Install Kubernetes From a Scratch

最新推荐文章于 2024-05-25 08:31:18 发布
最新推荐文章于 2024-05-25 08:31:18 发布
阅读量362 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjcaitu/article/details/78847893
版权

Install Kubernetes From a Scratch

一个完整的kubernetes服务需要许多组件支持. 比如我们需要安装kubelet, api server, scheduler, kube-proxy等等.

不过除了kubelet, docker需要通过system service来启动外, 其他的组件,比如api server, scheduler, etcd等等都可以通过static pod的方式, 让kubernetes本身来为我们启动.

本文着重介绍通过static pod如何启动kubernetes 服务, 并添加一个add-on

节点角色介绍

Master :

Master节点上运行了特定的组件提供集群的管理控制中心,如api-server。
在Master节点上不会运行用户pod/service.

Slave:

区别于Master,除了kubelet, kube-proxy等服务, 还运行用户Pod/Service

准备工作

首先每台虚拟机将要关闭防火墙和SELinux, 同时安装docker服务, 同时生成相关的CA证书, 这里将不在赘述. 具体可参考 [ 部署开源k8s-1.8.5方法]

安装kubelet服务

通过以下kubelete.service文件, 在所有节点启动kubelet服务:

[Unit]
Description=Kubernetes Kubelet
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=docker.service
Requires=docker.service

[Service]
ExecStart=/usr/bin/kubelet \
  --address=10.0.10.3 \ ## kublet所服务的ip地址
  --hostname-override=10.0.10.3 \
  --pod-infra-container-image=172.16.1.41:5000/google_containers/pause:3.0 \
  --kubeconfig=/etc/kubernetes/kubeconfig \ ##指定kubeconfig的地址
  --require-kubeconfig \
  --cert-dir=/etc/kubernetes/ssl \ ##制定CA证书地址
  --cluster-dns=10.10.10.10 \
  --cluster-domain=cluster.local \
  --hairpin-mode=promiscuous-bridge \
  --allow-privileged=true \
  --logtostderr=true \
  --fail-swap-on=false \
  --pod-manifest-path=/etc/kubernetes/manifests \ ##制定kubelet监控的pod manifests的地址(重要)
  --v=2
Restart=on-failure
RestartSec=5

[Install]
WantedBy=multi-user.target

关于kubelet的配置项可参考 [ kubelet官方配置文档]

其中–pod-manifest-path制定kubelet监控的pod manifest的路径

kubelet 会每隔几秒钟(20s)去查看该路径下的pod manifest, 会去启动或更新对应的pod. 常见的Pod manifest格式为yaml或者jason, 官方推荐yaml

执行以下命令,启动kubelet

cp kubelet.service /usr/lib/systemd/system/
systemctl daemon-reload && systemctl restart kubelet

配置kubeconfig

kubeConfig定义了kubelet如何访问集群的配置, 其中包含了cluster, user的信息.具体配置如下:

apiVersion: v1
kind: Config
clusters:
  - cluster:
      certificate-authority: /etc/kubernetes/ssl/ca.pem
      server: https://10.0.10.3:6443
    name: kubernetes
contexts:
  - context:
      cluster: kubernetes
      user: k8s
    name: kubelet-to-kubernetes
current-context: kubelet-to-kubernetes
users:
  - name: k8s
    user:
      client-certificate: /etc/kubernetes/ssl/admin.pem
      client-key: /etc/kubernetes/ssl/admin-key.pemc
上述的kubeConfig定义了一个cluster叫kubernetes, 该集群的server地址, ca证书由clusters域定义.
user定义了用户认证的相关信息. context定义了两者的关系.
在所有节点完成上述配置我们就可以生成对应的Manifest来启动各个组件服务

配置对应组件的Pod Manifest

当docker以及kubelet服务已经启动完毕后,我们只需要生成etcd, kube-controller-manager, kube-proxy, kube-apiserver, kube-scheduler的manifest,并放到刚才kubelet监控的目录, 也就是/etc/kubernetes/manifests.

Master节点上我们需要配置以下Pod Manifest:

etcd.manifests
kube-apiserver.manifests
kube-controller-manager.manifests
kube-scheduler.manifests

在所有节点我们需要配置:

kube-proxy.manifest

etcd.manifest

apiVersion: v1
kind: Pod
metadata:
  name: k8s-etcd
  namespace: kube-system
spec:
  hostNetwork: true
  containers:
  - name: etcd
    image: 172.16.1.41:5000/coreos/etcd:3.2.11
    imagePullPolicy: IfNotPresent
    command:
    - etcd
    - --data-dir=/var/etcd/data
    env:
    - name: ETCD_INITIAL_CLUSTER_STATE  
      value: new
    - name: ETCD_NAME
      value: ETCD0
    - name: ETCD_INITIAL_ADVERTISE_PEER_URLS
      value: http://10.0.10.3:2380
    - name: ETCD_INITIAL_CLUSTER
      value: ETCD0=http://10.0.10.3:2380
    - name: ETCD_INITIAL_CLUSTER_TOKEN
      value: token
    - name: ETCD_LISTEN_PEER_URLS
      value: http://0.0.0.0:2380
    - name: ETCD_ADVERTISE_CLIENT_URLS
      value: http://10.0.10.3:2379
    - name: ETCD_LISTEN_CLIENT_URLS
      value: http://0.0.0.0:2379
    volumeMounts:
    - name: varetcd
      mountPath: /var/etcd
      readOnly: false
  volumes:
  - name: varetcd
    hostPath:
      path: /var/etcd/data

关于ETCD的参数配置,可参考 [ ETCD部署]

kube-apiserver.manifest

apiVersion: v1
kind: Pod
metadata:
  name: kube-apiserver
  namespace: kube-system
spec:
  hostNetwork: true
  containers:
    - name: apiserver
      image: 172.16.1.41:5000/google_containers/kube-apiserver:v1.8.5
      imagePullPolicy: IfNotPresent
      command:
        - kube-apiserver
        - --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota
        - --advertise-address=10.0.10.3
        - --allow-privileged=true
        - --audit-log-maxage=30
        - --audit-log-maxbackup=3
        - --audit-log-maxsize=100
        - --audit-log-path=/var/log/kubernetes/audit.log
        - --authorization-mode=RBAC
        - --bind-address=10.0.10.3
        - --client-ca-file=/etc/kubernetes/ssl/ca.pem
        - --enable-swagger-ui=true
        - --etcd-servers=http://10.0.10.3:2379
        - --event-ttl=1h
        - --kubelet-https=true
        - --insecure-bind-address=0.0.0.0
        - --runtime-config=rbac.authorization.k8s.io/v1alpha1
        - --service-account-key-file=/etc/kubernetes/ssl/ca-key.pem
        - --service-cluster-ip-range=10.10.10.1/24
        - --tls-cert-file=/etc/kubernetes/ssl/kubernetes.pem
        - --tls-private-key-file=/etc/kubernetes/ssl/kubernetes-key.pem
        - --v=2
      volumeMounts:
      - name: apikubelog
        mountPath: /var/log/kubernetes/
        readOnly: false
      - name: kubernetes
        mountPath: /var/run/kubernetes/
        readOnly: false
      - name: etckube
        mountPath: /etc/kubernetes/
        readOnly: false
  volumes:
    - name: apikubelog
      hostPath:
        path: /var/log/kubernetes/apiserver
    - name: kubernetes
      hostPath:
        path: /var/run/kubernetes/
    - name: etckube
      hostPath:
        path: /etc/kubernetes/

参数解释

– admission-control
定义admission controller(准入)插件, api server会对相应的请求进行校验, 检查请求是否符合插件定义的规则. 详细请参考Adimission Controller

– advertise-address:
广播API Server给所有集群成员的IP地址

–client-ca-file
如果设置后,任何带ca认证的请求都会用指定的ca file进行的比对

–etcd-servers
指定etcd server地址

–kubelet-https
是否使用https建立连接

–service-cluster-ip-range
CIDR标记的IP范围,从中分配IP给服务集群

更多设置解释请参考kube-apiserver配置

kube-controller-manager.manifest

kube-controller-manager是一个daemon, 它会通过api-server不停的轮询监控集群的状态,并在适当的情况下将集群状态迁移到期望的状态
他的manifest如下:

apiVersion: v1
kind: Pod
metadata:
  name: kube-controller-manager
  namespace: kube-system
spec:
  hostNetwork: true
  containers:
    - name: kube-controller-manager
      image: 172.16.1.41:5000/google_containers/kube-controller-manager:v1.8.5
      imagePullPolicy: IfNotPresent
      command:
        - kube-controller-manager
        - --kubeconfig=/etc/kubernetes/kubeconfig ##指定kubeConfig所在地址
        - --cluster-name=kubernetes
        - --service-account-private-key-file=/etc/kubernetes/ssl/ca-key.pem ##部署服务所需的秘钥文件
        - --root-ca-file=/etc/kubernetes/ssl/ca.pem
        - --v=2
      volumeMounts:
      - name: kubelog
        mountPath: /var/log/kubernetes/
        readOnly: false
      - name: kubernetes
        mountPath: /var/run/kubernetes/
        readOnly: false
      - name: etckube
        mountPath: /etc/kubernetes/
        readOnly: false
  volumes:
    - name: kubelog
      hostPath:
        path: /var/log/kubernetes/apiserver
    - name: kubernetes
      hostPath:
        path: /var/run/kubernetes/
    - name: etckube
      hostPath:
        path: /etc/kubernetes/

kube-scheduler.manifests

kube-scheduler 监视新创建没有分配到Node的Pod,为Pod选择一个Node

apiVersion: v1
kind: Pod
metadata:
  name: kube-scheduler
  namespace: kube-system
spec:
  hostNetwork: true
  containers:
    - name: kube-scheduler
      image: 172.16.1.41:5000/google_containers/kube-scheduler:v1.8.5
      imagePullPolicy: IfNotPresent
      command:
        - kube-scheduler
        - --kubeconfig=/etc/kubernetes/kubeconfig
        - --v=2
      volumeMounts:
      - name: kubelog
        mountPath: /var/log/kubernetes/
        readOnly: false
      - name: kubernetes
        mountPath: /var/run/kubernetes/
        readOnly: false
      - name: etckube
        mountPath: /etc/kubernetes/
        readOnly: false
  volumes:
    - name: kubelog
      hostPath:
        path: /var/log/kubernetes/apiserver
    - name: kubernetes
      hostPath:
        path: /var/run/kubernetes/
    - name: etckube
      hostPath:
        path: /etc/kubernetes/

将以上manifest拷贝到Master节点的kubelet所监控的目录/etc/kubernetes/manifests中

kube-proxy.manifest

在所有节点我们还需要创建kube-proxy.manifest:

kube-proxy通过在主机上维护网络规则并执行连接转发来实现Kubernetes服务抽象

apiVersion: v1
kind: Pod
metadata:
  name: k8s-proxy
  namespace: kube-system
spec:
  hostNetwork: true
  containers:
  - name: kube-proxy
    image: 172.16.1.41:5000/google_containers/kube-proxy:v1.8.5
    imagePullPolicy: Always
    command:
    - proxy
    - --kubeconfig=/etc/kubernetes/kubeconfig
    - --v=2
    - --masquerade-all ##对所有service ip
    - --resource-container=""
    securityContext:
      privileged: true
    volumeMounts:
    - name: apikubelog
      mountPath: /var/log/kubernetes/
      readOnly: false
    - name: kubernetes
      mountPath: /var/run/kubernetes/
      readOnly: false
    - name: etckube
      mountPath: /etc/kubernetes/
      readOnly: false
  volumes:
    - name: apikubelog
      hostPath:
        path: /var/log/kubernetes/apiserver
    - name: kubernetes
      hostPath:
        path: /var/run/kubernetes/
    - name: etckube
      hostPath:
        path: /etc/kubernetes/

配置好所有的组件的Manifest, 一个kubernetes集群就启动了, 在本文中有一个master, 1个slave.

如何添加插件Add-on

待添加

wjcaitu
关注
【APM】在Kubernetes中,使用Helm安装loki-distributed 2.9.6
CN_Eden
05-13 947
Grafana Loki 是一个开源的云原生日志聚合和分析系统,由 Grafana Labs 开发并维护。Loki 专注于为大规模的日志处理提供经济高效且易于管理的解决方案,尤其适用于微服务架构以及容器化和分布式环境。综上所述,Grafana Loki 旨在简化日志管理,并通过其创新的设计,为企业提供了在现代云环境中处理日志的一种高效且经济的方式。
云原生 | 在 Kubernetes 中使用 Cilium 替代 Calico 网络插件实践指南!
最新发布
WeiyiGeek 唯一极客IT知识分享
09-03 1972
Cilium 是一款开源软件,它基于一种名为eBPF的新的Linux内核技术提供动力,用于透明地保护使用 Docker 和 Kubernetes 等Linux 容器管理平台中部署的应用程序服务之间的网络连接,Cilium 主要使用场景是在 Kubernetes 中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
scratch-kubernetes:这是一个实现Scratch块与Kubernetes交互的项目草案
05-10
Kubernetes 这是一个实现Scratch块与Kubernetes交互的项目草案。 该项目包括: 位于此quarkus-kubernetes-client-service :一个简单的REST应用程序,它使kubernetes的操作从头开始。 scratch-vm是原始scratch-vm + scratch k8s库的一个分支,带有k8s自定义块的实现。 scratch-gui原始的scratch-gui一个fork + scratch k8s库的声明。 在开发人员沙箱中运行 Developer Sandbox是Red Hat OpenShift集群,可以将您的应用程序代码作为容器部署在这种自助式云托管体验上。 跳过安装和部署,直接跳入OpenShift。 如果没有注册,请注册: : 启动工作空间: 在您自己的Che实例中运行 使用您自己的Eclipse Che实
beego install from scratch
weixin_30297281的博客
04-12 70
1. install beego Firstly, I have installed Go and set the enviroment and set PATH. However, I fail to download github.com/astaxie/beego. solution: install git and set the PATH asC:\Program F...
xx from scratch ( 从零开始 这个含义来源 )
songpeng26的博客
03-28 2212
Scratch is about beginnings, but to do something from scratch doesn’t mean to scratch something with your fingernail and have it appear. Scratch in this instance finds its origin in sports talk. Origi...
本地具有镜像且拉取策略为IfNotPresent,为什么无法运行Pod?
叮当猫的喵i
07-15 2881
可以猜测是,containerd(本机采用的是containerd不是docker)去拉取镜像的「元数据清单manifest」猜测就是为了验证镜像的正确性和完整性,确认本地此镜像就是镜像仓库中的镜像。但是本地都有此镜像,为什么还要请求manifest?,因此考虑未配置此私有仓库的host解析,因此。10.10.2.1是我私有镜像仓库的ip地址。考虑containerd配置此私有镜像仓库。镜像拉取策略,Pod却无法运行。...
k8s pod镜像拉取策略:Always、IfNotPresent、Never
热门推荐
学亮编程手记
01-30 1万+
Kubernetes基础:源码编译并构建Pause镜像
知行合一 止于至善
02-09 933
在前面的文章中我们介绍了Pause在Kubernetes中的使用,并对源码进行了解析,这篇文章介绍一下如何进行源码方式的构建和Pause镜像的构建。
kubernetes cka 考试前置环境配置
任天居的博客
01-13 1461
第1题: 基于角色的访问控制-RBAC 创建相应的命名空间 $ kubectl create namespace app-team1 第2题 节点维护-指定node节点不可用 无需配置前置环境 第3题 K8s版本升级 初始安装只要不是最后一个版本,就无需配置前置环境 第4题 Etcd数据库备份恢复 安装支持 etcdctl 命名的安装包 etcd-client $ sudo apt install -y etcd-client 由于使用kubeadm安装的群集,无法找到题目中
Dockerfile 如何实现编写优化
山河已无恙
03-10 1720
分享一些Dickerfile构建镜像优化方式的笔记理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》通过当运行的容器来构建新的镜像通过Dockerfile文件依托基础镜像来构建新的镜像不管是那种方式,自定义镜像的原理都是一样,通过镜像的分层设计,创建读写层修改配置重新打包这里和小伙伴们分享一些Dockerfile。
k8s(二)——— pod 详解
qq_45473439的博客
07-04 2111
1. 先定义模板文件 模板的参数含义:运行以下命令,通过模板创建Pod。 创建成功后,可通过以下命令查询当前运行的所有Pod. 查询pod Pod创建后,最常用的功能就是查询。可以用以下命令查询Pod的状态。 还可以在查询命令中带上参数-w,以对Pod状态进行持续监控。只要Pod发生了变化,就会在控制台中输出相应信息。命令如下。 另外,还可以在查询命令中带上-o wide参数,输出Pod的更多概要信息(如调度到哪台机器上,Pod本身的虚拟IP等信息)。命令如下。 get命令除了可以显示简要的运行信息外,还可
k8s镜像拉去策略及说明
qq_32856065的博客
09-06 1551
IfNotPresent 策略下,如果本地已经存在该镜像,将不会再次拉取,但如果本地存在的镜像版本与需要的版本不一致,可能会出现兼容性问题。如果一个 Pod 中多个容器需要拉取同一镜像,但拉取策略不一致,可能会出现镜像版本不统一、应用出现问题等问题。镜像拉取可能会受到网络环境影响,如果网络不稳定或者延迟较高,可能会导致镜像拉取超时或者失败。Always 策略下,每次都会强制拉取最新的镜像,可能会导致应用不稳定,出现兼容性问题。Never:只使用节点上已经存在的镜像,不会从镜像仓库中拉取镜像。
linux为什么现在淘汰ext4,现在你们装linux是用ext4还是ext3
weixin_39556064的博客
05-25 240
irongeek 于 2012-01-02 17:30:28发表:My experiences with ext4 on JauntyTim Gardner tcanonical at tpi.comWed Dec 31 18:58:18 GMT 2008Previous message: Uploaded Jaunty 2.6.28-4.5Messages sorted by: [ date ...
java not present_Java 8的可选的function.ifPresent和if-not-present的功能风格?
weixin_42514002的博客
02-13 678
对我来说@Dane White的答案是OK,首先我不喜欢使用Runnable,但我找不到任何替代品,这里另一个实现我喜欢更多public class OptionalConsumer {private Optional optional;private OptionalConsumer(Optional optional) {this.optional = optional;}public sta...
k8s之pod
m0_72359405的博客
10-30 244
现代容器技术建议一个容器只运行一个进程,该进程在容器中PID命令空间中的进程号为1,可直接接收并处理信号,进程终止时容器生命周期也就结束了。运行于各自容器内的进程无法直接完成网络通信,这是由于容器间的隔离机制导致,k8s中的Pod资源抽象正是解决此类问题,Pod对象是一组容器的集合,这些容器共享Network、UTS及IPC命令空间,因此具有相同的域名、主机名和网络接口,并可通过IPC直接通信。在这种使用方式中,你可以把Pod想象成是单个容器的封装,kuberentes管理的是Pod而不是直接管理容器。
【Pod】
m0_56405902的博客
10-08 148
pod资源中针对各种容器提供网络命令空间等共享机制的是底层基础容器pause,基础容器(父容器)pause就是为了管理pod容器间的共享操作。为了实现这个父容器的构想,k8s中,用pause容器来作为一个Pod中所有容器的父容器。pause容器:给pod中的所有应用容器提供网络(共享IP)和存储(共享存储)资源的共享,作为pid=1的进程(init进程),管理整个pod中容器组的生命周期。给pod中的所有应用容器提供网络(共享IP)和存储(共享存储)资源的共享,作为pid=1的进程(init)
k8s面试题-进阶
kali_yao的博客
03-01 1538
91道k8s常见面试题
【云原生】Kubernetes----POD基本管理
hy199707的博客
05-25 931
Kubernetes(简称K8s)这一强大的容器编排系统中,Pod是最基本的部署单元。Pod封装了一个或多个容器,共享存储、网络和进程空间,允许它们协同工作以完成特定任务。本文将深入探讨Pod的概念、特性以及如何在K8s中对其进行管理
【云原生】k8s之pod基础(下)
qq_62462797的博客
01-03 2693
当你在创建容器时会针对指定的镜像来进行容器的创建,所以pod的创建是以镜像为基础。当你在拉取镜向不指定仓库的主机名,Kubernetes 认为你在使用 Docker 公共仓库。
Install JDK on Ubuntu from scratch
06-03
Sure, here are the steps to install JDK on Ubuntu from scratch: 1. Open a terminal window on your Ubuntu machine. 2. Update the package list by running the following command: ``` sudo apt-get ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值