kubernetes 源码分析之kubeadm(三)

最新推荐文章于 2024-07-27 23:40:41 发布
最新推荐文章于 2024-07-27 23:40:41 发布
阅读量3.5w 收藏
点赞数
分类专栏: Kubernetes 文章标签: 源码 kubernetes kubeadm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010278923/article/details/70228487
版权

上一篇介绍了kubeadm的init这篇主要讲解join,它们我们用kubeadm最常用的两个组件。
和init的一样,首先还是配置解析参数,创建join结构体

func NewJoin(cfgPath string, args []string, cfg *kubeadmapi.NodeConfiguration, skipPreFlight bool) (*Join, error) {
    fmt.Println("[kubeadm] WARNING: kubeadm is in beta, please do not use it for production clusters.")

    if cfgPath != "" {
        b, err := ioutil.ReadFile(cfgPath)
        if err != nil {
            return nil, fmt.Errorf("unable to read config from %q [%v]", cfgPath, err)
        }
        if err := runtime.DecodeInto(api.Codecs.UniversalDecoder(), b, cfg); err != nil {
            return nil, fmt.Errorf("unable to decode config from %q [%v]", cfgPath, err)
        }
    }

    if !skipPreFlight {
        fmt.Println("[preflight] Running pre-flight checks")

        // First, check if we're root separately from the other preflight checks and fail fast
        if err := preflight.RunRootCheckOnly(); err != nil {
            return nil, err
        }

        // Then continue with the others...
        if err := preflight.RunJoinNodeChecks(cfg); err != nil {
            return nil, err
        }
    } else {
        fmt.Println("[preflight] Skipping pre-flight checks")
    }

    // Try to start the kubelet service in case it's inactive
    preflight.TryStartKubelet()

    return &Join{cfg: cfg}, nil
}

skipPreFlight这类的也是和init一样,只不过检查的内容不一样

checks := []Checker{
        SystemVerificationCheck{},
        IsRootCheck{},
        HostnameCheck{},
        ServiceCheck{Service: "kubelet", CheckIfActive: false},
        ServiceCheck{Service: "docker", CheckIfActive: true},
        PortOpenCheck{port: 10250},
        DirAvailableCheck{Path: filepath.Join(kubeadmapi.GlobalEnvParams.KubernetesDir, "manifests")},
        DirAvailableCheck{Path: "/var/lib/kubelet"},
        FileAvailableCheck{Path: cfg.CACertPath},
        FileAvailableCheck{Path: filepath.Join(kubeadmapi.GlobalEnvParams.KubernetesDir, kubeadmconstants.KubeletKubeConfigFileName)},
        FileContentCheck{Path: bridgenf, Content: []byte{'1'}},
        InPathCheck{executable: "ip", mandatory: true},
        InPathCheck{executable: "iptables", mandatory: true},
        InPathCheck{executable: "mount", mandatory: true},
        InPathCheck{executable: "nsenter", mandatory: true},
        InPathCheck{executable: "ebtables", mandatory: false},
        InPathCheck{executable: "ethtool", mandatory: false},
        InPathCheck{executable: "socat", mandatory: false},
        InPathCheck{executable: "tc", mandatory: false},
        InPathCheck{executable: "touch", mandatory: false},
    }

然后是执行命令:

func (j *Join) Run(out io.Writer) error {
    cfg, err := discovery.For(j.cfg)
    if err != nil {
        return err
    }

    hostname, err := os.Hostname()
    if err != nil {
        return err
    }
    client, err := kubeconfigutil.KubeConfigToClientSet(cfg)
    if err != nil {
        return err
    }
    if err := kubenode.ValidateAPIServer(client); err != nil {
        return err
    }
    if err := kubenode.PerformTLSBootstrap(cfg, hostname); err != nil {
        return err
    }

    kubeconfigFile := filepath.Join(kubeadmapi.GlobalEnvParams.KubernetesDir, kubeadmconstants.KubeletKubeConfigFileName)
    if err := kubeconfigutil.WriteToDisk(kubeconfigFile, cfg); err != nil {
        return err
    }

    // Write the ca certificate to disk so kubelet can use it for authentication
    cluster := cfg.Contexts[cfg.CurrentContext].Cluster
    err = certutil.WriteCert(j.cfg.CACertPath, cfg.Clusters[cluster].CertificateAuthorityData)
    if err != nil {
        return fmt.Errorf("couldn't save the CA certificate to disk: %v", err)
    }

    fmt.Fprintf(out, joinDoneMsgf)
    return nil
}

它不init要简单,首先是获取主机名,创建k8s api调用的client,然后通过客户端验证版本,执行节点的签名请求kubelet-csr,然后生成kubelet的kubeconfig,这样kubelet就可以加入到集群里面了。这里有个点需要交代清楚。
第一是在初始化cfg的时候是把v1alpha1转成内部版本。并且在此之前还有Defualt过程,

func SetDefaults_NodeConfiguration(obj *NodeConfiguration) {
    if obj.CACertPath == "" {
        obj.CACertPath = DefaultCACertPath
    }
    if len(obj.TLSBootstrapToken) == 0 {
        obj.TLSBootstrapToken = obj.Token
    }
    if len(obj.DiscoveryToken) == 0 && len(obj.DiscoveryFile) == 0 {
        obj.DiscoveryToken = obj.Token
    }
    // Make sure file URLs become paths
    if len(obj.DiscoveryFile) != 0 {
        u, err := url.Parse(obj.DiscoveryFile)
        if err == nil && u.Scheme == "file" {
            obj.DiscoveryFile = u.Path
        }
    }
}

这个Default()函数中最重要的是obj.TLSBootstrapToken = obj.Token,这个在后面会遇到,请大家记住这个赋值。
第二个问题是获取获取初始化cluster-info信息cmd/kubeadm/app/discovery/token/token.go。

var clusterinfo *v1.ConfigMap
        wait.PollInfinite(constants.DiscoveryRetryInterval, func() (bool, error) {
            var err error
            clusterinfo, err = client.CoreV1().ConfigMaps(metav1.NamespacePublic).Get(bootstrapapi.ConfigMapClusterInfo, metav1.GetOptions{})
            if err != nil {
                fmt.Printf("[discovery] Failed to request cluster info, will try again: [%s]\n", err)
                return false, nil
            }
            return true, nil
        })

掉用k8s api获取cluster-info信息。从而获取kubeconfig。
第三个问题是签名认证cmd/kubeadm/app/node/csr.go:

func PerformTLSBootstrap(cfg *clientcmdapi.Config, hostName string) error {
    client, err := kubeconfigutil.KubeConfigToClientSet(cfg)
    if err != nil {
        return err
    }

    fmt.Println("[csr] Created API client to obtain unique certificate for this node, generating keys and certificate signing request")

    key, err := certutil.MakeEllipticPrivateKeyPEM()
    if err != nil {
        return fmt.Errorf("failed to generate private key [%v]", err)
    }

    cert, err := csr.RequestNodeCertificate(client.CertificatesV1beta1().CertificateSigningRequests(), key, types.NodeName(hostName))
    if err != nil {
        return fmt.Errorf("failed to request signed certificate from the API server [%v]", err)
    }
    fmt.Println("[csr] Received signed certificate from the API server, generating KubeConfig...")

    cfg.AuthInfos[CSRContextAndUser] = &clientcmdapi.AuthInfo{
        ClientKeyData:         key,
        ClientCertificateData: cert,
    }
    cfg.Contexts[CSRContextAndUser] = &clientcmdapi.Context{
        AuthInfo: CSRContextAndUser,
        Cluster:  cfg.Contexts[cfg.CurrentContext].Cluster,
    }
    cfg.CurrentContext = CSRContextAndUser
    return nil
}

先生存key,然后执行RequestNodeCertificate,这个方法先创建csr,然后发送给api,如果签名成功就返回签名过后的证书。这为后续生存kubeconfig里面的client-certificate-data准备的参数

func RequestNodeCertificate(client certificatesclient.CertificateSigningRequestInterface, privateKeyData []byte, nodeName types.NodeName) (certData []byte, err error) {
    subject := &pkix.Name{
        Organization: []string{"system:nodes"},
        CommonName:   fmt.Sprintf("system:node:%s", nodeName),
    }

    privateKey, err := certutil.ParsePrivateKeyPEM(privateKeyData)
    if err != nil {
        return nil, fmt.Errorf("invalid private key for certificate request: %v", err)
    }
    csrData, err := certutil.MakeCSR(privateKey, subject, nil, nil)
    if err != nil {
        return nil, fmt.Errorf("unable to generate certificate request: %v", err)
    }
    return RequestCertificate(client, csrData, []certificates.KeyUsage{
        certificates.UsageDigitalSignature,
        certificates.UsageKeyEncipherment,
        certificates.UsageClientAuth,
    })
}

那么这个join就完成了,当然kubeadm除了join还有一些别的命令如reset,这个命令比较简单粗暴简单我大概说一下:

func (r *Reset) Run(out io.Writer) error {

    // Try to stop the kubelet service
    initSystem, err := initsystem.GetInitSystem()
    if err != nil {
        fmt.Println("[reset] WARNING: The kubelet service couldn't be stopped by kubeadm because no supported init system was detected.")
        fmt.Println("[reset] WARNING: Please ensure kubelet is stopped manually.")
    } else {
        fmt.Println("[reset] Stopping the kubelet service")
        if err := initSystem.ServiceStop("kubelet"); err != nil {
            fmt.Printf("[reset] WARNING: The kubelet service couldn't be stopped by kubeadm: [%v]\n", err)
            fmt.Println("[reset] WARNING: Please ensure kubelet is stopped manually.")
        }
    }

    // Try to unmount mounted directories under /var/lib/kubelet in order to be able to remove the /var/lib/kubelet directory later
    fmt.Printf("[reset] Unmounting mounted directories in %q\n", "/var/lib/kubelet")
    umountDirsCmd := "cat /proc/mounts | awk '{print $2}' | grep '/var/lib/kubelet' | xargs -r umount"
    umountOutputBytes, err := exec.Command("sh", "-c", umountDirsCmd).Output()
    if err != nil {
        fmt.Printf("[reset] Failed to unmount mounted directories in /var/lib/kubelet: %s\n", string(umountOutputBytes))
    }

    dockerCheck := preflight.ServiceCheck{Service: "docker", CheckIfActive: true}
    if warnings, errors := dockerCheck.Check(); len(warnings) == 0 && len(errors) == 0 {
        fmt.Println("[reset] Removing kubernetes-managed containers")
        if err := exec.Command("sh", "-c", "docker ps -a --filter name=k8s_ -q | xargs -r docker rm --force --volumes").Run(); err != nil {
            fmt.Println("[reset] Failed to stop the running containers")
        }
    } else {
        fmt.Println("[reset] docker doesn't seem to be running, skipping the removal of running kubernetes containers")
    }

    dirsToClean := []string{"/var/lib/kubelet", "/etc/cni/net.d", "/var/lib/dockershim"}

    // Only clear etcd data when the etcd manifest is found. In case it is not found, we must assume that the user
    // provided external etcd endpoints. In that case, it is his own responsibility to reset etcd
    etcdManifestPath := filepath.Join(kubeadmapi.GlobalEnvParams.KubernetesDir, "manifests/etcd.yaml")
    if _, err := os.Stat(etcdManifestPath); err == nil {
        dirsToClean = append(dirsToClean, "/var/lib/etcd")
    } else {
        fmt.Printf("[reset] No etcd manifest found in %q, assuming external etcd.\n", etcdManifestPath)
    }

    // Then clean contents from the stateful kubelet, etcd and cni directories
    fmt.Printf("[reset] Deleting contents of stateful directories: %v\n", dirsToClean)
    for _, dir := range dirsToClean {
        cleanDir(dir)
    }

    // Remove contents from the config and pki directories
    resetConfigDir(kubeadmapi.GlobalEnvParams.KubernetesDir, r.certsDir)

    return nil
}

就是把init和join的生成的东西都给删了。详细删目主要是dirsToClean := []string{“/var/lib/kubelet”, “/etc/cni/net.d”, “/var/lib/dockershim”}等,删除的方法

func cleanDir(filePath string) error {
    // If the directory doesn't even exist there's nothing to do, and we do
    // not consider this an error
    if _, err := os.Stat(filePath); os.IsNotExist(err) {
        return nil
    }

    d, err := os.Open(filePath)
    if err != nil {
        return err
    }
    defer d.Close()
    names, err := d.Readdirnames(-1)
    if err != nil {
        return err
    }
    for _, name := range names {
        err = os.RemoveAll(filepath.Join(filePath, name))
        if err != nil {
            return err
        }
    }
    return nil
}

删除之前创建的目录和文件。其它命令就没啥了。简单总结一下,kubeadm就是通过kubelet自举master以及daemonset组合启动k8s相关的组件。

柳清风09
关注
专栏目录
kubeadm reset 报错 Found multiple CRI endpoints on the host
weixin_40548182的博客
06-30 623
【代码】kubeadm reset 报错 Found multiple CRI endpoints on the host。
华为云原生Kubernetes之运行Volcano高性能作业的深度使用和实践
╰つ栺尖篴夢ゞ
05-18 3620
一、Volcano 简介 ① 什么是 Volcano ? Volcano 是 CNCF 下首个也是唯一的基于 Kubernetes 的容器批量计算平台,主要用于高性能计算场景,提供了机器学习、深度学习、生物信息学、基因组学及其他大数据应用所需要而 Kubernetes 当前缺失的一系列特性。 Volcano 提供高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力,通过接入 AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。 Volcano 针对计算型应用提供了作业调度、作业管理
执行kubeadm reset时报:etcdserver: re-configuration failed due to not enough started members
weixin_41831919的博客
07-03 5569
报错信息: [root@bogon log]# kubeadm reset [reset] Reading configuration from the cluster... [reset] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [reset] WARNING: Changes made to this host by 'kubeadm init'
k8s kubeadm 源码编译
最新发布
geriletuma
07-27 375
k8s api-server证书有效期为1年,为了设置更长的证书期限,我们通过修改并重新编译kubeadm源码,实现证书期限更长。
kubeadm join --token, Failed to request cluster info
XR风云
04-25 9650
今天想向kubernetes中增加一个节点,利用命令行: kubeadm join --token c93b06.2cddb224a8931cb3 162.3.160.61:6443 但是加入节点的时候居然报错了,如下: [kubeadm] WARNING: kubeadm is in beta, please do not use it for production clusters.
kubeadm 进行故障排查
峰的博客
07-21 2092
kubeadm 进行故障排查
kubernetes集群节点not ready
m0_45097611的博客
01-24 1509
在上次学习kubernetes关闭虚拟机后,今天启动虚拟机后node1以及node2为notready状态,在个虚拟机上重启docker,kubelet,daemon-reload无果后,查看kubelet状态,显示node1、node2 not found。没办法我只好在两个节点上kubeadm reset ,然后重新join。 在join途中,总是卡在preflight,然后就超时。 [root@node1 ~]# kubeadm join 192.168.120.131:6443 --token
2024年运维最全K8S 源码探秘 之 kubeadm init 执行流程分析_kubeadm init解析,2024年最新面试中Handler这些必备知识点你都知道吗
2301_77033340的博客
05-04 672
检查 /proc/sys/net/bridge/bridge-nf-call-iptables、/proc/sys/net/ipv6/conf/default/forwarding 内容是否为 1;8.2) 检查 /proc/sys/net/bridge/bridge-nf-call-iptables、/proc/sys/net/ipv4/ip-forward 内容是否为 1;5) 检查文件是否已经存在,/etc/kubernetes/manifests/*.yaml;
01-Kubernetes-源码调试
weixin_39169791的博客
03-16 1252
Kubernetes-源码调试 在进行源码调试之前需要预选搭建好一个k8s集群,无论是单节点,还是节点的集群。这里推荐使用节点。因为能更好的感受到k8s是如何运行的。 具体的搭建步骤因为之前已经写过k8s的集群搭建,需要搭建集群的可以去参考:01-Kubernetes集群搭建.md 概要 将需要调试的组件从搭建好的集群中下掉,用本地代码运行代替被下掉的组件从而实现本地代码调试,这里举例是使用的...
kubeadm工作机制分析
WaltonWang's Blog
04-13 2万+
kubeadmKubernetes 1.4开始新增的特性,用于快速搭建Kubernetes集群环境,两个命令就能把一个k8s集群搭建起来。之前广为诟病的“k8s环境搭建难”的问题,很快得到突破性的解决。本博文是对kubeadm工作原理和流程的分析,一窥其内部的工作流,让你对他的神秘感不再。
【k8s源码分析-Apiserver-1】理解 apiserver 的结构(AggregatorServer、KubeAPIServer、ApiExtensionsServer)
叮当猫的喵i
12-06 536
Prometheus 项目与Kubernetes项目一样,也来自于 Google 的Borg体系,它的原型系统,叫作 BorgMon,是一个几乎与 Borg 同时诞生的内部监控系统。而 Prometheus 项目的发起原因也跟 Kubernetes 很类似,都是希望通过对用户更友好的方式,将 Google 内部系统的设计理念,传递给用户和开发者。作为一个监控系统,Prometheus 项目的作用和工作方式,其实可以用如下所示的一张官方示意图来解释。可以看到,Prometheus 项目工作的核心,是。
kubeadm搭建kubernetes1.7.5集群(二)
一个程序员的博客
01-21 1万+
本来打算搭建istio环境,然后默置安装了kubernetes1.5.2集群,结果RBAC模式不被支持,然后切换到kubernetes1.7.5。 祝你好运吧! 一、基础环境配置,以下环境基于Docker master和slave的kubernetes yum源必须都修改 vi /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kube
k8s集群搭建
ydt的博客
12-06 515
一.虚拟机搭建 1.虚拟机环境要求 操作系统 CentOS 7.4 内存 2G 【至少】 CPU 2核【至少】 硬盘 20G 【至少】 桥接网络 2.修改主机名 如果不修改主机名称在初始化集群的过程中可能会报错,提示无法找到并无法连接到主机 1.查看主机名 使用hostnamectl或hostnamectl status查看主机信息 [root@bogon]# hostnamectl stat...
Kubernetes(K8s) 使用kubeadm reset重置后 kubeadm init 失败的解决方法
weixin_42098295的博客
12-29 2114
本文主要介绍使用Kubernetes(K8s)时,在某些情况下,需要重新配置或重置现有的Kubernetes集群。使用kubeadm reset命令重置,使用 kubeadm init报错 [ERROR Port-2379]: Port 2379 is in use [ERROR Port-2380]: Port 2380 is in use [ERROR DirAvailable--var-lib-etcd]: /var/lib/etcd is not empty的解决方法。 原文地址:Kubernete
kubeadm 重置节点后在加入报etcd错误
BY_xiaopeng的博客
03-25 1441
kubeadm join
umount无法解除挂载解决方法
热门推荐
漠效的博客
11-29 2万+
前言 有时我们会因为某些需要,会对已挂载好的目录进行调整。这时就需要先对硬盘先解除挂载,再重新挂载新目录。但是,在解除挂载的时候,可能会遇到无法解除挂载的问题。下面介绍的就是解决这个问题的方法。 磁盘分区、挂载、取消挂载操作,请参考下列链接: https://blog.csdn.net/GX_1_11_real/article/details/82053630#t8 问题 使用umou...
kubeadm reset重新初始化过程
互联网老辛
03-30 1万+
kubeadm reset 这个命令主要是还原由 kubeadm init 或 kubeadm join 所做的更改。 官网的解释是: 尽最大努力还原通过 ‘kubeadm init’ 或者 ‘kubeadm join’ 操作对主机所做的更改 如果使用的是外部的etcd,kubeamd不会删除任何etcd数据。 这个命令主要用于我们在做实验的过程中,擦除实验环境,切不可用到生产环境中。 ...
k8s集群搭建过程中master init遇到的两个小错误
godwei_ding的博客
11-10 5634
在安装完kubectl,kubeadmkubelet后执行kubeadm init --pod-network-cidr 10.244.0.0/16 --kubernetes-version stable时出了一个小错误 1. 首先系统给出了造成初始化失败的大致原因。并给出了相关尝试命令。那就按它的提示运行一下语句systemctl status kubelet结果如下图: 可以看到
kubeadm reset后安装遇到的错误:Unable to connect to the server: x509: certificate signed by unknown authority
qq_35448165的博客
01-30 1770
前面通过kubeadm reset重置k8s环境之后,执行了kubeadm init命令 [root@m ~]# kubeadm init --kubernetes-version=1.14.0 --apiserver-advertise-address=192.168.56.51 --pod-network-cidr=10.244.0.0/16 初始化完成后按照出现的提示执行了如下命令: ...
Kubernetes快速部署神器:kubeadm实战解析
本文主要讨论的是Kubernetes(K8s)中的关键工具——kubeadm,它是用于在单一节点上轻松地初始化和配置一个完整的Kubernetes集群的命令行工具。kubeadm简化了Kubernetes的部署过程,特别适合那些希望快速上手或在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳清风09

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值