Centos7二进制部署k8s-v1.20.2 ipvs版本(docker、etcd)

已于 2022-02-07 11:35:43 修改
阅读量719 收藏 2
点赞数
分类专栏: linux企业运维 文章标签: docker etcd
于 2021-09-08 14:46:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33648367/article/details/120179806
版权

一、iptables和ipvs对比

 获取最新更新以及文章用到的软件包,请移步点击查看更新

1、概念

从k8s的1.8版本开始,kube-proxy引入了IPVS模式,IPVS模式与iptables同样基于Netfilter,但是ipvs采用的hash表,iptables采用一条条的规则列表。iptables又是为了防火墙设计的,集群数量越多iptables规则就越多,而iptables规则是从上到下匹配,所以效率就越是低下。因此当service数量达到一定规模时,hash查表的速度优势就会显现出来,从而提高service的服务性能

每个节点的kube-proxy负责监听API server中service和endpoint的变化情况。将变化信息写入本地userspace、iptables、ipvs来实现service负载均衡,使用NAT将vip流量转至endpoint中。由于userspace模式因为可靠性和性能(频繁切换内核/用户空间)早已经淘汰,所有的客户端请求svc,先经过iptables,然后再经过kube-proxy到pod,所以性能很差。

ipvs和iptables都是基于netfilter的,两者差别如下:

ipvs 为大型集群提供了更好的可扩展性和性能
ipvs 支持比 iptables 更复杂的负载均衡算法(最小负载、最少连接、加权等等)
ipvs 支持服务器健康检查和连接重试等功能

2、Iptables模式

在这种模式下,kube-proxy监视API Server中service和endpoint的变化情况。对于每个service,它都生成相应的iptables规则,这些规则捕获到service的clusterIP和port的流量,并将这些流量随机重定向到service后端Pod。对于每个endpoint对象,它生成选择后端Pod的iptables规则。

如果选择的第一个Pod没有响应,kube-proxy将检测到到第一个Pod的连接失败,并将自动重试另一个后端Pod。

拓扑图:

缺点:

iptables 因为它纯粹是为防火墙而设计的,并且基于内核规则列表,集群数量越多性能越差。

一个例子是,在5000节点集群中使用 NodePort 服务,如果我们有2000个服务并且每个服务有10个 pod,这将在每个工作节点上至少产生20000个 iptable 记录,这可能使内核非常繁忙。

3、IPVS模式(NAT模式)

在这种模式下,kube-proxy监听API Server中service和endpoint的变化情况,调用netlink接口创建相应的ipvs规则,并定期将ipvs规则与Kubernetes服 Services和Endpoints同步。保证IPVS状态。当访问Services时,IPVS将流量定向到后端pod之一。

IPVS代理模式基于netfilter hook函数,该函数类似于iptables模式,但使用hash表作为底层数据结构,在内核空间中工作。这意味着IPVS模式下的kube-proxy使用更低的重定向流量。其同步规则的效率和网络吞吐量也更高。

拓扑图:

4、ipvs代理模  这种模式,kube-proxy会监视KubernetesService对象和Endpoints。,调用netlink接口以相应ipvs规则并定期与Kubernetes service对象和Endpoints对象同步ipvs规则,以确保ipvs状态与期望一致,访问服务时,流量将重定向到具中一个后端Pod与iptables类似,ipvs于netfilter的hook功能,但使用希表作为底层数据结构并在内核空间中工作。这意ipvs可以更快地重定向流量,并且在同步代理规则时貝有更好的性能。此外,ipvs为负载均衡算法提供了更多选顶,
冽如:
rr :轮询调度
lc :最小连接数
dh:目标哈希
sh:源哈希
sed:最短期望延迟
np:不排队调度

说明:

ipvs依赖iptables进行包过滤、SNAT、masquared(伪装)。 使用 ipset 来存储需要 DROP 或 masquared 的流量的源或目标地址,以确保 iptables 规则的数量是恒定的,这样我们就不需要关心我们有多少服务了

如果没有加载并启用ipvs模块,或者没有配置ipvs相关配置,则会被降级成iptables模式。

二、安装前期准备

本次集群的规划:

   角色             ip                                   组件
clihouse01    192.168.112.131      kube-apiserver,kube-controller-manager,kube-scheduler,etcd, nginx,calico,keepalived(192.168.112.130)
clihouse02    192.168.112.132      kube-apiserver,kube-controller-manager,kube-scheduler,etcd, nginx,calico,keepalived(192.168.112.130)
clihouse03    192.168.112.133      kubelet,kube-proxy,docker etcd、calico
clihouse04    192.168.112.134      kubelet,kube-proxy,docker etcd、calico

1、操作系统初始化配置

#关闭防火墙
systemctl stop firewalld
systemctl disable firewalld

#关闭selinux
sed -i 's/enforcing/disabled/' /etc/selinux/config  # 永久
setenforce 0  # 临时

#关闭swap
swapoff -a  # 临时
sed -ri 's/.*swap.*/#&/' /etc/fstab    # 永久

#根据规划设置主机名
hostnamectl set-hostname <hostname>

#在master添加hosts
cat >> /etc/hosts << EOF
192.168.112.131 k8s-master
192.168.112.132 k8s-node1
192.168.112.133 k8s-node2
EOF

#时间同步
yum install -y chrony
vim /etc/chrony.conf
systemctl restart chronyd
systemctl enable chronyd
chronyc sources

#修改内核参数
cat > /etc/sysctl.d/k8s.conf << EOF
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sysctl --system

#加载ipvs模块
modprobe -- ip_vs
modprobe -- ip_vs_rr
modprobe -- ip_vs_wrr
modprobe -- ip_vs_sh
modprobe -- nf_conntrack_ipv4
lsmod | grep ip_vs
lsmod | grep nf_conntrack_ipv4

yum install -y ipvsadm

三、安装etcd集群

1、准备自签证书工具

#创建工作目录
mkdir -p ~/TLS/{etcd,k8s}
cd  ~/TLS/etcd

#工具下载
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

#工具配置
chmod +x cfssl*
mv cfssl_linux-amd64 /opt/kubernetes//bin/cfssl
mv cfssljson_linux-amd64 /opt/kubernetes//bin/cfssljson
mv cfssl-certinfo_linux-amd64 /opt/kubernetes//bin/cfssl-certinfo

2、配置ca请求文件

cat > ca-csr.json << EOF
{
  "CN": "kubernetes",
  "key": {
      "algo": "rsa",
      "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Sichuan",
      "L": "Chengdu",
      "O": "k8s",
      "OU": "system"
    }
  ],
  "ca": {
          "expiry": "175200h"
  }
}
EOF

#创建ca证书
cfssl gencert -initca ca-csr.json  | cfssljson -bare ca
注:
CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)

3、配置ca证书策略

cat > ca-config.json << EOF
{
  "signing": {
      "default": {
          "expiry": "175200h"
        },
      "profiles": {
          "kubernetes": {
              "usages": [
                  "signing",
                  "key encipherment",
                  "server auth",
                  "client auth"
              ],
              "expiry": "175200h"
          }
      }
  }
}
EOF

4、配置etcd请求csr文件

cat > etcd-csr.json << EOF
{
  "CN": "etcd",
  "hosts": [
    "127.0.0.1",
    "192.168.112.131",
    "192.168.112.132",
    "192.168.112.133",
    "192.168.112.134"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [{
    "C": "CN",
    "ST": "Sichuan",
    "L": "Chengdu",
    "O": "k8s",
    "OU": "system"
  }]
}
EOF

生成证书
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes etcd-csr.json | cfssljson  -bare etcd

5、部署etcd集群,下载etcd软件包

#创建安装目录
mkdir /opt/etcd/{bin,cfg,ssl,etcd} -p

#下载安装包
wget https://github.com/etcd-io/etcd/releases/download/v3.4.9/etcd-v3.4.9-linux-amd64.tar.gz

#解压
tar -zxvf etcd-v3.4.9-linux-amd64.tar.gz

#拷贝二进制包
cp -p etcd-v3.4.9-linux-amd64/etcd* /opt/etcd/bin

#拷贝至其他节点
scp -p etcd-v3.4.9-linux-amd64/etcd* root@192.168.112.132:/opt/etcd/bin
scp -p etcd-v3.4.9-linux-amd64/etcd* root@192.168.112.133:/opt/etcd/bin

6、创建配置文件

cat > /opt/etcd/cfg/etcd.conf << EOF
#[Member]
ETCD_NAME="etcd1"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.112.131:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.112.131:2379,http://127.0.0.1:2379"

#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.112.131:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.112.131:2379"
ETCD_INITIAL_CLUSTER="etcd1=https://192.168.112.131:2380,etcd2=https://192.168.112.132:2380,etcd3=https://192.168.112.133:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
EOF
记得其他两个节点修改相应的IP地址

注:
ETCD_NAME:节点名称,集群中唯一
ETCD_DATA_DIR:数据目录
ETCD_LISTEN_PEER_URLS:集群通信监听地址
ETCD_LISTEN_CLIENT_URLS:客户端访问监听地址
ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址
ETCD_ADVERTISE_CLIENT_URLS:客户端通告地址
ETCD_INITIAL_CLUSTER:集群节点地址
ETCD_INITIAL_CLUSTER_TOKEN:集群Token
ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new是新集群,existing表示加入已有集群

7、创建启动服务文件

cat > /usr/lib/systemd/system/etcd.service << EOF
[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target

[Service]
Type=notify
EnvironmentFile=-/opt/etcd/cfg/etcd.conf
WorkingDirectory=/opt/etcd/etcd/
ExecStart=/opt/etcd/bin/etcd \\
  --cert-file=/opt/etcd/ssl/etcd.pem \\
  --key-file=/opt/etcd/ssl/etcd-key.pem \\
  --trusted-ca-file=/opt/etcd/ssl/ca.pem \\
  --peer-cert-file=/opt/etcd/ssl/etcd.pem \\
  --peer-key-file=/opt/etcd/ssl/etcd-key.pem \\
  --peer-trusted-ca-file=/opt/etcd/ssl/ca.pem \\
  --peer-client-cert-auth \\
  --client-cert-auth
Restart=on-failure
RestartSec=5
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF

8、同步相关文件到各个节点

cp ~/TLS/etcd/ca*pem ~/TLS/etcd/etcd*.pem /opt/etcd/ssl/
scp -r /opt/etcd root@192.168.112.132:/opt
scp /usr/lib/systemd/system/etcd.service root@192.168.112.132:/usr/lib/systemd/system/

9、启动etcd集群

mkdir -p /var/lib/etcd/default.etcd
systemctl daemon-reload
systemctl enable etcd.service
systemctl start etcd.service
systemctl status etcd

10、查看集群状态

[root@clihouse01 ~]# ETCDCTL_API=3 /opt/etcd/bin/etcdctl --write-out=table --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/etcd.pem --key=/opt/etcd/ssl/etcd-key.pem \
--endpoints=https://192.168.112.131:2379,https://192.168.112.132:2379,https://192.168.112.133:2379 endpoint health
+------------------------------+--------+-------------+-------+
|           ENDPOINT           | HEALTH |    TOOK     | ERROR |
+------------------------------+--------+-------------+-------+
| https://192.168.112.133:2379 |   true | 23.047021ms |       |
| https://192.168.112.132:2379 |   true | 26.314171ms |       |
| https://192.168.112.131:2379 |   true | 27.191984ms |       |
+------------------------------+--------+-------------+-------+

四、部署docker

#安装docker
wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo -O /etc/yum.repos.d/docker-ce.repo
yum install -y docker-ce
systemctl enable docker
systemctl start docker
docker --version

#修改docker源和驱动
cat > /etc/docker/daemon.json << EOF
{
    "exec-opts": ["native.cgroupdriver=systemd"],
    "registry-mirrors": [
        "https://1nj0zren.mirror.aliyuncs.com",
        "https://kfwkfulq.mirror.aliyuncs.com",
        "https://2lqq34jg.mirror.aliyuncs.com",
        "https://pee6w651.mirror.aliyuncs.com",
        "http://hub-mirror.c.163.com",
        "https://docker.mirrors.ustc.edu.cn",
        "http://f1361db2.m.daocloud.io",
        "https://registry.docker-cn.com"
    ]
}
EOF
systemctl restart docker
docker info | grep "Cgroup Driver"

#下载依赖镜像
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.2
docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.2 k8s.gcr.io/pause:3.2
docker rmi registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.2

docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/coredns:1.7.0
docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/coredns:1.7.0 k8s.gcr.io/coredns:1.7.0
docker rmi registry.cn-hangzhou.aliyuncs.com/google_containers/coredns:1.7.0

人走茶良
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubespray-v2.18.1部署k8s-v1.22.8版本相关二进制文件和安装包(方法一)
04-28
原文链接:https://blog.csdn.net/m0_37814112/article/details/124433423 说明:使用kubespray-v2.18.1工具部署高可用1.22.8版本k8s涉及到的二进制文件和安装包,这里是通过nginx来实现内部下载的,只需要将download目录mv到/usr/share/nginx/html目录下即可
虚拟机使用kubeadm安装k8s(1.20.2版本)集群,从0-1
qq_2908411009的博客
08-09 641
虚拟机安装k8s(1.20.2版本)集群,从0-1
Centos7安装lvs——即安装lvs的管理软件ipvsadm
lihongtai的专栏
12-29 4787
1.验证当前linux是具备lvs功能 [root@nginx-master ~]# ipvsadm  出现上面的错误提示,就证明当前虚拟机不具备实现lvs的功能 2.安装ipvsadm,因为lvs的具体实现是由这个程序来实现的    2.1) 检查内核版本 [root@nginx-master ~]# rpm -q kernel-devel   2.2)下载ipvsa...
CentOS 7配置LVS-集群
建伟博客
12-28 1151
https://blog.51cto.com/shengge520/2068996 https://www.cnblogs.com/yanxinjiang/p/7905011.html 第1章 LVS负载均衡 1.1负载均衡介绍 1.1.1负载均衡简介 负载均衡(Load Balance)集群提供了一种廉价、有效、透明的方法,来扩展网络设备和服务器的负载、带宽、增加吞吐量、加强网络数...
centos7 加载ipvs
vah101的专栏
11-29 1287
yum install ipset ipvsadm -y ipvsadm -l -n cat >> /etc/sysconfig/modules/ipvs.modules << EOF #!/bin/bash modprobe -- ip_vs modprobe -- ip_vs_sh modprobe -- ip_vs_rr modprobe -- ip_vs_wrr modprobe -- nf_conntrack_ipv4 EOF chmod +x /etc/sysco.
在linux-centos 云安装IPVS 说明及配置
ShaoFuQiJie的博客
05-23 7805
一、介绍        IPVS是LVS(Linux Virtual Server)项目重要组成部分,目前包含于官方Linux Kernel,IPVS依赖于netfilter框架,位于内核源码的net/netfilter/ipvs目录下。IPVS也是一个开源软件        IPVSD的主要用途是为web服务器提供一个“前端”,处理入向连接请求。然后这些请求会发给各个http服务器来处理相应。I...
云原生|kubernetes|kubeadm方式安装部署 kubernetes1.20(可离线安装,修订版---2022-10-15)
zsk_john的技术分享专用博客
08-13 4094
kubernetes1.20的离线安装 前言: 首先呢,kubernetes通常简称为k8s(首尾字母是k和s,中间有8个字母),下面就都使用简称了,k8s版本不多,但版本变化剧烈,据说1.22版本后不支持docker了,现在的主流版本是1.20。 其实,k8s指的是一个各种组件组成的一个完整的分布式套件集群,和大数据组合套件一样,有各种各样的组件,比如etcd,flummer,kubelet,kubectl,kube-proxy这些组件,和CDH类似,但又不是完全相同。 既然是集群了,那么部署
Centos 8安装Kubernetes 1.16.3 环境搭建实战(ipvs篇)
engchina的专栏
12-01 1758
使用 kubeadm 搭建Kubernetes 1.16.3单节点集群实战(基于Centos 8) 详细步骤: 1,修改hosts vi /etc/hosts 追加enp0s8的ip和hostname,例如 192.168.56.163 k8stest 2,创建install-k8s.sh #!/bin/bash echo "Start" export IP_ADDR=$(...
LVS负载均衡
识途老码
08-10 1540
IPVS/LVS负载均衡
二进制部署k8s
professorman的博客
03-18 1121
二进制部署k8sk8s的架构而言,需提前构思一下。master节点以及node节点需要的组件是什么,如何形成集群,网络如何架构和设计,数据的存储如何部署 此处即采用一种高可用架构形式即etcd的分部署部署加一个控制节点和两个工作节点,在这其中比较重要的即是etcd数据很重要,所以采用高可用etcd不多;apiserver服务的重要性,因为是集群唯一数据出入口;所以部署的时候要重视。在一个就是网络方面,把本机网络,pod网络,svc网络隔离开,不产生冲突。最后就是证书方面的问题。下面开始规划部署(此次部署
CentOS7二进制部署K8S_v15.2.pdf
09-14
CentOS7二进制部署K8S_v15.2.pdf
centos7.6离线安装docker-ce-19.03、nvidia-docker2
08-03
离线环境下,在centos7.6系统上安装docker-ce-19.03,nvidia-docker2.4版本,其中docker-ce-19.03在docker-local.tar压缩文件里面,nvidia-docker2在nvidia-docker2.zip文件中。 具体安装流程如下: 1.安装docker ...
CentOS7 使用二进制部署 Kubernetes 1.13集群-附件资源
03-02
CentOS7 使用二进制部署 Kubernetes 1.13集群-附件资源
Linux等保三级整改
人走茶良的博客
07-10 3090
一、操作系统的检测 更多最新更新:请点击这里 1、设置密码安全策略 1)修改vim /etc/login.defs文件 #vim /etc/login.defs PASS_MAX_DAYS 90    # 密码最长过期天数 PASS_MIN_DAYS 80     # 密码最小过期天数 PASS_MIN_LEN 16      # 密码最小长度 PASS_WARN_AGE 14     # 密码过期警告天数 2)修改/etc/pam.d/syst
nginx配置讲解
人走茶良的博客
07-10 2681
一、nginx配置文件 最新更新:请点击这里 nginx主配置文件/etc/nginx/nginx.conf是一个纯文本类型的文件,整个配置文件是以区块的形式组织的。一般,每个区块以一对大括号{}来表示开始与结束。 1、nginx配置文件层次划分 1)Main位于nginx.conf配置文件的最高层 2)Main层下可以有Event、HTTP层 3)HTTP层下面有允许有多个Server层, 用于对不同的网站做不同的配置 4)Server层也允许有多个Location, 用于对不同的路径进行不同模块的
kubernetes-v1.20.4 二进制部署-Calico网络组件、Dashboard和CoreDNS
人走茶良的博客
05-11 1848
一、安装部署Calico   1、创建工作目录 mkdir -p /opt/cni/bin tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin cd /opt/cni/bin scp ./* [email protected]:/opt/cni/bin/   2、docker导入calico镜像 tar -zxvf image.tar.gz docker load < calico-cni.tar docker lo
KVM虚拟机硬盘热添加和扩容
人走茶良的博客
02-18 1758
一、为虚拟机添加一块数据盘   1、添加一块磁盘 qemu-img create -f qcow2 web-add.qcow2 2G   2、虚拟机添加一块硬盘 virsh attach-disk web /opt/web-add.qcow2 vdb --subdriver qcow2       临时添加磁盘 virsh attach-disk web /opt/web-add.qcow2 vdb --subdriver qcow2
Centos7等保三级检查命令
人走茶良的博客
04-16 1436
一、操作系统   1、查看文件权限 查看该文件的权限 ls -la /var/log/audit/audit.log 查看如下文件的权限是否满足 ls -l /etc/passwd ls -l /etc/hosts ls -l /etc/login.defs ls -l /etc/hosts.allow ls -l /etc/shadow ls -l /etc/hosts.deny ls -l /etc/group
centos7二进制部署mysql8.0
最新发布
03-13
首先,你需要从 MySQL 官网下载适用于 CentOS 7 的 MySQL 8.0 的二进制安装包。然后,你需要解压缩安装包并将其安装到你的系统中。接下来,你需要配置 MySQL 的参数和启动选项,以确保它能够正常运行。最后,你需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值