二进制搭建Kubernetes v1.20
机器准备
k8s集群master01: 192.168.11.3
kube-apiserver kube- controller-manager kube-scheduler etcd
k8s集群master02: 192. 168.11.6
k8s集群node01: 192. 168.11.4
kubelet kube-proxy docker
k8s集群node02: 192.168. 11.5
etcd集群节点1: 192.168.11.3
tcd
etcd集群节点2: 192.168.11.4
etcd集群节点3: 192. 168.11.5
==这里要注意,我们要给master,以及node节点至少2核4G的配置,不然可能会资源不够用==
操作系统初始化配置
#关闭防火墙.
systemctl stop firewalld
systemctl disable firewalld
iptables -F && iptables -t nat -F && iptables -t mangle- -F && iptables- X
#关闭selinux .
setenforce 0
sed -i ' s/enforcing/disabled/' /etc/ selinux/config
#关闭swap
swapoff -a
sed -ri 's/ .*swap.*/#&/' /etc/ fstab
#根据规划设置主机名
hostnamectl:
set-hostname master01
hos tnamectl set-hostname node01
hostnamectl set-hostname node02
#在master添加hosts
cat >> /etc/hosts << EOF
192.168.11.3 master01
192.168.11.4 node01
192.168.11.5 node02
EOF
#调整内核参数
cat > /etc/sysctl.d/k8s.conf << EOF
#开启网桥模式,可将网桥的流量传递给iptables链
net .bridge .bridge-nf-call- ip6tables = 1
net. bridge . bridge-nf-call- iptables = 1
#关闭ipv6协议
net. ipv6.conf.all.disable_ ipv6=1
net.ipv4.ip_ forward=1
EOF
sysctl -- system .
#时间同步
ntpdate time1.aliyuan.com
部署etcd集群
|部署etcd集群
etcd是Coreos团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值( key-value)数据库。etcd内 部采用raft协议作为一致性算法,etcd是go语 言编写的。
etcd作为服务发现系统,有以下的特点:
简单:安装配置简单,而且提供了HTTP API进行交互,使用也很简单
安全:支持ssL证书验证
快速:单实例支持每秒2k+读操作
可靠:采用raft算法,实现分布式系统数据的可用性和一致性
etcd目前默认使用2379端口提供HTTPAPI服务,2380端口和peer通信(这两个端口已经被IANA(互联网数字分配机构)官方预留给etcd)。
即etcd默认使用2379端口对外为客户端提供通讯,使用端口2380来进行服务器间内部通讯。
etcd在生产环境中一般推荐集群方式部署。由于etcd的leader选 举机制,要求至少为3台或以上的奇数台。
准备签发证书环境
CFSSL是CloudFlare 公司开源的一款PKI/TLS工具。CFSSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。
CFSSL使用配置文件生成证书,因此自签之前,需要生成它识别的json格式的配置文件,CFSSL提供了方便的命令行生成配置文件。
CFSSL用来为etcd提供TLS证书,它支持签三种类型的证书:
1、client 证书,服务端连接客户端时携带的证书,用于客户端验证服务端身份,如kube-apiserver 访问etcd;
2、server证书,客户端连接服务端时携带的证书,用于服务端验证客户端身份,如etcd对外提供服务;
3、peer证书,相互之间连接时使用的证书,如etcd节点之间进行验证和通信。
这里全部都使用同一套证书认证。
//在master01 节点上操作
#准备lfssl证书生成工具
wget https://pkg.cfssl .org/R1.2/cfssl_ linux-amd64 -0 /usr/local/bin/cfssl
wget https:/ /pkg.cfssl.org/R1.2/cfssljson linux-amd64 -0 /usr/ local/bin/cfssljson
wget htps:/ /pkg.cfssl .org/R1.2/cfssl : -certinfo linux- amd64 -0 /usr/ local/bin/cfssl -certinfo
chmod +x /usr/local/bin/cfss1*
cfssl: 证书签发的工具命令
cfssljson: 将cfssl 生成的证书(json格式)变为文件承载式证书
cfssl-certinfo:验证证书的信息
cfssl-certinfo -cert <证书名称>
#查看证书的信息
### 生成Etcd证书###
mkdir /opt/ k8s
cd /opt/k8s/
#上传etcd-cert.sh 和etcd.sh到/opt/k8s/ 目录中
chmod +x etcd-cert.sh etcd. sh
#创建用于生成cA证书、etcd服务器证书以及私钥的目录
mkdir /opt/ k8s/etcd-cert
mv etcd-cert.sh etcd-cert/
cd /opt/ k8s/etcd-cert/
. /etcd-cert.sh
#生成CA证书、etcd服务器证书以及私钥
ls
ca-config.json ca-csr.json ca. pem
server .Csr
server- key .pem
ca.csr
ca- key .pem
etcd-cert.sh server-csr.j son
server . pem
#上传etcd-v3.4.9-linux -amd64.tar.gz 到/opt/k8s 目录中,启动etcd服务
cd /opt/k8s/
tar zxvf etcd-v3.4.9- linux- amd64. tar.gz
ls etcd-v3.4.9-1 inux-amd64
Documentation
etcd
etcdctl
README -etcdctl .md README . md
READMEv2 -etcdctl . md
etcd就是etcd服务的启动命令,后面可跟各种启动参数
etcdctl主要为etcd服务提供了命令行操作
#创建用于存放etcd配置文件,命令文件,证书的目录
mkdir -p /opt/etcd/ {cfg,bin,ssl}
cd /opt/k8s/etcd-v3.4.9-linux-amd64/
mv etcd etcdctl /opt/etcd/bin/
cp /opt/ k8s/etcd-cert/* .pem /opt/etcd/ssl/
cd /opt/k8s/
./etcd.sh etcd01 192.168.80.10 etcd02=https://192.168.80.11 :2380, etcd03=https://192.168.80.12:2380.
#进入卡住状态等待其他节点加入,这里需要三台etca服务同时启动,如果只启动其中一台后,服务会卡在那里,直到集群中所有etcd节点都已启动
,可忽略这个情况
#可另外打开一个窗口查看etcd进程是否正常
ps -ef | grep etcd
#把etcd相关证书文件、命令文件和服务管理文件全部拷贝到另外两个etcd集群节点
sCP
-r /opt/etcd/ root@192.168.80.11:/opt/
sCp -r /opt/etcd/ root@192.168.80.12:/opt/
scp /usr/lib/ systemd/ system/etcd. service root@192. 168.80.11: /usr/lib/ systemd/ system/
scp /usr/lib/ systemd/ system/etcd.service root@192.168.80.12: /usr/lib/ systemd/ system/
启动etcd服务
#启动etcd服务
systemctl start etcd
systemctl enable etcd
systemctl status etcd
#检查etcd群集状态
ETCDCTL_ API=3 /opt/etcd/bin/etcdct --cacert=/ opt/etcd/ssl/ca.pem --cert=/opt/etcd/ ssl/ server . pem
-- key=/opt /etcd/ ssl/ server-key . pem --endpoints="https:/ /192.168.80.10:2379,https:/ /192.168.80.11 :2379, https: / I 192.168.80.12:2379
endpoint health --write-out=table
-cert- file: 识别HTTPs端使用ssL证书文件
-key- file: 使用此ssL密钥文件标识HTTPS客户端.
--ca-file:使用此CA证书验证启用https的服务器的证书
--endpoints: 集群中以逗号分隔的机器地址列表
cluster-health:检查etcd集群的运行状况
#查看etcd集群成员列表
ETCDCTL_ API=3 /opt/etcd/bin/etcdctl - -cacert=/opt/etcd/ssl/ca.pem - -cert=/opt/etcd/ssl/server . pem
--key=/opt/ etcd/ss1/server-key. pem --endpoints= "https://192.168。80.10:2379,https://192.168.80.11 :2379,https:/L 192.168.80.12:2379
”" --write-out=table member list
部署Master组件
部署Master组件-------
//在master01节点上操作
#.上传master.zip 和k8s-cert.sh 到/opt/k8s 目录中,解压master.zip 压缩包
cd /opt/k8s/
unzip master.zip
chmod +X★.sh
#创建kubernetes.工作目录
mkdir -P /opt/ kubernetes/ {bin,cfg, ssl, logs}
#创建用于生成cA证书、相关组件的证书和私钥的目录
mkdir /opt/k8s/ k8s-cert
mv /opt/k8s/ k8s-cert.sh /opt/ k8s/k8s-cert
cd /opt/ k8s/k8s-cert/
./k8s-cert.sh
#生成CA证书、相关组件的证书和私钥
ls *pem
admin-key.pem apiserver-key.pem ca-key.pem kube-proxy- key. pem
admin. pem
apiserver .pem .
ca. pem
kube-proxy .pem
#复制CA证书、apiserver相关 证书和私钥到kubernetes. 工作目录的ssl子目录中
cp ca*pem apiserver*pem /opt/ kubernetes/ss1l/
#上传kubernetes-server- linux-amd64.tar.gz 到/opt/k8s/ 目录中,解压kubernetes 压缩包
cd /opt/k8s/
tar zXvf kubernetes-server-l inux -amd64. tar .gz
#复制master组件的关键命令文件到kubernetes. 工作日录的bin子目录中
cd /opt/ k8s/ kubernetes/ server/bin
cp kube - apiserver kubectl kube - controller -manager kube - scheduler /opt/ kubernetes/bin/
ln -s /opt/ kubernetes/bin/* /usr/local/bin/
#创建bootstrap token 认证文件,apiserver 启动时会调用,然后就相当于在集群内创建了一个这个用户,接下来就可以用RBAC 给他授权
cd /opt/ k8s/
vim token. sh
#! /bin/bash
#获取随机数前16个字节内容,以十六进制格式输出,并删除其中空格
BOOTSTRAP_ TOKEN=$ (head -c 16 /dev/urandom | od- Ar
x | tr-d' ')
#生成token.csv 文件,按照Token序列号,用户名,UID,用户组的格式生成
cat > /opt/ kubernetes/cfg/token.csv <<EOF
$ {BOOTSTRAP_TOKEN} , kubelet-bootstrap, 10001, "system: kubelet-bootstrap"
EOF
chmod +x token. sh
. / token. sh
cat /opt/ kubernetes/cfg/ token. csv
#二进制文件、token、 证书都准备好后,开启apiserver 服务
cd /opt/k8s/
./apiserver.sh 192.168.11.3https://192.168.11.3:2379,https://192.168.11.4:2379,https://192.168.11.5:2379
#检查进程是否启动成功
Ps aux | grep kube-apiserver
netstat -natp | grep 6443
#安全端口6443用于接收HTTPs请求,用于基于Token文件或客户端证书等认证
#启动scheduler 服务
cd /opt/k8s/
. / scheduler. sh
ps aux | grep kube- scheduler
#启动controller-manager 服务
. / controller -manager.sh
ps aux | grep kube-controller -manager
#生成kubect1连接集群的kubeconfig文件
. /admin.sh
#绑定默认cluster-admin管理员集群角色,授权kubectl访问集群
kubectl create clusterrolebinding cluster- system- anonymous --clusterrole=cluster- admin --user=system: anonymous
#通过kubect1工具查看当前集群组件状态
kubectl get cs
NAME
STATUS
MESSAGE
ERROR
control ler -manager
Heal thy
scheduler
Healthy
ok
etcd-2
Healthy
{ "health": "true"}
etcd-1
Healthy
{ "health":"true"}
etcd-0
Healthy{ "health": "true" } .
#查看版本信息
kubectl version
部署Worker Node组件
部署Worker Node组件
//在所有node 节点上操作
#创建kubernetes工作目录
mkdir -P /opt/ kubernetes/ {bin,cfg, ssl, logs}
#_上传node.zip到/opt 目录中,解压node.zip 压缩包,获得kubelet.sh、 proxy. sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh
//在master01 节点上操作
#把kubelet、 kube-proxy 拷贝到node 节点
d /opt/ k8s/kubernetes/ server/bin
scp kubelet kube -proxy root@192.168.11.4: /opt/ kubernetes/bin/
scp kubelet kube -proxy root@192.168.11.5: /opt/ kubernetes/bin/
#上传kubeconfig. sh文件到/opt/k8s/ kubeconfig目录中,生成kubelet初次加入集群引导kubeconfig文件和kube-proxy . kubeconfig文件
#kubeconfig文件包含集群参数(CA 证书、API Server地址),客户端参数(. 上面生成的证书和私钥),集群context
上下文参数(集群名称、用户名)。Kubenetes 组件(如kubelet、 kube- proxy) 通过启动时指定不同的kubeconfig
文件可以切换到不同的集群,连接到apiserver.
mkdir /opt/k8s/ kubeconfig
cd /opt/ k8s/ kubeconfig
chmod +x kubeconfig.sh
. / kubeconfig.sh 192.168.11.3/opt/ k8s/ k8s-cert/
#把配置文件bootstrap . kubeconfig、kube-proxy . kubeconfig拷贝到node节点
scp bootstrap. kubeconfig kube-proxy . kubeconfig root@192.168.11.4: /opt/ kubernetes/cfg/
scp bootstrap. kubeconfig kube-proxy . kubeconfig root@192. 168.11.5: /opt/ kubernetes/cfg/
#RBAc授权,使用户kubelet-bootstrap 能够有权限发起CSR请求证书
kubectl create clusterrolebinding kubelet -bootstrap --clusterrole=sys tem: node - - bootstrapper-user=kubelet-bootstrap .
-----------------------------------------------------------------------------------------
kubelet采用TLS |Bootstrapping机制,自动完成到kube-apiserver 的注册,在node 节点量较大或者后期自动扩容时非常有用。
Master apiserver 启用TLS认证后,node节点kubelet组件想要加入集群,必须使用CA签发的有效证书才能与apiserver 通信,当node
节点很多时,签署证书是一件很繁琐的事情。因此Kubernetes 引入了TLS bootstraping 机制来自动颁发客户端证书,kubelet
会以一个低权限用户自动向apiserver 申请证书,kubelet 的证书由apiserver动态签署。
kubelet首次启动通过加载bootstrap. kubeconfig中的用户Token 和apiserver CA证书发起首次CSR请求,这个Token 被预先内置在
apiserver节点的token.csv 中,其身份为kubelet-bootstrap 用户和system: kubelet-bootstrap用户组;想要首次CSR
请求能成功(即不会被apiserver 401 拒绝),则需要先创建一个ClusterRoleBinding, 将kubelet-bootstrap 用户和
system: node -bootstrapper内置ClusterRole 绑定(通过kubectl get clusterroles 可查询),使其能够发起CSR认证请求。
TLS bootstrapping时的证书实际是由kube-controller-manager 组件来签署的,也就是说证书有效期是kube-controller-manager
组件控制的; kube-controller-manager 组件提供了一个--exper imental-cluster-signing-duration参数来设置签署的证书有效时间;默认为
8760h0m0s,将其改为87600h0m0s, 即10年后再进行TLS bootstrapping 签署证书即可。
也就是说kubelet首次访问API Server 时,是使用token 做认证,通过后,Controller Manager会为kubelet
生成一个证书,以后的访问都是用证书做认证了。
-----------------------------------------------------------------------------------------
//在node01 节点上操作
#启动kubelet 服务
cd /opt/
./kubelet.sh 19D. 168.11.4
ps aux | grep kubelet
//在master01节点上操作,通过CSR 请求
#检查到node01节点的kubelet发起的CSR请求,Pending表示等待集群给该节点签发证书
kubectl get csr
NAME
AGE SIGNERNAME
REQUESTOR
CONDITION
node-csr -duiobEzQ0R93HsULoS9NT9JaQy1Mmid_ nBF 3Ei3NtFE
12s
kubernetes. io/ kube-apiserver-client- kubelet
kubelet-bootstrap
Pending
#通过CSR请求
kubectl certificate approve node-csr -duiobEzQ0R93HsULoS9NT9JaQy1Mmid_ nBF3Ei3NtFE
#Approved, Issued表示已授权CSR请求并签发证书
kubectl get csr
NAME
AGE SIGNERNAME
REQUESTOR
CONDITION
node-
r-duiobE zQ0R93HsULoS 9NT9JaQylMmid_ nBF3Ei3NtFE
2m5s kubernetes. io/ kube-api server-cl ient-kubelet kubelet-bootstrap
Approved, Issued
#查看节点,由于网络插件还没有部署,节点会没有准备就绪NotReady
kubectl get node
NAME
STATUS
ROLES
AGE
VERSION
192.168.11.3
NotReady
<none>
108s
v1.20.11
//在node01 节点.上操作
#加载ip_ vs模块
for i in $(1s /usr/ lib/modules/$ (uname -r) /kernel/net/netfilter/ipvsIgrep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i
>/dev/null 2>&1 && /sbin/modprobe $i ;done
#启动proxy服务
cd /opt/
./proxy.sh 192.168.80.11
ps auxI grep kube-proxy
部署网络组件
部署 flannel
------------------------------ 部署网络组件 ------------------------------
---------- 部署 flannel ----------
//在 node01 节点上操作
#上传 cni-plugins-linux-amd64-v0.8.6.tgz 和 flannel.tar 到 /opt 目录中
cd /opt/
docker load -i flannel.tar
mkdir /opt/cni/bin
tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin
//在 master01 节点上操作
#上传 kube-flannel.yml 文件到 /opt/k8s 目录中,部署 CNI 网络
cd /opt/k8s
kubectl apply -f kube-flannel.yml
kubectl get pods -n kube-system
NAME READY STATUS RESTARTS AGE
kube-flannel-ds-hjtc7 1/1 Running 0 7s
kubectl get nodes
NAME STATUS ROLES AGE VERSION
192.168.11.4 Ready <none> 81m v1.20.11
部署 CoreDNS
------------------------------ 部署 CoreDNS ------------------------------
//在所有 node 节点上操作
#上传 coredns.tar 到 /opt 目录中
cd /opt
docker load -i coredns.tar
//在 master01 节点上操作
#上传 coredns.yaml 文件到 /opt/k8s 目录中,部署 CoreDNS
cd /opt/k8s
kubectl apply -f coredns.yaml
kubectl get pods -n kube-system
NAME READY STATUS RESTARTS AGE
coredns-5ffbfd976d-j6shb 1/1 Running 0 32s
#DNS 解析测试
kubectl run -it --rm dns-test --image=busybox:1.28.4 sh
If you don't see a command prompt, try pressing enter.
/ # nslookup kubernetes
Server: 10.0.0.2
Address 1: 10.0.0.2 kube-dns.kube-system.svc.cluster.local
Name: kubernetes
Address 1: 10.0.0.1 kubernetes.default.svc.cluster.local