全栈工程师开发手册 (作者:栾鹏)
架构系列文章
建设前准备
申请docker 仓库
因为总需要存放镜像的仓库,内网可以自己部署harbor,在外网可以官方docker hub,或者阿里云、腾讯云
将基础组件推送到内网仓库
如果能连接外网的客户忽略。
内网无法连接外网,需要我们提前拉好镜像。关于镜像的版本与rancher版本、k8s版本有关。
比如我这里使用的是rancher v2.3.2,k8s使用的是v1.15.5
不过依赖镜像是在安装rancher server以后才看到的。所以可以先安装rancher server,然后看看要用的k8s版本,然后再在rancher官网拉取需要的镜像。比如rancher v2.3.2,k8s v1.15.5依赖的镜像。在官网https://github.com/rancher/rancher/releases/tag/v2.3.2 中 找到 依赖的镜像txt文件
https://github.com/rancher/rancher/releases/download/v2.3.2/rancher-images.txt
将依赖镜像在开发网拉取下来,然后重新tag成内网仓库地址,推送到内网仓库上,后面需要在内网每个机器上拉取下来,再tag成原始镜像名。例如
外网网机器
docker pull rancher/rancher-agent:v2.3.2
docker tag rancher/rancher-agent:v2.3.2 docker.oa.com:8080/public/rancher/rancher-agent:v2.3.2
内网机器
docker pull docker.oa.com:8080/public/rancher/rancher-agent:v2.3.2
docker tag docker.oa.com:8080/public/rancher/rancher-agent:v2.3.2 rancher/rancher-agent:v2.3.2
由于依赖镜像比较多,可以写一个脚本,批量的拉取和tag。
例如idc机器脚本
docker login xx.xx.xx.xx:8080 -u xx -p xxxxxxx
docker pull docker.oa.com:8080/public/rancher/fluentd:v0.1.17
docker tag docker.oa.com:8080/public/rancher/fluentd:v0.1.17 rancher/fluentd:v0.1.17
docker pull docker.oa.com:8080/public/rancher/istio-citadel:1.3.3
docker tag docker.oa.com:8080/public/rancher/istio-citadel:1.3.3 rancher/istio-citadel:1.3.3
...
初始化节点
因为idc网络每台机器的hostname是一样的,而且是大写开头,在rancher中无法添加到k8s集群,需要将hostname设置为小写不同命名。
修改机器hostname
hostname=`ifconfig eth1 | grep 'inet '| awk '{print $2}' | head -n 1 | awk -F. {'printf("node%03d%03d%03d%03d\n", $1, $2, $3, $4)'}`
echo $hostname
# hostname=$1
hostnamectl set-hostname ${hostname}
echo "127.0.0.1 ${hostname}" >> /etc/hosts
echo "::1 ${hostname}" >> /etc/hosts
配置dns
由于每台机器的dns情况配置不一样,所以最好统一化dns配置。
安装升级docker
每台机器的docker版本都各式各样,统一化docker版本,安装目录,私有仓库等。
# 关停docker
service docker stop
# 卸载存在的老版本docker
yum remove -y docker-ce
yum remove -y docker
yum remove -y docker-common
# 查看是否还有docker残渣
rpm -qa | grep docker
# 创建docker的存储路径,因为docker使用的存储很大,默认根目录磁盘很小
# rm -rf /data/docker/
mkdir -p /data/docker/
# 安装docker,顺带安装调试工具
yum install docker-ce -y
yum install -y htop docker-compose
yum install -y wireshark
# 停止docker,修改配置
systemctl stop docker
# 将源docker目录下文件,复制到新目录下
cp -R /var/lib/docker/* /data/docker/
# 将docker新目录写入到配置文件中
sed -i "s/containerd.sock/containerd.sock --graph \/data\/docker /g" /usr/lib/systemd/system/docker.service
mkdir -p /etc/docker/
# 将私有仓库写入到配置文件中
echo '{ "insecure-registries":["docker.oa.com:8080"] } ' > /etc/docker/daemon.json
# 重载配置
systemctl daemon-reload
# 重启docker
systemctl start docker
# 删除原目录数据
rm -rf /var/lib/docker
拉取基础镜像
运行上面的镜像拉取脚本,将依赖镜像拉取到机器,并tag成原始镜像名。
部署rancher server
rancher server 有高可用部署方案,可以参考官网https://rancher.com/docs/rancher/v2.x/en/installation/how-ha-works/
需要打通ssh,或者跳板机的ssh。如果没有固定的ssh账号,所以采用的单容器部署模式。不过如果可以,建议尝试高可用模式。
找一台机器作为rancher server,如果你的集群比较大,建议找好一点的机器,因为这个rancher server无法替换。
sudo docker run -d --restart=unless-stopped -p 443:443 --privileged --name=myrancher -e AUDIT_LEVEL=3 rancher/rancher:v2.3.2
部署以后就可以打开https://xx.xx.xx.xx:443/了。
第一次进入要添加管理员密码和rancher server的https访问地址。
配置高可用
官方提供的几种高可用方案,要么需要ssh互联,需要需要跳板机账号密码都无法在idc环境实现。并且使用单容器模式部署的时候,docker service或者机器重启,rancher server都会报异常。一直报wait k3s start。下面提供一种方案能使单容器模式下,机器重启rancher server仍可用。
$ docker stop $RANCHER_CONTAINER_NAME
$ docker create --volumes-from $RANCHER_CONTAINER_NAME --name rancher-data rancher/rancher:$RANCHER_CONTAINER_TAG
# 先备份一遍
$ docker run --volumes-from rancher-data -v $PWD:/backup alpine tar zcvf /backup/rancher-data-backup-$RANCHER_VERSION-$DATE.tar.gz /var/lib/rancher
$ docker run -d --volumes-from rancher-data --restart=unless-stopped -p 80:80 -p 443:443 rancher/rancher:latest
然后就可以把原有容器删除掉了。这个新启动的容器,在docker service重启后是可以继续正常工作的。
配置认证过期
rancher server的证书有效期是一年,在一年后,rancher server会报证书过期。通过下面的方式你可以创建新的证书。
docker stop $RANCHER_CONTAINER_NAME
docker start $RANCHER_CONTAINER_NAME
docker exec -it $RANCHER_CONTAINER_NAME sh -c "mv k3s/server/tls k3s/server/tls.bak"
docker logs --tail 3 $RANCHER_CONTAINER_NAME
# Something similar to the below will appear:
# 2021/01/03 03:07:01 [INFO] Waiting for server to become available: Get https://localhost:6443/version?timeout=30s: x509: certificate signed by unknown authority
# 2021/01/03 03:07:03 [INFO] Waiting for server to become available: Get https://localhost:6443/version?timeout=30s: x509: certificate signed by unknown authority
# 2021/01/03 03:07:05 [INFO] Waiting for server to become available: Get https://localhost:6443/version?timeout=30s: x509: certificate signed by unknown authority
docker stop $RANCHER_CONTAINER_NAME
docker start $RANCHER_CONTAINER_NAME
部署k8s集群
进去rancher server,选择添加集群,选择自定义集群。填写集群名称
选择kubernetes版本(注意:这个的版本第一次打开时可能刷新不出来,需要等待1~2分钟再刷新才能显示出来)
之后选择编辑yaml文件。
这个yaml文件中控制着k8s基础组件的启动方式。比如kubelet的启动参数,api-server的启动参数。
比如这里修改ip网段和修改api-server的启动参数
services:
etcd:
backup_config:
enabled: true
interval_hours: 12
retention: 6
safe_timestamp: false
creation: 12h
extra_args:
election-timeout: '5000'
heartbeat-interval: '500'
gid: 0
retention: 72h
snapshot: false
uid: 0
kube-api:
always_pull_images: false
pod_security_policy: false
service_node_port_range: 10-32767
service_cluster_ip_range: 172.16.0.0/17
extra_args:
enable-admission-plugins: "NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota,NodeRestriction,TaintNodesByCondition,PersistentVolumeClaimResize"
kube-controller:
cluster_cidr: 172.16.128.0/17
service_cluster_ip_range: 172.16.0.0/17
kubelet:
cluster_dns_server: 172.16.0.10
kubeproxy: {}
scheduler: {}
如果有其他的参数需要后面修改,也可以在这里修改yaml文件,然后升级集群。
修改后直接进入下一步。这里可以选择节点的角色。etcd用来部署k8s的数据库,可以多个节点etcd。control相当于k8s的master,用来部署控制组件,可以在多个节点的部署k8s master节点,实现k8s高可用。worker相当于k8s的工作节点。
我们可以在rancher server这台机器可以添加为etcd/control角色。(如果你只有一台机器或者只是简单尝试,可以把所有角色都选上)
复制web中显示的命令,直接在rancher server上粘贴命令,这样就部署了一个k8s集群。只不过现在还没有worker节点。
粘贴后等待部署就行了。
部署完成的样子
部署完成后需要部分修正。
1、metric-server默认镜像拉取是Always,修改成imagePullPolicy: IfNotPresent
2、nginx如果不想使用,或者因为端口占用只在部分机器上使用,可以添加亲密度不启动或者在部分机器上启动。
affinity:
nodeAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
nodeSelectorTerms:
- matchExpressions:
- key: ingress-nginx
operator: In
values:
- "true"
3、coredns在资源limits太小了,可以取消coredns的limits限制,不然dns非常慢,整个集群都会缓慢
机器扩容
现在k8s集群已经有了一个master节点,还没有worker节点,或者想添加更多master/worker节点就要机器扩容了。
在集群主机界面,点击编辑集群
修改docker目录为上面修改的docker根目录/data/docker,然后选择角色为worker(根据自己的需求选择角色)
复制命令到目标主机上运行,等待安装就可以了。
rancher/k8s 多用户
集群部署好了,需要添加多种权限类型的用户来管理。可以使用rancher来实现k8s的rbac的多用户。
登录rancher,先在全局添加用户
根据需要在全局/集群/项目中创建角色
添加或者编辑角色,为角色授权
将全局用户添加到集群或者项目成员中
添加时为用户绑定角色
这样就成功创建了用户-绑定了角色-赋予了权限。
用户登录效果
客户端kubectl
如果你不会使用rancher界面或者不习惯使用rancher界面,可以使用kubectl或者kubernetes-dashboard。
点击Kubeconfig文件可以看到config的内容,通过内容可以看到,kube-apiserver可以使用rancher-server(端口443)的api接口,或者kube-apiserver(端口6443)的接口控制k8s集群。由于6443端口在idc网络里面并不能暴露到外面,所以主要使用rancher-server的443端口代理k8s-apiserver的控制。提示,如果你的rancher server 坏了,你可以在内网通过6443端口继续控制k8s集群。
下载安装不同系统办公电脑对应的kubectl,然后复制config到~/.kube/config文件。就可以通过命令访问k8s集群了。
kubernetes-dashboard
如果你喜欢用k8s-dashboard,可以自己安装dashboard。参考git。
这样我们就完成k8s的部署。
节点清理
如果安装失败需要重新安装,有时需要彻底清理节点。清理过程比较麻烦,这里整理了一个脚本放在git上。
#!/usr/bin/env bash
sudo docker rm -f $(sudo docker ps -qa)
sudo rm -rf /etc/ceph \
/etc/cni \
/etc/kubernetes \
/opt/cni \
/opt/rke \
/run/secrets/kubernetes.io \
/run/calico \
/run/flannel \
/var/lib/calico \
/var/lib/etcd \
/var/lib/cni \
/var/lib/kubelet \
/var/lib/rancher/rke/log \
/var/log/containers \
/var/log/pods \
/var/run/calico \
/var/etcd
for mount in $(mount | grep tmpfs | grep '/var/lib/kubelet' | awk '{ print $3 }') /var/lib/kubelet /var/lib/rancher; do umount $mount; done
for m in $(sudo tac /proc/mounts | sudo awk '{print $2}'|sudo grep /var/lib/kubelet);do
sudo umount $m||true
done
sudo rm -rf /var/lib/kubelet/
for m in $(sudo tac /proc/mounts | sudo awk '{print $2}'|sudo grep /var/lib/rancher);do
sudo umount $m||true
done
sudo rm -rf /var/lib/rancher/
sudo rm -rf /run/kubernetes/
sudo docker volume rm $(sudo docker volume ls -q)
sudo docker ps -a
sudo docker volume ls
rm -f /var/lib/containerd/io.containerd.metadata.v1.bolt/meta.db
IPTABLES="/sbin/iptables"
cat /proc/net/ip_tables_names | while read table; do
$IPTABLES -t $table -L -n | while read c chain rest; do
if test "X$c" = "XChain" ; then
$IPTABLES -t $table -F $chain
fi
done
$IPTABLES -t $table -X
done
sudo systemctl restart containerd
sudo systemctl restart docker
rancher架构图
上面的操作完成,现在再回来看一下rancher的架构图。
rancher使用全部容器化的形式来部署k8s集群,能大幅度降低k8s集群扩部署/缩容的门槛。可以使用rancher来扩缩容 etcd,k8s-master,k8s-worker。k8s集群(包括etcd)的增删节点动作是由rancher server节点控制,由rancher agent来执行的。在新节点上通过运行rancher agent容器,来访问rancher server 获取要执行的部署命令。部署对应的k8s组件容器(包含kubelet,api-server,scheduler,controller等)。
rancher本身并不改变k8s的基础组件和工作原理,k8s的架构依然是下面图形中的工作模式。只不过多了一个认证代理(auth proxy),也就是前面说的config文件中的rancher server中的接口。
kubernetes架构图