技术文档:Kubernetes二进制部署 --etcd部署

最新推荐文章于 2023-02-20 20:13:58 发布
最新推荐文章于 2023-02-20 20:13:58 发布
阅读量298 收藏 2
点赞数 1
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51614581/article/details/115623280
版权

etcd部署

环境部署

Master:192.168.199.142/24  kube-apiserver kube-controller-manager kube-scheduler etcd
Node01:192.168.199.146/24 kubelet kube-proxy docker flannel etcd
Node02:192.168.199.147/24 kubelet kube-proxy docker flannel etcd

master操作

加入执行脚本

[root@localhost ~]# mkdir k8s
[root@localhost ~]# cd k8s/
[root@localhost k8s]# ls    //从宿主机拖进来
etcd-cert.sh  etcd.sh
[root@localhost k8s]# mkdir etcd-cert
[root@localhost k8s]# mv etcd-cert.sh etcd-cert

etcd.sh


#!/bin/bash
# example: ./etcd.sh etcd01 192.168.1.10 etcd02=https://192.168.1.11:2380,etcd03=https://192.168.1.12:2380

ETCD_NAME=$1
ETCD_IP=$2
ETCD_CLUSTER=$3

WORK_DIR=/opt/etcd

cat <<EOF >$WORK_DIR/cfg/etcd
#[Member]
ETCD_NAME="${ETCD_NAME}"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://${ETCD_IP}:2380"
ETCD_LISTEN_CLIENT_URLS="https://${ETCD_IP}:2379"

#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://${ETCD_IP}:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://${ETCD_IP}:2379"
ETCD_INITIAL_CLUSTER="etcd01=https://${ETCD_IP}:2380,${ETCD_CLUSTER}"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
EOF

cat <<EOF >/usr/lib/systemd/system/etcd.service
[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target

[Service]
Type=notify
EnvironmentFile=${WORK_DIR}/cfg/etcd
ExecStart=${WORK_DIR}/bin/etcd \
--name=\${ETCD_NAME} \
--data-dir=\${ETCD_DATA_DIR} \
--listen-peer-urls=\${ETCD_LISTEN_PEER_URLS} \
--listen-client-urls=\${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \
--advertise-client-urls=\${ETCD_ADVERTISE_CLIENT_URLS} \
--initial-advertise-peer-urls=\${ETCD_INITIAL_ADVERTISE_PEER_URLS} \
--initial-cluster=\${ETCD_INITIAL_CLUSTER} \
--initial-cluster-token=\${ETCD_INITIAL_CLUSTER_TOKEN} \
--initial-cluster-state=new \
--cert-file=${WORK_DIR}/ssl/server.pem \
--key-file=${WORK_DIR}/ssl/server-key.pem \
--peer-cert-file=${WORK_DIR}/ssl/server.pem \
--peer-key-file=${WORK_DIR}/ssl/server-key.pem \
--trusted-ca-file=${WORK_DIR}/ssl/ca.pem \
--peer-trusted-ca-file=${WORK_DIR}/ssl/ca.pem
Restart=on-failure
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload
systemctl enable etcd
systemctl restart etcd

etcd-cert.sh

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "www": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "etcd CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

#-----------------------

cat > server-csr.json <<EOF
{
    "CN": "etcd",
    "hosts": [
    "10.206.240.188",
    "10.206.240.189",
    "10.206.240.111"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server

下载证书制作工具

[root@localhost k8s]# vim cfssl.sh
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo

下载cfssl官方包

[root@localhost k8s]# bash cfssl.sh
[root@localhost k8s]# ls /usr/local/bin/
cfssl  cfssl-certinfo  cfssljson

开始制作证书

//cfssl 生成证书工具   cfssljson通过传入json文件生成证书
  cfssl-certinfo查看证书信息

定义ca证书

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "www": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"     
        ]  
      } 
    }         
  }
}
EOF

实现证书签名

cat > ca-csr.json <<EOF 
{   
    "CN": "etcd CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

生产证书,生成ca-key.pem ca.pem

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

2020/01/13 16:32:56 [INFO] generating a new CA key and certificate from CSR
2020/01/13 16:32:56 [INFO] generate received request
2020/01/13 16:32:56 [INFO] received CSR
2020/01/13 16:32:56 [INFO] generating key: rsa-2048
2020/01/13 16:32:56 [INFO] encoded CSR
2020/01/13 16:32:56 [INFO] signed certificate with serial number 595395605361409801445623232629543954602649157326

指定etcd三个节点之间的通信验证

cat > server-csr.json <<EOF
{
    "CN": "etcd",
    "hosts": [
    "192.168.199.142",
    "192.168.199.146",
    "192.168.199.147"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}
EOF

生成ETCD证书 server-key.pem server.pem

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server

2020/01/13 17:01:30 [INFO] generate received request
2020/01/13 17:01:30 [INFO] received CSR
2020/01/13 17:01:30 [INFO] generating key: rsa-2048
2020/01/13 17:01:30 [INFO] encoded CSR
2020/01/13 17:01:30 [INFO] signed certificate with serial number 202782620910318985225034109831178600652439985681
2020/01/13 17:01:30 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").

ETCD 二进制包地址

https://github.com/etcd-io/etcd/releases

复制到centos7中

[root@localhost etcd-cert]# ls
ca-config.json  etcd-cert.sh                          server-csr.json
ca.csr          etcd-v3.3.10-linux-amd64.tar.gz       server-key.pem
ca-csr.json     flannel-v0.10.0-linux-amd64.tar.gz    server.pem
ca-key.pem      kubernetes-server-linux-amd64.tar.gz
ca.pem          server.csr

[root@localhost etcd-cert]# mv *.tar.gz ../
[root@localhost k8s]# ls
cfssl.sh   etcd.sh                          flannel-v0.10.0-linux-amd64.tar.gz
etcd-cert  etcd-v3.3.10-linux-amd64.tar.gz  kubernetes-server-linux-amd64.tar.gz

[root@localhost k8s]# tar zxvf etcd-v3.3.10-linux-amd64.tar.gz

[root@localhost k8s]# ls etcd-v3.3.10-linux-amd64
Documentation  etcd  etcdctl  README-etcdctl.md  README.md  READMEv2-etcdctl.md

[root@localhost k8s]# mkdir /opt/etcd/{cfg,bin,ssl} -p    //配置文件,命令文件,证书

[root@localhost k8s]# mv etcd-v3.3.10-linux-amd64/etcd etcd-v3.3.10-linux-amd64/etcdctl /opt/etcd/bin/
//证书拷贝
[root@localhost k8s]# cp etcd-cert/*.pem /opt/etcd/ssl/

进入卡住状态等待其他节点加入

[root@localhost k8s]# bash etcd.sh etcd01 192.168.199.142 etcd02=https://192.168.199.146:2380,etcd03=https://192.168.199.147:2380

使用另外一个会话打开,会发现etcd进程已经开启

[root@localhost ~]# ps -ef | grep etcd

node操作

拷贝证书去其他节点

[root@localhost k8s]# scp -r /opt/etcd/ root@192.168.199.146:/opt/
[root@localhost k8s]# scp -r /opt/etcd/ root@192.168.199.147:/opt

启动脚本拷贝其他节点

[root@localhost k8s]# scp /usr/lib/systemd/system/etcd.service root@192.168.199.146:/usr/lib/systemd/system/
[root@localhost k8s]# scp /usr/lib/systemd/system/etcd.service root@192.168.199.147:/usr/lib/systemd/system/2

在node01节点修改

[root@localhost ~]# vim /opt/etcd/cfg/etcd

#[Member]
ETCD_NAME="etcd02"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.199.146:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.199.146:2379"

#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.199.146:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.199.146:2379"
ETCD_INITIAL_CLUSTER="etcd01=https://192.168.199.142:2380,etcd02=https://192.168.199.146:2380,etcd03=https://192.168.199.147:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"

启动

[root@localhost ssl]# systemctl start etcd
[root@localhost ssl]# systemctl status etcd

在node02节点修改

[root@localhost ~]# vim /opt/etcd/cfg/etcd

#[Member]
ETCD_NAME="etcd03"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.199.147:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.199.147:2379"

#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.199.147:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.199.147:2379"
ETCD_INITIAL_CLUSTER="etcd01=https://192.168.199.142:2380,etcd02=https://192.168.199.146:2380,etcd03=https://192.168.199.147:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"

启动

[root@localhost ssl]# systemctl start etcd
[root@localhost ssl]# systemctl status etcd

检查群集状态

[root@localhost etcd-cert]# /opt/etcd/bin/etcdctl --ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem --endpoints="https://192.168.199.142:2379,https://192.168.199.146:2379,https://192.168.199.147:2379" cluster-health
member 3eae9a550e2e3ec is healthy: got healthy result from https://192.168.199.147:2379
member 26cd4dcf17bc5cbd is healthy: got healthy result from https://192.168.199.146:2379
member 2fcd2df8a9411750 is healthy: got healthy result from https://192.168.199.142:2379
cluster is healthy
朝花夕誓、
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[云原生k8s] k8s的CA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1686
CA证书及ETCD集群部署
K8S二进制部署之定义CA证书与ETCD
l17605229954的博客
11-01 574
1、 服务器单向认证:只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器端 CA 根证书:签发服务器端证书的 CA 根证书,客户端使用该 CA 根证书来验证服务器端证书的合法性。⑥ 客户端端 CA 根证书:签发客户端证书的 CA 根证书,服务器端使用该 CA 根证书来验证客户端证书的合法性。
kubernetes部署1——ectd部署(单节点)
weixin_51615030的博客
04-12 524
kubernetes——ectd部署(单节点)一、环境部署二、部署Master11、创建K8s目录2、将证书脚本和服务脚本拖进目录3、下载证书制作工具4、制作ca和ca签名并创建ca证书5、Server证书的创建6、安装etcd三、修改node1四、修改node2五、查看集群状态 #部署三个数据库是最稳妥的 一、环境部署 角色 IP 组件 Master1 192.168.200.11 kube-apiserver、kube-controller-manager、kube-scheduler.
二进制搭建Kubernetes集群(上)——部署etcd集群和单master
m0_73464307的博客
02-20 784
这篇文章开始介绍二进制搭建 Kubernetes v1.20,由于内容过多,分三篇介绍。目前Kubernetes最新版本是v1.24,但大部分公司一般不会使用最新版本,而是老版本中的v1.15,或者新版本的v1.18、v1.20,其中v1.16改变了很多API接口版本。
【云原生】二进制部署k8集群(上)搭建单机matser和etcd集群
qq_62462797的博客
12-07 915
目前Kubernetes最新版本是v1.25,但大部分公司一般不会使用最新版本。目前公司使用比较多的:老版本是v1.15,因为v1.16改变了很多API接口版本,国内目前使用比较多的是v1.18、v1.20。 组件部署: 注意:该操作在所有node节点上进行,为k8s集群提供适合的初始化部署环境 etcd是Coreos团队于2013年6月发起的开源项目,它的目标是构建一个 高可用的分布式键值(key-value) 数据库。etcd内 部采用raft协议作为一致性算法,e
kube-ansible:Ansible部署Kubernetes二进制文件
03-30
该项目将用于ansible部署kubernetes。 请参阅README.md和group_vars/template.yml文件以进行项目配置 云端支援 蔚蓝 Aws(Apiserver HA使用CLB) GCP(Apiserver HA使用TCP负载平衡) 操作系统支持 所有Node安装...
CatBin:捕获二进制文件-开源
05-29
CatBin 是一个工具,类似于“cat”。但它捕获二进制文件。并向您显示十六进制形式。它就像十六进制查看器一样。
BinaryView:显示二进制数据-开源
04-28
BinaryView能够以xy-plot或使用简单的片段着色器显示2d二进制数据。 标准着色器(例如简单的颜色映射或用于数字高程数据的浮雕着色)已经存在,但是您也可以编写自己的着色器。 例如,屏幕截图显示了来自...
k8stail:Kubernetes Pod的tail -f体验
05-17
k8stail Kubernetes Pod的tail -f体验 ...Releases上提供了适用于Windows,OS X,Linux的预编译二进制文件。 从来源 $ go get -d github.com/dtan4/k8stail $ cd $GOPATH /src/github.com/dtan4/k8stail $ make deps
lgmbinary:Lgms 二进制项目-开源
05-31
Lgmbinary 是一个用于帮助 windows 开发的二进制项目。 和windows调试。 默认情况下尚未出现的程序是一个二进制 zip 文件,它具有要加载到 windows vista 或更高版本的网络。
逃脱只会部署集群系列 —— Kubeadm部署v1.18.0与ETCD操作
一别两宽丶各生欢喜
11-15 2383
一、Kubeadm部署 1、基本操作 https://segmentfault.com/a/1190000019465098https://segmentfault.com/a/1190000019465098 2、补充 基本操作就不详述了,网上找找很多,其中flannel地址访问不到,我直接拿出来了,以前我一直很疑惑apiserver用v1还是v1brta1,kubectl explain pod或者直接-oyaml解决。 --- apiVersion: policy/v1beta1 kind
二进制部署K8S
abjava1的博客
02-20 1128
目录 一、环境准备 1、常见的k8s部署方式 2、关闭防火墙 3、关闭selinux 4、关闭swap 5、根据规划设置主机名 6、在master添加hosts 7、将桥接的IPv4流量传递到iptables的链 8、时间同步 二、部署etcd集群 1、master节点部署 2、查看证书的信息 2.1 创建k8s工作目录 2.2 上传etcd-cert.shetcd.sh 到/opt/k8s/ 目录中 2.3 创建用于生成CA证书、etcd服务器证书以及私钥的目录 2.4
Kubernetes二进制部署
Wan_JF的博客
12-15 1859
目录 一、ETCD集群部署 1、master节点上操作 (1)创建目录及上传文件 (2)给予权限 (3)配置ca证书 (4)生成证书并解压etcd (5)创建配置文件,命令文件,证书 (6)拷贝证书文件至相应目录 (7)执行etcd.sh启动脚本(进入卡住状态等待其他节点加入,目的是生成启动脚本) (8)使用另一个终端打开,会发现etcd进程已经开启 (9)拷贝证书至其他节点 (10)启动脚本拷贝其他节点 2、node1节点上操作 (1)修改etcd配置文件 (2)启动etcd
k8s集群的二进制部署
renjian21的博客
08-19 218
一、部署etcd 实验前准备四台服务器: centos7-5:192.168.80.130 centos7-6:192.168.80.129 centos7-7:192.168.80.131 centos7-8:192.168.80.132 实验步骤 1.将三台主机关闭防火墙并分别改名 2.首先配置master节点,将安装包拖入并给执行权限 3.进入opt,创建目录并给执行权限 4.创建etcd-cert目录并将etcd-cert.sh文件移动到该目录里 ...
Kubernetes 二进制部署 单节点(超详细)1
彼岸吖的博客
10-27 261
一.环境准备 本实验所需要的软件及脚本:点击这里 k8s集群master01 192.168.111.171 kube-apiserver kube-controller-manager kube-scheduler etcd 2核2G k8s集群node1 192.168.111.173 kubelet kube-proxy docker flannel 2核2G k8s集群node2 192.168.111.175 kubelet kube
Kubernetes部署思路+ssl+etcd+flannel
weixin_45693462的博客
04-30 517
官方提供的三种部署方式 minikube minikube是一个工具,可以在本地快速运行一个单点的kubernetes,仅用于尝试K8S或日常开发的测试环境使用 部署地址:https://kubernetes.io/docs/setup/minkube/ kubeadm kubeadm也是一个工具,提供kubeadm init和kubeadm join,用于快速部署kubernetes集群 ...
Linux运维容器篇 k8s单节点二进制部署(1) ECTD部署+CA证书制作
weixin_49172531的博客
06-23 506
文章目录一、环境配置二、制作CA证书1.传入脚本2.创建CA证书 一、环境配置 主master节点 192.168.30.132 组件 kube-apiserver kube-controller-manager kube-scheduler etcd 从节点slave1 192.168.30.133 组件 kubelet kube-proxy docker flannel etcd 从节点slave2 192.168.30.134 组件 kubelet kube-proxy docker
k8s集群———etcd-ssl自签名证书
asdfghj1221的博客
03-18 519
etcd集群master节点安装 1,自签名SSL证书 ##安装工具cfssl $ cat cfssl.sh curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd6...
K8S基础及单节点服务的部署(etcd)
weixin_51432789的博客
04-11 3261
目录一、 k8s概述1、k8s是什么2、k8s特性3、k8s群集架构与组件4、k8s核心概念二、k8s三种部署方式三、自签SSL证书四、k8s单节点部署etcd) 一、 k8s概述 1、k8s是什么 kubernetes是Google在2014年开源的一个容器群集管理系统,kubernetes简称k8s k8s用于容器化应用程序的部署,扩展和管理 k8s提供了容器编排,资源调度,弹性伸缩,部署管理,服务发现等一系列功能 kubernetes目标是让部署容器化应用简单高效 官方网站:http://www.
二进制部署kube-apiserver,版本是1.23.1
最新发布
07-12
对于二进制部署 Kubernetes 的 kube-apiserver,你可以按照以下步骤部署版本为 1.23.1 的 kube-apiserver: 1. 下载 kube-apiserver 二进制文件: ```shell wget https://storage.googleapis.com/kubernetes-release/release/v1.23.1/bin/linux/amd64/kube-apiserver ``` 2. 授予二进制文件执行权限: ```shell chmod +x kube-apiserver ``` 3. 将 kube-apiserver 移动到可执行路径下(例如 /usr/local/bin): ```shell mv kube-apiserver /usr/local/bin/kube-apiserver ``` 4. 创建 kube-apiserver 的配置文件(例如 apiserver.yaml),并进行相应的配置。配置文件示例: ```yaml apiVersion: v1 kind: Pod metadata: name: kube-apiserver namespace: kube-system spec: containers: - name: kube-apiserver image: k8s.gcr.io/kube-apiserver:v1.23.1 command: - kube-apiserver - --advertise-address=192.168.0.100 # 其他配置项... ports: - containerPort: 6443 hostPort: 6443 protocol: TCP ``` 5. 使用配置文件创建和启动 kube-apiserver 的 Pod: ```shell kubectl create -f apiserver.yaml ``` 请注意,这只是一个简单的示例,具体的部署过程可能因环境和需求而有所变化,请根据实际情况进行相应的调整和配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值