Kubernetes源码安装(制作API证书部署Master)

最新推荐文章于 2024-08-07 09:57:11 发布
最新推荐文章于 2024-08-07 09:57:11 发布
阅读量189 收藏
点赞数
分类专栏: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45641605/article/details/115082095
版权

制作apiserver证书(master操作)

cd  ~/TLS/k8s

#添加证书配置
cat > ca-config.json<< EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
     },
      "profiles": {
      "kubernetes": {
        "expiry": "87600h",
        "usages": [
          "signing",
          "key encipherment",
          "server auth",
          "client auth"
        ]
      }
    }
  }
}
EOF

#ca-k8s证书文件
cat > ca-csr.json<< EOF
{
    "CN": "kubernetes",
    "key": {
      "algo": "rsa",
      "size": 2048
  },    
  "names": [
      {
        "C": "CN",
        "L": "Beijing",
        "ST": "Beijing",
        "O": "k8s",
        "OU": "System"
       }
   ]    
} 
EOF

#生成证书文件
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

#添加api证书配置文件
cat > server-csr.json<< EOF
{
    "CN": "kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "172.22.213.49",
      "172.22.213.52",
      "172.22.213.53",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
],
"key": {
  "algo": "rsa",
  "size": 2048
},
"names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

#基于模板生成证书
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server
#查看生成的证书文件
[root@master]# ls server*.pem
server-key.pem  server.pem

部署Master机器

#下载地址  https://dl.k8s.io/v1.18.3/kubernetes-server-linux-amd64.tar.gz
#创建工作目录
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}
#解压
tar zxvf kubernetes-server-linux-amd64.tar.gz
#拷贝master节点所需组件的二进制文件
cd kubernetes/server/bin
cp kube-apiserver kube-scheduler kube-controller-manager /opt/kubernetes/bin
 
#拷贝kubectl管理工具
cp kubectl /usr/bin/
 
#拷贝证书文件
cp ~/TLS/k8s/*.pem /opt/kubernetes/ssl/

部署kube-apiserver

#部署kube-apiserver
#创建配置文件 IP地址要和前面创建的Etcd相对应
cat > /opt/kubernetes/cfg/kube-apiserver.conf << EOF
KUBE_APISERVER_OPTS="--logtostderr=false \\
--v=2 \\
--log-dir=/opt/kubernetes/logs \\
--etcd-servers=https://172.22.213.49:2379,https://172.22.213.52:2379,https://172.22.213.53:2379 \\
--bind-address=0.0.0.0 \\
--secure-port=6443 \\
--advertise-address=172.22.213.49 \\
--allow-privileged=true \\
--service-cluster-ip-range=10.0.0.0/24 \\
--enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,NodeRestriction \\
--authorization-mode=RBAC,Node \\
--enable-bootstrap-token-auth=true \\
--token-auth-file=/opt/kubernetes/cfg/token.csv \\
--service-node-port-range=30000-32767 \\
--kubelet-client-certificate=/opt/kubernetes/ssl/server.pem \\
--kubelet-client-key=/opt/kubernetes/ssl/server-key.pem \\
--tls-cert-file=/opt/kubernetes/ssl/server.pem \\
--tls-private-key-file=/opt/kubernetes/ssl/server-key.pem \\
--client-ca-file=/opt/kubernetes/ssl/ca.pem \\
--service-account-key-file=/opt/kubernetes/ssl/ca-key.pem \\
--etcd-cafile=/opt/etcd/ssl/ca.pem \\
--etcd-certfile=/opt/etcd/ssl/server.pem \\
--etcd-keyfile=/opt/etcd/ssl/server-key.pem \\
--audit-log-maxage=30 \\
--audit-log-maxbackup=3 \\
--audit-log-maxsize=100 \\
--audit-log-path=/opt/kubernetes/logs/k8s-audit.log"
EOF

#参数说明
--logtostderr:     #启用日志,支持日志输出
--v                 #日志等级
--log-dir          #指定日志输出目录
--etcd-servers       #etcd 集群地址
--bind-address      #监听地址,当前地址
--secure-port       #https 安全端口 (默认6443)
--advertise-address   #集群通告地址
--allow-privileged  #启用授权,运行docker使用特权模式
--service-cluster-ip-range   #Service 虚拟 IP 地址段
--enable-admission-plugins   #准入控制模块
--authorization-mode   #认证授权,启用 RBAC 授权和节点自管理
--enable-bootstrap-token-auth  #启用 TLS bootstrap 机制
      #这里开启这个机制的作用,如果后续有新的节点加入,会自动帮忙授权,只要加入到对应的组中
--token-auth-file    #bootstrap token 文件
--service-node-port-range   #Service nodeport 类型默认分配端口范围
--kubelet-client-xxx   #apiserver 访问 kubelet 客户端证书
--tls-xxx-file         #apiserver https 证书
--etcd-xxxfile      #连接 Etcd 集群证书
--audit-log-xxx     #审计日志

#创建token文件(也可以自己生成,替换)
#格式:token,用户名,UID,用户组
head -c 16 /dev/urandom | od -An -t x | tr -d ' '  #用户名
cat > /opt/kubernetes/cfg/token.csv << EOF
c47ffb939f5ca36231d9e3121a252940,kubelet-bootstrap,10001,"system:nodebootstrapper"
EOF

#将api添加到systemd
cat > /usr/lib/systemd/system/kube-apiserver.service << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
 
[Service]
EnvironmentFile=/opt/kubernetes/cfg/kube-apiserver.conf
ExecStart=/opt/kubernetes/bin/kube-apiserver \$KUBE_APISERVER_OPTS
Restart=on-failure

[Install]
WantedBy=multi-user.target
EOF

#启动API服务
systemctl daemon-reload 
systemctl start kube-scheduler &&  systemctl enable kube-scheduler#启动并开机自启
systemctl is-active kube-scheduler		#检查服务状态

#授权 kubelet-bootstrap 用户允许请求证书
kubectl create clusterrolebinding kubelet-bootstrap \
--clusterrole=system:node-bootstrapper \
--user=kubelet-bootstrap

#Result
clusterrolebinding.rbac.authorization.k8s.io/kubelet-bootstrap created

部署 kube-controller-manager

#部署 kube-controller-manager
#创建配置文件
cat > /opt/kubernetes/cfg/kube-controller-manager.conf << EOF
KUBE_CONTROLLER_MANAGER_OPTS="--logtostderr=false \\
--v=2 \\
--log-dir=/opt/kubernetes/logs \\
--leader-elect=true \\
--master=127.0.0.1:8080 \\
--bind-address=127.0.0.1 \\
--allocate-node-cidrs=true \\
--cluster-cidr=10.244.0.0/16 \\
--service-cluster-ip-range=10.0.0.0/24 \\
--cluster-signing-cert-file=/opt/kubernetes/ssl/ca.pem \\
--cluster-signing-key-file=/opt/kubernetes/ssl/ca-key.pem \\
--root-ca-file=/opt/kubernetes/ssl/ca.pem \\
--service-account-private-key-file=/opt/kubernetes/ssl/ca-key.pem \\
--experimental-cluster-signing-duration=87600h0m0s"
EOF

#参数说明
--master   #通过本地非安全本地端口 8080 连接 apiserver。
--leader-elect  #当该组件启动多个时,自动选举(HA)
--cluster-signing-cert-file  #ca证书文件
--cluster-signing-key-file   #ca证书私钥
 
 #自动为 kubelet 颁发证书的 CA,与 apiserver 保持一致
 
#添加到systemd管理
cat > /usr/lib/systemd/system/kube-controller-manager.service << EOF
[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/kubernetes/kubernetes
 
[Service]
EnvironmentFile=/opt/kubernetes/cfg/kube-controller-manager.conf
ExecStart=/opt/kubernetes/bin/kube-controller-manager \$KUBE_CONTROLLER_MANAGER_OPTS
Restart=on-failure
 
[Install]
WantedBy=multi-user.target
EOF

#启动Controller服务
systemctl daemon-reload 
#启动并开机自启
systemctl start kube-controller-manager &&  systemctl enable kube-controller-manager
systemctl is-active kube-controller-manager		#检查服务状态

部署kube-scheduler

#部署kube-scheduler
#创建配置文件
cat > /opt/kubernetes/cfg/kube-scheduler.conf << EOF
KUBE_SCHEDULER_OPTS="--logtostderr=false \
--v=2 \
--log-dir=/opt/kubernetes/logs \
--leader-elect \
--master=127.0.0.1:8080 \
--bind-address=127.0.0.1"
EOF

#参数说明
--master        #通过本地非安全本地端口 8080 连接 apiserver。
--leader-elect  #当该组件启动多个时,自动选举(HA)

#添加到systemd管理
cat > /usr/lib/systemd/system/kube-scheduler.service << EOF
[Unit]
Description=Kubernetes Scheduler
Documentation=https://github.com/kubernetes/kubernetes
[Service]
EnvironmentFile=/opt/kubernetes/cfg/kube-scheduler.conf
ExecStart=/opt/kubernetes/bin/kube-scheduler \$KUBE_SCHEDULER_OPTS
Restart=on-failure
[Install]
WantedBy=multi-user.target
EOF

#启动Scheduler服务
systemctl daemon-reload 
systemctl start kube-scheduler &&  systemctl enable kube-scheduler#启动并开机自启
systemctl is-active kube-scheduler		#检查服务状态

查看集群状态

#服务正常
[root@master cfg]# kubectl  get cs
NAME                 STATUS    MESSAGE             ERROR
scheduler            Healthy   ok
controller-manager   Healthy   ok
etcd-0               Healthy   {"health":"true"}
etcd-1               Healthy   {"health":"true"}
etcd-2               Healthy   {"health":"true"}
农夫三拳@
关注
专栏目录
kubernetes】k8s集群高可用部署安装和概念详细说明【含离线部署】,客户端连接haproxy访问高可用流程
2301_79835671的博客
04-19 1032
由于篇幅原因,就不多做展示了《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!created:sudo chownid−uid−u执行环境变量创建【上面其实有提示的,自行看一下】可以直接复制你上面提示中的这3个命令哈id−uid−u现在回到master1上,就可以看到这2个master信息了自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
kubernetes_installation:在Ubuntu 20.04上安装Kubernetes
02-25
在Ubuntu 20.04上安装Kubernetes 从下面提到的Docker和Kubernetes网站获取有关安装的详细信息。 设置Docker和Kubernetes存储库: 下载适用于Docker的GPG密钥 curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - 添加Docker存储库 # Docker has release the repository for Ubuntu 20.04 Focal LTS. # we can get the latest release versions from https://docs.docker.com sudo add-apt-repository " deb [arch=amd64] https://download.docker.
kubernetes 源码安装1.18.3 (0)环境初始化
默子昂
12-09 1117
主机规划 角色 资源 ip地址 操作系统版本 k8s-master01 2C2G 192.168.1.20 centos7.6 k8s-node01 2C2G 192.168.1.21 centos7.6 k8s-node02 2C2G 192.168.1.22 centos7.6 环境初始化 #角色ip地址(修改这里的ip地址,然后整个复制黏贴过去3台节点执行) kube_m_ip=192.168.1.20...
开源项目 Kubernetes 源码探索与部署指南
最新发布
gitblog_00950的博客
08-07 557
开源项目 Kubernetes 源码探索与部署指南 kubernetesThis is the repo that tracks all patches to the OpenShift distribution of Kubernetes on branches corresponding to OpenShift releases. See https://github.com/opens...
源码(二进制)安装kuberbetes(k8s) (完整版-持续完善)
rockstics的博客
04-02 3683
环境配置 1. 分别设置hostname hostnamectl set-hostname master hostnamectl set-hostname node01 hostnamectl set-hostname node02 2. 主机hosts文件配置 cat <<EOF >>/etc/hosts 192.168.122.10 master 192.168.122.11 node01 192.168.122.12 node02 EOF 3. 关闭防火墙 syste
kubernetes 源码安装1.18.3 (3)部署docker
默子昂
12-10 664
部署节点docker(3台节点相同) ##下载地址: https://download.docker.com/linux/static/stable/x86_64/docker-19.03.9.tgz #解压安装包 tar zxvf docker-19.03.9.tgz && cd docker/ mv docker dockerd docker-init docker-proxy /usr/bin/ 添加到systemd管理 cat > /usr/lib/systemd/
Kubernetes源码安装安装Node节点)
weixin_45641605的博客
03-22 242
部署Node节点(Master操作) #拷贝安装node所需的二进制文件 cp ~/kubernetes/server/bin/kubelet kube-proxy /opt/kubernetes/bin #添加Kubelet配置 cat > /opt/kubernetes/cfg/kubelet.conf << EOF KUBELET_OPTS="--logtostderr=false \\ --v=2 \\ --log-dir=/opt/kubernetes/logs \\ --h
helm-master_HELM_Kubernetes_源码
10-02
在这个"helm-master_HELM_Kubernetes_源码"的压缩包中,我们可以预见到包含的是Helm的源代码和相关资源,可能包括了Helm的服务器端部分,这对于开发者和系统管理员来说是非常有价值的,因为他们可以直接深入理解Helm...
kubernetes-basico-master.rar
10-09
在这个“kubernetes-basico-master源码中,你可以找到关于Kubernetes API交互、自定义资源定义(CRD)、自定义控制器、工作流管理和自动化脚本等方面的示例。通过阅读源码,可以理解K8s是如何在底层实现其功能的...
kubernetes-in-action-master.zip
06-10
在这个上下文中,OpenSSL的源码可能被用作Kubernetes集群中创建安全连接或证书管理的示例。在Kubernetes中,OpenSSL可以用于生成自签名证书或者处理与TLS相关的配置,这对于在Kubernetes部署安全的服务至关重要。 ...
Kubernetes安装配置与服务部署
热门推荐
u013760355的博客
03-29 2万+
kubernetes安装和配置; kubernetes发布服务
Kubernetes源码,2018.07.18从GitHub上下载
07-20
Kubernetes源码,2018.07.18从GitHub上下载的。Kubernetes 已成为在私有云、公有云和混合云环境中大规模部署容器化应用的事实标准。AWS、Google Cloud、Azure、IBM Cloud 和 Oracle Cloud 等几个最大的公有云平台都可以为 Kubernetes 提供托管服务。
Kubernetes部署
03-04
Kubernetes部署
使用Golang编译Kubernetes源码
07-27
自己动手,一步一步,从Golang编译环境安装Kubernetes源码编译,跳过坑,抗过雷
kubernetes 源码安装部署 1.12
JackJones1234的博客
08-15 663
一. 前期准备 参考文档 https://jimmysong.io/kubernetes-handbook/practice/create-tls-and-secret-key.html 1. 安装golang编译环境, 官网(golang.org)下载安装 2. git clonehttps://github.com/kubernetes/kubernetes.git...
Kubernetes源码安装安装Docker)
weixin_45641605的博客
03-22 163
安装Docker(三台机器都安装docker) #下载地址 wget https://download.docker.com/linux/static/stable/x86_64/docker-19.03.9.tgz #解压安装包,并添加到系统级 tar zxvf docker-19.03.9.tgz && cd docker/ mv docker dockerd docker-init docker-proxy /usr/bin/ #添加到systemd管理 cat > /usr
Kubernetes源码安装(环境准备)
weixin_45641605的博客
03-22 365
Kubernetes源码安装 环境初始化 资源规划 Hostname Config master 2CPU8G node1 2CPU4G node2 2CPU4G 我这里使用的是aliyun的服务器,所以不需要配置防火墙策略 如果是VM,需要关闭防火墙等配置 #修改IP Host脚本 master=172.22.213.49 node1=172.22.213.52 node2=172.22.213.53 temp=$(ifconfig ens33 | grep "inet
kubernetes 源码安装1.18.3 (7)部署cni网络
默子昂
12-10 1550
部署cni网络 #下载地址 https://github.com/containernetworking/plugins/releases/download/v0.8.6/cni-plugins-linux-amd64-v0.8.6.tgz #解包 cd ~ mkdir /opt/cni/bin -p tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin #获取yaml文件 https://raw.githubuserconten
kubernetes 源码安装1.18.3 (6)部署node节点
默子昂
12-10 694
部署node节点 这里是先只在master节点上部署node组件的 后续将node组件直接拷贝到其他节点上使用 一. 部署kubelet #所有操作在master执行 #拷贝node所需组件的二进制文件 cd ~/kubernetes/server/bin/ cp kubelet kube-proxy /opt/kubernetes/bin 1. 添加kubelet配置 #注意修改--hostname-override=为当前主机ip cat > /opt/kuberne..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值