二进制搭建kubernetes多master集群【三、配置k8s master及高可用】

最新推荐文章于 2024-05-16 00:03:37 发布
最新推荐文章于 2024-05-16 00:03:37 发布
阅读量239 收藏
点赞数
原文链接:https://www.cnblogs.com/harlanzhang/p/10131264.html
版权

二进制搭建kubernetes多master集群【三、配置k8s master及高可用】

前面两篇文章已经配置好了etcd和flannel的网络,现在开始配置k8s master集群。

etcd集群配置参考:二进制搭建kubernetes多master集群【一、使用TLS证书搭建etcd集群】

flannel网络配置参考:二进制搭建kubernetes多master集群【二、配置flannel网络】

本文在以下主机上操作部署k8s集群

k8s-master1:192.168.80.7

k8s-master2:192.168.80.8

k8s-master3:192.168.80.9

配置Kubernetes master集群

kubernetes master 节点包含的组件:

  • kube-apiserver
  • kube-scheduler
  • kube-controller-manager

目前这三个组件需要部署在同一台机器上。

  • kube-schedulerkube-controller-manager 和 kube-apiserver 三者的功能紧密相关;
  • 同时只能有一个 kube-schedulerkube-controller-manager 进程处于工作状态,如果运行多个,则需要通过选举产生一个 leader;

一、部署kubectl命令工具

kubectl 是 kubernetes 集群的命令行管理工具,本文档介绍安装和配置它的步骤。

kubectl 默认从 ~/.kube/config 文件读取 kube-apiserver 地址、证书、用户名等信息,如果没有配置,执行 kubectl 命令时可能会出错。

 ~/.kube/config只需要部署一次,然后拷贝到其他的master。

1、下载kubectl

wget https://dl.k8s.io/v1.12.3/kubernetes-server-linux-amd64.tar.gz
tar -xzvf kubernetes-server-linux-amd64.tar.gz
cd kubernetes/server/bin/
cp kube-apiserver kubeadm kube-controller-manager kubectl kube-scheduler /usr/local/bin

2、创建请求证书

复制代码

[root@k8s-master1 ssl]# cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "system:masters",
      "OU": "4Paradigm"
    }
  ]
}
EOF

复制代码

  • O 为 system:masters,kube-apiserver 收到该证书后将请求的 Group 设置为 system:masters;
  • 预定义的 ClusterRoleBinding cluster-admin 将 Group system:masters 与 Role cluster-admin 绑定,该 Role 授予所有 API的权限;
  • 该证书只会被 kubectl 当做 client 证书使用,所以 hosts 字段为空;

生成证书和私钥

cfssl gencert -ca=/etc/kubernetes/cert/ca.pem \
  -ca-key=/etc/kubernetes/cert/ca-key.pem \
  -config=/etc/kubernetes/cert/ca-config.json \
  -profile=kubernetes admin-csr.json | cfssljson -bare admin

3、创建~/.kube/config文件

复制代码

kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/cert/ca.pem \
  --embed-certs=true \
  --server=https://114.67.81.105:8443 \
  --kubeconfig=kubectl.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials admin \
  --client-certificate=admin.pem \
  --client-key=admin-key.pem \
  --embed-certs=true \
  --kubeconfig=kubectl.kubeconfig

# 设置上下文参数
kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=admin \
  --kubeconfig=kubectl.kubeconfig
  
# 设置默认上下文
kubectl config use-context kubernetes --kubeconfig=kubectl.kubeconfig

复制代码

4、分发~/.kube/config文件

 

[root@k8s-master1 temp]# cp kubectl.kubeconfig ~/.kube/config
[root@k8s-master1 temp]# scp kubectl.kubeconfig k8s-master2:~/.kube/config
kubectl.kubeconfig                                                                                                                                                                                    100% 6285     2.2MB/s   00:00    
[root@k8s-master1 temp]# scp kubectl.kubeconfig k8s-master3:~/.kube/config
kubectl.kubeconfig

二、部署api-server

1、创建kube-apiserver的证书签名请求:

复制代码

 
[root@k8s-master1 ssl]# cat > kubernetes-csr.json <<EOF
{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "192.168.80.7",
    "192.168.80.8",
    "192.168.80.9",
    "192.168.80.13",
    "114.67.81.105",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
EOF

复制代码

  • hosts 字段指定授权使用该证书的 IP 或域名列表,这里列出了 VIP 、apiserver 节点 IP、kubernetes 服务 IP 和域名;
  • 域名最后字符不能是 .(如不能为 kubernetes.default.svc.cluster.local.),否则解析时失败,提示: x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."
  • 如果使用非 cluster.local 域名,如 bqding.com,则需要修改域名列表中的最后两个域名为:kubernetes.default.svc.bqdingkubernetes.default.svc.bqding.com
  • 红色的主机依次为master节点的ip,以及负载均衡器的内网和公网IP。

生成证书和私钥:

cfssl gencert -ca=/etc/kubernetes/cert/ca.pem \
  -ca-key=/etc/kubernetes/cert/ca-key.pem \
  -config=/etc/kubernetes/cert/ca-config.json \
  -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes

2、将生成的证书和私钥文件拷贝到 master 节点:

[root@k8s-master1 ssl]# cp kubernetes*.pem /etc/kubernetes/cert/
[root@k8s-master1 ssl]# scp kubernetes*.pem k8s-master2:/etc/kubernetes/cert/
[root@k8s-master1 ssl]# scp kubernetes*.pem k8s-master3:/etc/kubernetes/cert/

3、创建加密配置文件

复制代码

[root@k8s-master1 ssl]# cat > encryption-config.yaml <<EOF
kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: $(head -c 32 /dev/urandom | base64)
      - identity: {}
EOF

复制代码

4、分发加密配置文件到master节点

[root@k8s-master1 ssl]# cp encryption-config.yaml /etc/kubernetes/cert/
[root@k8s-master1 ssl]# scp encryption-config.yaml k8s-master2:/etc/kubernetes/cert/
[root@k8s-master1 ssl]# scp encryption-config.yaml k8s-master3:/etc/kubernetes/cert/

 5、创建kube-apiserver systemd unit文件

复制代码

[root@k8s-master1 ssl]# cat > /etc/systemd/system/kube-apiserver.service << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-apiserver \
  --enable-admission-plugins=Initializers,NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \
  --anonymous-auth=false \
  --experimental-encryption-provider-config=/etc/kubernetes/cert/encryption-config.yaml \
  --advertise-address=192.168.80.7 \
  --bind-address=192.168.80.7 \
  --insecure-port=0 \
  --authorization-mode=Node,RBAC \
  --runtime-config=api/all \
  --enable-bootstrap-token-auth \
  --service-cluster-ip-range=10.254.0.0/16 \
  --service-node-port-range=30000-32700 \
  --tls-cert-file=/etc/kubernetes/cert/kubernetes.pem \
  --tls-private-key-file=/etc/kubernetes/cert/kubernetes-key.pem \
  --client-ca-file=/etc/kubernetes/cert/ca.pem \
  --kubelet-client-certificate=/etc/kubernetes/cert/kubernetes.pem \
  --kubelet-client-key=/etc/kubernetes/cert/kubernetes-key.pem \
  --service-account-key-file=/etc/kubernetes/cert/ca-key.pem \
  --etcd-cafile=/etc/kubernetes/cert/ca.pem \
  --etcd-certfile=/etc/kubernetes/cert/kubernetes.pem \
  --etcd-keyfile=/etc/kubernetes/cert/kubernetes-key.pem \
  --etcd-servers=https://192.168.80.4:2379,https://192.168.80.5:2379,https://192.168.80.6:2379 \
  --enable-swagger-ui=true \
  --allow-privileged=true \
  --apiserver-count=3 \
  --audit-log-maxage=30 \
  --audit-log-maxbackup=3 \
  --audit-log-maxsize=100 \
  --audit-log-path=/var/log/kube-apiserver-audit.log \
  --event-ttl=1h \
  --alsologtostderr=true \
  --logtostderr=false \
  --log-dir=/var/log/kubernetes \
  --v=2
Restart=on-failure
RestartSec=5
Type=notify
LimitNOFILE=65536

[Install]
WantedBy=multi-user.targe
EOF

复制代码

  • --experimental-encryption-provider-config:启用加密特性;
  • --authorization-mode=Node,RBAC: 开启 Node 和 RBAC 授权模式,拒绝未授权的请求;
  • --enable-admission-plugins:启用 ServiceAccount 和 NodeRestriction
  • --service-account-key-file:签名 ServiceAccount Token 的公钥文件,kube-controller-manager 的 --service-account-private-key-file 指定私钥文件,两者配对使用;
  • --tls-*-file:指定 apiserver 使用的证书、私钥和 CA 文件。--client-ca-file 用于验证 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)请求所带的证书;
  • --kubelet-client-certificate--kubelet-client-key:如果指定,则使用 https 访问 kubelet APIs;需要为证书对应的用户(上面 kubernetes*.pem 证书的用户为 kubernetes) 用户定义 RBAC 规则,否则访问 kubelet API 时提示未授权;
  • --bind-address: 不能为 127.0.0.1,否则外界不能访问它的安全端口 6443;
  • --insecure-port=0:关闭监听非安全端口(8080);
  • --service-cluster-ip-range: 指定 Service Cluster IP 地址段;
  • --service-node-port-range: 指定 NodePort 的端口范围;
  • --runtime-config=api/all=true: 启用所有版本的 APIs,如 autoscaling/v2alpha1;
  • --enable-bootstrap-token-auth:启用 kubelet bootstrap 的 token 认证;
  • --apiserver-count=3:指定集群运行模式,多台 kube-apiserver 会通过 leader 选举产生一个工作节点,其它节点处于阻塞状态;
  • 红色部分为各个master主机部分

6、分发kube-apiserver.service文件到其他master

[root@k8s-master1 ssl]# scp /etc/systemd/system/kube-apiserver.service k8s-master2:/etc/systemd/system/kube-apiserver.service
[root@k8s-master1 ssl]# scp /etc/systemd/system/kube-apiserver.service k8s-master3:/etc/systemd/system/kube-apiserver.service

7、创建日志目录

mkdir -p /var/log/kubernetes

8、启动api-server服务

[root@k8s-master1 ssl]# systemctl daemon-reload
[root@k8s-master1 ssl]# systemctl enable kube-apiserver
[root@k8s-master1 ssl]# systemctl start kube-apiserver

9、检查api-server和集群状态

复制代码

[root@k8s-master1 ssl]# netstat -ptln | grep kube-apiserve
tcp        0      0 192.168.80.9:6443       0.0.0.0:*               LISTEN      22348/kube-apiserve

[root@k8s-master1 ssl]#kubectl cluster-info
Kubernetes master is running at https://114.67.81.105:8443

To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.

复制代码

10、授予kubernetes证书访问kubelet api权限

kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes

 

qingdao666666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S集群kubeadm搭建(多master单node)
Aaron.无剑
06-24 2254
架构图: k8s环境规划: podSubnet(pod网段) 10.244.0.0/16 serviceSubnet(serivce网段) 10.10.0.0/16 实验环境规划: 操作系统: Centos7.9 配置: 2G内存/4vCPU/40G磁盘 网络:NAT模式 开启虚拟机的虚拟化 集群ip以及常见的需要安装的组件 常见的两种安装方式: kubeadm以及二进制安装 目前是按照kubeadm安装#修改/etc/sysconfig/network-scrips/ifcfg-ens33文件
kubernetes二进制集群部署——–多master集群(步骤非常详细,适合初学者)
01-09
本文将详细介绍如何通过二进制方式部署一个多Master节点Kubernetes集群,适合初学者逐步学习。 首先,我们要了解多Master节点集群的必要性。在单Master节点集群中,如果Master节点出现问题,整个集群的控制平面...
k8smaster节点集群搭建
Sebastien23的博客
03-15 1516
命令之前的所有环境配置工作(操作系统参数、网络配置、镜像仓库、yum源等)。无需单独在这些后续加入的master节点安装k8s网络插件。在还未加入集群master节点上执行上面打印出来的命令来加入集群,注意加上。参照集群中的第一个master节点,对后续要加入集群master节点做好。修改对应的操作系统参数,再重新加入master节点即可。首先搭建一个单master节点集群,具体可以参考博文。最后检查加入集群master节点状态是否READY。来表明是以管理节点的身份加入。
kubernetes】带你探索二进制部署k8smaster节点、负载均衡以及高可用(下)
最新发布
zzzxxx520369的博客
05-16 717
仪表板是基于Web的Kubernetes用户界面。您可以使用仪表板将容器化应用程序部署到Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源。您可以使用仪表板来概述群集上运行的应用程序,以及创建或修改单个Kubernetes资源(例如deployment,job,daemonset等)。例如,您可以使用部署向导扩展部署,启动滚动更新,重新启动Pod或部署新应用程序。仪表板还提供有关群集中Kubernetes资源状态以及可能发生的任何错误的信息。
Kubernetes(K8s)使用 kubeadm 方式搭建master 高可用 K8s 集群
养歌的博客
07-26 8132
以上就是搭建高可用k8s集群全部的内容,步骤讲解得非常详细,比较适合初学者学习,我们一起共同学习,共同进步。httpshttpshttpshttpshttpshttpshttpshttps。
搭建k8s高可用master集群
hhhhhhhzp的博客
07-11 2772
目录环境主机配置配置好域名解析所有节点安装依赖包(xshell终端可以工具:发送键入到所有会话)**关闭防火墙、swap,重置iptables系统参数设置配置ipvs功能时间同步安装docker(所有节点安装必要工具(所有节点)准备集群镜像(所有节点)keepalived+haproxy高可用master)编辑keepalived配置文件编辑脚本文件编辑haproxy配置文件开启服务初始化集群master1)安装网络插件(所有节点)查看节点状态(master1节点)扩展kubectl加入tab强化
二进制部署k8s高可用集群二进制-V1.20).docx
06-29
二进制部署k8s高可用集群二进制-V1.20) 基于提供的文件信息,本文将对二进制部署k8s高可用集群进行详细的知识点总结。 1. 生产环境部署 K8s 集群的两种方式 在生产环境中,部署 K8s 集群有两种方式:一种是...
二进制部署kubernetesmaster集群
08-30
### 二进制部署KubernetesMaster集群 #### 一、环境准备与要求 在部署Kubernetes集群前,首先需要确保服务器满足以下条件: - **硬件配置**:建议每台服务器至少配备2核CPU、2GB内存及30GB硬盘空间。 - **网络...
一套完整的K8s高可用集群二进制部署(-V1.20)
10-17
Kubernetes 高可用集群二进制部署指南 本文档将指导您部署一套完整的 Kubernetes 高可用集群,我们将从基础知识点开始,介绍 Kubernetes 集群的两种部署方式,然后详细介绍如何准备环境、部署 Etcd 集群安装 ...
二进制安装kubernetesmaster环境内容
01-06
总结来说,二进制安装Kubernetes Master环境需要对每个组件有深入理解,配置过程细致且要求高,但这为自定义集群提供了最大的灵活性。随着对Kubernetes的深入学习和实践,我们可以更好地管理和优化集群,以满足业务...
使用kubeadm搭建高可用K8s集群_用来搭建k8s高可用集群_多master节点的具体过程.md
12-30
用来搭建k8s高可用集群,haproxy,keepalived,k8s高可用集群搭建过程
二进制搭建kubernetesmaster集群配置k8s master高可用
weixin_47151643的博客
10-06 765
文章目录一:master2部署二:k8s负载均衡部署实现高可用2.1:nginx01、nginx02安装nginx服务2.2:配置nginx部署keepalived服务2.3:创建监控脚本并启动服务2.4:查看nginx01漂移地址2.5:验证漂移地址2.6:恢复漂移地址2.7:修改node节点配VIP(bootstrap.kubeconfig) Kubernetes作为近几年最具颠覆性的容器编排技术,广泛应用与企业的生产环境中,相较于前几年的docker-swarm的编排方式,Kubernetes无疑.
k8s--基础--6.1--环境搭建--多master高可用集群
zhou920786312的博客
08-08 3355
使用root用户。
k8s–多master高可用集群环境搭建
wangy_0228的专栏
12-04 2307
Kubernetes 是一个可移植的、可扩展的 开源平台 ,用于 管理容器化的工作负载和服务,可促进声明式配置和自动化 。 Kubernetes 拥有一个庞大且快速增长的生态系统。Kubernetes 的服务、支持和工具广泛可用。
k8s(十五)、Kubernetes v1.14多master集群部署
ywq935的博客
06-18 2209
前言 距离上一次搭1.9版本,已经过去一年了,这一年时间里,kubernetes已经迭代到了v1.14.3版本了,为了体验新版本的特性,今天来搭建最新版的集群,部署步骤与之前的一致,CNI kube-router经过了线上一年的验证,这里继续沿用kube-router的bgp直通网络方案。 具体步骤与之前的v1.9版本几乎完全一致,本篇只列出差异部分,详情可参考此前的文章: k8s(一)、 1.9...
K8S集群-------多master集群部署(五)
karvin666的博客
02-08 2459
前言: 要想部署多master集群平台,首先要搭建master集群架构,即小编前期的K8S部署(一)(二)()(四)博客内容。 多master集群意义: 单master节点容易出现单点故障问题,一旦出现故障,整个集群则不能正常运行。搭建master集群实现了集群高可用,避免了出现单点故障问题。 角色分配 Master02实操: 在master01上进行 复制目录到master02 复制...
搭建多主节点k8s高可用集群(主两从一VIP)
weixin_53667818的博客
09-06 4021
如果使用的是阿里云,kubectl控制端不能放在master节点,因为阿里云SLB有回环问题,也就是说SLB代理的服务器不能反向访问这个问题,但是腾讯云修复了这个问题。通过这些对等连接,每个节点上的路由器可以了解整个网络的拓扑,并决定最佳路径来路由数据包。​ 当k8s集群中某个节点服务器发生故障时,Keepalived服务会自动将失效的节点从正常队列中剔除,并将请求调度到别的正常的节点服务器上,从而保证用户访问不受影响。通过定义网络策略,管理员可以限制容器之间的流量,并确保只有授权的容器才能相互通信。
k8smaster节点使用二进制部署群集
weixin_47219725的博客
10-07 390
目录一、K8S节点部署1.1 拓补图与主机分配1.2 mster02部署1.2.1 复制master中的个组件启动脚本kube-apiserver.service kube-controller-manager.service kube-scheduler.service1.2.2 修改配置文件kube-apiserver中的IP1.2.3 拷贝etcd证书给master02使用1.2.4 启动master02中的个组件服务1.2.5 增加环境变量
二进制部署 Kubernetes 高可用集群全攻略
本文档详细介绍了如何通过二进制方式部署一个高可用Kubernetes集群。首先,准备工作包括选择适当的部署方式,弃用传统的docker容器,以及准备必要的证书和环境设置,如安装cfssl证书生成工具。接下来,文档重点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值