k8s的安装

概念

全写：Kubernets

k8s作用：用于自动部署、拓展、管理容器化部署的应用程序。它是半开源的，核心是在谷歌里面，它的底层是由go语言开发的。可以理解成负责自动化运维管理多个容器化的应用的集群。也可以理解为容器编排框架的工具。

k8s的主流版本：1.20

假设用docerk部署了一个nginx，但没有做资源限制，如果一旦访问量增大，nginx有可能占满系统资源，就会出现内存和cpu告警，此时就可以使用自动化运维管理k8s

k8s的使用场景

1.可以多节点部署，不再是单机部署

2.可以自动完成更新和部署

3.解决了跨节点容器之间的通信问题

4.k8s有自我修复机制，使得整个容器集群可以在用户的期望状态下运行

k8s的特点

1.自我修复：在节点故障时，它会自动把该节点上的容器重新部署到其他节点；在容器启动失败时，它会自动的重新启动容器，一般会启动3次，如果3次都失败，就会认为服务不可用。在容器启动时，也会有检测机制（探针），检测容器启动是否正常。以此来确保集群内部的服务能够正常工作。

2.弹性伸缩：在一个容器占用机器的资源比较高时，k8s会自动的增加pod的数量；在资源占用下降的时候，会自动释放pod的数量。就是可以以最小的成本运行服务。

3.自动发布：默认模式是滚动发布模式。同时也可以回滚。也就是k8s在更新的时候不是一次性的更新所有，而是更新一部分，然后再更新剩余的部分。如果有问题，可以随时回滚。

4.服务发现和负载均衡：

服务发现：多个容器有一个统一的访问入口，有内部地址和统一的对外地址。会自动负载均衡所有管理的容器，无需考虑容器的ip地址。

5.存储编排：支持外挂存储，分为两种：内部挂载，用的是内部存储卷；外部挂载，可以是本地存储，也可以是公有云（阿里云、百度云、华为云等等），也可以支持网络存储：NFS，ceph。

6.集中化配置和密钥管理：k8s所有的配置可以以加密的形式保存在集群信息中，可以提高集群的安全性。

7.任务的批量处理

核心组件

架构：主从架构，也就是master slave模式，也就是我们所有的操作、管理、运维都是在主节点完成的。从节点：我们一般叫做node节点，就是工作节点，就是用来负载工作的节点。

master主组件

1.kube-apiserver

这是整个集群的大脑，每个组件之间的资源请求和调用操作都是通过apiserver完成的，就是通过api接口发送到各个组件。也就是每个组件之间都和apiserver都有一个api接口。

api接口：作用就是内部的组件和组件之间通信的接口，或者是内部调用方法（代码）的接口。

端口：应用和应用之间，客户端和服务端之间的通信。

内部之间所有资源对象的增删改查和监听也都是由apiserver来完成的，处理完之后再交给etcd进行存储。

2.etcd

它是k8s内部的存储服务，是分布式的键值存储系统，存储了k8s集群的配置和用户配置，以及集群内部服务的信息。只有apiserver可以和etcd通信（读写权限），其他组件要想往etcd存储信息或者读取信息，就必须要通过apiserver。在部署etcd时分布式必须是奇数。

3.kube-controller-manager

又叫运行管理控制器，是k8s集群当中处理常规任务的后台的线程，是k8s集群当中所有资源对象自动化控制的中心。在k8s集群当中，一个资源对应一个控制器。controller-manager就是来管理这些控制器的。

控制器

node controller 节点控制器：节点出现故障时，发现和响应

replication controller 副本控制器：我们创建资源对象时，可以选择创建的个数（pod的数量），需要保证资源对象声明的副本数和创建的数量保持一致。

endpoint controller 端点控制器：指的就是service对应的pod。service用来匹配对应的pod，同时也监听pod的变化，端点就是暴露出来用于对外访问的。

resourcequota controller 资源配额控制器：就是用来确保创建的资源对象不会超过设定的系统资源量

namespace controller  命名空间控制器：作用就是对项目上进行区分，每个命名空间都是独立的，它是用来管理命名空间的生命周期（增删改查）

4.kube-scheduler

它根据调度算法为pod选择一个合适的node节点。

node节点的资源越富裕，负载越小的node节点部署pod的排名就越高

注：以上几个都是在master主节点上完成的

node从节点组件

1.kubelet

它相当于主节点在node节点的监控器，还可以与master节点通信。会定时向apiserver报告服务在node节点上的运行情况，同时还可以接受来自master的调整措施。

kubelet负责节点上pod的生命周期（增删改查）

总结：master的指令传给kubelet，kubelet完成之后传给apiserver，apiserver把node的节点的更新信息保存到etcd

2.kube-proxy

作用是在每个node节点上实现pod的网络代理。它是service的具体载体。负责网络规划和四层负载均衡工作。它也是靠iptables和ipvs来实现服务的映射和访问。

apiserver通过监控kube-proxy来完成对pod的更新和端点的维护，把变化的结果保存在etcd。

内部服务的负载均衡是四层代理，实现内部pod的负载均衡，也就是k8s的每个节点上都有kube-proxy

内部的ip地址依靠flanner 、calico 这两个插件提供内部pod的ip地址

3.docker

是整个集群的最底层，分布式

总结

分为主节点和node节点，主节点就是核心，kube-apiserver大脑：所有的一切都要通过kube-apiserver来调用，所有的一切最终都要保存到etcd中，etcd就是保存集群信息的数据库，怎么部署都是靠kube-controller-manager，往哪里部署靠kube-scheduler。到了node节点上，kubelet负责真正部署、控制容器，跨主机网络之间通信通过kube-proxy，服务是由底层docker来启动的。

流程图

kube-apiserver先接受信息，kube-apiserver传给kube-controller-manager创建资源对象和副本数，kube-apiserver再传给kube-scheduler把pod部署到哪个node上，然后kube-apiserver再传给kubelet根据调度算法，先pull拉取镜像，然后run跑容器，kube-apiserver再传给kube-proxy网络代理和四层负载均衡，最后kubelet把创建的信息传给kube-apiserver，kube-apiserver把信息保存到etcd中。

k8s的核心概念

pod：k8s里面的最小单位，一个pod就是一个正在运行的进程。但是pod的里面包含着容器，可以是一个容器，也可以是多个容器。部署在同一pod当中的容器，它们可以共享网络、存储和计算资源。不同pod之间只能通过集群分配的ip地址进行通信。

Label：标签，它是k8s的特色管理方式，对资源对象进行分类。

简单来说就是：通过标签把pod、service 以及资源对象、控制器进行关联。

service：在集群当中，每个pod都会设定一个ip地址，可能会因为pod的消失，导致ip也随之消失，那么service就是来解决这个问题的核心概念。这个service不是服务，更像一个网关。service用于集群内部访问。

ingress：用于集群外部访问，是整个k8s集群的接入层，是整个集群的外部通信。

service是四层负载均衡，只能是ip+端口

ingress是七层转发

namespace：是资源隔离的方式，是逻辑上的隔离。项目越来越多，集群也会越来越大，此时可以通过命名空间把资源分配到各个命名空间，每个命名空间之间资源不共享，使用的是分配的资源。命名空间在集群当中是唯一的，名字不能重复。

default 是默认命名空间，不做特殊声明，所有的资源都在默认空间

kube-system 系统应用的命名空间

注：如果要查询特定的资源，一定要加上命名空间。

安装k8s

架构

master01 192.168.233.31 安装docker kubeadm kubelet kubectl flannel

node01 192.168.233.32  安装docker kubeadm kubelet kubectl flannel

node02 192.168.233.33  安装docker kubeadm kubelet kubectl flannel

安装步骤

1.三台主机同时操作

iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X   清空所有的iptables策略

sed -ri 's/.*swap.*/#&/' /etc/fstab     关闭swap交换分区

for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

加载ipvs的模块

hostnamectl set-hostname master01

hostnamectl set-hostname node01

hostnamectl set-hostname node02

vim /etc/hosts

注：这里修改主机名和映射关系可以不做

cat > /etc/sysctl.d/kubernetes.conf << EOF
#开启网桥模式，可将网桥的流量传递给iptables链
net.bridge.bridge-nf-call-ip6tables=1
net.bridge.bridge-nf-call-iptables=1
#关闭ipv6协议
net.ipv6.conf.all.disable_ipv6=1

#开启路由转发
net.ipv4.ip_forward=1
EOF

sysctl --system

2.安装docker组件：

三台主机同时操作

yum install -y yum-utils device-mapper-persistent-data lvm2 

yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 

yum install -y docker-ce-24.0.1 docker-ce-cli-24.0.1 containerd.io

mkdir /etc/docker

cat > /etc/docker/daemon.json <<EOF
{
  "registry-mirrors": ["https://hub.littlediary.cn/"],
  "exec-opts": ["native.cgroupdriver=systemd"],
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "100m"
  }
}
EOF

systemctl daemon-reload

systemctl restart docker

systemctl enable docker

docker info | grep "Cgroup Driver"   看一下是不是systemd

3.安装kubelet组件：

三台主机同时操作

yum install -y kubelet-1.20.15 kubeadm-1.20.15 kubectl-1.20.15

systemctl enable kubelet    注：所有的组件都是以pod运行的，必须要设置开机自启

kubeadm config images list --kubernetes-version 1.20.15

解释： pause是镜像，也是特殊容器，这个容器的作用就是保持pod当中其他的容器的运行。

我们创建pod，首先是拉取镜像，pod当中会有一个pause，pause会在每个pod中创建一个命名空间。pod的生命周期结束，pause容器也会退出，释放该pod的网络命名空间。

coredns：域名解析

4.在master01上操作

kubeadm init \
--apiserver-advertise-address=192.168.233.31 \
--image-repository registry.aliyuncs.com/google_containers \
--kubernetes-version=v1.20.15 \
--service-cidr=10.96.0.0/16 \
--pod-network-cidr=10.244.0.0/16 \
--token-ttl=0

注：apiserver-advertise-address是内部通信的ip地址，指向的是主，也可以用0.0.0.0表示任意主机

image-repository registry.aliyuncs.com/google_containers 指定镜像的仓库（k8s组件的仓库）

kubernetes-version=v1.20.15 k8s的版本 1.20.15

service-cidr=10.96.0.0/16   service的网段

pod-network-cidr=10.244.0.0/16  pod分配的网段，其中10.244.0.0/16是flannel的默认网段，calico

:192.168.0.0/16

token-ttl=0 表示token永不过期，默认有效期是24小时

然后复制最下面的一段话到node01和node02（根据自己的上面复制）

注：如果不知道，可以再生成 只要执行 kubeadm token create --print-join-command 

5.设置节点的kubelet

三台主机同时操作

mkdir -p $HOME/.kube

cd /etc/kubernetes/

其中admin.conf是kubeadm为集群配置的一个具有管理员权限的认证文件，apiserver需要通过admin的认证，kubelet才能和apiserver进行交互

cp -i /etc/kubernetes/admin.conf $HOME/.kube/config

chown $(id -u):$(id -g) $HOME/.kube/config

systemctl restart kubelet

回到master01主机上

kubectl edit cm kube-proxy -n=kube-system   编辑它的yaml文件   注：这里操作跟vim一样 

在下面输入 /mode

然后在mode中间添加ipvs然后保存即可

kubectl get node

kubectl get cs

检查集群的状态

vim /etc/kubernetes/manifests/kube-scheduler.yaml

vim /etc/kubernetes/manifests/kube-controller-manager.yaml

kubectl get cs

两个都要是ok

kubectl get pod -n kube-system

这里必须要1/1

systemctl status kubelet  查看kubelet是否开启

6.安装flannel网络插件

三台主机上面同时操作

拖入flannel.tar和cni-plugins-linux-amd64-v0.8.6以及kube-flannel.yml

docker load < flannel.tar

mv /opt/cni /opt/cni_bak

cd cni_bak/

mkdir -p /opt/cni/bin

cd /opt/

tar -xf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin/

在master01上面操作

kubectl apply -f kube-flannel.yml

kubectl get pod -n kube-system

kubectl get node

7.添加kubelet自动补齐功能

在master01 主机上操作

vim /etc/profile

在最后添加source <(kubectl completion bash)

source /etc/profile

kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous

8.k8s证书认证

在master01主机上操作

把update-kubeadm-cert拖入master01主机上

chmod 777 update-kubeadm-cert.sh

./update-kubeadm-cert.sh all

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep Not    查看还有多少年命令

注：以上就是k8s的基本安装

实验：资源对象

kubectl get deployments.apps 查看资源对象

deployments.apps 就是资源对象

kubectl create deployment test1 --image=nginx:1.22 --replicas=3 创建资源对象

kubectl get pod

kubectl get pod -o wide

kubectl expose deployment test1 --port=30000 --target-port=80

kubectl get svc

kubectl edit svc test1

最后的修改为

kubectl get svc

进入：

kubectl exec -it        最后加bash