基于kubeasz3.1.0搭建k8s：v1.21.0

由于上次组件的k8s集群，dashboard不能使用，现在降低k8s的版本为v1.21.0，环境和k8s：v1.23.1一模一样，请跳转至https://www.cnblogs.com/fengshen220/p/15802816.html，查看第一部分环境准备：

规划机器和地址：

server网段使用：10.200.0.0/16

node的网段：172.20.0.0/16

vip：192.168.37.220

kubeasz_3.1.0.tar

docker-20.10.5.tgz

metrics-server_v0.3.6.tar

metrics-scraper_v1.0.6.tar

coredns_1.8.0.tar

pause_3.4.1.tar

k8s-dns-node-cache_1.17.0.tar

nfs-provisioner_v4.0.1.tar

dashboard_v2.2.0.tar

pause.tar

flannel_v0.13.0-amd64.tar

calico_v3.15.3.tar

k8s：v1.21.0

拷贝hosts文件脚本

#!/bin/bash
. /etc/init.d/functions
HarborHostname=k8s-harbor.taozi.net
#目标主机列表，只需要所有master和node节点即可，包括本机
IP="
192.168.37.102
192.168.37.103
192.168.37.104
192.168.37.105
192.168.37.106
192.168.37.107
192.168.37.108
192.168.37.109
192.168.37.110
"
scp_key(){
 for node in $IP;do
  sshpass -p lijian ssh-copy-id ${node} -o StrictHostKeyChecking=no &>/dev/null
  if [ 0 -eq 0 ];then
    action "${node}秘钥copy完成"
  else
    action "${node}秘钥copy失败"
  fi
 done
}

scp_hosts(){
 for node in $IP;do
  sshpass -p lijian ssh-copy-id ${node} -o StrictHostKeyChecking=no &> /dev/null
  if [ 0 -eq 0 ];then
      scp   /etc/hosts ${node}:/etc/hosts &> /dev/null
      action "${node} host 文件拷贝完成"
#      scp -r  /root/.docker  ${node}:/root/
#  else
#    action "${node} hosts文件copy失败"
  fi
 done
}


scp_srt(){
 for node in $IP;do
  sshpass -p lijian ssh-copy-id ${node} -o StrictHostKeyChecking=no &> /dev/null
  if [ 0 -eq 0 ];then
      ssh   ${node} "mkdir /etc/docker/certs.d/${HarborHostname} -p" &> /dev/null
      action "Harbor 证书目录创建成功!"
      scp /apps/harbor/certs/${HarborHostname}/${HarborHostname}.crt ${node}:/etc/docker/certs.d/${HarborHostname}/harbor-ca.crt
      action "Harbor 证书拷贝成功!"
      #scp -r  /root/.docker  ${node}:/root/
      #action "Harbor 认证文件拷贝完成!"

#  else
#    action "${node} 证书copy失败"
  fi
 done
}

#scp_key
scp_hosts
#scp_srt

可以提前在每个节点上安装需要的工具：

yum install -y conntrack-tools ipvsadm nfs-utils psmisc rsync socat

说明：对比之前版本配置文件，该版本将大部分的变量集成在./example/config.yml文件中，配置部分解释：

MASTER_CERT_HOSTS: - 如果需要外部访问 apiserver，可选在config.yml配置 MASTER_CERT_HOSTS

CA_EXPIRY: "876000h" - 证书的有效期配置

NODE_CIDR_LEN: - node 节点上 pod 网段掩码长度（决定每个节点最多能分配的pod ip地址）

INSTALL_SOURCE: "offline" - 配置使用离线安装系统包（需要ezdown -P 下载离线系统软件）

NODE_CIDR_LEN - ode 节点上 pod 网段掩码长度（决定每个节点最多能分配的pod ip地址）

时间可能较长，一些镜像需要去官网下载，本次拉去运行./ezdown -D花费将近3个小时；可以在正式部署之前选用离线模式先把各种镜像拉取下来./ezdown -P

# 下载工具脚本ezdown，举例使用kubeasz版本3.0.0
export release=3.1.0
wget https://github.com/easzlab/kubeasz/releases/download/${release}/ezdown
chmod +x ./ezdown
# 使用工具脚本下载
./ezdown -D
./ezctl new k8s-01

配置'/etc/kubeasz/clusters/k8s-01/hosts' 和 '/etc/kubeasz/clusters/k8s-01/config.yml'

cd /etc/kubeasz
cp /etc/kubeasz/k8s-01/hosts.multi-node hosts
grep ^[^#] hosts 
[etcd]
192.168.37.102
192.168.37.103
192.168.37.104

# master node(s)
[kube_master]
192.168.37.102
192.168.37.103
192.168.37.104

# work node(s)
[kube_node]
192.168.37.110
192.168.37.108
192.168.37.109

[harbor]
[ex_lb]
192.168.37.106 LB_ROLE=master EX_APISERVER_VIP=192.168.37.220 EX_APISERVER_PORT=6443
192.168.37.107 LB_ROLE=backup EX_APISERVER_VIP=192.168.37.220 EX_APISERVER_PORT=6443
[chrony]
[all:vars]
SECURE_PORT="6443"
CONTAINER_RUNTIME="docker"
CLUSTER_NETWORK="flannel"
PROXY_MODE="ipvs"
SERVICE_CIDR="172.20.0.0/16"
CLUSTER_CIDR="10.200.0.0/16"
NODE_PORT_RANGE="30000-60000"
CLUSTER_DNS_DOMAIN="taizo.local"
bin_dir="/usr/bin"
base_dir="/etc/kubeasz"
cluster_dir="{{ base_dir }}/clusters/k8s-01"
ca_dir="/etc/kubernetes/ssl"

hosts文件解释：

[etcd]
192.168.3.147 NODE_NAME=etcd1   #etcd集群中，每个节点需要有一个独一无二的名称，不能重复

[kube-master]
192.168.3.141       #master节点

[kube-node]         #node节点
192.168.3.144

[ex-lb]      #主要指定apiserver的使用的高可用的VIP；
192.168.3.221 LB_ROLE=master EX_APISERVER_VIP=192.168.3.188 EX_APISERVER_PORT=6443
192.168.3.222 LB_ROLE=backup EX_APISERVER_VIP=192.168.3.188 EX_APISERVER_PORT=6443
CONTAINER_RUNTIME="docker"     #指定使用的容器运行时

# Secure port for apiservers
SECURE_PORT="6443"               #指定在master上运行的apiserver的端口

CLUSTER_NETWORK="flannel"   #指定网络插件

PROXY_MODE="ipvs"           #指定service类型使用ipvs

SERVICE_CIDR="172.31.0.0/16"   #指定service网段

CLUSTER_CIDR="10.10.0.0/16"    #pod网段

NODE_PORT_RANGE="30000-60000"  #nodeport端口范围

CLUSTER_DNS_DOMAIN="taizo.local."  #service的域名后缀，凡是后期创建所有service的后缀都是这个，

bin_dir="/usr/bin"  #指定二进制程序路径，把安装的二进制程序存放到各个节点的/usr/bin/下，后期当进入master或者node上可直接执行这些程序

ca_dir="/etc/kubernetes/ssl"  #证书路径

base_dir="/etc/ansible"       #kubeasz的工作路径

准备开始执行playbook，修改playbooks/01.prepare.yml，因为前期已经同步了时间和部署了负载均衡，所以将这两条注释了

vim playbooks/01.prepare.yml

证书的申请信息放这里面，CA_EXPIRY变量是证书有效期时间：

ll roles/deploy/templates/ca-csr.json.j2
#过滤该变量，变量时间文件
grep CA_EXPIRY . -R

内核优化参数文件：roles/prepare/templates/95-k8s-sysctl.conf.j2 需要修改可以提前修改。

修改部分文件：

• harbor的认证文件，使用脚本ansible直接拷贝

将harbor上的证书拷贝到本机，在官方的playbook上加上拷贝任务：

cd /etc/kubeasz/roles/docker/files
scp  192.168.37.105:/apps/harbor/certs/22/ca.crt .
vim /etc/kubeasz/roles/docker/tasks/main.yml
#在/etc/kubeasz/roles/docker/tasks/main.yml文件的最后加上拷贝的任务；
- name: 创建harbor的证书目录
  file: path=/etc/docker/certs.d/k8s-harbor.taozi.net/  state=directory

- name: 下载harbor的证书文件
  copy: src=ca.crt dest=/etc/docker/certs.d/k8s-harbor.taozi.net/k8s-harbor.taozi.net.crt mode=0644

开始部署：

执行01，安装证书及初始化：

这里提示了一个错误，显示本机有ca的两个时间变量未定义，但本机为102机器，已全部运行成功，故先暂时不处理。

该版本需使用ezctl进行安装，安装之前先命名集群名称，该名称为k8s-01，安装尽量将所有的错误都解决；

#01步骤不要轻易执行，会改变证书 ./ezctl setup k8s-01 01

执行02，安装etcd：

<P>./ezctl setup k8s-01 02 </P>

完成后在103上查看etcd进程

#官方的检查for循环有问题，应该是旧版本的脚本，没有修改路径，下边是修改后的心跳检查脚本；

export NODE_IPS="192.168.37.102 192.168.37.103 192.168.37.104"
for ip in ${NODE_IPS}; do
  ETCDCTL_API=3 etcdctl \
  --endpoints=https://${ip}:2379  \
  --cacert=/etc/kubernetes/ssl/ca.pem \
  --cert=/etc/kubernetes/ssl/etcd.pem \
  --key=/etc/kubernetes/ssl/etcd-key.pem \
  endpoint health; done

报错分析：

"error":"cluster ID mismatch"

之前这个节点上安装了etcd，需要将--data_dir中的所有数据清空即可

rm -rf /var/lib/etcd/

执行03，创建容器运行时：

#roles/docker/templates/daemon.json.j2已配置国内镜像加速，需要的可以修改：

前面因为部署得harbor是基于https的，所以牵扯harbor的证书问题，可以两种方法解决：

• 安装docker完成后用上面的分发脚本在harbor上进行分发

将证书放到每个node和需要打镜像的服务器上（可以使用前面的脚本分发）：

#在每个node和需要打镜像的服务器创建
mkdir -pv /etc/docker/certs.d/k8s-harbor.taozi.net/ -p
#将证书文件复制到本地：
scp -r k8s-harbor.taozi.net:/apps/harbor/certs/k8s-harbor.taozi.net.crt  /etc/docker/certs.d/k8s-harbor.taozi.net/ca.crt

<P>./ezctl setup k8s-01 03 </P>

在其他节点上验证是否能push镜像：

修改下标签：

docker tag easzlab/kubeasz:3.2.0 k8s-harbor.taozi.net/test/easzlab/kubeasz:3.2.0 docker push k8s-harbor.taozi.net/test/easzlab/kubeasz:3.2.0

#查看docker的版本

./bin/docker version

• 下面的部署会牵扯到镜像的拉取，修改拉取镜像路径，在线部署k8s，部分镜像为GitHub仓库内的镜像，这些镜像已经被kubuasz下载到了down目录下了，需要将这些镜像先加载到本机，在打标签，修改为本地harbor，可以节约大量时间：

cd /etc/kubeasz
tar=`ls down`;for IM in ${tar};do docker load -i  down/${IM};done
利用脚本将镜像全部上传至harbor上
vim imgaes_pull.sh
#!/bin/bash
IM="
easzlab/kubeasz:3.1.0
easzlab/kubeasz-ext-bin:0.9.4
easzlab/kubeasz-k8s-bin:v1.21.0
easzlab/nfs-subdir-external-provisioner:v4.0.1
kubernetesui/dashboard:v2.2.0
easzlab/k8s-dns-node-cache:1.17.0
easzlab/pause-amd64:3.4.1
coredns/coredns:1.8.0
kubernetesui/metrics-scraper:v1.0.6
easzlab/flannel:v0.13.0-amd64
calico/node:v3.15.3
calico/pod2daemon-flexvol:v3.15.3
calico/cni:v3.15.3
calico/kube-controllers:v3.15.3
mirrorgooglecontainers/metrics-server-amd64:v0.3.6
"
for A in $IM;do
        docker tag $A k8s-harbor.taozi.net/k8s-01/$A
        docker push k8s-harbor.taozi.net/k8s-01/$A
        done

修改下面步骤可能使用到的镜像路径（如用不到的组件可以不修改）：

vim clusters/k8s-01/config.yml
SANDBOX_IMAGE: "k8s-harbor.taozi.net/k8s-01/easzlab/pause-amd64:3.4.1"
flanneld_image: "k8s-harbor.taozi.net/k8s-01/easzlab/flannel:{{ flannelVer }}"

#修改calico组件镜像
vim roles/calico/templates/calico-v3.15.yaml.j2
image: k8s-harbor.taozi.net/k8s-01/calico/kube-controllers:v3.15.3
image: k8s-harbor.taozi.net/k8s-01/calico/cni:v3.15.3
image: k8s-harbor.taozi.net/k8s-01/calico/pod2daemon-flexvol:v3.15.3
image: k8s-harbor.taozi.net/k8s-01/calico/node:v3.15.3

#修改dashboard组件镜像
vim roles/cluster-addon/templates/dashboard/kubernetes-dashboard.yaml
image: k8s-harbor.taozi.net/k8s-01/kubernetesui/dashboard:v2.2.0
image: k8s-harbor.taozi.net/k8s-01/kubernetesui/metrics-scraper:v1.0.6

#修改metrics-server组件镜像
vim roles/cluster-addon/templates/metrics-server/components.yaml 
image: k8s-harbor.taozi.net/k8s-01/mirrorgooglecontainers/metrics-server-amd64:v0.3.6

#修改coredns组件镜像
vim roles/cluster-addon/templates/dns/coredns.yaml.j2
image: k8s-harbor.taozi.net/k8s-01/coredns/coredns:{{ corednsVer }}

vim roles/cluster-addon/templates/dns/nodelocaldns-ipvs.yaml.j2
image: k8s-harbor.taozi.net/k8s-01/easzlab/k8s-dns-node-cache:1.17.0
...
.:53 {
        errors
        cache 30
        reload
        loop
        bind {{ LOCAL_DNS_CACHE }}
        #forward . __PILLAR__UPSTREAM__SERVERS__
        #下面指向外网或者公司内部的dns服务器
        forward . 223.6.6.6
        prometheus :9253
        }
...

执行04：，安装master节点：

证书相关信息放在roles/kube-master/templates/kubernetes-csr.json.j2内，如需要修改可以自行修改：

kubernetes apiserver 使用对等证书，创建时hosts字段需要配置：

• 如果配置 ex_lb，需要把 EX_APISERVER_VIP 也配置进去
• 如果需要外部访问 apiserver，可选在config.yml配置 MASTER_CERT_HOSTS
• kubectl get svc 将看到集群中由api-server 创建的默认服务 kubernetes，因此也要把 kubernetes 服务名和各个服务域名也添加进去

<P>./ezctl setup k8s-01 04 </P>

注意：往master会请求VIP，这里要注意haproxy的配置一定要正确，后端服务器如果专项不对，master会起不来；

<P>kubectl get node </P>

执行05：，安装node节点：

注意：在roles/kube-node/templates/kubelet.service.j2里面有个基础容器

• --pod-infra-container-image 指定基础容器（负责创建Pod 内部共享的网络、文件系统等）镜像，K8S每一个运行的 POD里面必然包含这个基础容器，如果它没有运起来那么你的POD 肯定创建不了，kubelet日志里面会看到类似 FailedCreatePodSandBox 错误，可用docker images 查看节点是否已经下载到该镜像

这个选项是一个变量SANDBOX_IMAGE，查询这个变量，在/clusters/k8s-01/config.yml找到：

./ezctl setup k8s-01 05
kubectl get node

执行06，安装网络组件：（只能选一种组件这里选calico）

检查hosts文件的网络组件：

<P>vim clusters/k8s-01/hosts </P>

# 设置 APISERVER 地址，使用kube-lb负载均衡监听地址vip：192.168.37.220

vim roles/kube-node/vars/main.yml

KUBE_APISERVER: "https://192.168.37.220:{{ SECURE_PORT }}"

kubectl exec -it -n kube-system kube-flannel-ds-amd64-845jg sh

/ # cd /etc/kube-flannel/ /etc/kube-flannel # ls

cni-conf.json net-conf.json

/etc/kube-flannel # cat net-conf.json { "Network": "10.105.128.0/21", "SubnetLen": 26, "Backend": { "Type": "vxlan" } }

<P>./ezctl setup k8s-01 06 </P>

完成后等待容器都running

查看kubelet状态

journalctl -f -u kubelet

查命令：
kubectl describe pod  net-test1 --namespace=default
kubectl describe pod kube-flannel-ds-8zdb8 --namespace=kube-system
kubectl get svc
kubectl get endpoints kubernetes --namespace=default  -o yaml
删除pod：
kubectl delete pod kube-flannel-ds-jqcqk --namespace=kube-system
检查日志：
kubectl logs --namespace=kube-system kube-flannel-ds-5d7jf
kubectl get events
查看kube-controller-manager启动状态
systemctl status kube-controller-manager -l

启动后需要验证网络通不通

1. 启动deploy

kubectl create deployment deployment-nginx --image=k8s-harbor.taozi.net/test/nginx:1.14-alpine

2. scale 3个

kubectl scale --replicas=3 deployments.apps/deployment-nginx

3. 查看位于不同节点的pod 能否基于端口通信

查看3个pod的地址，条算任意一个进去

kubectl exec -it deployment-nginx-7fd9bb74cc-9f68b -- sh

验证内网：

验证外网：

执行07，安装k8s的组件

安装DNS和dashboard（这里选择coredns）：

进入一个容器，查询/etc/resolv.conf，拿到local dns cache 地址：

/ # cat /etc/resolv.conf 
nameserver 169.254.20.10
search default.svc.taizo.local svc.taizo.local taizo.local taozi.net
options ndots:5

:5

参考资料-在 Kubernetes 集群中使用 NodeLocal DNSCache：https://kubernetes.io/zh/docs/tasks/administer-cluster/nodelocaldns/

执行ansible：

<P>ezctl setup k8s-01 07 </P>

测试DNS：

kubectl exec  -it   deployment-nginx-7fd9bb74cc-9f68b -- sh
ping kube-dns-upstream.kube-system.svc.taozi.local -c1
ping kube-dns.kube-system.svc.taozi.local -c1
ping www.jd.com -c1

这里测试使用的dashboardVer: "v2.2.0"版本，也可以使用；

安装dashboard先查询兼容情况：https://github.com/kubernetes/dashboard/releases

dashboard的最新版本是v2.4.0兼容到k8s：1.21：

查看dashboard的打开的端口

<P>kubectl get svc -A </P>

网页进行登录：

查看令牌：

<P>kubectl get secret -A | grep admin </P>

查询token

<P>kubectl describe secret -n kube-system admin-user-token-r9qtc </P>

登录成功：