1.kubeadm 在执行安装之前的环境检测
1) 检查执行 init 命令的用户是否为 root,如果不是 root,直接快速失败(fail fast);
2) 检查待安装的 k8s 版本是否被当前版本的 kubeadm 支持(kubeadm 版本 >= 待安装 k8s 版本);
3) 检查防火墙,如果防火墙未关闭,提示开放端口 10250;
4) 检查端口是否已被占用,6443(或你指定的监听端口)、10257、10259;
5) 检查文件是否已经存在,/etc/kubernetes/manifests/*.yaml;
6) 检查是否存在代理,连接本机网络、服务网络、Pod网络,都会检查,目前不允许代理;
7) 检查容器运行时,使用 CRI 还是 Docker,如果是 Docker,进一步检查 Docker 服务是否已启动,是否设置了开机自启动;
8) 对于 Linux 系统,会额外检查以下内容:
8.1) 检查以下命令是否存在:crictl、ip、iptables、mount、nsenter、ebtables、ethtool、socat、tc、touch;
8.2) 检查 /proc/sys/net/bridge/bridge-nf-call-iptables、/proc/sys/net/ipv4/ip-forward 内容是否为 1;
8.3) 检查 swap 是否是关闭状态;
9) 检查内核是否被支持,Docker 版本及后端存储 GraphDriver 是否被支持;
对于 Linux 系统,还需检查 OS 版本和 cgroup 支持程度(支持哪些资源的隔离);
10) 检查主机名访问可达性;
11) 检查 kubelet 版本,要高于 kubeadm 需要的最低版本,同时不高于待安装的 k8s 版本;
12) 检查 kubelet 服务是否开机自启动;
13) 检查 10250 端口是否被占用;
14) 如果开启 IPVS 功能,检查系统内核是否加载了 ipvs 模块;
15) 对于 etcd,如果使用 Local etcd,则检查 2379 端口是否被占用, /var/lib/etcd/ 是否为空目录;
如果使用 External etcd,则检查证书文件是否存在(CA、key、cert),验证 etcd 服务版本是否符合要求;
16) 如果使用 IPv6,
检查 /proc/sys/net/bridge/bridge-nf-call-iptables、/proc/sys/net/ipv6/conf/default/forwarding 内容是否为 1;
以上就是 kubeadm init 需要检查的所有项目了,过程日志如下:
具体流程如下图:
2.完成安装时的配置检查
1) 在 kube-system 命名空间创建 ConfigMap kubeadm-config,同时对其配置 RBAC 权限;
2) 在 kube-system 命名空间创建 ConfigMap kubelet-config-<version>,同时对其配置 RBAC 权限;
3) 为当前节点(Master)打标记:node-role.kubernetes.io/master=;
4) 为当前节点(Master)补充 Annotation;
5) 如果启用了 DynamicKubeletConfig 特性,设置本节点 kubelet 的配置数据源为 ConfigMap 形式;
6) 创建 BootStrap token Secret,并对其配置 RBAC 权限;
7) 在 kube-public 命名空间创建 ConfigMap cluster-info,同时对其配置 RBAC 权限;
8) 与 apiserver 通信,部署 DNS 服务;
9) 与 apiserver 通信,部署 kube-proxy 服务;
10) 如果启用了 self-hosted 特性,将 Control Plane 转为 DaemonSet 形式运行;
11) 打印 join 语句;
此过程日志如下图: