第四周记录

最新推荐文章于 2024-11-14 17:45:18 发布
最新推荐文章于 2024-11-14 17:45:18 发布
阅读量977 收藏
点赞数
分类专栏: 学习记录 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43451568/article/details/128177195
版权
本文详细记录了使用Ansible自动化部署k8s集群的过程,包括Harbor证书签发、安装、部署节点环境配置、K8s集群搭建与伸缩管理。此外,还涉及DNS服务配置、etcd的备份和恢复,以及Kubernetes Dashboard的安装和用户管理。整个流程覆盖了从环境规划到集群维护的多个环节。
摘要由CSDN通过智能技术生成

环境规划

类型 服务器IP地址
k8s-deploy 172.21.90.211
k8s-harbor 172.21.90.219
k8s-master(3台) 172.21.90.212/213/220
k8s-node(3台) 172.21.90.214/215/221
k8s-etcd(3台) 172.21.90.216/217/218
阿里云SLB 47.122.7.18

一、harbor证书签发

将harbor离线安装包解压后,进入harbor/目录,创建certs/目录并进入

# pwd
/apps/harbor/certs

步骤参考官网Harbor docs | Configure HTTPS Access to Harbor (goharbor.io)

1、自签名CA机构

# openssl genrsa -out ca.key 4096       #私有CA key
Generating RSA private key, 4096 bit long modulus (2 primes)
..................++++
..........................................................................................................................................................................................................................................++++
e is 65537 (0x010001)

# openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=y73.harbor.com" \
 -key ca.key \
 -out ca.crt      #自签发CA crt证书
# ll
total 20
drwxr-xr-x 2 root root 4096 Nov 20 16:52 ./
drwxr-xr-x 3 root root 4096 Nov 20 16:41 ../
-rw-r--r-- 1 root root 2053 Nov 20 16:51 ca.crt
-rw------- 1 root root 3243 Nov 20 16:45 ca.key

# touch /root/.rnd   #记录证书签发信息

2、客户端域名证书申请

# openssl genrsa -out y73.harbor.com.key 4096  #harbor服务器私钥
# ll
total 20
drwxr-xr-x 2 root root 4096 Nov 20 16:52 ./
drwxr-xr-x 3 root root 4096 Nov 20 16:41 ../
-rw-r--r-- 1 root root 2053 Nov 20 16:51 ca.crt
-rw------- 1 root root 3243 Nov 20 16:45 ca.key
-rw------- 1 root root 3243 Nov 20 16:52 y73.harbor.com.key   #harbor私钥key


# openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=y73.harbor.com" \
    -key y73.harbor.com.key \
    -out y73.harbor.com.csr      #harbor服务器csr文件
# ll
total 24
drwxr-xr-x 2 root root 4096 Nov 20 16:55 ./
drwxr-xr-x 3 root root 4096 Nov 20 16:41 ../
-rw-r--r-- 1 root root 2053 Nov 20 16:51 ca.crt
-rw------- 1 root root 3243 Nov 20 16:45 ca.key
-rw-r--r-- 1 root root 1708 Nov 20 16:55 y73.harbor.com.csr
-rw------- 1 root root 3243 Nov 20 16:52 y73.harbor.com.key

3、准备签发环境

# cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=y73.harbor.com
DNS.2=y73.harbor
DNS.3=k8s-harbor1
EOF     #证书签发SAN文件

# ll
total 28
drwxr-xr-x 2 root root 4096 Nov 20 16:58 ./
drwxr-xr-x 3 root root 4096 Nov 20 16:41 ../
-rw-r--r-- 1 root root 2053 Nov 20 16:51 ca.crt
-rw------- 1 root root 3243 Nov 20 16:45 ca.key
-rw-r--r-- 1 root root  268 Nov 20 16:58 v3.ext
-rw-r--r-- 1 root root 1708 Nov 20 16:55 y73.harbor.com.csr
-rw------- 1 root root 3243 Nov 20 16:52 y73.harbor.com.key

4、使用自签名CA签发证书

# openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in y73.harbor.com.csr \
    -out y73.harbor.com.crt    #自签发harbor证书
    
# ll
total 36
drwxr-xr-x 2 root root 4096 Nov 20 17:01 ./
drwxr-xr-x 3 root root 4096 Nov 20 16:41 ../
-rw-r--r-- 1 root root 2053 Nov 20 16:51 ca.crt
-rw------- 1 root root 3243 Nov 20 16:45 ca.key
-rw-r--r-- 1 root root   41 Nov 20 17:01 ca.srl
-rw-r--r-- 1 root root  268 Nov 20 16:58 v3.ext
-rw-r--r-- 1 root root 2122 Nov 20 17:01 y73.harbor.com.crt
-rw-r--r-- 1 root root 1708 Nov 20 16:55 y73.harbor.com.csr
-rw------- 1 root root 3243 Nov 20 16:52 y73.harbor.com.key

5、安装harbor

修改配置文件引用证书

/apps/harbor/certs/y73.harbor.com.crt

/apps/harbor/certs/y73.harbor.com.key

image-20221120171004119

# ./install.sh --help

Note: Please set hostname and other necessary attributes in harbor.yml first. DO NOT use localhost or 127.0.0.1 for hostname, because Harbor needs to be accessed by external clients.
Please set --with-notary if needs enable Notary in Harbor, and set ui_url_protocol/ssl_cert/ssl_cert_key in harbor.yml bacause notary must run under https. 
Please set --with-trivy if needs enable Trivy in Harbor
Please set --with-chartmuseum if needs enable Chartmuseum in Harbor

# ./install.sh  --with-trivy --with-chartmuseum

查看网站

6、部署节点安装docker并同步harbor crt证书

在部署节点k8s-deploy创建目录
# mkdir /etc/docker/certs.d/y73.harbor.com -p
在服务器把公钥拷贝到客户端
# pwd
/apps/harbor/certs

# scp y73.harbor.com.crt 172.21.90.189:/etc/docker/certs.d/y73.harbor.com


# systemctl restart docker    重启docker
之后在客户端才能成功登录harbor仓库
# docker login y73.harbor.com
Username: admin
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

image-20221125111319821

测试push镜像到harbor
# docker pull alpine
# docker tag alpine:latest y73.harbor.com/baseimages/alpine:latest     #要先创建baseimages项目
# docker push y73.harbor.com/baseimages/alpine:latest
The push refers to repository [y73.harbor.com/baseimages/alpine]
8d3ac3489996: Pushed 
latest: digest: sha256:e7d88de73db3d3fd9b2d63aa7f447a10fd0220b7cbf39803c803f2af9ba256b3 size: 528

二、ansible部署k8s集群

1、基础环境准备

root@k8s-deploy:~# apt install ansible -y
root@k8s-deploy:~# ssh-keygen
root@k8s-deploy:~# apt install sshpass   #安装sshpass命令用于同步公钥到各k8s服务器
root@k8s-deploy:~# vim key.sh

#!/bin/bash
IP="
172.21.90.204
172.21.90.203
172.21.90.202
172.21.90.206
172.21.90.207
172.21.90.209
172.21.90.208
"

for node in ${IP};do
        sshpass -p Abcd1234 ssh-copy-id ${node} -o StrictHostKeyChecking=no
          echo "${node} 密钥copy完成"
        ssh ${node} ln -sv /usr/bin/python3 /usr/bin/python    #ansible需要python环境,为每个节点创建软连接
          echo "${node} /usr/bin/python3 软连接创建完成"
done      

root@k8s-deploy:~# bash key.sh  #执行脚本同步

root@k8s-deploy:~# ln -sv /usr/bin/python3 /usr/bin/python     #ansible需要python环境,为每个节点创建软连接
'/usr/bin/python' -> '/usr/bin/python3'

验证可以免密钥登录其它服务器

image-20221125163202302

2、下载kubeasz项目及组件

步骤参考githubkubeasz/00-planning_and_overall_intro.md at master · easzlab/kubeasz (github.com)

root@k8s-deploy:~# apt install git
root@k8s-deploy:~# export release=3.3.1
root@k8s-deploy:~# wget https://github.com/easzlab/kubeasz/releases/download/${release}/ezdown
root@k8s-deploy:~# chmod +x ./ezdown
root@k8s-deploy:~# ./ezdown -D    #下载kubeasz代码、二进制、默认容器镜像

上述脚本运行成功后,所有文件(kubeasz代码、二进制、离线镜像)均已整理好放入目录/etc/kubeasz

3、生产并自定义hosts文件

root@k8s-deploy:~# cd /etc/kubeasz/
root@k8s-deploy:/etc/kubeasz# ./ezctl new k8s-cluster01
2022-11-25 15:48:10 DEBUG generate custom cluster files in /etc/kubeasz/clusters/k8s-cluster01
2022-11-25 15:48:10 DEBUG set versions
2022-11-25 15:48:11 DEBUG cluster k8s-cluster01: files successfully created.
2022-11-25 15:48:11 INFO next steps 1: to config '/etc/kubeasz/clusters/k8s-cluster01/hosts'
2022-11-25 15:48:11 INFO next steps 2: to config '/etc/kubeasz/clusters/k8s-cluster01/config.yml'

然后根据提示配置’/etc/kubeasz/clusters/k8s-01/hosts’ 和 ‘/etc/kubeasz/clusters/k8s-01/config.yml’:根据前面节点规划修改hosts 文件和其他集群层面的主要配置选项;其他集群组件等配置项可以在config.yml 文件中修改。

1、编辑hosts文件

指定etcd节点、master节点、node节点、VIP、运行时、网络组件类型、service IP和pod IP范围等配置信息

root@k8s-deploy:~# cd /etc/kubeasz/clusters/k8s-cluster01
root@k8s-deploy:/etc/kubeasz/clusters/k8s-cluster01# pwd
/etc/kubeasz/clusters/k8s-cluster01

root@k8s-deploy:/etc/kubeasz/clusters/k8s-cluster01# vim hosts

以下为hosts文件

# 'etcd' cluster should have odd member(s) (1,3,5,...)
[etcd]
172.21.90.204
172.21.90.203
172.21.90.202

# master node(s)
[kube_master]
172.21.90.209
172.21.90.208

# work node(s)
[kube_node]
172.21.90.206
172.21.90.207

# [optional] harbor server, a private docker registry
# 'NEW_INSTALL': 'true' to install a harbor server; 'false' to integrate with existed one
[harbor]
#192.168.1.8 NEW_INSTALL=false

# [optional] loadbalance for accessing k8s from outside
[ex_lb]
#192.168.1.6 LB_ROLE=backup EX_APISERVER_VIP=192.168.1.250 EX_APISERVER_PORT=8443
#192.168.1.7 LB_ROLE=master EX_APISERVER_VIP=192.168.1.250 EX_APISERVER_PORT=8443

# [optional] ntp server for the cluster
[chrony]
#192.168.1.1

[all:vars]
# --------- Main Variables ---------------
# Secure port for apiservers
SECURE_PORT="6443"

# Cluster container-runtime supported: docker, containerd
# if k8s version >= 1.24, docker is not supported
CONTAINER_RUNTIME="containerd"

# Network plugins supported: calico, flannel, kube-router, cilium, kube-ovn
CLUSTER_NETWORK="calico"

# Service proxy mode of kube-proxy: 'iptables' or 'ipvs'
PROXY_MODE="ipvs"

# K8S Service CIDR, not overlap with node(host) networking
SERVICE_CIDR="10.100.0.0/16"

# Cluster CIDR (Pod CIDR), not overlap with node(host) networking
CLUSTER_CIDR="10.200.0.0/16/16"

# NodePort Range
NODE_PORT_RANGE="30000-60000"

# Cluster DNS Domain
CLUSTER_DNS_DOMAIN="y73.local"

# -------- Additional Variables (don't change the default value right now) ---
# Binaries Directory
bin_dir="/usr/local/bin"

# Deploy Directory (kubeasz workspace)
base_dir="/etc/kubeasz"

# Directory for a specific cluster
cluster_dir="{
   { base_dir }}/clusters/k8s-cluster01"

# CA and other components cert/key Directory
ca_dir="/etc/kubernetes/ssl"
2、编辑config.yml文件

root@k8s-deploy:~# vim /etc/kubeasz/clusters/k8s-cluster01/config.yml

############################
# prepare
############################
# 可选离线安装系统软件包 (offline|online)
INSTALL_SOURCE: "online"

# 可选进行系统安全加固 github.com/dev-sec/ansible-collection-hardening
OS_HARDEN: false


############################
# role:deploy
############################
# default: ca will expire in 100 years
# default: certs issued by the ca will expire in 50 years
CA_EXPIRY: "876000h"
CERT_EXPIRY: "438000h"

# kubeconfig 配置参数
CLUSTER_NAME: "cluster1"
CONTEXT_NAME: "context-{
   { CLUSTER_NAME }}"

# k8s version
K8S_VER: "1.24.2"

############################
# role:etcd
############################
# 设置不同的wal目录,可以避免磁盘io竞争,提高性能
ETCD_DATA_DIR: "/var/lib/etcd"
ETCD_WAL_DIR: ""


############################
# role:runtime [containerd,docker]
############################
# ------------------------------------------- containerd
# [.]启用容器仓库镜像
ENABLE_MIRROR_REGISTRY: true

# [containerd]基础容器镜像
#SANDBOX_IMAGE: "easzlab.io.local:5000/easzlab/pause:3.7"
SANDBOX_IMAGE: "y73.harbor.com/baseimages/pause:3.7"
# [containerd]容器持久化存储目录
CONTAINERD_STORAGE_DIR: "/var/lib/containerd"

# ------------------------------------------- docker
# [docker]容器存储目录
DOCKER_STORAGE_DIR: "/var/lib/docker"

# [docker]开启Restful API
ENABLE_REMOTE_API: false

# [docker]信任的HTTP仓库
INSECURE_REG: '["http://easzlab.io.local:5000"]'


############################
# role:kube-master
############################
# k8s 集群 master 节点证书配置,可以添加多个ip和域名(比如增加公网ip和域名)
MASTER_CERT_HOSTS:
  - "10.1.1.1"
  - "k8s.easzlab.io"
  #- "www.test.com"

# node 节点上 pod 网段掩码长度(决定每个节点最多能分配的pod ip地址)
# 如果flannel 使用 --kube-subnet-mgr 参数,那么它将读取该设置为每个节点分配pod网段
# https://github.com/coreos/flannel/issues/847
NODE_CIDR_LEN: 24


############################
# role:kube-node
############################
# Kubelet 根目录
KUBELET_ROOT_DIR: "/var/lib/kubelet"

# node节点最大pod 数
MAX_PODS: 500

# 配置为kube组件(kubelet,kube-proxy,dockerd等)预留的资源量
# 数值设置详见templates/kubelet-config.yaml.j2
KUBE_RESERVED_ENABLED: "no"

# k8s 官方不建议草率开启 system-reserved, 除非你基于长期监控,了解系统的资源占用状况;
# 并且随着系统运行时间,需要适当增加资源预留,数值设置详见templates/kubelet-config.yaml.j2
# 系统预留设置基于 4c/8g 虚机,最小化安装系统服务,如果使用高性能物理机可以适当增加预留
# 另外,集群安装时候apiserver等资源占用会短时较大,建议至少预留1g内存
SYS_RESERVED_ENABLED: "no"


############################
# role:network [flannel,calico,cilium,kube-ovn,kube-router]
最低0.47元/天 解锁文章
神奇工坊
关注
专栏目录
kubeasz_使用kubeasz安装K8S集群,不受国内网络环境影响
weixin_30582953的博客
01-14 1443
1. 前期准备一台安装了Ubuntu或CentOS的机器(可以是虚拟机),本文中使用的是Ubuntu 19.10虚拟机,内存为2g配置基础网络、更新源、SSH登录等2. 下载并安装kubeasz# 下载工具脚本easzup,举例使用kubeasz版本2.0.2export release=2.0.2curl -C- -fLO --retry 3 https://github.com/easzlab...
kubeasz部署的k8s集群(1.24)启动mysql-operator报错SSLCertVerificationError排查与修复
Not Found 404
10-31 197
3.证书链不完整:证书链是由根证书、中间证书和服务器证书组成的,如果其中任何一个证书缺失或不正确,那么证书将被认为是无效的.:证书链是由根证书、中间证书和服务器证书组成的,如果其中任何一个证书缺失或不正确,那么证书将被认为是无效的.2.证书颁发机构 (CA) 不受信任: 如果证书的颁发机构不在受信任的CA列表中,那么证书将被认为是无效的。4.域名不匹配: 证书中包含了一个或多个域名如果服务器的域名与证书中的域名不匹配,那么证书将被认为是无效的。的 Kubernetes CA 证书的CN,将。
kubectl和yaml文件内容介绍 Day02
qq_42515722的博客
05-04 571
kubectl使用讲解和yaml文件介绍
docer 设置 拉取http协议的私有仓库
xiunai78的专栏
01-10 263
harbor 的docker-compose 建了个私有的docker 仓库,没做太多设置,仅支持http 。 docker pull xxxxxxx 拉取镜像时,会自动加上 https 协议去请求 。不符合我的场景 。 解决方法: vi /etc/docker/daemon.json 添加以下内容: { “registry-mirrors”:[“https://registr...
Linux下,sshpass的使用方法
爱敲代码的洋葱
04-12 5037
Linux下,sshpass的使用方法1.在线安装2.示例 ssh辅助工具,不用单独输入密码就可以连接ssh,一行命令连接服务器 不过不建议在公网环境下使用 1.在线安装 yum安装: yum install sshpass apt安装: apt-get install sshpass alpine安装: apk add sshpass 2.示例 连接ssh: sshpass -p xxx ssh root@192.168.11.11 常见错误: 报错:sshpass: Failed to run co
使用kubeasz自动化部署K8s
BOHC!
12-18 2585
  本文使用kubeasz项目基于二进制方式部署和利用ansible-playbook实现自动化部署K8s。   架构图如下所示 kubeasz官方文档中高可用集群所需节点配置如下 角色 数量 描述 管理节点 1 运行ansible/easzctl脚本,可以复用master,建议使用独立节点(1c1g) etcd节点 3 注意etcd集群需要1,3,5,7…奇数个节点,一般复用...
四周会议记录表1
08-03
他们在周内详细分配了工作任务,并且预留了会议时间来讨论和确认任务进度。 2. **任务分配**:工作被明确地分配给团队成员,每个人都有特定的责任,如搜集审查点、查找文档问题、整理文档等。这种分工合作有助于...
软件工程小组第四周第一次例会记录1
08-08
在本次软件工程小组第四周的第一次例会中,团队成员们聚集在A-405会议室,由高天一担任记录员,没有人员缺席。这次会议的核心内容是回顾本周的工作总结,并对项目的进展进行了深入讨论,特别是关于需求分析和数据...
第十四周会议记录表1
08-08
在本次2019年6月5日的软件工程实验第22次会议中,团队成员陈鸿超、李铎坤、刘颖和袁梦阳聚集在新主楼G座5层,进行了一个小时的讨论和任务分配。这次会议的核心目标是为后续的实验做充分的准备,并确保每个成员明确...
kubernetes删除pod失败
weixin_34259159的博客
09-11 505
一、概述   k8s中删除pod失败,可能是该pod有rc,rs上层控制,而且很有可能,所以删除上层对应的rc,rs,deployment即可;   删除的方法:     1、直接删除rc,rs,deployment等;     2、官方做法:先put rc副本数为0,再删除rc;使用api 1 { 2 "kind": "Scale", 3 "apiVersion": "e...
k8s中删除不掉pod的原因和正确的删除姿势
sun_luming的博客
05-09 4398
可以看到pod已经被删除了,但是去查询pod的时候发现又有了一个,这是因为什么呢? 这是因为deployment中定义了pod的副本数量,我们删除了一个pod,马上会新建一个pod,要想彻底删除pod,需要先删除deployment。 查看deployment: kubectl get deployment 先删除deployment,下面的命令中换成你自己的deployment名字 kubectl delete deployment <name> kubectl get deployme.
尝试用sshpass解决问题(二)
joosonmao的专栏
09-11 6022
为什么每次遇到问题都那么头疼呢? 继续
Dockerfile ssh免密登录容器小实践 docker-alpine-sshd
...
05-22 3583
基于 alpine 镜像, 体积小, 方便做小实验, 本次实践使用 alpine:3.8 版本, 若使用其它本版, 更改 Dockerfile 中 FROM alpine:3.8 版本号与阿里源的版本号. Dockerfile 文件 FROM alpine:3.8 RUN echo "http://mirrors.aliyun.com/alpine/v3.8/main/" > /etc/a...
Linux】多线程(中)
Eristic0618的博客
11-14 868
本篇文章围绕Linux中的多线程展开讲解,包含线程互斥的概念、互斥量mutex和相关API、互斥量原理、重入和线程安全、死锁、线程同步和条件变量等内容
SimpleScreenRecorder, a screen recording tool for Linux
likecayon的博客
11-11 364
【代码】SimpleScreenRecorder, a screen recording tool for Linux
gdb编译教程(支持linux下X86和ARM架构)
weixin_43246170的博客
11-12 245
5、我们先开始x86版本,这个比较简单,不需要配置交叉编译工具(当然前提是系统装了gcc和g++的环境啊)。将gdb文件拷贝到对应平台下,即可使用。(或者使用gdbserver远程调试)以上这些配置都是要跟在./configure后面的。3、解压,然后进入到目录下,打开当前目录的命令行窗口。2、下载完后拷贝到linux的x86系统。先清理下编译x86残留下的临时文件。6、限制我们来编译ARM版本。4、创建一个生成目录。我下载的8.2版本。
Linux ssh 基础教程
tangPHP的博客
11-13 787
SSH是一种安全协议,用作远程连接Linux服务器的主要手段。它通过生成远程shell提供基于文本的界面。连接之后,在本地终端中键入的所有命令都将发送到远程服务器并在那里执行,一般说ssh即openssh。OpenSSH(Open Secure Shell),是一套安全的网络工具,它在不安全的网络上提供加密通信。它主要用于安全远程登录、文件传输和其他安全网络服务。
QEMU 模拟器中运行的 Linux 系统
最新发布
usstmiracle的博客
11-14 151
**作用**:它包含了 Linux 系统的根文件系统(root filesystem),包括所有的系统文件、库、应用程序和配置文件。- **作用**:它包含了 Linux 内核,负责启动和管理操作系统的核心功能。如果你有更多问题或需要进一步的帮助,随时告诉我!- **linux-aarch64-qemu-bzImage**:压缩的 Linux 内核镜像,负责启动和管理操作系统。- **linux-aarch64-qemu.ext4**:根文件系统镜像,包含系统文件和应用程序。
Python基础操作记录与第二周学习总结
4. 实例分析:第二周的操作记录 假设在第二周的操作记录中,需要记录的操作包括: - 创建和编辑文件,例如使用文件操作记录用户输入或程序输出。 - 时间戳的记录,例如记录用户登录时间或操作发生的时间。 - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值