Kubernetes安装之九:配置node节点之kubelet

最新推荐文章于 2022-08-29 13:14:46 发布
最新推荐文章于 2022-08-29 13:14:46 发布
阅读量879 收藏
点赞数
文章标签: json 运维
原文链接:https://juejin.im/post/5c650ce751882562e66c9973
版权

配置node节点需要提前在node准备工作

1.docker 环境+kubectl客户端配置+kubeadm二进制文件

2.flanneld跨主机通信

可以参考前面的文章完成安装配置

3.准备初始化环境

yum install -y conntrack ipvsadm ipset jq iptables curl sysstat libseccomp
复制代码

4.修改内核参数

cat > /etc/sysctl.d/kubernetes.conf <<EOF
net.bridge.bridge-nf-call-iptables=1
net.bridge.bridge-nf-call-ip6tables=1
net.ipv4.ip_forward=1
vm.swappiness=0
vm.overcommit_memory=1
vm.panic_on_oom=0
fs.inotify.max_user_watches=89100
EOF

sysctl -p /etc/sysctl.d/kubernetes.conf
复制代码

5.开启内核模块,设置防火墙规则,创建工作目录

[root@localhost ~]# modprobe br_netfilter
[root@localhost ~]# modprobe ip_vs
[root@localhost ~]# iptables -P FORWARD ACCEPT
[root@localhost ~]# mkdir -p /var/lib/{kubelet,kube-proxy}
[root@localhost ~]# 
复制代码

6.启动相关的服务

systemctl daemon-reload
systemctl enable flanneld docker
systemctl restart flanneld docker
systemctl status flanneld docker复制代码


7.node节点创建token和kubeconfig文件

[root@localhost ~]# kubectl config set-cluster kubernetes \
>       --certificate-authority=/etc/ssl/ca.pem \
>       --embed-certs=true \
>       --server=https://192.168.1.43:8443 \
>       --kubeconfig=kubelet-bootstrap.kubeconfig
Cluster "kubernetes" set.
复制代码

[root@localhost ~]# kubectl config set-credentials kubelet-bootstrap \
>       --token=pnk1m9.fvbnpd37bp35ij4w \
>       --kubeconfig=kubelet-bootstrap.kubeconfig
User "kubelet-bootstrap" set.
复制代码

[root@localhost ~]# kubectl config set-context default \
>       --cluster=kubernetes \
>       --user=kubelet-bootstrap \
>       --kubeconfig=kubelet-bootstrap.kubeconfig
Context "default" created.
复制代码

[root@localhost ~]# kubectl config use-context default --kubeconfig=kubelet-bootstrap.kubeconfig
Switched to context "default".
复制代码

8.检查token状态

[root@localhost ~]# kubeadm token list --kubeconfig ~/.kube/config
TOKEN                     TTL       EXPIRES                     USAGES                   DESCRIPTION               EXTRA GROUPS
pnk1m9.fvbnpd37bp35ij4w   23h       2019-02-15T15:02:05+08:00   authentication,signing   kubelet-bootstrap-token   system:bootstrappers:k8s-node01
复制代码

9.编写kubelet的配置文件

cat > /opt/kubernetes/cfg/kubelet.config.json <<EOF
{
  "kind": "KubeletConfiguration",
  "apiVersion": "kubelet.config.k8s.io/v1beta1",
  "authentication": {
    "x509": {
      "clientCAFile": "/etc/ssl/ca.pem"
    },
    "webhook": {
      "enabled": true,
      "cacheTTL": "2m0s"
    },
    "anonymous": {
      "enabled": false
    }
  },
  "authorization": {
    "mode": "Webhook",
    "webhook": {
      "cacheAuthorizedTTL": "5m0s",
      "cacheUnauthorizedTTL": "30s"
    }
  },
  "address": "192.168.1.44",
  "port": 10250,
  "readOnlyPort": 0,
  "cgroupDriver": "cgroupfs",
  "hairpinMode": "promiscuous-bridge",
  "serializeImagePulls": false,
  "featureGates": {
    "RotateKubeletClientCertificate": true,
    "RotateKubeletServerCertificate": true
  },
  "clusterDomain": "cluster.local.",
  "clusterDNS": ["10.254.0.2"]
}
EOF
复制代码

  • 说明:
  • address:API 监听地址,不能为0.0.1,否则 kube-apiserver、heapster 等不能调用 kubelet 的 API
  • readOnlyPort=0:关闭只读端口(默认 10255),等效为未指定
  • anonymous.enabled:设置为 false,不允许匿名访问 10250 端口
  • x509.clientCAFile:指定签名客户端证书的 CA 证书,开启 HTTP 证书认证
  • webhook.enabled=true:开启 HTTPs bearer token 认证
  • 对于未通过 x509 证书和 webhook 认证的请求(kube-apiserver 或其他客户端),将被拒绝,提示 Unauthorized
  • mode=Webhook:kubelet 使用 SubjectAccessReview API 查询 kube-apiserver 某 user、group 是否具有操作资源的权限(RBAC)
  • RotateKubeletClientCertificate、featureGates.RotateKubeletServerCertificate:自动 rotate 证书,证书的有效期取决于 kube-controller-manager 的 --experimental-cluster-signing-duration 参数
  • 需要 root 账户运行

10.配置kuebelet服务

cat > /usr/lib/systemd/system/kubelet.service <<EOF
[Unit]
Description=Kubernetes Kubelet
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=docker.service
Requires=docker.service

[Service]
WorkingDirectory=/var/lib/kubelet
ExecStart=/usr/bin/kubelet \\
  --bootstrap-kubeconfig=/opt/kubernetes/cfg/kubelet-bootstrap.kubeconfig \\
  --cert-dir=/etc/ssl \\
  --kubeconfig=/opt/kubernetes/cfg/kubelet.kubeconfig \\
  --config=/opt/kubernetes/cfg/kubelet.config.json \\
  --hostname-override=k8s-node01 \\
  --pod-infra-container-image=registry.access.redhat.com/rhel7/pod-infrastructure:latest \\
  --allow-privileged=true \\
  --alsologtostderr=true \\
  --logtostderr=false \\
  --log-dir=/var/log/kubernetes \\
  --v=2
Restart=on-failure
RestartSec=5

[Install]
WantedBy=multi-user.target
EOF
复制代码

11.Bootstrap Token Auth 和授予权限

[root@localhost ~]# kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --group=system:bootstrappers
clusterrolebinding.rbac.authorization.k8s.io/kubelet-bootstrap created
复制代码

12.启动服务

systemctl daemon-reload
systemctl enable kubelet
systemctl restart kubelet
systemctl status kubelet复制代码

13.创建kube证书

cat > /etc/ssl/kube-proxy/kube-proxy-csr.json <<EOF
{
  "CN": "system:kube-proxy",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ChengDu",
      "L": "ChengDu",
      "O": "k8s",
      "OU": "dessler"
    }
  ]
}
EOF
复制代码

cfssl gencert -ca=/etc/ssl/ca.pem \
  -ca-key=/etc/ssl/ca-key.pem \
  -config=/etc/ssl/ca-config.json \
  -profile=kubernetes  kube-proxy-csr.json | cfssljson -bare kube-proxy
复制代码

[root@host40 kube-proxy]# ls
kube-proxy.csr  kube-proxy-csr.json  kube-proxy-key.pem  kube-proxy.pem
复制代码

14.分发证书,及二进制文件

15.配置kubeconfig文件

root@localhost kube-proxy]# kubectl config set-cluster kubernetes \
>   --certificate-authority=/etc/ssl/ca.pem \
>   --embed-certs=true \
>   --server=https://192.168.1.43:8443 \
>   --kubeconfig=kube-proxy.kubeconfig
Cluster "kubernetes" set.
复制代码

[root@localhost kube-proxy]# kubectl config set-credentials kube-proxy \
>   --client-certificate=/etc/ssl/kube-proxy/kube-proxy.pem \
>   --client-key=/etc/ssl/kube-proxy/kube-proxy-key.pem \
>   --embed-certs=true \
>   --kubeconfig=kube-proxy.kubeconfig
User "kube-proxy" set.
复制代码

[root@localhost kube-proxy]# kubectl config set-context default \
>   --cluster=kubernetes \
>   --user=kube-proxy \
>   --kubeconfig=kube-proxy.kubeconfig
Context "default" created.
复制代码

[root@localhost kube-proxy]# kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
Switched to context "default".
复制代码

16.准备配置文件

cat > /opt/kubernetes/cfg/kube-proxy.config.yaml <<EOF
apiVersion: kubeproxy.config.k8s.io/v1alpha1
bindAddress: 192.168.1.44
clientConnection:
  kubeconfig: /opt/kubernetes/cfg/kube-proxy.kubeconfig
clusterCIDR: 172.30.0.0/16
healthzBindAddress: 192.168.1.44:10256
hostnameOverride: k8s-node01
kind: KubeProxyConfiguration
metricsBindAddress: 192.168.1.44:10249
mode: "ipvs"
EOF
复制代码

17.准备kube-proxy systemctl启动文件

  • 说明:
  • bindAddress: 监听地址
  • kubeconfig: 连接 apiserver 的 kubeconfig 文件
  • clusterCIDR: 必须与 kube-controller-manager 的--cluster-cidr 选项值一致;kube-proxy 根据 --cluster-cidr 判断集群内部和外部流量,指定 --cluster-cidr 或 --masquerade-all 选项后 kube-proxy 才会对访问 Service IP 的请求做 SNAT
  • hostnameOverride: 参数值必须与 kubelet 的值一致,否则 kube-proxy 启动后会找不到该 Node,从而不会创建任何 ipvs 规则
  • mode: 使用 ipvs 模式

18.启动服务

systemctl daemon-reload
systemctl enable kube-proxy
systemctl restart kube-proxy
systemctl status kube-proxy
复制代码



weixin_33696106
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手动安装K8s第六节:node节点部署-kubelet
weixin_34314962的博客
06-13 574
部署kubelet1、准备二进制包[root@k8smaster ~]# cd /usr/local/src/kubernetes/server/bin/ [root@k8smaster bin]# scp kubelet kube-proxy k8snode1:/opt/kubernetes/bin/ [root@k8smaster bin]# scp kubelet kube-proxy ...
(七)kubernetes集群搭建(二进制方式)之--node部署kubelet
weixin_47402482的博客
03-05 311
kubernetes集群搭建(二进制方式)之--node部署kubelet1.创建工作目录并从master节点拷贝二进制文件2.创建kubelet配置文件3.配置参数文件4.在master节点生成bootstrap.kubeconfig文件5.systemd管理kubelet6.开启并设置开机自启动7.master节点中批准kubelet证书申请并加入集群 node包括的组件 etcd 用于存储(已安装) docker (已安装kubelet (本章安装) kube-proxy 1.创建工作目录并
kubernetes集群安装指南:客户端安装及各组件认证文件创建
bjdmy2068的博客
07-01 134
大多情况,证书用于服务安全访问(即https访问)所需要,在kubernetes集群中,如果关闭了匿名访问,开启了集群HTTPS访问以及TLS双向认证;如:worker节点组件HTTPS访问apiserver服务时,Apiserver还需要验证客户端是否合法,此时就需要为worker节点上的组件生成kubeconfig认证文件用于连接apiserver。 1. 基本设置 1.1 变量设置 PACK...
kubernetes实践之八:TLS bootstrapping
clmaykr95629的博客
03-24 443
一: 前言 当集群开启了 TLS 认证后,每个节点kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为每个节点单独签署证书将是一件非常...
kubernetes搭建 八、在node上使用kubectl
光明小学王小雨的博客
03-27 2227
1、kubectl 默认通过127.0.0.1:8080端口去访问apiserver,这个在前面apiserver的配置文件里有定义了。在master通过http访问apiserver,而在其他节点通过https来访问 在master上可以看到6443端口,用于集群接口https访问的 [root@k8s-master-101 ~]# netstat -tlunp | grep 6443 tcp ...
Kubernetes部署Node组件
01-07
kubernetes二进制文件中的kubelet, kube-proxy拷贝到三个节点/opt/k8s/bin 可以用SCP命令 在master节点创建一个配置文档: vim configure.sh token”89a0bea35e38d0db7d8d25cfa4bb7f4d”参考上一篇 #! /bin/bash...
kubernetes-node:在Kubernetes中使用节点应用程序的简单练习
03-10
总之,"kubernetes-node:在Kubernetes中使用节点应用程序的简单练习"会涵盖从基础的Pod部署到更复杂的资源管理、网络和服务配置等多个方面,帮助你全面理解如何在Kubernetes环境中有效地运行和管理应用。通过实践...
kubernetes-series:kubernetes系列代码
05-14
节点是运行Kubernetes集群的物理或虚拟机,它们通过kubelet组件与集群通信。工作负载如Deployment、StatefulSet和DaemonSet定义了应用的实例数量和状态。Service是内部负载均衡器,为Pod提供稳定的服务发现和访问。...
Kubernetes安装
07-18
总的来说,Kubernetes安装涉及多个步骤,包括但不限于准备环境、安装etcd、配置API Server、Scheduler和Controller Manager,以及设置worker节点。在实际操作中,你可以选择手动配置或使用自动化工具,如kubeadm,...
kubernetes安装相关包
04-05
5. **kubelet**:每个节点上运行的服务,负责管理Pod和容器的生命周期,如创建、启动、停止和监控容器。 6. **kube-proxy**:实现服务发现和网络规则,确保服务间的通信。 7. **container runtime**:如Docker或...
Kubernetes安装系列之Node-Kubelet安装
知行合一 止于至善
03-28 4018
这篇文章整理以下Node节点kubelet安装与设定方法,本文以脚本的方式进行固化,内容仍然放在github的easypack上。
关于kubernetes1.9证书过期(certificate has expired or is not yet valid)
qq_25934401的博客
04-08 3673
胆战心惊的一天 今天突然收到告警,k8s的节点NotReady,我靠!吓了一身冷汗,遂远程登录上去查看,果然都是notready!这一吓真是不轻啊,要知道所有node节点挂掉,等于整个集群挂掉了,线上的服务都不能访问。当时要是采访我当时在想什么,我只能高冷的回答你:“啥都没想”,当时真是脑袋一片空白。 不过呢,辛好留了一手,使用k8s之前,也用虚拟机把k8s上的服务也部署了一遍,就是防止这种现象出...
7.2 kubelet
元元的博客
12-04 246
1.创建及分发 kubelet bootstrap kubeconfig for node_name in ${NODE_NAMES[@]} do echo &quot;&amp;gt;&amp;gt;&amp;gt; ${node_name}&quot; export BOOTSTRAP_TOKEN=$(kubeadm token create \ --description kubelet-bootst...
云原生|kubernetes部署和运行维护中的错误汇总(不定时更新)
最新发布
zsk_john的技术分享专用博客
08-29 3625
两个文件都写了initial初始化,就冲突啦,而etcd-3.3以及之前的版本不会报错,两个文件可以重复配置
kubernetes源码之kubelet初始化
03-26 817
从这篇开始阅读一下kubernetes的源码,kubernetes是使用cobra构建的,如果对cobra还不了解的,可以查看我的上篇文章。零基础入门Cobra---kubernetes源码学习必备kubernetes的源码先从kubelet开始看起。kubelet的启动文件在cmd/kubelet/kubelet.go,入口通过app.NewKubeletCommand...
Kubernetes1.8以后kubelet连接api-server问题
weixin_30770495的博客
04-09 851
Kubernetes1.8以后版本,kubelet命令去掉--api-servers选项,参考官方kubelet 1.8 --kubeconfig string Path to a kubeconfig file, specifying how to connect to the API server. (default "/var/lib/kubelet/kubeconfig") 1....
k8s中kubelet接口的认证和授权
weixin_47729423的博客
08-11 1400
访问kubelet接口的认证和授权
k8s集群出现与服务器x.x.x.x:6443的连接被拒绝-您是否指定了正确的主机或端口?
热门推荐
砚墨
03-12 1万+
在执行kubectl 命令或者更改主机名或者服务器重启后出现报错 The connection to the server x.x.x.x:6443 was refused - did you specify the right host or port? 现象集群报错如下 # kubectl get pod -n <pod name> The connection to the server x.x.x.x:6443 was refused - did you specify the righ
(二进制安装)k8s1.9 证书过期及开启自动续期方案.md
可可飞扬的博客
03-19 1万+
kubelet证书过期处理方案 集群中某node状态为notReady,apiserver 报错Unable to authenticate the request due to an error: x509: certificate has expired or is not yet valid 1 查看证书有效期 openssl x509 -in /etc/ssl/k8s/kubelet.cr...
Kubernetes安装KubeSphere1
08-04
首先,我们需要在所有节点安装KubeSphere的前置环境,包括安装必要的软件包和配置必要的环境变量。接着,我们使用KubeSphere提供的安装脚本来进行安装,根据官方文档的指引进行安装即可。 在这个过程中,需要确保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值