Kubeadm高可用安装k8s集群

一、k8s高可用架构解析

etcd是一个键值数据库,用来存放k8s的数据,创建的资源以及做的变更都会存在该数据库中。

master节点是控制节点,用来控制整个集群。

node节点用来跑pod或容器。

master节点分为三个主要组件

  1. APIServer是整个k8s的控制单元,所有的流量都会经过apiserver
  2. ControllerManager,是集群的控制器
  3. scheduler是调度器,控制pod该调度到哪个节点上
  4. kubelet是node组件
  5. kube-proxy是node组件

Load Balancer负载均衡

三台master组成集群会配置负载均衡

一般使用nginx+keepalive,keepalive+haproxy

关于负载均衡,还有硬件的负载均衡如F5

负载均衡提供虚拟IP,后端挂了三台master,所有组件去连接LB(F5或者keepalive)才到apiserver,这样实现高可用,防止单一master掉线。

etcd数据库只能跟apiserver进行交互

二、环境配置

Kubeadm安装方式自1.14版本以后,安装方法几乎没有任何变化,此文档可以尝试安装最新的k8s集群

系统版本为centos 7.9.2009

2.1 高可用k8s集群规划

主机名 IP地址 说明
k8s-master01 ~ 03 10.103.236.201 ~ 203 master节点 * 3
k8s-master-lb 10.103.236.236 keepalived虚拟IP
k8s-node01 ~ 02 10.103.236.204 ~ 205 worker节点 * 2

如果环境跟我的IP地址不一样,使用ctrl+h批量替换为你的IP地址。

配置信息 备注
系统版本 CentOS 7.9
Docker版本 20.10.x
Pod网段 172.16.0.0/12
Service网段 192.168.0.0/16

各网段之间不能重复

2.2 基本环境配置

#所有节点设置主机名
hostnamectl set-hostname k8s-master01
hostnamectl set-hostname k8s-master02
hostnamectl set-hostname k8s-master03
hostnamectl set-hostname k8s-node01
hostnamectl set-hostname k8s-node02

#所有节点配置hosts,修改/etc/hosts如下:
[root@k8s-master01 ~]# cat >> /etc/hosts << EOF
10.103.236.201 k8s-master01
10.103.236.202 k8s-master02
10.103.236.203 k8s-master03
10.103.236.236 k8s-master-lb # 如果不是高可用集群,该IP为Master01的IP
10.103.236.204 k8s-node01
10.103.236.205 k8s-node02
EOF
cat /etc/hosts

#CentOS 7安装yum源如下
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF
sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repo

#必备工具安装
yum install wget jq psmisc vim net-tools telnet yum-utils device-mapper-persistent-data lvm2 git -y

#所有节点关闭防火墙、selinux、dnsmasq、swap。服务器配置如下
systemctl disable --now firewalld 
systemctl disable --now dnsmasq  #可能会关闭失败,提示没有该服务,不用管,这是dns服务
systemctl disable --now NetworkManager #公有云都会用到这个工具,不能关,公司私有云没有用到才能关
setenforce 0
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/sysconfig/selinux
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

#关闭swap分区
swapoff -a && sysctl -w vm.swappiness=0
sed -ri '/^[^#]*swap/s@^@#@' /etc/fstab

#安装ntpdate,同步时间,所有节点必须同步,因为涉及到证书的签发,证书签发跟时间有关
rpm -ivh http://mirrors.wlnmp.com/centos/wlnmp-release-centos.noarch.rpm
yum install ntpdate -y

#所有节点同步时间。时间同步配置如下
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime #如果是国外服务器就无需修改时区
echo 'Asia/Shanghai' >/etc/timezone
ntpdate time2.aliyun.com
# 加入到crontab
crontab -e
*/5 * * * * /usr/sbin/ntpdate time2.aliyun.com

#所有节点配置limit
ulimit -SHn 65535
cat >> /etc/security/limits.conf << EOF
# 末尾添加如下内容
* soft nofile 65536
* hard nofile 131072
* soft nproc 65535
* hard nproc 655350
* soft memlock unlimited
* hard memlock unlimited
EOF

#Master01节点免密钥登录其他节点,密钥配置如下
ssh-keygen -t rsa #一路回车
for i in k8s-master01 k8s-master02 k8s-master03 k8s-node01 k8s-node02;do ssh-copy-id -i .ssh/id_rsa.pub $i;done

#下载安装所有的源码文件,如果无法下载就下载:https://gitee.com/dukuan/k8s-ha-install.git
cd /root/ ; git clone https://github.com/dotbalo/k8s-ha-install.git
cd /root/k8s-ha-install/
git branch -a #查看所有分支

#所有节点升级系统
yum update -y --exclude=kernel*  #CentOS7需要升级,CentOS8可以按需升级系统

安装过程中生成配置文件和证书均在Master01上操作,集群管理也在Master01上操作,阿里云或者AWS上需要单独一台服务器用于安装kubectl工具来管理集群。

2.3 内核配置

CentOS7 需要升级内核至4.18+,本地升级的版本为4.19

4.18跟4.19是官网验证过的,推荐的内核版本

下载链接:百度网盘

#在master01节点下载内核,百度网盘里有
cd /root
wget http://193.49.22.109/elrepo/kernel/el7/x86_64/RPMS/kernel-ml-devel-4.19.12-1.el7.elrepo.x86_64.rpm
wget http://193.49.22.109/elrepo/kernel/el7/x86_64/RPMS/kernel-ml-4.19.12-1.el7.elrepo.x86_64.rpm

#从master01节点传到其他节点:
for i in k8s-master02 k8s-master03 k8s-node01 k8s-node02;do scp kernel-ml-4.19.12-1.el7.elrepo.x86_64.rpm kernel-ml-devel-4.19.12-1.el7.elrepo.x86_64.rpm $i:/root/ ; done

#所有节点安装内核
cd /root && yum localinstall -y kernel-ml*

#所有节点更改内核启动顺序
grub2-set-default  0 && grub2-mkconfig -o /etc/grub2.cfg
grubby --args="user_namespace.enable=1" --update-kernel="$(grubby --default-kernel)"

#检查默认内核是不是4.19
[root@k8s-master02 ~]# grubby --default-kernel
/boot/vmlinuz-4.19.12-1.el7.elrepo.x86_64

#所有节点重启,然后检查内核是不是4.19
[root@k8s-master02 ~]# uname -a
Linux k8s-master02 4.19.12-1.el7.elrepo.x86_64 #1 SMP Fri Dec 21 11:06:36 EST 2018 x86_64 x86_64 x86_64 GNU/Linux

#所有节点安装ipvsadm:该工具能看到路由转发配置
yum install ipvsadm ipset sysstat conntrack libseccomp -y

#所有节点配置ipvs模块,在内核4.19+版本nf_conntrack_ipv4已经改为nf_conntrack, 4.18及其以下使用nf_conntrack_ipv4即可:
modprobe -- ip_vs
modprobe -- ip_vs_rr
modprobe -- ip_vs_wrr
modprobe -- ip_vs_sh
modprobe -- nf_conntrack

cat >> /etc/modules-load.d/ipvs.conf << EOF
ip_vs
ip_vs_lc
ip_vs_wlc
ip_vs_rr
ip_vs_wrr
ip_vs_lblc
ip_vs_lblcr
ip_vs_dh
ip_vs_sh
ip_vs_fo
ip_vs_nq
ip_vs_sed
ip_vs_ftp
ip_vs_sh
nf_conntrack
ip_tables
ip_set
xt_set
ipt_set
ipt_rpfilter
ipt_REJECT
ipip
EOF
systemctl enable --now systemd-modules-load.service

#开启一些k8s集群中必须的内核参数,所有节点配置k8s内核:
cat >> /etc/sysctl.d/k8s.conf << EOF
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
#以上三条是docker要用到的路由转发配置

fs.may_detach_mounts = 1
net.ipv4.conf.all.route_localnet = 1
vm.overcommit_memory=1
vm.panic_on_oom=0
fs.inotify.max_user_watches=89100
fs.file-max=52706963
fs.nr_open=52706963
net.netfilter.nf_conntrack_max=2310720

net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl =15
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_orphans = 327680
net.ipv4.tcp_orphan_retries = 3
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.ip_conntrack_max = 65536
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_timestamps = 0
net.core.somaxconn = 16384
EOF

sysctl --system
#所有节点配置完内核后,重启服务器,保证重启后内核依旧加载
reboot
lsmod | grep --color=auto -e ip_vs -e nf_conntrack #如下图所示表示模块加载成功

image-20221004193239105

到这里我们可以关机做一个快照。

2.4 K8s组件和Runtime安装

1.24版本及以后k8s不再支持docker,推荐安装containerd,因为方便以后升级k8s。

如果安装的版本低于1.24,选择Docker和Containerd均可,高于1.24选择Containerd作为Runtime。

Containerd作为Runtime

所有节点安装docker-ce-20.10:

yum install docker-ce-20.10.* docker-ce-cli-20.10.* -y
#如果用到Containerd可以不用启动docker。
#首先配置Containerd所需的模块(所有节点):
cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf
overlay
br_netfilter
EOF
#所有节点加载模块:
modprobe -- overlay
modprobe -- br_netfilter
#所有节点,配置Containerd所需的内核:
cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
net.bridge.bridge-nf-call-iptables  = 1
net.ipv4.ip_forward                 = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF

#所有节点加载内核:
sysctl --system
#所有节点配置Containerd的配置文件:
mkdir -p /etc/containerd
#生成一个默认的配置文件通过管道符转到.toml文件中
containerd config default | tee /etc/containerd/config.toml

#所有节点将Containerd的Cgroup改为Systemd:systemd是官方推荐的隔离机制
vim /etc/containerd/config.toml

进到该文件,按下/containerd.runtimes.runc.options,搜索找到containerd.runtimes.runc.options,修改SystemdCgroup = true,注意有两个空格,如下图所示

image-20221004193609792

所有节点将sandbox_image的Pause镜像改成符合自己版本的地址registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.6

image-20221004193617516

#所有节点启动Containerd,并配置开机自启动:
systemctl daemon-reload
systemctl enable --now containerd
#Containerd.sock文件在/run/containerd/containerd.sock

#所有节点配置crictl客户端连接的运行时位置:
cat > /etc/crictl.yaml <<EOF
runtime-endpoint: unix:///run/containerd/containerd.sock
image-endpoint: unix:///run/containerd/containerd.sock
timeout: 10
debug: false
EOF

#ctr查看镜像命令
ctr image ls  

Docker作为Runtime(版本小于1.24)

#如果选择Docker作为Runtime,安装步骤较Containerd较为简单,只需要安装并启动即可。
#所有节点安装docker-ce 20.10:
yum install docker-ce-20.10.* docker-ce-cli-20.10.* -y

#由于新版Kubelet建议使用systemd,所以把Docker的CgroupDriver也改成systemd:
mkdir /etc/docker
cat > /etc/docker/daemon.json <<EOF
{
  "exec-opts": ["native.cgroupdriver=systemd"]
}
EOF

#所有节点设置开机自启动Docker:
systemctl daemon-reload && systemctl enable --now docker

配置镜像加速点这里

三、安装Kubernetes组件

#首先在Master01节点查看最新的Kubernetes版本是多少:
yum list kubeadm.x86_64 --showduplicates | sort -r

#所有节点安装1.23最新版本kubeadm、kubelet和kubectl:
#如果安装指定版本的话,需要指定kubeadm-1.23.6,如下是安装最新版本
yum install kubeadm-1.23* kubelet-1.23* kubectl-1.23* -y
kubeadm version #查看版本

#如果选择的是Containerd作为的Runtime,需要更改Kubelet的配置使用Containerd作为Runtime:
cat >/etc/sysconfig/kubelet<<EOF
KUBELET_KUBEADM_ARGS="--container-runtime=remote --runtime-request-timeout=15m --container-runtime-endpoint=unix:///run/containerd/containerd.sock"
EOF

#所有节点设置Kubelet开机自启动(由于还未初始化,没有kubelet的配置文件,此时kubelet无法启动,不用管):
systemctl daemon-reload
systemctl enable --now kubelet

#此时kubelet是起不来的,日志会有报错不影响!
#查看错误日志
tail -f /var/log/messages  #会显示还没有kubelet配置文件,因为我们还没做初始化操作

四、高可用组件安装

注意:如果不是高可用集群,haproxy和keepalived无需安装。

因为公有云大部分都是不支持keepalived的,所以公有云要用自带的负载均衡,如阿里云的SLB,腾讯云的ELB,用来替代haproxy和keepalived。

如果用阿里云的话,kubectl控制端不能放在master节点,因为阿里云的SLB有回环的问题,也就是SLB代理的服务器不能反向访问SLB,需要在SLB后面再加一层代理,但是腾讯云修复了这个问题。

这个问题要重点关注一下,因为公司很多都用阿里云跟腾讯云。

3.1 安装HAProxy和KeepAlived

#所有Master节点通过yum安装HAProxy和KeepAlived:
yum install keepalived haproxy -y

#所有Master节点配置HAProxy(详细配置参考HAProxy文档,所有Master节点的HAProxy配置相同):备份一下haproxy配置文件,改为如下
[root@k8s-master01 etc]# mkdir /etc/haproxy
[root@k8s-master01 etc]# vim /etc/haproxy/haproxy.cfg 
global
  maxconn  2000
  ulimit-n  16384
  log  127.0.0.1 local0 err
  stats timeout 30s

defaults
  log global
  mode  http
  option  httplog
  timeout connect 5000
  timeout client  50000
  timeout server  50000
  timeout http-request 15s
  timeout http-keep-alive 15s

frontend monitor-in
  bind *:33305
  mode http
  option httplog
  monitor-uri /monitor

frontend k8s-master
  bind 0.0.0.0:16443
  bind 127.0.0.1:16443
  mode tcp
  option tcplog
  tcp-request inspect-delay 5s
  default_backend k8s-master

backend k8s-master
  mode tcp
  option tcplog
  option tcp-check
  balance roundrobin
  default-server inter 10s downinter 5s rise 2 fall 2 slowstart 60s maxconn 250 maxqueue 256 weight 100
  server k8s-master01	10.103.236.201:6443  check
  server k8s-master02	10.103.236.202:6443  check
  server k8s-master03	10.103.236.203:6443  check
 
 
#重启
systemctl restart haproxy
#检查haproxy端口是否被监听,端口为16443
netstat -lntp 

#所有Master节点配置KeepAlived,配置不一样,注意区分配置文件/etc/keepalived/keepalived.conf ,注意每个节点的IP和网卡(interface参数),注意备份配置文件
#Master01节点的配置:
cd /etc/keepalived
vim /etc/keepalived/keepalived.conf 
! Configuration File for keepalived
global_defs {
    router_id LVS_DEVEL
script_user root
    enable_script_security
}
vrrp_script chk_apiserver {
    script "/etc/keepalived/check_apiserver.sh"
    interval 5
    weight -5
    fall 2  
rise 1
}
vrrp_instance VI_1 {
    state MASTER
    interface ens33    #修改点1,注意网卡的名称需要修改ip a查看
    mcast_src_ip 10.103.236.201 #修改点2,改为当前节点的ip地址,我这里是master01
    virtual_router_id 51
    priority 101
    advert_int 2
    authentication {
        auth_type PASS
        auth_pass K8SHA_KA_AUTH
    }
    virtual_ipaddress {
        10.103.236.236  #和这三台master的ip地址处于同一个网段
    }
    track_script {
       chk_apiserver
    }
}
#Master02节点的配置:
! Configuration File for keepalived
global_defs {
    router_id LVS_DEVEL
script_user root
    enable_script_security
}
vrrp_script chk_apiserver {
    script "/etc/keepalived/check_apiserver.sh"
   interval 5
    weight -5
    fall 2  
rise 1
}
vrrp_instance VI_1 {
    state BACKUP
    interface ens33
    mcast_src_ip 10.103.236.202
    virtual_router_id 51
    priority 100
    advert_int 2
    authentication {
        auth_type PASS
        auth_pass K8SHA_KA_AUTH
    }
    virtual_ipaddress {
        10.103.236.236
    }
    track_script {
       chk_apiserver
    }
}
#Master03节点的配置:
! Configuration File for keepalived
global_defs {
    router_id LVS_DEVEL
script_user root
    enable_script_security
}
vrrp_script chk_apiserver {
    script "/etc/keepalived/check_apiserver.sh"
 interval 5
    weight -5
    fall 2  
rise 1
}
vrrp_instance VI_1 {
    state BACKUP
    interface ens33
    mcast_src_ip 10.103.236.203
    virtual_router_id 51
    priority 100
    advert_int 2
    authentication {
        auth_type PASS
        auth_pass K8SHA_KA_AUTH
    }
    virtual_ipaddress {
        10.103.236.236
    }
    track_script {
       chk_apiserver
    }
}
#所有master节点配置KeepAlived健康检查文件:
#这个健康检查会循环的探测haproxy进程是否存在,如果不在就会把keepalived关掉,关掉之后vip就会飘到其他节点上去,vip会绑定在三个master节点上的其中一个上
cat /etc/keepalived/check_apiserver.sh 
#!/bin/bash
err=0
for k in $(seq 1 3)
do
    check_code=$(pgrep haproxy)
    if [[ $check_code == "" ]]; then
        err=$(expr $err + 1)
        sleep 1
        continue
    else
        err=0
        break
    fi
done

if [[ $err != "0" ]]; then
    echo "systemctl stop keepalived"
    /usr/bin/systemctl stop keepalived
    exit 1
else
    exit 0
fi

chmod +x /etc/keepalived/check_apiserver.sh
#启动haproxy和keepalived
systemctl daemon-reload
systemctl enable --now haproxy
systemctl enable --now keepalived

#通过ip a可以看到vip绑定在哪台master节点上
#重要:如果安装了keepalived和haproxy,需要测试keepalived是否是正常的
#测试VIP
ping 10.103.236.236 -c 4
telnet 10.103.236.236 16443

#如果ping不通且telnet没有出现 ] ,则认为VIP不可以,不可在继续往下执行,需要排查keepalived的问题,比如防火墙和selinux,haproxy和keepalived的状态,监听端口等
#所有节点查看防火墙状态必须为disable和inactive:systemctl status firewalld
#所有节点查看selinux状态,必须为disable:getenforce
#master节点查看haproxy和keepalived状态:systemctl status keepalived haproxy
#master节点查看监听端口:netstat -lntp

3.2 集群初始化

官方初始化文档:https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/high-availability/

注意,如果不是高可用集群,如下配置10.103.236.236:16443改为master01的地址,16443改为apiserver的端口,默认是6443,注意更改kubernetesVersion的值和自己服务器kubeadm的版本一致:命令kubeadm version

注意:以下文件内容,宿主机网段、podSubnet网段、serviceSubnet网段不能重复。

Master01节点创建kubeadm-config.yaml配置文件如下:

cd /root/
vim /root/kubeadm-config.yaml
#vim下:set paste 这样粘贴格式不会乱
apiVersion: kubeadm.k8s.io/v1beta2
bootstrapTokens:
- groups:
  - system:bootstrappers:kubeadm:default-node-token
  token: 7t2weq.bjbawausm0jaxury
  ttl: 24h0m0s
  usages:
  - signing
  - authentication
kind: InitConfiguration
localAPIEndpoint:
  advertiseAddress: 10.103.236.201 #这里需要修改,改为本地服务器的IP地址即master01的地址
  bindPort: 6443
nodeRegistration:
  # criSocket: /var/run/dockershim.sock  # 如果是Docker作为Runtime配置此项
  criSocket: /run/containerd/containerd.sock # 如果是Containerd作为Runtime配置此项
  name: k8s-master01
  taints:
  - effect: NoSchedule
    key: node-role.kubernetes.io/master
---
apiServer:
  certSANs:
  - 10.103.236.236  #改为VIP地址或者是公有云的负载均衡地址,证书会颁发给vip,其他节点都是通过vip进行连接的,所以证书颁发给vip就行了
  timeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta2
certificatesDir: /etc/kubernetes/pki
clusterName: kubernetes
controlPlaneEndpoint: 10.103.236.236:16443  #vip的地址跟haporxy的端口号,如果使用的是公有云,那么填公有云地址跟他的端口号
controllerManager: {}
dns:
  type: CoreDNS
etcd:
  local:
    dataDir: /var/lib/etcd
imageRepository: registry.cn-hangzhou.aliyuncs.com/google_containers
kind: ClusterConfiguration
kubernetesVersion: v1.23.0 # 更改此处的版本号和kubeadm version一致,命令kubectl version
networking:
  dnsDomain: cluster.local
  podSubnet: 172.16.0.0/12
  serviceSubnet: 192.168.0.0/16
scheduler: {}

初始化集群操作

#更新kubeadm配置文件
kubeadm config migrate --old-config kubeadm-config.yaml --new-config new.yaml

#将new.yaml文件复制到其他master节点,其他节点的kubeadm配置文件只是用来下载镜像的,所以不用关心上面的ip地址
for i in k8s-master02 k8s-master03; do scp new.yaml $i:/root/; done

#所有Master节点提前下载镜像,可以节省初始化时间(其他节点不需要更改任何配置,包括IP地址也不需要更改):
kubeadm config images pull --config /root/new.yaml 

#所有节点设置开机自启动kubelet,如果启动失败无需管理,初始化成功以后即可启动
systemctl enable --now kubelet

#在Master01节点上进行初始化,初始化以后会在/etc/kubernetes目录下生成对应的证书和配置文件,之后其他Master节点加入Master01即可:
kubeadm init --config /root/new.yaml  --upload-certs

#如果初始化失败,重置后再次初始化,命令如下(没有失败不要执行):
kubeadm reset -f ; ipvsadm --clear  ; rm -rf ~/.kube

如果还不行则需要看kubelet日志,即/var/log/messages 中的kubelet关键字,报错会出现再日志开头位置,报错的日志会出现的很多,但是最主要的信息只有如下图这么一点,所以不要害怕报错。下述报错案例提示的是没有config.yaml文件,需要检查该文件是否存在。

image-20221024234504297

还有个报错如下图,表示kubectl连接不上K8s集群,kubectl连接k8s集群需要一个证书文件,这个文件位于/etc/kubernets/admin.conf,使用kubectl执行命令需要指定该证书文件才能执行命令。

image-20221004193937864

初始化成功以后,会产生Token值,用于其他节点加入时使用,因此要记录下初始化成功生成的token值(令牌值):token过期时间为24小时

Your Kubernetes control-plane has initialized successfully!

To start using your cluster, you need to run the following as a regular user:

  mkdir -p $HOME/.kube
  sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
  sudo chown $(id -u):$(id -g) $HOME/.kube/config

Alternatively, if you are the root user, you can run:
export KUBECONFIG=/etc/kubernetes/admin.conf

You should now deploy a pod network to the cluster.
Run "kubectl apply -f [podnetwork].yaml" with one of the options listed at:
  https://kubernetes.io/docs/concepts/cluster-administration/addons/

You can now join any number of the control-plane node running the following command on each as root:
#如果是其他master节点即控制节点加入则使用如下命令

  kubeadm join 10.103.236.236:16443 --token 7t2weq.bjbawausm0jaxury \
	--discovery-token-ca-cert-hash sha256:df72788de04bbc2e8fca70becb8a9e8503a962b5d7cd9b1842a0c39930d08c94 \
	--control-plane --certificate-key c595f7f4a7a3beb0d5bdb75d9e4eff0a60b977447e76c1d6885e82c3aa43c94c

Please note that the certificate-key gives access to cluster sensitive data, keep it secret!
As a safeguard, uploaded-certs will be deleted in two hours; If necessary, you can use
"kubeadm init phase upload-certs --upload-certs" to reload certs afterward.

Then you can join any number of worker nodes by running the following on each as root: 
#work节点加入使用如下命令
kubeadm join 10.103.236.236:16443 --token 7t2weq.bjbawausm0jaxury \
	--discovery-token-ca-cert-hash sha256:df72788de04bbc2e8fca70becb8a9e8503a962b5d7cd9b1842a0c39930d08c94

#Master01节点配置环境变量,用于访问Kubernetes集群:
cat <<EOF >> /root/.bashrc
export KUBECONFIG=/etc/kubernetes/admin.conf
EOF
source /root/.bashrc

报如下错误就是没有配置环境变量的原因

image-20221025160903051

查看节点状态:

kubectl get node

image-20221025161218885

采用初始化安装方式,所有的系统组件均以容器的方式运行并且在kube-system命名空间内,此时可以查看Pod状态:

kubectl get po -n kube-system

image-20221004194014123

3.3 token过期处理

token过期时间为24小时,过期了怎么办呢?

3.3.1 查看token过期时间

kubectl get secret -n kube-system

查看其他节点加入集群用的哪个token,在集群初始化的时候,有个new.yaml配置文件,打开它记住前面这段

image-20221004194046272

kubectl get secret -n kube-system |grep 7t2weq
kubectl get secret -n kube-system | grep 7t2weq #复制bootstrap-token-7t2weq 
bootstrap-token-7t2weq            bootstrap.kubernetes.io/token         6      31m

以yaml方式输出这个token,查看详情,Expiration即过期时间,是加密的

[root@k8s-master01 ~]# kubectl get secret -n kube-system bootstrap-token-7t2weq -oyaml
apiVersion: v1
data:
  auth-extra-groups: c3lzdGVtOmJvb3RzdHJhcHBlcnM6a3ViZWFkbTpkZWZhdWx0LW5vZGUtdG9rZW4=
  expiration: MjAyMi0xMC0yNlQwNzo1NTowOVo=  #这一段就是过期时间,是加密的
  token-id: N3Qyd2Vx
  token-secret: YmpiYXdhdXNtMGpheHVyeQ==
  usage-bootstrap-authentication: dHJ1ZQ==
  usage-bootstrap-signing: dHJ1ZQ==
kind: Secret
metadata:
  creationTimestamp: "2022-10-25T07:55:09Z"
  name: bootstrap-token-7t2weq
  namespace: kube-system
  resourceVersion: "361"
  uid: de0c7e62-3d36-438c-9693-04a3d7281759
type: bootstrap.kubernetes.io/token

解密后,如果感觉不对,就加8个小时,因为显示的是美国时间,比中国少8个时区

echo "MjAyMi0xMC0yNlQwNzo1NTowOVo=" | base64 -d
2022-10-26T07:55:09Z

可以看到显示的是7点,而我是15点初始化的,需要加8个小时。

3.3.2 Token过期后生成新的token

生成工作节点加入集群的token

#在master01上执行
[root@k8s-master01 ~]# kubeadm token create --print-join-command
kubeadm join 10.103.236.236:16443 --token 5v0mkl.fn4rh5k4hd02joqy --discovery-token-ca-cert-hash sha256:dd162086e046f22aa8ba5ce173dd14be73930243c6f0b23f921502037f6300c8

生成Master节点加入集群的token

#注意master节点的token比node节点的token多一个key
#在master01上执行
[root@k8s-master01 ~]# kubeadm init phase upload-certs  --upload-certs
I1025 16:57:22.455637   19132 version.go:255] remote version is much newer: v1.25.3; falling back to: stable-1.23
[upload-certs] Storing the certificates in Secret "kubeadm-certs" in the "kube-system" Namespace
[upload-certs] Using certificate key:
5248a26dee5ee0fffab9be907bd2f93cbf69e9a16525e9b881eab48a87b8111a #复制这个key

#复制工作节点加入集群的token加上--control-plane --certificate-key跟上面生成的key,拼接后如下
kubeadm join 10.103.236.236:16443 --token 5v0mkl.fn4rh5k4hd02joqy --discovery-token-ca-cert-hash sha256:dd162086e046f22aa8ba5ce173dd14be73930243c6f0b23f921502037f6300c8 \
--control-plane --certificate-key 5248a26dee5ee0fffab9be907bd2f93cbf69e9a16525e9b881eab48a87b8111a

查看当前状态:

kubectl get node

image-20221004194143441

Node节点上主要部署公司的一些业务应用,生产环境中不建议Master节点部署系统组件之外的Pod,测试环境可以允许Master节点部署Pod以节省系统资源。

3.4 Calico组件的安装

建议使用Calico网络组件,他支持网络策略,fanal不支持网络策略。

以下步骤只在master01执行

#进入之前拉下来的目录,选择分支,进入calico目录
cd /root/k8s-ha-install && git checkout manual-installation-v1.23.x && cd calico/
cp calico.yaml calico.yaml.bak

#接下来修改Pod网段,使用如下命令替换POD_CIDR字段的值
#将pod网段赋值到POD_SUBNET变量中
POD_SUBNET=`cat /etc/kubernetes/manifests/kube-controller-manager.yaml | grep cluster-cidr= | awk -F= '{print $NF}'`

#使用sed替换
sed -i "s#POD_CIDR#${POD_SUBNET}#g" calico.yaml
kubectl apply -f calico.yaml

查看容器和节点状态:

发现有个处于Pending状态,这是因为master默认是有污点的,不允许除系统组件的其他pod运行在master节点,后续学习可以去除污点。

kubectl get po -n kube-system
kubectl get node -owide #查看节点的ip地址

image-20221004194349043

kubectl get node

image-20221025175702093

这里会发现有些pod是宿主机的地址,这个跟pod部署方式有关,看下这个pod的yaml文件

kubectl get po -n kube-system -owide
[root@k8s-master01 ~]# kubectl get po calico-node-cprbl -n kube-system -oyaml | grep hostNetwork
  hostNetwork: true 
#如果pod采用的hostnetwork值为true的形式,这时该pod就会使用宿主机的网络地址,并开放指定端口,如果没有采用hostnetwork就不会使用宿主机网络,而是pod地址

img

3.5 Metrics部署

通过Metrics可以采集节点和Pod的内存、磁盘、CPU和网络的使用率。

将Master01节点的front-proxy-ca.crt证书复制到所有Node节点

scp /etc/kubernetes/pki/front-proxy-ca.crt k8s-node01:/etc/kubernetes/pki/front-proxy-ca.crt
scp /etc/kubernetes/pki/front-proxy-ca.crt k8s-node02:/etc/kubernetes/pki/front-proxy-ca.crt

#安装metrics server
cd /root/k8s-ha-install/kubeadm-metrics-server
kubectl  create -f comp.yaml 
#以下为输出信息
serviceaccount/metrics-server created
clusterrole.rbac.authorization.k8s.io/system:aggregated-metrics-reader created
clusterrole.rbac.authorization.k8s.io/system:metrics-server created
rolebinding.rbac.authorization.k8s.io/metrics-server-auth-reader created
clusterrolebinding.rbac.authorization.k8s.io/metrics-server:system:auth-delegator created
clusterrolebinding.rbac.authorization.k8s.io/system:metrics-server created
service/metrics-server created
deployment.apps/metrics-server created
apiservice.apiregistration.k8s.io/v1beta1.metrics.k8s.io created

#查看状态
kubectl get po -n kube-system -l k8s-app=metrics-server

image-20221004194445318

pod的状态变成1/1 Running后就能查看到资源使用率

# kubectl top node
NAME           CPU(cores)   CPU%   MEMORY(bytes)   MEMORY%   
k8s-master01   153m         3%     1701Mi          44%       
k8s-master02   125m         3%     1693Mi          44%       
k8s-master03   129m         3%     1590Mi          41%       
k8s-node01     73m          1%     989Mi           25%       
k8s-node02     64m          1%     950Mi           24%       
# kubectl top po -A  查看所有命名空间下的pod资源
NAMESPACE     NAME                                       CPU(cores)   MEMORY(bytes)   
kube-system   calico-kube-controllers-66686fdb54-74xkg   2m           17Mi            
kube-system   calico-node-6gqpb                          21m          85Mi            
kube-system   calico-node-bmvjt                          29m          76Mi            
kube-system   calico-node-hdp9c                          15m          82Mi            
kube-system   calico-node-wwrfv                          23m          86Mi            
kube-system   calico-node-zzv88                          22m          84Mi            
kube-system   calico-typha-67c6dc57d6-hj6l4              2m           23Mi            
kube-system   calico-typha-67c6dc57d6-jm855              2m           22Mi            
...

3.6 Dashboard部署

Dashboard用于展示集群中的各类资源,同时也可以通过Dashboard实时查看Pod的日志和在容器中执行一些命令等。

3.6.1 安装指定版本dashboard

cd /root/k8s-ha-install/dashboard/ && kubectl  create -f .

3.6.2 安装最新版

官方GitHub地址:https://github.com/kubernetes/dashboard
可以在官方dashboard查看到最新的yaml文件

kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.3/aio/deploy/recommended.yaml

image-20221004194629790

登录dashboard

在谷歌浏览器(Chrome)右击属性中加入启动参数,用于解决无法访问Dashboard的问题,参考图1-1:

--test-type --ignore-certificate-errors

image-20221004194719946

更改dashboard的svc为NodePort,将ClusterIP更改为NodePort(如果已经为NodePort忽略此步骤)

kubectl edit svc kubernetes-dashboard -n kubernetes-dashboard

image-20221026211149547

查看端口号:

kubectl get svc kubernetes-dashboard -n kubernetes-dashboard

image-20221004194739151

根据自己的实例端口号,通过任意安装了kube-proxy的宿主机的IP+端口即可访问到dashboard:

访问Dashboard:https://10.103.236.201:18282(请更改18282为自己的端口),选择登录方式为令牌(即token方式),参考图1-2

image-20221004194854089

查看token值:

[root@k8s-master01 1.1.1]# kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep admin-user | awk '{print $1}')
Name:         admin-user-token-r4vcp
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: admin-user
              kubernetes.io/service-account.uid: 2112796c-1c9e-11e9-91ab-000c298bf023

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pbi11c2VyLXRva2VuLXI0dmNwIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6ImFkbWluLXVzZXIiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiIyMTEyNzk2Yy0xYzllLTExZTktOTFhYi0wMDBjMjk4YmYwMjMiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6a3ViZS1zeXN0ZW06YWRtaW4tdXNlciJ9.bWYmwgRb-90ydQmyjkbjJjFt8CdO8u6zxVZh-19rdlL_T-n35nKyQIN7hCtNAt46u6gfJ5XXefC9HsGNBHtvo_Ve6oF7EXhU772aLAbXWkU1xOwQTQynixaypbRIas_kiO2MHHxXfeeL_yYZRrgtatsDBxcBRg-nUQv4TahzaGSyK42E_4YGpLa3X3Jc4t1z0SQXge7lrwlj8ysmqgO4ndlFjwPfvg0eoYqu9Qsc5Q7tazzFf9mVKMmcS1ppPutdyqNYWL62P1prw_wclP0TezW1CsypjWSVT4AuJU8YmH8nTNR1EXn8mJURLSjINv6YbZpnhBIPgUGk1JYVLcn47w

将token值输入到令牌后,单击登录即可访问Dashboard

登录的用户是我们创建的,文件在dashboard-user.yaml文件中,可以看到将管理员的权限授权给了admin-user

vim /root/k8s-ha-install/dashboard/dashboard-user.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: admin-user
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
    license: 34C7357D6D1C641D4CA1E369E7244F61
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: admin-user
  namespace: kube-system

登录之后选择左边Pods,然后选择kube-system命名空间下就能看到资源了,注意监控cpu资源内存资源需要安装metrics-server才会显示数据。

image-20221026210305011

3.7 一些必须的配置更改

#将Kube-proxy改为ipvs模式,因为在初始化集群的时候注释了ipvs配置,所以需要自行修改一下:
#在master01节点执行
kubectl edit cm kube-proxy -n kube-system
mode: "ipvs" #将mode修改为ipvs

#更新Kube-Proxy的Pod:
kubectl patch daemonset kube-proxy -p "{\"spec\":{\"template\":{\"metadata\":{\"annotations\":{\"date\":\"`date +'%s'`\"}}}}}" -n kube-system
#验证Kube-Proxy模式
[root@k8s-master01 1.1.1]# curl 127.0.0.1:10249/proxyMode
ipvs

#查看kube-proxy的pod
kubectl  get pods -n kube-system -l k8s-app=kube-proxy

#查看pod报错
kubectl describe pod kube-proxy-vpvtd -n kube-system

#删除pod
kubectl delete po kube-proxy-slbns -n kube-system

3.8 故障排查流程

  1. 查看containerd的状态
  2. 查看kubelet的状态
  3. 看日志

下面开始讲一个报错案例:

如果是新建集群,可以停掉相关进程,删除相关数据,再重建

systemctl stop containerd kubelet
rm -rf /var/lib/containerd /var/lib/kubelet/ /etc/kubernetes/

重新配置containerd配置文件,看2.4节,之后重启服务

systemctl restart containerd
systemctl restart kubelet

如果删除过程中出现目录繁忙,就umout该目录

image-20221025171934637

查看日志

tail -f /var/log/messges

image-20221025172550127

发现kubelet报错,该报错是未初始化造成的,会提示没有config.yaml文件。

#如果是node节点则执行如下join命令
[root@k8s-master01 ~]# kubeadm token create --print-join-command
kubeadm join 10.103.236.236:16443 --token 5v0mkl.fn4rh5k4hd02joqy --discovery-token-ca-cert-hash sha256:dd162086e046f22aa8ba5ce173dd14be73930243c6f0b23f921502037f6300c8

#如果是master节点则执行如下命令
kubeadm join 10.103.236.236:16443 --token 5v0mkl.fn4rh5k4hd02joqy --discovery-token-ca-cert-hash sha256:dd162086e046f22aa8ba5ce173dd14be73930243c6f0b23f921502037f6300c8 \
--control-plane --certificate-key 5248a26dee5ee0fffab9be907bd2f93cbf69e9a16525e9b881eab48a87b8111a

三台master节点都会用到/etc/kubernetes/admin.conf证书文件,检查这个文件存不存在,不存在就scp过来,然后重置,初始化,无非就这样的流程,没必要害怕报错,很简单的。

五、注意事项

  1. kubeadm安装的集群,证书有效期默认是一年。

  2. master跟node节点的组件都是以容器运行的。

    master节点的kube-apiserver、kube-scheduler、kube-controller-manager、etcd都是以容器运行的。可以通过kubectl get po -n kube-system查看。
    
  3. 启动方式跟二进制不同,区别如下。

    kubelet的配置文件在/etc/sysconfig/kubelet和/var/lib/kubelet/config.yaml,修改后需要重启kubelet进程。
    
    其他组件的配置文件在/etc/kubernetes/manifests目录下,比如kube-apiserver.yaml,该yaml文件更改后,kubelet会自动刷新配置,注意是自动更新配置,也会重启pod。如果不想等的话可以执行systemctl restart kubelet。
    
    关于kube-proxy,不能重复创建该文件会报错,可以编辑修改该文件,kube-proxy的配置在kube-system命名空间下的configmap中,可以通过kubectl edit cm kube-proxy -n kube-system进行更改,更改完成后,可以通过patch重启kube-proxy,命令如下
    kubectl patch daemonset kube-proxy -p "{\"spec\":{\"template\":{\"metadata\":{\"annotations\":{\"date\":\"`date +'%s'`\"}}}}}" -n kube-system
    
  4. Kubeadm安装后,master节点默认不允许部署pod,可以通过以下方式打开

#查看Taints:
[root@k8s-master01 ~]# kubectl  describe node -l node-role.kubernetes.io/master=  | grep Taints
Taints:             node-role.kubernetes.io/master:NoSchedule #注意这个名字可能不一样,操作是一样的
Taints:             node-role.kubernetes.io/master:NoSchedule
Taints:             node-role.kubernetes.io/master:NoSchedule

#删除Taint:
[root@k8s-master01 ~]# kubectl  taint node  -l node-role.kubernetes.io/master node-role.kubernetes.io/master:NoSchedule-
node/k8s-master01 untainted
node/k8s-master02 untainted
node/k8s-master03 untainted
[root@k8s-master01 ~]# kubectl  describe node -l node-role.kubernetes.io/master=  | grep Taints
Taints:             <none>
Taints:             <none>
Taints:             <none>

六、参考资料

posted @ 2022-12-02 21:45  努力吧阿团  阅读(419)  评论(0编辑  收藏  举报