K8S二进制部署---单节点master

好想睡懒觉qwq

已于 2022-03-27 12:13:40 修改

阅读量1.7k

点赞数 1

文章标签： docker kubernetes

于 2022-03-24 17:34:15 首次发布

本文链接：https://blog.csdn.net/Csl981107/article/details/123702062

版权

一.环境准备

二.部署etcd集群

一.环境准备

　先准备3台主机，首先搭建Master单节点集群。
　因为 Master 是整个 K8S 集群的大脑，没有 Master 接下来的每一步操作都会变得不可控。

　同时我们需要在节点上同时搭建 etcd 存储集群：
　在生产环境中会使用 etcd 集群做高可用，它的数目必须是3台或3台以上的奇数台。
　etcd 存储单独部署可以节约存储，和 Master 放在一起方便内网通信节约机器。
　只要能保证内网环境稳定和服务器数量充足，一般都会单独部署。

K8S 集群 Master01:192.168.100.137：kube-apiserver、kube-controller-manager、kube-scheduler、etcd
K8S 集群 Node01:192.168.100.138：kubelet、kube-proxy、docker、flannel、etcd
K8S 集群 Node02:192.168.100.139：kubelet、kube-proxy、docker、flannel、etcd

常见的k8s部署方式

●Mini kube

Minikube是一个工具，可以在本地快速运行一个单节点微型K8s，仅用于学习预览K8s的一些特性使用
部署地址: https: / /kubernetes.io/docs/setup/minikube

●Kubeadmin

Kubeadmin也是一个工具，提供kubeadm init和kubeadm join，用于快速部署K8S集群，相对简单
https: / /kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/

●二进制安装部署

生产首选，从官方下载发行版的二进制包，手动部署每个组件和自签TLS证书，组成K8s集群，新手推荐
https: / /github.com/kubernetes/kubernetes/releases

小结：kubeadm降低部署门槛，但屏蔽了很多细节，遇到问题很难排查，如果想更容易可控，推荐使用二进制包部署kubernetes集群，虽然手动部署麻烦点，期间可以学习很多工作原理，也利于后期维护。

关闭防火墙

systemctl stop firewalld
systemctl disable firewalld

关闭selinux

setenforce 0
sed -i 's/enforcing/disabled/'  /etc/selinux/config

关闭swap

swapoff -a
sed -ri 's/.*swap.*/#&/' /etc/fstab

根据规划设置主机名

hostnamectl  set-hostname master01
hostnamectl  set-hostname node01
hostnamectl  set-hostname node02

在master添加hosts

cat >>  /etc/hosts <<EOF
192.168.100.136 master01
192.168.100.137 node01
192.168.100.138 node02

将桥接的IPv4流量传递到iptables的链

cat > /etc/sysctl.d/k8s.conf <<EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF

时间同步

yum -y install ntpdate
ntpdate time.windows.com

二.部署etcd集群

注意：这里就不在单独的服务器上部署，直接部署在各节点上，节省资源

1.etcd目前默认使用2379端口提供HTTP API服务，2380端口和peer通信(这两个端口已经被TAMA(互联网数字分配机构)官方预留给etced)。即etcd默认使用2379端口对外为客户端提供通讯，使用端口2380来进行服务器间内部通讯
2.etcd在生产环境中一般推荐集群方式部署。由于etcd的leader选举机制，要求至少为3台或以上的奇数台
3.etcd作为服务发现系统，有以下的特点:
• 简单 安装配置简单，而且提供了HTTP API进行交互，使用也很简单
• 安全: 支持SSL证书验证
• 快速: 单实例支持每秒2k+读操作
• 可靠: 采用raft算法实现分布式系统数据的可用性和一致性
==========================================================
##准备签发证书环境
CFSSL是CloudFlare公司开源的一款PKI/TLS工具。CESSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。
CFSSL使用配置文件生成证书，因此自签之前，需要生成它识别的json 格式的配置文件，CFSSL 提供了方便的命令行生成配置文件。
CFSSL用来为etcd提供TLS证书，它支持签三种类型的证书:
1、client证书，服务端连接客户端时携带的证书，用于客户端验证服务端身份，如kube-apiserver 访问etcd;
2、server证书，客户端连接服务端时携带的证书，用于服务端验证客户端身份，如etcd对外提供服务:
3、peer证书，相互之间连接时使用的证书，如etcd节点之间进行验证和通信。
这里全部都使用同一套证书认证。

1. 载证书制作工具

在 master01 节点上操作下载证书制作工具

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo 
或
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo 

chmod +x /usr/local/bin/cfssl*                       #提前下载好

最低0.47元/天解锁文章