3.从0安装kubernetes集群-配置master节点

最新推荐文章于 2024-08-15 09:35:05 发布
最新推荐文章于 2024-08-15 09:35:05 发布
阅读量327 收藏
点赞数
分类专栏: 学习笔记 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a407625470/article/details/87931264
版权

### pod启动kube-apiserver等组件的方式

## 1.安装kube组件
mkdir -p /data/kubernetes
cp /data/kubernetes-server-linux-amd64.tar.gz /data/kubernetes/kubernetes-server-linux-amd64.tar.gz
cd /data/kubernetes
tar -xzvf kubernetes-server-linux-amd64.tar.gz
cp /data/kubernetes/kubernetes/server/bin/kubelet /usr/local/bin/kubelet
cp /data/kubernetes/kubernetes/server/bin/kubectl /usr/local/bin/kubectl
chmod +x /usr/local/bin/kubelet /usr/local/bin/kubectl

## 2.安装cni
mkdir -p /opt/cni/bin
cd /opt/cni/bin
cp /data/download/cni-plugins-amd64-v0.6.0.tgz /opt/cni/bin/cni-plugins-amd64-v0.6.0.tgz
tar -zxvf cni-plugins-amd64-v0.6.0.tgz

### 3.创建CA和Certificates
## 在这部分,将会需要生成 client 与 server 的各组件 certificates,并且替 Kubernetes admin user 生成 client 证书。
mkdir -p /etc/kubernetes/pki
cd /etc/kubernetes/pki
## 注意IP
export KUBE_APISERVER="https://192.168.162.128:6443"

## 3.1.下载ca-config.json与ca-csr.json文件,并生成 CA 密钥:
cp /data/download/ca-config.json /etc/kubernetes/pki/ca-config.json
cp /data/download/ca-csr.json /etc/kubernetes/pki/ca-csr.json
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
ls ca*.pem

## 3.2.下载apiserver-csr.json文件,并生成 kube-apiserver certificate 证书:
cp /data/download/apiserver-csr.json /etc/kubernetes/pki/apiserver-csr.json
## 注意IP
cfssl gencert \
-ca=ca.pem \
-ca-key=ca-key.pem \
-config=ca-config.json \
-hostname=10.96.0.1,192.168.162.128,127.0.0.1,kubernetes.default \
-profile=kubernetes \
apiserver-csr.json | cfssljson -bare apiserver
ls apiserver*.pem

## 3.3.下载front-proxy-ca-csr.json文件,并生成 Front proxy CA 密钥,Front proxy 主要是用在 API aggregator 上:
cp /data/download/front-proxy-ca-csr.json /etc/kubernetes/pki/front-proxy-ca-csr.json
cfssl gencert \
-initca front-proxy-ca-csr.json | cfssljson -bare front-proxy-ca
ls front-proxy-ca*.pem

## 3.4.下载front-proxy-client-csr.json文件,并生成 front-proxy-client 证书:
cp /data/download/front-proxy-client-csr.json /etc/kubernetes/pki/front-proxy-client-csr.json
cfssl gencert \
-ca=front-proxy-ca.pem \
-ca-key=front-proxy-ca-key.pem \
-config=ca-config.json \
-profile=kubernetes \
front-proxy-client-csr.json | cfssljson -bare front-proxy-client
ls front-proxy-client*.pem

## 4.由于通过手动创建 CA 方式太过繁杂,只适合少量机器,因为每次签证时都需要绑定 Node IP,
##   随机器增加会带来很多困扰,因此这边使用 TLS Bootstrapping 方式进行授权,
##   由 apiserver 自动给符合条件的 Node 发送证书来授权加入集群。主要做法是 kubelet 启动时,
##   向 kube-apiserver 传送 TLS Bootstrapping 请求,而 kube-apiserver 验证 kubelet 请求
##   的 token 是否与设定的一样,若一样就自动产生 kubelet 证书与密钥。具体作法可以参考 TLS bootstrapping。

## 4.1.首先建立一个变量来产生BOOTSTRAP_TOKEN:
cd /etc/kubernetes/pki
export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
cat <<EOF > /etc/kubernetes/BOOTSTRAP_TOKEN
${BOOTSTRAP_TOKEN}
EOF
cat <<EOF > /etc/kubernetes/token.csv
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

## 4.2.建立 bootstrap.conf 的 kubeconfig 文件
## bootstrap set-cluster
kubectl config set-cluster kubernetes \
    --certificate-authority=ca.pem \
    --embed-certs=true \
    --server=${KUBE_APISERVER} \
    --kubeconfig=../bootstrap.conf
## bootstrap set-credentials
kubectl config set-credentials kubelet-bootstrap \
    --token=${BOOTSTRAP_TOKEN} \
    --kubeconfig=../bootstrap.conf
## bootstrap set-context
kubectl config set-context default \
    --cluster=kubernetes \
    --user=kubelet-bootstrap \
   --kubeconfig=../bootstrap.conf
## bootstrap set default context
kubectl config use-context default --kubeconfig=../bootstrap.conf

## Admin certificate
## 4.3.下载admin-csr.json文件,并生成 admin certificate 证书:
cp /data/download/admin-csr.json /etc/kubernetes/pki/admin-csr.json
cfssl gencert \
-ca=ca.pem \
-ca-key=ca-key.pem \
-config=ca-config.json \
-profile=kubernetes \
admin-csr.json | cfssljson -bare admin
ls admin*.pem

## 4.4.接着通过以下指令生成名称为 admin.conf 的 kubeconfig 文件:
## admin set-cluster
kubectl config set-cluster kubernetes \
  --certificate-authority=ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=../admin.conf
## admin set-credentials
kubectl config set-credentials kubernetes-admin \
  --client-certificate=admin.pem \
  --client-key=admin-key.pem \
  --embed-certs=true \
  --kubeconfig=../admin.conf
## admin set-context
kubectl config set-context kubernetes-admin@kubernetes \
  --cluster=kubernetes \
  --user=kubernetes-admin \
  --kubeconfig=../admin.conf
## admin set default context
kubectl config use-context kubernetes-admin@kubernetes \
  --kubeconfig=../admin.conf

## Controller manager certificate
## 4.5.下载manager-csr.json文件
cp /data/download/manager-csr.json /etc/kubernetes/pki/manager-csr.json
cfssl gencert \
-ca=ca.pem \
-ca-key=ca-key.pem \
-config=ca-config.json \
-profile=kubernetes \
manager-csr.json | cfssljson -bare controller-manager
ls controller-manager*.pem

## 4.6.生成 kube-controller-manager certificate 证书:
## controller-manager set-cluster
kubectl config set-cluster kubernetes \
  --certificate-authority=ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=../controller-manager.conf

## controller-manager set-credentials
kubectl config set-credentials system:kube-controller-manager \
  --client-certificate=controller-manager.pem \
  --client-key=controller-manager-key.pem \
  --embed-certs=true \
  --kubeconfig=../controller-manager.conf

## controller-manager set-context
kubectl config set-context system:kube-controller-manager@kubernetes \
  --cluster=kubernetes \
  --user=system:kube-controller-manager \
  --kubeconfig=../controller-manager.conf

## controller-manager set default context
kubectl config use-context system:kube-controller-manager@kubernetes \
  --kubeconfig=../controller-manager.conf

## Scheduler certificate
## 4.7.下载scheduler-csr.json文件
cp /data/download/scheduler-csr.json /etc/kubernetes/pki/scheduler-csr.json
cfssl gencert \
-ca=ca.pem \
-ca-key=ca-key.pem \
-config=ca-config.json \
-profile=kubernetes \
scheduler-csr.json | cfssljson -bare scheduler
ls scheduler*.pem

## 4.8.生成 kube-scheduler certificate 证书:
## scheduler set-cluster
kubectl config set-cluster kubernetes \
  --certificate-authority=ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=../scheduler.conf

## scheduler set-credentials
kubectl config set-credentials system:kube-scheduler \
  --client-certificate=scheduler.pem \
  --client-key=scheduler-key.pem \
  --embed-certs=true \
  --kubeconfig=../scheduler.conf

## scheduler set-context
kubectl config set-context system:kube-scheduler@kubernetes \
  --cluster=kubernetes \
  --user=system:kube-scheduler \
  --kubeconfig=../scheduler.conf

##scheduler set default context
kubectl config use-context system:kube-scheduler@kubernetes \
  --kubeconfig=../scheduler.conf

## Kubelet master certificate
## 4.9.下载kubelet-csr.json文件
cp /data/download/kubelet-csr.json /etc/kubernetes/pki/kubelet-csr.json
## 注意节点名称
sed -i 's/$NODE/master1/g' kubelet-csr.json
## 注意IP
cfssl gencert \
-ca=ca.pem \
-ca-key=ca-key.pem \
-config=ca-config.json \
-hostname=master1,192.168.162.128,192.168.162.128 \
-profile=kubernetes \
kubelet-csr.json | cfssljson -bare kubelet
ls kubelet*.pem

## 4.10.生成 master node certificate 证书:
## 注意节点名称
## kubelet set-cluster
kubectl config set-cluster kubernetes \
  --certificate-authority=ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=../kubelet.conf

## kubelet set-credentials
kubectl config set-credentials system:node:master1 \
  --client-certificate=kubelet.pem \
  --client-key=kubelet-key.pem \
  --embed-certs=true \
  --kubeconfig=../kubelet.conf

## kubelet set-context
kubectl config set-context system:node:master1@kubernetes \
  --cluster=kubernetes \
  --user=system:node:master1 \
  --kubeconfig=../kubelet.conf

## kubelet set default context
kubectl config use-context system:node:master1@kubernetes \
  --kubeconfig=../kubelet.conf

### Service account key
## 4.11.Service account 不是通过 CA 进行认证,因此不要通过 CA 来做 Service account key 的检查,
## 这边建立一组 Private 与 Public 密钥提供给 Service account key 使用:
openssl genrsa -out sa.key 2048
openssl rsa -in sa.key -pubout -out sa.pub
ls sa.*

ls /etc/kubernetes/
ls /etc/kubernetes/pki


### 5.安装 Kubernetes 核心组件
## 5.1.首先下载 Kubernetes 核心组件 YAML 文件,这边我们不透过 Binary 方案来创建 Master 核心组件,
## 而是利用 Kubernetes Static Pod 来创建,因此需下载所有核心组件的Static Pod文件到/etc/kubernetes/manifests目录:
mkdir -p /etc/kubernetes/manifests
cd /etc/kubernetes/manifests
## 注意IP apiserver.yml中
for FILE in apiserver manager scheduler; do
  cp /data/download/${FILE}.yml /etc/kubernetes/manifests/${FILE}.yml
done

## 5.2.生成一个用来加密 Etcd 的 Key:
ETCD_RANDOM_KEY=`head -c 32 /dev/urandom | base64`
echo $ETCD_RANDOM_KEY
cat <<EOF > /etc/kubernetes/encryption.yml
kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: ${ETCD_RANDOM_KEY}
      - identity: {}
EOF

## 5.3.在/etc/kubernetes/目录下,创建audit-policy.yml的进阶审核策略 YAML 文件:
cat <<EOF > /etc/kubernetes/audit-policy.yml
apiVersion: audit.k8s.io/v1beta1
kind: Policy
rules:
- level: Metadata
EOF

## 5.4.下载kubelet.service相关文件来管理 kubelet:
mkdir -p /etc/systemd/system/kubelet.service.d
#10-kubelet.conf(注意此文件启动项)
cp /data/download/kubelet.service /lib/systemd/system/kubelet.service
cp /data/download/10-kubelet.conf /etc/systemd/system/kubelet.service.d/10-kubelet.conf

## 5.5.最后创建 var 存放信息,然后启动 kubelet 服务:
mkdir -p /var/lib/kubelet /var/log/kubernetes
systemctl daemon-reload
systemctl enable kubelet.service
systemctl start kubelet.service

## 5.6.完成后会需要一段时间来下载镜像文件与启动组件,可以利用该指令来查看:
#watch netstat -nltp
#tcp        0      0 127.0.0.1:10248         0.0.0.0:*               LISTEN      23012/kubelet
#tcp        0      0 127.0.0.1:10251         0.0.0.0:*               LISTEN      22305/kube-schedule
#tcp        0      0 127.0.0.1:10252         0.0.0.0:*               LISTEN      22529/kube-controll
#tcp6       0      0 :::6443                 :::*                    LISTEN      22956/kube-apiserve

## 5.7.国内无法下载谷歌镜像,需提前下载国内镜像并重命名
## 安装docker后时下载


## 6.完成后,复制 admin kubeconfig 文件,并通过简单指令验证:
cp /etc/kubernetes/admin.conf ~/.kube/config
kubectl get cs
#NAME                 STATUS    MESSAGE              ERROR
#etcd-0               Healthy   {"health": "true"}
#scheduler            Healthy   ok
#controller-manager   Healthy   ok

kubectl get node
#NAME      STATUS     ROLES     AGE       VERSION
#master1   NotReady   master    4m        v1.8.2

kubectl -n kube-system get pods
#NAME                              READY     STATUS    RESTARTS   AGE
#kube-apiserver-master1            1/1       Running   0          4m
#kube-controller-manager-master1   1/1       Running   0          4m
#kube-scheduler-master1            1/1       Running   0          4m


## 7.确认服务能够执行 logs 等指令:
kubectl -n kube-system logs -f kube-scheduler-master1
## Error from server (Forbidden): Forbidden (user=kube-apiserver, verb=get, resource=nodes, subresource=proxy) ( pods/log kube-apiserver-master1)
## 这边会发现出现 403 Forbidden 问题,这是因为 kube-apiserver user 并没有 nodes 的资源权限,属于正常。
## 由于上述权限问题,我们必需创建一个 apiserver-to-kubelet-rbac.yml 来定义权限,以供我们执行 logs、exec 等指令:
cd /etc/kubernetes/
cp /data/download/apiserver-to-kubelet-rbac.yml /etc/kubernetes/apiserver-to-kubelet-rbac.yml
kubectl apply -f apiserver-to-kubelet-rbac.yml


 

Viking_gf
关注
专栏目录
kubernetes 安装
程序员
04-03 149
1、关闭防火墙 systemctl stop firewalld systemctl disable firewalld 2、关闭selinux sed -i 's/enforcing/disabled/' /etc/selinux/config setenforce 0 3、关闭swap(内存交换,不关闭会导致k8s性能下降) swapoff -a //临时 sed -ri 's/.*swap.*/#&/' /etc/fstab //永久 4、设置hostname hostn.
Kubernetes安装
黄镇红的专栏
01-10 5932
手动安装kubernetes,应该是所有k8s入门者必会的能力
kubernetes安装详解
最新发布
呜呼哈
08-15 109
3.关闭防火墙 4.修改主机名 5.添加hosts解析 6.设置k8s内核参数 设置内核参数 加载内核模块 使内核参数生效 7.关闭系统swap 修改fstab文件,关闭swap的自动挂载。 9.安装依赖包 10.时间同步 11.安装docker-ce软件 提示:master节点不需要安装删除自带的docker 安装依赖包 安装yum源 安装docker-ce启动,并设置开机自启[安装设置好flanneld后,再启动docker] 11.安装CFSSL cfssl 三:创建CA证书
kubernetes安装
漫漫行程路
08-19 178
kubernetes安装
kubernetes-server-linux-amd64.tar.gz
08-28
4. **设置Master节点**: - 启动`kube-apiserver`,配置包括Etcd地址、证书和授权信息等。 - 启动`kube-controller-manager`,指定apiserver的地址和其他配置。 - 启动`kube-scheduler`,连接到apiserver。 5. ...
(9)二进制文件方式部署Kubernetes高可用集群----------部署master节点
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
07-06 1624
部署master节点 控制节点充当整个调度和管理的角色,k8s的Master节点包含以下组件: ※etcd:集群主数据库 ※kube-apiserver:统一的资源操作入口 ※kube-controller-manager:运行在节点上的管理控制组件 ※kube-scheduler:资源调度器根据特定的调度算法把pod生成到指定的计算节点中 上述组件均部署在192.168.0.143机...
适用于家庭实验室的3节点Kubernetes集群-快速而肮脏!
04-07
总结一下,搭建家庭实验室中的3节点Kubernetes集群涉及安装Docker,配置Kubernetes组件,包括Master和Worker节点,以及部署和管理应用。这个过程可以帮助你深入了解Kubernetes的工作原理和容器化应用的管理方式。...
Kubernetes----双master节点二进制部署
weixin_45726050的博客
05-04 1747
文章目录前言:一、双master二进制集群分析二、实验环境介绍三、实验部署3.1 搭建master2节点3.2 nginx负载均衡部署3.2.1 验证漂移地址3.3 修改node节点配置文件四、测试4.1 在master1上进行操作总结 前言: 本篇博客承接上篇单节点的环境添加一个master节点,同时添加创建了ngixn负载均衡+keepalived高可用集群,k8s单节点部署快速入口: K8...
基于CentOS 7的Kubernetes安装全过程(含附件)
02-22
基于CentOS 7的Kubernetes安装全过程(含附件) 目录如下: 第一部分:Nginx on Kubernetes应用部署 3 一、环境准备 3 1.1软硬件环境 3 1.2 网络拓扑 4 二、Kubenetes及相关组件部署 6 2.1 Docker容器及私有仓库部署 6 2.2 Kubernetes Master部署 7 2.3 Kubernetes Minion部署 9 2.4 Kubernetes UI部署与验证 11 三、Nginx on Kubernetes部署 13 3.1 Nginx部署与验证 13 Kubernetes(简称K8s)具有完备的集群管理能力,它是当前被业界广泛认可和看好的Docker分布式系统解决方案,能够实现自动化资源管理、无缝动态扩容以及跨多个数据中心的资源利用率最大化。
Kubernetes安装
我不是大牛
01-19 304
本文建议采用VIrtualBox或者VMware Workstation在本机虚拟一个64位的CentOS 7虚拟机作为学习环境,虚拟机采用NAT的网络模式一边能够连接外网,然后按照以下步骤快速安装Kubernetes。 (1)关闭CentOS自带的防火墙服务: # systemctl disable firewalld # systemctl stop firewalld (2)安装etcd和...
kubernetes安装
qq_34744592的博客
05-10 143
1、kubernetes安装 2、docker的安装 3、kubeadm的安装
一、Kubernetes安装
JackNiMaBaBa的博客
04-25 247
为了让k8s集群中的Pod之间能够正常通讯,必须安装Pod网络,Pod网络可以支持多种网络方案,当前环境采用FCalico模式。在开始初始化集群可以预先拉取k8s所需要的镜像,由于镜像都在国外无法获取,可以通过国内镜像仓库获取。kubelet: 在集群中每个节点上用来启动pod和容器。kubectl: 用来与集群通信的命令行工具。1.配置Kubernetes镜像源为阿里云。kubeadm: 初始化集群的指令。在所有节点添加主机名称解析记录。2.在每个节点安装如下软件包。
Kubernetes安装kubeadm安装k8s1.10.1)
yedongfeng_1314的博客
09-09 1296
1. 环境准备 主机名 IP 配置 k8s-master 10.0.75.36 1C 2G k8s-node1 10.0.75.37 2C 6G 不低于2台虚拟机。1台master,其余作node,操作系统...
Kubernetes(1)---安装
weixin_45931409的博客
09-10 111
yum源: [root@server12 yum.repos.d]# cat kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/ enabled=1 gpgcheck=0 39 yum install -y kubelet kubeadm kubectl 40 systemctl enable --now
Kubernetes安装教程
Jerry的博客
06-24 342
1、所有节点前置环境配置 centos 版本为 7.6 或 7.7、CPU 内核数量大于等于 2,且内存大于等于 4G hostname 不是 localhost,且不包含下划线、小数点、大写字母 任意节点都有固定的内网 IP 地址(集群机器统一内网) 任意节点上 IP 地址 可互通(无需 NAT 映射即可相互访问),且没有防火墙、安全组隔离 任意节点不会直接使用 docker run 或 docker-compose 运行容器。Pod #关闭防火墙: 或者阿里云开通安全组端口
Kubernetes(K8s) 安装(使用kubeadm安装Kubernetes集群
隔壁老瓦的专栏
02-13 528
https://www.cnblogs.com/zhizihuakai/p/12629514.html 概述:   这篇文章是为了介绍使用kubeadm安装Kubernetes集群(可以用于生产级别)。使用了Centos 7系统。 PS:   篇幅有点长,但是比较详细、比较全面。(请注意文章最后分享的word文档,可以解决DNS的问题) 一、Centos7 配置说明 1.1 Firewalld(防火墙) CentOS Linux 7 默认开起来防火墙服务(firewalld),而Kube...
手动部署Kubernetes Master节点:二进制安装步骤
Kubernetes集群中,master节点是整个系统的核心,它负责管理和调度所有工作负载。本文档主要关注master节点的部署过程,以下是关键知识点的详细说明: 1. **Kubernetes Master组件**: - **kube-apiserver**: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值