kubernetes-二进制安装，亲测无坑，在参考安装过程中如果有什么问题欢迎交流，超级详细的文档

Kubernetes环境搭建(手动K8s集群安装配置、服务部署和管理使用详细步骤，入门K8s容器云平台架构）

 

前言

说明： 本博客是教大家如何手动搭建kubernetes集群（业内简称K8s），包括集群中所有相关服务、存储、网络等等，本博客一到九章属于第一个阶段，就已经把基本架构搭建好了，后面几章属于锦上添花并在最后部署几个开源的集群可视化管理界面。尤其对于刚入门docker/k8s的新手，可以通过一步步搭建的详细过程了解集群的架构。本博客非常长，涵盖了K8s搭建的整个过程，所有内容，花了我很长时间，大家搭建的时候不必心急非要一次性完成，可以每天完成一到两步，我初学时搭建环境也是走了很多坑，很慢花了一周才完成，加油！

我们知道，在容器技术、微服务日益发展的今天，基于docker容器技术的kubernetes集群已经在行业内已经越来越流行，成为方便易操作的轻量级云平台，使得人们更容易、更灵活地部署自己的应用、管理自己的应用。其主从架构的分布式特点也与很多其他技术框架相似，使得开发人员更容易理解上手。

Kubernetes简介： 简称K8s，是Google开源的一个容器编排引擎，再简单地说，就是用于管理云平台中多个主机上的容器化的应用。K8s的目标是让部署容器化的应用简单并且高效，K8s提供了应用部署，规划，更新，维护的一种机制，它支持自动化部署、大规模可伸缩、应用容器化管理。 特点：

可移植: 支持公有云，私有云，混合云，多重云
可扩展: 模块化，插件化，可挂载，可组合
自动化: 自动部署，自动重启，自动复制，自动伸缩/扩展

我们知道，传统的应用部署方式是通过插件或脚本来安装应用。这样做的缺点是应用的运行、配置、管理、所有生存周期将与当前操作系统绑定，这样做并不利于应用的升级更新/回滚等操作，当然也可以通过创建虚拟机的方式来实现某些功能，但是虚拟机非常重，并不利于可移植性。

使用K8s新的方式是通过部署容器方式实现，优点是每个容器之间互相隔离，每个容器有自己的文件系统 ，容器之间进程不会相互影响，能区分计算资源。相对于虚拟机，容器能快速部署，由于容器与底层设施、机器文件系统解耦的，所以它能在不同云、不同版本操作系统间进行迁移。

容器占用资源少、部署快，每个应用可以被打包成一个容器镜像，每个应用与容器间成一对一关系也使容器有更大优势，使用容器可以在build或release 的阶段，为应用创建容器镜像，因为每个应用不需要与其余的应用堆栈组合，也不依赖于生产环境基础结构，这使得从研发到测试、生产能提供一致环境。类似地，容器比虚拟机轻量、更“透明”，这更便于监控和管理。

一般情况下：我们在K8s生产环境中部署一个应用程序时，通常要部署该应用的多个实例以便对应用请求进行负载均衡。我们可以创建多个容器，每个容器里面运行一个应用实例，然后通过内置的负载均衡策略，实现对这一组应用实例的管理、发现、访问，而这些细节都不需要运维人员去进行复杂的手工配置和处理，由集群自动化管理方便运维人员使用。

关于K8s的介绍暂时就到这里，至于K8s的各个内部组件在本章节就不一一详细说明了，在下面的各个搭建步骤中，也会为大家简单介绍每个所搭建的组件，相信大家在每步搭建的过程中会逐步了解的。下面就让我们来开始具体搭建步骤！

搭建详细步骤

一、各节点基础配置

K8s集群的节点信息如下：

操作系统：centos7.5

192.168.0.21 master01

192.168.0.22 master02

192.168.0.23 master03

192.168.0.24 node01

192.168.0.25 node02

 

注意说明： 我们这里搭建的kubernetes集群，是在VMWare虚拟机中搭建的五个节点，均采用centos 7.5 Server版本的系统，每个节点系统分配2G内存，20G的储存。整个集群主从架构包括3个主节点，2个子节点，相关信息如上表。

当然，并不是说一定就要搭建5个节点，节点信息也不一定非要按我上面这样设置，也不一定要像我这样分配每个节点的资源。毕竟考虑到每个人的电脑配置不同，可能受限制于自身电脑内存等影响。大家可以自己灵活选择，这丝毫不影响我们下面的搭建步骤。不过我的个人建议是：你至少至少要配置3个节点的集群（包括1个master主节点，2个slave子节点），每个节点最少最少要分配不低于1G内存，不低于15G的储存。当然具体怎么分配集群取决于你自己，你有多少数量的节点下面搭建配置过程就配置多少个，资源少点可能就跑的慢点，没有太大关系。好的，下面就让我们正式开始一步步搭建K8s集群！

1、节点基本信息配置

# 在每台机器上配置hosts解析文件（注意：这里，每个节点的hosts文件都是一样的，要配置集群所有节点的信息）

[root@master01 manifests]# cat /etc/hosts

192.168.0.21 master01

192.168.0.22 master02

192.168.0.23 master03

192.168.0.24 node01

192.168.0.25 node02

 

# 配置每台机器hostname名字（注意每个节点都只填自己对应的hostname）

[root@master01 manifests]# hostnamectl set-hostname 主机名字

[root@master01 manifests]# hostname 主机名字

注释临时修改立即生效

 

配置dns主机地址（一般为网关具体自己配置，可以访问外网）

[root@master01 manifests]# cat /etc/resolv.conf

nameserver 192.168.0.254

 

# 测试一下看看

[root@linux-node1 ~]# ifconfig

[root@linux-node1 ~]# ping www.baidu.com

# 节点之间都相互ping一下看看

[root@linux-node1 ~]# ping 192.168.185.132

 

 

开启 ipvs

cat > /etc/sysconfig/modules/ipvs.modules <<EOF

#!/bin/bash

modprobe -- ip_vs

modprobe -- ip_vs_rr

modprobe -- ip_vs_wrr

modprobe -- ip_vs_sh

modprobe -- nf_conntrack_ipv4

EOF

chmod 755 /etc/sysconfig/modules/ipvs.modules && bash /etc/sysconfig/modules/ipvs.modules && lsmod | grep -e ip_vs -e nf_conntrack_ipv4

 

 

# 设置ssh免密登录

[root@linux-node1 ~]# ssh-keygen -t rsa

# 上面这条命令，遇到什么都别管，一路回车键敲下去

 

# 拷贝本密钥到五个节点上

[root@master01 yum.repos.d]# ssh-copy-id  master01

[root@master01 yum.repos.d]# ssh-copy-id  master02

[root@master01 yum.repos.d]# ssh-copy-id  master03

[root@master01 yum.repos.d]# ssh-copy-id  node01

[root@master01 yum.repos.d]# ssh-copy-id  node02

# 注意！！！将上面“设置ssh免密登录”和“拷贝本密钥到五个节点上”这两个步骤在其他所有节点上都要分别做一遍

# 每个节点都做完后，都要像下面这样测试一下，是否能在一个节点上免密登录到其他任何一个节点

 

#设置yum源

[root@master01 yum.repos.d]# ssh master01 "mkdir /etc/yum.repos.d/bak"

[root@master01 yum.repos.d]# ssh master01 "mv /etc/yum.repos.d/* /etc/yum.repos.d/bak/"

[root@master01 yum.repos.d]# wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

[root@master01 yum.repos.d]# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

[root@master01 yum.repos.d]# yum clean all && yum makecache

 

#安装依赖包；

yum install epel-release

yum install -y curl git iptables conntrack ipvsadm ipset jq sysstat libseccomp vim bash-completion net-tools

 

#关闭防火墙、selinux 和 swap，重置 iptables：

systemctl stop firewalld && systemctl disable firewalld

sed -i 's/=enforcing/=disabled/g' /etc/selinux/config && setenforce 0

iptables -F && iptables -X && iptables -F -t nat && iptables -X -t nat && iptables -P FORWARD ACCEPT

swapoff -a

sed -i '/swap/s/^\(.*\)$/#\1/g' /etc/fstab

systemctl stop dnsmasq && systemctl disable dnsmasq

否则可能导致 docker 容器无法解析域名

 

#系统参数设置：

cat > /etc/sysctl.d/kubernetes.conf <<EOF

net.bridge.bridge-nf-call-iptables=1

net.bridge.bridge-nf-call-ip6tables=1

net.ipv4.ip_forward=1

vm.swappiness=0

vm.overcommit_memory=1

vm.panic_on_oom=0

fs.inotify.max_user_watches=89100

EOF

 

# modprobe br_netfilter

# sysctl -p /etc/sysctl.d/kubernetes.conf

 

安装 docker：

curl http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo -o /etc/yum.repos.d/docker.repo

yum makecache fast

yum install -y docker-ce

systemctl start docker && systemctl enable docker

cat > /etc/docker/daemon.json <<EOF

{

  "exec-opts":["native.cgroupdriver=cgroupfs"]

}

EOF

这步非常重要，因为我们知道，K8s技术本身就是基于docker容器技术的。安装docker时可能会很慢，这取决于你的网速问题，当然安装方法也不只我这一种，你也可以参考官方给出的其他方式安装，但务必要确保每个节点上都安装成功了docker，否则不能继续后面的操作。

 

 

 

2、准备K8s的相关安装配置文件

为了方便各位读者的操作，我已将所有K8s相关安装配置文件打包上传到百度云（链接:https://pan.baidu.com/s/17YxQnXd7SJhO9ucdE_IMMA 密码:urhu），提供给大家，读者可以自行下载，而不用再花费时间到处寻找了。然后将从百度云下载好的k8s-v1.10.1-manual.zip，上传到主节点的/usr/local/src下（如果不知道怎么上传，自己主机是windows可以用软件winSCP，如果自己主机是linux可以用scp命令）。上传后解压下：

 

[root@master01 kubernetes-bin-1.14.0]# ls master/

etcd  etcdctl  kubeadm  kube-apiserver  kube-controller-manager  kubectl  kube-scheduler

[root@master01 kubernetes-bin-1.14.0]# ls worker/

kubelet  kube-proxy

 

创建bash目录分发文件到其它节点：

[root@master01 ~]# ssh root@master01 " mkdir -p /opt/kubernetes/{cfg,bin,pki,log}"

[root@master01 ~]# ssh root@master02 " mkdir -p /opt/kubernetes/{cfg,bin,pki,log}"

[root@master01 ~]# ssh root@master03 " mkdir -p /opt/kubernetes/{cfg,bin,pki,log}"

[root@master01 ~]# ssh root@node01 " mkdir -p /opt/kubernetes/{cfg,bin,pki,log}"

[root@master01 ~]# ssh root@node02 " mkdir -p /opt/kubernetes/{cfg,bin,pki,log}"

 

 

分发二进制文件

[root@master01 kubernetes-bin-1.14.0]# scp master/* master01:/opt/kubernetes/bin/

[root@master01 kubernetes-bin-1.14.0]# scp master/* master02:/opt/kubernetes/bin/

[root@master01 kubernetes-bin-1.14.0]# scp master/* master03:/opt/kubernetes/bin/

[root@master01 kubernetes-bin-1.14.0]# scp worker/* node01:/opt/kubernetes/bin/

[root@master01 kubernetes-bin-1.14.0]# scp worker/* node02:/opt/kubernetes/bin/

 

 

设置 PATH：

[root@master01 kubernetes-bin-1.14.0]# ssh root@master01 "echo 'PATH=/opt/kubernetes/bin:$PATH' >> ~/.bashrc"

[root@master01 kubernetes-bin-1.14.0]# ssh root@master02 "echo 'PATH=/opt/kubernetes/bin:$PATH' >> ~/.bashrc"

[root@master01 kubernetes-bin-1.14.0]# ssh root@master03 "echo 'PATH=/opt/kubernetes/bin:$PATH' >> ~/.bashrc"

[root@master01 kubernetes-bin-1.14.0]# ssh root@node01 "echo 'PATH=/opt/kubernetes/bin:$PATH' >> ~/.bashrc"

[root@master01 kubernetes-bin-1.14.0]# ssh root@node02 "echo 'PATH=/opt/kubernetes/bin:$PATH' >> ~/.bashrc"

[root@master01 kubernetes-bin-1.14.0]# ssh root@master01 "source  ~/.bashrc"

[root@master01 kubernetes-bin-1.14.0]# ssh root@master02 "source  ~/.bashrc"

[root@master01 kubernetes-bin-1.14.0]# ssh root@master03 "source  ~/.bashrc"

[root@master01 kubernetes-bin-1.14.0]# ssh root@node01 "source  ~/.bashrc"

[root@master01 kubernetes-bin-1.14.0]# ssh root@node02 "source  ~/.bashrc"

 

 

创建证书存放路径：

[root@master02 ~]# ssh  master01 "mkdir -p /etc/kubernetes/pki"

[root@master02 ~]# ssh  master02 "mkdir -p /etc/kubernetes/pki"

[root@master02 ~]# ssh  master03 "mkdir -p /etc/kubernetes/pki"

[root@master02 ~]# ssh  node01 "mkdir -p /etc/kubernetes/pki"

[root@master02 ~]# ssh  node02 "mkdir -p /etc/kubernetes/pki"

 

 

#部署K8s安装目录

# 说明一下，其中子目录cfg/下为相关配置文件，bin/目录下为可执行文件，/pki文件下为网络安全通信相关文件，log/下为日志文件

# 该/opt/kubernetes/才是我们真正的安装目录，每个节点都要配置

# 我们以后的工作，说白了就是从我们上一步准备好的相关安装配置文件中，

# 找到需要的文件，配置好后，分发到各个节点安装目录/opt/kubernetes/下对应的位置1

• 2
• 3

二、制作CA证书

kubernetes系统各组件需要使用TLS(SSL)证书对通信进行加密，我们这里使用cfssl 来生成Certificate Authority (CA) 证书和秘钥文件，CA是自签名的证书，用来签名后续创建的其它证书。

CA 证书是集群所有节点共享的，只需要创建一个 CA 证书，后续创建的所有证书都由它签名。

 

1、在主节点上配置已下载好的cfssl

cfssl 是非常好用的 CA 工具，我们用它来生成证书和秘钥文件。

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson

chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson

cfssl version

 

 

2、创建用来生成 CA 文件的 JSON 配置文件：

[root@master01 pki]# mkdir -p /pyl/pki/

[root@master01 pki]# cd /pyl/pki/

[root@master01 pki]# cat ca-config.json

{

  "signing": {

    "default": {

      "expiry": "87600h"

    },

    "profiles": {

      "kubernetes": {

        "usages": [

            "signing",

            "key encipherment",

            "server auth",

            "client auth"

        ],

        "expiry": "87600h"

      }

    }

  }

}

注：

① signing ：表示该证书可用于签名其它证书，生成的 ca.pem 证书中CA=TRUE ；

② server auth ：表示 client 可以用该该证书对 server 提供的证书进行验证；

③ client auth ：表示 server 可以用该该证书对 client 提供的证书进行验证；

3、创建用来生成 CA 证书签名请求（CSR）的 JSON 配置文件：

[root@master01 pki]# cat ca-csr.json

{

  "CN": "kubernetes",

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "BeiJing",

      "L": "BeiJing",

      "O": "k8s",

      "OU": "seven"

    }

  ]

}

注：

① CN： Common Name ，kube-apiserver 从证书中提取该字段作为请求的用户名(User Name)，浏览器使用该字段验证网站是否合法；

② O： Organization ，kube-apiserver 从证书中提取该字段作为请求用户所属的组(Group)；

③ kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识；

 

4、根证书是集群所有节点共享的，只需要创建一个 CA 证书，后续创建的所有证书都由它签名，证书（ca.pem）和密钥（ca-key.pem）：

[root@master01 pki]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca

[root@master01 pki]# ls

ca-config.json  ca-csr.json  ca-key.pem  ca.pem

 

# 拷贝到我们之前创建的用来放证书的目录下

分发到每个 master 节点，

# scp ca*.pem master01:/opt/kubernetes/pki/

# scp ca*.pem master02:/opt/kubernetes/pki/

# scp ca*.pem master03:/opt/kubernetes/pki/

 

三、配置etcd

etcd是Kubernetes提供默认的存储系统，保存所有集群数据，使用时需要为etcd数据提供备份计划。

etcd 是基于 Raft 的分布式 key-value 存储系统，由 CoreOS 开发，常用于服务发现、共享配置以及并发控制（如 leader 选举、分布式锁等）。kubernetes 使用 etcd 存储所有运行数据。

本文档介绍部署一个三节点高可用 etcd 集群的步骤：

 

        ① 下载和分发 etcd 二进制文件

          ② 创建 etcd 集群各节点的 x509 证书，用于加密客户端(如 etcdctl) 与 etcd 集群、etcd 集群之间的数据流；

          ③ 创建 etcd 的 systemd unit 文件，配置服务参数；

          ④ 检查集群工作状态；

 

1、创建 etcd 证书签名请求，生成 etcd 证书和私钥

# 创建

[root@master01 pki]# mkdir  -p /pyl/pki/etcd/

[root@master01 pki]# cd /pyl/pki/etcd/

[root@master01 etcd]# cat etcd-csr.json

{

  "CN": "etcd",

  "hosts": [

    "127.0.0.1",

    "192.168.0.21",

    "192.168.0.22",

    "192.168.0.23"

  ],

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "BeiJing",

      "L": "BeiJing",

      "O": "k8s",

      "OU": "seven"

    }

  ]

}

注：key 字段指定生成证书格式为“rsa”加密，“size”多少位的加密方式；

hosts 字段指定授权使用该证书的 etcd 节点 IP 或域名列表，这里将 etcd 集群的三个节点 IP 都列在其中

后期如果重新添加主机需要重新修改证书请求文件，并修改主机IP地址；

name: 加密的用户信息；

*1.CN： Common Name ，kube-apiserver 从证书中提取该字段作为请求的用户名(User Name)，浏览器使用该字段验证网站是否合法；

*2.O： Organization ，kube-apiserver 从证书中提取该字段作为请求用户所属的组(Group)；

3.ST：  证书所属区域

4.L:   证书所属组织

5.O    kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识；

6.OU   组织单位

 

 

# 生成

[root@master01 etcd]# cfssl gencert -ca=../ca.pem \

  -ca-key=../ca-key.pem \

  -config=../ca-config.json \

  -profile=kubernetes etcd-csr.json | cfssljson -bare etcd

[root@master01 etcd]# ls

etcd.csr  etcd-csr.json  etcd-key.pem  etcd.pem

 

# 分发拷到相应位置

# scp etcd*.pem master01:/opt/kubernetes/pki/

# scp etcd*.pem master02:/opt/kubernetes/pki/

# scp etcd*.pem master03:/opt/kubernetes/pki/

 

4、配置etcd配置文件

[root@master01 etcd]# vim  etcd.service

[Unit]

Description=Etcd Server

After=network.target

After=network-online.target

Wants=network-online.target

Documentation=https://github.com/coreos

 

[Service]

Type=notify

WorkingDirectory=/var/lib/etcd/

ExecStart=/opt/kubernetes/bin/etcd \

  --data-dir=/var/lib/etcd \

  --name=master01 \

  --cert-file=/opt/kubernetes/pki/etcd.pem \

  --key-file=/opt/kubernetes/pki/etcd-key.pem \

  --trusted-ca-file=/etc/kubernetes/pki/ca.pem \

  --peer-cert-file=/opt/kubernetes/pki/etcd.pem \

  --peer-key-file=/opt/kubernetes/pki/etcd-key.pem \

  --peer-trusted-ca-file=/opt/kubernetes/pki/ca.pem \

  --peer-client-cert-auth \

  --client-cert-auth \

  --listen-peer-urls=https://192.168.0.21:2380 \

  --initial-advertise-peer-urls=https://192.168.0.21:2380 \

  --listen-client-urls=https://192.168.0.21:2379,http://127.0.0.1:2379 \

  --advertise-client-urls=https://192.168.0.21:2379 \

  --initial-cluster-token=etcd-cluster-0 \

  --initial-cluster=master01=https://192.168.0.21:2380,master02=https://192.168.0.22:2380,master03=https://192.168.0.23:2380 \

  --initial-cluster-state=new

Restart=on-failure

RestartSec=5

LimitNOFILE=65536

 

[Install]

WantedBy=multi-user.target

 

注：

User ：指定账户运行默认为root；

WorkingDirectory 、 --data-dir ：指定工作目录和数据目录为/opt/lib/etcd ，需在启动服务前创建这个目录；

                    --name ：指定节点名称，当 --initial-cluster-state 值为 new 时， --name 的参数值必须位于 --initial-cluster 列表中；

                    --cert-file 、 --key-file ：etcd server 与 client 通信时使用的证书和私钥；

                    --trusted-ca-file ：签名 client 证书的 CA 证书，用于验证 client 证书；

                    --peer-cert-file 、 --peer-key-file ：etcd 与 peer 通信使用的证书和私钥；

                    --peer-trusted-ca-file ：签名 peer 证书的 CA 证书，用于验证 peer 证书；

注意！！！在其余节点上，都要对配置文件做出相应修改，这里给出在node2下需要修改配置文件的地方，其他节点也一样做出对应修改不一一赘述。

 

分发 etcd 服务文件到每个 master 节点，并创建数据目录，

# scp etcd.service master01:/etc/systemd/system/

# scp etcd.service master02:/etc/systemd/system/

# scp etcd.service master03:/etc/systemd/system/

# ssh root@master1 "mkdir /var/lib/etcd"

# ssh root@master2 "mkdir /var/lib/etcd"

# ssh root@master3 "mkdir /var/lib/etcd"

 

5、master 节点启动 etcd 服务，

# ssh root@master1 "systemctl daemon-reload && systemctl enable etcd && systemctl start etcd"

# ssh root@master2 "systemctl daemon-reload && systemctl enable etcd && systemctl start etcd"

# ssh root@master3 "systemctl daemon-reload && systemctl enable etcd && systemctl start etcd

 

验证etcd状态；

[root@mh-1-101 system]#systemctl status etcd       #查看服务状态为ruuning

[root@mh-1-101 system]#journalctl -f -u etcd       #查看日志

[root@mh-1-101 system]# netstat -luntp|grep etcd   #查看端口

[root@mh-1-101 system]# etcdctl member list        #查看集群信息

[root@mh-1-101 system]# etcdctl cluster-health     #查看集群节点状态；

注释报错：failed to check the health of member 1f474d8df2edd45 on https://192.168.0.22:2379: Get https://192.168.0.22:2379/health: x509: certificate signed by unknown authority

etcdctl工具是一个可以对etcd数据进行管理的命令行工具，这个工具在两个不同的etcd版本下的行为方式也完全不同。

export ETCDCTL_API=2

export ETCDCTL_API=3

解决方法：

 [root@k8s-master01 ssl]# export ETCDCTL_API=3

 [root@k8s-master01 ssl]# systemctl restart etcd

 [root@k8s-master01 ssl]# etcdctl member list  

4b28ead506078a9, started, k8s-master01, https://172.18.98.21:2380, https://172.18.98.21:2379

 

四、在master主节点上配置Kubernetes API服务

kube-apiserver用于暴露Kubernetes API。任何的资源请求/调用操作都是通过kube-apiserver提供的接口进行。

1. 创建生成CSR的 JSON 配置文件

[root@master01 pki]# mkdir apiserver/^C

[root@master01 pki]# cd apiserver/

[root@master01 apiserver]# cat kubernetes-csr.json

{

  "CN": "kubernetes",

  "hosts": [

    "127.0.0.1",

    "192.168.0.21",

    "192.168.0.22",

    "192.168.0.23",

    "192.168.0.100",

    "10.254.0.1",

    "kubernetes",

    "kubernetes.default",

    "kubernetes.default.svc",

    "kubernetes.default.svc.cluster",

    "kubernetes.default.svc.cluster.local"

  ],

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "BeiJing",

      "L": "BeiJing",

      "O": "k8s",

      "OU": "seven"

    }

  ]

}

注释：hosts中是集群中master的ip地址和vip地址

3、生成证书和私钥，并分发到所有节点

# cfssl gencert -ca=../ca.pem \

-ca-key=../ca-key.pem \

-config=../ca-config.json \

-profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes

[root@master01 apiserver]# ls

kubernetes.csr  kubernetes-csr.json  kubernetes-key.pem  kubernetes.pem

# scp kubernetes*.pem master01:/opt/kubernetes/pki/