一、常见的k8s部署方式

1、inikube: Minikube是一个工具,可以在本地快速运行一个单节点微型K8s,仅用于学习预览K8s的一些特性使用 部署地址: https://kubernetes.io/docs/setup/minikube
2、Kubeadmin: Kubeadmin也是一个工具,提供kubeadm init和kubeadm join,用于快速部署K8S集群,相对简单 https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/
3、二进制安装部署 生产首选,从官方下载发行版的二进制包,手动部署每个组件和自签TLS证书,组成K8s集群,新手推荐 https://github.com/kubernetes/kubernetes/releases

二、Kubernetes二进制部署(单节点)

1、环境准备

服务器ip组件
k8s集群master1 192.168.142.3 kube-apiserver、kube-controller-manager、kube-scheduler、etcd
k8s集群node1 192.168.142.4 kubelet、kube-proxy、docker、flannel
k8s集群node2 192.168.142.5 kubelet、kube-proxy、docker、flannel
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
#关闭防火墙和安全功能
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
 
#关闭swap
swapoff -a
sed -ir 's/.*swap.*/#&/' /etc/fstab
 
#设置主机名
hostnamectl set-hostname master01
hostnamectl set-hostname node01
hostnamectl set-hostname node02
 
#添加hosts
cat >> /etc/hosts << EOF
192.168.142.3 master01
192.168.142.4 node01
192.168.142.5 node02
EOF
 
#将桥接的ipv4流量传递到iptables的链
cat > /etc/sysctl.d/k8s.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
 
sysctl --system
 
#时间同步
yum install ntpdate -y
ntpdate time.windows.com

2、部署etcd集群(这里就不在单独的服务器上部署,直接部署在各节点上,节省资源)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
1.etcd目前默认使用2379端口提供HTTP API服务,2380端口和peer通信(这两个端口已经被TAMA(互联网数字分配机构)官方预留给etced)。即etcd默认使用2379端口对外为客户端提供通讯,使用端口2380来进行服务器间内部通讯
2.etcd在生产环境中一般推荐集群方式部署。由于etcd的leader选举机制,要求至少为3台或以上的奇数台
3.etcd作为服务发现系统,有以下的特点:
• 简单 安装配置简单,而且提供了HTTP API进行交互,使用也很简单
• 安全: 支持SSL证书验证
• 快速: 单实例支持每秒2k+读操作
• 可靠: 采用raft算法实现分布式系统数据的可用性和一致性
==========================================================
##准备签发证书环境
CFSSL是CloudFlare公司开源的一款PKI/TLS工具。CESSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。
CFSSL使用配置文件生成证书,因此自签之前,需要生成它识别的json 格式的配置文件,CFSSL 提供了方便的命令行生成配置文件。
CFSSL用来为etcd提供TLS证书,它支持签三种类型的证书:
1、client证书,服务端连接客户端时携带的证书,用于客户端验证服务端身份,如kube-apiserver 访问etcd;
2、server证书,客户端连接服务端时携带的证书,用于服务端验证客户端身份,如etcd对外提供服务:
3、peer证书,相互之间连接时使用的证书,如etcd节点之间进行验证和通信。
这里全部都使用同一套证书认证。

(1)下载证书制作工具

1
2
3
4
5
6
7
8
9
10
11
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo
 
chmod +x /usr/local/bin/cfssl*
==========================================================
cfssl: 证书签发的工具命令
cfssljson: 将cfssl 生成的证书( json格式)变为文件承载式证书
cfssl-certinfo:验证证书的信息
cfssl-certinfo -cert <证书名称>

(2)利用etcd-cert.sh生成CA证书、etcd服务器证书以及私钥

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
1.创建k8s.工作目录
mkdir /opt/k8s
cd /opt/k8s/
 
2.mkdir /opt/k8s/etcd-cert          #创建用于生成CA证书、etcd服务器证书以及私钥的目录
cd /opt/k8s/etcd-cert
vim etcd-cert.sh
----------------------------------------------------------
cat > ca-config.json <<EOF         #CA证书配置文件
{
  "signing": {                  #键名称
    "default": {
      "expiry""87600h"            #证书有效期(10年)
    },
    "profiles": {               #简介
      "www": {                  #名称
         "expiry""87600h",
         "usages": [                #使用方法
            "signing",              #键
            "key encipherment",         #密钥验证(密钥验证要设置在CA证书中)
            "server auth",          #服务器端验证
            "client auth"           #客户端验证
        ]
      }
    }
  }
}
EOF
cat > ca-csr.json <<EOF                #CA签名
{
    "CN""etcd CA",                #CA签名为etcd指定(三个节点均需要)
    "key": {
        "algo""rsa",              #使用rsa非对称密钥的形式
        "size": 2048                #密钥长度为2048
    },
    "names": [                  #在证书中定义信息(标准格式)
        {
            "C""CN",              #名称
            "L""Beijing",    
            "ST""Beijing"    
        }
    ]
}
EOF
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
cat > server-csr.json <<EOF            #服务器端的签名
{
    "CN""etcd",
    "hosts": [                  #定义三个节点的IP地址
    "192.168.142.3",
    "192.168.142.4",
    "192.168.142.5"
    ],
    "key": {
        "algo""rsa",
        "size": 2048
    },
    "names": [
        {
            "C""CN",
            "L""BeiJing",
            "ST""BeiJing"
        }
    ]
}
EOF
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server     #cfssl 为证书制作工具
----------------------------------------------------------
chmod +x etcd-cert.sh
./etcd-cert.sh

 

 

(3)利用etcd.sh启动etcd

1)解压etcd包
1
2
3
4
5
6
7
8
9
10
#etcd二进制包地址: https://github.com/etcd-io/etcd/releases
1.上传etcd-v3.3.10-1inux-amd64.tar.gz 到/opt/k8s/目录中,解压etcd 压缩包
2.cd /opt/k8s/
tar zxvf etcd-v3.3.10-linux-amd64.tar.gz
3.1s etcd-v3.3.10-linux-amd64
Documentation etcd etcdctl README-etcdctl.md README.md
READMEv2-etcdctl.md
==========================================================
etcd就是etcd服务的启动命令,后面可跟各种启动参数
etcdct1主要为etcd服务提供了命令行操作

2)创建用于存放etcd配置文件,命令文件,证书的目录
1
2
3
4
mkdir -p /opt/etcd/{cfg,bin,ssl}
mv /opt/k8s/etcd-v3.3.10-linux-amd64/etcd /opt/etcd/bin/
mv /opt/k8s/etcd-v3.3.10-linux-amd64/etcdctl /opt/etcd/bin/
cp /opt/k8s/etcd-cert/*.pem /opt/etcd/ssl/

3)编写etcd.sh启动etcd(先起一台,再scp)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
cd /opt/k8s
vim etcd.sh
----------------------------------------------------------
#!/bin/bash
#以下为使用格式:etcd名称 当前etcd的IP地址+完整的集群名称和地址
# example: ./etcd.sh etcd01 192.168.80.11 etcd02=https://192.168.80.12:2380,etcd03=https://192.168.80.13:2380
ETCD_NAME=$1                        #位置变量1:etcd节点名称
ETCD_IP=$2                      #位置变量2:节点地址
ETCD_CLUSTER=$3                     #位置变量3:集群
WORK_DIR=/opt/etcd                  #指定工作目录
cat <<EOF >$WORK_DIR/cfg/etcd              #在指定工作目录创建ETCD的配置文件
#[Member]
ETCD_NAME="${ETCD_NAME}"                #etcd名称
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://${ETCD_IP}:2380"     #etcd IP地址:2380端口。用于集群之间通讯
ETCD_LISTEN_CLIENT_URLS="https://${ETCD_IP}:2379"   #etcd IP地址:2379端口,用于开放给外部客户端通讯
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://${ETCD_IP}:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://${ETCD_IP}:2379"    #对外提供的url使用https的协议进行访问
ETCD_INITIAL_CLUSTER="etcd01=https://${ETCD_IP}:2380,${ETCD_CLUSTER}"       #多路访问
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"       #tokens 令牌环名称:etcd-cluster
ETCD_INITIAL_CLUSTER_STATE="new"            #状态,重新创建
EOF
cat <<EOF >/usr/lib/systemd/system/etcd.service        #定义ectd的启动脚本
[Unit]                              #基本项           
Description=Etcd Server                 #类似为 etcd 服务
After=network.target                    #vu癌症
After=network-online.target
Wants=network-online.target
[Service]                       #服务项
Type=notify
EnvironmentFile=${WORK_DIR}/cfg/etcd    #etcd文件位置
ExecStart=${WORK_DIR}/bin/etcd \            #准启动状态及以下的参数
--name=\${ETCD_NAME} \
--data-dir=\${ETCD_DATA_DIR} \
--listen-peer-urls=\${ETCD_LISTEN_PEER_URLS} \
--listen-client-urls=\${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \
--advertise-client-urls=\${ETCD_ADVERTISE_CLIENT_URLS} \ #以下为群集内部的设定
--initial-advertise-peer-urls=\${ETCD_INITIAL_ADVERTISE_PEER_URLS} \
--initial-cluster=\${ETCD_INITIAL_CLUSTER} \
--initial-cluster-token=\${ETCD_INITIAL_CLUSTER_TOKEN} \    #群集内部通信,也是使用的令牌,为了保证安全(防范中间人窃取)
--initial-cluster-state=new \
--cert-file=${WORK_DIR}/ssl/server.pem \        #证书相关参数
--key-file=${WORK_DIR}/ssl/server-key.pem \
--peer-cert-file=${WORK_DIR}/ssl/server.pem \
--peer-key-file=${WORK_DIR}/ssl/server-key.pem \
--trusted-ca-file=${WORK_DIR}/ssl/ca.pem \
--peer-trusted-ca-file=${WORK_DIR}/ssl/ca.pem
Restart=on-failure
LimitNOFILE=65536                   #开放最多的端口号
[Install]
WantedBy=multi-user.target              #进行启动
EOF
systemctl daemon-reload                 #参数重载
systemctl enable etcd
systemctl restart etcd
----------------------------------------------------------
chmod +x etcd.sh
主机master01:./etcd.sh etcd01 192.168.80.11 etcd02=https://192.168.80.12:2380,etcd03=https://192.168.80.13:2380    #执行脚本
 
另外打开一个终端窗口查看etcd进程是否正常
ps -ef | grep etcd
 
//把etcd相关证书文件和命令文件全部拷贝到另外两个etcd集群节点
scp -r /opt/etcd/ root@192.168.142.4:/opt/
scp -r /opt/etcd/ root@192.168.142.5:/opt/
 
//把etcd服务管理文件拷贝到另外两个etcd集群节点
scp /usr/lib/systemd/system/etcd.service root@192.168.142.4:/usr/lib/systemd/system/
scp /usr/lib/systemd/system/etcd.service root@192.168.142.5:/usr/lib/systemd/system/
 
修改vim /opt/etcd/cfg/etcd文件,每一台主机都有自己的etc编号和ip,除了集群那行一致,其他都要修改成本机ip和etc编号
 
再次systemctl daemon-reload                   #参数重载
systemctl enable etcd
systemctl restart etcd

 

4)在master01节点上测试健康检查
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
1.ln -s /opt/etcd/bin/etcd* /usr/local/bin
2.检查etcd群集状态
cd /opt/etcd/ssl
etcdctl \
--ca-file=ca.pem \
--cert-file=server.pem \
--key-file=server-key.pem \
--endpoints="https://192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379" \
cluster-health
==========================================================
--cert-file:识别HTTPS端使用sSL证书文件
--key-file: 使用此SSL密钥文件标识HTTPS客户端
-ca-file:使用此CA证书验证启用https的服务器的证书
--endpoints:集群中以逗号分隔的机器地址列表
cluster-health:检查etcd集群的运行状况
==========================================================
3.切换到etcd3版本查看集群节点状态和成员列表
export ETCDCTL_API=3
#v2和v3命令略有不同,etcd2 和etcd3也是不兼容的,默认是v2版本
etcdctl --write-out=table endpoint status
etcdctl --write-out=table member list
export ETCDCTL_API=2
#再切回v2版本

 

3、部署docker引擎(node节点上部署)

1
2
3
4
5
6
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io
 
systemctl start docker.service
systemctl enable docker.service

  

三、flannel网络

1、K8S中Pod网络通信的方式

Pod内容器与容器之间的通信:
在同一个Pod内的容器(Pod内的容器是不会跨宿主机的)共享同一个网络命令空间,相当于它们在网一台机器上一样,可以用localhost地址访间彼此的端口
同一个Node内Pod之间的通信:
每个Pod 都有一个真实的全局IP地址,同一个Node 内的不同Pod之间可以直接采用对方Pod的IP地址进行通信,Pod1与Pod2都是通过veth连接到同一个docker0网桥,网段相同,所以它们之间可以直接通信
不同Node上Pod之间的通信:
Pod地址与docker0在同一网段,dockor0网段与宿主机网卡是两个不同的网段,且不同Nodo之间的通信贝能通过宿主机的物理网卡进行  

要想实现不同node上pod之间的通信,就必须想办法通过主机的物理网卡IP地址进行寻址和通信,因此要满足两个条件;pod的ip不能冲突;将pod的IP和所在的node的IP关联起来,通过这个管理让不同node上pod之间直接通过内网IP地址通信

2、K8S的三种网络

(1)Overlay Network

叠加网络,在二层或者三层基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路隧道连接起来(类似于vpn)

(2)VXLAN

将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层报文头进行封装,然后再以太网上传输,到达目的地后由隧道断点解封装并将数据发送给目标地址  

(3)Flannel

Flannle的功能是让集群中的不同节点主机创建的docker容器都具有全集群唯一的虚拟IP地址
Flannel是Overlay网络中的一种,也是将TCP源数据包封装在另一种网络包里面进行路由转发和通信,目前支持UDP、VXLAN、host-GW3中数据转发方式  

3、Flannel工作原理

 

数据从源node节点的pod发出后,会经由docker0网卡转发到flannel0网卡,在flannel0网卡有个flanneld服务会把这个数据包podIP头部封装到UDP报文中,然后根据自己在etcd中维护路由表通过物理网卡转发到目标node节点,数据包到达目标node节点后会被flanneld服务解封装会暴露UDP报文中的podIP地址,然后经由flannel0 网卡和docker0网卡转发到目标pod的容器

 4、ETCD 之 Flannel 提供说明

存储管理Flannel可分配的IP地址段资源
监控 ETCD 中每个 Pod 的实际地址,并在内存中建立维护 Pod 节点路由表

四、配置flannel网络

1、master01节点上操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
//添加 flannel 网络配置信息,写入分配的子网段到 etcd 中,供 flannel 使用
cd /opt/etcd/ssl
/opt/etcd/bin/etcdctl \
--ca-file=ca.pem \
--cert-file=server.pem \
--key-file=server-key.pem \
--endpoints="https://192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379" \
set /coreos.com/network/config '{"Network": "172.17.0.0/16", "Backend": {"Type": "vxlan"}}'
 
//查看写入的信息
/opt/etcd/bin/etcdctl \
--ca-file=ca.pem \
--cert-file=server.pem \
--key-file=server-key.pem \
--endpoints="https://192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379" \
get /coreos.com/network/config
 
------------------------------------------------------------------------------------------
set <key> <value>
set /coreos.com/network/config 添加一条网络配置记录,这个配置将用于flannel分配给每个docker的虚拟IP地址段
get <key>
get /coreos.com/network/config 获取网络配置记录,后面不用再跟参数了
 
Network:用于指定Flannel地址池
Backend:用于指定数据包以什么方式转发,默认为udp模式,Backend为vxlan比起预设的udp性能相对好一些

 

2、在所有 node 节点上操作 

(1)上传压缩包 

1
2
3
4
5
6
//上传 flannel.sh 和 flannel-v0.10.0-linux-amd64.tar.gz 到 /opt 目录中,解压 flannel 压缩包
cd /opt
tar zxvf flannel-v0.10.0-linux-amd64.tar.gz
flanneld                #flanneld为主要的执行文件
mk-docker-opts.sh       #mk-docker-opts.sh脚本用于生成Docker启动参数
README.md

  

(2)创建kubernetes工作目录  

1
2
3
4
mkdir -p /opt/kubernetes/{cfg,bin,ssl}
 
cd /opt
mv mk-docker-opts.sh flanneld /opt/kubernetes/bin/

(3)利用脚本启动flanneld服务,开启flannel网络功能  

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
cd /opt
vim flannel.sh
==========================================================
==========================================================
#!/bin/bash
--------------定义etcd集群的端点IP地址和对外提供服务的2379端口
ETCD_ENDPOINTS=${1:-"http://127.0.0.1:2379"}   #${var:-string}:若变量var为空,则用在命令行中用string来替换;否则变量var不为空时>,则用变量var的值来替换,这里的1代表的是位置变量$1
--------------#创建flanneld配置文件
cat > /opt/kubernetes/cfg/flanneld <<EOF  
FLANNEL_OPTIONS="--etcd-endpoints=${ETCD_ENDPOINTS} \\
-etcd-cafile=/opt/etcd/ssl/ca.pem \\
-etcd-certfile=/opt/etcd/ssl/server.pem \\
-etcd-keyfile=/opt/etcd/ssl/server-key.pem"
EOF   #flanneld本应使用etcd客户端TLS相关证书(client 证书),这里全部都使用同一套证书认证。
---------------#创建flanneld.service服务管理文件
cat > /usr/lib/systemd/system/flanneld.service <<EOF
[Unit]
Description=Flanneld overlay address etcd agent
After=network-online.target network.target
Before=docker.service
 
[Service]
Type=notify
EnvironmentFile=/opt/kubernetes/cfg/flanneld
ExecStart=/opt/kubernetes/bin/flanneld --ip-masq \$FLANNEL_OPTIONS
ExecStartPost=/opt/kubernetes/bin/mk-docker-opts.sh -k DOCKER_NETWORK_OPTIONS -d /run/flannel/subnet.env
Restart=on-failure
 
[Install]
WantedBy=multi-user.target
 
EOF
 
#flanneld启动后会使用 mk-docker-opts.sh 脚本生成 docker 网络相关配置信息
#mk-docker-opts.sh -k DOCKER_NETWORK_OPTIONS:将组合选项键设置为环境变量DOCKER_NETWORK_OPTIONS,docker启动时将使用此变量
#mk-docker-opts.sh -d /run/flannel/subnet.env:指定要生成的docker网络相关信息配置>文件的路径,docker启动时候引用此配置
 
---------------启动flanneld服务
systemctl daemon-reload
systemctl enable flanneld
systemctl restart flanneld
==========================================================
==========================================================
chmod +x flannel.sh
./flannel.sh https://192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379

(4)查看 cat /run/flannel/subnet.env  

1
2
3
4
5
6
7
8
9
10
11
12
13
14
flanne1启动后会生成一个docker网络相关信息配置文件/run/flannel/subnet.env,包含了docker要使用flannel通讯的相关参数
cat /run/flannel/subnet.env
DOCKER_OPT_BIP="--bip=172.17.85.1/24"
DOCKER_OPT_IPMASQ="--ip-masq= false"
DOCKER_OPT_MTU="--mtu=1450"
DOCKER_NETWORK_OPTIONS=" --bip=172.17.85.1/24 --ip-masq=false --mtu=1450"
------------------------------------------------
--bi: 指定docker 启动时的子网
--ip-masq: 设置ipmasq=false 关闭snat 伪装策略
--mtu=1450:mtu要留出50字节给外层的vxlan封包的额外开销使用
Flannel启动过程解析:
1、从etcd中获取network的配置信息
2、划分subnet, 并在etcd中进行注册
3、将子网信息记录到/run/flannel/subnet.env中

(5)修改docker服务管理文件,配置docker连接flannel  

1
2
3
4
5
6
7
8
9
10
11
12
13
vim /lib/systemd/system/docker.service
[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues stillt
# exists and systemd currently dges not support the cgroup feature set requi red
# for containers run by docker
EnvironmentFile=/run/flannel/subnet.env      #添加
ExecStart=/usr/bin/dockerd $DOCKER_NETWORK_OPTIONS -H fd:// --containerd=/run/containerd/containerd.sock
#修改
ExecReload=/bin/kill -s HUP $MAINPID
TimeoutSec=0
RestartSec=2
Restart=always

(6)重启docker服务  

systemctl daemon-reload
systemctl restart docker

//查看 docker0 和 flannel.1 的 IP 地址,此时应该在同一网段里

  

(7)测试

1
2
3
4
5
6
7
8
9
在 node01 节点测试 ping 通 node02 节点的 docker0 网卡,证明 flannel 已起到路由作用
ping -I 172.17.15.1 172.17.45.1
 
//创建并进入容器
docker run -itd centos:7 /bin/bash
 
//在容器中下载工具,测试 ping 通 node02 节点中的 centos:7 容器
yum install net-tools -y
ping -I 172.17.15.2 172.17.45.2

 

五、部署 master 组件  

1、在 master01 节点上操作 

(1)上传 master.zip 和 k8s-cert.sh 到 /opt/k8s 目录中,解压 master.zip 压缩包  

1
2
3
4
5
6
7
cd /opt/k8s/
unzip master.zip
apiserver.sh
scheduler.sh
controller-manager.sh
 
chmod +x *.sh

 

(2)创建kubernetes工作目录  

1
mkdir -p /opt/kubernetes/{cfg,bin,ssl}

 

(3)创建用于生成CA证书、相关组件的证书和私钥的目录  

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
mkdir /opt/k8s/k8s-cert
mv /opt/k8s/k8s-cert.sh /opt/k8s/k8s-cert
cd /opt/k8s/k8s-cert/
vim k8s-cert.sh
==========================================================
#!/bin/bash
#配置证书生成策略,让 CA 软件知道颁发有什么功能的证书,生成用来签发其他组件证书的根证书
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry""87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry""87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF
 
#生成CA证书和私钥(根证书和私钥)
cat > ca-csr.json <<EOF
{
    "CN""kubernetes",
    "key": {
      "algo""rsa",
      "size": 2048
    },
    "names": [
        {
            "C""CN",
            "L""Beijing",
            "ST""Beijing",
            "O""k8s",
            "OU""System"
        }
    ]
}
EOF
 
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
 
 
#-----------------------
#生成 apiserver 的证书和私钥(apiserver和其它k8s组件通信使用)
#hosts中将所有可能作为 apiserver 的 ip 添加进去,后面 keepalived 使用的 VIP 也要加入
cat > apiserver-csr.json <<EOF
{
    "CN""kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "192.168.80.11",          #master01
      "192.168.80.16",          #master02
      "192.168.80.100",         #vip,后面 keepalived 使用
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo""rsa",
        "size": 2048
    },
    "names": [
        {
            "C""CN",
            "L""BeiJing",
            "ST""BeiJing",
            "O""k8s",
            "OU""System"
        }
    ]
}
EOF
 
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes apiserver-csr.json | cfssljson -bare apiserver
 
 
#-----------------------
#生成 kubectl 的证书和私钥,具有admin权限
cat > admin-csr.json <<EOF
{
  "CN""admin",
  "hosts": [],
  "key": {
    "algo""rsa",
    "size": 2048
  },
  "names": [
    {
      "C""CN",
      "L""BeiJing",
      "ST""BeiJing",
      "O""system:masters",
      "OU""System"
    }
  ]
}
EOF
 
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin
 
 
#-----------------------
#生成 kube-proxy 的证书和私钥
cat > kube-proxy-csr.json <<EOF
{
  "CN""system:kube-proxy",
  "hosts": [],
  "key": {
    "algo""rsa",
    "size": 2048
  },
  "names": [
    {
      "C""CN",
      "L""BeiJing",
      "ST""BeiJing",
      "O""k8s",
      "OU""System"
    }
  ]
}
EOF
 
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy
==========================================================
./k8s-cert.sh
 
//controller-manager和kube-scheduler设置为只调用当前机器的apiserver, 使用127.0.0.1:8080 通信,因此不需要签发证书

 

(4)复制CA证书、apiserver相关证书和私钥到 kubernetes工作目录的 ssl 子目录中  

1
cp ca*pem apiserver*pem /opt/kubernetes/ssl/

 

(5)上传 kubernetes-server-linux-amd64.tar.gz 到 /opt/k8s/ 目录中,解压 kubernetes 压缩包  

1
2
cd /opt/k8s/
tar zxvf kubernetes-server-linux-amd64.tar.gz

 

(6)复制master组件的关键命令文件到 kubernetes工作目录的 bin 子目录中  

1
2
3
cd /opt/k8s/kubernetes/server/bin
cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/
ln -s /opt/kubernetes/bin/* /usr/local/bin/

 

(7)创建 bootstrap token 认证文件,apiserver 启动时会调用  

1
2
3
4
5
6
7
8
9
10
11
12
13
相当于在集群内创建了一个这个用户,接下来就可以用RBAC
给他授权
 
1.head -c 16 /dev/urandom | od -An -t x | tr -d ' '   #获取随机数前16个字节内容,以十六进制格式输出,并删除其中空格
结果是:21de1597292d523d3a7c79fdf7477c3e
 
2.cd /opt/k8s/
vim token.sh
==========================================================
#!/bin/bash
 
#生成token.csv 文件,按照Token序列号,用户名,UID,用户组的格式生成
cat > /opt/kubernetes/cfg/token.csv <<EOF21de1597292d523d3a7c79fdf7477c3e,kubelet-bootstrap,10001,"system: kubelet-bootstrap" EOF ========================================================== chmod +x token.sh ./token.sh cat /opt/kubernetes/cfg/token.csv

  

(8)开启apiserver服务,检查进程是否启动成功

1
2
3
4
5
二进制文件、token、证书都准备好
cd /opt/k8s/
./apiserver.sh 192.168.142.3 https://192.168.142.3:2379,https://192.168.142.4:2379,https://192.168.142.5:2379   #开启apiserver服务
 
ps aux | grep kube-apiserver

 

(9)查看6443、8080两个端口和版本信息

1
2
3
4
5
6
7
8
9
k8s通过kube- apiserver这个进程提供服务,该进程运行在单个master节点上。默认有两个端口6443和8080
//安全端口6443用于接收HTTPS请求,用于基于Token文件或客户端证书等认证
netstat -natp | grep 6443
 
//本地端口8080用于接收HTTP请求,非认证或授权的HTTP请求通过该端口访问APIServer
netstat -natp | grep 8080
 
//查看版本信息(必须保证apiserver启动正常,不然无法查询到server的版本信息)
kubectl version

 

(10)启动scheduler和controller-manager

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
1.启动scheduler服务
cd /opt/k8s/
vim scheduler.sh
==========================================================
!/bin/bash
#创建 kube-scheduler 启动参数配置文件
MASTER_ADDRESS=$1
 
cat >/opt/kubernetes/cfg/kube-scheduler <<EOF
KUBE_SCHEDULER_OPTS="--logtostderr=true \\
--v=4 \\
--master=${MASTER_ADDRESS}:8080 \\
--leader-elect=true"
EOF
 
#--master:监听 apiserver 的地址和8080端口
#--leader-elect=true:启动 leader 选举
#k8s中Controller-Manager和Scheduler的选主逻辑:k8s中的etcd是整个集群所有状态信息的存储,>涉及数据的读写和多个etcd之间数据的同步,对数据的一致性要求严格,所以使用较复杂的 raft 算>法来选择用于提交数据的主节点。而 apiserver 作为集群入口,本身是无状态的web服务器,多个 apiserver 服务之间直接负载请求并不需要做选主。Controller-Manager 和 Scheduler 作为任务类型>的组件,比如 controller-manager 内置的 k8s 各种资源对象的控制器实时的 watch apiserver 获>取对象最新的变化事件做期望状态和实际状态调整,调度器watch未绑定节点的pod做节点选择,显然>多个这些任务同时工作是完全没有必要的,所以 controller-manager 和 scheduler 也是需要选主的
,但是选主逻辑和 etcd 不一样的,这里只需要保证从多个 controller-manager 和 scheduler 之间
选出一个 leader 进入工作状态即可,而无需考虑它们之间的数据一致和同步。
 
 
#创建 kube-scheduler.service 服务管理文件
cat >/usr/lib/systemd/system/kube-scheduler.service <<EOF
[Unit]
Description=Kubernetes Scheduler
Documentation=https://github.com/kubernetes/kubernetes
 
[Service]
EnvironmentFile=-/opt/kubernetes/cfg/kube-scheduler
ExecStart=/opt/kubernetes/bin/kube-scheduler \$KUBE_SCHEDULER_OPTS
Restart=on-failure
 
[Install]
WantedBy=multi-user.target
EOF
 
systemctl daemon-reload
systemctl enable kube-scheduler
systemctl restart kube-scheduler
==========================================================
./scheduler.sh 127.0.0.1
 
ps aux | grep kube-scheduler
 
2.启动controller-manager服务
cd /opt/k8s/
vim controller-manager.sh
==========================================================
#!/bin/bash
#创建 kube-controller-manager 启动参数配置文件
MASTER_ADDRESS=$1
 
cat >/opt/kubernetes/cfg/kube-controller-manager <<EOF
KUBE_CONTROLLER_MANAGER_OPTS="--logtostderr=true \\
--v=4 \\
--master=${MASTER_ADDRESS}:8080 \\
--leader-elect=true \\
--address=127.0.0.1 \\
--service-cluster-ip-range=10.0.0.0/24 \\
--cluster-name=kubernetes \\
--cluster-signing-cert-file=/opt/kubernetes/ssl/ca.pem \\
--cluster-signing-key-file=/opt/kubernetes/ssl/ca-key.pem  \\
--root-ca-file=/opt/kubernetes/ssl/ca.pem \\
--service-account-private-key-file=/opt/kubernetes/ssl/ca-key.pem \\
--experimental-cluster-signing-duration=87600h0m0s"
EOF
 
#--cluster-name=kubernetes:集群名称,与CA证书里的CN匹配
#--cluster-signing-cert-file:指定签名的CA机构根证书,用来签名为 TLS BootStrapping 创建的
证书和私钥
#--root-ca-file:指定根CA证书文件路径,用来对 kube-apiserver 证书进行校验,指定该参数后,
才会在 Pod 容器的 ServiceAccount 中放置该 CA 证书文件
#--experimental-cluster-signing-duration:设置为 TLS BootStrapping 签署的证书有效时间为10年,默认为1年
 
#创建 kube-controller-manager.service 服务管理文件
cat >/usr/lib/systemd/system/kube-controller-manager.service <<EOF
[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/kubernetes/kubernetes
 
[Service]
EnvironmentFile=-/opt/kubernetes/cfg/kube-controller-manager
ExecStart=/opt/kubernetes/bin/kube-controller-manager \$KUBE_CONTROLLER_MANAGER_OPTS
Restart=on-failure
 
[Install]
WantedBy=multi-user.target
EOF
 
systemctl daemon-reload
systemctl enable kube-controller-manager
systemctl restart kube-controller-manager
==========================================================
./controller-manager.sh 127.0.0.1
 
3.查看节点状态
kubectl get cs

 

六、部署 Worker Node 组件(kubelet、kube-proxy)

1、在 master01 节点上操作,把 kubelet、kube-proxy 拷贝到 node 节点  

1
2
3
cd /opt/k8s/kubernetes/server/bin
scp kubelet kube-proxy root@192.168.142.4:/opt/kubernetes/bin/
scp kubelet kube-proxy root@192.168.142.5:/opt/kubernetes/bin/

 

2、在 node01 节点上操作  

1
2
3
上传 node.zip 到 /opt 目录中,解压 node.zip 压缩包,获得kubelet.sh、proxy.sh
cd /opt/
unzip node.zip

 

3、在 master01 节点上操作  

(1)创建用于生成kubelet的配置文件的目录  

1
mkdir /opt/k8s/kubeconfig

 

 

 

 

(2)上传 kubeconfig.sh 文件到 /opt/k8s/kubeconfig 目录中  

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
#kubeconfig.sh文件包含集群参数(CA证书、API Server地址),客户端参数(上面生成的证书和私钥),集群context上下文参数(集群名称、用户名)。Kubenetes组件(如kubelet、kube-proxy) 通过启动时指定不同的kubeconfig文件可以切换到不同的集群,连接到apiserver
cd /opt/k8s/kubeconfig
vim kubeconfig.sh
==========================================================
#!/bin/bash
#example: kubeconfig 192.168.142.3 /opt/k8s/k8s-cert/
#创建bootstrap.kubeconfig文件
#该文件中内置了 token.csv 中用户的 Token,以及 apiserver CA 证书;kubelet 首次启动会加载>此文件,使用 apiserver CA 证书建立与 apiserver 的 TLS 通讯,使用其中的用户 Token 作为身份
标识向 apiserver 发起 CSR 请求
 
BOOTSTRAP_TOKEN=$(awk -F ',' '{print $1}' /opt/kubernetes/cfg/token.csv)
APISERVER=$1
SSL_DIR=$2
 
export KUBE_APISERVER="https://$APISERVER:6443"
 
# 设置集群参数
kubectl config set-cluster kubernetes \
  --certificate-authority=$SSL_DIR/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=bootstrap.kubeconfig
#--embed-certs=true:表示将ca.pem证书写入到生成的bootstrap.kubeconfig文件中
 
# 设置客户端认证参数,kubelet 使用 bootstrap token 认证
kubectl config set-credentials kubelet-bootstrap \
  --token=${BOOTSTRAP_TOKEN} \
  --kubeconfig=bootstrap.kubeconfig
 
# 设置上下文参数
kubectl config set-context default \
  --cluster=kubernetes \
  --user=kubelet-bootstrap \
  --kubeconfig=bootstrap.kubeconfig
 
# 使用上下文参数生成 bootstrap.kubeconfig 文件
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
 
#----------------------
 
#创建kube-proxy.kubeconfig文件
# 设置集群参数
kubectl config set-cluster kubernetes \
  --certificate-authority=$SSL_DIR/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=kube-proxy.kubeconfig
 
# 设置客户端认证参数,kube-proxy 使用 TLS 证书认证
kubectl config set-credentials kube-proxy \
  --client-certificate=$SSL_DIR/kube-proxy.pem \
  --client-key=$SSL_DIR/kube-proxy-key.pem \
  --embed-certs=true \
  --kubeconfig=kube-proxy.kubeconfig
# 设置上下文参数
kubectl config set-context default \
  --cluster=kubernetes \
  --user=kube-proxy \
  --kubeconfig=kube-proxy.kubeconfig
 
# 使用上下文参数生成 kube-proxy.kubeconfig 文件
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
==========================================================
chmod +x kubeconfig.sh

 

(3)执行脚本生成kubelet的配置文件

1
2
cd /opt/k8a/kubeconfig
./kubeconfig.sh 192.168.142.3 /opt/k8s/k8s-cert/

 

(4)把配置文件bootstrap.kubeconfig、kube-proxy.kubeconfig拷贝到node节点

1
2
3
cd /opt/k8s/kubeconfig
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.142.4:/opt/kubernetes/cfg/
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.142.5:/opt/kubernetes/cfg/

 

(5)RBAC授权

1
2
3
4
5
6
7
8
9
10
11
12
13
RBAC授权,将预设用户kubelet-bootatrap 与内置的ClusterRole system:node-bootatrapper 绑定到一起,使其能够发起CSR请求
 
命令:kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap
----------------------------------------------------------
kubelet采用TLS Bootstrapping 机制,自 动完成到kube -apiserver的注册,在node节点量较大或者后期自动扩容时非常有用。
Master apiserver 启用TLS 认证后,node 节点kubelet 组件想要加入集群,必须使用CA签发的有效证书才能与apiserver 通信,当node节点很多时,签署证书是一件很繁琐的事情。因此Kubernetes 引入了TLS bootstraping 机制来自动颁发客户端证书,kubelet会以一个低权限用户自动向apiserver 申请证书,kubelet 的证书由apiserver 动态签署。
 
kubelet首次启动通过加载bootstrap.kubeconfig中的用户Token 和apiserver CA证书发起首次CSR请求,这个Token被预先内置在apiserver 节点的token.csv 中,其身份为kubelet-bootstrap 用户和system: kubelet- bootstrap用户组:想要首次CSR请求能成功(即不会被apiserver 401拒绝),则需要先创建一个ClusterRoleBinding, 将kubelet-bootstrap 用户和system:node - bootstrapper内置ClusterRole 绑定(通过kubectl get clusterroles 可查询),使其能够发起CSR认证请求。
 
TLS bootstrapping 时的证书实际是由kube-controller-manager组件来签署的,也就是说证书有效期是kube-controller-manager组件控制的; kube-controller-manager 组件提供了一个--experimental-cluster-signing-duration
参数来设置签署的证书有效时间:默认为8760h0m0s, 将其改为87600h0m0s, 即10年后再进行TLS bootstrapping 签署证书即可。
 
也就是说kubelet 首次访问API Server 时,是使用token 做认证,通过后,Controller Manager 会为kubelet生成一个证书,以后的访问都是用证书做认证了。

 

(6)查看角色和已授权的角色

1
2
3
4
5
//查看角色:
kubectl get clusterroles | grep system:node-bootstrapper
 
//查看已授权的角色:
kubectl get clusterrolebinding

 

4、 在node1节点上操作

(1)使用kubelet.sh脚本启动kubelet服务

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
cd /opt/
vim kubelet.sh
==========================================================
#!/bin/bash
 
NODE_ADDRESS=$1
DNS_SERVER_IP=${2:-"10.0.0.2"}
 
#创建 kubelet 启动参数配置文件
cat >/opt/kubernetes/cfg/kubelet <<EOF
KUBELET_OPTS="--logtostderr=true \\
--v=4 \\
--hostname-override=${NODE_ADDRESS} \\
--kubeconfig=/opt/kubernetes/cfg/kubelet.kubeconfig \\
--bootstrap-kubeconfig=/opt/kubernetes/cfg/bootstrap.kubeconfig \\
--config=/opt/kubernetes/cfg/kubelet.config \\
--cert-dir=/opt/kubernetes/ssl \\
--pod-infra-container-image=registry.cn-hangzhou.aliyuncs.com/google-containers/pause-amd64:3.0"
EOF
 
#--hostname-override:指定kubelet节点在集群中显示的主机名或IP地址,默认使用主机hostname;kube-proxy和kubelet的此项参数设置必须完全一致
#--kubeconfig:指定kubelet.kubeconfig文件位置,用于如何连接到apiserver,里面含有kubelet证书,master授权完成后会在node节点上生成 kubelet.kubeconfig 文件
#--bootstrap-kubeconfig:指定连接 apiserver 的 bootstrap.kubeconfig 文件
#--config:指定kubelet配置文件的路径,启动kubelet时将从此文件加载其配置
#--cert-dir:指定master颁发的客户端证书和密钥保存位置
#--pod-infra-container-image:指定Pod基础容器(Pause容器)的镜像。Pod启动的时候都>会启动一个这样的容器,每个pod之间相互通信需要Pause的支持,启动Pause需要Pause基础镜像
 
#----------------------
#创建kubelet配置文件(该文件实际上就是一个yml文件,语法非常严格,不能出现tab键,冒
号后面必须要有空格,每行结尾也不能有空格)
cat >/opt/kubernetes/cfg/kubelet.config <<EOF
kind: KubeletConfiguration
apiVersion: kubelet.config.k8s.io/v1beta1
address: ${NODE_ADDRESS}
port: 10250
readOnlyPort: 10255
cgroupDriver: cgroupfs
clusterDNS:
- ${DNS_SERVER_IP}
clusterDomain: cluster.local.
failSwapOn: false
authentication:
  anonymous:
    enabled: true
EOF
 
#PS:当命令行参数与此配置文件(kubelet.config)有相同的值时,就会覆盖配置文件中的>该值。
 
 
#----------------------
#创建 kubelet.service 服务管理文件
cat >/usr/lib/systemd/system/kubelet.service <<EOF
[Unit]
Description=Kubernetes Kubelet
After=docker.service
Requires=docker.service
 
[Service]
EnvironmentFile=/opt/kubernetes/cfg/kubelet
ExecStart=/opt/kubernetes/bin/kubelet \$KUBELET_OPTS
Restart=on-failure
KillMode=process
 
[Install]
WantedBy=multi-user.target
EOF
 
systemctl daemon-reload
systemctl enable kubelet
systemctl restart kubelet
==========================================================
chmod +x kubelet.sh
./kubelet.sh 192.168.142.4

 

(2)检查kubelet服务启动和有无生成证书

1
2
3
4
1.检查kubelet服务启动
ps aux | grep kubelet
2.此时还没有生成证书
ls /opt/kubernetes/ssl/

 

5、在master1节点上操作

(1)检查到node1节点的kubelet发起的CSR请求

1
2
#Pending表示等待集群给该节点签发证书
命令:kubectl get csr

 

(2)通过CSR请求

1
2
3
4
5
命令:kubectl certificate approve 具体NAME
 
kubectl certificate approve node-csr-XQ0pA95t07BLVsdL5sbkbldOqCCDJQ7sFlEYUibBZvI
 
kubectl get csr #再次查看CSR请求状态,Approved, Issued表示已授权CSR请求并签发证书

 

(3)查看群集节点状态,成功加入node1节点

1
kubectl get nodes

  

6、在切回node1节点上操作

(1)查看有无生成证书和kubelet.kubeconfig文件

1
2
ls /opt/kubernetes/cfg/kubelet.kubeconfig
ls /opt/kubernetes/ssl/

  

(2)加载ip_vs模块

1
for in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i;/sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

 

(3)使用proxy.sh脚本启动proxy服务

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
cd /opt/
vim proxy.sh
==========================================================
#!/bin/bash
 
NODE_ADDRESS=$1
 
#创建 kube-proxy 启动参数配置文件
cat >/opt/kubernetes/cfg/kube-proxy <<EOF
KUBE_PROXY_OPTS="--logtostderr=true \\
--v=4 \\
--hostname-override=${NODE_ADDRESS} \\
--cluster-cidr=172.17.0.0/16 \\
--proxy-mode=ipvs \\
--kubeconfig=/opt/kubernetes/cfg/kube-proxy.kubeconfig"
EOF
 
#--hostnameOverride: 参数值必须与 kubelet 的值一致,否则 kube-proxy 启动后会找不到
该 Node,从而不会创建任何 ipvs 规则
#--cluster-cidr:指定 Pod 网络使用的聚合网段,Pod 使用的网段和 apiserver 中指定的 service 的 cluster ip 网段不是同一个网段。 kube-proxy 根据 --cluster-cidr 判断集群
内部和外部流量,指定 --cluster-cidr 选项后 kube-proxy 才会对访问 Service IP 的请求
做 SNAT,即来自非 Pod 网络的流量被当成外部流量,访问 Service 时需要做 SNAT。
#--proxy-mode:指定流量调度模式为 ipvs 模式
#--kubeconfig: 指定连接 apiserver 的 kubeconfig 文件 
 
#----------------------
#创建 kube-proxy.service 服务管理文件
cat >/usr/lib/systemd/system/kube-proxy.service <<EOF
[Unit]
Description=Kubernetes Proxy
After=network.target
 
[Service]
EnvironmentFile=-/opt/kubernetes/cfg/kube-proxy
ExecStart=/opt/kubernetes/bin/kube-proxy \$KUBE_PROXY_OPTS
Restart=on-failure
 
[Install]
WantedBy=multi-user.target
EOF
 
systemctl daemon-reload
systemctl enable kube-proxy
systemctl restart kube-proxy
==========================================================
chmod +x proxy.sh
./proxy.sh 192.168.142.4

 

7、node2节点部署

(1)在node1节点上将kubelet.sh、proxy.sh文件拷贝到node2节点  

1
cd /opt/scp kubelet.sh proxy.sh root@192.168.142.5:/opt/

 

(2)使用kubelet.sh脚本启动kubelet服务  

1
2
3
cd /opt/
chmod +x kubelet.sh
./kubelet.sh 192.168.142.5

 

(3).在master1节点上操作,检查到node2节点的kubelet 发起的CSR请求,Pending 表示等待集群给该节点签发证书.  

1
kubectl get csr

 

(4)通过CSR请求 

1
2
3
kubectl certificate approve node-csr-rVfBg2MWaG7haDFaAXpCn8_GxWbMuvXSHkNBLrmUEN0
 
kubectl get csr  #再次查看CSR请求状态,Approved, Issued表示已授权CSR请求并签发证书

 

(5)查看群集节点状态,成功加入node2节点  

1
kubectl get nodes

 

(6)在node2节点加载ip_vs模块  

1
for in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F  filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

 

(7)使用proxy.sh脚本启动proxy服务  

1
2
3
4
5
cd /opt/
chmod +x proxy.sh
./proxy.sh 192.168.142.5
 
systemctl status kube-proxy.service

 

8、创建pod测试

1
2
3
4
5
6
7
8
9
10
11
================在master01主节点创建pod===================
1.创建nginx的pod
kubectl create deployment nginx --image=nginx
2.获取所有创建的pod
kubectl get pod
3.查看某个pod
kubectl describe pod +具体pod名字
4..查看具体某个pod
kubectl get pod -o wide
================在node1节点上测试pod的ip==================
命令:curl pod的ip

 

9、编写admin.sh脚本使得k8s具有管理员权限

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
vim admin.sh    #在主节点上编写
==========================================================
#!/bin/bash
mkdir /root/.kube
KUBE_CONFIG="/root/.kube/config"
KUBE_APISERVER="https://192.168.142.3:6443"
 
cd /opt/k8s/k8s-cert/
 
kubectl config set-cluster kubernetes \
  --certificate-authority=/opt/kubernetes/ssl/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=${KUBE_CONFIG}
kubectl config set-credentials cluster-admin \
  --client-certificate=./admin.pem \
  --client-key=./admin-key.pem \
  --embed-certs=true \
  --kubeconfig=${KUBE_CONFIG}
kubectl config set-context default \
  --cluster=kubernetes \
  --user=cluster-admin \
  --kubeconfig=${KUBE_CONFIG}
kubectl config use-context default --kubeconfig=${KUBE_CONFIG}
=========================================================
chmod +x admin.sh
./admin.sh

posted on 2023-02-15 15:51  知趣。  阅读(62)  评论(0编辑  收藏  举报