配置kubernetes-etcd

最新推荐文章于 2024-04-17 15:14:07 发布
最新推荐文章于 2024-04-17 15:14:07 发布
阅读量162 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiphop321/article/details/86755521
版权

首先
要知道etcd是干什么的,他是用来保存 状态信息 的。并且是一键值对的形式来保存。
我们说kubernetes是无状态的,就是因为其中把数据都存放在etcd中。

然后
etcd、kubernetes、flannel等组件之间的通信,他们都基于一种凭证来互相信任。CA证书。

准备好要用的包

Client Binaries
https://dl.k8s.io/v1.13.1/kubernetes-client-linux-amd64.tar.gz
Server Binaries
https://dl.k8s.io/v1.13.1/kubernetes-server-linux-amd64.tar.gz
Node Binaries
https://dl.k8s.io/v1.13.1/kubernetes-node-linux-amd64.tar.gz
etcd
https://github.com/etcd-io/etcd/releases/download/v3.3.20/etcd-v3.3.20-linux-amd64.tar.gz
flannel
https://github.com/coreos/flannel/releases/download/v0.11.0/flannel-v0.11.0-linux-amd64.tar.gz

操作过程如下:
一、找个地方存文件
例如

mkdir /k8s/etcd/{bin,cfg,ssl} -p
mkdir /k8s/kubernetes/{bin,cfg,ssl} -p
mkdir /usr/lib/systemd/system -p
mkdir /data/etcd -p

这一步完成的时候我们应该可以看到这样的目录结构,先别急着告诉我,你的SSL下面没有东西,现在就来告诉你SSL里面的东西都有哪些,他们是怎么来的,用来干什么。
在这里插入图片描述
CA根证书是用签发其他证书的。
换句话说,集群中每个角色,都需要一个属于自己的证书来证明自己的“身份”,那么这么些不同的证书需要有一个“人”来颁发给不同的角色。这个“人”就是CA根证书。
现在,我们来生成CA根证书

一共需要两样东西,一个是CA密钥,一个是csr证书的签发申请。
生成CA根证书的过程可以想象成是这样一个过程:

1、csr申请文件就是一张纸,上面记录了 证书由谁颁发,颁发给谁,有效期限等信息
2、CA根密钥就是一个公章,这个公章由世界公认的机构持有,并且依靠加密技术保证了它没办法被假冒。
3、当一张记录了信息的纸,被盖上了公章,他就成了一张有效的证书了。

该怎么做呢?
有一个工具叫做cfssl,写好配置文件,直接运行命令就能生成你要的文件了。

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo
ca配置文件如下
vim /k8s/etcd/ssl/etcd-ca-config.json

或者

cat << EOF | tee etcd-ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "etcd": {
         "expiry": "87600h",
        "usages": [
            "signing",
            "key encipherment",
           "server auth",
            "client auth"
       ]
      }
    }
  }
}
EOF

在这里插入图片描述

接下来是ca的csr申请文件的配置文件
cat << EOF | tee etcd-ca-csr.json
{
    "CN": "etcd CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shenzhen",
            "ST": "Guangdong"
        }
    ]
}
EOF

在这里插入图片描述
‘CN’:etcd 会从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;

该"names"值实际上是名称对象的列表。每个名称对象应至少包含一个“C”,“L”,“O”,“OU”或“ST”值(或这些的任意组合)。

注意!!此处我们还是在配置CA根证书的csr申请,所以用到的选项比较简单,照着图中的做就能满足需要了。

但是后面再配置kubernetes的时候,这些选项会很重要,所以要记清楚了

这些值是:

“C”:国家
“L”:地区或城市(如城市或城镇名称)
“O”:组织 Organization,kube-apiserver从证书中提取该字段作为请求用户所属的组 (Group);
“OU”:组织单位,如负责拥有密钥的部门; 它也可以用于“做生意”(DBS)的名称
“ST”:州或省

有了这两个json文件(ca-config.json和ca-csr.json),我们可以开始执行如下命令

cfssl gencert -initca etcd-ca-csr.json | cfssljson -bare etcd-ca

生成三个我们需要的文件,如图

在这里插入图片描述
因为我的-bare 后面写的是capwd,生成的东西都是capwd系列,其实我本来想写ca
这里的pwd是手误,恰巧顺便解释了-bare 选项的用法。在这里插入图片描述
恭喜你获得了ca根密钥,ca根证书申请签发文件,ca根证书!

我们现在继续利用上面三件“神器”,生成etcd的server证书,同样的思路,我们需要
etcd-server的密钥,签发申请,证书本身。

可以试试换成主机名,写到证书csr里面,有待验证

cat << EOF | tee etcd-server-csr.json
{
    "CN": "etcd",
    "hosts": [
    "172.31.17.128",
    "172.31.22.133",
    "172.31.26.180"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "ShenZhen",
            "ST": "GuangDong"
        }
    ]
}
EOF

在这里插入图片描述
然后执行

cfssl gencert -ca=etcd-ca.pem -ca-key=etcd-ca-key.pem -config=etcd-ca-config.json -profile=etcd etcd-server-csr.json | cfssljson -bare etcd-server

命令解释和运行结果如图
在这里插入图片描述
到了这一步,准备工作暂告一段落。

安装etcd

绝大多数情况下etcd要高可用,也就是这里的三台etcd。
搭建澳邮生产环境的时候,由于一共给了4台服务器,
我因为对架构理解不够透彻,所以纠结要不要每一台node都安装etcd
最后查阅资料得到答案,etcd应该做独立的高可用集群,就是说我有四台node装3个etcd,5台可以选择5个etcd也可以3个etcd。

1、解压etcd,进入解压后的etcd目录,将“etcd”和“etcdctl”两个文件移动到k8s/etcd/bin下

tar -xvf etcd-v3.3.20-linux-amd64.tar.gz
cd etcd-v3.3.20-linux-amd64/
cp etcd etcdctl /k8s/etcd/bin/

2、接下来是etcd的配置文件,如图

vim /k8s/etcd/cfg/etcd.conf

在这里插入图片描述
文本范例

#[Member]
ETCD_NAME="etcd01"
ETCD_DATA_DIR="/data/etcd"
ETCD_LISTEN_PEER_URLS="https://172.31.16.198:2380"#本机ip
ETCD_LISTEN_CLIENT_URLS="https://172.31.16.198:2379"#本机ip

#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://172.31.16.198:2380"#本机ip
ETCD_ADVERTISE_CLIENT_URLS="https://172.31.16.198:2379"#本机ip
ETCD_INITIAL_CLUSTER="etcd01=https://172.31.16.198:2380,etcd02=https://172.31.30.129:2380,etcd03=https://172.31.26.6:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"

#[Security]
ETCD_CERT_FILE="/k8s/etcd/ssl/etcd-server.pem"
ETCD_KEY_FILE="/k8s/etcd/ssl/etcd-server-key.pem"
ETCD_TRUSTED_CA_FILE="/k8s/etcd/ssl/etcd-ca.pem"
ETCD_CLIENT_CERT_AUTH="true"
ETCD_PEER_CERT_FILE="/k8s/etcd/ssl/etcd-server.pem"
ETCD_PEER_KEY_FILE="/k8s/etcd/ssl/etcd-server-key.pem"
ETCD_PEER_TRUSTED_CA_FILE="/k8s/etcd/ssl/etcd-ca.pem"
ETCD_PEER_CLIENT_CERT_AUTH="true"

写完保存,然后开始写etcd的启动文件

mkdir /usr/lib/systemd/system -p

vim /usr/lib/systemd/system/etcd.service

在这里插入图片描述
文本范例:

[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target

[Service]
Type=notify
WorkingDirectory=/data/etcd/
EnvironmentFile=/k8s/etcd/cfg/etcd.conf
# set GOMAXPROCS to number of processors
ExecStart=/bin/bash -c "GOMAXPROCS=$(nproc) /k8s/etcd/bin/etcd --name=\"${ETCD_NAME}\" --data-dir=\"${ETCD_DATA_DIR}\" --listen-client-urls=\"${ETCD_LISTEN_CLIENT_URLS}\" --listen-peer-urls=\"${ETCD_LISTEN_PEER_URLS}\" --advertise-client-urls=\"${ETCD_ADVERTISE_CLIENT_URLS}\" --initial-cluster-token=\"${ETCD_INITIAL_CLUSTER_TOKEN}\" --initial-cluster=\"${ETCD_INITIAL_CLUSTER}\" --initial-cluster-state=\"${ETCD_INITIAL_CLUSTER_STATE}\" --cert-file=\"${ETCD_CERT_FILE}\" --key-file=\"${ETCD_KEY_FILE}\" --trusted-ca-file=\"${ETCD_TRUSTED_CA_FILE}\" --client-cert-auth=\"${ETCD_CLIENT_CERT_AUTH}\" --peer-cert-file=\"${ETCD_PEER_CERT_FILE}\" --peer-key-file=\"${ETCD_PEER_KEY_FILE}\" --peer-trusted-ca-file=\"${ETCD_PEER_TRUSTED_CA_FILE}\" --peer-client-cert-auth=\"${ETCD_PEER_CLIENT_CERT_AUTH}\""
Restart=on-failure
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target

部署etcd02节点(etcd03.etcd04…也是一样)

我们之前生成的证书现在派上用场了,把他们全部都复制到etcd02上
此处我们的实际情况是这样,因为我的所有相关文件都在k8s目录下
在这里插入图片描述
所以我是整个的打包然后复制给etcd,然后在etcd02上建立所需的目录,修改对应的配置文件即可。
比较简单,我就不放图了,记一下关键命令就好(证书,启动文件,配置文件,目录结构)

------------在etcd01上----------------------
scp /usr/lib/systemd/system/etcd.service 192.168.1.1:/xx/xx

etcd.service没事不用改,基本就只要改etcd.conf就好了
-------------在etcd02上---------------------
mkdir data/etcd   #这个是数据目录,配置文件有定义过,如果我们没有自己创建,他不会自己生成
tar -xvf k8s.tar.gz
cd k8s/etcd/cfg
vi etcd.conf
---要改的地方-----
ETCD_NAME=跟etcd01不一样
ETCD_LISTEN_PEER_URLS=本节点的ip+2380端口
ETCD_LISTEN_CLIENT_URLS=本节点的ip+2379端口
ETCD_INITIAL_ADVERTISE_PEER_URLS=本节点的ip+2380端口
ETCD_ADVERTISE_CLIENT_URLS=本节点的ip+2379端口
----------------所有节点都要做的-----------
systemctl daemon-reload 
systemctl enable etcd
systemctl start etcd

etcd集群部署的最后一步,检查集群健康状态

/k8s/etcd/bin/etcdctl --ca-file=/k8s/etcd/ssl/etcd-ca.pem --cert-file=/k8s/etcd/ssl/etcd-server.pem --key-file=/k8s/etcd/ssl/etcd-server-key.pem --endpoints="https://172.31.16.198:2379,https://172.31.30.129:2379,https://172.31.26.6:2379" cluster-health

结果这样就ok了
在这里插入图片描述

hiphop321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes部署-ETCD(一)
黑白企鹅
03-01 803
kubernetes部署-ETCD &amp;amp;amp;amp;amp;amp;amp;nbsp; 规划 1台controller:  10.167.130.205 2台node: 10.167.130.206,210 &amp;amp;amp;amp;amp;amp;amp;nbsp; IP地址 主机名 10.167.130.205 node 10.167.130.206 node1 10.167.130.210 node2 准备工作基础环境
Kubernetes安装 | 环境搭建 | etcd搭建
weixin_37417954的博客
09-08 2910
                      --昨夜西风凋碧树,独上高楼,望尽天涯路 环境准备 新装好三台虚拟机,系统均为Centos7.5:如何安装虚拟机 IP和K8S节点以及etcd对应关系: 为了节约资源将etcd集群和k8s放在统一服务器(建议分开) 192.168.2.207(k8s_1) k8s master节点 etcd1 192.168.2...
kubernetes 教程(一) etcd安装
chengfangang的专栏
07-17 1567
Kubernetes 环境搭建 安装Docker wget -qO- https://get.docker.com/ | sh 系统设置 网络参数配置,允许转发 写入配置文件 $ cat &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt; /etc/sysctl.d/k8s.conf net.ipv4.ip_forward = 1 net.bridge.bridge-nf-call-i...
Kubernetes 集群部署之ETCD集群部署(二)
abel_dwh的博客
05-10 1047
etcdKubernetes提供默认的存储系统,保存所有集群数据,使用时需要为etcd数据提供备份计划。
k8s的核心组件etcd的安装使用、快照说明及etcd命令详解【含单节点,多节点和新节点加入说明】
最新发布
2401_84010702的博客
04-17 879
为什么我不完全主张自学?①平台上的大牛基本上都有很多年的工作经验了,你有没有想过之前行业的门槛是什么样的,现在行业门槛是什么样的?以前企业对于程序员能力要求没有这么高,甚至十多年前你只要会写个“Hello World”,你都可以入门这个行业,所以以前要入门是完全可以入门的。②现在也有一些优秀的年轻大牛,他们或许也是自学成才,但是他们一定是具备优秀的学习能力,优秀的自我管理能力(时间管理,静心坚持等方面)以及善于发现问题并总结问题。
kubernetes-server-linux-amd64.tar.gz 安装包
08-28
2. **etcd**:etcd是一个分布式的、一致性的键值存储,用于保存Kubernetes集群的状态。所有配置更改首先被提交到etcd,然后传播到其他组件。 3. **kube-scheduler**:调度器根据资源需求、策略和其他因素将未调度的...
kubernetes-server-linux-amd64.tar.gz
08-28
- 启动`kube-apiserver`,配置包括Etcd地址、证书和授权信息等。 - 启动`kube-controller-manager`,指定apiserver的地址和其他配置。 - 启动`kube-scheduler`,连接到apiserver。 5. **设置Worker节点**: - ...
kubernetes-node-linux-amd64.tar.gz
08-20
本文将深入探讨如何在Linux(AMD64架构)环境中安装和配置Kubernetes节点,以"**kubernetes-node-linux-amd64.tar.gz**"为例,我们将基于CentOS操作系统进行详细讲解。 一、Kubernetes简介 Kubernetes是由Google...
k8s 部署etcd集群
邢宁
12-06 5735
前言 公司计划使用etcd来做统一配置管理,由于服务都在阿里云托管k8s集群上,所以这里也打算使用k8s来部署etcd集群。 一、创建持久化存储 1、创建etcd目录 mkdir etcd/ mkdir etcd/nas 2、创建storageclass存储 (1)设置rbac cd /data/etcd/nas cat rbac.yaml kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: nfs-
Kubernetes部署etcd集群-centos7(新-增加了红色部分的注意事项)
热门推荐
snowglede的专栏
06-24 1万+
螃蟹|2016年4月17日 环境: etcd01:192.168.12.37,centos7.1 etcd02:192.168.12.178,centos7.1 etcd03:192.168.12.179,centos7.1 软件版本: etcd:2.2.5 实施步骤: 以etcd1部署为例,其他2个主机步骤一样: 安装etcd [root@docker-registry~]#
K8S(Kubernetes)安装(一)
cdszdd
03-27 947
K8S(Kubernetes) 作用不多说,只要你搜到这篇文章就说明,你对K8S已经有所了解了,具体里面的组件我就不多说了。 一 准备了2台机器(资源有限就这样吧) 10.211.55.34 (master) 10.211.55.35 (node) 二 设置一下服务器(两台都要设定) 关闭防火墙 #> systemctl disable firew...
K8S - 集群中部署ETCD
迦南的专栏
02-11 1196
apiVersion: v1 kind: Service metadata: name: etcd-headless namespace: abi-iot labels: app: etcd spec: ports: - port: 2380 name: etcd-server - port: 2379 name: etcd-client clusterIP: None selector: app: etcd publishNotRead.
K8S实战部署系列-kubeadman安装K8Sv1.23.1(Ubuntu18.04)
梧桐翁的博客
01-11 1367
使用初始化完成系统 root@minikube:~# cat /proc/version Linux version 5.4.0-92-generic (buildd@lcy01-amd64-026) (gcc version 7.5.0 (Ubuntu 7.5.0-3ubuntu1~18.04)) #103~18.04.2-Ubuntu SMP Wed Dec 1 16:50:36 UTC 2021 1、系统环境 名称 ip 主机名 操作系统 master节点 192.168.3.22 master01
使用etcdctl 获取 kubernetes etcd内容
云原生,DevOps,Kubernetes
03-27 730
kubernetes排错过程中可能需要连接到etcd库核对数据。通过etcdctl命令可以连接到库,查看etcd库中的key,value. # 创建一个etcdctl的别名 # 证书的位置可以通过查看kubelet 运行参数获取到。--etcd-cafile,--etcd-certfile, --etcd-keyfile $ alias etcdctl='etcdctl --key=/var/lib/etcd/cert/etcd-server-key.pem --cert=/var/lib/etcd/cer
kubernetes-ETCD
qq_31055683的博客
08-08 1030
kubernetesetcd
k8s部署之ETCD集群
工作中的点点滴滴
05-12 6634
k8s部署之ETCD集群 1.etcd下载 etcd下载地址:https://github.com/coreos/etcd/releases 从github etcd的发布页面选取相应的版本用 wget url 来下载 如: wget https://github.com/coreos/etcd/releases/download/v3.3.5/etcd-v3.3.5-linux-amd6...
k8s之etcd集群部署篇(k8s篇一)
开发能力提升中。。。。
03-23 6477
etcd是一个分布式键值存储,旨在可靠,快速地保存和提供对关键数据的访问。它通过分布式锁定,领导者选举和写入障碍实现可靠的分布式协调。etcd集群旨在实现高可用性和永久数据存储和检索。
etcd入门 etcdctl 彻底搞定 etcd
yuezhilangniao的博客
09-02 973
原文:https://www.jianshu.com/p/f68028682192 etcd简介 etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd基于Go语言实现。 etcd作为服务发现系统,有以下的特点: 简单:安装配置简单,而且提供了HTTP API进行交互,使用也很简单 安全:支持SSL证书验证 快速:根据官方提供的benchmark数据,单实例支持每秒2k+读操作 可靠:采
kubernetes安装配置文件详解
刀刀叨叨
06-26 4116
kubernetes集群部署分为Master节点和node节点两种节点,Master节点也可以同时作为node节点使用,组件有以下几种: Apiserver:提供了资源操作的唯一入口,并提供认证、授权、访问控制、API注册和发现等机制。整个集群中其他角色只有通过Apiserver才能访问etcd。CLI工具kubectl也是通过apiserver来对整体集群进行访问控制。 Controller-
[root@localhost ~]# kubeadm init --apiserver-advertise-address=192.168.0.4 --image-repository registry.aliyuncs.com/google_containers --kubernetes-version v1.26.2 --service-cidr=10.1.0.0/16 --pod-network-cidr=10.244.0.0/16 [init] Using Kubernetes version: v1.26.2 [preflight] Running pre-flight checks error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR FileAvailable--etc-kubernetes-manifests-kube-apiserver.yaml]: /etc/kubernetes/manifests/kube-apiserver.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-controller-manager.yaml]: /etc/kubernetes/manifests/kube-controller-manager.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-scheduler.yaml]: /etc/kubernetes/manifests/kube-scheduler.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-etcd.yaml]: /etc/kubernetes/manifests/etcd.yaml already exists [ERROR Port-10250]: Port 10250 is in use [preflight] If you know what you are doing, you can make a check non-fatal with `--ignore-preflight-errors=...` To see the stack trace of this error execute with --v=5 or higher
07-12
kube-apiserver.yaml,FileAvailable-etc-kubernetes-manifests-kube-controller-manager.yaml,FileAvailable-etc-kubernetes-manifests-kube-scheduler.yaml,FileAvailable-etc-kubernetes-manifests-etcd.yaml,Port...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值