linux cpu占用率如何看
242
2022-09-12
二进制搭建k8s
二进制搭建k8s
二进制搭建Kubernetes v1.20
机器准备
k8s集群master01: 192.168.11.3 kube-apiserver kube- controller-manager kube-scheduler etcd k8s集群master02: 192. 168.11.6 k8s集群node01: 192. 168.11.4 kubelet kube-proxy docker k8s集群node02: 192.168. 11.5 etcd集群节点1: 192.168.11.3 tcd etcd集群节点2: 192.168.11.4 etcd集群节点3: 192. 168.11.5
==这里要注意,我们要给master,以及node节点至少2核4G的配置,不然可能会资源不够用==
操作系统初始化配置
#关闭防火墙. systemctl stop firewalld systemctl disable firewalld iptables -F && iptables -t nat -F && iptables -t mangle- -F && iptables- X #关闭selinux . setenforce 0 sed -i ' s/enforcing/disabled/' /etc/ selinux/config #关闭swap swapoff -a sed -ri 's/ .*swap.*/#&/' /etc/ fstab #根据规划设置主机名 hostnamectl: set-hostname master01 hos tnamectl set-hostname node01 hostnamectl set-hostname node02 #在master添加hosts cat >> /etc/hosts << EOF 192.168.11.3 master01 192.168.11.4 node01 192.168.11.5 node02 EOF #调整内核参数 cat > /etc/sysctl.d/k8s.conf << EOF #开启网桥模式,可将网桥的流量传递给iptables链 net .bridge .bridge-nf-call- ip6tables = 1 net. bridge . bridge-nf-call- iptables = 1 #关闭ipv6协议 net. ipv6.conf.all.disable_ ipv6=1 net.ipv4.ip_ forward=1 EOF sysctl -- system . #时间同步 ntpdate time1.aliyuan.com
部署etcd集群
|部署etcd集群 etcd是Coreos团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值( key-value)数据库。etcd内 部采用raft协议作为一致性算法,etcd是go语 言编写的。 etcd作为服务发现系统,有以下的特点: 简单:安装配置简单,而且提供了HTTP API进行交互,使用也很简单 安全:支持ssL证书验证 快速:单实例支持每秒2k+读操作 可靠:采用raft算法,实现分布式系统数据的可用性和一致性 etcd目前默认使用2379端口提供HTTPAPI服务,2380端口和peer通信(这两个端口已经被IANA(互联网数字分配机构)官方预留给etcd)。 即etcd默认使用2379端口对外为客户端提供通讯,使用端口2380来进行服务器间内部通讯。 etcd在生产环境中一般推荐集群方式部署。由于etcd的leader选 举机制,要求至少为3台或以上的奇数台。 准备签发证书环境 CFSSL是CloudFlare 公司开源的一款PKI/TLS工具。CFSSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。 CFSSL使用配置文件生成证书,因此自签之前,需要生成它识别的json格式的配置文件,CFSSL提供了方便的命令行生成配置文件。 CFSSL用来为etcd提供TLS证书,它支持签三种类型的证书: 1、client 证书,服务端连接客户端时携带的证书,用于客户端验证服务端身份,如kube-apiserver 访问etcd; 2、server证书,客户端连接服务端时携带的证书,用于服务端验证客户端身份,如etcd对外提供服务; 3、peer证书,相互之间连接时使用的证书,如etcd节点之间进行验证和通信。 这里全部都使用同一套证书认证。
//在master01 节点上操作 #准备lfssl证书生成工具 wget .org/R1.2/cfssl_ linux-amd64 -0 /usr/local/bin/cfssl wget /pkg.cfssl.org/R1.2/cfssljson linux-amd64 -0 /usr/ local/bin/cfssljson wget htps:/ /pkg.cfssl .org/R1.2/cfssl : -certinfo linux- amd64 -0 /usr/ local/bin/cfssl -certinfo chmod +x /usr/local/bin/cfss1* cfssl: 证书签发的工具命令 cfssljson: 将cfssl 生成的证书(json格式)变为文件承载式证书 cfssl-certinfo:验证证书的信息 cfssl-certinfo -cert <证书名称> #查看证书的信息 ### 生成Etcd证书### mkdir /opt/ k8s cd /opt/k8s/ #上传etcd-cert.sh 和etcd.sh到/opt/k8s/ 目录中 chmod +x etcd-cert.sh etcd. sh #创建用于生成cA证书、etcd服务器证书以及私钥的目录 mkdir /opt/ k8s/etcd-cert mv etcd-cert.sh etcd-cert/ cd /opt/ k8s/etcd-cert/ . /etcd-cert.sh #生成CA证书、etcd服务器证书以及私钥 ls ca-config.json ca-csr.json ca. pem server .Csr server- key .pem ca.csr ca- key .pem etcd-cert.sh server-csr.j son server . pem #上传etcd-v3.4.9-linux -amd64.tar.gz 到/opt/k8s 目录中,启动etcd服务 cd /opt/k8s/ tar zxvf etcd-v3.4.9- linux- amd64. tar.gz ls etcd-v3.4.9-1 inux-amd64 Documentation etcd etcdctl README -etcdctl .md README . md READMEv2 -etcdctl . md etcd就是etcd服务的启动命令,后面可跟各种启动参数 etcdctl主要为etcd服务提供了命令行操作 #创建用于存放etcd配置文件,命令文件,证书的目录 mkdir -p /opt/etcd/ {cfg,bin,ssl} cd /opt/k8s/etcd-v3.4.9-linux-amd64/ mv etcd etcdctl /opt/etcd/bin/ cp /opt/ k8s/etcd-cert/* .pem /opt/etcd/ssl/ cd /opt/k8s/ ./etcd.sh etcd01 192.168.80.10 etcd02=:2380, etcd03=https://192.168.80.12:2380. #进入卡住状态等待其他节点加入,这里需要三台etca服务同时启动,如果只启动其中一台后,服务会卡在那里,直到集群中所有etcd节点都已启动 ,可忽略这个情况 #可另外打开一个窗口查看etcd进程是否正常 ps -ef | grep etcd #把etcd相关证书文件、命令文件和服务管理文件全部拷贝到另外两个etcd集群节点 sCP -r /opt/etcd/ root@192.168.80.11:/opt/ sCp -r /opt/etcd/ root@192.168.80.12:/opt/ scp /usr/lib/ systemd/ system/etcd. service root@192. 168.80.11: /usr/lib/ systemd/ system/ scp /usr/lib/ systemd/ system/etcd.service root@192.168.80.12: /usr/lib/ systemd/ system/
启动etcd服务
#启动etcd服务 systemctl start etcd systemctl enable etcd systemctl status etcd #检查etcd群集状态 ETCDCTL_ API=3 /opt/etcd/bin/etcdct --cacert=/ opt/etcd/ssl/ca.pem --cert=/opt/etcd/ ssl/ server . pem -- key=/opt /etcd/ ssl/ server-key . pem --endpoints="/192.168.80.10:2379,/192.168.80.11 :2379, / I 192.168.80.12:2379 endpoint health --write-out=table -cert- file: 识别HTTPs端使用ssL证书文件 -key- file: 使用此ssL密钥文件标识HTTPS客户端. --ca-file:使用此CA证书验证启用https的服务器的证书 --endpoints: 集群中以逗号分隔的机器地址列表 cluster-health:检查etcd集群的运行状况 #查看etcd集群成员列表 ETCDCTL_ API=3 /opt/etcd/bin/etcdctl - -cacert=/opt/etcd/ssl/ca.pem - -cert=/opt/etcd/ssl/server . pem --key=/opt/ etcd/ss1/server-key. pem --endpoints= ":2379,192.168.80.12:2379 ”" --write-out=table member list
部署Master组件
部署Master组件-------
//在master01节点上操作
#.上传master.zip 和k8s-cert.sh 到/opt/k8s 目录中,解压master.zip 压缩包
cd /opt/k8s/
unzip master.zip
chmod +X★.sh
#创建kubernetes.工作目录
mkdir -P /opt/ kubernetes/ {bin,cfg, ssl, logs}
#创建用于生成cA证书、相关组件的证书和私钥的目录
mkdir /opt/k8s/ k8s-cert
mv /opt/k8s/ k8s-cert.sh /opt/ k8s/k8s-cert
cd /opt/ k8s/k8s-cert/
./k8s-cert.sh
#生成CA证书、相关组件的证书和私钥
ls *pem
admin-key.pem apiserver-key.pem ca-key.pem kube-proxy- key. pem
admin. pem
apiserver .pem .
ca. pem
kube-proxy .pem
#复制CA证书、apiserver相关 证书和私钥到kubernetes. 工作目录的ssl子目录中
cp ca*pem apiserver*pem /opt/ kubernetes/ss1l/
#上传kubernetes-server- linux-amd64.tar.gz 到/opt/k8s/ 目录中,解压kubernetes 压缩包
cd /opt/k8s/
tar zXvf kubernetes-server-l inux -amd64. tar .gz
#复制master组件的关键命令文件到kubernetes. 工作日录的bin子目录中
cd /opt/ k8s/ kubernetes/ server/bin
cp kube - apiserver kubectl kube - controller -manager kube - scheduler /opt/ kubernetes/bin/
ln -s /opt/ kubernetes/bin/* /usr/local/bin/
#创建bootstrap token 认证文件,apiserver 启动时会调用,然后就相当于在集群内创建了一个这个用户,接下来就可以用RBAC 给他授权
cd /opt/ k8s/
vim token. sh
#! /bin/bash
#获取随机数前16个字节内容,以十六进制格式输出,并删除其中空格
BOOTSTRAP_ TOKEN=$ (head -c 16 /dev/urandom | od- Ar
x | tr-d' ')
#生成token.csv 文件,按照Token序列号,用户名,UID,用户组的格式生成
cat > /opt/ kubernetes/cfg/token.csv < 部署Worker Node组件 部署Worker Node组件
//在所有node 节点上操作
#创建kubernetes工作目录
mkdir -P /opt/ kubernetes/ {bin,cfg, ssl, logs}
#_上传node.zip到/opt 目录中,解压node.zip 压缩包,获得kubelet.sh、 proxy. sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh
//在master01 节点上操作
#把kubelet、 kube-proxy 拷贝到node 节点
d /opt/ k8s/kubernetes/ server/bin
scp kubelet kube -proxy root@192.168.11.4: /opt/ kubernetes/bin/
scp kubelet kube -proxy root@192.168.11.5: /opt/ kubernetes/bin/
#上传kubeconfig. sh文件到/opt/k8s/ kubeconfig目录中,生成kubelet初次加入集群引导kubeconfig文件和kube-proxy . kubeconfig文件
#kubeconfig文件包含集群参数(CA 证书、API Server地址),客户端参数(. 上面生成的证书和私钥),集群context
上下文参数(集群名称、用户名)。Kubenetes 组件(如kubelet、 kube- proxy) 通过启动时指定不同的kubeconfig
文件可以切换到不同的集群,连接到apiserver.
mkdir /opt/k8s/ kubeconfig
cd /opt/ k8s/ kubeconfig
chmod +x kubeconfig.sh
. / kubeconfig.sh 192.168.11.3/opt/ k8s/ k8s-cert/
#把配置文件bootstrap . kubeconfig、kube-proxy . kubeconfig拷贝到node节点
scp bootstrap. kubeconfig kube-proxy . kubeconfig root@192.168.11.4: /opt/ kubernetes/cfg/
scp bootstrap. kubeconfig kube-proxy . kubeconfig root@192. 168.11.5: /opt/ kubernetes/cfg/
#RBAc授权,使用户kubelet-bootstrap 能够有权限发起CSR请求证书
kubectl create clusterrolebinding kubelet -bootstrap --clusterrole=sys tem: node - - bootstrapper-user=kubelet-bootstrap .
-----------------------------------------------------------------------------------------
kubelet采用TLS |Bootstrapping机制,自动完成到kube-apiserver 的注册,在node 节点量较大或者后期自动扩容时非常有用。
Master apiserver 启用TLS认证后,node节点kubelet组件想要加入集群,必须使用CA签发的有效证书才能与apiserver 通信,当node
节点很多时,签署证书是一件很繁琐的事情。因此Kubernetes 引入了TLS bootstraping 机制来自动颁发客户端证书,kubelet
会以一个低权限用户自动向apiserver 申请证书,kubelet 的证书由apiserver动态签署。
kubelet首次启动通过加载bootstrap. kubeconfig中的用户Token 和apiserver CA证书发起首次CSR请求,这个Token 被预先内置在
apiserver节点的token.csv 中,其身份为kubelet-bootstrap 用户和system: kubelet-bootstrap用户组;想要首次CSR
请求能成功(即不会被apiserver 401 拒绝),则需要先创建一个ClusterRoleBinding, 将kubelet-bootstrap 用户和
system: node -bootstrapper内置ClusterRole 绑定(通过kubectl get clusterroles 可查询),使其能够发起CSR认证请求。
TLS bootstrapping时的证书实际是由kube-controller-manager 组件来签署的,也就是说证书有效期是kube-controller-manager
组件控制的; kube-controller-manager 组件提供了一个--exper imental-cluster-signing-duration参数来设置签署的证书有效时间;默认为
8760h0m0s,将其改为87600h0m0s, 即10年后再进行TLS bootstrapping 签署证书即可。
也就是说kubelet首次访问API Server 时,是使用token 做认证,通过后,Controller Manager会为kubelet
生成一个证书,以后的访问都是用证书做认证了。
-----------------------------------------------------------------------------------------
//在node01 节点上操作
#启动kubelet 服务
cd /opt/
./kubelet.sh 19D. 168.11.4
ps aux | grep kubelet
//在master01节点上操作,通过CSR 请求
#检查到node01节点的kubelet发起的CSR请求,Pending表示等待集群给该节点签发证书
kubectl get csr
NAME
AGE SIGNERNAME
REQUESTOR
CONDITION
node-csr -duiobEzQ0R93HsULoS9NT9JaQy1Mmid_ nBF 3Ei3NtFE
12s
kubernetes. io/ kube-apiserver-client- kubelet
kubelet-bootstrap
Pending
#通过CSR请求
kubectl certificate approve node-csr -duiobEzQ0R93HsULoS9NT9JaQy1Mmid_ nBF3Ei3NtFE
#Approved, Issued表示已授权CSR请求并签发证书
kubectl get csr
NAME
AGE SIGNERNAME
REQUESTOR
CONDITION
node-
r-duiobE zQ0R93HsULoS 9NT9JaQylMmid_ nBF3Ei3NtFE
2m5s kubernetes. io/ kube-api server-cl ient-kubelet kubelet-bootstrap
Approved, Issued
#查看节点,由于网络插件还没有部署,节点会没有准备就绪NotReady
kubectl get node
NAME
STATUS
ROLES
AGE
VERSION
192.168.11.3
NotReady
部署网络组件 部署 flannel ------------------------------ 部署网络组件 ------------------------------
---------- 部署 flannel ----------
//在 node01 节点上操作
#上传 cni-plugins-linux-amd64-v0.8.6.tgz 和 flannel.tar 到 /opt 目录中
cd /opt/
docker load -i flannel.tar
mkdir /opt/cni/bin
tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin
//在 master01 节点上操作
#上传 kube-flannel.yml 文件到 /opt/k8s 目录中,部署 CNI 网络
cd /opt/k8s
kubectl apply -f kube-flannel.yml
kubectl get pods -n kube-system
NAME READY STATUS RESTARTS AGE
kube-flannel-ds-hjtc7 1/1 Running 0 7s
kubectl get nodes
NAME STATUS ROLES AGE VERSION
192.168.11.4 Ready 部署 CoreDNS ------------------------------ 部署 CoreDNS ------------------------------
//在所有 node 节点上操作
#上传 coredns.tar 到 /opt 目录中
cd /opt
docker load -i coredns.tar
//在 master01 节点上操作
#上传 coredns.yaml 文件到 /opt/k8s 目录中,部署 CoreDNS
cd /opt/k8s
kubectl apply -f coredns.yaml
kubectl get pods -n kube-system
NAME READY STATUS RESTARTS AGE
coredns-5ffbfd976d-j6shb 1/1 Running 0 32s
#DNS 解析测试
kubectl run -it --rm dns-test --image=busybox:1.28.4 sh
If you don't see a command prompt, try pressing enter.
/ # nslookup kubernetes
Server: 10.0.0.2
Address 1: 10.0.0.2 kube-dns.kube-system.svc.cluster.local
Name: kubernetes
Address 1: 10.0.0.1 kubernetes.default.svc.cluster.local
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
相关文章
发表评论
暂时没有评论,来抢沙发吧~