五.部署高可用etcd集群

etcd是key-value存储(同zookeeper),在整个kubernetes集群中处于中心数据库地位,以集群的方式部署,可有效避免单点故障。

这里采用静态配置的方式部署(另也可通过etcd提供的rest api在运行时动态添加,修改或删除集群成员)。

以kubenode1为例,kubenode2&kubenode3做适当小调整。

1. 下载

[root@kubenode1 ~]# cd /usr/local/src/

[root@kubenode1 src]# wget https://github.com/coreos/etcd/releases/download/v3.3.0/etcd-v3.3.0-linux-amd64.tar.gz

[root@kubenode1 src]# tar -zxvf etcd-v3.3.0-linux-amd64.tar.gz

# 解压目录整体拷贝并更名,可执行文件在解压目录中

[root@kubenode1 src]# mv etcd-v3.3.0-linux-amd64/ /usr/local/etcd

2. 创建etcd TLS证书与私钥

客户端(etcdctl)与etcd集群,etcd集群之间通信采用TLS加密。

1)创建etcd证书签名请求

[root@kubenode1 ~]# mkdir -p /etc/kubernetes/etcdssl

[root@kubenode1 ~]# cd /etc/kubernetes/etcdssl/

[root@kubenode1 etcdssl]# touch etcd-csr.json

# hosts字段指定使用该证书的ip或域名列表,这里指定了所有节点ip,生成的证书可被etcd集群各节点使用,kubenode2&kubenode3节点可不用生成证书,由kubenode1直接分发即可

[root@kubenode1 etcdssl]# vim etcd-csr.json

{

    "CN": "etcd",

    "hosts": [

        "127.0.0.1",

        "172.30.200.21",

        "172.30.200.22",

        "172.30.200.23"

    ],

    "key": {

        "algo": "rsa",

        "size": 2048

    },

    "names": [

        {

            "C": "CN",

            "ST": "ChengDu",

            "L": "ChengDu",

            "O": "k8s",

            "OU": "cloudteam"

        }

    ]

}

2)生成etcd证书与私钥

# 指定相应的ca证书,秘钥,签名文件等

[root@kubenode1 etcdssl]# cfssl gencert -ca=/etc/kubernetes/ssl/ca.pem \

   -ca-key=/etc/kubernetes/ssl/ca-key.pem \

   -config=/etc/kubernetes/ssl/ca-config.json \

   -profile=kubernetes etcd-csr.json | cfssljson -bare etcd

# 分发etcd.pem,etcd-key.pem,另有ca.pem(前面已分发)

[root@kubenode1 etcdssl]# scp etcd.pem etcd-key.pem root@172.30.200.22:/etc/kubernetes/etcdssl/

[root@kubenode1 etcdssl]# scp etcd.pem etcd-key.pem root@172.30.200.23:/etc/kubernetes/etcdssl/

3. 设置iptables

[root@kubenode1 ~]# vim /etc/sysconfig/iptables

-A INPUT -p tcp -m state --state NEW -m tcp --dport 2379 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 2380 -j ACCEPT

[root@kubenode1 ~]# service iptables restart

4. 配置etcd的systemd unit文件

# 创建工作目录

[root@kubenode1 ~]# mkdir -p /var/lib/etcd

# WorkingDirectory:指定工作/数据目录为上面创建的目录;

# EnvironmentFile:这里将etcd的启动参数放在unit文件之外,方便修改后不用重载;

# ExecStart:启动文件位置,并带上指定参数的变量

[root@kubenode1 ~]# touch /usr/lib/systemd/system/etcd.service

[root@kubenode1 ~]# vim /usr/lib/systemd/system/etcd.service

[Unit]

Description=Etcd Server

Documentation=https://github.com/coreos

After=network.target

After=network-online.target

Wants=network-online.target

[Service]

Type=notify

WorkingDirectory=/var/lib/etcd/

EnvironmentFile=/usr/local/etcd/etcd.conf

ExecStart=/usr/local/etcd/etcd $ETCD_ARGS

Restart=on-failure

RestartSec=5

LimitNOFILE=65536

[Install]

WantedBy=multi-user.target

# ETCD_ARGS:对应systemd unit文件中ExecStart后的变量;

# --cert-file,--key-file:分别指定etcd的公钥证书和私钥;

# --peer-cert-file,--peer-key-file:分别指定etcd的peers通信的公钥证书和私钥;

# --trusted-ca-file:指定客户端的CA证书;

# --peer-trusted-ca-file:指定peers的CA证书;

# --initial-cluster-state=new:表示这是新初始化集群,--name指定的参数值必须在--initial-cluster中

[root@kubenode1 ~]# touch /usr/local/etcd/etcd.conf

[root@kubenode1 ~]# vim /usr/local/etcd/etcd.conf

ETCD_ARGS="--name=kubenode1 \

  --cert-file=/etc/kubernetes/etcdssl/etcd.pem \

  --key-file=/etc/kubernetes/etcdssl/etcd-key.pem \

  --peer-cert-file=/etc/kubernetes/etcdssl/etcd.pem \

  --peer-key-file=/etc/kubernetes/etcdssl/etcd-key.pem \

  --trusted-ca-file=/etc/kubernetes/ssl/ca.pem \

  --peer-trusted-ca-file=/etc/kubernetes/ssl/ca.pem \

  --initial-advertise-peer-urls=https://172.30.200.21:2380 \

  --listen-peer-urls=https://172.30.200.21:2380 \

  --listen-client-urls=https://172.30.200.21:2379,http://127.0.0.1:2379 \

  --advertise-client-urls=https://172.30.200.21:2379 \

  --initial-cluster-token=etcd-cluster-1 \

  --initial-cluster=kubenode1=https://172.30.200.21:2380,kubenode2=https://172.30.200.22:2380,kubenode3=https://172.30.200.23:2380 \

  --initial-cluster-state=new \

  --data-dir=/var/lib/etcd"

5. 启动etcd

# 第一个启动的etcd进程会卡顿,等待其他etcd节点启动进程加入集群;

# 如果等待超时,则第一个etcd节点进程启动会失败

[root@kubenode1 ~]# systemctl daemon-reload

[root@kubenode1 ~]# systemctl enable etcd.service

[root@kubenode1 ~]# systemctl restart etcd.service

6. 验证

# 查看member list;

# ETCDCTL_API=3:api版本;

# 通信采用TLS加密,客户端访问时间需要指定对应公钥&私钥

[root@kubenode1 ~]# ETCDCTL_API=3 etcdctl \

--endpoints=https://172.30.200.21:2379  \

--cacert=/etc/kubernetes/ssl/ca.pem \

--cert=/etc/kubernetes/etcdssl/etcd.pem \

--key=/etc/kubernetes/etcdssl/etcd-key.pem \

member list

# 查看节点健康状态

[root@kubenode1 ~]# export NODE_IPS="172.30.200.21 172.30.200.22 172.30.200.23"

[root@kubenode1 ~]# for ip in ${NODE_IPS}; do

ETCDCTL_API=3 etcdctl \

--endpoints=https://${ip}:2379  \

--cacert=/etc/kubernetes/ssl/ca.pem \

--cert=/etc/kubernetes/etcdssl/etcd.pem \

--key=/etc/kubernetes/etcdssl/etcd-key.pem \

endpoint health; done

高可用Kubernetes集群-3. etcd高可用集群的更多相关文章

  1. 基于saltstack自动化部署高可用kubernetes集群

    SaltStack自动化部署HA-Kubernetes 本项目在GitHub上,会不定期更新,大家也可以提交ISSUE,地址为:https://github.com/skymyyang/salt-k8 ...

  2. 高可用Kubernetes集群-16. ansible快速部署

    说明 本文档指导采用二进制包的方式快速部署高可用kubernetes集群. 脚本托管:k8s-ansible(持续更新) 参考:高可用kubernetes集群 组件版本 组件 版本 备注 centos ...

  3. 高可用Kubernetes集群-1. 集群环境

    参考文档: 部署kubernetes集群1:https://github.com/opsnull/follow-me-install-kubernetes-cluster 部署kubernetes集群 ...

  4. 高可用Kubernetes集群原理介绍

    ■ 文/ 天云软件 云平台开发工程师 张伟 1. 背景 Kubernetes作为容器应用的管理中心,对集群内部所有容器的生命周期进行管理,结合自身的健康检查及错误恢复机制,实现了集群内部应用层的高可用 ...

  5. 搭建高可用kubernetes集群(keepalived+haproxy)

    序 由于单master节点的kubernetes集群,存在master节点异常之后无法继续使用的缺陷.本文参考网管流程搭建一套多master节点负载均衡的kubernetes集群.官网给出了两种拓扑结 ...

  6. 使用Kubeadm搭建高可用Kubernetes集群

    1.概述 Kubenetes集群的控制平面节点(即Master节点)由数据库服务(Etcd)+其他组件服务(Apiserver.Controller-manager.Scheduler...)组成. ...

  7. K8S 使用Kubeadm搭建高可用Kubernetes(K8S)集群 - 证书有效期100年

    1.概述 Kubenetes集群的控制平面节点(即Master节点)由数据库服务(Etcd)+其他组件服务(Apiserver.Controller-manager.Scheduler...)组成. ...

  8. 基于Containerd安装部署高可用Kubernetes集群

    转载自:https://blog.weiyigeek.top/2021/7-30-623.html 简述 Kubernetes(后续简称k8s)是 Google(2014年6月) 开源的一个容器编排引 ...

  9. hype-v上centos7部署高可用kubernetes集群实践

    概述 在上一篇中已经实践了 非高可用的bubernetes集群的实践 普通的k8s集群当work node 故障时是高可用的,但是master node故障时将会发生灾难,因为k8s api serv ...

随机推荐

  1. Android 面试题之编程

    1.排序 package cn.java.suanfa; public class SuanFa { public static void main(String[] args) { int[] ar ...

  2. NodeJS平台下的前后端文件共享

    一.前后端文件共享的需要背景——为什么需要共享? 项目基本JS/NodeJS全端开发,有部分代码前后端都需要用得到 有一些配置是在前后端都需要用得到的 区别其他开发平台,NodeJS平台下的前后端文件 ...

  3. Laravel源码分析--Laravel生命周期详解

    一.XDEBUG调试 这里我们需要用到php的 xdebug 拓展,所以需要小伙伴们自己去装一下,因为我这里用的是docker,所以就简单介绍下在docker中使用xdebug的注意点. 1.在php ...

  4. day 35初识数据库

    一.数据库概述 1.什么是数据库?先来看看百度怎么说的. 数据库,简而言之可视为电子化的文件柜——存储电子文件的处所,用户可以对文件中的数据运行新增.截取.更新.删除等操作.     所谓“数据库”系 ...

  5. Delphi开发Android的几个注意

    Delphi在Android开发中还不是很完善,也有一些修改,需要注意: 1.不要用IXMLDocument的SaveToStream, XML.Text等,用了OXML,QXML,VerySimpl ...

  6. IOT大数据大世界大未来,物联网产业大数据应用简析

    在物联网时代,面对PB级的数据,企业将难以以一己之力完成基础设施的建设.物联网所产生的大量数据不仅会驱动现在的数据中心发生根本性的变化,同时也会驱动相关企业采用新的大数据策略. 物联网的价值在于数据: ...

  7. 树莓3B+_Raspbian 源使用帮助

    https://mirrors.ustc.edu.cn/help/raspbian.html   Raspbian 源使用帮助 地址 https://mirrors.ustc.edu.cn/raspb ...

  8. leetcode记录-回文数

    判断一个整数是否是回文数.回文数是指正序(从左向右)和倒序(从右向左)读都是一样的整数. 示例 1: 输入: 121 输出: true 示例 2: 输入: -121 输出: false 解释: 从左向 ...

  9. SSM-CRUD入门项目——删除

    删除 分析 可以进行单个删除,直接点击每条记录后的删除按钮 批量删除,通过勾选checkbox框进行选择删除 单个删除: 通过发送DELETE请求的URL:/emp/{id} 这次我们先从contro ...

  10. 20155230 实验四《android程序设计》实验报告

    20155230 实验四<Android程序设计>实验报告 一.安装Android Stuidio 二.从一个活动启动另一个活动 在启动活动的活动里添加如下语句即可 Intent inte ...