成kubelet的配置文件
1
2
|
cd /opt/k8a/kubeconfig ./kubeconfig.sh 192.168.142.3 /opt/k8s/k8s-cert/ |
(4)把配置文件bootstrap.kubeconfig、kube-proxy.kubeconfig拷贝到node节点
1
2
3
|
cd /opt/k8s/kubeconfig scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.142.4:/opt/kubernetes/cfg/ scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.142.5:/opt/kubernetes/cfg/ |
(5)RBAC授权
1
2
3
4
5
6
7
8
9
10
11
12
13
|
RBAC授权,将预设用户kubelet-bootatrap 与内置的ClusterRole system:node-bootatrapper 绑定到一起,使其能够发起CSR请求 命令:kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap ---------------------------------------------------------- kubelet采用TLS Bootstrapping 机制,自 动完成到kube -apiserver的注册,在node节点量较大或者后期自动扩容时非常有用。 Master apiserver 启用TLS 认证后,node 节点kubelet 组件想要加入集群,必须使用CA签发的有效证书才能与apiserver 通信,当node节点很多时,签署证书是一件很繁琐的事情。因此Kubernetes 引入了TLS bootstraping 机制来自动颁发客户端证书,kubelet会以一个低权限用户自动向apiserver 申请证书,kubelet 的证书由apiserver 动态签署。 kubelet首次启动通过加载bootstrap.kubeconfig中的用户Token 和apiserver CA证书发起首次CSR请求,这个Token被预先内置在apiserver 节点的token.csv 中,其身份为kubelet-bootstrap 用户和system: kubelet- bootstrap用户组:想要首次CSR请求能成功(即不会被apiserver 401拒绝),则需要先创建一个ClusterRoleBinding, 将kubelet-bootstrap 用户和system:node - bootstrapper内置ClusterRole 绑定(通过kubectl get clusterroles 可查询),使其能够发起CSR认证请求。 TLS bootstrapping 时的证书实际是由kube-controller-manager组件来签署的,也就是说证书有效期是kube-controller-manager组件控制的; kube-controller-manager 组件提供了一个--experimental-cluster-signing-duration 参数来设置签署的证书有效时间:默认为8760h0m0s, 将其改为87600h0m0s, 即10年后再进行TLS bootstrapping 签署证书即可。 也就是说kubelet 首次访问API Server 时,是使用token 做认证,通过后,Controller Manager 会为kubelet生成一个证书,以后的访问都是用证书做认证了。 |
(6)查看角色和已授权的角色
1
2
3
4
5
|
//查看角色: kubectl get clusterroles | grep system:node-bootstrapper //查看已授权的角色: kubectl get clusterrolebinding |
4、 在node1节点上操作
(1)使用kubelet.sh脚本启动kubelet服务
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
|
cd /opt/ vim kubelet.sh ========================================================== #!/bin/bash NODE_ADDRESS=$1 DNS_SERVER_IP=${2:- "10.0.0.2" } #创建 kubelet 启动参数配置文件 cat >/opt/kubernetes/cfg/kubelet <<EOF KUBELET_OPTS="--logtostderr= true \\ --v=4 \\ --hostname- override =${NODE_ADDRESS} \\ --kubeconfig=/opt/kubernetes/cfg/kubelet.kubeconfig \\ --bootstrap-kubeconfig=/opt/kubernetes/cfg/bootstrap.kubeconfig \\ --config=/opt/kubernetes/cfg/kubelet.config \\ --cert-dir=/opt/kubernetes/ssl \\ --pod-infra-container-image=registry.cn-hangzhou.aliyuncs.com/google-containers/pause-amd64:3.0" EOF #--hostname-override:指定kubelet节点在集群中显示的主机名或IP地址,默认使用主机hostname;kube-proxy和kubelet的此项参数设置必须完全一致 #--kubeconfig:指定kubelet.kubeconfig文件位置,用于如何连接到apiserver,里面含有kubelet证书,master授权完成后会在node节点上生成 kubelet.kubeconfig 文件 #--bootstrap-kubeconfig:指定连接 apiserver 的 bootstrap.kubeconfig 文件 #--config:指定kubelet配置文件的路径,启动kubelet时将从此文件加载其配置 #--cert-dir:指定master颁发的客户端证书和密钥保存位置 #--pod-infra-container-image:指定Pod基础容器(Pause容器)的镜像。Pod启动的时候都>会启动一个这样的容器,每个pod之间相互通信需要Pause的支持,启动Pause需要Pause基础镜像 #---------------------- #创建kubelet配置文件(该文件实际上就是一个yml文件,语法非常严格,不能出现tab键,冒 号后面必须要有空格,每行结尾也不能有空格) cat >/opt/kubernetes/cfg/kubelet.config <<EOF kind: KubeletConfiguration apiVersion: kubelet.config.k8s.io/v1beta1 address: ${NODE_ADDRESS} port: 10250 readOnlyPort: 10255 cgroupDriver: cgroupfs clusterDNS: - ${DNS_SERVER_IP} clusterDomain: cluster.local. failSwapOn: false authentication: anonymous: enabled: true EOF #PS:当命令行参数与此配置文件(kubelet.config)有相同的值时,就会覆盖配置文件中的>该值。 #---------------------- #创建 kubelet.service 服务管理文件 cat >/usr/lib/systemd/system/kubelet.service <<EOF [Unit] Description=Kubernetes Kubelet After=docker.service Requires=docker.service [Service] EnvironmentFile=/opt/kubernetes/cfg/kubelet ExecStart=/opt/kubernetes/bin/kubelet \$KUBELET_OPTS Restart= on -failure KillMode=process [Install] WantedBy=multi-user.target EOF systemctl daemon-reload systemctl enable kubelet systemctl restart kubelet ========================================================== chmod +x kubelet.sh ./kubelet.sh 192.168.142.4 |
(2)检查kubelet服务启动和有无生成证书
1
2
3
4
|
1.检查kubelet服务启动 ps aux | grep kubelet 2.此时还没有生成证书 ls /opt/kubernetes/ssl/ |
5、在master1节点上操作
(1)检查到node1节点的kubelet发起的CSR请求
1
2
|
#Pending表示等待集群给该节点签发证书 命令:kubectl get csr |
(2)通过CSR请求
1
2
3
4
5
|
命令:kubectl certificate approve 具体NAME kubectl certificate approve node-csr-XQ0pA95t07BLVsdL5sbkbldOqCCDJQ7sFlEYUibBZvI kubectl get csr #再次查看CSR请求状态,Approved, Issued表示已授权CSR请求并签发证书 |
(3)查看群集节点状态,成功加入node1节点
1
|
kubectl get nodes |
6、在切回node1节点上操作
(1)查看有无生成证书和kubelet.kubeconfig文件
1
2
|
ls /opt/kubernetes/cfg/kubelet.kubeconfig ls /opt/kubernetes/ssl/ |
(2)加载ip_vs模块
1
|
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*" ); do echo $i;/sbin/modinfo -F filename $i >/dev/ null 2>&1 && /sbin/modprobe $i;done |
(3)使用proxy.sh脚本启动proxy服务
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
|
cd /opt/ vim proxy.sh ========================================================== #!/bin/bash NODE_ADDRESS=$1 #创建 kube-proxy 启动参数配置文件 cat >/opt/kubernetes/cfg/kube-proxy <<EOF KUBE_PROXY_OPTS="--logtostderr= true \\ --v=4 \\ --hostname- override =${NODE_ADDRESS} \\ --cluster-cidr=172.17.0.0/16 \\ --proxy-mode=ipvs \\ --kubeconfig=/opt/kubernetes/cfg/kube-proxy.kubeconfig" EOF #--hostnameOverride: 参数值必须与 kubelet 的值一致,否则 kube-proxy 启动后会找不到 该 Node,从而不会创建任何 ipvs 规则 #--cluster-cidr:指定 Pod 网络使用的聚合网段,Pod 使用的网段和 apiserver 中指定的 service 的 cluster ip 网段不是同一个网段。 kube-proxy 根据 --cluster-cidr 判断集群 内部和外部流量,指定 --cluster-cidr 选项后 kube-proxy 才会对访问 Service IP 的请求 做 SNAT,即来自非 Pod 网络的流量被当成外部流量,访问 Service 时需要做 SNAT。 #--proxy-mode:指定流量调度模式为 ipvs 模式 #--kubeconfig: 指定连接 apiserver 的 kubeconfig 文件 #---------------------- #创建 kube-proxy.service 服务管理文件 cat >/usr/lib/systemd/system/kube-proxy.service <<EOF [Unit] Description=Kubernetes Proxy After=network.target [Service] EnvironmentFile=-/opt/kubernetes/cfg/kube-proxy ExecStart=/opt/kubernetes/bin/kube-proxy \$KUBE_PROXY_OPTS Restart= on -failure [Install] WantedBy=multi-user.target EOF systemctl daemon-reload systemctl enable kube-proxy systemctl restart kube-proxy ========================================================== chmod +x proxy.sh ./proxy.sh 192.168.142.4 |
7、node2节点部署
(1)在node1节点上将kubelet.sh、proxy.sh文件拷贝到node2节点
1
|
cd /opt/scp kubelet.sh proxy.sh root@192.168.142.5:/opt/ |
(2)使用kubelet.sh脚本启动kubelet服务
1
2
3
|
cd /opt/ chmod +x kubelet.sh ./kubelet.sh 192.168.142.5 |
(3).在master1节点上操作,检查到node2节点的kubelet 发起的CSR请求,Pending 表示等待集群给该节点签发证书.
1
|
kubectl get csr |
(4)通过CSR请求
1
2
3
|
kubectl certificate approve node-csr-rVfBg2MWaG7haDFaAXpCn8_GxWbMuvXSHkNBLrmUEN0 kubectl get csr #再次查看CSR请求状态,Approved, Issued表示已授权CSR请求并签发证书 |
(5)查看群集节点状态,成功加入node2节点
1
|
kubectl get nodes |
(6)在node2节点加载ip_vs模块
1
|
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*" ); do echo $i; /sbin/modinfo -F filename $i >/dev/ null 2>&1 && /sbin/modprobe $i;done |
(7)使用proxy.sh脚本启动proxy服务
1
2
3
4
5
|
cd /opt/ chmod +x proxy.sh ./proxy.sh 192.168.142.5 systemctl status kube-proxy.service |
8、创建pod测试
1
2
3
4
5
6
7
8
9
10
11
|
================在master01主节点创建pod=================== 1.创建nginx的pod kubectl create deployment nginx --image=nginx 2.获取所有创建的pod kubectl get pod 3.查看某个pod kubectl describe pod +具体pod名字 4..查看具体某个pod kubectl get pod -o wide ================在node1节点上测试pod的ip================== 命令:curl pod的ip |
9、编写admin.sh脚本使得k8s具有管理员权限
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
vim admin.sh #在主节点上编写 ========================================================== #!/bin/bash mkdir /root/.kube KUBE_CONFIG= "/root/.kube/config" KUBE_APISERVER= "https://192.168.142.3:6443" cd /opt/k8s/k8s-cert/ kubectl config set -cluster kubernetes \ --certificate-authority=/opt/kubernetes/ssl/ca.pem \ --embed-certs= true \ --server=${KUBE_APISERVER} \ --kubeconfig=${KUBE_CONFIG} kubectl config set -credentials cluster-admin \ --client-certificate=./admin.pem \ --client-key=./admin-key.pem \ --embed-certs= true \ --kubeconfig=${KUBE_CONFIG} kubectl config set -context default \ --cluster=kubernetes \ --user=cluster-admin \ --kubeconfig=${KUBE_CONFIG} kubectl config use-context default --kubeconfig=${KUBE_CONFIG} ========================================================= chmod +x admin.sh ./admin.sh |
K8S二进制单节点部署的更多相关文章
- Kubernetes 二进制部署(一)单节点部署(Master 与 Node 同一机器)
0. 前言 最近受“新冠肺炎”疫情影响,在家等着,入职暂时延后,在家里办公和学习 尝试通过源码编译二进制的方式在单一节点(Master 与 Node 部署在同一个机器上)上部署一个 k8s 环境,整理 ...
- Ubuntu下用devstack单节点部署Openstack
一.实验环境 本实验是在Vmware Workstation下创建的单台Ubuntu服务器版系统中,利用devstack部署的Openstack Pike版. 宿主机:win10 1803 8G内存 ...
- HyperLedger Fabric 1.4 单机单节点部署(10.2)
单机单节点指在一台电脑上部署一个排序(Orderer)服务.一个组织(Org1),一个节点(Peer,属于Org1),然后运行官方案例中的example02智能合约例子,实现转财交易和查询功能.单机单 ...
- .netcore consul实现服务注册与发现-单节点部署
原文:.netcore consul实现服务注册与发现-单节点部署 一.Consul的基础介绍 Consul是HashiCorp公司推出的开源工具,用于实现分布式系统的服务发现与配置.与其他分 ...
- 恒天云单节点部署指南--OpenStack H版本虚拟机单节点部署解决方案
本帖是openstack单节点在虚拟机上部署的实践.想要玩玩和学习openstack的小伙伴都看过来,尤其是那些部署openstack失败的小伙伴.本帖可以让你先领略一下openstack的魅力.本I ...
- Presto0.157版本单节点部署教程
因为Presto版本的更新速度较快,所以最好按照对应版本的教程进行部署,博主之前看错了版本号,拿0.100版本的教程来部署0.157版本,结果导致部署失败. 官网:https://prestodb.i ...
- MongoDB 3.2复制集单节点部署(四)
MongoDB在单节点中也可以做复制集,但是仅限于测试实验,最大的好处就是部署方便快速,可以随便添加新节点,节省资源.在这里我使用的是MongoDB 3.2版本进行复制集实验(但MongoDB配置文件 ...
- MongoDB 2.6复制集单节点部署(三)
MongoDB在单节点中也可以做复制集,但是仅限于测试实验,最大的好处就是部署方便快速,可以随便添加新节点,节省资源.在这里我使用的是MongoDB 2.6版本进行复制集实验(但MongoDB配置文件 ...
- 单节点部署Hadoop教程
搭建HDFS 增加主机名 我这里仅仅增加了master主机名 [root@10 /xinghl/hadoop/bin]$ cat /etc/hosts 127.0.0.1 localhost 10.0 ...
- PinPoint单节点部署及客户端配置方法
在一次做项目中,需要涉及全链路压测,为了更好定位链路中某一节点可能会出现的问题,在繁忙之余,快速部署及应用了该链路工具,分享给大家~ 话不多说,开始部署~ 一.环境配置1.1 获取需要的依赖包进入ho ...
随机推荐
- Cplex-opl解决网络路由选择和资源分配问题
安装Cplex 注意事项:全英文系统.安装路径.代码,会减少软件运行设置错误.(该软件对中文支持性不好) opl语言基础 [转载]CPLEX学习笔记二 – OPL的数据类型 - 知乎 (zhihu.c ...
- 设置eclipse默认编码为UTF-8 Set default encoding to utf-8 in eclipse
设置eclipse默认编码为UTF-8 Set default encoding to utf-8 in eclipse 1,windows->Perferences->General-& ...
- vue3.0使用富文本编辑器VueQuill
1. npm install @vueup/vue-quill@alpha --save 2. 在main.js中全局引入 import { QuillEditor } from '@vueup/vu ...
- java第七周学习情况
这个星期 主要是在搞学校在暑期安排的实验报告b 怎么说来着 才知道这个消息几天 这是对学习不上心的体现啊 题目也有点多 慢慢做呗 而Java这边还是看些相关知识呗 说实话 已经学不太懂了 不过没关系 ...
- fabric学习笔记3
fabric学习笔记3 20201303张奕博 2023.1.11 Hyperledger Fabric架构设计 分布式帐本 区块链核心概念是分布式帐本,就像下面的图1所示,同样的帐本(全量的交易数据 ...
- 2022-04-18内部群每日三题-清辉PMP
1.在为一个有预算限制的项目生成状态报告时,项目经理发现该项目比进度计划落后一周.若要将项目拉回正轨,项目经理应该怎么做? A.重新分配关键路径活动的团队成员. B.向项目发起人要求额外的时间. C. ...
- pyhon_元组(tuple)
定义: 元组中可以存储不一样类型的数据,使用小括号存储数据,中间用逗号进行分割. 元组中的数据定义好后,无法进行修改,有保护数据的目的. 格式化字符串定义多个值的时候,本质上也是元组. 测试: inf ...
- js对象中的set和get方法
在js中,每个对象都有set和get方法,也可以自己进行定义,这里先简单说下用法 var person = { _name:'小花', get name() { return this._name + ...
- 记一次前端ajax禁止使用异步async的操作
环境: 前端layui jquery 情况: 页面在iframe里面, 然后点击按钮,弹出输入框.点击确认,弹出框发送内容到后台, 传送数据到后台后,然后根据返回一个map给前端.前端解析数据,返回 ...
- Qt ui 文件转换为python代码文件
python -m PyQt5.uic.pyuic -o ui_xxx.py xxx.ui