K8s 1.25.4 高可用集群二进制部署(Runtime Containerd)

已于 2024-06-11 16:23:41 修改
阅读量1.2k 收藏 27
点赞数 26
分类专栏: Kuberntes 文章标签: kubernetes 运维 linux
于 2024-05-27 09:46:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44295677/article/details/129025353
版权
本文档详细介绍了如何手动部署一个基于Containerd的Kubernetes 1.25.4高可用集群,涵盖了从集群环境准备、主机设置、负载均衡器配置、ETCD集群部署到Kubernetes核心组件的安装和验证全过程。
摘要由CSDN通过智能技术生成

目录

一、集群环境准备

1.1 主机规划

1.2 软件版本

1.3 网络分配

二、集群部署

2.1主机准备

2.1.1 主机名设置

2.1.2 主机与IP地址解析

2.1.3 主机安全设置

2.1.4 交换分区设置

2.1.5 主机系统时间同步

2.1.6 主机系统优化

2.1.7 ipvs管理工具安装及模块加载

2.1.8 加载containerd相关内核模块

2.1.9 Linux内核升级

2.1.10 Linux内核优化

2.1.11 其它工具安装(选装)

2.2 负载均衡器准备

2.2.1 安装haproxy与keepalived

2.2.2 HAProxy配置

2.2.3 KeepAlived

2.2.4 健康检查脚本

2.2.5 启动服务并验证

2.3 配置免密登录

2.4 部署ETCD集群

2.4.1 创建工作目录

2.4.2 获取cfssl工具

2.4.3 创建CA证书

2.4.4 创建etcd证书

2.4.5 部署etcd集群

2.5 Kubernetes集群部署

2.5.1 Kubernetes软件包下载

2.5.2 Kubernetes软件包安装

2.5.3 Kubernetes软件分发

2.5.4 在集群节点上创建目录

2.5.5 部署api-server

2.5.6 部署kubectl

2.5.7 部署kube-controller-manager

2.5.8 部署kube-scheduler

2.5.9 工作节点(worker node)部署

2.5.10 网络组件部署 Calico

2.5.10 部署CoreDNS

2.5.11 部署应用验证

一、集群环境准备

1.1 主机规划

主机IP地址 主机名 主机配置 主机角色 软件列表
192.168.140.242 k8s-master1 2C4G master kube-apiserver、kube-controller-manager、kube-scheduler、etcd、kubelet、kube-proxy、Containerd、runc
192.168.140.241 k8s-master2 2C4G master kube-apiserver、kube-controller-manager、kube-scheduler、etcd、kubelet、kube-proxy、Containerd、runc
192.168.140.130 k8s-worker1 2C4G worker kubelet、kube-proxy、Containerd、runc
192.168.140.131 ha1 1C2G LB haproxy、keepalived
192.168.140.132 ha2 1C2G LB haproxy、keepalived
192.168.140.100 / / VIP(虚拟IP)

1.2 软件版本

软件名称 版本 备注
CentOS7 kernel版本:5.17
kubernetes v1.25.4
etcd v3.5.6
calico v3.24.1
coredns v1.9.3
containerd 1.6.10
runc 1.1.3 至少支持 v1alpha2 版本的容器运行时接口
haproxy 5.18 YUM源默认
keepalived 3.5 YUM源默认

1.3 网络分配

网络名称 网段 备注
Node网络 192.168.140.0/24
Service网络 10.96.0.0/16
Pod网络 10.244.0.0/16

二、集群部署

2.1主机准备

2.1.1 主机名设置

hostnamectl set-hostname xxx

# 关于主机名参见1.1小节主机规划表

2.1.2 主机与IP地址解析

cat >> /etc/hosts << EOF
192.168.140.131 ha1
192.168.140.132 ha2
192.168.140.242 k8s-master1
192.168.140.241 k8s-master2
192.168.140.130 k8s-worker1
EOF

2.1.3 主机安全设置

2.1.3.1 关闭防火墙

systemctl stop firewalld
systmctl disable firewalld
firewall-cmd --state

2.1.3.2 关闭selinux

setenforce 0
sed -ri 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
sestatus

2.1.4 交换分区设置

swapoff -a
sed -ri 's/.*swap.*/#&/' /etc/fstab
echo "vm.swappiness=0" >> /etc/sysctl.conf
sysctl -p

2.1.5 主机系统时间同步

# 安装软件
yum -y install ntpdate
​
# 制定时间同步计划任务
crontab -e
0 */1 * * * ntpdate ntp1.aliyun.com

2.1.6 主机系统优化

limit优化

ulimit -SHn 65535

cat <<EOF >> /etc/security/limits.conf
* soft nofile 655360
* hard nofile 131072
* soft nproc 655350
* hard nproc 655350
* soft memlock unlimited
* hard memlock unlimited
EOF

2.1.7 ipvs管理工具安装及模块加载

为集群节点安装,负载均衡节点不用安装

yum -y install ipvsadm ipset sysstat conntrack libseccomp
# 所有节点配置ipvs模块,在内核4.19+版本nf_conntrack_ipv4已经改为nf_conntrack, 4.18以下使用nf_conntrack_ipv4即可: 
modprobe -- ip_vs 
modprobe -- ip_vs_rr 
modprobe -- ip_vs_wrr 
modprobe -- ip_vs_sh 
modprobe -- nf_conntrack 
# 创建 /etc/modules-load.d/ipvs.conf 并加入以下内容: 
cat >/etc/modules-load.d/ipvs.conf <<EOF 
ip_vs 
ip_vs_lc 
ip_vs_wlc 
ip_vs_rr 
ip_vs_wrr 
ip_vs_lblc 
ip_vs_lblcr 
ip_vs_dh 
ip_vs_sh 
ip_vs_fo 
ip_vs_nq 
ip_vs_sed 
ip_vs_ftp 
ip_vs_sh 
nf_conntrack 
ip_tables 
ip_set 
xt_set 
ipt_set 
ipt_rpfilter 
ipt_REJECT 
ipip 
EOF

2.1.8 加载containerd相关内核模块

# 临时加载模块​
modprobe overlay
modprobe br_netfilter

# 永久性加载模块​
cat > /etc/modules-load.d/containerd.conf << EOF
overlay
br_netfilter
EOF

#设置为开机启动,如果报错查看内核版本是否过低,过低先升级内核
systemctl enable --now systemd-modules-load.service

2.1.9 Linux内核升级

在所有节点中安装,需要重新操作系统更换内核。

[root@localhost ~]# yum -y install perl

[root@localhost ~]# rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

[root@localhost ~]# yum -y install https://www.elrepo.org/elrepo-release-7.0-4.el7.elrepo.noarch.rpm​

[root@localhost ~]# yum  --enablerepo="elrepo-kernel"  -y install kernel-ml.x86_64

[root@localhost ~]# grub2-set-default 0

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

2.1.10 Linux内核优化

cat <<EOF > /etc/sysctl.d/k8s.conf
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
fs.may_detach_mounts = 1
vm.overcommit_memory=1
vm.panic_on_oom=0
fs.inotify.max_user_watches=89100
fs.file-max=52706963
fs.nr_open=52706963
net.netfilter.nf_conntrack_max=2310720
​
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl =15
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_orphans = 327680
net.ipv4.tcp_orphan_retries = 3
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.ip_conntrack_max = 131072
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_timestamps = 0
net.core.somaxconn = 16384
EOF
sysctl --system

# 所有节点配置完内核后,重启服务器,保证重启后内核依旧加载
reboot -h now

# 重启后查看ipvs模块加载情况:
lsmod | grep --color=auto -e ip_vs -e nf_conntrack

# 重启后查看containerd相关模块加载情况:
lsmod | egrep 'br_netfilter | overlay'

2.1.11 其它工具安装(选装)

yum install wget jq psmisc vim net-tools telnet yum-utils device-mapper-persistent-data lvm2 git lrzsz -y

2.2 负载均衡器准备

2.2.1 安装haproxy与keepalived

yum -y install haproxy keepalived

2.2.2 HAProxy配置

cat >/etc/haproxy/haproxy.cfg<<"EOF"
global
 maxconn 2000
 ulimit-n 16384
 log 127.0.0.1 local0 err
 stats timeout 30s
​
defaults
 log global
 mode http
 option httplog
 timeout connect 5000
 timeout client 50000
 timeout server 50000
 timeout http-request 15s
 timeout http-keep-alive 15s
​
frontend monitor-in
 bind *:33305
 mode http
 option httplog
 monitor-uri /monitor
​
frontend k8s-master
 bind 0.0.0.0:6443
 bind 127.0.0.1:6443
 mode tcp
 option tcplog
 tcp-request inspect-delay 5s
 default_backend k8s-master
​
backend k8s-master
 mode tcp
 option tcplog
 option tcp-check
 balance roundrobin
 default-server inter 10s downinter 5s rise 2 fall 2 slowstart 60s maxconn 250 maxqueue 256 weight 100
 server  k8s-master1  192.168.140.242:6443 check
 server  k8s-master2  192.168.140.241:6443 check
EOF

2.2.3 KeepAlived

主从配置不一致,需要注意。

ha1:
​
cat >/etc/keepalived/keepalived.conf<<"EOF"
! Configuration File for keepalived
global_defs {
   router_id LVS_DEVEL
script_user root
   enable_script_security
}
vrrp_script chk_apiserver {
   script "/etc/keepalived/check_apiserver.sh"
   interval 5
   weight -5
   fall 2 
rise 1
}
vrrp_instance VI_1 {
   state MASTER
   interface ens33  # 跟据实际情况配置
   mcast_src_ip 192.168.140.131     # 本机IP
   virtual_router_id 51     # 虚拟路由ID
   priority 100     # 优先级,主服务要设置比从服务高
   advert_int 2
   authentication {
       auth_type PASS
       auth_pass K8SHA_KA_AUTH
   }
   virtual_ipaddress {
       192.168.140.100
   }
   track_script {
      chk_apiserver
   }
}
EOF
ha2:
​
cat >/etc/keepalived/keepalived.conf<<"EOF"
! Configuration File for keepalived
global_defs {
   router_id LVS_DEVEL
script_user root
   enable_script_security
}
vrrp_script chk_apiserver {
   script "/etc/keepalived/check_apiserver.sh"
  interval 5
   weight -5
   fall 2 
rise 1
}
vrrp_instance VI_1 {
   state BACKUP
   interface ens33
   mcast_src_ip 192.168.140.132
   virtual_router_id 51
   priority 99
   advert_int 2
   authentication {
       auth_type PASS
       auth_pass K8SHA_KA_AUTH
   }
   virtual_ipaddress {
       192.168.140.100
   }
   track_script {
      chk_apiserver
   }
}
EOF

2.2.4 健康检查脚本

ha1及ha2均要配置

cat > /etc/keepalived/check_apiserver.sh <<"EOF"
#!/bin/bash
# 通过监控haproxy状态码,实现虚拟IP偏移
​
err=0
for k in $(seq 1 3)
do
   check_code=$(pgrep haproxy)
   if [[ $check_code == "" ]]; then
       err=$(expr $err + 1)
       sleep 1
       continue
   else
       err=0
       break
   fi
done
​
if [[ $err != "0" ]]; then
   echo "systemctl stop keepalived"
   /usr/bin/systemctl stop keepalived
   exit 1
else
   exit 0
fi
EOF
chmod +x /etc/keepalived/check_apiserver.sh

2.2.5 启动服务并验证

systemctl daemon-reload
systemctl enable --now haproxy
systemctl enable --now keepalived

ip address show

2.3 配置免密登录

在k8s-master1上操作

# 生成密钥
ssh-keygen

# 复制公钥到各主机
ssh-copy-id -p 2223 root@k8s-master1
ssh-copy-id -p 2223 root@k8s-master2
ssh-copy-id -p 2223 root@k8s-master3
ssh-copy-id -p 2223 root@k8s-worker1

ssh root@k8s-master1

2.4 部署ETCD集群

在k8s-master1上操作。

2.4.1 创建工作目录

mkdir -p /data/k8s-work

2.4.2 获取cfssl工具

root@master:~# cd /data/k8s-work
​
root@master:~# wget https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl_1.5.0_linux_amd64
root@master:~# wget https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssljson_1.5.0_linux_amd64
root@master:~# wget https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl-certinfo_1.5.0_linux_amd64


# 说明:
# cfssl是使用go编写,由CloudFlare开源的一款PKI/TLS工具。主要程序有:
​
# - cfssl,是CFSSL的命令行工具
# - cfssljson用来从cfssl程序获取JSON输出,并将证书,密钥,CSR和bundle写入文件中。会生成证书的请求文件、证书的密钥和签发以后的证书
# - cfssl-certinfo是证书相关信息的查看工具

root@master:~#chmod +x cfssl*

root@master:~# mv cfssl_linux-amd64 /usr/local/bin/cfssl
root@master:~# mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
root@master:~# mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo


root@master:~# cfssl version
Version: 1.2.0
Revision: dev
Runtime: go1.6

2.4.3 创建CA证书

2.4.3.1 配置ca证书请求文件

cat > ca-csr.json <<"EOF"
{
  "CN": "kubernetes",
  "key": {
      "algo": "rsa",
      "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "kubemsb",
      "OU": "CN"
    }
  ],
  "ca": {
          "expiry": "87600h"
  }
}
EOF
​
# CN- 通用名称
# algo- 算法、size- 大小
# C- 国家、ST- 省份、L- 城市、O- 公司、OU- 部门
# expiry- 有效期

2.4.3.2 创建ca证书

root@master:~# cfssl gencert -initca ca-csr.json | cfssljson -bare ca

2.4.3.3 配置ca证书策略

root@master:~# cfssl print-defaults config > ca-config.json
cat > ca-config.json <<"EOF"
{
  "signing": {
      "default": {
          "expiry": "87600h"
        },
      "profiles": {
          "kubernetes": {
              "usages": [
                  "signing",
                  "key encipherment",
                  "server auth",
                  "client auth"
              ],
              "expiry": "87600h"
          }
      }
  }
}
EOF

# server auth 表示client可以对使用该ca对server提供的证书进行验证
# client auth 表示server可以使用该ca对client提供的证书进行验证

2.4.4 创建etcd证书

2.4.4.1 配置etcd请求文件

最低0.47元/天 解锁文章
梦·D·
关注
专栏目录
K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 4399
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产中使用功能可能不便于排查故障。二进制方式部署k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
二进制安装k8s 1.25.2 高可用集群
w975121565的博客
10-30 2097
二进制安装k8s 1.25.2 高可用集群
二进制部署Kubernetes v1.27.1 高可用集群(保姆级超详细,可通过在线或离线部署)
Mr.L-OAM的博客
08-22 3865
二进制部署Kubernetes v1.27.1 高可用集群(可通过在线或离线部署) K8S二进制部署 k8s 1.27.1 高可用集群部署
Kubernetes 1.25.0 基于containerd部署(rockylinux8.6)
w975121565的博客
08-24 2336
Kubernetes 1.25.0 基于containerd部署
K8s高可用集群部署----超详细(Detailed Deployment of k8s High Availability Cluster)
最新发布
Linux运维老纪的博客
09-05 1393
Kubernetes是一个开源的容器编排平台,用于自动化地部署、扩展和管理容器化应用程序。在生产环境中,为了确保集群高可用性,我们需要使用多个Master节点来实现冗余和故障切换。本章将详细介绍在 CentOS 7.4 上安装部署 Kubernetes(k8s) 高可用集群的步骤
k8s.6.2-Kubernetes高可用集群二进制部署Runtime Containerd
飘然渡沧海的博客
10-24 651
Kubernetes(简称为:k8s)是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了资源调度、部署管理、服务发现、扩容缩容、监控,维护等一整套功能,努力成为跨主机集群的自动部署、扩展以及运行应用程序容器的平台。它支持一系列容器工具, 包括Docker、Containerd等。
第三课Kubernetes生产级实践-二进制方式环境搭建Containerd
QnHyn
06-15 452
第三课Kubernetes生产级实践-二进制方式环境搭建Containerd tags: k8s 慕课网 categories: 二进制方式搭建 kubernetes-the-hard-way containerd 文章目录第三课Kubernetes生产级实践-二进制方式环境搭建Containerd第一节 基本环境准备1.1 kubernetes-the-hard-way介绍1.2 服务器系统设置1.3 配置免密登录1.4 准备k8s软件包第二节 生成证书2.1 安装cfssl2.2 根证书2.3
k8s高可用集群部署(二进制containerd)
神神秘秘
12-11 1941
同步k8s更新后部署的坑
k8s-1.25高可用部署
Leopisces的博客
01-20 709
两台master节点的配置均相同,配置中声明了后端代理的两个master节点服务器,指定了haproxy运行的端口为16443等,因此16443端口为集群的入口。项目地址:https://github.com/Mirantis/cri-dockerd。kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具。从官方地址获取到flannel的yaml,在master1上执行。在具有vip的master上操作,这里为master-sd。访问地址:http://NodeIP:Port。
k8s搭建-kubeadm安装k8s1.25高可用集群(一)
qq1299674780的博客
10-13 260
高可用集群k8s1.25搭建
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(一主多从)》
东城绝神
04-14 1341
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署Kubernetes 1.24.12集群(一主多从)》
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
东城绝神
04-14 741
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
二进制安装k8s高可用部署
2301_76288258的博客
02-27 1366
etcd的操作:#查看etcd集群健康状态ETCDCTL_API=3 /opt/etcd/bin/etcdctl --endpoints="https://IP1:2379,https://IP2:2379,https://IP3:2379" --cacert=CA证书 --cert=客户端证书 --key=客户端私钥 -wtable endpoint health#查看etcd集群状态信息。
Kubernetes高可用集群二进制部署(Runtime Docker)
小兔子的博客
06-14 1505
Kubernetes高可用集群二进制部署Runtime Docker) Kubernetes(简称为:k8s)是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了资源调度、部署管理、服务发现、扩容缩容、监控,维护等一整套功能,努力成为跨主机集群的自动部署、扩展以及运行应用程序容器的平台。 它支持一系列容器工具, 包括Docker、Containerd等。
k8s1.25版本集群部署(亲测有效)
大数据研习社
11-23 3791
实际上就是安装两个软件, ntpdate-4.2.6p5-12.el6.centos.2.x86_64是用来和某台服务器进行同步的,ntp-4.2.6p5-12.el6.centos.2.x86_64ntp-4.2.6p5-1.el6.centos.x86_64 是用来提供时间同步服务的。# 这段话是在主节点kubeadm init时复制过来的, 注意添加--cri-socket​​​​​​​。#不开启ipvs将会使用iptables,但是效率低,所以官网推荐需要开通ipvs内核​​​​​​​。
部署高可用集群(虚拟机演示)
m0_72766690的博客
10-11 1183
手把手教你部署高可用集群
Kubeadm方式部署K8s高可用集群
weixin_72583321的博客
05-17 1763
一个6节点的KubernetesK8s高可用集群是一套由6台服务器组成的系统,旨在通过冗余和故障转移机制确保集群的稳定性和可靠性。它通常包括多个主节点(Master Nodes),这些节点运行着Kubernetes控制平面组件,如API服务器、调度器和控制器管理器,以及多个工作节点(Worker Nodes),它们负责运行容器化的应用。在高可用配置中,主节点会部署多个实例,并通过选举机制确保始终有一个主节点处于活跃状态,其他主节点则作为备份。工作节点则负责执行容器任务,并通过负载均衡和故障转移策略来保证
高可用集群keepalived的应用以及部署
m0_62989729的博客
08-14 964
简介Keepalived软件起初是专为LVS负载均衡软件设计的,用来管理并监控LVS集群系统中各个服务节点的状态,后来又加入了可以实现高可用的VRRP功能。因此,Keepalived除了能够管理LVS软件外,还可以作为其他服务(例如:Nginx、Haproxy、MySQL等)的高可用解决方案软件。基于vrrp协议完成地址流动为vip地址所在的节点生成ipvs规则(在配置文件中预先定义)为ipvs集群的各RS做健康状态检测。
二进制部署k8s集群 部署高可用master节点
fhjtg的博客
05-16 1169
etcd 安装步骤准备 CA 证书和 私钥文件 ,首先 CA 签发服务端证书 和 私钥文件使用 CA 证书 、服务端证书、私钥文件 还有etcd 集群配置文件 启动etcd服务复制etcd工作目录和管理文件到另外几个etcd节点上并修改etcd的配置文件,然后启动etcd服务最后使用 etcdctl 命令查看etcd集群的状态。
k8s 1.25.4 高可用集群二进制部署教程:实战Containerd与Calico
本文档详细介绍了如何通过二进制方式部署 Kubernetes 1.25.4 高可用集群,该集群采用了 RuntimeContainerd 运行时。Kubernetes 是一个开源的容器编排平台,由 Google 开发,旨在简化容器化应用的部署、管理和扩展。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值