12.k8s运算节点-kubelet

最新推荐文章于 2022-09-28 11:25:54 发布
最新推荐文章于 2022-09-28 11:25:54 发布
阅读量295 收藏
点赞数
分类专栏: 从零开始安装kubernetes 文章标签: kubernetes kubelet k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19655405/article/details/117460413
版权

k8s运算节点-kubelet

一、证书准备(node200节点处理)
  • 准备证书签名请求csr
    vi /opt/certs/kubelet-server-csr.json
{
    "CN": "kubelet-server",
    "hosts": [
    "127.0.0.1",
    "172.10.10.10",
    "172.10.10.21",
    "172.10.10.22"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "beijing",
            "L": "beijing",
            "O": "hzw",
            "OU": "hzwself"
        }
    ]
}

证书请求文件中配置了node节点的hosts,若后续需要增加node节点,此证书则需要重新签发,这个有办法简化吗?

  • 生成服务端证书
    cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server kubelet-server-csr.json | cfssljson -bare kubelet-server
[root@node200 certs]# ll kubelet*
-rw-r--r-- 1 root root 1074 3月  23 23:48 kubelet-server.csr
-rw-r--r-- 1 root root  365 3月  23 23:48 kubelet-server-csr.json
-rw------- 1 root root 1679 3月  23 23:48 kubelet-server-key.pem
-rw-r--r-- 1 root root 1318 3月  23 23:48 kubelet-server.pem
  • 拷贝证书到node节点
    scp kubelet-server*.pem root@node21:/opt/kubernetes/server/bin/cert
二、kubelet配置
软连全局命令

ln -s /opt/kubernetes/server/bin/kubectl /usr/bin/kubectl

生成kubelet.kubeconfig文件
  • set-cluster
    cd /opt/kubernetes/server/bin/conf 下列命令会生成配置文件在当前目录,我们将配置文件生成到conf目录下,后续命令都是在conf下执行
[root@node21 conf]# kubectl config set-cluster myk8s \
   --certificate-authority=/opt/kubernetes/server/bin/cert/ca.pem \
   --embed-certs=true \
   --server=https://172.10.10.10:7443 \
   --kubeconfig=kubelet.kubeconfig
Cluster "myk8s" set.

--certificate-authorityca证书;
--server访问apiserver地址(此处配置的VIP地址);
--kubeconfig 写入目标地址
--embed-certs=true 是否将证书内容写入配置文件

true则证书内容会拷贝到kubelet.kubeconfig文件内,配置文件不用依赖本地证书文件
false则kubelet.kubeconfig内的证书项将为证书地址,需依赖本地证书文件

  • set-credentials
[root@node21 conf]# kubectl config set-credentials k8s-node \
  --client-certificate=/opt/kubernetes/server/bin/cert/k8s-node-client.pem \
  --client-key=/opt/kubernetes/server/bin/cert/k8s-node-client-key.pem \
  --embed-certs=true \
  --kubeconfig=kubelet.kubeconfig 
User "k8s-node" set.

这一步主要是向kubelet.kubeconfig配置了client证书,用于和apiserver的通信
注意:后续启动kubelet时的用户就是此处client证书的CN,要注意制作client证书时就要想好用户名(本案例中的用户为k8s-node),下文也要通过clusterrolebinding为该用户名绑定对应的权限

  • set-context
[root@node21 conf]# kubectl config set-context myk8s-context \
   --cluster=myk8s \
   --user=k8s-node-client \
   --kubeconfig=kubelet.kubeconfig
Context "myk8s-context" created.

关键点:证书CN=k8s-node-client 指定user为k8s-node-client,后文会基于RBAC给k8s-node授予能成为运算节点的权限(system:node)

  • use-context
    切换context
[root@node21 conf]# kubectl config use-context myk8s-context --kubeconfig=kubelet.kubeconfig
Switched to context "myk8s-context".
为k8s-node-client用户绑定system:node角色权限
  • 创建ClusterRoleBinding资源配置文件
    vi rbac_k8s-node-client.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: k8s-node-client
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:node
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: k8s-node-client

这个资源文件的作用:定一个"ClusterRoleBinding"类型的资源; 创建一个k8s用户“k8s-node-client”; 为这个用户授予ClusterRole角色权限,使其具有运算节点的权限

  • 应用资源配置文件
    kubectl create -f rbac_k8s-node-client.yaml
    通过kubectl 根据 rbac_k8s-node-client.yaml 创建资源,存到etcd中

与上两步同义陈述式创建命令(提前扩展作了解,后续会介绍资源的各种管理方式)
~]# kubectl create clusterrolebinding k8s-node-client --clusterrole=system:node --user=k8s-node-client
通过陈述式命令生成资源配置文件:
kubectl create clusterrolebinding k8s-node-client --clusterrole=system:node --user=k8s-node-client --dry-run -o yaml
输出声明式配置文件,通过kubectl apply -f xxx.yaml应用到集群中,内容和上文rbac_k8s-node-client.yaml无异

  • 查看创建的clusterrolebinding资源
[root@n100 ~]# kubectl get clusterrolebindings.rbac.authorization.k8s.io k8s-node-client
NAME              AGE
k8s-node-client   3h21m
[root@n100 ~]# kubectl get clusterrolebindings.rbac.authorization.k8s.io k8s-node-client -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |      {"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRoleBinding","metadata":{"annotations":{},"name":"k8s-node-client"},"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"ClusterRole","name":"system:node"},"subjects":[{"apiGroup":"rbac.authorization.k8s.io","kind":"User","name":"k8s-node-client"}]}
  creationTimestamp: "2021-04-26T15:26:50Z"
  name: k8s-node-client
  resourceVersion: "7413"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/k8s-node-client
  uid: ca026704-d8a8-4a65-9763-d4ea3626e636
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:node
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: k8s-node-client
准备pause基础镜像

kubelet提前创建pause容器为业务容器提前初始化UTS、NET、IPC空间
pause是k8s的基础设施的一部分,pod中其他容器通过pause容器跟其他pod进行通信。pod中其他容器跟pause容器共享命名空间,她是pod中第一个被启动的容器
docker pull kubernetes/pause

准备infra_pod基础镜像???这个镜像干嘛用的??
拉取镜像传递到镜像私服
docker pull xplenty/rhel7-pod-infrastructure:v3.4 拉取
docker tag 34d3450d733b harbor.hzwod.com/k8s/pod:v3.4 打上我们自己的tag
docker login harbor.hzwod.com 登录我们自己的镜像私服
docker push harbor.hzwod.com/k8s/pod:v3.4 推送到镜像私服
其他节点就可以拉取镜像了
docker pull harbor.hzwod.com/k8s/pod:v3.4

启动kubelet
启动脚本

vi /opt/kubernetes/server/bin/kubelet-1021.sh

#!/bin/sh
./kubelet \
  --anonymous-auth=false \            # 不允许匿名登录必须通过apiserver
  --cgroup-driver systemd \            # 和docker的cgroup-driver保持一致
  --cluster-dns 192.168.0.2 \            # coredns相关
  --cluster-domain cluster.local \        # coredns相关
  --runtime-cgroups=/systemd/system.slice \
  --kubelet-cgroups=/systemd/system.slice \
  --fail-swap-on="false" \
  --client-ca-file ./cert/ca.pem \
  --tls-cert-file ./cert/kubelet.pem \
  --tls-private-key-file ./cert/kubelet-key.pem \
  --hostname-override 172.10.10.21 \        # 主机名
  --image-gc-high-threshold 20 \
  --image-gc-low-threshold 10 \
  --kubeconfig ./conf/kubelet.kubeconfig \
  --log-dir /data/logs/kubernetes/kube-kubelet \
  --pod-infra-container-image harbor.hzwod.com/k8s/pause:latest \    # pause镜像
  --root-dir /data/kubelet

kubelet默认是需要运算节点关闭swap分区的--fail-swap-on="false"这个配置是让kubelet忽略主机是否开启swap,否则kubelet会因主机开启swap导致启动失败
主机是否关闭swap还是要视具体情况而定,若物理内存足够大,我们可以将swap关闭; 若物理内存不是很大,开启swap,内核就可以优化不常用常驻内存移入swap中
chmod +x kubelet-1021.sh
mkdir -p /data/logs/kubernetes/kube-kubelet /data/kubelet
我们使用k8s版本1.17,内核低于5+时,某些特性不支持,在启动时需关闭这些特性如:
--feature-gates=SupportPodPidsLimit=false,SupportNodePidsLimit=false

supervisor托管启动
  • 配置文件
    vi /etc/supervisord.d/kube-kubelet.ini
[program:kube-kubelet-10.21]
command=/opt/kubernetes/server/bin/kubelet-1021.sh
numprocs=1
directory=/opt/kubernetes/server/bin
autostart=true
autorestart=true
startsecs=22
startretries=3
exitcodes=0,2
stopsignal=QUIT
stopasgroup=true
stopwaitsecs=10
user=root
redirect_stderr=false
stdout_logfile=/data/logs/kubernetes/kube-kubelet/kubelet.stdout.log
stdout_logfile_maxbytes=64MB
stdout_logfile_backups=4
stdout_capture_maxbytes=1MB
stdout_events_enabled=false
stderr_logfile=/data/logs/kubernetes/kube-kubelet/kubelet.stderr.log
stderr_logfile_maxbytes=64MB
stderr_logfile_backups=4
stderr_capture_maxbytes=1MB
stderr_events_enabled=false
  • 启动
[root@node21 bin]# supervisorctl update
kube-kubelet-10.21: added process group
[root@node21 bin]# supervisorctl status
etcd-server-10.21                RUNNING   pid 2224, uptime 7:19:26
kube-apiserver-10.21             RUNNING   pid 2225, uptime 7:19:26
kube-controller-manager-10.21    RUNNING   pid 3337, uptime 0:08:47
kube-kubelet-10.21               STARTING  
kube-scheduler-10.21             RUNNING   pid 3345, uptime 0:08:45
验证
[root@node21 ~]# kubectl get node
NAME           STATUS   ROLES    AGE   VERSION
172.10.10.21   Ready    <none>   65m   v1.17.16

同上安装好node22节点,验证node集群正确如下:

[root@node22 kubernetes]# kubectl get node
NAME           STATUS   ROLES    AGE   VERSION
172.10.10.21   Ready    <none>   12h   v1.17.16
172.10.10.22   Ready    <none>   32s   v1.17.16
hzw@sirius
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s-images-v1.20.4.tar.gz
12-29
k8s1.20.4需要用到的一些img
k8s】集群6-运算节点服务kubelet
机智的埃努
07-13 263
1.集群规划 主机名 角色 ip h134.host.com kubelet 192.168.146.134 h135.host.com kubelet 192.168.146.135 PS:以h134为部署对象,h135过程省略 2. 签发证书 对象:h136 这个证书是用于作为服务端时使用 2.1 创建生成证书签名请求(csr)的json配置文件 vim /opt/certs/kubelet-csr.json { "CN": "k8
k8s集群重启后kubelet启动报错解决
晨光运维之路
05-16 3891
k8s集群重启后kubelet启动报错解决 1 k8s版本 1.23.0,docker-ce版本20.10.14 2 问题报错,启动kubelet报错,内容如下 May 16 09:47:13 k8s-master kubelet: E0516 09:47:13.512956 7403 server.go:302] "Failed to run kubelet" err="failed to run Kubelet: misconfiguration: kubelet cgroup driver: \
k8s 运算节点的介绍以及部署
包泽旭
09-07 200
4. 运算节点部署 4.1. kubelet 部署 4.1.1. 签发证书 证书签发在 hdss7-200 操作 [root@hdss7-200 ~]# cd /opt/certs/ [root@hdss7-200 certs]# vim kubelet-csr.json # 将所有可能的kubelet机器IP添加到hosts中 { "CN": "k8s-kubelet", "h...
k8s二进制安装篇4-运算节点安装
qq_45271350的博客
09-06 131
一,kubelet 部署 1,签发证书 证书签发在 192.168.1.245 操作 vim kubelet-csr.json { "CN": "k8s-kubelet", "hosts": [ "127.0.0.1", "192.168.1.247", "192.168.1.248", "192.168.1.250", "192.168.1.251", "192.168.1.246" ], "key": { "
K8S运维知识汇总】第2天10:安装部署运算节点服务——kubelet
就叫一片白纸的博客
06-28 552
部署Node节点服务 部署kubelet 集群规划 主机名 角色 ip HDSS7-21.host.com kubelet 192.168.153.21 HDSS7-22.host.com kubelet 192.168.153.22 注意:这里部署文档以HDSS7-21.host.com主机为例,另外一台计算节点安装部署方法类似 安装其他节点,需要先拷贝 HDSS7-22上: [root@hdss7-21 cert]# cd /opt/kubernetes/server
镜像 k8s.gcr.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2
04-22
k8s.gcr.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2 被墙无法pull,使用nfs方式提供k8s PVC必须的镜像包。 本人小水管拉下来的,拿走不谢。 使用方法: #解压 tar -xvf k8s.gcr.io_sig-storage_nfs-...
PyPI 官网下载 | p2.driver.k8s-0.3.0-py2.py3-none-any.whl
02-07
资源来自pypi官网,解压后可用。 资源全名:p2.driver.k8s-0.3.0-py2.py3-none-any.whl
gitlab10.6.3+jenkins2.164.3-k8s-1.14.2-cicd-java项目-jenkins在k8s之外
最新发布
05-27
在这个集成环境中,我们关注的是如何将GitLab 10.6.3、Jenkins 2.164.3、Kubernetes (K8s) 1.14.2 和持续集成/持续部署 (CI/CD) 工作流程应用于Java项目。这个压缩包包含了相关的安装包和笔记,帮助用户在Kubernetes...
13.k8s运算节点-kube-proxy
sirius
06-03 363
k8s运算节点-kube-proxy kube-proxy 连接node网络和集群网络 一、证书准备 node200 vi /opt/certs/kube-proxy-client-csr.json { "CN": "system:node-proxier", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN",
k8s集群的节点预留计算资源
@毛宏斌
05-08 4863
一、需求 Kubernetes版本:v1.8.6 原因:默认情况下 pod 能够使用节点全部可用容量。如果用户pod中的应用存在异常,例如疯狂占用内存,那么这些pod将与node上的系统守护进程和k8s组件争夺资源并导致节点资源短缺,从而产生node not ready问题。 二、解决方案:Node Allocatable kubelet Node Allocatable用来为Kub...
kubernetes集群计算节点配置升级和扩容计算节点
weixin_34234829的博客
03-14 1459
kubernetes集群计算节点的升级和扩容 kuernetes集群计算节点升级 首先查看集群的节点状态 Last login: Thu Mar 14 09:39:26 2019 from 10.83.2.89 [root@kubemaster ~]# [root@kubemaster ~]# kubectl get nodes NAME STATUS ROLES ...
k8s 节点的 NodeAffinity 使用
qianggezhishen的专栏
06-21 8075
k8s 中,pod 会通过 kube-scheduler 按照节占先有的资源平均的调度到这些节点上,但有时候,我们需要将某个应用的pod调度到特定的节点上, 比如:两个应用需要频繁的进行通讯,那么我们希望将它们部署到同一个节点。或者希望访问一些类似需要ssd这样特殊资源的节点等应用场景。 最简单的方法是使用 nodeSelector,但它比较简单粗暴,使用起来不能灵活调度,这个在后续版本中...
如何基于K8S打造轻量级PaaS平台
热门推荐
容器技术爱好者
05-02 3万+
4月23日天云软件技术开放日已圆满落幕,接下来几天将陆续放出沙龙期间技术大牛们的干货分享现场实录及相关文件,敬请关注。此文为第2篇,由天云软件CTO牛继宾给大家带来名为“如何基于K8S打造轻量级PaaS平台”的精彩分享,以下为演讲实录。牛继宾:大家下午好,我从几个角度介绍一下PaaS平台。我们把天云软件基于K8S与Docker构建轻量级平台叫做ECP,就是弹性计算平台。我们知道刚才马俊讲的CMP,
k8s学习总结
齐天大圣数据候的博客
07-12 1万+
rancher2.0、k8s简介及其环境搭建 一、rancher学习总结 docker是什么 Docker是一个开源的引擎,可以轻松的为任何应用部署一个轻量级的、可移植的、自给自足的容器。 Docker常用于一下几种场景: - web应用的自动化打包和发布; - 自动化的测试和持续集成、发布; - 在服务环境中部署和调整数据库或者后台的其他应用; - 从头编译或扩...
Kubernetes 节点调度原理及调度策略
qq_37377136的博客
09-12 3708
Kubernetes 调度器官方文档 其他博主博客 k8s调度器scheduler 简介 对每一个新创建的 Pod 或者是未被调度的 Pod,kube-scheduler 会选择一个最优的 Node 去运行这个 Pod。然而,Pod 内的每一个容器对资源都有不同的需求,而且 Pod 本身也有不同的资源需求。因此,Pod 在被调度到 Node 上之前,根据这些特定的资源调度需求,需要对集群中的 Node 进行一次过滤。 在一个集群中,满足一个 Pod 调度请求的所有 Node 称之为 _可调度节点。如果没有任
pause镜像
认知 行动 坚持
09-22 1403
沙箱容器其实就是pause容器,一般使用官方提供的k8s.gcr.io/pause:3.1镜像,这里会创建沙箱镜像和检查点并启动容器。 每一个节点上都会由 Kubernetes 的网络插件 Kubenet 创建一个基本的cbr0网桥并为每一个 Pod 创建veth虚拟网络设备,同一个 Pod 中的所有容器就会通过这个网络设备共享网络,也就是能够通过 localhost 互相访问彼此暴露的端口和服务。 ...
Kubernetes基础:Pause镜像源码解读
知行合一 止于至善
02-09 1448
在前面一篇文章中我们了解到了Pause镜像在Kubernetes中管理的最小单元Pod中的应用,这篇文章中我们来对Pause的源码进行解读以增强理解。
云原生技术 --- k8s节点组件之kubelet的学习与理解
编码爱好者
09-28 1875
Kubernetes 通过将容器放入在节点(Node)上运行的 Pod 中来执行你的工作负载。节点可以是一个虚拟机或者物理机器,取决于所在的集群配置。每个节点包含运行 Pod 所需的服务,比如相关的sc资源、网络资源等等,这些节点由 控制面 负责管理。节点上的组件包括 kubeletkube-proxy等。
serviceaccount/weave-net unchanged clusterrole.rbac.authorization.k8s.io/weave-net unchanged clusterrolebinding.rbac.authorization.k8s.io/weave-net unchanged role.rbac.authorization.k8s.io/weave-net unchanged rolebinding.rbac.authorization.k8s.io/weave-net unchanged daemonset.apps/weave-net configured
07-11
kubectl delete clusterrolebinding.rbac.authorization.k8s.io/weave-net kubectl delete role.rbac.authorization.k8s.io/weave-net kubectl delete rolebinding.rbac.authorization.k8s.io/weave-net ``` 然后再...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hzw@sirius

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值