系列文章说明

本系列文章是 老男孩2019年王硕的K8S周末班课程 笔记,根据视频来看本笔记最好,否则有些地方会看不明白

目录

  • 系列文章说明
    • 1 部署架构
      • 1.1 架构图
      • 1.2 安装方式选择
    • 2 部署准备
      • 2.1 准备工作
      • 2.2 部署DNS服务bind9
        • 2.2.1 安装配置DNS服务
        • 2.2.2 增加自定义域和对于配置
        • 2.2.3 启动并验证DNS服务
        • 2.2.4 所有主机修改网络配置
      • 2.3 自签发证书环境准备
        • 2.3.1 下载安装cfssl
        • 2.3.2 生成ca证书文件
        • 2.3.3 生成ca证书
      • 2.4 docker环境准备
        • 2.4.1 安装并配置docker
        • 2.4.2 启动docker
      • 2.5 部署harbor私有仓库
        • 2.5.1 下载并解压
        • 2.5.2 编辑配置文件
        • 2.5.3 使用docker-compose启动harbor
        • 2.5.4 使用dns解析harbor
        • 2.5.5 使用nginx反向代理harbor
        • 2.5.6 提前准备pauser/nginx基础镜像
      • 2.6 准备nginx文件服务
        • 2.6.1 创建文件访问
        • 2.6.2 添加域名解析
    • 3 部署master节点-etcd服务
      • 3.1 部署etcd集群
        • 3.1.1 创建生成CA证书的JSON配置文件
        • 3.1.3.创建生成自签发请求(csr)的json配置文件
        • 3.1.4.生成etcd证书文件
      • 3.2 安装启动etcd集群
        • 3.2.1 创建etcd用户和安装软件
        • 3.2.2 创建目录,拷贝证书文件
        • 3.2.3 创建etcd服务启动脚本
        • 3.2.4 使用supervisor启动etcd
        • 3.2.5 部署启动集群其他机器
        • 3.2.6 检查集群状态
    • 4 部署mater节点 kube-apiserver服务
      • 4.1 签发client端证书
        • 4.1.1 创建生成证书csr的json配置文件
        • 4.1.2 生成client证书文件
      • 4.2 签发kube-apiserver证书
        • 4.2.1 创建生成证书csr的json配置文件
        • 4.2.2 生成kube-apiserver证书文件
      • 4.3 下载安装kube-apiserver
      • 4.4 部署apiserver服务
        • 4.4.1 拷贝证书文件
        • 4.4.2 创建audit配置
        • 4.4.3 创建apiserver启动脚本
        • 4.4.4 创建supervisor启动apiserver的配置
        • 4.4.5 启动apiserver服务并检查
        • 4.4.6 部署启动所有apiserver机器
      • 4.5 部署controller-manager服务
        • 4.5.1 创建controller-manager启动脚本
        • 4.5.2 创建supervisor配置
        • 4.5.3 启动服务并检查
        • 4.5.4 部署启动所有集群
      • 4.6 部署kube-scheduler服务
        • 4.6.1 创建启动脚本
        • 4.6.2 创建supervisor配置
        • 4.6.3 启动服务并检查
        • 4.6.4 部署启动所有集群
      • 4.7 检查master节点部署情况
    • 5 部署4层反代去代理apiserver
      • 5.1 部署nginx四层反代
        • 5.1.1 yum安装程序
        • 5.1.2 配置NGINX
        • 5.1.3 启动nginx
      • 5.2 配置keepalived
        • 5.2.1 创建端口监测脚本
        • 5.2.2 创建keepalived主配置文件
        • 5.2.3 创建keepalived从配置文件
        • 5.3.4 启动keepalived并验证
    • 6 部署node节点
      • 6.1 签发kubelet证书
        • 6.1.1 创建生成证书csr的json配置文件
        • 6.1.2 生成kubelet证书文件
      • 6.2 创建kubelet服务
        • 6.2.1 拷贝证书至node节点
        • 6.2.2 创建kubelet配置
        • 6.2.3 创建k8s-node.yaml配置文件
        • 6.2.4 应用资源配置
        • 6.2.5 创建kubelet启动脚本
        • 6.2.6 创建supervisor配置
        • 6.2.7 启动服务并检查
        • 6.2.8 部署其他node节点
        • 6.2.9 检查所有节点并给节点打上标签
      • 6.3 创建kube-proxy服务
        • 6.3.1 签发kube-proxy证书
        • 6.3.2 拷贝证书文件至各节点
        • 6.3.3 创建kube-proxy配置
        • 6.3.4 加载ipvs模块以备kube-proxy启动用
        • 6.3.5 创建kube-proxy启动脚本
        • 6.3.6 创建kube-proxy的supervisor配置
        • 6.3.7 启动服务并检查
        • 6.3.8 部署所有节点
    • 7 验证kubernetes集群
      • 7.1 在任意一个节点上创建一个资源配置清单
      • 7.2 应用资源配置,并检查
        • 7.2.1 应用资源配置
        • 7.2.2 在另一台node节点上检查
        • 7.2.3 查看kubernetes是否搭建好

          1 部署架构

          1.1 架构图

          K8S(01)二进制部署实践-1.15.5 - 图1
          架构说明:
  1. etcd至少3台组成一个高可用集群
  2. 两台proxy组成高可用代理对外提供VIP
  3. 两台机器共同承担master和node节点功能

  4. 运维主机非K8S套件,但为K8S服务

    1.2 安装方式选择

  5. Minikube 预览使用,仅供学习

  6. 二进制安装(生产首选,新手推荐)
  7. kubeadmin安装
    简单,用k8s跑k8s自己,熟手推荐
    新手不推荐的原因是容易知其然不知其所以然
    出问题后找不到解决办法

    2 部署准备

    2.1 准备工作

    准备5台2C/2g/50g虚拟机,网络10.4.7.0/24
    预装centos7.4,做完基础优化
    安装部署bind9,部署自建DNS系统
    准备自签证书环境
    安装部署docker和harbor仓库
    机器列表
主机名 IP地址 用途
hdss7-11 10.4.7.11 proxy1
hdss7-12 10.4.7.12 proxy2
hdss7-21 10.4.7.21 master1
hdss7-22 10.4.7.22 master2
hdss7-200 10.4.7.200 运维主机

基本部署软件

  1. [root@hdss7-11 ~]# hostname
  2. hdss7-11
  3. [root@hdss7-11 ~]# getenforce 
  4. Disabled
  5. [root@hdss7-11 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0 
  6. TYPE=Ethernet
  7. BOOTPROTO=none
  8. NAME=eth0
  9. DEVICE=eth0
  10. ONBOOT=yes
  11. IPADDR=10.4.7.11
  12. NETMASK=255.255.255.0
  13. GATEWAY=10.4.7.254
  14. DNS1=10.4.7.254
  15. [root@hdss7-11 ~]# yum install wget net-tools telnet tree nmap sysstat lrzsz dos2unix -y

2.2 部署DNS服务bind9

2.2.1 安装配置DNS服务

7.11上部署bind的DNS服务

  1. yum install bind bind-utils -y

修改并校验配置文件

  1. [root@hdss7-11 ~]# vim /etc/named.conf
  2. listen-on port 53 { 10.4.7.11; }; 
  3. allow-query     { any; };
  4. forwarders      { 10.4.7.254; }; #上一层DNS地址(网关或公网DNS)
  5. recursion yes;
  6. dnssec-enable no;
  7. dnssec-validation no
  8. [root@hdss7-11 ~]# named-checkconf

K8S(01)二进制部署实践-1.15.5 - 图2

2.2.2 增加自定义域和对于配置

在域配置中增加自定义域

  1. cat >>/etc/named.rfc1912.zones <<'EOF'
  2. # 添加自定义主机域
  3. zone "host.com" IN {
  4.         type  master;
  5.         file  "host.com.zone";
  6.         allow-update { 10.4.7.11; };
  7. };
  8. # 添加自定义业务域
  9. zone "zq.com" IN {
  10.         type  master;
  11.         file  "zq.com.zone";
  12.         allow-update { 10.4.7.11; };
  13. };
  14. EOF

host.com和zq.com都是我们自定义的域名,一般用host.com做为主机域 zq.com为业务域,业务不同可以配置多个

为自定义域host.com创建配置文件

  1. cat >/var/named/host.com.zone <<'EOF'
  2. $ORIGIN host.com.
  3. $TTL 600    ; 10 minutes
  4. @       IN SOA  dns.host.com. dnsadmin.host.com. (
  5.                 2020041601 ; serial
  6.                 10800      ; refresh (3 hours)
  7.                 900        ; retry (15 minutes)
  8.                 604800     ; expire (1 week)
  9.                 86400      ; minimum (1 day)
  10.                 )
  11.             NS   dns.host.com.
  12. $TTL 60 ; 1 minute
  13. dns                A    10.4.7.11
  14. HDSS7-11           A    10.4.7.11
  15. HDSS7-12           A    10.4.7.12
  16. HDSS7-21           A    10.4.7.21
  17. HDSS7-22           A    10.4.7.22
  18. HDSS7-200          A    10.4.7.200
  19. EOF

为自定义域zq.com创建配置文件

  1. cat >/var/named/zq.com.zone <<'EOF'
  2. $ORIGIN zq.com.
  3. $TTL 600    ; 10 minutes
  4. @       IN SOA  dns.zq.com. dnsadmin.zq.com. (
  5.                 2020041601 ; serial
  6.                 10800      ; refresh (3 hours)
  7.                 900        ; retry (15 minutes)
  8.                 604800     ; expire (1 week)
  9.                 86400      ; minimum (1 day)
  10.                 )
  11.             NS   dns.zq.com.
  12. $TTL 60 ; 1 minute
  13. dns                A    10.4.7.11
  14. EOF

host.com域用于主机之间通信,所以要先增加上所有主机 zq.com域用于后面的业务解析用,因此不需要先添加主机

2.2.3 启动并验证DNS服务

再次检查配置并启动dns服务

  1. [root@hdss7-11 ~]# named-checkconf 
  2. [root@hdss7-11 ~]# systemctl start named
  3. [root@hdss7-11 ~]# ss -lntup|grep 53
  4. udp    UNCONN     0      0      10.4.7.11:53
  5. udp    UNCONN     0      0      :::53
  6. tcp    LISTEN     0      10     10.4.7.11:53
  7. tcp    LISTEN     0      128    127.0.0.1:953
  8. tcp    LISTEN     0      10     :::53
  9. tcp    LISTEN     0      128    ::1:953
  10. # 验证结果
  11. [root@hdss7-11 ~]# dig -t A hdss7-11.host.com @10.4.7.11 +short
  12. 10.4.7.11
  13. [root@hdss7-11 ~]# dig -t A hdss7-21.host.com @10.4.7.11 +short
  14. 10.4.7.21

2.2.4 所有主机修改网络配置

5台K8S主机都需要按如下方式修改网络配置

  1. # 修改dns并添加搜索域
  2. sed -i 's#^DNS.*#DNS1=10.4.7.11#g' /etc/sysconfig/network-scripts/ifcfg-eth0
  3. echo "search=host.com" >>/etc/sysconfig/network-scripts/ifcfg-eth0 
  4. systemctl restart network
  5. # 检查DNS配置
  6. ~]# cat /etc/resolv.conf
  7. # Generated by NetworkManager
  8. search host.com
  9. nameserver 10.4.7.11
  10. ~]# dig -t A hdss7-21.host.com +short
  11. 10.4.7.21
  12. # 一定记得检查dns配置文件中是否有search信息

windows宿主机也要改

  1. wmnet8网卡更改DNS10.4.7.11
  2. # ping通才行,否则检查
  3. ping hdss7-200.host.com

2.3 自签发证书环境准备

操作在7.200这个运维机上完成

2.3.1 下载安装cfssl

  1. wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/bin/cfssl
  2. wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/bin/cfssl-json
  3. wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/bin/cfssl-certinfo
  4. chmod +x /usr/bin/cfssl*

2.3.2 生成ca证书文件

  1. mkdir /opt/certs
  2. cat >/opt/certs/ca-csr.json <<EOF
  3. {
  4.     "CN": "zqcd",
  5.     "hosts": [
  6.     ],
  7.     "key": {
  8.         "algo": "rsa",
  9.         "size": 2048
  10.     },
  11.     "names": [
  12.         {
  13.             "C": "CN",
  14.             "ST": "chengdu",
  15.             "L": "chengdu",
  16.             "O": "zq",
  17.             "OU": "ops"
  18.         }
  19.     ],
  20.     "ca": {
  21.         "expiry": "175200h"
  22.     }
  23. }
  24. EOF

CN: Common Name,浏览器使用该字段验证网站是否合法,一般写的是域名。非常重要。浏览器使用该字段验证网站是否合法 C: Country, 国家 ST: State,州,省 L: Locality,地区,城市 O: Organization Name,组织名称,公司名称 OU: Organization Unit Name,组织单位名称,公司部门

2.3.3 生成ca证书

  1. cd /opt/certs
  2. cfssl gencert -initca ca-csr.json | cfssl-json -bare ca
  3. [root@hdss7-200 certs]# ll
  4. total 16
  5. -rw-r--r-- 1 root root  989 Apr 16 20:53 cacsr
  6. -rw-r--r-- 1 root root  324 Apr 16 20:52 ca-csr.json
  7. -rw------- 1 root root 1679 Apr 16 20:53 ca-key.pem
  8. -rw-r--r-- 1 root root 1330 Apr 16 20:53 ca.pem

2.4 docker环境准备

2.4.1 安装并配置docker

  1. curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun
  2. mkdir /etc/docker/
  3. cat >/etc/docker/daemon.json <<EOF
  4. {
  5.   "graph": "/data/docker", 
  6.   "storage-driver": "overlay2",
  7.   "insecure-registries": ["registry.access.redhat.com","quay.io","harbor.zq.com"],
  8.   "registry-mirrors": ["https://q2gr04ke.mirror.aliyuncs.com"],
  9.   "bip": "172.7.21.1/24",
  10.   "exec-opts": ["native.cgroupdriver=systemd"],
  11.   "live-restore": true
  12. }
  13. EOF

注意:bip要根据宿主机ip变化 hdss7-21.host.com bip 172.7.21.1/24 hdss7-22.host.com bip 172.7.22.1/24 hdss7-200.host.com bip 172.7.200.1/24

2.4.2 启动docker

  1. mkdir -p /data/docker
  2. systemctl start docker
  3. systemctl enable docker
  4. docker --version

2.5 部署harbor私有仓库

下载地址:https://github.com/goharbor/harbor/releases/download/v1.8.5/harbor-offline-installer-v1.8.5.tgz

2.5.1 下载并解压

  1. tar xf harbor-offline-installer-v1.8.5.tgz -C /opt/
  2. cd /opt/
  3. mv harbor/ harbor-v1.8.5
  4. ln -s /opt/harbor-v1.8.5/ /opt/harbor

2.5.2 编辑配置文件

  1. [root@hdss7-200 opt]# vi /opt/harbor/harbor.yml
  2. # 以下是修改项,手动在配置文件中更改
  3. hostname: harbor.zq.com
  4. http:
  5.   port: 180
  6.  harbor_admin_password:Harbor12345
  7. data_volume: /data/harbor
  8. log:
  9.     level:  info
  10.     rotate_count:  50
  11.     rotate_size:200M
  12.     location: /data/harbor/logs
  13. [root@hdss7-200 opt]# mkdir -p /data/harbor/logs

2.5.3 使用docker-compose启动harbor

  1. [root@hdss7-200 opt]cd /opt/harbor/
  2. yum install docker-compose -y
  3. sh /opt/harbor/install.sh 
  4. docker-compose ps
  5. docker ps -a

2.5.4 使用dns解析harbor

7.11DNS服务上操作

  1. [root@hdss7-11 ~]# vi /var/named/zq.com.zone
  2. 2020032002 ; serial   #每次修改DNS解析后,都要滚动此ID
  3. harbor             A    10.4.7.200
  4. [root@hdss7-11 ~]# systemctl restart named
  5. [root@hdss7-11 ~]# dig -t A harbor.zq.com +short
  6. 10.4.7.200

2.5.5 使用nginx反向代理harbor

回到7.200运维机上操作

  1. [root@hdss7-200 harbor]# yum install nginx -y
  2. [root@hdss7-200 harbor]# vi /etc/nginx/conf.d/harbor.zq.com.conf
  3. server {
  4.     listen       80;
  5.     server_name  harbor.zq.com;
  6.     client_max_body_size 1000m;
  7.     location / {
  8.         proxy_pass http://127.0.0.1:180;
  9.     }
  10. }
  11. [root@hdss7-200 harbor]# nginx -t
  12. [root@hdss7-200 harbor]# systemctl start nginx
  13. [root@hdss7-200 harbor]# systemctl enable nginx

浏览器输入:harbor.zq.com 用户名:admin 密码:Harbor12345 新建项目:public 访问级别:公开

2.5.6 提前准备pauser/nginx基础镜像

pauser镜像是k8s启动pod时,预先用来创建相关资源(如名称空间)的
nginx镜像是k8s部署好以后,我们测试pod创建所用的

  1. docker login harbor.zq.com -uadmin -pHarbor12345
  2. docker pull kubernetes/pause
  3. docker pull nginx:1.17.9
  4. docker tag kubernetes/pause:latest harbor.zq.com/public/pause:latest
  5. docker tag nginx:1.17.9 harbor.zq.com/public/nginx:v1.17.9
  6. docker push harbor.zq.com/public/pause:latest
  7. docker push harbor.zq.com/public/nginx:v1.17.9

2.6 准备nginx文件服务

创建一个nginx虚拟主机,用来提供文件访问访问,主要依赖nginx的autoindex属性

2.6.1 创建文件访问

7.200

  1. # 创建配置
  2. cat >/etc/nginx/conf.d/k8s-yaml.zq.com.conf <<EOF
  3. server {
  4.     listen       80;
  5.     server_name  k8s-yaml.zq.com;
  6.     location / {
  7.         autoindex on;
  8.         default_type text/plain;
  9.         root /data/k8s-yaml;
  10.     }
  11. }
  12. EOF
  13. # 启动nginx
  14. mkdir -p /data/k8s-yaml/coredns
  15. nginx -t
  16. nginx -s reload

2.6.2 添加域名解析

7.11bind9域名服务器上,增加DNS记录

  1. vi /var/named/zq.com.zone
  2. # 在最后添加一条解析记录
  3. k8s-yaml           A    10.4.7.200
  4. # 同时滚动serial为
  5. @               IN SOA  dns.zq.com. dnsadmin.zq.com. (
  6.                                 2019061803 ; serial

重启服务并验证:

  1. systemctl restart named
  2. [root@hdss7-11 ~]# dig -t A k8s-yaml.zq.com +short
  3. 10.4.7.200

3 部署master节点-etcd服务

3.1 部署etcd集群

分别在12/21/22 上安装ectd服务,11节点作为备选节点

3.1.1 创建生成CA证书的JSON配置文件

7.200上操作
一个配置里面包含了server端,clinet端和双向(peer)通信所需要的配置,后面创建证书的时候会传入不同的参数调用不同的配置

  1. cat >/opt/certs/ca-config.json <<EOF
  2. {
  3.     "signing": {
  4.         "default": {
  5.             "expiry": "175200h"
  6.         },
  7.         "profiles": {
  8.             "server": {
  9.                 "expiry": "175200h",
  10.                 "usages": [
  11.                     "signing",
  12.                     "key encipherment",
  13.                     "server auth"
  14.                 ]
  15.             },
  16.             "client": {
  17.                 "expiry": "175200h",
  18.                 "usages": [
  19.                     "signing",
  20.                     "key encipherment",
  21.                     "client auth"
  22.                 ]
  23.             },
  24.             "peer": {
  25.                 "expiry": "175200h",
  26.                 "usages": [
  27.                     "signing",
  28.                     "key encipherment",
  29.                     "server auth",
  30.                     "client auth"
  31.                 ]
  32.             }
  33.         }
  34.     }
  35. } 
  36. EOF

证书时间统一为10年,不怕过期 证书类型 client certificate:客户端使用,用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端 server certificate:服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver peer certificate:双向证书,用于etcd集群成员间通信

3.1.3.创建生成自签发请求(csr)的json配置文件

注意:
需要将所有可能用来部署etcd的机器,都加入到hosts列表中
否则后期重新加入不在列表中的机器,需要更换所有etcd服务的证书

  1. cat >/opt/certs/etcd-peer-csr.json <<EOF
  2. {
  3.     "CN": "k8s-etcd",
  4.     "hosts": [
  5.         "10.4.7.11",
  6.         "10.4.7.12",
  7.         "10.4.7.21",
  8.         "10.4.7.22"
  9.     ],
  10.     "key": {
  11.         "algo": "rsa",
  12.         "size": 2048
  13.     },
  14.     "names": [
  15.         {
  16.             "C": "CN",
  17.             "ST": "beijing",
  18.             "L": "beijing",
  19.             "O": "zq",
  20.             "OU": "ops"
  21.         }
  22.     ]
  23. }
  24. EOF

3.1.4.生成etcd证书文件

  1. cd /opt/certs/
  2. cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
  3.   -config=ca-config.json -profile=peer \
  4.   etcd-peer-csr.json |cfssl-json -bare etcd-peer
  5. [root@hdss7-200 certs]# ll
  6. total 36
  7. -rw-r--r-- 1 root root  837 Apr 19 15:35 ca-config.json
  8. -rw-r--r-- 1 root root  989 Apr 16 20:53 ca.csr
  9. -rw-r--r-- 1 root root  324 Apr 16 20:52 ca-csr.json
  10. -rw------- 1 root root 1679 Apr 16 20:53 ca-key.pem
  11. -rw-r--r-- 1 root root 1330 Apr 16 20:53 ca.pem
  12. -rw-r--r-- 1 root root 1062 Apr 19 15:35 etcd-peer.csr
  13. -rw-r--r-- 1 root root  363 Apr 19 15:35 etcd-peer-csr.json
  14. -rw------- 1 root root 1679 Apr 19 15:35 etcd-peer-key.pem
  15. -rw-r--r-- 1 root root 1419 Apr 19 15:35 etcd-peer.pem

3.2 安装启动etcd集群

7.12做为演示,另外2台机器大同小异,不相同的配置都会特别说明

3.2.1 创建etcd用户和安装软件

etcd地址:https://github.com/etcd-io/etcd/tags
建议使用3.1版本,更高版本有问题

  1. useradd -s /sbin/nologin -M etcd
  2. wget https://github.com/etcd-io/etcd/archive/v3.1.20.tar.gz
  3. tar xf etcd-v3.1.20-linux-amd64.tar.gz -C /opt/
  4. cd /opt/
  5. mv etcd-v3.1.20-linux-amd64/ etcd-v3.1.20
  6. ln -s /opt/etcd-v3.1.20/ /opt/etcd

3.2.2 创建目录,拷贝证书文件

创建证书目录、数据目录、日志目录

  1. mkdir -p /opt/etcd/certs /data/etcd /data/logs/etcd-server
  2. chown -R etcd.etcd /opt/etcd-v3.1.20/
  3. chown -R etcd.etcd /data/etcd/
  4. chown -R etcd.etcd /data/logs/etcd-server/

拷贝生成的证书文件

  1. cd /opt/etcd/certs
  2. scp hdss7-200:/opt/certs/ca.pem .
  3. scp hdss7-200:/opt/certs/etcd-peer.pem .
  4. scp hdss7-200:/opt/certs/etcd-peer-key.pem .
  5. chown -R etcd.etcd /opt/etcd/certs

也可以先创建一个NFS,直接从NFS中拷贝

3.2.3 创建etcd服务启动脚本

参数说明: https://blog.csdn.net/kmhysoft/article/details/71106995

  1. cat >/opt/etcd/etcd-server-startup.sh <<'EOF'
  2. #!/bin/sh
  3. ./etcd \
  4.     --name etcd-server-7-12 \
  5.     --data-dir /data/etcd/etcd-server \
  6.     --listen-peer-urls https://10.4.7.12:2380 \
  7.     --listen-client-urls https://10.4.7.12:2379,http://127.0.0.1:2379 \
  8.     --quota-backend-bytes 8000000000 \
  9.     --initial-advertise-peer-urls https://10.4.7.12:2380 \
  10.     --advertise-client-urls https://10.4.7.12:2379,http://127.0.0.1:2379 \
  11.     --initial-cluster  etcd-server-7-12=https://10.4.7.12:2380,etcd-server-7-21=https://10.4.7.21:2380,etcd-server-7-22=https://10.4.7.22:2380 \
  12.     --ca-file ./certs/ca.pem \
  13.     --cert-file ./certs/etcd-peer.pem \
  14.     --key-file ./certs/etcd-peer-key.pem \
  15.     --client-cert-auth  \
  16.     --trusted-ca-file ./certs/ca.pem \
  17.     --peer-ca-file ./certs/ca.pem \
  18.     --peer-cert-file ./certs/etcd-peer.pem \
  19.     --peer-key-file ./certs/etcd-peer-key.pem \
  20.     --peer-client-cert-auth \
  21.     --peer-trusted-ca-file ./certs/ca.pem \
  22.     --log-output stdout
  23. EOF
  24. [root@hdss7-12 ~]# chmod +x /opt/etcd/etcd-server-startup.sh

注意:以上启动脚本,有几个配置项在每个服务器都有所不同

  1. --name    #节点名字
  2. --listen-peer-urls        #监听其他节点所用的地址
  3. --listen-client-urls    #监听etcd客户端的地址
  4. --initial-advertise-peer-urls    #与其他节点交互信息的地址
  5. --advertise-client-urls    #与etcd客户端交互信息的地址

3.2.4 使用supervisor启动etcd

安装supervisor软件

  1. yum install supervisor -y
  2. systemctl start supervisord
  3. systemctl enable supervisord

创建supervisor管理etcd的配置文件
配置说明参考: https://www.jianshu.com/p/53b5737534e8

  1. cat >/etc/supervisord.d/etcd-server.ini <<EOF
  2. [program:etcd-server]  ; 显示的程序名,类型my.cnf,可以有多个
  3. command=sh /opt/etcd/etcd-server-startup.sh
  4. numprocs=1             ; 启动进程数 (def 1)
  5. directory=/opt/etcd    ; 启动命令前切换的目录 (def no cwd)
  6. autostart=true         ; 是否自启 (default: true)
  7. autorestart=true       ; 是否自动重启 (default: true)
  8. startsecs=30           ; 服务运行多久判断为成功(def. 1)
  9. startretries=3         ; 启动重试次数 (default 3)
  10. exitcodes=0,2          ; 退出状态码 (default 0,2)
  11. stopsignal=QUIT        ; 退出信号 (default TERM)
  12. stopwaitsecs=10        ; 退出延迟时间 (default 10)
  13. user=etcd              ; 运行用户
  14. redirect_stderr=true   ; 是否重定向错误输出到标准输出(def false)
  15. stdout_logfile=/data/logs/etcd-server/etcd.stdout.log
  16. stdout_logfile_maxbytes=64MB  ; 日志文件大小 (default 50MB)
  17. stdout_logfile_backups=4      ; 日志文件滚动个数 (default 10)
  18. stdout_capture_maxbytes=1MB   ; 设定capture管道的大小(default 0)
  19. ;子进程还有子进程,需要添加这个参数,避免产生孤儿进程
  20. killasgroup=true
  21. stopasgroup=true
  22. EOF

启动etcd服务并检查

  1. supervisorctl update
  2. supervisorctl status
  3. netstat -lntup|grep etcd

3.2.5 部署启动集群其他机器

3.2.6 检查集群状态

  1. [root@hdss7-12 certs]# /opt/etcd/etcdctl cluster-health
  2. member 988139385f78284 is healthy: got healthy result from http://127.0.0.1:2379
  3. member 5a0ef2a004fc4349 is healthy: got healthy result from http://127.0.0.1:2379
  4. member f4a0cb0a765574a8 is healthy: got healthy result from http://127.0.0.1:2379
  5. [root@hdss7-12 certs]# /opt/etcd/etcdctl member list
  6. 988139385f78284: name=etcd-server-7-22 peerURLs=https://10.4.7.22:2380 clientURLs=http://127.0.0.1:2379,https://10.4.7.22:2379 isLeader=false
  7. 5a0ef2a004fc4349: name=etcd-server-7-21 peerURLs=https://10.4.7.21:2380 clientURLs=http://127.0.0.1:2379,https://10.4.7.21:2379 isLeader=false
  8. f4a0cb0a765574a8: name=etcd-server-7-12 peerURLs=https://10.4.7.12:2380 clientURLs=http://127.0.0.1:2379,https://10.4.7.12:2379 isLeader=true

4 部署mater节点 kube-apiserver服务

下载页面: https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.15.md
下载地址:
https://dl.k8s.io/v1.15.5/kubernetes-server-linux-amd64.tar.gz
https://dl.k8s.io/v1.15.5/kubernetes-client-linux-amd64.tar.gz
https://dl.k8s.io/v1.15.5/kubernetes-node-linux-amd64.tar.gz

4.1 签发client端证书

证书签发都在7.200上操作
此证书的用途是apiserver和etcd之间通信所用

4.1.1 创建生成证书csr的json配置文件

  1. cat >/opt/certs/client-csr.json <<EOF
  2. {
  3.     "CN": "k8s-node",
  4.     "hosts": [
  5.     ],
  6.     "key": {
  7.         "algo": "rsa",
  8.         "size": 2048
  9.     },
  10.     "names": [
  11.         {
  12.             "C": "CN",
  13.             "ST": "beijing",
  14.             "L": "beijing",
  15.             "O": "zq",
  16.             "OU": "ops"
  17.         }
  18.     ]
  19. }
  20. EOF

4.1.2 生成client证书文件

  1. cfssl gencert \
  2.       -ca=ca.pem \
  3.       -ca-key=ca-key.pem \
  4.       -config=ca-config.json \
  5.       -profile=client \
  6.       client-csr.json |cfssl-json -bare client
  7. [root@hdss7-200 certs]# ll|grep client
  8. -rw-r--r-- 1 root root  993 Apr 20 21:30 client.csr
  9. -rw-r--r-- 1 root root  280 Apr 20 21:30 client-csr.json
  10. -rw------- 1 root root 1675 Apr 20 21:30 client-key.pem
  11. -rw-r--r-- 1 root root 1359 Apr 20 21:30 client.pem

4.2 签发kube-apiserver证书

此证书的用途是apiserver对外提供的服务的证书

4.2.1 创建生成证书csr的json配置文件

此配置中的hosts包含所有可能会部署apiserver的列表
其中10.4.7.10是反向代理的vip地址

  1. cat >/opt/certs/apiserver-csr.json <<EOF
  2. {
  3.     "CN": "k8s-apiserver",
  4.     "hosts": [
  5.         "127.0.0.1",
  6.         "192.168.0.1",
  7.         "kubernetes.default",
  8.         "kubernetes.default.svc",
  9.         "kubernetes.default.svc.cluster",
  10.         "kubernetes.default.svc.cluster.local",
  11.         "10.4.7.10",
  12.         "10.4.7.21",
  13.         "10.4.7.22",
  14.         "10.4.7.23"
  15.     ],
  16.     "key": {
  17.         "algo": "rsa",
  18.         "size": 2048
  19.     },
  20.     "names": [
  21.         {
  22.             "C": "CN",
  23.             "ST": "beijing",
  24.             "L": "beijing",
  25.             "O": "zq",
  26.             "OU": "ops"
  27.         }
  28.     ]
  29. }
  30. EOF

4.2.2 生成kube-apiserver证书文件

  1. cfssl gencert \
  2.       -ca=ca.pem \
  3.       -ca-key=ca-key.pem \
  4.       -config=ca-config.json \
  5.       -profile=server \
  6.       apiserver-csr.json |cfssl-json -bare apiserver
  7. [root@hdss7-200 certs]# ll|grep apiserver
  8. -rw-r--r-- 1 root root 1249 Apr 20 21:31 apiserver.csr
  9. -rw-r--r-- 1 root root  566 Apr 20 21:31 apiserver-csr.json
  10. -rw------- 1 root root 1675 Apr 20 21:31 apiserver-key.pem
  11. -rw-r--r-- 1 root root 1590 Apr 20 21:31 apiserver.pem

4.3 下载安装kube-apiserver

7.21为例

  1. # 上传并解压缩
  2. tar xf kubernetes-server-linux-amd64-v1.15.2.tar.gz  -C /opt
  3. cd /opt
  4. mv kubernetes/ kubernetes-v1.15.2
  5. ln -s /opt/kubernetes-v1.15.2/ /opt/kubernetes
  6. # 清理源码包和docker镜像
  7. cd /opt/kubernetes
  8. rm -rf kubernetes-src.tar.gz
  9. cd server/bin
  10. rm -f *.tar
  11. rm -f *_tag
  12. # 创建命令软连接到系统环境变量下
  13. ln -s /opt/kubernetes/server/bin/kubectl /usr/bin/kubectl

4.4 部署apiserver服务

4.4.1 拷贝证书文件

拷贝证书文件到/opt/kubernetes/server/bin/cert目录下

  1. # 创建目录
  2. mkdir -p /opt/kubernetes/server/bin/cert
  3. cd /opt/kubernetes/server/bin/cert
  4. # 拷贝三套证书
  5. scp hdss7-200:/opt/certs/ca.pem .
  6. scp hdss7-200:/opt/certs/ca-key.pem .
  7. scp hdss7-200:/opt/certs/client.pem .
  8. scp hdss7-200:/opt/certs/client-key.pem .
  9. scp hdss7-200:/opt/certs/apiserver.pem .
  10. scp hdss7-200:/opt/certs/apiserver-key.pem .

4.4.2 创建audit配置

audit日志审计规则配置是k8s要求必须要有得配置,可以不理解,直接用

  1. mkdir /opt/kubernetes/server/conf
  2. cat >/opt/kubernetes/server/conf/audit.yaml <<'EOF'
  3. apiVersion: audit.k8s.io/v1beta1 # This is required.
  4. kind: Policy
  5. # Don't generate audit events for all requests in RequestReceived stage.
  6. omitStages:
  7.   - "RequestReceived"
  8. rules:
  9.   # Log pod changes at RequestResponse level
  10.   - level: RequestResponse
  11.     resources:
  12.     - group: ""
  13.       # Resource "pods" doesn't match requests to any subresource of pods,
  14.       # which is consistent with the RBAC policy.
  15.       resources: ["pods"]
  16.   # Log "pods/log", "pods/status" at Metadata level
  17.   - level: Metadata
  18.     resources:
  19.     - group: ""
  20.       resources: ["pods/log", "pods/status"]
  21.   # Don't log requests to a configmap called "controller-leader"
  22.   - level: None
  23.     resources:
  24.     - group: ""
  25.       resources: ["configmaps"]
  26.       resourceNames: ["controller-leader"]
  27.   # Don't log watch requests by the "system:kube-proxy" on endpoints or services
  28.   - level: None
  29.     users: ["system:kube-proxy"]
  30.     verbs: ["watch"]
  31.     resources:
  32.     - group: "" # core API group
  33.       resources: ["endpoints", "services"]
  34.   # Don't log authenticated requests to certain non-resource URL paths.
  35.   - level: None
  36.     userGroups: ["system:authenticated"]
  37.     nonResourceURLs:
  38.     - "/api*" # Wildcard matching.
  39.     - "/version"
  40.   # Log the request body of configmap changes in kube-system.
  41.   - level: Request
  42.     resources:
  43.     - group: "" # core API group
  44.       resources: ["configmaps"]
  45.     # This rule only applies to resources in the "kube-system" namespace.
  46.     # The empty string "" can be used to select non-namespaced resources.
  47.     namespaces: ["kube-system"]
  48.   # Log configmap and secret changes in all other namespaces at the Metadata level.
  49.   - level: Metadata
  50.     resources:
  51.     - group: "" # core API group
  52.       resources: ["secrets", "configmaps"]
  53.   # Log all other resources in core and extensions at the Request level.
  54.   - level: Request
  55.     resources:
  56.     - group: "" # core API group
  57.     - group: "extensions" # Version of group should NOT be included.
  58.   # A catch-all rule to log all other requests at the Metadata level.
  59.   - level: Metadata
  60.     # Long-running requests like watches that fall under this rule will not
  61.     # generate an audit event in RequestReceived.
  62.     omitStages:
  63.       - "RequestReceived"
  64. EOF

4.4.3 创建apiserver启动脚本

  1. cat >/opt/kubernetes/server/bin/kube-apiserver.sh <<'EOF'
  2. #!/bin/bash
  3. ./kube-apiserver \
  4.   --apiserver-count 2 \
  5.   --audit-log-path /data/logs/kubernetes/kube-apiserver/audit-log \
  6.   --audit-policy-file ../conf/audit.yaml \
  7.   --authorization-mode RBAC \
  8.   --client-ca-file ./cert/ca.pem \
  9.   --requestheader-client-ca-file ./cert/ca.pem \
  10.   --enable-admission-plugins NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota \
  11.   --etcd-cafile ./cert/ca.pem \
  12.   --etcd-certfile ./cert/client.pem \
  13.   --etcd-keyfile ./cert/client-key.pem \
  14.   --etcd-servers https://10.4.7.12:2379,https://10.4.7.21:2379,https://10.4.7.22:2379 \
  15.   --service-account-key-file ./cert/ca-key.pem \
  16.   --service-cluster-ip-range 192.168.0.0/16 \
  17.   --service-node-port-range 3000-29999 \
  18.   --target-ram-mb=1024 \
  19.   --kubelet-client-certificate ./cert/client.pem \
  20.   --kubelet-client-key ./cert/client-key.pem \
  21.   --log-dir  /data/logs/kubernetes/kube-apiserver \
  22.   --tls-cert-file ./cert/apiserver.pem \
  23.   --tls-private-key-file ./cert/apiserver-key.pem \
  24.   --v 2
  25. EOF
  26. # 授权
  27. chmod +x /opt/kubernetes/server/bin/kube-apiserver.sh

4.4.4 创建supervisor启动apiserver的配置

安装supervisor软件

  1. yum install supervisor -y
  2. systemctl start supervisord
  3. systemctl enable supervisord
  1. cat >/etc/supervisord.d/kube-apiserver.ini <<EOF
  2. [program:kube-apiserver]      ; 显示的程序名,类似my.cnf,可以有多个
  3. command=sh /opt/kubernetes/server/bin/kube-apiserver.sh
  4. numprocs=1                    ; 启动进程数 (def 1)
  5. directory=/opt/kubernetes/server/bin
  6. autostart=true                ; 是否自启 (default: true)
  7. autorestart=true              ; 是否自动重启 (default: true)
  8. startsecs=30                  ; 服务运行多久判断为成功(def. 1)
  9. startretries=3                ; 启动重试次数 (default 3)
  10. exitcodes=0,2                 ; 退出状态码 (default 0,2)
  11. stopsignal=QUIT               ; 退出信号 (default TERM)
  12. stopwaitsecs=10               ; 退出延迟时间 (default 10)
  13. user=root                     ; 运行用户
  14. redirect_stderr=true          ; 重定向错误输出到标准输出(def false)
  15. stdout_logfile=/data/logs/kubernetes/kube-apiserver/apiserver.stdout.log
  16. stdout_logfile_maxbytes=64MB  ; 日志文件大小 (default 50MB)
  17. stdout_logfile_backups=4      ; 日志文件滚动个数 (default 10)
  18. stdout_capture_maxbytes=1MB   ; 设定capture管道的大小(default 0)
  19. ;子进程还有子进程,需要添加这个参数,避免产生孤儿进程
  20. killasgroup=true
  21. stopasgroup=true
  22. EOF

4.4.5 启动apiserver服务并检查

  1. mkdir -p /data/logs/kubernetes/kube-apiserver
  2. supervisorctl update
  3. supervisorctl status
  4. netstat -nltup|grep kube-api

4.4.6 部署启动所有apiserver机器

集群其他机器的部署,没有不同的地方,所以略

4.5 部署controller-manager服务

apiserve、controller-manager、kube-scheduler三个服务所需的软件在同一套压缩包里面的,因此后两个服务不需要在单独解包
而且这三个服务是在同一个主机上,互相之间通过[http://127.0.0.1](http://127.0.0.1),也不需要证书

4.5.1 创建controller-manager启动脚本

  1. cat >/opt/kubernetes/server/bin/kube-controller-manager.sh <<'EOF'
  2. #!/bin/sh
  3. ./kube-controller-manager \
  4.   --cluster-cidr 172.7.0.0/16 \
  5.   --leader-elect true \
  6.   --log-dir /data/logs/kubernetes/kube-controller-manager \
  7.   --master http://127.0.0.1:8080 \
  8.   --service-account-private-key-file ./cert/ca-key.pem \
  9.   --service-cluster-ip-range 192.168.0.0/16 \
  10.   --root-ca-file ./cert/ca.pem \
  11.   --v 2 
  12. EOF
  13. # 授权
  14. chmod +x /opt/kubernetes/server/bin/kube-controller-manager.sh

4.5.2 创建supervisor配置

  1. cat >/etc/supervisord.d/kube-conntroller-manager.ini <<EOF
  2. [program:kube-controller-manager] ; 显示的程序名
  3. command=sh /opt/kubernetes/server/bin/kube-controller-manager.sh
  4. numprocs=1                    ; 启动进程数 (def 1)
  5. directory=/opt/kubernetes/server/bin
  6. autostart=true                ; 是否自启 (default: true)
  7. autorestart=true              ; 是否自动重启 (default: true)
  8. startsecs=30                  ; 服务运行多久判断为成功(def. 1)
  9. startretries=3                ; 启动重试次数 (default 3)
  10. exitcodes=0,2                 ; 退出状态码 (default 0,2)
  11. stopsignal=QUIT               ; 退出信号 (default TERM)
  12. stopwaitsecs=10               ; 退出延迟时间 (default 10)
  13. user=root                     ; 运行用户
  14. redirect_stderr=true          ; 重定向错误输出到标准输出(def false)
  15. stdout_logfile=/data/logs/kubernetes/kube-controller-manager/controller.stdout.log
  16. stdout_logfile_maxbytes=64MB  ; 日志文件大小 (default 50MB)
  17. stdout_logfile_backups=4      ; 日志文件滚动个数 (default 10)
  18. stdout_capture_maxbytes=1MB   ; 设定capture管道的大小(default 0)
  19. ;子进程还有子进程,需要添加这个参数,避免产生孤儿进程
  20. killasgroup=true
  21. stopasgroup=true
  22. EOF

4.5.3 启动服务并检查

  1. mkdir -p /data/logs/kubernetes/kube-controller-manager
  2. supervisorctl update
  3. supervisorctl status

4.5.4 部署启动所有集群

没有不同的地方,所以略

4.6 部署kube-scheduler服务

4.6.1 创建启动脚本

  1. cat >/opt/kubernetes/server/bin/kube-scheduler.sh <<'EOF'
  2. #!/bin/sh
  3. ./kube-scheduler \
  4.   --leader-elect  \
  5.   --log-dir /data/logs/kubernetes/kube-scheduler \
  6.   --master http://127.0.0.1:8080 \
  7.   --v 2
  8. EOF
  9. # 授权
  10. chmod +x  /opt/kubernetes/server/bin/kube-scheduler.sh

4.6.2 创建supervisor配置

  1. cat >/etc/supervisord.d/kube-scheduler.ini <<EOF
  2. [program:kube-scheduler]
  3. command=sh /opt/kubernetes/server/bin/kube-scheduler.sh
  4. numprocs=1                    ; 启动进程数 (def 1)
  5. directory=/opt/kubernetes/server/bin
  6. autostart=true                ; 是否自启 (default: true)
  7. autorestart=true              ; 是否自动重启 (default: true)
  8. startsecs=30                  ; 服务运行多久判断为成功(def. 1)
  9. startretries=3                ; 启动重试次数 (default 3)
  10. exitcodes=0,2                 ; 退出状态码 (default 0,2)
  11. stopsignal=QUIT               ; 退出信号 (default TERM)
  12. stopwaitsecs=10               ; 退出延迟时间 (default 10)
  13. user=root                     ; 运行用户
  14. redirect_stderr=true          ; 重定向错误输出到标准输出(def false)
  15. stdout_logfile=/data/logs/kubernetes/kube-scheduler/scheduler.stdout.log
  16. stdout_logfile_maxbytes=64MB  ; 日志文件大小 (default 50MB)
  17. stdout_logfile_backups=4      ; 日志文件滚动个数 (default 10)
  18. stdout_capture_maxbytes=1MB   ; 设定capture管道的大小(default 0)
  19. ;子进程还有子进程,需要添加这个参数,避免产生孤儿进程
  20. killasgroup=true
  21. stopasgroup=true
  22. EOF

4.6.3 启动服务并检查

  1. mkdir -p /data/logs/kubernetes/kube-scheduler
  2. supervisorctl update
  3. supervisorctl status

4.6.4 部署启动所有集群

没有不同的地方,所以略

4.7 检查master节点部署情况

  1. [root@hdss7-21 bin]# kubectl get cs
  2. NAME                 STATUS    MESSAGE              ERROR
  3. controller-manager   Healthy   ok                   
  4. scheduler            Healthy   ok                   
  5. etcd-1               Healthy   {"health": "true"}   
  6. etcd-0               Healthy   {"health": "true"}   
  7. etcd-2               Healthy   {"health": "true"}

5 部署4层反代去代理apiserver

master节点上的3套服务部署完成后,需要使用反向代理去统一两个apiservser的对外端口
这里使用nginx+keepalived的高可用架构部署在7.117.12两台机器上

5.1 部署nginx四层反代

使用7443端口代理apiserver的6443端口,使用keepalived管理VIP10.4.7.10

5.1.1 yum安装程序

  1. yum install nginx keepalived -y

5.1.2 配置NGINX

四层代理不能写在默认的conf.d目录下,因为这个目录默认是数据http模块的include
所以要么把四层代理写到主配置文件最下面,要么模仿七层代理创建一个四层代理文件夹

  1. # 1. 在nginx配置文件中增加四层代理配置文件夹
  2. mkdir /etc/nginx/tcp.d/
  3. echo 'include /etc/nginx/tcp.d/*.conf;' >>/etc/nginx/nginx.conf
  4. # 写入代理配置
  5. cat >/etc/nginx/tcp.d/apiserver.conf <<EOF
  6. stream {
  7.     upstream kube-apiserver {
  8.         server 10.4.7.21:6443     max_fails=3 fail_timeout=30s;
  9.         server 10.4.7.22:6443     max_fails=3 fail_timeout=30s;
  10.     }
  11.     server {
  12.         listen 7443;
  13.         proxy_connect_timeout 2s;
  14.         proxy_timeout 900s;
  15.         proxy_pass kube-apiserver;
  16.     }
  17. }
  18. EOF

5.1.3 启动nginx

  1. nginx -t
  2. systemctl start nginx
  3. systemctl enable nginx

5.2 配置keepalived

5.2.1 创建端口监测脚本

创建脚本

  1. cat >/etc/keepalived/check_port.sh <<'EOF'
  2. #!/bin/bash
  3. #keepalived 监控端口脚本
  4. #使用方法:等待keepalived传入端口参数,检查改端口是否存在并返回结果
  5. CHK_PORT=$1
  6. if [ -n "$CHK_PORT" ];then
  7.         PORT_PROCESS=`ss -lnt|grep $CHK_PORT|wc -l`
  8.         if [ $PORT_PROCESS -eq 0 ];then
  9.                 echo "Port $CHK_PORT Is Not Used,End."
  10.                 exit 1
  11.         fi
  12. else
  13.         echo "Check Port Cant Be Empty!"
  14. fi
  15. EOF

给与脚本执行权限

  1. chmod +x /etc/keepalived/check_port.sh

5.2.2 创建keepalived主配置文件

主机定义为10.4.7.11,从机定义为10.4.7.12
注意:主配置文件添加了nopreempt参数,非抢占式,意味着VIP发生漂移后,主重新启动后也不会夺回VIP,目的是为了稳定性

  1. cat >/etc/keepalived/keepalived.conf <<'EOF'
  2. ! Configuration File for keepalived
  3. global_defs {
  4.    router_id 10.4.7.11
  5. }
  6. vrrp_script chk_nginx {
  7.     script "/etc/keepalived/check_port.sh 7443"
  8.     interval 2
  9.     weight -20
  10. }
  11. vrrp_instance VI_1 {
  12.     state MASTER
  13.     interface eth0
  14.     virtual_router_id 251
  15.     priority 100
  16.     advert_int 1
  17.     mcast_src_ip 10.4.7.11
  18.     nopreempt
  19.     authentication {
  20.         auth_type PASS
  21.         auth_pass 11111111
  22.     }
  23.     track_script {
  24.          chk_nginx
  25.     }
  26.     virtual_ipaddress {
  27.         10.4.7.10
  28.     }
  29. }
  30. EOF

5.2.3 创建keepalived从配置文件

  1. cat >/etc/keepalived/keepalived.conf <<'EOF'
  2. ! Configuration File for keepalived
  3. global_defs {
  4.     router_id 10.4.7.12
  5. }
  6. vrrp_script chk_nginx {
  7.     script "/etc/keepalived/check_port.sh 7443"
  8.     interval 2
  9.     weight -20
  10. }
  11. vrrp_instance VI_1 {
  12.     state BACKUP
  13.     interface eth0
  14.     virtual_router_id 251
  15.     mcast_src_ip 10.4.7.12
  16.     priority 90
  17.     advert_int 1
  18.     authentication {
  19.         auth_type PASS
  20.         auth_pass 11111111
  21.     }
  22.     track_script {
  23.         chk_nginx
  24.     }
  25.     virtual_ipaddress {
  26.         10.4.7.10
  27.     }
  28. }
  29. EOF

5.3.4 启动keepalived并验证

  1. systemctl start  keepalived
  2. systemctl enable keepalived
  3. ip addr|grep '10.4.7.10'

6 部署node节点

6.1 签发kubelet证书

签发证书,都在7.200

6.1.1 创建生成证书csr的json配置文件

  1. cd /opt/certs/
  2. cat >/opt/certs/kubelet-csr.json <<EOF
  3. {
  4.     "CN": "k8s-kubelet",
  5.     "hosts": [
  6.     "127.0.0.1",
  7.     "10.4.7.10",
  8.     "10.4.7.21",
  9.     "10.4.7.22",
  10.     "10.4.7.23",
  11.     "10.4.7.24",
  12.     "10.4.7.25",
  13.     "10.4.7.26",
  14.     "10.4.7.27",
  15.     "10.4.7.28"
  16.     ],
  17.     "key": {
  18.         "algo": "rsa",
  19.         "size": 2048
  20.     },
  21.     "names": [
  22.         {
  23.             "C": "CN",
  24.             "ST": "beijing",
  25.             "L": "beijing",
  26.             "O": "zq",
  27.             "OU": "ops"
  28.         }
  29.     ]
  30. }
  31. EOF

6.1.2 生成kubelet证书文件

  1. cfssl gencert \
  2.       -ca=ca.pem \
  3.       -ca-key=ca-key.pem \
  4.       -config=ca-config.json \
  5.       -profile=server \
  6.       kubelet-csr.json | cfssl-json -bare kubelet
  7. [root@hdss7-200 certs]# ll |grep kubelet
  8. -rw-r--r-- 1 root root 1115 Apr 22 22:17 kubelet.csr
  9. -rw-r--r-- 1 root root  452 Apr 22 22:17 kubelet-csr.json
  10. -rw------- 1 root root 1679 Apr 22 22:17 kubelet-key.pem
  11. -rw-r--r-- 1 root root 1460 Apr 22 22:17 kubelet.pem

6.2 创建kubelet服务

6.2.1 拷贝证书至node节点

  1. cd /opt/kubernetes/server/bin/cert
  2. scp hdss7-200:/opt/certs/kubelet.pem .
  3. scp hdss7-200:/opt/certs/kubelet-key.pem .

6.2.2 创建kubelet配置

创建kubelet的配置文件kubelet.kubeconfig比较麻烦,需要四步操作才能完成
(1) set-cluster(设置集群参数)
使用ca证书创建集群myk8s,使用的apiserver信息是10.4.7.10这个VIP

  1. cd /opt/kubernetes/server/conf/
  2. kubectl config set-cluster myk8s \
  3.     --certificate-authority=/opt/kubernetes/server/bin/cert/ca.pem \
  4.     --embed-certs=true \
  5.     --server=https://10.4.7.10:7443 \
  6.     --kubeconfig=kubelet.kubeconfig

(2) set-credentials(设置客户端认证参数)
使用client证书创建用户k8s-node

  1. kubectl config set-credentials k8s-node \
  2.     --client-certificate=/opt/kubernetes/server/bin/cert/client.pem \
  3.     --client-key=/opt/kubernetes/server/bin/cert/client-key.pem \
  4.     --embed-certs=true \
  5.     --kubeconfig=kubelet.kubeconfig

(3) set-context(绑定namespace)
创建myk8s-context,关联集群myk8s和用户k8s-node

  1. kubectl config set-context myk8s-context \
  2.     --cluster=myk8s \
  3.     --user=k8s-node \
  4.     --kubeconfig=kubelet.kubeconfig

(4) use-context
使用生成的配置文件向apiserver注册,注册信息会写入etcd,所以只需要注册一次即可

  1. kubectl config use-context myk8s-context --kubeconfig=kubelet.kubeconfig

(5) 查看生成的kubelet.kubeconfig

  1. [root@hdss7-21 conf]# cat kubelet.kubeconfig 
  2. apiVersion: v1
  3. clusters:
  4. - cluster:
  5.     certificate-authority-data: xxxxxxxx
  6.     server: https://10.4.7.10:7443
  7.   name: myk8s
  8. contexts:
  9. - context:
  10.     cluster: myk8s
  11.     user: k8s-node
  12.   name: myk8s-context
  13. current-context: myk8s-context
  14. kind: Config
  15. preferences: {}
  16. users:
  17. - name: k8s-node
  18.   user:
  19.     client-certificate-data: xxxxxxxx
  20.     client-key-data: xxxxxxxx

可以看出来,这个配置文件里面包含了集群名字,用户名字,集群认证的公钥,用户的公私钥等

6.2.3 创建k8s-node.yaml配置文件

  1. cat >/opt/kubernetes/server/conf/k8s-node.yaml <<EOF
  2. apiVersion: rbac.authorization.k8s.io/v1
  3. kind: ClusterRoleBinding
  4. metadata:
  5.   name: k8s-node
  6. roleRef:
  7.   apiGroup: rbac.authorization.k8s.io
  8.   kind: ClusterRole
  9.   name: system:node
  10. subjects:
  11. - apiGroup: rbac.authorization.k8s.io
  12.   kind: User
  13.   name: k8s-node
  14. EOF

使用RBAC鉴权规则,创建了一个ClusterRoleBinding的资源 此资源中定义了一个userk8s-nodek8s-node用户绑定了角色ClusterRole,角色名为system:node 使这个用户具有成为集群运算节点角色的权限 由于这个用户名,同时也是kubeconfig中指定的用户, 所以通过kubeconfig配置启动的kubelet节点,就能够成为node节点

6.2.4 应用资源配置

应用资源配置,并查看结果

  1. # 应用资源配置
  2. kubectl create -f /opt/kubernetes/server/conf/k8s-node.yaml
  3. # 查看集群角色和角色属性
  4. [root@hdss7-21 conf]# kubectl get clusterrolebinding k8s-node
  5. NAME       AGE
  6. k8s-node   13s
  7. [root@hdss7-21 conf]# kubectl get clusterrolebinding k8s-node -o yaml
  8. apiVersion: rbac.authorization.k8s.io/v1
  9. kind: ClusterRoleBinding
  10. metadata:
  11.   creationTimestamp: "2020-04-22T14:38:09Z"
  12.   name: k8s-node
  13.   resourceVersion: "21217"
  14.   selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/k8s-node
  15.   uid: 597ffb0f-f92d-4eb5-aca2-2fe73397e2e4
  16. roleRef:
  17.   apiGroup: rbac.authorization.k8s.io
  18.   kind: ClusterRole
  19.   name: system:node
  20. subjects:
  21. - apiGroup: rbac.authorization.k8s.io
  22.   kind: User
  23.   name: k8s-node
  25. #此时只是创建了相应的资源,还没有具体的node,如下验证
  26. [root@hdss7-21 conf]# kubectl get nodes
  27. No resources found.

6.2.5 创建kubelet启动脚本

--hostname-override参数每个node节点都一样,是节点的主机名,注意修改

  1. cat >/opt/kubernetes/server/bin/kubelet.sh <<'EOF'
  2. #!/bin/sh
  3. ./kubelet \
  4.   --hostname-override hdss7-21.host.com \
  5.   --anonymous-auth=false \
  6.   --cgroup-driver systemd \
  7.   --cluster-dns 192.168.0.2 \
  8.   --cluster-domain cluster.local \
  9.   --runtime-cgroups=/systemd/system.slice \
  10.   --kubelet-cgroups=/systemd/system.slice \
  11.   --fail-swap-on="false" \
  12.   --client-ca-file ./cert/ca.pem \
  13.   --tls-cert-file ./cert/kubelet.pem \
  14.   --tls-private-key-file ./cert/kubelet-key.pem \
  15.   --image-gc-high-threshold 20 \
  16.   --image-gc-low-threshold 10 \
  17.   --kubeconfig ../conf/kubelet.kubeconfig \
  18.   --log-dir /data/logs/kubernetes/kube-kubelet \
  19.   --pod-infra-container-image harbor.zq.com/public/pause:latest \
  20.   --root-dir /data/kubelet
  21. EOF
  22. # 创建目录&授权
  23. chmod +x /opt/kubernetes/server/bin/kubelet.sh
  24. mkdir -p /data/logs/kubernetes/kube-kubelet
  25. mkdir -p /data/kubelet

6.2.6 创建supervisor配置

  1. cat >/etc/supervisord.d/kube-kubelet.ini  <<EOF
  2. [program:kube-kubelet]
  3. command=sh /opt/kubernetes/server/bin/kubelet.sh
  4. numprocs=1                    ; 启动进程数 (def 1)
  5. directory=/opt/kubernetes/server/bin    
  6. autostart=true                ; 是否自启 (default: true)
  7. autorestart=true              ; 是否自动重启 (default: true)
  8. startsecs=30                  ; 服务运行多久判断为成功(def. 1)
  9. startretries=3                ; 启动重试次数 (default 3)
  10. exitcodes=0,2                 ; 退出状态码 (default 0,2)
  11. stopsignal=QUIT               ; 退出信号 (default TERM)
  12. stopwaitsecs=10               ; 退出延迟时间 (default 10)
  13. user=root                     ; 运行用户
  14. redirect_stderr=true          ; 重定向错误输出到标准输出(def false)
  15. stdout_logfile=/data/logs/kubernetes/kube-kubelet/kubelet.stdout.log
  16. stdout_logfile_maxbytes=64MB  ; 日志文件大小 (default 50MB)
  17. stdout_logfile_backups=4      ; 日志文件滚动个数 (default 10)
  18. stdout_capture_maxbytes=1MB   ; 设定capture管道的大小(default 0)
  19. ;子进程还有子进程,需要添加这个参数,避免产生孤儿进程
  20. killasgroup=true
  21. stopasgroup=true
  22. EOF

6.2.7 启动服务并检查

  1. supervisorctl update
  2. supervisorctl status
  3. [root@hdss7-21 server]# kubectl get nodes
  4. NAME                STATUS   ROLES    AGE   VERSION
  5. hdss7-21.host.com   Ready    <none>   65s   v1.15.5

6.2.8 部署其他node节点

第一个节点部署完成后,其他节点就要简单很多,只需拷贝kubelet.kubeconfig配置到本地后,创建启动脚本并用`supervisord启动即可
也可以不拷贝配置文件,就需要手动再执行创建配置文件的四步

  1. # 拷贝证书
  2. cd /opt/kubernetes/server/bin/cert
  3. scp hdss7-200:/opt/certs/kubelet.pem .
  4. scp hdss7-200:/opt/certs/kubelet-key.pem .
  5. # 拷贝配置文件
  6. cd /opt/kubernetes/server/conf/
  7. scp hdss7-21:/opt/kubernetes/server/conf/kubelet.kubeconfig .

拷贝完配置后,剩下的步骤参考6.2.5 创建kubelet启动脚本,除脚本中--hostname-override不同外,其他都一样

6.2.9 检查所有节点并给节点打上标签

此操作非必须,因为只是打的一个标签,方便识别而已

  1. kubectl get nodes
  2. kubectl label node hdss7-21.host.com node-role.kubernetes.io/master=
  3. kubectl label node hdss7-21.host.com node-role.kubernetes.io/node=
  4. [root@hdss7-22 cert]# kubectl get nodes
  5. NAME                STATUS   ROLES         AGE   VERSION
  6. hdss7-21.host.com   Ready    master,node   9m    v1.15.5
  7. hdss7-22.host.com   Ready    <none>        64s   v1.15.5

6.3 创建kube-proxy服务

签发证书在7.200

6.3.1 签发kube-proxy证书

(1) 创建生成证书csr的json配置文件

  1. cd /opt/certs/
  2. cat >/opt/certs/kube-proxy-csr.json <<EOF
  3. {
  4.     "CN": "system:kube-proxy",
  5.     "key": {
  6.         "algo": "rsa",
  7.         "size": 2048
  8.     },
  9.     "names": [
  10.         {
  11.             "C": "CN",
  12.             "ST": "beijing",
  13.             "L": "beijing",
  14.             "O": "zq",
  15.             "OU": "ops"
  16.         }
  17.     ]
  18. }
  19. EOF

(2) 生成kube-proxy证书文件

  1. cfssl gencert \
  2.       -ca=ca.pem \
  3.       -ca-key=ca-key.pem \
  4.       -config=ca-config.json \
  5.       -profile=client \
  6.       kube-proxy-csr.json |cfssl-json -bare kube-proxy-client

(3) 检查生成的证书文件

  1. [root@hdss7-200 certs]# ll |grep proxy
  2. -rw-r--r-- 1 root root 1005 Apr 22 22:54 kube-proxy-client.csr
  3. -rw------- 1 root root 1675 Apr 22 22:54 kube-proxy-client-key.pem
  4. -rw-r--r-- 1 root root 1371 Apr 22 22:54 kube-proxy-client.pem
  5. -rw-r--r-- 1 root root  267 Apr 22 22:54 kube-proxy-csr.json

6.3.2 拷贝证书文件至各节点

  1. cd /opt/kubernetes/server/bin/cert
  2. scp hdss7-200:/opt/certs/kube-proxy-client.pem .
  3. scp hdss7-200:/opt/certs/kube-proxy-client-key.pem .

6.3.3 创建kube-proxy配置

同样是四步操作,类似kubelet
(1) set-cluster

  1. cd /opt/kubernetes/server/conf/
  2. kubectl config set-cluster myk8s \
  3.     --certificate-authority=/opt/kubernetes/server/bin/cert/ca.pem \
  4.     --embed-certs=true \
  5.     --server=https://10.4.7.10:7443 \
  6.     --kubeconfig=kube-proxy.kubeconfig

(2) set-credentials

  1. kubectl config set-credentials kube-proxy \
  2.     --client-certificate=/opt/kubernetes/server/bin/cert/kube-proxy-client.pem \
  3.     --client-key=/opt/kubernetes/server/bin/cert/kube-proxy-client-key.pem \
  4.     --embed-certs=true \
  5.     --kubeconfig=kube-proxy.kubeconfig

(3) set-context

  1. kubectl config set-context myk8s-context \
  2.     --cluster=myk8s \
  3.     --user=kube-proxy \
  4.     --kubeconfig=kube-proxy.kubeconfig

(4) use-context

  1. kubectl config use-context myk8s-context --kubeconfig=kube-proxy.kubeconfig

6.3.4 加载ipvs模块以备kube-proxy启动用

  1. # 创建开机ipvs脚本
  2. cat >/etc/ipvs.sh <<'EOF'
  3. #!/bin/bash
  4. ipvs_mods_dir="/usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs"
  5. for i in $(ls $ipvs_mods_dir|grep -o "^[^.]*")
  6. do
  7.   /sbin/modinfo -F filename $i &>/dev/null
  8.   if [ $? -eq 0 ];then
  9.     /sbin/modprobe $i
  10.   fi
  11. done
  12. EOF
  13. # 执行脚本开启ipvs
  14. sh /etc/ipvs.sh 
  15. # 验证开启结果
  16. [root@hdss7-21 conf]# lsmod |grep ip_vs
  17. ip_vs_wrr              12697  0 
  18. ip_vs_wlc              12519  0 
  19. ......略

6.3.5 创建kube-proxy启动脚本

同上,--hostname-override参数在不同的node节点上不一样,需修改

  1. cat >/opt/kubernetes/server/bin/kube-proxy.sh <<'EOF'
  2. #!/bin/sh
  3. ./kube-proxy \
  4.   --hostname-override hdss7-21.host.com \
  5.   --cluster-cidr 172.7.0.0/16 \
  6.   --proxy-mode=ipvs \
  7.   --ipvs-scheduler=nq \
  8.   --kubeconfig ../conf/kube-proxy.kubeconfig
  9. EOF
  10. # 授权
  11. chmod +x /opt/kubernetes/server/bin/kube-proxy.sh

6.3.6 创建kube-proxy的supervisor配置

  1. cat >/etc/supervisord.d/kube-proxy.ini <<'EOF'
  2. [program:kube-proxy]
  3. command=sh /opt/kubernetes/server/bin/kube-proxy.sh
  4. numprocs=1                    ; 启动进程数 (def 1)
  5. directory=/opt/kubernetes/server/bin
  6. autostart=true                ; 是否自启 (default: true)
  7. autorestart=true              ; 是否自动重启 (default: true)
  8. startsecs=30                  ; 服务运行多久判断为成功(def. 1)
  9. startretries=3                ; 启动重试次数 (default 3)
  10. exitcodes=0,2                 ; 退出状态码 (default 0,2)
  11. stopsignal=QUIT               ; 退出信号 (default TERM)
  12. stopwaitsecs=10               ; 退出延迟时间 (default 10)
  13. user=root                     ; 运行用户
  14. redirect_stderr=true          ; 重定向错误输出到标准输出(def false)
  15. stdout_logfile=/data/logs/kubernetes/kube-proxy/proxy.stdout.log
  16. stdout_logfile_maxbytes=64MB  ; 日志文件大小 (default 50MB)
  17. stdout_logfile_backups=4      ; 日志文件滚动个数 (default 10)
  18. stdout_capture_maxbytes=1MB   ; 设定capture管道的大小(default 0)
  19. ;子进程还有子进程,需要添加这个参数,避免产生孤儿进程
  20. killasgroup=true
  21. stopasgroup=true
  22. EOF

6.3.7 启动服务并检查

  1. mkdir -p /data/logs/kubernetes/kube-proxy
  2. supervisorctl update
  3. supervisorctl status
  4. [root@hdss7-21 conf]# kubectl get svc
  5. NAME         TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)   AGE
  6. kubernetes   ClusterIP   192.168.0.1   <none>        443/TCP   47h
  7. # 检查ipvs,是否新增了配置
  8. yum install ipvsadm -y
  9. [root@hdss7-21 conf]# ipvsadm -Ln
  10. IP Virtual Server version 1.2.1 (size=4096)
  11. Prot LocalAddress:Port Scheduler Flags
  12.   -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
  13. TCP  192.168.0.1:443 nq
  14.   -> 10.4.7.21:6443               Masq    1      0          0         
  15.   -> 10.4.7.22:6443               Masq    1      0          0

6.3.8 部署所有节点

首先需拷贝kube-proxy.kubeconfig 到 hdss7-22.host.com的conf目录下

  1. # 拷贝证书文件
  2. cd /opt/kubernetes/server/bin/cert
  3. scp hdss7-200:/opt/certs/kube-proxy-client.pem .
  4. scp hdss7-200:/opt/certs/kube-proxy-client-key.pem .
  5. # 拷贝配置文件
  6. cd /opt/kubernetes/server/conf/
  7. scp hdss7-21:/opt/kubernetes/server/conf/kube-proxy.kubeconfig .

其他不同的地方就一个主机名,都已经在前面说明了,略

7 验证kubernetes集群

7.1 在任意一个节点上创建一个资源配置清单

  1. cat >/root/nginx-ds.yaml <<'EOF'
  2. apiVersion: extensions/v1beta1
  3. kind: DaemonSet
  4. metadata:
  5.   name: nginx-ds
  6. spec:
  7.   template:
  8.     metadata:
  9.       labels:
  10.         app: nginx-ds
  11.     spec:
  12.       containers:
  13.       - name: my-nginx
  14.         image: harbor.zq.com/public/nginx:v1.17.9
  15.         ports:
  16.         - containerPort: 80
  17. EOF

7.2 应用资源配置,并检查

7.2.1 应用资源配置

  1. kubectl create -f /root/nginx-ds.yaml
  2. [root@hdss7-22 conf]# kubectl get pods
  3. NAME             READY   STATUS    RESTARTS   AGE
  4. nginx-ds-j777c   1/1     Running   0          8s
  5. nginx-ds-nwsd6   1/1     Running   0          8s

K8S(01)二进制部署实践-1.15.5 - 图3

7.2.2 在另一台node节点上检查

  1. kubectl get pods
  2. kubectl get pods -o wide
  3. curl 172.7.22.2

7.2.3 查看kubernetes是否搭建好

  1. [root@hdss7-22 conf]# kubectl get cs
  2. NAME                 STATUS    MESSAGE              ERROR
  3. etcd-0               Healthy   {"health": "true"}   
  4. etcd-2               Healthy   {"health": "true"}   
  5. etcd-1               Healthy   {"health": "true"}   
  6. controller-manager   Healthy   ok                   
  7. scheduler            Healthy   ok        
  8. [root@hdss7-21 ~]# kubectl get nodes 
  9. NAME                STATUS   ROLES         AGE    VERSION
  10. hdss7-21.host.com   Ready    master,node   6d1h   v1.15.5
  11. hdss7-22.host.com   Ready    <none>        6d1h   v1.15.5
  12. [root@hdss7-22 ~]# kubectl get pods
  13. NAME             READY   STATUS    RESTARTS   AGE
  14. nginx-ds-j777c   1/1     Running   0          6m45s
  15. nginx-ds-nwsd6   1/1     Running   0          6m45s

转载自cnblog:https://www.cnblogs.com/noah-luo/p/13345164.html