(四)kubernetes集群搭建(二进制方式)之--master部署kube-apiserver

最新推荐文章于 2024-05-30 17:32:35 发布
最新推荐文章于 2024-05-30 17:32:35 发布
阅读量636 收藏 2
点赞数
分类专栏: kubernetes 服务搭建 工具 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47402482/article/details/114383845
版权
工具 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
服务搭建
16 篇文章 0 订阅
订阅专栏
kubernetes
10 篇文章 0 订阅
订阅专栏

kubernetes集群搭建(二进制方式)之--master部署kube-apiserver


master包括的组件

  • etcd 用于存储(已安装)
  • kube-apiserver k8s集群入口(本章安装)
  • kube-controller-manager 管理组件
  • kube-scheduler 调度组件

现在安装kube-apiserver,均在master上执行操作,包里包含node组件,处理好直接复制到node节点即可

1.生成kube-apiserver证书

各节点都是通过kube-apiserver进行传输信息,所以apiserver的证书会进行认真,下发证书,添加node节点

(1)自签证书办法机构CA

cat > ca-config.json<< EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "expiry": "87600h",
        "usages": [
          "signing",
          "key encipherment",
          "server auth",
          "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json<< EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [{
        "C": "CN",
        "L": "Beijing",
        "ST": "Beijing",
        "O": "k8s",
        "OU": "System"
    }]
}
EOF

(2)生成证书

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

(3)使用自签CA 签发kube-apiserver HTTPS 证书

创建证书申请文件:

cat > server-csr.json<< EOF
{
    "CN": "kubernetes",
    "hosts": [
        "10.0.0.1",
        "127.0.0.1",
        "172.21.32.17",
        "172.21.32.15",
        "172.21.32.16",
        "172.21.32.18",
        "172.21.32.19",
        "172.21.32.11",
        "172.21.32.12",
        "kubernetes",
        "kubernetes.default",
        "kubernetes.default.svc",
        "kubernetes.default.svc.cluster",
        "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [{
        "C": "CN",
        "L": "BeiJing",
        "ST": "BeiJing",
        "O": "k8s",
        "OU": "System"
    }]
}
EOF

注:hosts可以多写一些预留ip

(4)生成证书:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

2.下载二进制文件

下载地址:https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.19.md#v1183
进去后有很多包,找server端的就好

cd /data/src
wget https://dl.k8s.io/v1.19.8/kubernetes-server-linux-amd64.tar.gz

3.解压二进制包并拷贝到对应目录

#创建k8s的工作目录
mkdir -p /data/kubernetes/{bin,cfg,ssl,logs}
#解压二进制包
tar fx kubernetes-server-linux-amd64.tar.gz
#拷贝相关文件到相应目录
cd kubernetes/server/bin
cp kube-apiserver kube-scheduler kube-controller-manager /data/kubernetes/bin
cp kubectl /usr/bin

4.创建kube-apiserver配置文件

cat > /data/kubernetes/cfg/kube-apiserver.conf << EOF
KUBE_APISERVER_OPTS="--logtostderr=false \\
--v=2 \\
--log-dir=/data/kubernetes/logs \\
--etcd-servers=https://172.21.32.17:2379,https://172.21.32.15:2379 \\
--bind-address=172.21.32.17 \\
--secure-port=6443 \\
--advertise-address=172.21.32.17 \\
--allow-privileged=true \\
--service-cluster-ip-range=10.0.0.0/24 \\
--enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,NodeRestriction \\
--authorization-mode=RBAC,Node \\
--enable-bootstrap-token-auth=true \\
--token-auth-file=/data/kubernetes/cfg/token.csv \\
--service-node-port-range=30000-32767 \\
--kubelet-client-certificate=/data/kubernetes/ssl/server.pem \\
--kubelet-client-key=/data/kubernetes/ssl/server-key.pem \\
--tls-cert-file=/data/kubernetes/ssl/server.pem \\
--tls-private-key-file=/data/kubernetes/ssl/server-key.pem \\
--client-ca-file=/data/kubernetes/ssl/ca.pem \\
--service-account-key-file=/data/kubernetes/ssl/ca-key.pem \\
--etcd-cafile=/data/etcd/ssl/ca.pem \\
--etcd-certfile=/data/etcd/ssl/server.pem \\
--etcd-keyfile=/data/etcd/ssl/server-key.pem \\
--audit-log-maxage=30 \\
--audit-log-maxbackup=3 \\
--audit-log-maxsize=100 \\
--audit-log-path=/data/kubernetes/logs/k8s-audit.log"
EOF

注:上面两个\ \ 第一个是转义符,第二个是换行符,使用转义符是为了使用EOF 保留换
行符。
–logtostderr:启用日志
—v:日志等级
–log-dir:日志目录
–etcd-servers:etcd 集群地址
–bind-address:监听地址,注意这个没有0.0.0.0
–secure-port:https 安全端口
–advertise-address:集群通告地址
–allow-privileged:启用授权
–service-cluster-ip-range:Service 虚拟IP 地址段
–enable-admission-plugins:准入控制模块
–authorization-mode:认证授权,启用RBAC 授权和节点自管理
–enable-bootstrap-token-auth:启用TLS bootstrap 机制
–token-auth-file:bootstrap token 文件
–service-node-port-range:Service nodeport 类型默认分配端口范围
–kubelet-client-xxx:apiserver 访问kubelet 客户端证书
–tls-xxx-file:apiserver https 证书
–etcd-xxxfile:连接Etcd 集群证书
–audit-log-xxx:审计日志

5.拷贝刚才生成的ssl证书

cp ~/TLS/k8s/ca*pem ~/TLS/k8s/server*pem /data/kubernetes/ssl/

6.启用TLS Bootstrapping机制

TLS Bootstraping:Master apiserver 启用TLS 认证后,Node 节点kubelet 和kubeproxy
要与kube-apiserver 进行通信,必须使用CA 签发的有效证书才可以,当Node
节点很多时,这种客户端证书颁发需要大量工作,同样也会增加集群扩展复杂度。为了
简化流程,Kubernetes 引入了TLS bootstraping 机制来自动颁发客户端证书,kubelet
会以一个低权限用户自动向apiserver 申请证书,kubelet 的证书由apiserver 动态签署。
在这里插入图片描述
创建上述配置文件中的token文件:

cat > /data/kubernetes/cfg/token.csv << EOF
a2349e2c0e7fe38090b402038b47ddff,kubelet-bootstrap,10001,"system:nodebootstrapper"
EOF

格式:token,用户名,UID,用户组

7.systemd管理apiserver

cat > /usr/lib/systemd/system/kube-apiserver.service << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
[Service]
EnvironmentFile=/data/kubernetes/cfg/kube-apiserver.conf
ExecStart=/data/kubernetes/bin/kube-apiserver \$KUBE_APISERVER_OPTS
Restart=on-failure
[Install]
WantedBy=multi-user.target
EOF

8.启动apiserver

systemctl daemon-reload
systemctl start kube-apiserver
systemctl enable kube-apiserver
systemctl status kube-apiserver

9.授权kubelet-bootstrap用户允许请求证书

kubectl create clusterrolebinding kubelet-bootstrap \
--clusterrole=system:node-bootstrapper \
--user=kubelet-bootstrap

验证创建成功,有返回值说明创建成功
kubectl get clusterrolebinding | grep kubelet-bootstrap

六种味
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
二进制安装k8s集群(8)-安装kube-apiserver
weixin_46073333的博客
10-09 479
在上一篇文章里我们主要介绍harbor的安装以及简单使用,这里我们主要介绍安装kube-apiserver。这里我们采用下载二进制binary制作linux systemd的方式安装,并...
k8s集群二进制安装--kube-apiserver部署
归来仍少年
09-28 1373
4.masterkube-apiserver部署 4.1 生成apiserver的证书 cd /root/TLS/k8s #配置ca-config vi ca-config.json { “signing”: { “default”: { “expiry”: “87600h” }, “profiles”: { “kubernetes”: { “expiry”: “87600h”, “usages”: [ “signing”, “key encipherment”, “server auth”, “clie
二进制部署k8s-1.29.4】kube-apiserver安装部署
最新发布
weixin_56364253的博客
05-30 1196
本章节主要讲解安装kube-apiseerver,安装kube-apiserver主要是将证书、配置文件、token文件拷贝到对应的目录,配置启动脚本,然后将kube-apiserver可执行文件拷贝到bin目录进行启动。
手把手教你部署k8s(二进制方式)-------详解
baidu_38803985的博客
04-30 7084
1.Kubernetes架构与组件示意图 2.部署准备 准备三台虚拟机,master的cpu给大点 操作系统: CentOS7 软件版本: Docker 最新 Kubernetes 1.11 master: 192.168.13.141 kube-apiserverkube-controller-manager,kube-scheduler,etcd node1: 1...
Kubernetes 集群部署Master部署(三)
abel_dwh的博客
05-11 754
目录 一、部署Master 创建证书存放目录 生成kube-apiserver证书 生成证书 使用自签ca证书办法kube-apiserver证书 生成证书 一、部署Master 创建证书存放目录 [root@master ssl]# mkdir /etc/k8s/ssl -p 生成kube-apiserver证书 [root@master ssl]# cat ca-config.json { "signing": { "default": .
kubernetes-v1.20.4 二进制部署-kube-apiserver
人走茶良的博客
05-11 1038
一、安装部署kube-apiserver   1、生成kube-apiserver证书,自签证书颁发机构(CA) cd ~/TLS/k8s cat > ca-config.json << EOF { "signing": { "default": { "expiry": "175200h" }, "profiles": { "kubernetes": { "expiry": "175200h",
kubernetes二进制集群部署——–多master集群(步骤非常详细,适合初学者)
01-09
本文将详细介绍如何通过二进制方式部署一个多Master节点的Kubernetes集群,适合初学者逐步学习。 首先,我们要了解多Master节点集群的必要性。在单Master节点的集群中,如果Master节点出现问题,整个集群的控制平面...
kubernetes-server-linux-amd64.tar.gz
05-12
总的来说,通过手动二进制方式搭建Kubernetes集群需要对系统管理、网络配置以及Kubernetes的工作原理有深入理解。这种方法虽然复杂,但能提供高度自定义和控制,适合学习和试验环境,以及对集群有特殊需求的企业级...
Kubernetes v1.12 手动二进制部署集群.pdf
12-12
通过手动二进制部署Kubernetes集群,不仅可以深入了解各个组件的工作机制,还能更好地掌握集群的管理和维护。尽管这种方法比使用工具如Kubeadm更为复杂,但它为运维人员提供了更多的灵活性和控制力,尤其是在面对...
完整kubernetes v1.20.x二进制部署
04-29
- **二进制部署**:这种方式涉及从GitHub下载Kubernetes发行版的二进制包,并手动配置和部署每个组件,以构建完整的Kubernetes集群。尽管这种方式相对复杂且耗时,但它提供了更高的定制性和对底层架构的深入理解,...
k8s(kubernetes)集群的两种搭建方式二进制方式
02-21
本篇文章将详细介绍如何通过二进制方式搭建k8s集群,这是一种直接操作k8s组件二进制包的方法,适合对系统有深入理解的管理员。 首先,我们需要了解k8s集群的基本架构。k8s由多个组件构成,包括Master节点和Worker...
【转载】kube-apiserverapiserver service 的实现
白开水的博客
07-18 863
kubernetes,可以从集群外部和内部两种方式访问 kubernetes API,在集群外直接访问 apiserver 提供的 API,在集群内即 pod 中可以通过访问 service 为 kubernetes 的 ClusterIP。kubernetes 集群在初始化完成后就会创建一个 kubernetes service,该 service 是 kube-apiserver 创建并进行维护的。 引用地址: 作者:田飞雨 链接:https://www.jianshu.com/p/06fb76bd
二进制安装k8s排错(一)
weixin_65612492的博客
01-18 632
刚入门:新版本配置文件中,
kube-apiserver启动命令参数解释
小云的博客
03-07 3805
apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
K8S 组件参数及常见问题处理
Kubernetes云计算的专栏
06-17 1339
1. 问题说明 针对K8S 1.13 后的版本,提供 K8S 通用的优化要点。常见的使用经验、问题处理分享。 针对 K8S 组件,一些典型参数以及常见的一些问题和处理方法。 2. 问题处理 先看一下Kubernetes主要架构组件图: 2.1 etcd Kubernetes 中的大部分概念如 Pod、ReplicaSet、Deployment、Service、Node 等都可以被 看作一种资源对象,几乎所有资源对象都可以通过 Kubernetes 提供的 kube...
kubernets apiserver无法启动故障,排错指南。
chen798213337的博客
12-10 7470
1、问题描述:在二进制安装kubernets时,出现apiserver无法启动,如下图所示: 2、解决方案: (1)首先查看详细出错原因,需要查看kubernets的日志,因此在apiserver.service文件中配置日志输出格式和路径: [Unit] Description=Kubernetes API Server After=etcd.service Wants=etcd...
kube-apiserver v1.21.2启动错误
Kason_iWiki
07-10 2800
当前apiserver启动配置参数: # vim /opt/kubernetes/server/bin/kube-apiserver-startup.sh #!/bin/bash WORK_DIR=$(dirname $(readlink -f $0)) [ $? -eq 0 ] && cd $WORK_DIR || exit --anonymous-auth false \ --bind-address 10.4.7.22 \ --secure-port 6443 \
k8s启动kube-apiserver错误解决
在每次的突破中遇见更好的自己
11-28 6536
The error : kube-apiserver.service - Kubernetes API Server Loaded: loaded (/usr/lib/systemd/system/kube-apiserver.service; enabled) Active: activating (auto-restart) (Result: exit-code) since Mon 2015-10-19 10:33:32 EDT; 7ms ago Docs:https://github.com/Go.
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值