golang1.19.7源码启动k8s1.26.7 apiserver

最新推荐文章于 2024-07-25 00:42:53 发布
最新推荐文章于 2024-07-25 00:42:53 发布
阅读量169 收藏
点赞数
文章标签: go1.19 kubernetes 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Drosssse/article/details/132621506
版权

源码启动k8s1.26.7 apiserver

github地址

https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.26.7.tar.gz

本机说明

  • 新装的 ubuntu 22.04
  • golang 1.19
  • k8s 1.26.7
  • 注意,golang版本与k8s的go.mod版本需要一致,这里可以使用gvm进行切换,因为我自己是golang1.19.7,所以我就没有配置gvm

一 基础环境准备

设置 安全证书

更换apt镜像源

 sed -i "s/archive.ubuntu.com/mirrors.aliyun.com/g" /etc/apt/sources.list
 apt-get update
 apt-get install lrzsz net-tools

1.1 下载ssl生成命令

mkdir -p /data/k8s-work		#统一软件的存放位置
cd /data/k8s-work
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl*
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

1.2 生成CA文件

cd /data/k8s-work
cat > ca-csr.json <<"EOF"
{
  "CN": "kubernetes",
  "key": {
      "algo": "rsa",
      "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "kubemsb",
      "OU": "CN"
    }
  ],
  "ca": {
          "expiry": "87600h"
  }
}
EOF

# 创建ca证书
cfssl gencert -initca ca-csr.json | cfssljson -bare ca

# 配置ca证书策略
cfssl print-defaults config > ca-config.json

cat > ca-config.json <<"EOF"
{
  "signing": {
      "default": {
          "expiry": "87600h"
        },
      "profiles": {
          "kubernetes": {
              "usages": [
                  "signing",
                  "key encipherment",
                  "server auth",
                  "client auth"
              ],
              "expiry": "87600h"
          }
      }
  }
}
EOF

1.3 生成ETCD的证书文件

# 配置etcd请求文件 本机ip 192.168.44.130
cat > etcd-csr.json <<"EOF"
{
  "CN": "etcd",
  "hosts": [
    "127.0.0.1",
    "192.168.44.130"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [{
    "C": "CN",
    "ST": "Beijing",
    "L": "Beijing",
    "O": "kubemsb",
    "OU": "CN"
  }]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes etcd-csr.json | cfssljson  -bare etcd

1.4 生成kube-apiserver证书

mkdir -p /etc/kubernetes/        
mkdir -p /etc/kubernetes/ssl     
mkdir -p /var/log/kubernetes 

cat > kube-apiserver-csr.json << "EOF"
{
"CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "192.168.44.130",
    "10.96.0.1",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "kubemsb",
      "OU": "CN"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-apiserver-csr.json | cfssljson -bare kube-apiserver

token

cat > token.csv << EOF
$(head -c 16 /dev/urandom | od -An -t x | tr -d ' '),kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

说明:
创建TLS机制所需TOKEN
TLS Bootstraping:Master apiserver启用TLS认证后,Node节点kubelet和kube-proxy与kube-apiserver进行通信,必须使用CA签发的有效证书才可以,当Node节点很多时,这种客户端证书颁发需要大量工作,同样也会增加集群扩展复杂度。为了简化流程,Kubernetes引入了TLS bootstraping机制来自动颁发客户端证书,kubelet会以一个低权限用户自动向apiserver申请证书,kubelet的证书由apiserver动态签署。所以强烈建议在Node上使用这种方式,目前主要用于kubelet,kube-proxy还是由我们统一颁发一个证书。

复制api-server文件至指定位置

cd /data/k8s-work/
cp ca*.pem /etc/kubernetes/ssl/
cp kube-apiserver*.pem /etc/kubernetes/ssl/
cp token.csv /etc/kubernetes/

二 软件部署

2.1 Golang 1.19安装

wget https://studygolang.com/dl/golang/go1.19.7.linux-amd64.tar.gz
tar -C /usr/local -xzf go1.19.7.linux-amd64.tar.gz

vim /etc/profile

export PATH=$PATH:/usr/local/go/bin
export GO111MODULE=on
export GOPROXY=https://goproxy.cn,direct
export PATH=$PATH:/root/go/bin


source /etc/profile

go version

2.2 etcd单机部署

wget https://github.com/etcd-io/etcd/releases/download/v3.5.2/etcd-v3.5.2-linux-amd64.tar.gz
tar -xvf etcd-v3.5.2-linux-amd64.tar.gz
cp -p etcd-v3.5.2-linux-amd64/etcd* /usr/local/bin/
mkdir /etc/etcd

mkdir -p /etc/etcd/ssl
mkdir -p /var/lib/etcd/default.etcd
cd /data/k8s-work
cp ca*.pem /etc/etcd/ssl
cp etcd*.pem /etc/etcd/ssl

mkdir -p /etc/etcd
mkdir -p /etc/etcd/ssl
mkdir -p /var/lib/etcd/default.etcd


cat > /etc/etcd/etcd.conf << "eof"
#[Member]
ETCD_NAME="default"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://127.0.0.1:2380"
ETCD_LISTEN_CLIENT_URLS="https://127.0.0.1:2379"
eof

cat > /etc/systemd/system/etcd.service << "EOF"
[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target

[Service]
Type=notify
EnvironmentFile=-/etc/etcd/etcd.conf
WorkingDirectory=/var/lib/etcd/
ExecStart=/usr/local/bin/etcd \
  --cert-file=/etc/etcd/ssl/etcd.pem \
  --key-file=/etc/etcd/ssl/etcd-key.pem \
  --trusted-ca-file=/etc/etcd/ssl/ca.pem \
  --peer-cert-file=/etc/etcd/ssl/etcd.pem \
  --peer-key-file=/etc/etcd/ssl/etcd-key.pem \
  --peer-trusted-ca-file=/etc/etcd/ssl/ca.pem \
  --advertise-client-urls=https://127.0.0.1:2380 \
  --peer-client-cert-auth \
  --client-cert-auth
Restart=on-failure
RestartSec=5
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload
systemctl enable --now etcd.service
systemctl status etcd



# 检查服务状态
/usr/local/bin/etcdctl --write-out=table --cacert=/etc/etcd/ssl/ca.pem --cert=/etc/etcd/ssl/etcd.pem --key=/etc/etcd/ssl/etcd-key.pem --endpoints=https://127.0.0.1:2379 endpoint health

2.3 kubectl安装

wget https://dl.k8s.io/release/v1.28.1/bin/linux/amd64/kubectl
chmod +x kubectl
mv kubectl /usr/local/bin

2.4 kube-apiserver启动

cd /usr/local
wget https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.26.7.tar.gz
tar -xf kubernetes-1.26.7.tar.gz 

# 安装依赖
cd /usr/local/kubernetes-1.26.7/
go mod tidy

# 启动apiserver.go
cd /usr/local/kubernetes-1.26.7/cmd/kube-apiserver

# 这里的ip地址就是本机的ip

go run apiserver.go --anonymous-auth=false \
  --bind-address=192.168.44.130 \
  --advertise-address=192.168.44.130 \
  --authorization-mode=Node,RBAC \
  --runtime-config=api/all=true \
  --enable-bootstrap-token-auth \
  --service-cluster-ip-range=10.96.0.0/16 \
  --token-auth-file=/etc/kubernetes/token.csv \
  --service-node-port-range=30000-32767 \
  --tls-cert-file=/etc/kubernetes/ssl/kube-apiserver.pem  \
  --tls-private-key-file=/etc/kubernetes/ssl/kube-apiserver-key.pem \
  --client-ca-file=/etc/kubernetes/ssl/ca.pem \
  --kubelet-client-certificate=/etc/kubernetes/ssl/kube-apiserver.pem \
  --kubelet-client-key=/etc/kubernetes/ssl/kube-apiserver-key.pem \
  --service-account-key-file=/etc/kubernetes/ssl/ca-key.pem \
  --service-account-signing-key-file=/etc/kubernetes/ssl/ca-key.pem  \
  --service-account-issuer=api \
  --etcd-cafile=/etc/etcd/ssl/ca.pem \
  --etcd-certfile=/etc/etcd/ssl/etcd.pem \
  --etcd-keyfile=/etc/etcd/ssl/etcd-key.pem \
  --etcd-servers=https://127.0.0.1:2379 \
  --allow-privileged=true \
  --apiserver-count=3 \
  --audit-log-maxage=30 \
  --audit-log-maxbackup=3 \
  --audit-log-maxsize=100 \
  --audit-log-path=/var/log/kube-apiserver-audit.log \
  --event-ttl=1h \
  --v=4

//TODO

这样的情况下,已经可以正常访问了,但是如何通过kubectl进行控制,还待继续研究

测试

curl https://192.168.44.130:6443/apis/discovery.k8s.io/v1/namespaces/default/endpointslices/kubernetes --insecure

2.5 生成kubeconfig配置文件

kubectl config set-cluster kubernetes --certificate-authority=ca.pem --embed-certs=true --server=https://192.168.44.130:6443 --kubeconfig=kube.config

kubectl config set-credentials admin --client-certificate=admin.pem --client-key=admin-key.pem --embed-certs=true --kubeconfig=kube.config

kubectl config set-context kubernetes --cluster=kubernetes --user=admin --kubeconfig=kube.config

kubectl config use-context kubernetes --kubeconfig=kube.config


mkdir ~/.kube
cp kube.config ~/.kube/config
kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes --kubeconfig=/root/.kube/config
jcrose2580
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
go1.19.windows-amd64.msi
08-10
go1.19.windows-amd64.msi
极光推送 Server Golang SDK.rar
06-05
统一推送服务标准接口 统一推送服务(Unified Push Service,简称 UPS)技术标准,旨在为国内的消息推送服务建立统一的标准,为终端用户提供更好的手机使用体验,为应用开发者更好的解决消息推送需求。...
K8S APIServer依赖的go-restful WebService框架的简单使用
Go中国
09-17 1318
K8SAPIServer 的代码中,依赖了一个叫做 go-restful 的库来构建 HTTP 的 API。 在学习 K8S 的代码过程中,我们要对这个库做些了...
[golang]-golang通过api创建jumpserver用户
爷来辣的博客
02-19 1961
导语:想用自己抠脚的代码水平简化一下自己的工作。 一共4种方式,以下是用了Private Token, 因为用access key我这提示报错虽然能跑,但是看着不舒服,菜狗暂时没找到问题。 Session 登录后可以直接使用 session_id 作为认证方式 Token 获取一次性 Token,该 Token 有有效期, 过期作废 Private Token 永久 Token Access Key 对 Http Header 进行签名 创建测试的ju
go实践之apiserver搭建
程序员学编程 的专栏
12-08 2420
文章目录go实践之apiserver搭建1、配置文件读取2、数据连接3、日志初始化4、server初始化5、接口编写 go实践之apiserver搭建 本文主要记录下博主用gin搭建app server的过程,方便后续学习。web框架用的gin,日志用的zap,数据库连接用的mysql driver,配置文件读取用的是viper。整个项目的框架如下: . ├── app │ ├── comme...
Golang TLS Server、Kube-Apiserver 校验客户端证书原理
JackXuF的专栏
04-11 1279
当我们用Golang写一个TLS Server的时候,假设给Server端配置了CA证书,那么Server端一定会校验客户端的证书吗?答案是,即使我们给Server端配置了CA证书,Server端也不一定会校验客户端的证书。 看一个TLS Server端的例子: ...
Golang1.19版的改进
chszs的专栏
08-08 5102
与此同时,Go 内存模型(memory model)现在明确定义了 sync/atomic 包的行为,为实现同步算法提供了底层原子内存原语(low-level atomic memory primitives)。在前几天(8月2日)发布的 Go 1.19 中,泛型(generics)开发专注于解决社区报告的微妙问题和极端案例(corner cases)以及性能改进(在某些泛型程序中性能提升高达 20%)。该版本更新改进了最近添加的泛型,并推出了增强的内存模型。...
基于Golang和Vue的文件管理系统源码.zip
05-27
这是一个基于Golang后端和Vue.js前端开发的文件管理系统的源码包。下面将详细介绍这个系统的核心技术和实现原理。 **Golang(Go语言)** Golang是Google开发的一种静态类型、编译型、并发型、垃圾回收的编程语言。...
golang json.Marshal 特殊html字符被转义的解决方法
09-18
今天小编就为大家分享一篇golang json.Marshal 特殊html字符被转义的解决方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
下载golang.org/x包的操作方法
09-19
今天小编就为大家分享一篇下载golang.org/x包的操作方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
【爬虫】基于Go1.19的站点模板爬虫
Xiaoxin的博客
07-23 838
随着网络信息的爆炸性增长,如何从海量的网页数据中提取有价值的信息成为了一个重要的课题。Go语言以其简洁、高效、并发的特性,在网络编程、爬虫开发等领域越来越受到开发者的青睐。本文将介绍如何使用Go 1.19版本编写一个简单的站点模板爬虫,以抓取并解析指定网站的内容。
简单创建基于Go1.19的站点模板爬虫
知码客
07-21 601
这将输出页面上所有的标签内的文本。请注意,实际的爬虫可能需要处理更复杂的逻辑,比如处理JavaScript渲染的页面、处理重定向、设置请求头以模仿浏览器行为、处理反爬机制、存储抓取的数据等。此外,对于大规模的爬虫项目,可能还需要考虑并发控制和资源管理,以避免对目标网站造成过大的负担。后续再分享一个完整的项目示例。
k8s多集群管理工具kubecm
最新发布
misakivv的博客
07-25 570
k8s多集群管理工具kubecm
[k8s源码]9.workqueue
weixin_45396500的博客
07-24 1080
client-go 是一个库,提供了与 Kubernetes API 服务器交互的基础设施。它提供了诸如 Informer、Lister、ClientSet 等工具,用于监听、缓存和操作 Kubernetes 资源。而自定义控制器则利用这些工具来实现特定的业务逻辑和自动化任务。业务逻辑实现:client-go 不包含特定的业务逻辑。自定义控制器允许实现特定于您的应用程序或需求的逻辑。扩展 Kubernetes:通过自定义控制器,可以扩展 Kubernetes 的功能,处理自定义资源或实现特定的自动化任务。
K8S第一节:什么是K8S
chililopp的博客
07-23 1340
kuberbetes这词是起源于希腊语,是舵手的意思,因为k与s之间一共有8个字母,所以大家习惯称呼为K8s;它的logo是一个舵,而舵是用来操控船的;而船不就是docker吗?​当使用docker或containerd作为容器运行时,如果运行大量的容器服务,此时管理这些容器就会很麻烦,而K8S就是这么一个对容器进行统一管理的开源容器编排平台,支持自动部署、扩展和容器化应用程序;
[k8s源码]8.deltaFIFO
weixin_45396500的博客
07-24 593
DeltaFIFO: 这是一个特殊类型的队列,它结合了FIFO(先进先出)队列的特性和增量(Delta)处理的能力。这种设计提供了处理的灵活性和优化的机会,允许控制器根据实际需求选择最有效的处理策略。Resync机制会将Indexer本地存储中的资源对象同步到DeltaFIFO中,并将这些资源对象设置为Sync的操作类型。Resync函数在Reflector中定时执行,它的执行周期由NewReflector函数传入的resyncPeriod参数设定。获取资源对象(如 Pod)的变化。
K8s 核心组件——API Server
谦虚使人发胖的博客
07-23 1417
Kubernetes API ServerAPI Server)是 Kubernetes 的核心组件之一,负责暴露 Kubernetes API 给用户和客户端,接收和处理来自客户端的请求,并将其存储到 etcd 中。Kubernetes API Server 主要作用是提供 Kubernetes 各类资源对象(如 Pod、Deployment、Service等)的增、删、改、查及 Watch 等 HTTP REST 接口,是集群内各个功能模块直接数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。
k8s基本单位Pod
misakivv的博客
07-21 1178
k8s基本单位Pod
k8s 公共服务
怨行客
07-23 347
修改named.conf。修改第13行和第21行下面是 named.rfc1912 修改位置,在最后所以用cp -p 复制文件,保留权限nslookup 回车,server是看哪个dns 在起作用dns服务器要配置给所有公共服务节点和 k8s 节点就在网络文件加个DNS2就行了,网络还要重启。
golang ...
09-20
引用: Go语言是一种通过并发编程、内存回收、内存分配、编译、网络编程、函数多返回值、语言交互性和异常处理等核心特性著称的编程语言。Go语言的最大优势是执行速度和开发效率都非常出色。它是一种编译型的静态语言...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值