k8s二进制安装篇4-运算节点安装

最新推荐文章于 2022-05-01 18:06:43 发布
最新推荐文章于 2022-05-01 18:06:43 发布
阅读量146 收藏 1
点赞数
分类专栏: 运维 文章标签: 运维 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45271350/article/details/120138910
版权

一,kubelet 部署

1,签发证书
证书签发在 192.168.1.245 操作

vim kubelet-csr.json
{
    "CN": "k8s-kubelet",
    "hosts": [
    "127.0.0.1",
    "192.168.1.247",
    "192.168.1.248",
    "192.168.1.250",
    "192.168.1.251",
    "192.168.1.246"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "guangdong",
            "L": "guangzhou",
            "O": "zz",
            "OU": "ops"
        }
    ]
}
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server kubelet-csr.json | cfssljson -bare kubelet

2,下发证书:

scp kubelet.pem kubelet-key.pem 192.168.1.246:/opt/kubernetes/server/bin/certs/
scp kubelet.pem kubelet-key.pem 192.168.1.247:/opt/kubernetes/server/bin/certs/
mkdir /opt/kubernetes/server/bin/certs/(248)
scp kubelet.pem kubelet-key.pem ca.pem 192.168.1.248:/opt/kubernetes/server/bin/certs/

3,创建kubelet配置(246)
set-cluster # 创建需要连接的集群信息,可以创建多个k8s集群信息

 kubectl config set-cluster myk8s  --certificate-authority=/opt/kubernetes/server/bin/certs/ca.pem  --embed-certs=true  --server=https://192.168.1.242:6443  --kubeconfig=/opt/kubernetes/conf/kubelet.kubeconfig

set-credentials # 创建用户账号,即用户登陆使用的客户端私有和证书,可以创建多个证书

kubectl config set-credentials k8s-node --client-certificate=/opt/kubernetes/server/bin/certs/client.pem --client-key=/opt/kubernetes/server/bin/certs/client-key.pem --embed-certs=true --kubeconfig=/opt/kubernetes/conf/kubelet.kubeconfig

set-context # 设置context,即确定账号和集群对应关系

kubectl config set-context myk8s-context  --cluster=myk8s  --user=k8s-node --kubeconfig=/opt/kubernetes/conf/kubelet.kubeconfig

use-context # 设置当前使用哪个context

kubectl config use-context myk8s-context --kubeconfig=/opt/kubernetes/conf/kubelet.kubeconfig

4,把此配置文件传给另两台就不用做以上四步:

scp /opt/kubernetes/conf/kubelet.kubeconfig 192.168.1.247:/opt/kubernetes/conf/
scp /opt/kubernetes/conf/kubelet.kubeconfig 192.168.1.248:/opt/kubernetes/conf/

5,启动脚本:
授权k8s-node用户
此步骤只需要在一台master节点执行
授权 k8s-node 用户绑定集群角色 system:node ,让 k8s-node 成为具备运算节点的权限。

vim k8s-node.yaml	
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: k8s-node
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:node
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: k8s-node



kubectl create -f k8s-node.yaml 	
kubectl get clusterrolebinding k8s-node

6,装备pause镜像
将pause镜像放入到harbor私有仓库中,仅在 246 操作:

docker image pull kubernetes/pause
docker tag kubernetes/pause:latest 192.168.1.245:8080/public/pause:latest
docker push 192.168.1.245:8080/public/pause:latest

vim /etc/init.d/kubelet
#!/bin/bash
# chkconfig: 2345 10 90 
# description: myservice ....
APP_NAME=/opt/kubernetes/server/bin/kubelet
NAME=kubelet
now=`date "+%Y%m%d%H%M%S"`

usage() {
    echo "Usage: sh demo.sh [start|stop|restart|status]"
    exit 1
}

is_exist() { 
    pid=`ps -ef | grep $APP_NAME | grep -v grep | awk '{print $2}' `
    if [ -z "${pid}" ]; then
      return 1
    else
      return 0
    fi
}

start() {
   is_exist
   if [ $? -eq "0" ]; then
     echo "${NAME} is already running. pid=${pid} ."
   else
     cd / && nohup  /opt/kubernetes/server/bin/kubelet  --anonymous-auth=false --cgroup-driver systemd --cluster-dns 192.168.0.2 --cluster-domain cluster.local --runtime-cgroups=/systemd/system.slice --kubelet-cgroups=/systemd/system.slice --fail-swap-on="false" --client-ca-file /opt/kubernetes/server/bin/certs/ca.pem --tls-cert-file /opt/kubernetes/server/bin/certs/kubelet.pem --tls-private-key-file /opt/kubernetes/server/bin/certs/kubelet-key.pem --hostname-override 192.168.1.248 --image-gc-high-threshold 20 --image-gc-low-threshold 10 --kubeconfig   /opt/kubernetes/conf/kubelet.kubeconfig --log-dir /data/logs/kubernetes/kube-kubelet --pod-infra-container-image 192.168.1.245:8080/public/pause:latest --root-dir /data/kubelet  &
   fi
}

stop() {
   is_exist
   if [ $? -eq "0" ]; then
     kill -9 $pid
   else
     echo "${NAME} is not running"
   fi
}

status() {
   is_exist
   if [ $? -eq "0" ]; then
     echo "${NAME} is running. Pid is ${pid}"
   else
     echo "${NAME} is not running."
   fi
}

restart() {
   stop
   start
}

case "$1" in
   "start")
     start
     ;;
   "stop")
     stop
     ;;
   "status")
     status
     ;;
   "restart")
     restart
     ;;
   *)
     usage
     ;;
esac

chmod  +x   /etc/init.d/kubelet
mkdir -p /data/logs/kubernetes/kube-kubelet /data/kubelet 
service kubelet start
service kubelet status
kubectl get nodes
#开机自启
chkconfig --add kubelet
chkconfig kubelet  on

#验证
]# kubectl get nodes
NAME            STATUS   ROLES    AGE     VERSION
192.168.1.246   Ready    <none>   11m     v1.19.14
192.168.1.247   Ready    <none>   9m19s   v1.19.14
192.168.1.248   Ready    <none>   63s     v1.19.14

二,kube-proxy部署

1,签发证书
证书签发在 192.168.1.245操作

cd /opt/certs/
vim kube-proxy-csr.json  # CN 其实是k8s中的角色
{
    "CN": "system:kube-proxy",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "guangdong",
            "L": "guangzhou",
            "O": "zz",
            "OU": "ops"
        }
    ]
}

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client kube-proxy-csr.json |cfssljson -bare kube-proxy-client

2,下发证书
scp kube-proxy-client-key.pem kube-proxy-client.pem 192.168.1.246:/opt/kubernetes/server/bin/certs/

scp kube-proxy-client-key.pem kube-proxy-client.pem 192.168.1.247:/opt/kubernetes/server/bin/certs/

scp kube-proxy-client-key.pem kube-proxy-client.pem 192.168.1.248:/opt/kubernetes/server/bin/certs/

3,在所有node节点创建,涉及服务器:192.168.1.246,192.168.1.247,192.168.1.248
①创建kube-proxy配置(192.168.1.246)
set-cluster # 创建需要连接的集群信息,可以创建多个k8s集群信息

kubectl config set-cluster myk8s --certificate-authority=/opt/kubernetes/server/bin/certs/ca.pem --embed-certs=true --server=https://192.168.1.242:6443 --kubeconfig=/opt/kubernetes/conf/kube-proxy.kubeconfig

set-credentials # 创建用户账号,即用户登陆使用的客户端私有和证书,可以创建多个证书

kubectl config set-credentials kube-proxy --client-certificate=/opt/kubernetes/server/bin/certs/kube-proxy-client.pem --client-key=/opt/kubernetes/server/bin/certs/kube-proxy-client-key.pem --embed-certs=true --kubeconfig=/opt/kubernetes/conf/kube-proxy.kubeconfig

set-context # 设置context,即确定账号和集群对应关系

kubectl config set-context myk8s-context --cluster=myk8s --user=kube-proxy --kubeconfig=/opt/kubernetes/conf/kube-proxy.kubeconfig

use-context # 设置当前使用哪个context

kubectl config use-context myk8s-context --kubeconfig=/opt/kubernetes/conf/kube-proxy.kubeconfig

把生成配置文件传到另一台机器 那边就可以不用做以上四步

scp /opt/kubernetes/conf/kube-proxy.kubeconfig  192.168.1.248:/opt/kubernetes/conf/
scp /opt/kubernetes/conf/kube-proxy.kubeconfig  192.168.1.247:/opt/kubernetes/conf/

②加载ipvs模块
kube-proxy 共有3种流量调度模式,分别是 namespace,iptables,ipvs,其中ipvs性能最好。

for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

lsmod | grep ip_vs  # 查看ipvs模块

创建日志目录
mkdir -p /data/logs/kubernetes/kube-proxy

创建启动脚本
vim /lib/systemd/system/kube-proxy.service
[Unit]
Description=kube-proxy
Documentation=https://github.com/coreos

[Service]
Type=simple
ExecStart=/opt/kubernetes/server/bin/kube-proxy \
  --cluster-cidr 172.7.0.0/16 \
  --hostname-override 192.168.1.246 \
  --proxy-mode=ipvs \
  --ipvs-scheduler=nq \
  --kubeconfig /opt/kubernetes/conf/kube-proxy.kubeconfig


Restart=on-failure
RestartSec=5

[Install]
WantedBy=multi-user.target


systemctl enable kube-proxy.service
systemctl start kube-proxy.service
Z、D
关注
专栏目录
K8s二进制安装文档--部署master节点.txt
07-27
K8s二进制安装文档--部署master节点.txt
k8s】集群6-运算节点服务kubelet
机智的埃努
07-13 299
1.集群规划 主机名 角色 ip h134.host.com kubelet 192.168.146.134 h135.host.com kubelet 192.168.146.135 PS:以h134为部署对象,h135过程省略 2. 签发证书 对象:h136 这个证书是用于作为服务端时使用 2.1 创建生成证书签名请求(csr)的json配置文件 vim /opt/certs/kubelet-csr.json { "CN": "k8
Kubernetes 1.8.2 个人手动安装实战笔记(系统能起来的!)
大树叶 技术专栏
10-25 1281
本博折腾了好一阵子,从0到1折腾起了基于 Kubernetes 1.8.2 的 纯手动安装 。 下面是个人这套手工安装流程和注解(本人安装K8S就是这样起来的)。 若想要了解更多平台的部署可以参考 Picking the Right Solution来选择自己最喜欢的方式。 本次安装版本为: Kubernetes v1.8.2 Etcd v3.2.9 Calico v2.6.2 D...
K8S二进制部署实践-1.15.5
风水道人
05-01 698
K8S二进制部署实践-1.15.5
12.k8s运算节点-kubelet
sirius
06-02 319
k8s运算节点-kubelet 一、证书准备(node200节点处理) 准备证书签名请求csr vi /opt/certs/kubelet-server-csr.json { "CN": "kubelet-server", "hosts": [ "127.0.0.1", "172.10.10.10", "172.10.10.21", "172.10.10.22" ], "key": { "algo": "rsa",
entos7 k8s v1.5.2二进制部署安装-kubelet组件安装
人走茶良的博客
02-25 237
一、部署kubectl服务   1、工作流程图   2、Kubelet组件运行在Node节点上,维持运行中的Pods以及提供kuberntes运行时环境,主要完成以下使命:     1)监视分配给该Node节点的pods     2)挂载pod所需要的volumes     3)下载pod的secret     4)通过docker/rkt来运行pod中的容器     5)周期的执行pod中为容器定义的liveness探针     6)上报pod的状态给系统的其他组件...
k8s二进制安装文档--etcd集群配置.txt
07-27
k8s二进制安装文档--etcd集群配置.txt
K8S二进制安装文档--kubectl安装kubeconfig文件创建.txt
07-27
K8S二进制安装文档--kubectl安装kubeconfig文件创建.txt
K8S二进制安装--node节点部件kubelete和kube-proxy.txt
07-27
K8S二进制安装--node节点部件kubelete和kube-proxy.txt
k8s二进制部署文件etcd-cert.sh
最新发布
07-30
k8s二进制部署文件etcd-cert.sh
安装kubelet
yanchao963852741的博客
05-03 2781
1、签发kubelet证书并拷贝 vim kubelet-csr.json { "CN": "k8s-kubelet", "hosts": [ "127.0.0.1", "10.4.7.9", "10.4.7.12", "10.4.7.13", "10.4.7.15", "10.4.7.16", "10.4.7.17", ...
通过k8s api 审批 kubelet 发起的 CSR 请求,用于二制部署k8s集群自动添加节点的操作
x10n9的博客
07-28 790
通过k8s api 审批 kubelet 发起的 CSR 请求 kubectl certificate approve node-csr-xxxxxxxxxxxxxxxxxxxxx import requests, json class K8csr: def init(self, url, token): self._url = url self._token = token self.headers = {“Authorization”: "Bearer " + self._token, “Accept”
搭建K8S集群之node节点部署
后场技术
08-24 2466
在上一文章中,我们完成了K8S系列之K8S集群之Master节点部署,在这文章中,我们将开始部署Node节点相关的组件。在node节点上,需要部署kubeletkube-proxy...
K8S安装(五) kubelet组件安装
05-28 1822
概述资料地址:https://blog.csdn.net/bbwangj/article/details/81904350 Kubelet组件运行在Node节点上,维持运行中的Pods以及提供kuberntes运行时环境,主要完成以下使命: 1.监视分配给该Node节点的pods 2.挂载pod所需要的volumes 3.下载pod的secret 4.通过docker/rkt来运行pod中的容器 5.周期的执行pod中为容器定义的liveness探针 6.上报pod的状态...
kubernetes1.5.2集群部署过程--安全模式
ddk4044的博客
09-01 227
使用https安全模式部署kubernetes集群,能保证集群通讯安全、有效限制非授权用户访问。但部署比非安全模式复杂的多。 本文为etcd、kubernetes集群中各个组件配置证书认证,所有组件通讯之间使用https通讯。 运行环境 宿主机:CentOS7 7.3.1611 关闭selinux etcd 3.1.9 flunnel 0.7.1 docker 1.12....
Kubernentes中的身份验证
ddk4044的博客
08-28 243
Kubernentes中的身份验证 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 和其它证书; 生成的 CA 证书和秘钥文件如下: ca-key.pemca.pemkubernetes-key.pemkubernetes.pem...
第三章 kubernetes创建TLS证书和秘钥
kubernetes中文社区
04-22 2291
创建TLS证书和秘钥 前言 执行下列步骤前建议你先阅读以下内容: 管理集群中的TLS:教您如何创建TLS证书 kubelet的认证授权:向您描述如何通过认证授权来访问 kubelet 的 HTTPS 端点 TLSbootstrap:介绍如何为 kubelet 设置 TLS 客户端证书引导(bootstrap)。 注意:这一步是在安装配置kubernetes的所有步骤中最容易出错也最难...
Kubernetes安装之证书验证
Kubernetes中文社区
05-08 5596
前言 昨晚(Apr 9,2017)金山软件的opsnull发布了一个开源项目和我一步步部署kubernetes集群,下文是结合我之前部署kubernetes的过程打造的kubernetes环境和opsnull的文章创建 kubernetes 各组件 TLS 加密通信的证书和秘钥的实践。之前安装过程中一直使用的是非加密方式,一直到后来使用Fluentd和ElasticSearch收集Kub
kubernetes1.8.4安装指南 -- 5. 证书生成
陈海峰的博客
12-11 2022
下载cfssl cd /usr/local/src/ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o cfssljson wget https://pkg.cfssl.org/R1.2/cfssl
二进制安装k8s-1.15.2详解及集群技巧详解
4. 安装部署运算节点服务-kubelet:接下来,我们将在运算节点安装和配置kubelet服务,用于管理容器运行时和资源。同样,我们将使用二进制文件,并按照官方文档提供的指南进行操作。 5. 安装部署核心插件flannel:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值