基于kubeadm部署k8s集群,使用二进制文件部署的etcd节点扩容

已于 2023-04-25 16:31:41 修改
阅读量791 收藏 1
点赞数
文章标签: kubernetes etcd 运维
于 2023-04-25 10:32:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FizzX1/article/details/130359311
版权

添加新节点的思路:

  1. 使用原有etcd集群的根证书给新节点签发一个新的证书
  2. 将其他节点的etcd二进制文件、服务器启动用的service文件copy到新的服务器
  3. 修改etcd的service文件的启动配置,将配置中的证书、ip替换
  4. 保险起见备份etcd集群的数据
  5. 在原有集群执行member add指令添加新节点
  6. 启动新节点,等待加入etcd集群同步节点

查看etcd启动配置

# systemctl status etcd
etcd.service - Etcd Server
   Loaded: loaded (/etc/systemd/system/etcd.service; enabled; vendor preset: disabled)
   Active: active (running) since Tue 2023-04-25 00:59:57 CST; 8h ago
     Docs: https://github.com/coreos
 Main PID: 128800 (etcd)
    Tasks: 28
   Memory: 3.3G
   CGroup: /system.slice/etcd.service
           └─128800 /usr/local/bin/etcd --name=etcd-k8s-master-1 --cert-file=/etc/kubernetes/pki/etcd/server.crt --key-file=/etc/kubernetes/pki/etcd/server.key --peer-c...

可以在 /etc/systemd/system/etcd.service 目录下找到etcd的启动指令、配置

[root@k8s-master-1 etcd]# cat /etc/systemd/system/etcd.service
[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target
Documentation=https://github.com/coreos

[Service]
Type=notify
WorkingDirectory=/var/lib/etcd

ExecStart=/usr/local/bin/etcd \
  --name=etcd-k8s-master-1 \
  --cert-file=/etc/kubernetes/pki/etcd/server.crt \
  --key-file=/etc/kubernetes/pki/etcd/server.key \
  --peer-cert-file=/etc/kubernetes/pki/etcd/peer.crt \
  --peer-key-file=/etc/kubernetes/pki/etcd/peer.key \
  --trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt \
  --peer-trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt \
  --initial-advertise-peer-urls=https://172.18.100.27:2380 \
  --listen-peer-urls=https://172.18.100.27:2380 \
  --listen-client-urls=https://172.18.100.27:2379,http://127.0.0.1:2379 \
  --advertise-client-urls=https://172.18.100.27:2379 \
  --initial-cluster-token=etcd-cluster-token \
  --initial-cluster=etcd-k8s-master-1=https://172.18.100.27:2380,etcd-k8s-master-2=https://172.18.100.25:2380,etcd-k8s-master-3=https://172.18.100.28:2380 \
  --initial-cluster-state=new \
  --data-dir=/var/lib/etcd \
  --snapshot-count=50000 \
  --auto-compaction-retention=1 \
  --max-request-bytes=10485760 \
  --quota-backend-bytes=8589934592
Restart=always
RestartSec=15
LimitNOFILE=65536
OOMScoreAdjust=-999

[Install]
WantedBy=multi-user.target

可以看到etcd详细配置,这里添加新的etcd节点主要需要关注etcd的证书,配置中主要包括三个证书----根证书、客户端通讯用的server证书、etcd服务端之间通讯用的peer证书

签发新节点的证书

这里需要使用到cfssl指令通过根证书签发新节点server、peer证书,签发证书有以下几步:

  1. 需要定义签发证书的配置文件,主要定义每个证书的有效期、权限,这个定义文件ca-config.json文件如下:

    {
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "server": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      },
      "client": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "client auth"
        ]
      },
      "peer": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}

  2. 定义server证书server-csr.json,这个证书主要用于服务端之间通讯的

    {
    "CN": "etcd",
    "hosts": [
        "172.18.100.27",
        "172.18.100.25",
        "172.18.100.28",
        "172.18.110.201",
        "172.18.110.202"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}

  3. 定义client-csr.json

    {
    "CN": "client",
    "key": {
        "algo": "rsa",
        "size": 2048
    }
}

  4. 执行以下命令生成生成证书,放到/opt/etcd/ssl目录下(ca.pem,ca-key.pen是原etcd集群的证书拷贝到新节点执行即可)

    cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server server-csr.json | cfssljson -bare server
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=peer server-csr.json | cfssljson -bare peer
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=conf/ca-config.json -profile=client conf/client-csr.json | cfssljson -bare client

修改新节点service配置启动文件

参考原配置,主要修改ip和证书路径即可

[Unit]
Description=Etcd Server
After=network.target


[Service]
Type=notify
WorkingDirectory=/var/lib/etcd

ExecStart=/usr/local/bin/etcd \
  --name=etcd-k8s-master-4 \
  --cert-file=/opt/etcd/ssl/server.pem \
  --key-file=/opt/etcd/ssl/server-key.pem \
  --peer-cert-file=/opt/etcd/ssl/peer.pem \
  --peer-key-file=/opt/etcd/ssl/peer-key.pem \
  --trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt \
  --peer-trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt \
  --initial-advertise-peer-urls=https://172.18.110.201:2380 \
  --listen-peer-urls=https://172.18.110.201:2380  \
  --listen-client-urls=https://172.18.110.201:2379,https://127.0.0.1:2379 \
  --advertise-client-urls=https://172.18.110.201:2379 \
  --initial-cluster-token=etcd-cluster-token \
  --initial-cluster=etcd-k8s-master-1=https://172.18.100.27:2380,etcd-k8s-master-2=https://172.18.100.25:2380,etcd-k8s-master-3=https://172.18.100.28:2380,etcd-k8s-master-4=https://172.18.110.201:2380 \
  --initial-cluster-state=existing \
  --data-dir=/var/lib/etcd \
  --snapshot-count=50000 \
  --auto-compaction-retention=1 \
  --max-request-bytes=10485760
Restart=always
RestartSec=10s
LimitNOFILE=40000

[Install]
WantedBy=multi-user.target

备份etcd集群

备份 etcd 集群的数据非常重要,可以使用 etcdctl snapshot save 命令进行备份。
基本格式为:

bash
etcdctl snapshot save <db-file-name>.db

这会保存 etcd 当前的快照数据到指定的 db 文件中。我们可以通过以下方式进行 etcd 集群的数据备份:1. 停止写请求到 etcd 集群
这可以确保快照数据是一致的,不会由于写入产生脏数据。可以暂时在 apiserver 中停用 etcd 的存储管理功能。2. 在所有 etcd 节点上同时备份数据
这可以从各节点获得本地的数据快照,并基于多份快照数据恢复出整个集群的状态。3. 恢复 apiserver 对 etcd 的使用
将 apiserver 中 etcd 的数据存储管理功能重新启用。那么,在 3 节点 etcd 集群中备份数据的具体命令可以为:etcd 节点 1:

bash 
etcdctl --endpoints=https://[127.0.0.1]:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt --cert=/etc/kubernetes/pki/etcd/server.crt --key=/etc/kubernetes/pki/etcd/server.key snapshot save snapshot.db

etcd 节点 2:

bash
etcdctl --endpoints=https://[127.0.0.1]:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt --cert=/etc/kubernetes/pki/etcd/server.crt --key=/etc/kubernetes/pki/etcd/server.key snapshot save snapshot.db

etcd 节点 3:

bash
etcdctl --endpoints=https://[127.0.0.1]:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt --cert=/etc/kubernetes/pki/etcd/server.crt --key=/etc/kubernetes/pki/etcd/server.key snapshot save snapshot.db

这会在每个 etcd 节点上保存名为 snapshot.db 的数据库快照文件。
然后重新启动 apiserver 中对 etcd 的访问,恢复正常服务。
这 3 个快照文件就可以在 etcd 数据损坏时用于恢复整个集群的状态。所以,总结来说,要备份 etcd 集群的数据,需要:暂时停止 apiserver 写入 etcd
在每个 etcd 节点使用 etcdctl snapshot save 命令进行备份
恢复 apiserver 的 etcd 数据存储管理功能备份的数据文件 snapshot.db 可以用于在数据损坏时快速恢复 etcd 集群的状态。
定期进行备份可以确保 etcd 中的关键数据安全,这对集群的稳定运维非常重要。

添加etcd新节点

ETCDCTL_API=3 etcdctl --endpoints=https://172.18.100.27:2379,https://172.18.100.25:2379,https://172.18.100.28:2379,https://172.18.110.201:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt --cert=/etc/kubernetes/pki/etcd/healthcheck-client.crt --key=/etc/kubernetes/pki/etcd/healthcheck-client.key member add etcd-k8s-master-4 --peer-urls=https://172.18.110.201:2380

启动新节点服务

在新节点启动etcd服务

systemctl start etcd

APIServer配置文件中增加新添加的etcd节点

在每个master节点/etc/kubernetes/manifests下,找到kube-apiserver.yaml,添加新增的etcd节点

apiVersion: v1
kind: Pod
metadata:
  annotations:
    kubeadm.kubernetes.io/kube-apiserver.advertise-address.endpoint: 172.18.100.27:6443
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=172.18.100.27
    - --allow-privileged=true
    - --apiserver-count=3
    - --authorization-mode=Node,RBAC
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction,PodNodeSelector
    - --enable-aggregator-routing=true
    - --enable-bootstrap-token-auth=true
    - --encryption-provider-config=/etc/kubernetes/pki/secrets-encryption.yaml
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://172.18.100.27:2379,https://172.18.100.25:2379,https://172.18.100.28:2379,https://172.18.110.201:2379
    - --feature-gates=RemoveSelfLink=false
    - --insecure-port=0
    - --kubelet-certificate-authority=/etc/kubernetes/pki/ca.crt
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-https=true
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --profiling=false
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-issuer=https://kubernetes.default.svc.cluster.local
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-account-signing-key-file=/etc/kubernetes/pki/sa.key
    - --service-cluster-ip-range=192.168.0.0/16
    - --service-node-port-range=30000-32767
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    image: k8s.gcr.io/kube-apiserver:v1.20.10
    imagePullPolicy: IfNotPresent
    livenessProbe:
      failureThreshold: 8
      httpGet:
        host: 172.18.100.27
        path: /livez
        port: 6443
        scheme: HTTPS
      initialDelaySeconds: 10
      periodSeconds: 10
      timeoutSeconds: 15
    name: kube-apiserver
    readinessProbe:
      failureThreshold: 3
      httpGet:
        host: 172.18.100.27
        path: /readyz
        port: 6443
        scheme: HTTPS
      periodSeconds: 1
      timeoutSeconds: 15
    resources:
      requests:
        cpu: 250m
    startupProbe:
      failureThreshold: 24
      httpGet:
        host: 172.18.100.27
        path: /livez
        port: 6443
        scheme: HTTPS
      initialDelaySeconds: 10
      periodSeconds: 10
      timeoutSeconds: 15
    volumeMounts:
    - mountPath: /etc/ssl/certs
      name: ca-certs
      readOnly: true
    - mountPath: /etc/pki
      name: etc-pki
      readOnly: true
    - mountPath: /etc/kubernetes/pki
      name: k8s-certs
      readOnly: true
    - mountPath: /etc/localtime
      name: localtime
      readOnly: true
  hostNetwork: true
  priorityClassName: system-node-critical
  volumes:
  - hostPath:
      path: /etc/ssl/certs
      type: DirectoryOrCreate
    name: ca-certs
  - hostPath:
      path: /etc/pki
      type: DirectoryOrCreate
    name: etc-pki
  - hostPath:
      path: /etc/kubernetes/pki
      type: DirectoryOrCreate
    name: k8s-certs
  - hostPath:
      path: /etc/localtime
      type: File
    name: localtime
status: {}

Kubesphere监控面板增加etcd节点监控

$ kubectl edit cc ks-installer -n kubesphere-system
...
etcd:
    endpointIps: 172.18.100.27,172.18.100.28,172.18.100.25,172.18.110.201
    monitoring: true
    port: 2379
    tlsEnable: true
  events:
    enabled: true
  gatekeeper:
    enabled: true
...

大功告成!

FizzX1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
离线部署k8s_1.18.3集群(二进制方式).zip
05-06
离线部署k8s集群使用二进制方式
运维K8S集群部署系列之ETCD集群搭建(四)
weixin_39974140的博客
08-13 823
ETCD集群扩容和缩容 本文将介绍生产环境下如何对ETCD集群进行扩容和缩容。 新节点环境准备(node3) 下载安装包并初始化环境 mkdir /home/k8s cd /home/k8s wget https://github.com/etcd-io/etcd/releases/download/v3.3.13/etcd-v3.3.13-linux-amd64.tar.gz tar -zx...
k8s,盘他!k8s多master节点使用二进制部署实操
01-09
文章目录前言一:k8s二进制方式多节点部署1.1:环境介绍1.2:master02节点操作1.2:nginx负载均衡集群部署谢谢赏阅!如有疑问可评论区交流! 前言 一:k8s二进制方式多节点部署 要先部署节点集群,可查阅博客https://blog.csdn.net/CN_TangZheng/article/details/105853689 1.1:环境介绍 下面拓扑图还有一个harbor仓库没有说明,到时候部署在单独的一台服务器上即可 主机分配 主机名 IP地址 资源分配 部署的服务 nginx01 192.168.233.128 2G+4CPU nginx、keepal
kubeadm部署k8s只有etcd单点,etcd实例扩容
red_sky_blue的专栏
03-10 1161
kubeadm安装默认只有一个etcd实例,存在单点故障的风险。提升Kubernetes集群可用性的方法包括: 1、备份(Kubernetes探秘—etcd状态数据及其备份); 2、etcd节点和实例扩容; 3、apiserver的多节点服务和负载均衡。这里主要实验etcd节点和实例的扩容部署完后,发现etcd只有一个实例,想要扩成集群的方式 # kubectl get po -n kube-system ...
k8S中的MySQL如何扩容_Kubernetesetcd节点扩容实战技巧
weixin_36342428的博客
02-01 667
在《Kubernetes探秘-多master节点容错部署》中介绍了通过部署多个主节点来提高Kubernetes的容错能力。其中,最为关键是存储集群控制数据的etcd服务必须在多个副节点间实时同步,而kube-apiserver通过keepalived进行IP主地址的切换。在《Kubernetes探秘-etcd节点和实例扩容》中已经详细介绍了etcd节点扩容的步骤,但在实际操作中发现,必需要遵循一...
向现有etcd集群添加etcd节点
qq_40822283的博客
07-07 2126
向现有etcd集群添加etcd节点
etcd集群增加节点
小人物的博客
12-30 2808
前言:发现etcd集群同步消息延迟有点高,所以计划把etcd集群迁移到有ssd盘的节点上 1.迁移前的准备 查看etcd版本 [root@test ~]# etcdctl --version etcdctl version: 3.3.11 API version: 2 因为etcd使用的是二进制安装,所以查看etcd 二进制所在文件位置 cat /usr/lib/systemd/system/etcd.service [Unit] Description=Etcd Server After=n
CentOS7搭建etcd服务--错误排查(学习-笔录)
热门推荐
Entity_G的博客
12-25 1万+
CentOS7搭建etcd服务–错误排查(k8s学习-笔录) 今天在学习k8s集群搭建环境准备时,搭建etcd服务启动后一直显示start状态,使用systemctl status etcd.service -l 查看详细信息如下 1、错误信息 [root@hdss7-21 cfg]# systemctl status etcd.service -l ● etcd.service - Etcd Server Loaded: loaded (/etc/systemd/system/etcd.servic
k8s外接etcd更换节点
weixin_42323738的博客
03-10 508
把开始加入的两个etcd1和etcd2的member的数量在initial-cluster中跟etcd3保持一致,从而保持member一致。将老的etcd的ca.crt和ca.key同步到3个新的etcd节点,给新的etcd生成证书。创建优先于kubeadm提供的kubelet单位文件的优先级的新单位文件来覆盖服务优先级。为新的3个etcd节点生成kubeadm-config.yaml文件文件内容如下。同理,将第二个和第三个节点etcd都增加到集群当中。更新新的etcd的证书为10年。
etcd节点扩容成3节点
柠是柠檬的檬的博客
08-18 1473
etcd节点扩容成3节点
基于Centos系统使用Ansible一键部署K8S1.24.12二进制集群自动化工具
08-03
2、支持 单机、一主多从、两主多从、三主多从等四种部署架构和六种部署模式的二进制K8S离线集群,且 证书有效期为99年。 3、支持一键部署、启动、停止、检查、集群备份(etcd)、集群恢复(etcd)、集群移除等功能。...
基于Ubutntu系统使用Ansible一键部署K8S1.24.12二进制集群自动化工具
07-24
2、支持 单机、一主多从、两主多从、三主多从等四种部署架构和六种部署模式的二进制K8S离线集群,且 证书有效期为99年。 3、支持一键部署、启动、停止、检查、集群备份(etcd)、集群恢复(etcd)、集群移除等功能。...
k8s二进制文件以及docker二进制文件
03-09
这里的CLUSTER_NAME 也是elasticsearch部署文件中设置的集群名称。 #安装 flannel 执行命令: cd /etc/ansible/roles/flannel 先修改kube-flannel.yml文件 --iface 对应的是本机的网卡名称 command: [ "/...
K8s(二十三):Pod的生命周期详解
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-21 1760
🔴 K8s(二十三):Pod的生命周期详解
K8s: 控制器之ReplicaSet对象
Wang的专栏
04-23 949
pod 是一个无状态的,并且可以被任意的按需的调度,在各个work node上运行的组件。谁来控制这类调度就变得非常复杂,不可能去手工的去维护某一个pod的一个运行实例。K8s中提供了 controller 这个概念,对于副本管理来说,有两种。如果那样的话呢,它就失去了容器的概念,就会像一个虚拟机一样去运行。RS 可以独立使用,但是也可以被 Deployment 用来协调。这个说明副本控制器就是一直在工作来维持副本运行的稳定性。新建 rep-nginx.yaml。我们可以在A窗口这个监控窗口中看到。
K8s初次入门
qq_43982499的博客
04-27 881
k8s 集群主机清单事先准备所有的k8s集群主机卸载防火墙和(docker、k8s建议禁用swap)安装工具修改配置文件配置内核参数设置Tab补全功能键对master主控节安装测试系统环境主控节点初始化安装计算节点(node系列)1.先从master主机获取凭证2.对各个计算节点进行配置(是否防火墙关掉/禁用swap、安装k8s相关软件包、配置内核参数)3.逐个加入master集群通过master主机查看所有加入集群的计算节点主机。
K8s: 公有镜像中心和私有镜像中心的搭建
Wang的专栏
04-26 858
如果 hub.docker.com 在国内无法访问,可以在阿里云上创建 docker hub。在 hub.docker.com 上注册账号 (国内一般访问不了,原因不多说)找到 Create Repository 按钮就行仓库的创建。这样就在官方创建了一个仓库,比如地址为: xx/y-y。现在,我将本地的docker镜像,推送到这个仓库里。1 )在 官方docker镜像中心推送。2 )在阿里云docker镜像中心搭建。配置国内 Docker 镜像源 $为官方docker镜像中心加速。配置之后,需要重启 $
强制删除k8s中的pod
weixin_67727883的博客
04-26 190
强制删除k8s中的pod
k8s:精通 Pod 操作的关键命令
最新发布
weixin_43784341的博客
04-29 643
这些命令可以帮助你在 Kubernetes 中管理和操作 Pod,使你能够轻松地创建、查看、删除和调试 Pod,并进行其他相关操作。
二进制部署k8s集群
02-07
部署 Kubernetes 集群时,可以使用二进制文件安装。步骤大致如下: 1. 安装 etcd,这是 Kubernetes 集群的分布式键值存储。 2. 安装 kube-apiserver,kube-controller-manager 和 kube-scheduler,这些组件是 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值