通过二进制文件搭建k8s集群

最新推荐文章于 2022-03-18 22:10:23 发布
最新推荐文章于 2022-03-18 22:10:23 发布
阅读量352 收藏
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PlatoWG/article/details/106844043
版权

 

 

k8s 1.16 部署

一、k8s集群服务器初始化,在所有节点上运

1、 关闭firewalld selinux

systemctl stop firewalld&&systemctl disable firewalld

sed -i '/SELINUX=/s/enforcing/disabled/' /etc/selinux/config

setenforce 0

2、关闭swap

sed -i '/swap/s/^/#/' /etc/fstab

swapoff -a

3、同步时间

ntpdate domsrvbj20.hna.net

4、配置主机名,分发hosts文件,统一解析

二、通过cfssl工具制作自签证书

1、创建证书文件工作目录

mkdir -pv /TSL/etcd /TSL/k8s

2、安装cfssl证书制作工具

tar -xf cfssl.tar.gz

cp cfssl /usr/bin/cfssl

cp cfssl-certinfo /usr/bin/cfssl-certinfo

cp cfssljson /usr/bin/cfssljson

三、搭建etcd集群

在 /opt/ssl/etcd目录下准备etcd证书请求文件

CN=commonName 
OU=organizationUnit 
O=organizationName 
L=localityName 
S=stateName 
C=country
cat > ca-csr.json <<EOF
{
"CN": "etcd CA",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "Beijing",
"ST": "Beijing"
}
]
}
EOF
cat > ca-config.json <<EOF
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"www": {
"expiry": "87600h",
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
]
}
}
}
}
EOF

cat > server-csr.json <<EOF
{
"CN": "etcd",
"hosts": [
"192.168.10.20",
"192.168.10.22",
"192.168.10.23"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "BeiJing",
"ST": "BeiJing"
}
]
}
EOF

 

为etcd的ca签发证书
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server

查看生成的证书文件
 

[root@master1 cfg]# ls /k8s/etcd-cert/
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem  server.csr  server-csr.json  server-key.pem  server.pem

在3个etcd节点创建工作目录
mkdir -pv /opt/etcd/{bin,cfg,ssl}

解压etcd安装包分发相关文件到三台服务器
tar -xf etcd-v3.3.13-linux-amd64.tar.gz 
cp etcd etcdctl /opt/etcd/bin/
cp /opt/ssl/etcd/{ca,server,server-key}.pem /opt/etcd/ssl/

创建etcd配置文件

cat > /opt/etcd/cfg/etcd.conf <<EOF
#[Member]
ETCD_NAME="etcd-1" #在etcd集群中的名称
ETCD_DATA_DIR="/opt/etcd/data" #数据目录
ETCD_LISTEN_PEER_URLS="https://192.168.10.20:2380" #本机IP
ETCD_LISTEN_CLIENT_URLS="https://192.168.10.20:2379"#本机IP
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.10.20:2380"#本机IP
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.10.20:2379"#本机IP
ETCD_INITIAL_CLUSTER="etcd-1=https://192.168.10.20:2380,etcd-2=https://192.168.10.22:2380,etcd-3=https://192.168.10.23:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
EOF


创建etcds的service文件

cat > /usr/lib/systemd/system/etcd.service <<EOF
[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target

[Service]
Type=notify
EnvironmentFile=/opt/etcd/cfg/etcd.conf
ExecStart=/opt/etcd/bin/etcd --cert-file=/opt/etcd/ssl/server.pem --key-file=/opt/etcd/ssl/server-key.pem --peer-cert-file=/opt/etcd/ssl/server.pem --peer-key-file=/opt/etcd/ssl/server-key.pem --trusted-ca-file=/opt/etcd/ssl/ca.pem --peer-trusted-ca-file=/opt/etcd/ssl/ca.pem
Restart=on-failure
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target

EOF

启动并设置开机自启
systemctl start etcd&&systemctl enable

etcdetcd集群健康检查

/opt/etcd/bin/etcdctl --ca-file=/opt/etcd/ssl/ca.pem --cert-file=/opt/etcd/ssl/server.pem --key-file=/opt/etcd/ssl/server-key.pem --endpoints="https://192.168.10.20:2379,https://192.168.10.22:2379,https://192.168.10.23:2379" cluster-health

执行后查看到etcd集群为"healthly"状态

member 1778dce7e1e4850 is healthy: got healthy result from https://192.168.10.23:2379
member 22f15f5d46aec4a0 is healthy: got healthy result from https://192.168.10.22:2379
member be3fc3d5e1dfe2ce is healthy: got healthy result from https://192.168.10.20:2379
cluster is healthy

四、在所有节点上安装docker

#解压安装包
tar -xf docker-18.09.6.tgz
#拷贝二进制文件
cp /docker/* /usr/bin/
#创建service文件
vim /usr/lib/systemd/system/docker.service
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service containerd.service
Wants=network-online.target

[Service]
Type=notify
ExecStart=/usr/bin/dockerd
ExecReload=/bin/kill -s HUP $MAINPID
TimeoutSec=0
RestartSec=2
Restart=always
StartLimitBurst=3
StartLimitInterval=60s
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity
Delegate=yes
KillMode=process

[Install]
WantedBy=multi-user.target

#启动docker,并设置开机启动
systemctl start docker.service && systemctl enable docker.service

执行docker info出现如下警告

WARNING: bridge-nf-call-iptables is disabled
WARNING: bridge-nf-call-ip6tables is disabled

解决办法:

vim /etc/sysctl.conf #添加以下配置

net.ipv4.ip_forward=1
net.ipv4.tcp_tw_recycle=0
vm.swappiness=0
vm.overcommit_memory=1
vm.panic_on_oom=0
fs.inotify.max_user_watches=89100
fs.file-max=52706963
fs.nr_open=52706963
net.ipv6.conf.all.disable_ipv6=1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1


sysctl -p

 

五、搭建k8s-master


在/k8s/k8s-cert目录下生成API证书文件

生成证书的脚本文件

vim k8s-cert.sh  #运行时删除相关注释

# 编写ca证书的配置文件
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF
# 编写ca 签名证书文件
cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF
# 使用签名证书生成ca.pem、ca-key.pem文件
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

#编写apiserver的签名证书
#注意:master2节点和LB节点的IP地址是 为了之后的多master节点部署添加的
cat > server-csr.json <<EOF
{
    "CN": "kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "192.168.10.20",  //master1节点,运行时删除
      "192.168.10.21",  //master2节点,运行时删除
      "192.168.10.100",  //vip地址,运行时删除
      "192.168.10.101",  //负载调度器 (master),运行时删除
      "192.168.10.102",  //负载调度器 (backup),运行时删除
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

#使用之前的文件生成server证书
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

#编写用户证书
cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "system:masters",
      "OU": "System"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

# 编写 kube-proxy 证书
cat > kube-proxy-csr.json <<EOF
{
  "CN": "system:kube-proxy",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

查看生成的证书文件

# ls
admin.csr       admin-key.pem  ca-config.json  ca-csr.json  ca.pem       kube-proxy.csr       kube-proxy-key.pem  server-csr.json
admin-csr.json  admin.pem      ca.csr          ca-key.pem   k8s-cert.sh  kube-proxy-csr.json  kube-proxy.pem

在master上创建kubernetes工作目录

mkdir -pv /opt/kubernetes/{cfg,ssl,bin,logs}

拷贝通信证书到 /opt/kubernetes/ssl目录下

#分发k8s证书
cp ca*pem server*pem /opt/kubernetes/ssl/

解压k8s二进制文件,拷贝相关文件到制定目录

cp kubernetes/server/bin/{kube-apiserver,kube-controller-manager,kube-scheduler} /opt/kubernetes/bin/
cp /kubernetes/server/bin/kubectl /usr/bin

创建并分发token文件

#head -c 16 /dev/urandom | od -An -t x | tr -d ' ' #复制序列号写入 token.csv 中
5215984ab589158ffaf315249da4c0c9  

# vim /opt/kubernetes/cfg/token.csv #写入内容:序列号,用户名,id,角色

5215984ab589158ffaf315249da4c0c9,kubelet-bootstrap,10001,"system:kubelet-bootstrap"

创建k8s配置文件

1、创建apiserver.sh脚本,部署kube-apiserver

vim apiserver.sh

#!/bin/bash

MASTER_ADDRESS=$1
ETCD_SERVERS=$2

#在k8s工作目录里生成kube-apiserver 配置文件
cat <<EOF >/opt/kubernetes/cfg/kube-apiserver

KUBE_APISERVER_OPTS="--logtostderr=true \\
--v=4 \\
--etcd-servers=${ETCD_SERVERS} \\
--bind-address=${MASTER_ADDRESS} \\
--secure-port=6443 \\
--advertise-address=${MASTER_ADDRESS} \\
--allow-privileged=true \\
--service-cluster-ip-range=10.0.0.0/24 \\
--enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,NodeRestriction \\
--authorization-mode=RBAC,Node \\
--kubelet-https=true \\
--enable-bootstrap-token-auth \\
--token-auth-file=/opt/kubernetes/cfg/token.csv \\
--service-node-port-range=30000-50000 \\
--tls-cert-file=/opt/kubernetes/ssl/server.pem  \\
--tls-private-key-file=/opt/kubernetes/ssl/server-key.pem \\
--client-ca-file=/opt/kubernetes/ssl/ca.pem \\
--service-account-key-file=/opt/kubernetes/ssl/ca-key.pem \\
--etcd-cafile=/opt/etcd/ssl/ca.pem \\
--etcd-certfile=/opt/etcd/ssl/server.pem \\
--etcd-keyfile=/opt/etcd/ssl/server-key.pem"

EOF

#生成启动脚本
cat <<EOF >/usr/lib/systemd/system/kube-apiserver.service
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes

[Service]
EnvironmentFile=-/opt/kubernetes/cfg/kube-apiserver
ExecStart=/opt/kubernetes/bin/kube-apiserver \$KUBE_APISERVER_OPTS
Restart=on-failure

[Install]
WantedBy=multi-user.target
EOF

#启动apiserver组件
systemctl daemon-reload
systemctl enable kube-apiserver
systemctl restart kube-apiserver

运行脚本生成kube-apiserver相关文件

bash apiserver.sh 192.168.10.20 https://192.168.10.20:2379,https://192.168.10.22:2379,https://192.168.10.23:2379

查看相关监听端口是否启动

[root@master1 k8s]# netstat -natp | egrep "6443|8080"
tcp        0      0 192.168.10.20:6443      0.0.0.0:*               LISTEN      8614/kube-apiserver 
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      8614/kube-apiserver 
tcp        0      0 192.168.10.20:40278     192.168.10.20:6443      ESTABLISHED 8614/kube-apiserver 
tcp        0      0 192.168.10.20:6443      192.168.10.20:40278     ESTABLISHED 8614/kube-apiserver

2、创建scheduler.sh脚本,部署kube-scheduler

vim scheduler.sh

#!/bin/bash

MASTER_ADDRESS=$1

cat <<EOF >/opt/kubernetes/cfg/kube-scheduler

KUBE_SCHEDULER_OPTS="--logtostderr=true \\
--v=4 \\
--master=${MASTER_ADDRESS}:8080 \\
--leader-elect"

EOF

cat <<EOF >/usr/lib/systemd/system/kube-scheduler.service
[Unit]
Description=Kubernetes Scheduler
Documentation=https://github.com/kubernetes/kubernetes

[Service]
EnvironmentFile=-/opt/kubernetes/cfg/kube-scheduler
ExecStart=/opt/kubernetes/bin/kube-scheduler \$KUBE_SCHEDULER_OPTS
Restart=on-failure

[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload
systemctl enable kube-scheduler
systemctl restart kube-scheduler

运行脚本生成kube-scheduler相关文件

bash scheduler.sh 127.0.0.1

3、创建controller-manager.sh脚本,部署kube-controller-manager

vim controller-manager.sh

#!/bin/bash

MASTER_ADDRESS=$1

cat <<EOF >/opt/kubernetes/cfg/kube-controller-manager

KUBE_CONTROLLER_MANAGER_OPTS="--logtostderr=true \\
--v=4 \\
--master=${MASTER_ADDRESS}:8080 \\
--leader-elect=true \\
--address=127.0.0.1 \\
--service-cluster-ip-range=10.0.0.0/24 \\
--cluster-name=kubernetes \\
--cluster-signing-cert-file=/opt/kubernetes/ssl/ca.pem \\
--cluster-signing-key-file=/opt/kubernetes/ssl/ca-key.pem  \\
--root-ca-file=/opt/kubernetes/ssl/ca.pem \\
--service-account-private-key-file=/opt/kubernetes/ssl/ca-key.pem \\
--experimental-cluster-signing-duration=87600h0m0s"

EOF

cat <<EOF >/usr/lib/systemd/system/kube-controller-manager.service
[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/kubernetes/kubernetes

[Service]
EnvironmentFile=-/opt/kubernetes/cfg/kube-controller-manager
ExecStart=/opt/kubernetes/bin/kube-controller-manager \$KUBE_CONTROLLER_MANAGER_OPTS
Restart=on-failure

[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload
systemctl enable kube-controller-manager
systemctl restart kube-controller-manager

运行脚本生成kube-controller-manager相关文件

bash controller-manager.sh 127.0.0.1

查看集群状态

[root@master1 k8s]# kubectl get cs
NAME                 STATUS    MESSAGE             ERROR
controller-manager   Healthy   ok                  
scheduler            Healthy   ok                  
etcd-0               Healthy   {"health":"true"}   
etcd-2               Healthy   {"health":"true"}   
etcd-1               Healthy   {"health":"true"}

六、搭建k8s-nodes

1、创建工作目录

mkdir -pv /opt/kubernetes/{cfg,ssl,bin,logs}

2、拷贝kubelet kube-proxy到工作目录,相关文件通过接下k8s安装包得到

cp kubelet kube-proxy /opt/kubernetes/bin/

3、拷贝通信证书文件

cp kube-proxy-key.pem kube-proxy.pem /opt/kubernetes/ssl/

4、创建kubeconfig脚本

vim kubeconfig.sh

# 创建 TLS Bootstrapping Token
#BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
#Token与/opt/kubernetes/cfg/token.csv一致
BOOTSTRAP_TOKEN=5215984ab589158ffaf315249da4c0c9

cat > token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

#----------------------

APISERVER=$1
SSL_DIR=$2

# 创建kubelet bootstrapping kubeconfig 
export KUBE_APISERVER="https://$APISERVER:6443"

# 设置集群参数
kubectl config set-cluster kubernetes \
  --certificate-authority=$SSL_DIR/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=bootstrap.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials kubelet-bootstrap \
  --token=${BOOTSTRAP_TOKEN} \
  --kubeconfig=bootstrap.kubeconfig

# 设置上下文参数
kubectl config set-context default \
  --cluster=kubernetes \
  --user=kubelet-bootstrap \
  --kubeconfig=bootstrap.kubeconfig

# 设置默认上下文
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig

#----------------------

# 创建kube-proxy kubeconfig文件

kubectl config set-cluster kubernetes \
  --certificate-authority=$SSL_DIR/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=kube-proxy.kubeconfig

kubectl config set-credentials kube-proxy \
  --client-certificate=$SSL_DIR/kube-proxy.pem \
  --client-key=$SSL_DIR/kube-proxy-key.pem \
  --embed-certs=true \
  --kubeconfig=kube-proxy.kubeconfig

kubectl config set-context default \
  --cluster=kubernetes \
  --user=kube-proxy \
  --kubeconfig=kube-proxy.kubeconfig

kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig

5、运行脚本生成相关配置文件

bash kubeconfig 192.168.10.20 /opt/kubernetes/ssl

6、分发相关配置文件

cp bootstrap.kubeconfig kube-proxy.kubeconfig /opt/kubernetes/cfg/

7、创建 bootstrap角色赋予权限,用于连接 apiserver请求签名(重要)

kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap

8、部署kubelet组件

编写kubelet.sh脚本

#!/bin/bash

NODE_ADDRESS=$1
DNS_SERVER_IP=${2:-"10.0.0.2"}

cat <<EOF >/opt/kubernetes/cfg/kubelet

KUBELET_OPTS="--logtostderr=true \\
--v=4 \\
--hostname-override=${NODE_ADDRESS} \\
--kubeconfig=/opt/kubernetes/cfg/kubelet.kubeconfig \\
--bootstrap-kubeconfig=/opt/kubernetes/cfg/bootstrap.kubeconfig \\
--config=/opt/kubernetes/cfg/kubelet.config \\
--cert-dir=/opt/kubernetes/ssl \\
--pod-infra-container-image=registry.cn-hangzhou.aliyuncs.com/google-containers/pause-amd64:3.0"

EOF

cat <<EOF >/opt/kubernetes/cfg/kubelet.config

kind: KubeletConfiguration
apiVersion: kubelet.config.k8s.io/v1beta1
address: ${NODE_ADDRESS}
port: 10250
readOnlyPort: 10255
cgroupDriver: cgroupfs
clusterDNS:
- ${DNS_SERVER_IP} 
clusterDomain: cluster.local.
failSwapOn: false
authentication:
  anonymous:
    enabled: true
EOF

cat <<EOF >/usr/lib/systemd/system/kubelet.service
[Unit]
Description=Kubernetes Kubelet
After=docker.service
Requires=docker.service

[Service]
EnvironmentFile=/opt/kubernetes/cfg/kubelet
ExecStart=/opt/kubernetes/bin/kubelet \$KUBELET_OPTS
Restart=on-failure
KillMode=process

[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload
systemctl enable kubelet
systemctl restart kubelet

运行脚本,向master集群发送请求

bash kubelet.sh 192.168.10.22

9、部署kube-proxy组件

编写proxy.sh 脚本

vim proxy.sh

#!/bin/bash

NODE_ADDRESS=$1

cat <<EOF >/opt/kubernetes/cfg/kube-proxy

KUBE_PROXY_OPTS="--logtostderr=true \\
--v=4 \\
--hostname-override=${NODE_ADDRESS} \\
--cluster-cidr=10.0.0.0/24 \\
--proxy-mode=ipvs \\
--kubeconfig=/opt/kubernetes/cfg/kube-proxy.kubeconfig"

EOF

cat <<EOF >/usr/lib/systemd/system/kube-proxy.service
[Unit]
Description=Kubernetes Proxy
After=network.target

[Service]
EnvironmentFile=-/opt/kubernetes/cfg/kube-proxy
ExecStart=/opt/kubernetes/bin/kube-proxy \$KUBE_PROXY_OPTS
Restart=on-failure

[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload
systemctl enable kube-proxy
systemctl restart kube-proxy

在节点上操作,启动 proxy服务,并查看状态是否正常

bash proxy.sh 192.168.10.22

在master节点上,检查节点的请求

kubectl get csr
NAME                                                   AGE     SIGNERNAME                                    REQUESTOR           CONDITION
node-csr-hi3DDOtGe_-9sSAeQg0xHTd8eH2Q_unRtzsgTw8DIDA   2m42s   kubernetes.io/kube-apiserver-client-kubelet   kubelet-bootstrap   Pending

master设置同意连接请求,颁发证书,并查看加入成功

# kubectl certificate approve node-csr-hi3DDOtGe_-9sSAeQg0xHTd8eH2Q_unRtzsgTw8DIDA
certificatesigningrequest.certificates.k8s.io/node-csr-hi3DDOtGe_-9sSAeQg0xHTd8eH2Q_unRtzsgTw8DIDA approved

# kubectl get nodes
NAME            STATUS     ROLES    AGE   VERSION
192.168.10.22   NotReady   <none>   6s    v1.18.4

 

七、部署k8s-nodes网络组件 cni、coredns、flannel

 1、部署cni

mkdir /opt/cni/bin /etc/cni/net.d
tar zxvf cni-plugins-linux-amd64-v0.8.2.tgz –C /opt/cni/bin

#确保kubelet启用CNI
 echo '--network-plugin=cni' >> /opt/kubernetes/cfg/kubelet

2、通过二进制包部署flannel

将flannel使用的网络信息写入etcd

/opt/etcd/bin/etcdctl --ca-file=/opt/etcd/ssl/ca.pem --cert-file=/opt/etcd/ssl/server.pem --key-file=/opt/etcd/ssl/server-key.pem --endpoints="https://192.168.10.20:2379,https://192.168.10.22:2379,https://192.168.10.23:2379" set /coreos.com/network/config '{ "Network": "172.17.0.0/16", "Backend": {"Type": "vxlan"}}'

下载flannel二进制包
https://github.com/coreos/flannel/releases

部署与配置flannel运行以下脚本自动创建相关配置文件及启动文件

bash flannel.sh  https://192.168.10.20:2379,https://192.168.10.22:2379,https://192.168.10.23:2379 #etcd集群
cat flannel.sh 
#!/bin/bash

ETCD_ENDPOINTS=${1:-"http://127.0.0.1:2379"}

cat <<EOF >/opt/kubernetes/cfg/flanneld

FLANNEL_OPTIONS="--etcd-endpoints=${ETCD_ENDPOINTS} \
-etcd-cafile=/opt/etcd/ssl/ca.pem \
-etcd-certfile=/opt/etcd/ssl/server.pem \
-etcd-keyfile=/opt/etcd/ssl/server-key.pem"

EOF

cat <<EOF >/usr/lib/systemd/system/flanneld.service
[Unit]
Description=Flanneld overlay address etcd agent
After=network-online.target network.target
Before=docker.service

[Service]
Type=notify
EnvironmentFile=/opt/kubernetes/cfg/flanneld
ExecStart=/opt/kubernetes/bin/flanneld --ip-masq \$FLANNEL_OPTIONS
ExecStartPost=/opt/kubernetes/bin/mk-docker-opts.sh -k DOCKER_NETWORK_OPTIONS -d /run/flannel/subnet.env
Restart=on-failure

[Install]
WantedBy=multi-user.target

EOF

cat <<EOF >/usr/lib/systemd/system/docker.service

[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service
Wants=network-online.target

[Service]
Type=notify
EnvironmentFile=/run/flannel/subnet.env
ExecStart=/usr/bin/dockerd \$DOCKER_NETWORK_OPTIONS
ExecReload=/bin/kill -s HUP \$MAINPID
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
TimeoutStartSec=0
Delegate=yes
KillMode=process
Restart=on-failure
StartLimitBurst=3
StartLimitInterval=60s

[Install]
WantedBy=multi-user.target

EOF

systemctl daemon-reload
systemctl enable flanneld
systemctl restart flanneld
systemctl restart docker

检查网络是否配置成功
ps -ef|grep docker
root     23303     1  0 16:42 ?        00:00:01 /usr/bin/dockerd --bip=172.17.87.1/24 --ip-masq=false --mtu=1450
ifconfig 显示flannel与docker0在同一网段

3、设置kubelet加密访问

cat > apiserver-to-kubelet-rbac.yaml <<EOF
kind: KubeletConfiguration
apiVersion: kubelet.config.k8s.io/v1beta1
address: 0.0.0.0
port: 10250
readOnlyPort: 10255
cgroupDriver: cgroupfs
clusterDNS:
- 10.0.0.2
clusterDomain: example.com 
failSwapOn: false
authentication:
  anonymous:
    enabled: false
  webhook:
    cacheTTL: 2m0s
    enabled: true
  x509:
    clientCAFile: /opt/kubernetes/ssl/ca.pem 
authorization:
  mode: Webhook
  webhook:
    cacheAuthorizedTTL: 5m0s
    cacheUnauthorizedTTL: 30s
evictionHard:
  imagefs.available: 15%
  memory.available: 100Mi
  nodefs.available: 10%
  nodefs.inodesFree: 5%
maxOpenFiles: 1000000
maxPods: 110
EOF
kubectl apply –f apiserver-to-kubelet-rbac.yaml

 

 

 

 

 

 

PlatoWG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s二进制安装—kubelet证书过期
屈帅波的技术博客
12-25 2140
一.第一种解决方法 1.修改kube-controller-manager.service添加或者修改如下内容 –experimental-cluster-signing-duration=87600h \ 然后执行以下命令重启kube-controller-manager systemctl daemon-reload systemctl restart kube-controller-...
创建用户认证授权的 kubeconfig 文件
小云的博客
05-26 802
创建用户认证授权的 kubeconfig 文件 当我们安装好集群后,如果想要把 kubectl 命令交给用户使用,就不得不对用户的身份进行认证和对其权限做出限制。下面以创建一个 cby 用户并将其绑定到 cby 和 chenby 的 namespace 为例说明。创建生成证书配置文件 详细见:https://github.com/cby-chen/Kubernetes#2...
K8S 故障处理经验积累(网络)
热门推荐
会哭的雨@的博客
07-31 1万+
1,cni网络问题导致coredns起不来 NetworkPlugin cni failed to set up pod "coredns-5c98db65d4-fr9nk_kube-system" network: failed to set bridge addr: "cni0" already has an IP address different from 172.21.0.1/24NetworkPlugin cni failed to set up pod "coredns-5c98db65d
二进制方式搭建K8S集群
ripper821的博客
07-03 945
二进制方式搭建K8S集群 一、准备(所有机器都需要操作) 角色 IP 组件 ubuntu-server1(master) 192.168.71.11 kube-apiserver kube-controller-manager kube-scheduller etcd ubuntu-server2(node) 192.168.71.12 kubelet kube-proxy docker etcd ubuntu-server3(node) 192.168.71.13 kubelet
二进制搭建k8s集群
weixin_40502536的博客
09-11 368
1.Kubernetes概述 1.1 Kubernetes介绍 1.1.1 Kubernetes是什么及作用 Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。 Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 官网地址 https://Kubernetes.io 中文社区 https://www.kubernetes.org.cn/docs Kubernetes的目标是让部署容器化的应用简
二进制方式搭建k8s集群所需文件.zip
01-29
二进制方式搭建k8s集群所需文件.zip
二进制高可用k8s集群一键部署脚本
04-02
"二进制高可用k8s集群一键部署脚本"是为简化k8s集群搭建过程而设计的工具,它基于阿良的二进制部署文档,旨在帮助开发者和学习者快速创建一个稳定的高可用k8s集群。 首先,了解二进制部署意味着不依赖于预打包的...
二进制部署k8s高可用集群二进制-V1.20).docx
06-29
二进制方式是使用二进制文件来部署 K8s 集群,而容器方式是使用容器来部署 K8s 集群二进制方式相对简单,但需要手动配置每个组件,而容器方式可以自动化配置,但需要较高的资源占用。 2. 准备环境 在部署 K8s ...
k8s二进制文件以及docker二进制文件
03-09
如果执行成功,k8s集群就安装好了。 三、验证安装 如果提示kubectl: command not found,退出重新ssh登陆一下,环境变量生效即可 kubectl version #查看kubernetes版本 kubectl get componentstatus # 可以...
离线部署k8s_1.18.3集群(二进制方式).zip
05-06
本文将详细介绍如何通过二进制方式在Linux环境下部署k8s v1.18.3集群,同时涵盖相关组件如Docker、etcd和CNI的安装与配置。 首先,我们要准备所需的所有二进制文件,这些文件在提供的压缩包中已经包含,例如`...
k8s集群 (二进制安装方式)
bright的博客
02-25 6315
我的开源微服务前后端分离博客项目地址,欢迎各位star 觉得不错关注下博主 博主技术博客地址 欢迎大家进群,一起讨论学习 1.修改主机名 k8s-master: hostnamectl set-hostname m1 k8s-node1: hostnamectl set-hostname n1 以下都是二台服务器同时操作请按图片操作打开键盘模式 2.防火墙关闭 systemctl stop firewalld systemctl disable firewalld 3.关闭selinux sete
Kubernetes集群部署之二CA证书制作
weixin_33738555的博客
05-31 139
创建TLS证书和秘钥 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 和其它证书. 1. 下载并安装 CFSSL: [root@k8s-master ~]# cd /usr/local/src [root@k8s-master src]# wge...
K8S部署步骤:2-创建ca证书与秘钥
bingzhilingyi的博客
08-15 4059
kubernetes系统各组件需要使用TLS(SSL)证书对通信进行加密,本文档使用CloudFlare的PKI工具集cfssl 来生成Certificate Authority (CA) 证书和秘钥文件,CA是自签名的证书,用来签名后续创建的其它TLS证书。 在所有节点安装cfssl $ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd6...
2 二进制方式搭建K8S集群
Frank的博客
07-27 2043
本文介绍单Master的K8S集群搭建全过程。 1 环境要求、节点规划、配置 1.1 环境要求 操作系统:CentOS7.8_x64 (mini) 系统配置(每台虚拟机):2G内存、2个CPU、每个CPU上1个核心、20G硬盘 网络要求:每台虚拟机可访问外网,机器之间可相互访问 Docker 版本:19-ce Kubernetes 版本:1.18 1.2 节点规划 由于我只有一台笔记本电脑(WIN10,16G内存),为了在VMWare中少开启几台虚拟机,就把ETCD集群分别放到仅有的3个节点
CA证书扫盲,https讲解。
weixin_30867015的博客
03-15 867
很多关于CA证书的讲解。 1.什么是CA证书。 看过一些博客,写的比较形象具体。  ◇ 普通的介绍信   想必大伙儿都听说过介绍信的例子吧?假设 A 公司的张三先生要到 B 公司去拜访,但是 B 公司的所有人都不认识他,他咋办捏?常用的办法是带公司开的一张介绍信,在信中说:兹有张三先生前往贵公司办理业务,请给予接洽......云云。然后在信上敲上A公司的公章。   张三先生到了 B...
k8s-集群搭建的三种方式和区别,kubeadm、minikube,二进制
新林的博客
09-26 1万+
k8s-集群搭建的三种方式,目前主流的搭建k8s集群的方式有kubeadm、minikube,二进制包。kubeadm、minikube都是一个工具,用于快速搭建kubernetes集群,简化部署操作。二进制包是到官网下载二进制包,手动安装kubernetes集群。前面的两个是工具,可以快速搭建集群,也就是相当于用程序脚本帮我们装好了集群,前两者属于自动部署,简化部署操作,自动部署屏蔽了很多细节,使得对各个模块感知很少,遇到问题很难排查,如果手动安装,理解也会更全面
k8s一键安装脚本(二进制)
weixin_33937778的博客
11-29 689
安装案例:系统:Centos可以多台Master(Master不能低于3台)多台Node此案例使用三台Master两台Node,用户名root,密码均为123456 master 192.168.20.183 master 192.168.20.96 master 192.168.20.171 node 192.168.20.172 node 192.168.20.54 安装Ma...
二进制部署k8s
professorman的博客
03-18 1160
二进制部署k8sk8s的架构而言,需提前构思一下。master节点以及node节点需要的组件是什么,如何形成集群,网络如何架构和设计,数据的存储如何部署 此处即采用一种高可用架构形式即etcd的分部署部署加一个控制节点和两个工作节点,在这其中比较重要的即是etcd数据很重要,所以采用高可用etcd不多;apiserver服务的重要性,因为是集群唯一数据出入口;所以部署的时候要重视。在一个就是网络方面,把本机网络,pod网络,svc网络隔离开,不产生冲突。最后就是证书方面的问题。下面开始规划部署(此次部署

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值