Centos7二进制部署k8s-v1.20.2 ipvs版本(kube-apiserver、kubelet)

最新推荐文章于 2024-09-25 09:55:24 发布
最新推荐文章于 2024-09-25 09:55:24 发布
阅读量434 收藏 1
点赞数
分类专栏: linux企业运维 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33648367/article/details/120179956
版权

一、kube-apiserver组件部署

获取最新更新以及文章用到的软件包,请移步点击查看更新

1、下载安装包

#下载安装包
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs} 
wget https://dl.k8s.io/v1.20.1/kubernetes-server-linux-amd64.tar.gz

#解压
tar -xf kubernetes-server-linux-amd64.tar.gz
cd kubernetes/server/bin/

#复制到安装目录
cp kube-apiserver kube-controller-manager kube-scheduler  /opt/kubernetes/bin
cp kubectl /usr/local/bin

#同步到其他节点
scp kube-apiserver kube-controller-manager kube-scheduler kubectl root@192.168.112.132:/opt/kubernetes/bin
scp kubectl root@192.168.112.132:/usr/local/bin

2、创建ca请求文件

cd /root/k8s
cat > ca-csr.json << EOF
{
  "CN": "kubernetes",
  "key": {
      "algo": "rsa",
      "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Sichuan",
      "L": "Chengdu",
      "O": "k8s",
      "OU": "system"
    }
  ],
  "ca": {
          "expiry": "175200h"
  }
}
EOF

#创建ca证书
cfssl gencert -initca ca-csr.json  | cfssljson -bare ca

注:
CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)

3、配置ca证书策略

cat > ca-config.json << EOF
{
  "signing": {
      "default": {
          "expiry": "175200h"
        },
      "profiles": {
          "kubernetes": {
              "usages": [
                  "signing",
                  "key encipherment",
                  "server auth",
                  "client auth"
              ],
              "expiry": "175200h"
          }
      }
  }
}
EOF

创建csr请求文件
cat > kube-apiserver-csr.json << EOF
{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "192.168.112.131",
    "192.168.112.132",
    "192.168.112.133",
    "192.168.112.134",
    "192.168.112.135",
    "192.168.112.136",
    "192.168.112.137",
    "192.168.112.130",
    "10.255.0.1",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Sichuan",
      "L": "Chengdu",
      "O": "k8s",
      "OU": "system"
    }
  ]
}
EOF

生成证书
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-apiserver-csr.json | cfssljson -bare kube-apiserver

注:
如果 hosts 字段不为空则需要指定授权使用该证书的 IP 或域名列表。
由于该证书后续被 kubernetes master 集群使用,需要将master节点的IP都填上,同时还需要填写 service 网络的首个IP。(一般是 kube-apiserver 指定的 service-cluster-ip-range 网段的第一个IP,如 10.254.0.1)

4、生成token文件

cat > token.csv << EOF
$(head -c 16 /dev/urandom | od -An -t x | tr -d ' '),kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

5、创建配置文件

cat > /opt/kubernetes/cfg/kube-apiserver.conf << EOF
KUBE_APISERVER_OPTS="--enable-admission-plugins=NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \\
  --anonymous-auth=false \\
  --bind-address=192.168.112.131 \\
  --secure-port=6443 \\
  --advertise-address=192.168.112.131 \\
  --authorization-mode=Node,RBAC \\
  --runtime-config=api/all=true \\
  --enable-bootstrap-token-auth \\
  --service-cluster-ip-range=10.255.0.0/16 \\
  --token-auth-file=/opt/kubernetes/cfg/token.csv \\
  --service-node-port-range=30000-50000 \\
  --tls-cert-file=/opt/kubernetes/ssl/kube-apiserver.pem  \\
  --tls-private-key-file=/opt/kubernetes/ssl/kube-apiserver-key.pem \\
  --client-ca-file=/opt/kubernetes/ssl/ca.pem \\
  --kubelet-client-certificate=/opt/kubernetes/ssl/kube-apiserver.pem \\
  --kubelet-client-key=/opt/kubernetes/ssl/kube-apiserver-key.pem \\
  --service-account-key-file=/opt/kubernetes/ssl/ca-key.pem \\
  --service-account-signing-key-file=/opt/kubernetes/ssl/ca-key.pem  \\
  --service-account-issuer=https://kubernetes.default.svc.cluster.local \\
  --etcd-cafile=/opt/etcd/ssl/ca.pem \\
  --etcd-certfile=/opt/etcd/ssl/etcd.pem \\
  --etcd-keyfile=/opt/etcd/ssl/etcd-key.pem \\
  --etcd-servers=https://192.168.112.131:2379,https://192.168.112.132:2379,https://192.168.112.133:2379 \\
  --enable-swagger-ui=true \\
  --allow-privileged=true \\
  --apiserver-count=3 \\
  --audit-log-maxage=30 \\
  --audit-log-maxbackup=3 \\
  --audit-log-maxsize=100 \\
  --audit-log-path=/opt/kubernetes/logs/kube-apiserver-audit.log \\
  --event-ttl=1h \\
  --alsologtostderr=true \\
  --logtostderr=false \\
  --log-dir=/opt/kubernetes/logs \\
  --v=4"
EOF

注:
–logtostderr:启用日志
–v:日志等级
–log-dir:日志目录
–etcd-servers:etcd集群地址
–bind-address:监听地址
–secure-port:https安全端口
–advertise-address:集群通告地址
–allow-privileged:启用授权
–service-cluster-ip-range:Service虚拟IP地址段
–enable-admission-plugins:准入控制模块
–authorization-mode:认证授权,启用RBAC授权和节点自管理
–enable-bootstrap-token-auth:启用TLS bootstrap机制
–token-auth-file:bootstrap token文件
–service-node-port-range:Service nodeport类型默认分配端口范围
–kubelet-client-xxx:apiserver访问kubelet客户端证书
–tls-xxx-file:apiserver https证书
–etcd-xxxfile:连接Etcd集群证书
–audit-log-xxx:审计日志

6、创建服务启动文件

cat > /usr/lib/systemd/system/kube-apiserver.service << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=etcd.service
Wants=etcd.service

[Service]
EnvironmentFile=-/opt/kubernetes/cfg/kube-apiserver.conf
ExecStart=/opt/kubernetes/bin/kube-apiserver $KUBE_APISERVER_OPTS
Restart=on-failure
RestartSec=5
Type=notify
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF

7、同步相关文件到各个节点

cp ca*.pem kube-apiserver*.pem /opt/kubernetes/ssl/
cp token.csv kube-apiserver.conf /opt/kubernetes/cfg/

scp /usr/lib/systemd/system/kube-apiserver.service root@192.168.112.132:/usr/lib/systemd/system/
scp ca*.pem kube-apiserver*.pem root@192.168.112.132:/opt/kubernetes/ssl/
scp token.csv root@192.168.112.132:/opt/kubernetes/cfg/

注:master2和master3配置文件的IP地址修改为实际的本机IP

启动服务
systemctl daemon-reload
systemctl enable kube-apiserver
systemctl restart kube-apiserver
systemctl status kube-apiserver
测试
curl --insecure https://192.168.112.131:6443/
有返回说明启动正常

二、部署kubectl组件

1、创建csr请求文件

cat > admin-csr.json << EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Sichuan",
      "L": "Chengdu",
      "O": "system:masters",             
      "OU": "system"
    }
  ]
}
EOF

#生成证书
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

#同步证书
cp admin*.pem /opt/kubernetes/ssl/
scp admin*.pem root@192.168.112.132:/opt/kubernetes/ssl/

说明:
后续 kube-apiserver 使用 RBAC 对客户端(如 kubelet、kube-proxy、Pod)请求进行授权;
kube-apiserver 预定义了一些 RBAC 使用的 RoleBindings,如 cluster-admin 将 Group system:masters 与 Role cluster-admin 绑定,该 Role 授予了调用kube-apiserver 的所有 API的权限;
O指定该证书的 Group 为 system:masters,kubelet 使用该证书访问 kube-apiserver 时 ,由于证书被 CA 签名,所以认证通过,同时由于证书用户组为经过预授权的 system:masters,所以被授予访问所有 API 的权限;
注:
这个admin 证书,是将来生成管理员用的kube config 配置文件用的,现在我们一般建议使用RBAC 来对kubernetes 进行角色权限控制, kubernetes 将证书中的CN 字段 作为User, O 字段作为 Group;
“O”: “system:masters”, 必须是system:masters,否则后面kubectl create clusterrolebinding报错。

2、创建kubeconfig配置文件

kubeconfig 为 kubectl 的配置文件,包含访问 apiserver 的所有信息,如 apiserver 地址、CA 证书和自身使用的证书

设置集群参数
kubectl config set-cluster kubernetes --certificate-authority=ca.pem --embed-certs=true --server=https://192.168.112.130:7443 --kubeconfig=kube.config
设置客户端认证参数
kubectl config set-credentials admin --client-certificate=admin.pem --client-key=admin-key.pem --embed-certs=true --kubeconfig=kube.config
设置上下文参数
kubectl config set-context kubernetes --cluster=kubernetes --user=admin --kubeconfig=kube.config
设置默认上下文
kubectl config use-context kubernetes --kubeconfig=kube.config
mkdir ~/.kube
cp kube.config ~/.kube/config

同步kubectl配置文件到其他节点
scp -r /root/.kube root@192.168.112.132:/root/

四、安装nginx和keepalived,对apiserver做高可用负载

1、在两台master节点安装nginx

#编辑yum文件
vim /etc/yum.repos.d/nginx.repo
[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

[nginx-mainline]
name=nginx mainline repo
baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/
gpgcheck=1
enabled=0
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

#安装最新版nginx
yum install nginx -y

#编辑nginx配置文件,nginx四层负载,必须与http同级
vi /etc/nginx/nginx.conf

stream {
    upstream kube-apiserver {
        server 192.168.112.131:6443     max_fails=3 fail_timeout=30s;
        server 192.168.112.132:6443     max_fails=3 fail_timeout=30s;
    }
    server {
        listen 7443;
        proxy_connect_timeout 2s;
        proxy_timeout 900s;
        proxy_pass kube-apiserver;
    }
}

#启动nginx
nginx -t
systemctl start nginx
systemctl enable nginx

2、部署keepalived实现高可用

#安装keepalived 
yum install keepalived -y

#编写keepalived监控脚本
vi /etc/keepalived/check_port.sh
#!/bin/bash
#keepalived 监控端口脚本
#使用方法:
#在keepalived的配置文件中
#vrrp_script check_port {#创建一个vrrp_script脚本,检查配置
#    script "/etc/keepalived/check_port.sh 6379" #配置监听的端口
#    interval 2 #检查脚本的频率,单位(秒)
#}
CHK_PORT=$1
if [ -n "$CHK_PORT" ];then
        PORT_PROCESS=`ss -lnt|grep $CHK_PORT|wc -l`
        if [ $PORT_PROCESS -eq 0 ];then
                echo "Port $CHK_PORT Is Not Used,End."
                exit 1
        fi
else
        echo "Check Port Cant Be Empty!"
fi

#对监控脚本授权
chmod +x /etc/keepalived/check_port.sh

#编辑keepalived配置文件,注意主从配置文件不一样
vi /etc/keepalived/keepalived.conf
主节点:
! Configuration File for keepalived
 
global_defs {
   router_id 192.168.112.131
 
}
 
vrrp_script chk_nginx {
    script "/etc/keepalived/check_port.sh 7443"
    interval 2
    weight -20
}
 
vrrp_instance VI_1 {
    state MASTER
    interface ens192                       修改网卡名字
    virtual_router_id 251
    priority 100
    advert_int 1
    mcast_src_ip 192.168.112.131
    nopreempt   #非抢占式 ,当主节点挂了以后,从节点vip飘到从上,主节点恢复以后,不主动飘回主,需要手动重启keepalived
 
    authentication {
        auth_type PASS
        auth_pass 11111111
    }
    track_script {
         chk_nginx
    }
    virtual_ipaddress {
        192.168.112.130
    }
}

从节点:
! Configuration File for keepalived
global_defs {
    router_id  192.168.112.132
}
vrrp_script chk_nginx {
    script "/etc/keepalived/check_port.sh 7443"
    interval 2
    weight -20
}
vrrp_instance VI_1 {
    state BACKUP
    interface ens192                     修改网卡名字
    virtual_router_id 251
    mcast_src_ip  192.168.112.132
    priority 90
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 11111111
    }
    track_script {
        chk_nginx
    }
    virtual_ipaddress {
        192.168.112.130
    }
}

#启动keepalived并配置开机自启
systemctl start keepalived
systemctl enable keepalived

#检查ip地址
[root@clihouse01 ~]# ip -4 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    inet 192.168.112.131/24 brd 192.168.112.255 scope global noprefixroute ens192
       valid_lft forever preferred_lft forever
    inet 192.168.112.130/32 scope global ens192                        会多一个VIP
       valid_lft forever preferred_lft forever

五、验证集群

#授权kubernetes证书访问kubelet api权限
kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes

#查看集群组件状态
kubectl cluster-info
kubectl get componentstatuses
kubectl get all --all-namespaces

人走茶良
关注
专栏目录
K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 4330
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产中使用功能可能不便于排查故障。二进制方式部署k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
Kubernetes集群V1.26二进制部署
weixin_42642671的博客
04-28 892
离线环境二进制部署k8s:v1.26.15
二进制安装k8s
qq_36819485的博客
05-16 570
Kubectl 操作资源的时候,怎么知道连接到哪个集群,这个是在 kubeadm 初始化 k8s 的时候会告诉我们要用的一个方法,在root目录下创建一个.kube的文件夹,放入config文件,在我们执行命令的时候会自动加载/root/.kube/config文件决定管理那个集群,也可以使用环境变量定义config文件, export KUBECONFIG=文件位置 ,默认先寻找环境变量定义的文件,如果没有去root目录寻找.kube中的config文件。
二进制方式安装K8S
m0_72009757的博客
09-04 958
本⽂章将演示Rocky 8 ⼆进制⽅式安装⾼可⽤k8s 1.28.0版本。⽣产环境中,建议使⽤⼩版本⼤于5的Kubernetes版本,⽐如1.19.5 以后的才可⽤于⽣产环境。
二进制安装K8S
最新发布
m0_71888825的博客
09-25 964
Flannel UDP 模式的工作原理: 数据从主机 A 上 Pod 的源容器中发出后,经由所在主机的 docker0/cni0 网络接口转发到 flannel0 接口,flanneld 服务监听在 flannel0 虚拟网卡的另外一端。------------------------------ 部署 Dashboard ------------------------------ Dashboard 介绍 仪表板是基于Web的Kubernetes用户界面。
【微服务】——Kubernetes架构及原理
汤庆
09-02 981
一、前言 Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。 Kubernetes一个核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着(比如用户想让apache一直运行,用户不需要...
centos7二进制搭建K8s-1.23版本
weixin_43962640的博客
08-10 1786
centos7搭建高可用k8s集群
k8s单节点二进制部署(flannel、etcd、docker、kube-apiserverkube-controller-manager、kube-scheduler、kubelet及proxy)
qq_35456705的博客
04-15 2833
再开一个master1的终端,查看etcd进程已开启 二:K8S部署 Master1:192.168.2.3/24 kube-apiserver kube-controller-manager kube-scheduler etcd Node01:192.168.2.5/24 kubelet kube-proxy docker flannel etcd Node02:192.168.2.6/24 kubelet kube-proxy docker flannel etcd (一)、ETCD组件部署 m.
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(一主多从)》
东城绝神
04-14 1329
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署Kubernetes 1.24.12集群(一主多从)》
K8S 二进制安装
elihe2011的专栏
06-11 1028
K8S 二进制安装1. 环境准备1.1 安装规划1.2 系统设置2. 安装 docker3. TLS 证书3.1 证书工具3.2 证书归类3.3 CA 证书3.4 etcd 证书3.5 kube-apiserver 证书3.6 kube-controller-manager 证书3.8 kube-scheduler 证书3.9 admin 证书3.10 kube-proxy 证书3.11 证书信息3.12 分发证书4. 安装 etcd4.1 节点 etcd-14.2 其他节点4.3 启动5. Master
二进制安装 Kubernetes(k8s
小云的博客
05-30 283
二进制安装 Kubernetes(k8sKubernetes 开源不易,帮忙点个star,谢谢了????介绍 kubernetes(k8s二进制安装后续尽可能第一时间更新新版本文档1.23.3 和 1.23.4 和 1.23.5 和 1.23.6 和 1.24.0 和 1.24.1 文档以及安装包已生成。若不使用IPv6,不对主机进行配置IPv6地址即可,不影响后续,但...
k8s二进制安装
m0_65151204的博客
06-18 830
lizationPercentage: 50 #当Deployment中nginx-fronted pod的CPU利用率超过50%,则增加pod为5个。ab -c100 -n1000000 http://192.168.3.215:30083/ #ab 压测并发100 请求1000000。token也可自行生成替换:head -c 16 /dev/urandom | od -An -t x | tr -d ’ ’格式:token,用户名,UID,用户组。生成kube-proxy文件。
二进制安装k8s-1.15.2详解及集群技巧详解
Kubernetes(K8S)是一种开源容器编排引擎,旨在帮助用户管理容器化应用程序的部署,扩展和自动化操作。在本文中,我们将详细介绍如何使用二进制安装最新版本Kubernetes-1.15.2,并提供以下内容的步骤和指南: 1....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值