k3s文档翻译

最新推荐文章于 2024-05-26 09:45:41 发布
最新推荐文章于 2024-05-26 09:45:41 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 文档翻译

前言

最近因为毕业设计的原因需要精简以及裁剪k8s使其能够在树莓派上运行,于是找到了k3s。
k3s官网
github

因为文档以后很有可能会有变动,故留下翻译日期:
2019.3.14

正文

K3s-比k8s少5个方面

k3s使轻量班的kubernetes.比起k8s,它方便安装,只占用一半的内存,所有组件都在一个小于40mb的二进制文件里
对于以下5方面更加优异:

  • Edge
  • IoT
  • CI
  • ARM(这正是我所需要的)
  • 一些精通k8s集群的人也无法解决的情况

它是什么

k3s是一个完全兼容k8s的分布式集群,相比k8s,它有以下的改变:

  1. 一些弃用的,测试性的,非默认的特性被删除,你不应该关注那些已经被删除的东西
  2. 删除了大部分能够被tree以外的插件替换的in-tree插件(比如说云提供商以及存储插件)
  3. 将sqlite3作为默认的存储机制,etcd3仍可用,但不是默认的
  4. 包装进了一个简单的启动脚本,该脚本可以处理大量的复杂的工作。
  5. 无操作系统依赖(一个正常的内核和cgroup挂载即可),k3s依赖包:
  • containerd
    (一种容器)
  • flannel
  • CoreDNS
  • CNI
  • 一些主机的设施(iptables,socat等)

快速开始

  1. 下载最新版本k3s,x86_64,armhf,arm64都是被支持的
  2. 启动服务器
sudo k3s server &
# Kubeconfig is written to /etc/rancher/k3s/k3s.yaml
sudo k3s kubectl get node

# On a different node run the below. NODE_TOKEN comes from /var/lib/rancher/k3s/server/node-token 
# on your server
sudo k3s agent --server https://myserver:6443 --token ${NODE_TOKEN}

启动服务器

需要启动服务器只需要:
k3s server
你将得到类似于以下输出:

INFO[2019-01-22T15:16:19.908493986-07:00] Starting k3s dev                             
INFO[2019-01-22T15:16:19.908934479-07:00] Running kube-apiserver --allow-privileged=true --authorization-mode Node,RBAC --service-account-signing-key-file /var/lib/rancher/k3s/server/tls/service.key --service-cluster-ip-range 10.43.0.0/16 --advertise-port 6445 --advertise-address 127.0.0.1 --insecure-port 0 --secure-port 6444 --bind-address 127.0.0.1 --tls-cert-file /var/lib/rancher/k3s/server/tls/localhost.crt --tls-private-key-file /var/lib/rancher/k3s/server/tls/localhost.key --service-account-key-file /var/lib/rancher/k3s/server/tls/service.key --service-account-issuer k3s --api-audiences unknown --basic-auth-file /var/lib/rancher/k3s/server/cred/passwd --kubelet-client-certificate /var/lib/rancher/k3s/server/tls/token-node.crt --kubelet-client-key /var/lib/rancher/k3s/server/tls/token-node.key 
Flag --insecure-port has been deprecated, This flag will be removed in a future version.
INFO[2019-01-22T15:16:20.196766005-07:00] Running kube-scheduler --kubeconfig /var/lib/rancher/k3s/server/cred/kubeconfig-system.yaml --port 0 --secure-port 0 --leader-elect=false 
INFO[2019-01-22T15:16:20.196880841-07:00] Running kube-controller-manager --kubeconfig /var/lib/rancher/k3s/server/cred/kubeconfig-system.yaml --service-account-private-key-file /var/lib/rancher/k3s/server/tls/service.key --allocate-node-cidrs --cluster-cidr 10.42.0.0/16 --root-ca-file /var/lib/rancher/k3s/server/tls/token-ca.crt --port 0 --secure-port 0 --leader-elect=false 
Flag --port has been deprecated, see --secure-port instead.
INFO[2019-01-22T15:16:20.273441984-07:00] Listening on :6443                           
INFO[2019-01-22T15:16:20.278383446-07:00] Writing manifest: /var/lib/rancher/k3s/server/manifests/coredns.yaml 
INFO[2019-01-22T15:16:20.474454524-07:00] Node token is available at /var/lib/rancher/k3s/server/node-token 
INFO[2019-01-22T15:16:20.474471391-07:00] To join node to cluster: k3s agent -s https://10.20.0.3:6443 -t ${NODE_TOKEN} 
INFO[2019-01-22T15:16:20.541027133-07:00] Wrote kubeconfig /etc/rancher/k3s/k3s.yaml
INFO[2019-01-22T15:16:20.541049100-07:00] Run: k3s kubectl

因为代理将输出大量的Logs,所以输出有可能会更长。默认的设置是服务器会将它自己注册为一个节点(去运行代理)。控制部分成为集群的一部分在最近是非常常见的一种用法。如果不想让服务器成为代理,可以运行以下指令:
k3s server --disable-agent
这样,你可以将agent作为独立的进程来运行或根本不去运行agent。

加入节点

服务器启动后会创建一个文件/var/lib/rancher/k3s/server/node-token,将该文件中的内容作为NODE_TOKEN并在agent节点执行以下指令:

k3s agent --server https://myserver:6443 --token ${NODE_TOKEN}

从集群外连接集群

/etc/rancher/k3s/k3s.yaml复制到你集群外的机器上的~/.kube/config这一位置,然后将“localhost”用你k3s服务器的ip来代替,之后就可以在该机器上用kubectl来管理你的k3s集群了。

组件自动部署

任何从/var/lib/rancher/k3s/server/manifests找到的文件都可以用以类似于kubetl apply的指令自动的被部署到kubernetes上
甚至可以部署Helm charts(是k8s的包管理工具)。
k3s支持CRD controller (用户自定义组件控制器)来安装 charts。
一个YAML文件可以如下配置(样例取自/var/lib/rancher/k3s/server/manifests/traefik.yaml

apiVersion: k3s.cattle.io/v1
kind: HelmChart
metadata:
  name: traefik
  namespace: kube-system
spec:
  chart: stable/traefik
  set:
    rbac.enabled: "true"
    ssl.enabled: "true"

用源码build

如果用以下指令,代码克隆会快很多
git clone --depth 1 https://github.com/rancher/k3s.git
因为该仓库包含了所有Kubernetes的历史文件,所以--depth 1会避免重复下载
为了编译安装,你需要go 1.11和一个正常的GOPATH,使用以下指令来编译:

go build -o k3s
go build -o kubectl ./cmd/kubectl
go build -o hyperkube ./vendor/k8s.io/kubernetes/cmd/hyperkube

这将创建主要的执行文件,但不包含containerd,CNI等等的依赖,要运行一个拥有所有依赖的server和agent,执行以下脚本。

# Server
./scripts/dev-server.sh

# Agent
./scripts/dev-agent.sh

卸载server

如何你使用了install.sh脚本来安装你的k3s,你可以使用在安装时产生的卸载脚本来卸载,该脚本将创建于server节点的/usr/local/bin/k3s-uninstall.sh

kubernetes 源码

Kubernetes的源码在vendor/目录下,而其代码来源在./vendor.conf文件中,去到相应的仓库/文件你会发现所有的kubernetes源

需要开放的端口/网络安全

server需要6443端口来被其他节点连接。节点之间需要通过UDP的4789端口来连接。这用于flannel VXLAN。如果你的CNI组件使用的不是flannel,那么4789端口就不再被k3s所需要。节点不应该再听其他端口。k3s使用反向隧道使节点连接到server以及所有的kubelet都会流经该隧道。

重要的是,节点中的VXLAN端口不应该暴露于公网,这将会使你的集群被任何人访问到,使你的节点在关闭了4789端口的防火墙下运行。

Server HA(我也没搞懂这是什么)

别现在说,目前处于崩溃状态

使用Docker(以及Docker组件)

如果我不能使我的集群在Docker上跑我将不是我。rancher/k3s镜像是可以将k3s server 和 agent用docker容器跑起来的,一个 docker-compose.yml在该仓库的根目录下,这是一个k3s server 如何跑在docker下的例子。要使用docker-compose,执行

docker-compose up --scale node=3
# kubeconfig is written to current dir
kubectl --kubeconfig kubeconfig.yaml get node

NAME           STATUS   ROLES    AGE   VERSION
497278a2d6a2   Ready    <none>   11s   v1.13.2-k3s2
d54c8b17c055   Ready    <none>   11s   v1.13.2-k3s2
db7a5a5a5bdd   Ready    <none>   12s   v1.13.2-k3s2

Hyperkube

k3s被包装在了一个文件中来简化使用K8s时的大量的令人头疼的工作,如果你不想使用该包装,而只是想要一个精简版的k8s发行版,那么我们的发行版中包含了hyperkube
(译者注:Kubernetes is a set of binaries
kube-apiproxy
kube-scheduler
kube-control-manager
kubelet
kube-proxy
hyperkube is a wrapper for all these binaries. So once you deploy hyperkube, it will install all the binaries. No need to install those binary individually.)
二进制文件你可以使用.这取决于你如何去使用hyperkube。如果你想要分开的二进制文件,你需要从源码中自己编译它们。

containerd和Docker

k3s包含并且默认的容器是containerd。为什么?因为它就是更好。如果你想使用docker那么先停下来想想,“真的吗?我真的需要更多的头痛吗?”如果还是回答yes,那么你只需要使用–docker参数即可:
k3s agent -u ${SERVER_URL} -t ${NODE_TOKEN} --docker &

systemd工具

如果你被限制在systemd工具的桎梏下(正如我们大多数人一样),在这个仓库的根目录下有一个样例unit文件k3s.service如下:

[Unit]
Description=Lightweight Kubernetes
Documentation=https://k3s.io
After=network.target

[Service]
ExecStartPre=-/sbin/modprobe br_netfilter
ExecStartPre=-/sbin/modprobe overlay
ExecStart=/usr/local/bin/k3s server
KillMode=process
Delegate=yes
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity

[Install]
WantedBy=multi-user.target

k3s的install.sh脚本同样提供了在systemd下的方便的安装方法,安装agent和server作为k3s的服务只需要:
curl -sfL https://get.k3s.io | sh -
这一行脚本将尝试下载最新发行版,若要规定下载版本可以用INSTALL_K3S_VERSION环境变量:
curl -sfL https://get.k3s.io | INSTALL_K3S_VERSION=vX.Y.Z-rc1 sh -
若只需要安装server不装agent
curl -sfL https://get.k3s.io | INSTALL_K3S_EXEC="--disable-agent" sh -
只装agent不装server
curl -sfL https://get.k3s.io | K3S_URL=https://example-url:6443 K3S_TOKEN=XXX sh -
……
剩下的是一堆关于安装脚本的帮助说明,没什么帮助,便不再翻译

Flannel

Flannel被默认包含,如果你不想要flannel则运行时使用–no-flannel
k3s agent -u ${SERVER_URL} -t ${NODE_TOKEN} --no-flannel &
这将需要你安装你自己的CNI驱动。

CoreDNS

CoreDNS在agent一开始便被部署,在server使用–no-deploy coredns 来取消
k3s server --no-deploy coredns
如果你不安装CoreDNS则需要你自己提供集群的DNS

Traefik

Traefik是在server开始是被部署的,需要取消运行以下指令
k3s server --no-deploy traefik

Service load balancer

k3s包含基本的服务负载均衡器,比如说,如果你试着创建监听80端口的负载均衡器,它将会在集群中尝试寻找80端口空闲的主机,若 不存在,则负载均衡器将保持pending状态。
如果需要取消内置的负载均衡器(如果你想要使用其他的比如说MetalLB)只需要在server启动时添加 --no-deploy=servicelb

TODO

目前还处于崩溃状态或者是为了产品质量需要被完善的事情
(不想翻译了,如果需要提交commit给rancher应该能看得懂)

  1. Metrics API due to kube aggregation not being setup
  2. HA
  3. Work on e2e, sonobouy.
  4. etcd doesn’t actually work because args aren’t exposed
一花e世界
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s往secret里导入证书_K8S的服务账号增强
weixin_30471581的博客
01-03 3062
一、背景apiserver是k8s的中枢组件,每次api访问请求都需要认证,例如可以通过证书方式,使用curl测试下访问apiserver的版本资源curl -k --cert/etc/kubernetes/ssl/apiserver-kubelet-client.crt --key /etc/kubernetes/ssl/apiserver-kubelet-client.keyhttp...
K8S集群安全机制
weixin_45541397的博客
08-27 561
由于API-Server 是 Kubernetes 集群数据的唯一访问入口,任一 Kubernetes API 的访问都属于以下三种方式之一:以证书方式访问的普通用户或进程,包括运维人员及 kubectl、 kubelet 等进程以 Service Account 方式访问的 Kubernetes 的内部服务进程以匿名方式访问的进程两种用户账号集群内部的 Service-Account,但它并不是给 Kubernetes 集群的用户(系统管理员、 运维人员、租户用户等)用的,而是给运行在 Pod 里的进程用
K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法
weixin_42896216的博客
03-16 785
K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法
安装K3S(轻量级K8S)集群
最新发布
Eddy的博客
05-26 891
一、轻量级Kubernetesk3s是经CNCF一致性认证的Kubernetes发行版,专为物联网及边缘计算设计。二、选择k3s的三大理由1.完美适配边缘环境k3s是一个高可用的、经过CNCF认证的Kubernetes发行版,专为无人值守、资源受限、偏远地区或物联网设备内部的生产工作负载而设计。2.简单且安全k3s被打包成单个小于60MB的二进制文件,从而减少了运行安装、运行和自动更新生产Kubernetes集群所需的依赖性和步骤。3.针对ARM进行优化。
kubernetes的PKI证书
rendongxingzhe的博客
05-10 1423
Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用 kubeadm 安装的 Kubernetes,则会自动生成集群所需的证书。你也可以自己生成证书。 集群是如何使用证书的 Kubernetes 需要 PKI 才能执行以下操作 1.Kubelet 的客户端证书,用于 API 服务器身份验证 2.API 服务器端点的证书 3.集群管理员的客户端证书,用于 API 服务器身份认证 4.API 服务器的客户端证书,用于和 Kubelet 的会话 5.AP
apiserver启动报错 Failed to start Kubernetes API Server
weixin_38316405的博客
06-11 2100
systemctl status kube-apiserver 启动apiserver发现有问题 执行命令 :cat /var/log/messages|grep kube-apiserver|grep -i error 查看错误 看错误说需要配置 --service-account-signing-key-file 和 --service-account-issuer,编辑配置文件kube-apiserver.conf 新增如下配置 --service-account-signing-key-fil
kube-apiserver启动命令参数解释
小云的博客
03-07 3786
在apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
k3s 1.29 最新离线包
02-03
安装K3s 1.29离线包时,你需要将这两个文件传输到目标x86系统上,然后按照官方文档的指示进行安装。对于ARM环境,你需要找到对应的k3s-airgap-images-arm版本,确保所有硬件平台的兼容性。 总之,K3s 1.29离线包...
docker k3s学习文档
03-15
学习文档
lbuw.rar_K3S
09-23
【标题】"lbuw.rar_K3S" 指示了这个压缩包与K3S有关,可能包含了与K3S系统或者软件相关的文件。K3S是Kubernetes的一个轻量级版本,专为边缘计算和小型集群设计,它是Rancher Labs推出的一款开源容器管理平台。K3S的...
k3s-arm64版本
05-14
k3s是rancher®出品的一个简化、轻量的k8s,本篇博客记录k3s的安装及踩的部分坑。 从名字上也能看出,k3s比k8s少了些东西,详情可见其官网k3s.io。而k3s-arm64是arm64平台可用的k3s版本
【转载】轻量级Kubernetes之k3s:16:源码编译k3s
limx59的专栏
01-26 843
轻量级Kubernetes之k3s:16:源码编译k3s 原创liumiaocn 最后发布于2019-12-06 20:53:15 阅读数 63 收藏 展开 这篇文章介绍一下源码编译k3s的方法。 事前准备 go语言环境 go语言版本需要go 1.12,本文示例使用1.13.5[root@liumiaocn ~]# go version go version go1.13.5 linux/a...
ali CNCF ServiceAccount 学习笔记
weixin_40455124的博客
03-30 1538
ServiceAccount 挂载及使用 挂载目录:/run/secrets/kubernetes.io/serviceaccount 如果Pod没有指定ImagePullSecrets,则把service account的ImagePullSecrets加到Pod中 token 用于访问apiserver 默认认证信息 1 Group:system:servviceaccounts:[names...
轻量级Kubernetes之k3s:16:源码编译k3s
知行合一 止于至善
12-06 2342
这篇文章介绍一下源码编译k3s的方法。
k8s创建服务账号——Service Account
热门推荐
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
kubernetes 1.21.10 apiserver报错 Error: [service-account-issuer is a required flag]
云深海阔专栏
08-11 1126
生成sa证书和pub。
基础指南:如何在K3s中配置Traefik?
k3s中文社区
04-02 1082
云由临时的服务器组和向服务器分配容器的方法组成。容器是一种将应用程序打包到标准化单元中的方法,以便该应用程序可以在云中的任何服务器上平稳运行。经常出现的问题是需要将外部客户端的流量定向到云内的容器中,同时确保外部客户端不与云绑定。针对该问题,一个常见的解决方案是创建一个Ingress controller。 Kubernetes的Ingress Kubernetes Ingress有两个要求: Ingress controller Ingress 这是为Kubernetes配置Ingress的端
15-K3S 网络
Dragon的博客
04-16 993
另一种方法是通过定义和应用 IngressRoute CRD (
K3s:轻量级Kubernetes发行版详解与应用
"Rancher CNDocs PDF_K3s.pdf 是一份关于 Rancher 的 K3s 中文操作手册,涵盖了轻量级 Kubernetes 发行版 K3s 的详细介绍和使用场景,适合边缘计算、物联网、CI、开发以及ARM等环境。手册中提及了K3s的特性,如单个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值