0
点赞
收藏
分享

微信扫一扫

二进制搭建k8s

蓝哆啦呀 2022-03-24 阅读 41

二进制搭建Kubernetes v1.20

机器准备

k8s集群master01: 192.168.11.3
kube-apiserver kube- controller-manager kube-scheduler etcd
k8s集群master02: 192. 168.11.6

k8s集群node01: 192. 168.11.4
kubelet kube-proxy docker

k8s集群node02: 192.168. 11.5
etcd集群节点1: 192.168.11.3
tcd
etcd集群节点2: 192.168.11.4
etcd集群节点3: 192. 168.11.5

==这里要注意,我们要给master,以及node节点至少2核4G的配置,不然可能会资源不够用==

操作系统初始化配置

#关闭防火墙.
systemctl stop firewalld
systemctl disable firewalld
iptables -F && iptables -t nat -F && iptables -t mangle- -F && iptables- X

#关闭selinux .
setenforce 0
sed -i ' s/enforcing/disabled/' /etc/ selinux/config

#关闭swap
swapoff -a
sed -ri 's/ .*swap.*/#&/' /etc/ fstab

#根据规划设置主机名
hostnamectl:
set-hostname master01
hos tnamectl set-hostname node01
hostnamectl set-hostname node02

#在master添加hosts
cat >> /etc/hosts << EOF
192.168.11.3 master01
192.168.11.4 node01
192.168.11.5 node02
EOF

#调整内核参数
cat > /etc/sysctl.d/k8s.conf << EOF
#开启网桥模式,可将网桥的流量传递给iptables链
net .bridge .bridge-nf-call- ip6tables = 1
net. bridge . bridge-nf-call- iptables = 1
#关闭ipv6协议
net. ipv6.conf.all.disable_ ipv6=1
net.ipv4.ip_ forward=1
EOF
sysctl -- system .

#时间同步
ntpdate time1.aliyuan.com

1.png

2.png

部署etcd集群

|部署etcd集群
etcd是Coreos团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值( key-value)数据库。etcd内 部采用raft协议作为一致性算法,etcd是go语 言编写的。

etcd作为服务发现系统,有以下的特点:
简单:安装配置简单,而且提供了HTTP API进行交互,使用也很简单
安全:支持ssL证书验证
快速:单实例支持每秒2k+读操作
可靠:采用raft算法,实现分布式系统数据的可用性和一致性

etcd目前默认使用2379端口提供HTTPAPI服务,2380端口和peer通信(这两个端口已经被IANA(互联网数字分配机构)官方预留给etcd)。
即etcd默认使用2379端口对外为客户端提供通讯,使用端口2380来进行服务器间内部通讯。
etcd在生产环境中一般推荐集群方式部署。由于etcd的leader选 举机制,要求至少为3台或以上的奇数台。

准备签发证书环境
CFSSL是CloudFlare 公司开源的一款PKI/TLS工具。CFSSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。
CFSSL使用配置文件生成证书,因此自签之前,需要生成它识别的json格式的配置文件,CFSSL提供了方便的命令行生成配置文件。
CFSSL用来为etcd提供TLS证书,它支持签三种类型的证书:
1、client 证书,服务端连接客户端时携带的证书,用于客户端验证服务端身份,如kube-apiserver 访问etcd;
2、server证书,客户端连接服务端时携带的证书,用于服务端验证客户端身份,如etcd对外提供服务;
3、peer证书,相互之间连接时使用的证书,如etcd节点之间进行验证和通信。
这里全部都使用同一套证书认证。
//在master01 节点上操作
#准备lfssl证书生成工具
wget https://pkg.cfssl .org/R1.2/cfssl_ linux-amd64 -0 /usr/local/bin/cfssl
wget https:/ /pkg.cfssl.org/R1.2/cfssljson linux-amd64 -0 /usr/ local/bin/cfssljson
wget htps:/ /pkg.cfssl .org/R1.2/cfssl : -certinfo linux- amd64 -0 /usr/ local/bin/cfssl -certinfo

chmod +x /usr/local/bin/cfss1*

cfssl: 证书签发的工具命令
cfssljson: 将cfssl 生成的证书(json格式)变为文件承载式证书
cfssl-certinfo:验证证书的信息
cfssl-certinfo -cert <证书名称>
#查看证书的信息

### 生成Etcd证书###
mkdir /opt/ k8s
cd /opt/k8s/

#上传etcd-cert.sh 和etcd.sh到/opt/k8s/ 目录中
chmod +x etcd-cert.sh etcd. sh

#创建用于生成cA证书、etcd服务器证书以及私钥的目录
mkdir /opt/ k8s/etcd-cert
mv etcd-cert.sh etcd-cert/
cd /opt/ k8s/etcd-cert/
. /etcd-cert.sh
#生成CA证书、etcd服务器证书以及私钥

ls
ca-config.json ca-csr.json ca. pem
server .Csr
server- key .pem
ca.csr
ca- key .pem
etcd-cert.sh server-csr.j son
server . pem

#上传etcd-v3.4.9-linux -amd64.tar.gz 到/opt/k8s 目录中,启动etcd服务
cd /opt/k8s/
tar zxvf etcd-v3.4.9- linux- amd64. tar.gz
ls etcd-v3.4.9-1 inux-amd64
Documentation
etcd
etcdctl
README -etcdctl .md README . md
READMEv2 -etcdctl . md

etcd就是etcd服务的启动命令,后面可跟各种启动参数
etcdctl主要为etcd服务提供了命令行操作

#创建用于存放etcd配置文件,命令文件,证书的目录
mkdir -p /opt/etcd/ {cfg,bin,ssl}

cd /opt/k8s/etcd-v3.4.9-linux-amd64/
mv etcd etcdctl /opt/etcd/bin/
cp /opt/ k8s/etcd-cert/* .pem /opt/etcd/ssl/

cd /opt/k8s/
./etcd.sh etcd01 192.168.80.10 etcd02=https://192.168.80.11 :2380, etcd03=https://192.168.80.12:2380.
#进入卡住状态等待其他节点加入,这里需要三台etca服务同时启动,如果只启动其中一台后,服务会卡在那里,直到集群中所有etcd节点都已启动
,可忽略这个情况

#可另外打开一个窗口查看etcd进程是否正常
ps -ef | grep etcd

#把etcd相关证书文件、命令文件和服务管理文件全部拷贝到另外两个etcd集群节点
sCP
-r /opt/etcd/ root@192.168.80.11:/opt/
sCp -r /opt/etcd/ root@192.168.80.12:/opt/
scp /usr/lib/ systemd/ system/etcd. service root@192. 168.80.11: /usr/lib/ systemd/ system/
scp /usr/lib/ systemd/ system/etcd.service root@192.168.80.12: /usr/lib/ systemd/ system/

3.png

4.png

5.png

6.png

7.png

8.png

9.png

10.png

11.png

12.png

13.png

14.png

15.png

启动etcd服务

#启动etcd服务
systemctl start etcd
systemctl enable etcd
systemctl status etcd

#检查etcd群集状态
ETCDCTL_ API=3 /opt/etcd/bin/etcdct --cacert=/ opt/etcd/ssl/ca.pem --cert=/opt/etcd/ ssl/ server . pem
-- key=/opt /etcd/ ssl/ server-key . pem --endpoints="https:/ /192.168.80.10:2379,https:/ /192.168.80.11 :2379, https: / I 192.168.80.12:2379
endpoint health --write-out=table
-cert- file: 识别HTTPs端使用ssL证书文件
-key- file: 使用此ssL密钥文件标识HTTPS客户端.
--ca-file:使用此CA证书验证启用https的服务器的证书
--endpoints: 集群中以逗号分隔的机器地址列表
cluster-health:检查etcd集群的运行状况

#查看etcd集群成员列表
ETCDCTL_ API=3 /opt/etcd/bin/etcdctl - -cacert=/opt/etcd/ssl/ca.pem - -cert=/opt/etcd/ssl/server . pem
--key=/opt/ etcd/ss1/server-key. pem --endpoints= "https://192.168。80.10:2379,https://192.168.80.11 :2379,https:/L 192.168.80.12:2379
”" --write-out=table member list

16.png

17.png

18.png

19.png

部署Master组件

部署Master组件-------
//在master01节点上操作
#.上传master.zip 和k8s-cert.sh 到/opt/k8s 目录中,解压master.zip 压缩包
cd /opt/k8s/
unzip master.zip 
chmod +X★.sh

#创建kubernetes.工作目录
mkdir -P /opt/ kubernetes/ {bin,cfg, ssl, logs}

#创建用于生成cA证书、相关组件的证书和私钥的目录
mkdir /opt/k8s/ k8s-cert
mv /opt/k8s/ k8s-cert.sh /opt/ k8s/k8s-cert
cd /opt/ k8s/k8s-cert/
./k8s-cert.sh
#生成CA证书、相关组件的证书和私钥

ls *pem
admin-key.pem apiserver-key.pem ca-key.pem kube-proxy- key. pem
admin. pem
apiserver .pem .
ca. pem
kube-proxy .pem

#复制CA证书、apiserver相关 证书和私钥到kubernetes. 工作目录的ssl子目录中
cp ca*pem apiserver*pem /opt/ kubernetes/ss1l/

#上传kubernetes-server- linux-amd64.tar.gz 到/opt/k8s/ 目录中,解压kubernetes 压缩包
cd /opt/k8s/
tar zXvf kubernetes-server-l inux -amd64. tar .gz

#复制master组件的关键命令文件到kubernetes. 工作日录的bin子目录中
cd /opt/ k8s/ kubernetes/ server/bin
cp kube - apiserver kubectl kube - controller -manager kube - scheduler /opt/ kubernetes/bin/
ln -s /opt/ kubernetes/bin/* /usr/local/bin/ 

#创建bootstrap token 认证文件,apiserver 启动时会调用,然后就相当于在集群内创建了一个这个用户,接下来就可以用RBAC 给他授权
cd /opt/ k8s/
vim token. sh
#! /bin/bash
#获取随机数前16个字节内容,以十六进制格式输出,并删除其中空格
BOOTSTRAP_ TOKEN=$ (head -c 16 /dev/urandom | od- Ar
x | tr-d' ')
#生成token.csv 文件,按照Token序列号,用户名,UID,用户组的格式生成
cat > /opt/ kubernetes/cfg/token.csv <<EOF
$ {BOOTSTRAP_TOKEN} , kubelet-bootstrap, 10001, "system: kubelet-bootstrap"
EOF

chmod +x token. sh
. / token. sh

cat /opt/ kubernetes/cfg/ token. csv

#二进制文件、token、 证书都准备好后,开启apiserver 服务
cd /opt/k8s/
./apiserver.sh 192.168.11.3https://192.168.11.3:2379,https://192.168.11.4:2379,https://192.168.11.5:2379

#检查进程是否启动成功
Ps aux | grep kube-apiserver

netstat -natp | grep 6443 
#安全端口6443用于接收HTTPs请求,用于基于Token文件或客户端证书等认证

#启动scheduler 服务
cd /opt/k8s/
. / scheduler. sh
ps aux | grep kube- scheduler

#启动controller-manager 服务
. / controller -manager.sh
ps aux | grep kube-controller -manager

#生成kubect1连接集群的kubeconfig文件
. /admin.sh

#绑定默认cluster-admin管理员集群角色,授权kubectl访问集群
kubectl create clusterrolebinding cluster- system- anonymous --clusterrole=cluster- admin --user=system: anonymous
#通过kubect1工具查看当前集群组件状态
kubectl get cs
NAME
STATUS
MESSAGE
ERROR
control ler -manager
Heal thy
scheduler
Healthy
ok
etcd-2
Healthy
{ "health": "true"}
etcd-1
Healthy
{ "health":"true"}
etcd-0
Healthy{ "health": "true" } .
#查看版本信息
kubectl version

20.png

21.png

22.png

23.png

24.png

25.png

26.png

27.png

28.png

29.png

30.png

31.png

32.png

33.png

34.png

35.png

部署Worker Node组件


部署Worker Node组件

//在所有node 节点上操作
#创建kubernetes工作目录
mkdir -P /opt/ kubernetes/ {bin,cfg, ssl, logs}
#_上传node.zip到/opt 目录中,解压node.zip 压缩包,获得kubelet.sh、 proxy. sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh

//在master01 节点上操作
#把kubelet、 kube-proxy 拷贝到node 节点
d /opt/ k8s/kubernetes/ server/bin
scp kubelet kube -proxy root@192.168.11.4: /opt/ kubernetes/bin/
scp kubelet kube -proxy root@192.168.11.5: /opt/ kubernetes/bin/

#上传kubeconfig. sh文件到/opt/k8s/ kubeconfig目录中,生成kubelet初次加入集群引导kubeconfig文件和kube-proxy . kubeconfig文件
#kubeconfig文件包含集群参数(CA 证书、API Server地址),客户端参数(. 上面生成的证书和私钥),集群context
上下文参数(集群名称、用户名)。Kubenetes 组件(如kubelet、 kube- proxy) 通过启动时指定不同的kubeconfig
文件可以切换到不同的集群,连接到apiserver.
mkdir /opt/k8s/ kubeconfig

cd /opt/ k8s/ kubeconfig
chmod +x kubeconfig.sh
. / kubeconfig.sh 192.168.11.3/opt/ k8s/ k8s-cert/

#把配置文件bootstrap . kubeconfig、kube-proxy . kubeconfig拷贝到node节点
scp bootstrap. kubeconfig kube-proxy . kubeconfig root@192.168.11.4: /opt/ kubernetes/cfg/
scp bootstrap. kubeconfig kube-proxy . kubeconfig root@192. 168.11.5: /opt/ kubernetes/cfg/

#RBAc授权,使用户kubelet-bootstrap 能够有权限发起CSR请求证书
kubectl create clusterrolebinding kubelet -bootstrap --clusterrole=sys tem: node - - bootstrapper-user=kubelet-bootstrap .

-----------------------------------------------------------------------------------------
kubelet采用TLS |Bootstrapping机制,自动完成到kube-apiserver 的注册,在node 节点量较大或者后期自动扩容时非常有用。
Master apiserver 启用TLS认证后,node节点kubelet组件想要加入集群,必须使用CA签发的有效证书才能与apiserver 通信,当node
节点很多时,签署证书是一件很繁琐的事情。因此Kubernetes 引入了TLS bootstraping 机制来自动颁发客户端证书,kubelet
会以一个低权限用户自动向apiserver 申请证书,kubelet 的证书由apiserver动态签署。
kubelet首次启动通过加载bootstrap. kubeconfig中的用户Token 和apiserver CA证书发起首次CSR请求,这个Token 被预先内置在
apiserver节点的token.csv 中,其身份为kubelet-bootstrap 用户和system: kubelet-bootstrap用户组;想要首次CSR
请求能成功(即不会被apiserver 401 拒绝),则需要先创建一个ClusterRoleBinding, 将kubelet-bootstrap 用户和
system: node -bootstrapper内置ClusterRole 绑定(通过kubectl get clusterroles 可查询),使其能够发起CSR认证请求。
TLS bootstrapping时的证书实际是由kube-controller-manager 组件来签署的,也就是说证书有效期是kube-controller-manager
组件控制的; kube-controller-manager 组件提供了一个--exper imental-cluster-signing-duration参数来设置签署的证书有效时间;默认为
8760h0m0s,将其改为87600h0m0s, 即10年后再进行TLS bootstrapping 签署证书即可。
也就是说kubelet首次访问API Server 时,是使用token 做认证,通过后,Controller Manager会为kubelet
生成一个证书,以后的访问都是用证书做认证了。
-----------------------------------------------------------------------------------------

//在node01 节点上操作
#启动kubelet 服务
cd /opt/
./kubelet.sh 19D. 168.11.4
ps aux | grep kubelet
//在master01节点上操作,通过CSR 请求
#检查到node01节点的kubelet发起的CSR请求,Pending表示等待集群给该节点签发证书
kubectl get csr
NAME
AGE SIGNERNAME
REQUESTOR
CONDITION
node-csr -duiobEzQ0R93HsULoS9NT9JaQy1Mmid_ nBF 3Ei3NtFE
12s 
kubernetes. io/ kube-apiserver-client- kubelet
kubelet-bootstrap
Pending
#通过CSR请求
kubectl certificate approve node-csr -duiobEzQ0R93HsULoS9NT9JaQy1Mmid_ nBF3Ei3NtFE

#Approved, Issued表示已授权CSR请求并签发证书
kubectl get csr
NAME
AGE SIGNERNAME
REQUESTOR
CONDITION
node-
r-duiobE zQ0R93HsULoS 9NT9JaQylMmid_ nBF3Ei3NtFE
2m5s kubernetes. io/ kube-api server-cl ient-kubelet kubelet-bootstrap
Approved, Issued
#查看节点,由于网络插件还没有部署,节点会没有准备就绪NotReady
kubectl get node
NAME
STATUS
ROLES
AGE
VERSION
192.168.11.3
NotReady
<none>
108s
v1.20.11

//在node01 节点.上操作
#加载ip_ vs模块
for i in $(1s /usr/ lib/modules/$ (uname -r) /kernel/net/netfilter/ipvsIgrep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i
>/dev/null 2>&1 && /sbin/modprobe $i ;done
#启动proxy服务
cd /opt/
./proxy.sh 192.168.80.11 
ps auxI grep kube-proxy

1.png

2.png

3.png

4.png

5.png

6.png

7.png

8.png

9.png

10.png

11.png

12.png

13.png

14.png

15.png

部署网络组件

部署 flannel

------------------------------ 部署网络组件 ------------------------------
---------- 部署 flannel ----------
//在 node01 节点上操作
#上传 cni-plugins-linux-amd64-v0.8.6.tgz 和 flannel.tar 到 /opt 目录中
cd /opt/
docker load -i flannel.tar

mkdir /opt/cni/bin
tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin

//在 master01 节点上操作
#上传 kube-flannel.yml 文件到 /opt/k8s 目录中,部署 CNI 网络
cd /opt/k8s
kubectl apply -f kube-flannel.yml 

kubectl get pods -n kube-system
NAME                    READY   STATUS    RESTARTS   AGE
kube-flannel-ds-hjtc7   1/1     Running   0          7s

kubectl get nodes
NAME            STATUS   ROLES    AGE   VERSION
192.168.11.4   Ready    <none>   81m   v1.20.11

16.png

17.png

18.png

19.png

20.png

部署 CoreDNS

------------------------------ 部署 CoreDNS ------------------------------
//在所有 node 节点上操作
#上传 coredns.tar 到 /opt 目录中
cd /opt
docker load -i coredns.tar

//在 master01 节点上操作
#上传 coredns.yaml 文件到 /opt/k8s 目录中,部署 CoreDNS 
cd /opt/k8s
kubectl apply -f coredns.yaml

kubectl get pods -n kube-system 
NAME                          READY   STATUS    RESTARTS   AGE
coredns-5ffbfd976d-j6shb      1/1     Running   0          32s

#DNS 解析测试
kubectl run -it --rm dns-test --image=busybox:1.28.4 sh
If you don't see a command prompt, try pressing enter.
/ # nslookup kubernetes
Server:    10.0.0.2
Address 1: 10.0.0.2 kube-dns.kube-system.svc.cluster.local

Name:      kubernetes
Address 1: 10.0.0.1 kubernetes.default.svc.cluster.local

21.png

22.png

23.png

举报

相关推荐

k8s二进制部署

K8S 二进制安装

二进制包安装k8s

k8s二进制部署2

二进制方式安装K8S

K8s 二进制部署 上篇

0 条评论