文章目录
一、概念图(架构梳理)
二、Etcd数据库部署
etcd是一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd基于Go语言实现。
etcd是一个服务发现系统,具备以下的特点:
简单:安装配置简单,而且提供了HTTP API进行交互,使用也很简单
安全:支持SSL证书验证
快速:根据官方提供的benchmark数据,单实例支持每秒2k+读操作
可靠:采用raft算法,实现分布式系统数据的可用性和一致性
etcd应用场景
用于服务发现,服务发现(ServiceDiscovery)要解决的是分布式系统中最常见的问题之一,即在同一个分布式集群中的进程或服务如何才能找到对方并建立连接。
要解决服务发现的问题,需要具备下面三种必备属性。
- 一个强一致性、高可用的服务存储目录。
基于Ralf算法的etcd天生就是这样一个强一致性、高可用的服务存储目录。 - 一种注册服务和健康服务健康状况的机制。
用户可以在etcd中注册服务,并且对注册的服务配置key TTL,定时保持服务的心跳以达到监控健康状态的效果。
- 一种查找和连接服务的机制。
通过在etcd指定的主题下注册的服务业能在对应的主题下查找到。为了确保连接,我们可以在每个服务机器上都部署一个proxy模式的etcd,这样就可以确保访问etcd集群的服务都能够互相连接。
2.1、安装制作证书的工具cfssl
etcd群集之间通信都是经过加密的
master
#K8S集群遇到ETCD的报错,报错信息如下,一定要关闭防火墙、iptables和SELINUX,两个都要关闭!!
systemctl stop firewalld
setenforce 0
# 修改主机名
[root@localhost ~]# mkdir k8s
[root@localhost ~]# cd k8s/
//编写cfssl.sh脚本,从官网下载制作证书的工具cfssl,直接放在/usr/local/bin目录下,方便系统识别,最后给工具加执行权限
[root@localhost k8s]# vi cfssl.sh
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo
[root@localhost k8s]# bash cfssl.sh #执行脚本等待安装下载软件
[root@localhost k8s]# ls /usr/local/bin/ #可以看到三个制作证书的工具
cfssl cfssl-certinfo cfssljson
#cfssl:生成证书工具
#cfssl-certinfo:查看证书信息
#cfssljson:通过传入json文件生成证书
2.2、制作CA证书
[root@localhost k8s]# mkdir etcd-cert
[root@localhost k8s]# cd etcd-cert/
#cfssl:生成证书工具
#cfssl-certinfo:查看证书信息
#cfssljson:通过传入json文件生成证书
#提前下载好直接导进去
[root@master01 k8s]# rz -E
rz waiting to receive.
[root@master01 k8s]# ls
cfssl cfssl-certinfo cfssljson etcd-cert
#添加执行权限
[root@master01 k8s]# chmod +x
cfssl cfssl-certinfo cfssljson etcd-cert/
[root@master01 k8s]# chmod +x cfssl*
[root@master01 k8s]# mv cfssl* /usr/local/bin/
1、创建生成ca证书的配置文件
[root@master01 etcd-cert]# cat > ca-config.json <<EOF
> {
> "signing": {
> "default": {
> "expiry": "87600h"
> },
> "profiles": {
> "www": {
> "expiry": "87600h",
> "usages": [
> "signing",
> "key encipherment",
> "server auth",
> "client auth"
> ]
> }
> }
> }
> }
> EOF
2、创建ca证书的签名证书
[root@master01 etcd-cert]# cat > ca-csr.json <<EOF
> {
> "CN": "etcd CA",
> "key": {
> "algo": "rsa",
> "size": 2048
> },
> "names": [
> {
> "C": "CN",
> "L": "Beijing",
> "ST": "Beijing"
> }
> ]
> }
> EOF
3、用ca签名证书生成ca证书,得到ca-key.pem和ca.pem
[root@master01 etcd-cert]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
4、指定etcd三个节点之间的通信验证—需要服务器签名证书 server-csr.json
[root@master01 etcd-cert]# at > server-csr.json <<EOF
> {
> "CN": "etcd",
> "hosts": [
> "192.168.158.10",
> "192.168.158.20",
> "192.168.158.30"
> ],
> "key": {
> "algo": "rsa",
> "size": 2048
> },
> "names": [
> {
> "C": "CN",
> "L": "BeiJing",
> "ST": "BeiJing"
> }
> ]
> }
> EOF
Garbled time
[root@master01 etcd-cert]# ls
ca-config.json ca-csr.json ca.pem server-csr.json
ca.csr ca-key.pem etcd-cert.sh
5、用ca-key.pem、ca.pem、服务器签名证书 生成ETCD证书 ----server-key.pem、server.pem
[root@master01 etcd-cert]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server
2.3、使用证书、etcd脚本搭建ETCD集群
上传一个生成ETCD配置文件的脚本etcd.sh到 /root/k8s 目录下,脚本内容如下:
[root@master01 k8s]# cat etcd.sh
#!/bin/bash
# example: ./etcd.sh etcd01 192.168.1.10 etcd02=https://192.168.1.11:2380,etcd03=https://192.168.1.12:2380
ETCD_NAME=$1
ETCD_IP=$2
ETCD_CLUSTER=$3
WORK_DIR=/opt/etcd
cat <<EOF >$WORK_DIR/cfg/etcd
#[Member]
ETCD_NAME="${ETCD_NAME}"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://${ETCD_IP}:2380"
ETCD_LISTEN_CLIENT_URLS="https://${ETCD_IP}:2379"
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://${ETCD_IP}:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://${ETCD_IP}:2379"
ETCD_INITIAL_CLUSTER="etcd01=https://${ETCD_IP}:2380,${ETCD_CLUSTER}"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
EOF
cat <<EOF >/usr/lib/systemd/system/etcd.service
[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target
[Service]
Type=notify
EnvironmentFile=${WORK_DIR}/cfg/etcd
ExecStart=${WORK_DIR}/bin/etcd \
--name=\${ETCD_NAME} \
--data-dir=\${ETCD_DATA_DIR} \
--listen-peer-urls=\${ETCD_LISTEN_PEER_URLS} \
--listen-client-urls=\${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \
--advertise-client-urls=\${ETCD_ADVERTISE_CLIENT_URLS} \
--initial-advertise-peer-urls=\${ETCD_INITIAL_ADVERTISE_PEER_URLS} \
--initial-cluster=\${ETCD_INITIAL_CLUSTER} \
--initial-cluster-token=\${ETCD_INITIAL_CLUSTER_TOKEN} \
--initial-cluster-state=new \
--cert-file=${WORK_DIR}/ssl/server.pem \
--key-file=${WORK_DIR}/ssl/server-key.pem \
--peer-cert-file=${WORK_DIR}/ssl/server.pem \
--peer-key-file=${WORK_DIR}/ssl/server-key.pem \
--trusted-ca-file=${WORK_DIR}/ssl/ca.pem \
--peer-trusted-ca-file=${WORK_DIR}/ssl/ca.pem
Restart=on-failure
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
EOF
systemctl daemon-reload
systemctl enable etcd
systemctl restart etcd
上传文件到k8s目录下
先解压 etcd软件包到当前目录下,再创建etcd集群的工作目录
[root@master01 k8s]# tar xf etcd-v3.3.10-linux-amd64.tar.gz
[root@master01 k8s]# ls etcd-v3.3.10-linux-amd64
Documentation etcd etcdctl README-etcdctl.md README.md READMEv2-etcdctl.md
#稍后使用源码包中的etcd、etcdctl 应用程序命令
[root@master01 k8s]# mkdir -p /opt/etcd/{cfg,bin,ssl}
[root@master01 k8s]# ls /opt/etcd/
bin cfg ssl
1、把etcd、etcdctl 执行文件放在/opt/etcd/bin/
[root@master01 k8s]# mv etcd-v3.3.10-linux-amd64/etcd etcd-v3.3.10-linux-amd64/etcdctl /opt/etcd/bin/
2、拷贝证书到/opt/etcd/ssl/目录下
[root@master01 k8s]# cp etcd-cert/*.pem /opt/etcd/ssl/
[root@master01 k8s]# ls /opt/etcd/ssl/
ca-key.pem ca.pem server-key.pem server.pem
执行 etcd.sh 脚本产生etcd集群的配置脚本和服务启动脚本,进入卡住状态等待其他节点加入
[root@master01 k8s]# bash etcd.sh etcd01 192.168.158.10 etcd02=https://192.168.158.20:2380,etcd03=https://192.168.158.30:2380
Created symlink from /etc/systemd/system/multi-user.target.wants/etcd.service to /usr/lib/systemd/system/etcd.service.
//使用另外一个会话窗口,会发现etcd进程己经开启
[root@localhost k8s]# ps -ef | grep etcd
2.4、node节点加入ETCD集群(实现内部通讯)
1、在master节点上拷贝证书去其他node节点
[root@master01 k8s]# scp -r /opt/etcd/ root@192.168.158.20:/opt/
[root@master01 k8s]# scp -r /opt/etcd/ root@192.168.158.30:/opt/
2、把master节点的启动脚本拷贝其他节点
[root@master01 k8s]# scp /usr/lib/systemd/system/etcd.service root@192.168.158.20:/usr/lib/systemd/system/
root@192.168.158.20's password:
etcd.service 100% 923 16.1KB/s 00:00
[root@master01 k8s]# scp /usr/lib/systemd/system/etcd.service root@192.168.158.30:/usr/lib/systemd/system/
root@192.168.158.30's password:
etcd.service 100% 923 82.4KB/s 00:00
3、在node01 节点上修改配置文件
#[Member]
ETCD_NAME="etcd02"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.158.20:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.158.20:2379"
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.158.20:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.158.20:2379"
ETCD_INITIAL_CLUSTER="etcd01=https://192.168.158.10:2380,etcd02=https://192.168.158.20:2380,etcd03=https://192.168.158.30:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
4、在node02 节点上修改配置文件
[root@localhost ~]# cat /opt/etcd/cfg/etcd
#[Member]
ETCD_NAME="etcd03"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.158.30:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.158.30:2379"
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.158.30:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.158.30:2379"
ETCD_INITIAL_CLUSTER="etcd01=https://192.168.158.10:2380,etcd02=https://192.168.158.20:2380,etcd03=https://192.168.158.30:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
5、在master节点输入bash等待node节点加入集群,同时快速启动 node01、node02节点
[root@master01 ssl]# bash etcd.sh etcd01 192.168.158.10 etcd02=https://192.168.158.20:2380,etcd03=https://192.168.1588.30:2380
[root@node01 ~]# systemctl start etcd
[root@node02 ~]# systemctl start etcd
2.5、检查集群状态
在master节点上执行,注意:要注意证书的路径
[root@master01 ssl]# /opt/etcd/bin/etcdctl --ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem --endpoints="https://192.168.158.10:2379,https://192.168.158.20:2379,https://192.168.158.30:2379" cluster-health
member 1efac82793d2ec3a is healthy: got healthy result from https://192.168.158.20:2379
member 9603ef4cdb35a723 is healthy: got healthy result from https://192.168.158.30:2379
member abba0302c48091fa is healthy: got healthy result from https://192.168.158.10:2379
cluster is healthy
三、docker引擎部署
node节点部署docker引擎,参考之前的博客
学会Docker原理和安装及下载优化一篇就够了!!!
四、Flannel网络组件
Flannel实质上是一种“覆盖网络(overlay network)”,也就是将TCP数据包装在另一种网络包里面进行路由转发和通信,目前已经支持UDP、VxLAN、AWS VPC和GCE路由等数据转发方式。
默认的节点间数据通信方式是UDP转发。
4.1、工作原理
数据从源容器中发出后,经由所在主机的docker0虚拟网卡转发到flannel0虚拟网卡,这是个P2P的虚拟网卡,flanneld服务监听在网卡的另外一端。
Flannel通过Etcd服务维护了一张节点间的路由表,详细记录了各节点子网网段 。
源主机的flanneld服务将原本的数据内容UDP封装后根据自己的路由表投递给目的节点的flanneld服务,数据到达以后被解包,然后直接进入目的节点的flannel0虚拟网卡,然后被转发到目的主机的docker0虚拟网卡,最后就像本机容器通信一下的有docker0路由到达目标容器。
1、在master节点上,将分配的子网段写入到ETCD中,供flannel使用
注意:必须在证书存放的路径执行此命令。
[root@master01 ssl]# /opt/etcd/bin/etcdctl --ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem --endpoints="https://192.168.158.10:2379,https://192.168.158.20:2379,https://192.168.158.30:2379" set /coreos.com/network/config '{ "Network": "172.17.0.0/16", "Backend": {"Type": "vxlan"}}'
查看写入的信息
[root@master01 etcd-cert]# /opt/etcd/bin/etcdctl --ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem --endpoints="https://192.168.158.10:2379,https://192.168.158.20:2379,https://192.168.158.30:2379" get /coreos.com/network/config '{ "Network": "172.17.0.0/16", "Backend": {"Type": "vxlan"}}'
2、两个node节点:上传软件包flannel并解压到宿主目录下 。
[root@node ~]# tar zxvf flannel-v0.10.0-linux-amd64.tar.gz
[root@node ~]# mkdir -p /opt/kubernetes/{cfg,bin,ssl}
[root@node ~]# mv mk-docker-opts.sh flanneld /opt/kubernetes/bin/
[root@node01 ~]# ls /opt/kubernetes/bin/
flanneld mk-docker-opts.sh
上传可以生成配置文件和启动文件的脚本flannel.sh。
//脚本内容:
[root@localhost ~]# vi flannel.sh
#!/bin/bash
ETCD_ENDPOINTS=${1:-"http://127.0.0.1:2379"}
cat <<EOF >/opt/kubernetes/cfg/flanneld
FLANNEL_OPTIONS="--etcd-endpoints=${ETCD_ENDPOINTS} \
-etcd-cafile=/opt/etcd/ssl/ca.pem \
-etcd-certfile=/opt/etcd/ssl/server.pem \
-etcd-keyfile=/opt/etcd/ssl/server-key.pem"
EOF
cat <<EOF >/usr/lib/systemd/system/flanneld.service
[Unit]
Description=Flanneld overlay address etcd agent
After=network-online.target network.target
Before=docker.service
[Service]
Type=notify
EnvironmentFile=/opt/kubernetes/cfg/flanneld
ExecStart=/opt/kubernetes/bin/flanneld --ip-masq \$FLANNEL_OPTIONS
ExecStartPost=/opt/kubernetes/bin/mk-docker-opts.sh -k DOCKER_NETWORK_OPTIONS -d /run/flannel/subnet.env
Restart=on-failure
[Install]
WantedBy=multi-user.target
EOF
systemctl daemon-reload
systemctl enable flanneld
systemctl restart flanneld
4、两个node节点开启flannel网络功能
[root@node0 ~]# bash flannel.sh https://192.168.158.10:2379,https://192.168.158.20:2379,https://192.168.158.30:2379
查看网络状态是否运行
[root@node ~]# systemctl status flanneld
4.2、配置Docker连接flannel网络
两个node节点:修改docker的配置文件
[root@localhost ~]# vi /usr/lib/systemd/system/docker.service
//修改添加两处:
EnvironmentFile=/run/flannel/subnet.env
$DOCKER_NETWORK_OPTIONS
查看 flanne网络分配的子网段
cat /run/flannel/subnet.env
重启docker服务
systemctl daemon-reload
systemctl restart docker
4.3、验证flannel网络互通
1、两个node节点分别创建并自动进入centos:7容器。
[root@node01 ~]# docker run -it centos:7 /bin/bash
Unable to find image 'centos:7' locally
7: Pulling from library/centos
2d473b07cdd5: Pull complete
Digest: sha256:0f4ec88e21daf75124b8a9e5ca03c37a5e937e0e108a255d890492430789b60e
Status: Downloaded newer image for centos:7
[root@c9672b0917b4 /]# ifconfig
bash: ifconfig: command not found
[root@c9672b0917b4 /]# yum -y install net-tools
2、ifconfig查看IP地址,用ping命令检测网络是否互通
总结
ETCD是一种可以自动发现的数据库,互相通讯需要使用CA证书,通过cfssl工具制作证书,通过证书和写脚本搭建Etcd群集,证书和启动脚本传给nide节点,master 运行bash 脚本等待node加入。
Flannel网络组件是为了不同容器建能够互相通讯,数据从原容器中发出后,经由所在主机的docker0虚拟网卡转发到flannel0虚拟网卡,这个是一个虚拟网卡,flanneld服务监听在网卡的另外一段,
Flannel通过Etcd服务维护了一张节点间的路由表,详细记录了各节点子网网段
源主机的flanneld服务将原本的数据内容UDP封装后根据自己的路由表投递给目的节点的flanneld服务,数据到达以后被解包,然后直接进入目的节点的flannel0虚拟网卡,然后被转发到目的主机的docker0虚拟网卡,最后就像本机容器通信一下的有docker0路由到达目标容器。
2364
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
