k8s控制平面apiserver集群部署

最新推荐文章于 2023-12-06 16:11:43 发布
最新推荐文章于 2023-12-06 16:11:43 发布
阅读量241 收藏
点赞数
文章标签: 网络 json 运维
原文链接:http://www.cnblogs.com/gytangyao/p/10857912.html
版权

说明:本部署文章参照了 https://github.com/opsnull/follow-me-install-kubernetes-cluster ,欢迎给作者star

注意:如果没有特殊指明,本文档的所有操作均在 k8s-master 节点上执行,然后远程分发文件和执行命令。

 1.创建 kubernetes 证书和私钥

创建证书签名请求:

cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
cat > kubernetes-csr.json <<EOF
{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "192.168.161.150",
    "192.168.161.151",
    "192.168.161.152",
    "192.168.161.160",
    "${CLUSTER_KUBERNETES_SVC_IP}",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
EOF

  • hosts 字段指定授权使用该证书的 IP 或域名列表,这里列出了 VIP 、apiserver 节点 IP、kubernetes 服务 IP 和域名;

  • 域名最后字符不能是 .(如不能为 kubernetes.default.svc.cluster.local.),否则解析时失败,提示: x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."

  • 如果使用非 cluster.local 域名,如 opsnull.com,则需要修改域名列表中的最后两个域名为:kubernetes.default.svc.opsnullkubernetes.default.svc.opsnull.com

  • kubernetes 服务 IP 是 apiserver 自动创建的,一般是 --service-cluster-ip-range 参数指定的网段的第一个IP,后续可以通过如下命令获取,现在获取不到,因为apiserver服务尚未启动起来

$ kubectl get svc kubernetes
NAME         CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   10.254.0.1   <none>        443/TCP   1d

生成证书和私钥:

cfssl gencert -ca=/opt/k8s/work/ca.pem \
  -ca-key=/opt/k8s/work/ca-key.pem \
  -config=/opt/k8s/work/ca-config.json \
  -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
ls kubernetes*pem

将生成的证书和私钥文件拷贝到 master 节点:

cd /opt/k8s/work

for node_ip in 192.168.161.150 192.168.161.151 192.168.161.152
  do
    echo ">>> ${node_ip}"
    ssh root@${node_ip} "mkdir -p /etc/kubernetes/cert"
    scp kubernetes*.pem root@${node_ip}:/etc/kubernetes/cert/
  done

2.创建加密配置文件

cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
cat > encryption-config.yaml <<EOF
kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: ${ENCRYPTION_KEY}
      - identity: {}
EOF

将加密配置文件拷贝到 master 节点的 /etc/kubernetes 目录下:

cd /opt/k8s/work
for node_ip in 192.168.161.150 192.168.161.151 192.168.161.152
  do
    echo ">>> ${node_ip}"
    scp encryption-config.yaml root@${node_ip}:/etc/kubernetes/
  done

替换后的 encryption-config.yaml 文件:encryption-config.yaml

 

3.创建 kube-apiserver systemd unit 模板文件

cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
cat > kube-apiserver.service.template <<EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target

[Service]
WorkingDirectory=${K8S_DIR}/kube-apiserver
ExecStart=/opt/k8s/bin/kube-apiserver \\
  --enable-admission-plugins=NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \\
  --anonymous-auth=false \\
  --experimental-encryption-provider-config=/etc/kubernetes/encryption-config.yaml \\
  --advertise-address=##NODE_IP## \\
  --bind-address=##NODE_IP## \\
  --insecure-port=0 \\
  --authorization-mode=Node,RBAC \\
  --runtime-config=api/all \\
  --enable-bootstrap-token-auth \\
  --service-cluster-ip-range=${SERVICE_CIDR} \\
  --service-node-port-range=${NODE_PORT_RANGE} \\
  --tls-cert-file=/etc/kubernetes/cert/kubernetes.pem \\
  --tls-private-key-file=/etc/kubernetes/cert/kubernetes-key.pem \\
  --client-ca-file=/etc/kubernetes/cert/ca.pem \\
  --kubelet-certificate-authority=/etc/kubernetes/cert/ca.pem \\
  --kubelet-client-certificate=/etc/kubernetes/cert/kubernetes.pem \\
  --kubelet-client-key=/etc/kubernetes/cert/kubernetes-key.pem \\
  --kubelet-https=true \\
  --service-account-key-file=/etc/kubernetes/cert/ca.pem \\
  --etcd-cafile=/etc/kubernetes/cert/ca.pem \\
  --etcd-certfile=/etc/kubernetes/cert/kubernetes.pem \\
  --etcd-keyfile=/etc/kubernetes/cert/kubernetes-key.pem \\
  --etcd-servers=${ETCD_ENDPOINTS} \\
  --enable-swagger-ui=true \\
  --allow-privileged=true \\
  --max-mutating-requests-inflight=2000 \\
  --max-requests-inflight=4000 \\
  --apiserver-count=3 \\
  --audit-log-maxage=30 \\
  --audit-log-maxbackup=3 \\
  --audit-log-maxsize=100 \\
  --audit-log-path=${K8S_DIR}/kube-apiserver/audit.log \\
  --event-ttl=168h \\
  --logtostderr=true \\
  --v=2
Restart=on-failure
RestartSec=5
Type=notify
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF
  • --experimental-encryption-provider-config:启用加密特性;
  • --authorization-mode=Node,RBAC: 开启 Node 和 RBAC 授权模式,拒绝未授权的请求;
  • --enable-admission-plugins:启用 ServiceAccount 和 NodeRestriction
  • --service-account-key-file:签名 ServiceAccount Token 的公钥文件,kube-controller-manager 的 --service-account-private-key-file 指定私钥文件,两者配对使用;
  • --tls-*-file:指定 apiserver 使用的证书、私钥和 CA 文件。--client-ca-file 用于验证 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)请求所带的证书;
  • --kubelet-client-certificate--kubelet-client-key:如果指定,则使用 https 访问 kubelet APIs;需要为证书对应的用户(上面 kubernetes*.pem 证书的用户为 kubernetes) 用户定义 RBAC 规则,否则访问 kubelet API 时提示未授权;
  • --bind-address: 不能为 127.0.0.1,否则外界不能访问它的安全端口 6443;
  • --insecure-port=0:关闭监听非安全端口(8080);
  • --service-cluster-ip-range: 指定 Service Cluster IP 地址段;
  • --service-node-port-range: 指定 NodePort 的端口范围;
  • --runtime-config=api/all=true: 启用所有版本的 APIs,如 autoscaling/v2alpha1;
  • --enable-bootstrap-token-auth:启用 kubelet bootstrap 的 token 认证;
  • --apiserver-count=3:指定集群运行模式,多台 kube-apiserver 会通过 leader 选举产生一个工作节点,其它节点处于阻塞状态;

1.14 不支持Initializers:https://github.com/opsnull/follow-me-install-kubernetes-cluster/issues/440

4.为各节点创建和分发 kube-apiserver systemd unit 文件

替换模板文件中的变量,为各节点创建 systemd unit 文件:

cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
for (( i=0; i < 3; i++ ))
  do
    sed -e "s/##NODE_NAME##/${NODE_NAMES[i]}/" -e "s/##NODE_IP##/${NODE_IPS[i]}/" kube-apiserver.service.template > kube-apiserver-${NODE_IPS[i]}.service 
  done
ls kube-apiserver*.service
  • NODE_NAMES 和 NODE_IPS 为相同长度的 bash 数组,分别为节点名称和对应的 IP;

分发生成的 systemd unit 文件:

cd /opt/k8s/work

for node_ip in 192.168.161.150 192.168.161.151 192.168.161.152
  do
    echo ">>> ${node_ip}"
    scp kube-apiserver-${node_ip}.service root@${node_ip}:/etc/systemd/system/kube-apiserver.service
  done
  • 文件重命名为 kube-apiserver.service;

替换后的 unit 文件:kube-apiserver.service

 

5.启动 kube-apiserver 服务

cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
for node_ip in 192.168.161.150 192.168.161.151 192.168.161.152
  do
    echo ">>> ${node_ip}"
    ssh root@${node_ip} "mkdir -p ${K8S_DIR}/kube-apiserver"
    ssh root@${node_ip} "systemctl daemon-reload && systemctl enable kube-apiserver && systemctl restart kube-apiserver"
  done
  • 必须创建工作目录;

6.检查 kube-apiserver 运行状态

source /opt/k8s/bin/environment.sh
for node_ip in 192.168.161.150 192.168.161.151 192.168.161.152
  do
    echo ">>> ${node_ip}"
    ssh root@${node_ip} "systemctl status kube-apiserver |grep 'Active:'"
  done

确保状态为 active (running),否则到 master 节点查看日志,确认原因:

$ journalctl -u kube-apiserver

 

 

 

7.打印 kube-apiserver 写入 etcd 的数据

source /opt/k8s/bin/environment.sh
ETCDCTL_API=3 etcdctl \
    --endpoints=${ETCD_ENDPOINTS} \
    --cacert=/opt/k8s/work/ca.pem \
    --cert=/opt/k8s/work/etcd.pem \
    --key=/opt/k8s/work/etcd-key.pem \
    get /registry/ --prefix --keys-only

 

8.检查集群信息

[root@k8s-master3 ~]# kubectl cluster-info
Kubernetes master is running at https://127.0.0.1:8443

To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.

 

kubectl get all --all-namespaces
NAMESPACE NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
default service/kubernetes ClusterIP 10.254.0.1 <none> 443/TCP 71m

[root@k8s-master3 ~]# kubectl get componentstatuses
NAME STATUS MESSAGE ERROR
controller-manager Unhealthy Get http://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: connect: connection refused
scheduler Unhealthy Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: connect: connection refused
etcd-2 Healthy {"health":"true"}
etcd-1 Healthy {"health":"true"}
etcd-0 Healthy {"health":"true"}

 

注意:

  1. 如果执行 kubectl 命令式时输出如下错误信息,则说明使用的 ~/.kube/config 文件不对,请切换到正确的账户后再执行该命令:

    The connection to the server localhost:8080 was refused - did you specify the right host or port?

  2. 执行 kubectl get componentstatuses 命令时,apiserver 默认向 127.0.0.1 发送请求。当 controller-manager、scheduler 以集群模式运行时,有可能和 kube-apiserver 不在一台机器上,这时 controller-manager 或 scheduler 的状态为 Unhealthy,但实际上它们工作正常。

9.kube-apiserver 监听的端口

sudo netstat -lnpt|grep kube
tcp        0      0 192.168.161.152:6443    0.0.0.0:*               LISTEN      6450/kube-apiserver
  • 6443: 接收 https 请求的安全端口,对所有请求做认证和授权;
  • 由于关闭了非安全端口,故没有监听 8080;

10.授予 kubernetes 证书访问 kubelet API 的权限

在执行 kubectl exec、run、logs 等命令时,apiserver 会转发到 kubelet。这里定义 RBAC 规则,授权 apiserver 调用 kubelet API。

$ kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes

 

转载于:https://www.cnblogs.com/gytangyao/p/10857912.html

weixin_30508309
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
1-1 K8s 各组件功能介绍
分享云原生,容器,运维等干货知识
07-18 2401
一个KubernetesK8s集群控制平面(ControlPlane)与工作节点(Node)组成,它们分别有不同的组件构成,并发挥不同的作用。Kubernetes集群的组件K8s的主要组件为上述列举的几种。
k8s控制平面 scheduler部署
weixin_30706691的博客
05-14 634
说明:本部署文章参照了https://github.com/opsnull/follow-me-install-kubernetes-cluster,欢迎给作者star 本文档介绍部署高可用 kube-scheduler 集群的步骤。 该集群包含 3 个节点,启动后将通过竞争选举机制产生一个 leader 节点,其它节点为阻塞状态。当 leader 节点不可用后,剩余节点将再次进行选举产生...
05-2_部署 kube-apiserver 集群
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-16 868
tags: master, kube-apiserver 05-2. 部署 kube-apiserver 集群 05-2. 部署 kube-apiserver 集群 创建 kubernetes-master 证书和私钥 创建加密配置文件 创建审计策略文件 创建后续访问 metrics-server 或 kube-prometheus 使用的证书 创建 kube-apiserver systemd unit 模板文件 为各节点创建和分发 kube-apiserver systemd unit 文件 启动
kubernetes控制平面分析
张兆坤
06-30 819
对于新安装的kubernetes集群,要先搞清楚各组件的运行原理,包括系统的POD,网络插件的POD,还有操作系统上的进程,搞明白对应关系才能做到心中有数。
Kubernetes 控制平面组件:etcd
niwoxiangyu的博客
01-13 148
etcd Etcd是CoreOS基于Raft开发的分布式key-value存储,可用于服务发现、共享配置以及一致性 保障(如数据库选主、分布式锁等)。 在分布式系统中,如何管理节点间的状态一直是一个难题,etcd像是专门为集群环境的服务发现 和注册而设计,它提供了数据TTL失效、数据改变监视、多值、目录监听、分布式锁原子操作等 功能,可以方便的跟踪并管理集群节点的状态。 ? 键值对存储:将数据存储在分层组织的目录中,如同在标准文件系统中 ? 监测变更:监测特定的键或目录以进行更改,并对值的更改做出反应 ?
K8s集群部署配置文件包
10-27
本压缩包“K8s集群部署配置文件包”提供了全面的资源,帮助用户快速构建并配置Kubernetes集群。以下将详细阐述其中涉及的关键知识点。 首先,ETCD是Kubernetes集群的核心组件,它是轻量级、分布式的键值存储系统,...
离线部署k8s_1.18.3集群(二进制方式).zip
05-06
离线部署 Kubernetes (k8s) 集群是一项复杂但必要的任务,特别是在网络环境受限或者没有互联网连接的环境中。本文将详细介绍如何通过二进制方式在Linux环境下部署k8s v1.18.3集群,同时涵盖相关组件如Docker、etcd和...
二进制高可用k8s集群一键部署脚本
04-02
这些主节点包含控制平面组件,如etcd(分布式键值存储)、apiserverk8s的HTTP API服务器)、scheduler(负责调度Pod到合适的节点上)、controller-manager(处理自动化的控制器)。通过在多个节点上部署这些组件并...
搭建K8S集群.docx
12-30
此外,还需要设置Master节点的控制平面组件,包括etcd(用于存储集群状态)、apiserver(处理API请求)、scheduler(调度Pods)和controller-manager(管理各种控制器)。 在所有节点上安装好K8S组件后,需要通过...
k8s 二进制部署 .pdf
12-08
2. **安装 Kubernetes 组件**:在 Master 节点上编译和安装 Kubernetes 控制平面组件,如 kube-apiserver、kube-controller-manager、kube-scheduler 和 etcd。 3. **配置 Kubernetes**:创建必要的配置文件,如 ...
k8s源码分析-Apiserver-1】理解 apiserver 的结构(AggregatorServer、KubeAPIServerApiExtensionsServer
最新发布
叮当猫的喵i
12-06 429
Prometheus 项目与Kubernetes项目一样,也来自于 Google 的Borg体系,它的原型系统,叫作 BorgMon,是一个几乎与 Borg 同时诞生的内部监控系统。而 Prometheus 项目的发起原因也跟 Kubernetes 很类似,都是希望通过对用户更友好的方式,将 Google 内部系统的设计理念,传递给用户和开发者。作为一个监控系统,Prometheus 项目的作用和工作方式,其实可以用如下所示的一张官方示意图来解释。可以看到,Prometheus 项目工作的核心,是。
Kubernetes控制平面组件:Controller-Manager控制器管理
一点一滴铺就人生
09-04 1048
控制器是Kubernetes的代码核心设计模式
Kubernetes集群部署教程-kube-apiserver部署
guting18893110463的博客
08-15 583
学习更多内容,请关注,将为你分享更多技术内容。本文使用二进制的方式进行Kubernetes集群部署安装,使用单Master的方式进行部署安装从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。推荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。
Kubernetes(k8s)容器编排Pod介绍和使用
赵广陆
06-24 3257
目录 1 Pod 特点 1.1 网络 1.2 存储 2 使用方式 2.1 自主式Pod 2.2 控制器管理的Pod 3 自主运行Pod 3.1 创建资源清单 3.1.1 参数描述 3.2 创建Pod 3.3 Pod操作 3.3.1 查看Pod列表 3.3.2 查看描述信息 3.3.3 访问pod 3.3.4 删除Pod 4 控制器运行Pod 4.1 创建资源清单 4.2 参数描述 4.2.1 Replicas 4.2.2 Selector 4.2.3 Pod Template 4.3 创建Pod
k8s指南-概述
xiaoyi52的专栏
12-04 1109
Kubernetes是一个可移植的,可扩展的开源平台,用于管理容器化的工作负载和服务,为声明式配置和自动化带来了巨大便利。它拥有着巨大而快速增长的生态系统,其相关的服务和工具得到了广泛的应用。
k8s(Kubernetes)实战(二)之部署api-server、controller-manager、scheduler、kubelet
Valhalla6416的博客
01-26 2344
书接上文 k8s(Kubernetes)实战(一)之部署etcd与flannel 。 接下来部署k8s的各个组件api-server、controller-manager、scheduler、kubelet,以及kubectl。 一、下载 k8s的release page:https://github.com/kubernetes/kubernetes/releases 进去之后,找到各版本的 CHANGELLOG, 然后找到 Server binaries的下载地址。 cd /da.
基于k8s集群容器化部署etcd集群apisix服务
ding_zk的博客
09-28 4791
创建StorageClass,支持动态pvc创建,StorageClass使用nfs-client,同时使用华为云sfs作为数据持久化存储目录。挨个执行以上yaml文件,kubectl apply -f ***.yaml。#本文用到的公共资源:elb、sfs共享存储,不足之处请多多评论之处。创建etcd有状态服务(etcd.yaml)
K8s 安装使用 apisix
偶是一只小小鸟~
08-23 7618
apisix Apache APISIX是一个动态的、实时的、高性能的 API 网关. 本文主要测试在k8s环境下使用apisix-ingress-controlle 使用Helm Chart安装 所有的pod,svc等都放到了default的namespace下 apisix $ helm repo add apisix https://charts.apiseven.com $ helm repo update $ helm install apisix apisix/apisix apisix-da
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值