文章目录
一,常见的k8s部署方式
●Mini kube
Minikube是一个工具,可以在本地快速运行一个单节点微型K8s,仅用于学习预览K8s的一些特性使用
部署地址: https: / /kubernetes.io/docs/setup/minikube
●Kubeadmin
Kubeadmin也是一个工具,提供kubeadm init和kubeadm join,用于快速部署K8S集群,相对简单
https: / /kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/
●二进制安装部署
生产首选,从官方下载发行版的二进制包,手动部署每个组件和自签TLS证书,组成K8s集群,新手推荐
https: / /github.com/kubernetes/kubernetes/releases
小结:kubeadm降低部署门槛,但屏蔽了很多细节,遇到问题很难排查,如果想更容易可控,推荐使用二进制包部署kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。
二,Kubernetes二进制部署 单节点
环境准备
服务器 | 操作系统 | IP | 组件 |
---|---|---|---|
k8s集群master1 | centos7 | 192.168.100.135 | kube-apiserver kube-controller-manager kube-scheduler etcd |
k8s集群master2 | centos7 | 192.168.100.141 | kube-apiserver kube-controller-manager kube-scheduler etcd |
k8s lb01 | centos7 | 192.168.100.144 | |
k8s lb02 | centos7 | 192.168.100.145 | |
k8s集群node1 | centos7 | 192.168.100.140 | kubelet kube-proxy docker flannel |
k8s集群node2 | centos7 | 192.168.100.142 | kubelet kube-proxy docker flannel |
关闭防火墙,selinux,swap(三台机器上都要操作)
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
sed -i 's/enforcing/disabled/' /etc/selinux/config
swapoff -a
sed -ri 's/. *swap. */#&/' /etc/fstab
在master添加hosts
cat >> /etc/hosts <<EOF
> 192.168.100.35 master01
> 192.168.100.142 node01
> 192.168.100.140 node02
> EOF
将桥接的IPv4流量传递到iptables的链
cat > /etc/sysctl.d/k8s.conf <<EOF
>net.bridge.bridge-nf-call-ip6tables = 1
>net.bridge.bridge-nf-call-iptables = 1
>net.ipv6.conf.all.disable_ipv6=1
>net.ipv4.ip_forward=1
> EOF
sysctl --system
根据规划设置主机名
hostnamectl set-hostname master01
hostnamectl set-hostname node01
hostnamectl set-hostname node02
时间同步
yum -y install ntpdate
ntpdate tim.windows.com
部署etcd集群
etcd作为服务发现系统,有以下的特点:
• 简单、安装配置简单,而且提供了HTTP API进行交互,使用也很简单
• 安全: 支持SSL证书验证
• 快速: 单实例支持每秒2k+读操作
• 可靠: 采用raft算法实现分布式系统数据的可用性和一致性
准备签发证书环境:
CFSSL是CloudFlare 公司开源的一款PKI/TLS工具。CESSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。
CFSSL使用配置文件生成证书,因此自签之前,需要生成它识别的json 格式的配置文件,CFSSL 提供了方便的命令行生成配置文件。
CFSSL用来为etcd提供TLS证书,它支持签三种类型的证书:
1、client证书,服务端连接客户端时携带的证书,用于客户端验证服务端身份,如kube-apiserver 访问etcd;
2、server证书,客户端连接服务端时携带的证书,用于服务端验证客户端身份,如etcd对外提供服务:
3、peer证书,相互之间连接时使用的证书,如etcd节点之间进行验证和通信。
这里全部都使用同一套证书认证。
注:etcd这里就不做集群了,直接部署在master节点上
1.master节点部署
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo chmod +x /usr/local/bin/cfssl
cfssl: 证书签发的工具命令
cfssljson: 将cfssl 生成的证书( json格式)变为文件承载式证书
cfssl-certinfo:验证证书的信息
cfssl-certinfo -cert <证书名称>
我这里直接就拿下载好的用了
生成Etcd证书
mkdir /opt/k8s
cd /opt/k8s
vim etcd-cert.sh
chmod +x *
mkdir etcd-cert
./etcd-cert.sh
#####################################
//etcd二进制包地址: https://github.com/etcd-io/etcd/releases
上传etcd-v3.3.10-1inux-amd64.tar.gz 到/opt/k8s/ 目录中,解压etcd 压缩包
创建用于存放etcd配置文件,命令文件,证书的目录
另外加一个终端查看etcd进程是否正常
把etcd相关证书和命令文件全部拷贝到另外两个etcd集群节点
scp -r /opt/etcd/ root@node01:/opt/
scp -r /opt/etcd/ root@node02:/opt/
把etcd服务管