备案控制台
开发者社区 云原生 文章 正文

【云原生Kubernetes】二进制搭建Kubernetes集群(上)——部署etcd集群和单master(2)

2022-11-15 224
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 本文将带大家一起通过二进制搭建Kubernetes v1.20,因为实验内容较多,故分成上、中、下三篇文章进行展示。

三、部署 Master 组件

master01:192.168.41.10

#在 master01 节点上操作,因为master01和etcd01部署在同一台机器上,所以/opt/k8s/目录已存在。
 #上传 master.zip 和 k8s-cert.sh 到 /opt/k8s 目录中,解压 master.zip 压缩包
 cd /opt/k8s/
 unzip master.zip
 chmod +x *.sh    #为所有脚本文件加上执行权限
 #创建kubernetes工作目录
 mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}
 #创建用于生成CA证书、相关组件的证书和私钥的目录
 mkdir /opt/k8s/k8s-cert/
 mv /opt/k8s/k8s-cert.sh /opt/k8s/k8s-cert/    #将k8s-cert.sh脚本移动到该目录
 cd /opt/k8s/k8s-cert/                         #切换到该目录
 ./k8s-cert.sh   #运行脚本,生成CA证书、相关组件的证书和私钥
 #查看生成的证书文件
 ls *pem
 admin-key.pem  apiserver-key.pem  ca-key.pem  kube-proxy-key.pem  
 admin.pem      apiserver.pem      ca.pem      kube-proxy.pem
 #复制CA证书、apiserver相关证书和私钥到kubernetes工作目录的ssl子目录中
 cp ca*pem apiserver*pem /opt/kubernetes/ssl/
 #上传 kubernetes-server-linux-amd64.tar.gz 到 /opt/k8s/ 目录中,解压 kubernetes 压缩包。
 #下载地址: https://github.com/kubernetes/kubernetes/blob/release-1.20/CHANGELOG/CHANGELOG-1.20.nd
 #注:打开链接你会发现里面有很多包,下载一个server包就够了,包含了Master和Worker Node二进制文件。
 cd /opt/k8s/
 tar zxvf kubernetes-server-linux-amd64.tar.gz
 #复制master组件的关键命令文件到kubernetes工作目录的bin子目录中
 cd /opt/k8s/kubernetes/server/bin
 cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/
 ln -s /opt/kubernetes/bin/* /usr/local/bin/  #创建软链接,方便系统识别命令
 #创建 bootstrap token 认证文件,apiserver 启动时会调用,然后就相当于在集群内创建了一个这个用户,接下来就可以用 RBAC 给他授权
 cd /opt/k8s/
 vim token.sh
 #!/bin/bash
 #获取随机数前16个字节内容,以十六进制格式输出,并删除其中空格
 BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
 #生成 token.csv 文件,按照 Token序列号,用户名,UID,用户组 的格式生成
 cat > /opt/kubernetes/cfg/token.csv <<EOF
 ${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
 EOF
 chmod +x token.sh    #为脚本增加执行权限
 ./token.sh           #运行脚本     
 cat /opt/kubernetes/cfg/token.csv
 #二进制文件、token、证书都准备好后,开启apiserver服务,和etcd进行对接。
 cd /opt/k8s/
 #脚本后面跟master01的IP,以及etcd集群的地址和端口
 ./apiserver.sh 192.168.41.10 https://192.168.41.10:2379,https://192.168.41.42:2379,https://192.168.41.43:2379
 #检查进程是否启动成功
 ps aux | grep kube-apiserver
 netstat -natp | grep 6443   #安全端口6443用于接收HTTPS请求,用于基于Token文件或客户端证书等认证
 #启动 scheduler 服务
 ./scheduler.sh
 ps aux | grep kube-scheduler
 #启动 controller-manager 服务
 ./controller-manager.sh
 ps aux | grep kube-controller-manager
 #生成kubectl连接集群的kubeconfig文件,即令kubectl对接apiserver
 ./admin.sh
 #绑定默认cluster-admin管理员集群角色,授权kubectl访问集群
 kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous
 #通过kubectl工具查看当前集群组件状态
 kubectl get cs
 NAME                 STATUS    MESSAGE             ERROR
 controller-manager   Healthy   ok                  
 scheduler            Healthy   ok                  
 etcd-2               Healthy   {"health":"true"}   
 etcd-1               Healthy   {"health":"true"}   
 etcd-0               Healthy   {"health":"true"}  
 #查看版本信息
 kubectl version
复制代码


网络异常,图片无法展示
|


网络异常,图片无法展示
|


修改k8s-cert.sh脚本,之后运行脚本,生成CA证书、相关组件的证书和私钥:

网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


修改apiserver.sh脚本,之后执行脚本开启apiserver服务:

网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


修改scheduler.sh脚本,之后执行脚本开启scheduler服务:

网络异常,图片无法展示
|


网络异常,图片无法展示
|


修改controller-manager.sh脚本,之后执行脚本开启controller-manager服务:

网络异常,图片无法展示
|


网络异常,图片无法展示
|


修改admin.sh脚本,之后执行脚本,使kubectl对接apiserver:

网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


附录1:k8s-cert.sh脚本

#!/bin/bash
 #配置证书生成策略,让 CA 软件知道颁发有什么功能的证书,生成用来签发其他组件证书的根证书
 cat > ca-config.json <<EOF
 {
   "signing": {
     "default": {
       "expiry": "87600h"
     },
     "profiles": {
       "kubernetes": {
          "expiry": "87600h",
          "usages": [
             "signing",
             "key encipherment",
             "server auth",
             "client auth"
         ]
       }
     }
   }
 }
 EOF
 #生成CA证书和私钥(根证书和私钥)
 cat > ca-csr.json <<EOF
 {
     "CN": "kubernetes",
     "key": {
         "algo": "rsa",
         "size": 2048
     },
     "names": [
         {
             "C": "CN",
             "L": "Beijing",
             "ST": "Beijing",
             "O": "k8s",
             "OU": "System"
         }
     ]
 }
 EOF
 cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
 #-----------------------
 #生成 apiserver 的证书和私钥(apiserver和其它k8s组件通信使用)
 #hosts中将所有可能作为 apiserver 的 ip 添加进去,后面 keepalived 使用的VIP 也要加入
 cat > apiserver-csr.json <<EOF
 {
     "CN": "kubernetes",
     "hosts": [
       "10.0.0.1",
       "127.0.0.1",
       "192.168.41.10",    #master01。使用脚本时,要将这5行注释删除
       "192.168.41.20",    #master02
       "192.168.41.100",   #vip,后面keepalived要用到
       "192.168.41.44",    #负载均衡器01(master)
       "192.168.41.45",    #负载均衡器02(backup)
       "kubernetes",
       "kubernetes.default",
       "kubernetes.default.svc",
       "kubernetes.default.svc.cluster",
       "kubernetes.default.svc.cluster.local"
     ],
     "key": {
         "algo": "rsa",
         "size": 2048
     },
     "key": {
         "algo": "rsa",
         "size": 2048
     },
     "names": [
         {
             "C": "CN",
             "L": "BeiJing",
             "ST": "BeiJing",
             "O": "k8s",
             "OU": "System"
         }
     ]
 }
 EOF
 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes apiserver-csr.json | cfssljson -bare apiserver
 #-----------------------
 #生成 kubectl 连接集群的证书和私钥,具有admin权限
 cat > admin-csr.json <<EOF
 {
   "CN": "admin",
   "hosts": [],
   "key": {
     "algo": "rsa",
     "size": 2048
   },
   "names": [
     {
       "C": "CN",
       "L": "BeiJing",
       "ST": "BeiJing",
       "O": "system:masters",
       "OU": "System"
     }
   ]
 }
 EOF
 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin
 #-----------------------
 #生成 kube-proxy 的证书和私钥
 cat > kube-proxy-csr.json <<EOF
 {
   "CN": "system:kube-proxy",
   "hosts": [],
   "key": {
     "algo": "rsa",
     "size": 2048
   },
   "names": [
     {
       "C": "CN",
       "L": "BeiJing",
       "ST": "BeiJing",
       "O": "k8s",
       "OU": "System"
     }
   ]
 }
 EOF
 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy
复制代码


附录2:apiserver.sh

#!/bin/bash
 #example: apiserver.sh 192.168.41.10 https://192.168.41.10:2379,https://192.168.41.42:2379,https://192.168.41.43:2379
 #创建 kube-apiserver 启动参数配置文件
 MASTER_ADDRESS=$1
 ETCD_SERVERS=$2
 cat >/opt/kubernetes/cfg/kube-apiserver <<EOF
 KUBE_APISERVER_OPTS="--logtostderr=false  \
 --v=2 \
 --log-dir=/opt/kubernetes/logs \
 --etcd-servers=${ETCD_SERVERS} \
 --bind-address=${MASTER_ADDRESS} \
 --secure-port=6443 \
 --advertise-address=${MASTER_ADDRESS} \
 --allow-privileged=true \
 --service-cluster-ip-range=10.0.0.0/24 \
 --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,NodeRestriction \
 --authorization-mode=RBAC,Node \
 --enable-bootstrap-token-auth=true \
 --token-auth-file=/opt/kubernetes/cfg/token.csv \
 --service-node-port-range=30000-50000 \
 --kubelet-client-certificate=/opt/kubernetes/ssl/apiserver.pem \
 --kubelet-client-key=/opt/kubernetes/ssl/apiserver-key.pem \
 --tls-cert-file=/opt/kubernetes/ssl/apiserver.pem  \
 --tls-private-key-file=/opt/kubernetes/ssl/apiserver-key.pem \
 --client-ca-file=/opt/kubernetes/ssl/ca.pem \
 --service-account-key-file=/opt/kubernetes/ssl/ca-key.pem \
 --service-account-issuer=api \
 --service-account-signing-key-file=/opt/kubernetes/ssl/apiserver-key.pem \
 --etcd-cafile=/opt/k8s/etcd-cert/ca.pem \
 --etcd-certfile=/opt/k8s/etcd-cert/server.pem \
 --etcd-keyfile=/opt/k8s/etcd-cert/server-key.pem \
 --requestheader-client-ca-file=/opt/kubernetes/ssl/ca.pem \
 --proxy-client-cert-file=/opt/kubernetes/ssl/apiserver.pem \
 --proxy-client-key-file=/opt/kubernetes/ssl/apiserver-key.pem \
 --requestheader-allowed-names=kubernetes \
 --requestheader-extra-headers-prefix=X-Remote-Extra- \
 --requestheader-group-headers=X-Remote-Group \
 --requestheader-username-headers=X-Remote-User \
 --enable-aggregator-routing=true \
 --audit-log-maxage=30 \
 --audit-log-maxbackup=3 \
 --audit-log-maxsize=100 \
 --audit-log-path=/opt/kubernetes/logs/k8s-audit.log"
 EOF
 #--logtostderr=true:启用日志。输出日志到标准错误控制台,不输出到文件
 #--v=4:日志等级。指定输出日志的级别,v=4为调试级别详细输出
 #--etcd-servers:etcd集群地址。指定etcd服务器列表(格式://ip:port),逗号分隔
 #--bind-address:监听地址。指定 HTTPS 安全接口的监听地址,默认值0.0.0.0
 #--secure-port:https安全端口。指定 HTTPS 安全接口的监听端口,默认值6443
 #--advertise-address:集群通告地址。通过该 ip 地址向集群其他节点公布 api server 的信息,必须能够被其他节点访问
 #--allow-privileged=true:启用授权。允许拥有系统特权的容器运行,默认值false
 #--service-cluster-ip-range:Service虚拟IP地址段。指定 Service Cluster IP 地址段
 #--enable-admission-plugins:准入控制模块。kuberneres集群的准入控制机制,各控制模块以>插件的形式依次生效,集群时必须包含ServiceAccount,运行在认证(Authentication)、授权(Authorization)之后,Admission Control是权限认证链上的最后一环, 对请求API资源对象进行修改和校验
 #--authorization-mode:认证授权,启用RBAC授权和节点自管理。在安全端口使用RBAC,Node授权模式,未通过授权的请求拒绝,默认值AlwaysAllow。RBAC是用户通过角色与权限进行关联的模式>;Node模式(节点授权)是一种特殊用途的授权模式,专门授权由kubelet发出的API请求,在进行认证时,先通过用户名、用户分组验证是否是集群中的Node节点,只有是Node节点的请求才能使用Node模式授权
 #--enable-bootstrap-token-auth:启用TLS bootstrap机制。在apiserver上启用Bootstrap Token 认证
 #--token-auth-file=/opt/kubernetes/cfg/token.csv:指定bootstrap token认证文件路径
 #--service-node-port-range:指定 Service  NodePort 的端口范围,默认值30000-32767
 #–-kubelet-client-xxx:apiserver访问kubelet客户端证书
 #--tls-xxx-file:apiserver https证书
 #1.20版本必须加的参数:–-service-account-issuer,–-service-account-signing-key-file
 #--etcd-xxxfile:连接Etcd集群证书
 #–-audit-log-xxx:审计日志
 #启动聚合层相关配置:–requestheader-client-ca-file,–proxy-client-cert-file,–proxy-client-key-file,–requestheader-allowed-names,–requestheader-extra-headers-prefix,–requestheader-group-headers,–requestheader-username-headers,–enable-aggregator-routing
 #创建 kube-apiserver.service 服务管理文件
 cat >/usr/lib/systemd/system/kube-apiserver.service <<EOF
 [Unit]
 Description=Kubernetes API Server
 Documentation=https://github.com/kubernetes/kubernetes
 [Service]
 EnvironmentFile=-/opt/kubernetes/cfg/kube-apiserver
 ExecStart=/opt/kubernetes/bin/kube-apiserver $KUBE_APISERVER_OPTS
 Restart=on-failure
 [Install]
 WantedBy=multi-user.target
 EOF
 systemctl daemon-reload
 systemctl enable kube-apiserver
 systemctl restart kube-apiserver
复制代码


附录3:scheduler.sh

#!/bin/bash
 ##创建 kube-scheduler 启动参数配置文件
 MASTER_ADDRESS=$1
 cat >/opt/kubernetes/cfg/kube-scheduler <<EOF
 KUBE_SCHEDULER_OPTS="--logtostderr=false \
 --v=2 \
 --log-dir=/opt/kubernetes/logs \
 --leader-elect=true \
 --kubeconfig=/opt/kubernetes/cfg/kube-scheduler.kubeconfig \
 --bind-address=127.0.0.1"
 EOF
 #-–kubeconfig:连接 apiserver 用的配置文件,用于识别 k8s 集群
 #--leader-elect=true:当该组件启动多个时,自动启动 leader 选举
 #k8s中Controller-Manager和Scheduler的选主逻辑:k8s中的etcd是整个集群所有状态信>息的存储,涉及数据的读写和多个etcd之间数据的同步,对数据的一致性要求严格,所以>使用较复杂的 raft 算法来选择用于提交数据的主节点。而 apiserver 作为集群入口,本身是无状态的web服务器,多个 apiserver 服务之间直接负载请求并不需要做选主。Controller-Manager 和 Scheduler 作为任务类型的组件,比如 controller-manager 内置的 k8s 各种资源对象的控制器实时的 watch apiserver 获取对象最新的变化事件做期望状态>和实际状态调整,调度器watch未绑定节点的pod做节点选择,显然多个这些任务同时工作>是完全没有必要的,所以 controller-manager 和 scheduler 也是需要选主的,但是选主逻辑和 etcd 不一样的,这里只需要保证从多个 controller-manager 和 scheduler 之间选出一个 leader 进入工作状态即可,而无需考虑它们之间的数据一致和同步。
 ##生成kube-scheduler证书
 cd /opt/k8s/k8s-cert/
 #创建证书请求文件
 cat > kube-scheduler-csr.json << EOF
 {
   "CN": "system:kube-scheduler",
   "hosts": [],
   "key": {
     "algo": "rsa",
     "size": 2048
   },
   "names": [
     {
       "C": "CN",
       "L": "BeiJing",
       "ST": "BeiJing",
       "O": "system:masters",
       "OU": "System"
     }
   ]
 }
 EOF
 #生成证书
 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-scheduler-csr.json | cfssljson -bare kube-scheduler
 #生成kubeconfig文件
 KUBE_CONFIG="/opt/kubernetes/cfg/kube-scheduler.kubeconfig"
 KUBE_APISERVER="https://192.168.41.10:6443"   #master01的IP
 kubectl config set-cluster kubernetes \
   --certificate-authority=/opt/kubernetes/ssl/ca.pem \
   --embed-certs=true \
   --server=${KUBE_APISERVER} \
   --kubeconfig=${KUBE_CONFIG}
 kubectl config set-credentials kube-scheduler \
   --client-certificate=./kube-scheduler.pem \
   --client-key=./kube-scheduler-key.pem \
   --embed-certs=true \
   --kubeconfig=${KUBE_CONFIG}
 kubectl config set-context default \
   --cluster=kubernetes \
   --user=kube-scheduler \
   --kubeconfig=${KUBE_CONFIG}
 kubectl config use-context default --kubeconfig=${KUBE_CONFIG}
 ##创建 kube-scheduler.service 服务管理文件
 cat >/usr/lib/systemd/system/kube-scheduler.service <<EOF
 [Unit]
 Description=Kubernetes Scheduler
 Documentation=https://github.com/kubernetes/kubernetes
 [Service]
 EnvironmentFile=-/opt/kubernetes/cfg/kube-scheduler
 ExecStart=/opt/kubernetes/bin/kube-scheduler $KUBE_SCHEDULER_OPTS
 Restart=on-failure
 [Install]
 WantedBy=multi-user.target
 EOF
 systemctl daemon-reload
 systemctl enable kube-scheduler
 systemctl restart kube-scheduler
复制代码


附录4:controller-manager.sh

#!/bin/bash
 ##创建 kube-controller-manager 启动参数配置文件
 MASTER_ADDRESS=$1
 cat >/opt/kubernetes/cfg/kube-controller-manager <<EOF
 KUBE_CONTROLLER_MANAGER_OPTS="--logtostderr=false \
 --v=2 \
 --log-dir=/opt/kubernetes/logs \
 --leader-elect=true \
 --kubeconfig=/opt/kubernetes/cfg/kube-controller-manager.kubeconfig \
 --bind-address=127.0.0.1 \
 --allocate-node-cidrs=true \
 --cluster-cidr=10.244.0.0/16 \
 --service-cluster-ip-range=10.0.0.0/24 \
 --cluster-signing-cert-file=/opt/kubernetes/ssl/ca.pem \
 --cluster-signing-key-file=/opt/kubernetes/ssl/ca-key.pem  \
 --root-ca-file=/opt/kubernetes/ssl/ca.pem \
 --service-account-private-key-file=/opt/kubernetes/ssl/ca-key.pem \
 --cluster-signing-duration=87600h0m0s"
 EOF
 #––leader-elect:当该组件启动多个时,自动选举(HA)
 #-–kubeconfig:连接 apiserver 用的配置文件,用于识别 k8s 集群
 #--cluster-cidr=10.244.0.0/16:pod资源的网段,需与pod网络插件的值设置一致。通常,Flannel网络插件的默认为10.244.0.0/16,Calico插件的默认值为192.168.0.0/16
 #--cluster-signing-cert-file/–-cluster-signing-key-file:自动为kubelet颁发证书>的CA,与apiserver保持一致。指定签名的CA机构根证书,用来签名为 TLS BootStrapping 创建的证书和私钥
 #--root-ca-file:指定根CA证书文件路径,用来对 kube-apiserver 证书进行校验,指定该参数后,才会在 Pod 容器的 ServiceAccount 中放置该 CA 证书文件
 #--experimental-cluster-signing-duration:设置为 TLS BootStrapping 签署的证书有效时间为10年,默认为1年
 ##生成kube-controller-manager证书
 cd /opt/k8s/k8s-cert/
 #创建证书请求文件
 cat > kube-controller-manager-csr.json << EOF
 {
   "CN": "system:kube-controller-manager",
   "hosts": [],
   "key": {
     "algo": "rsa",
     "size": 2048
   },
   "names": [
     {
       "C": "CN",
       "L": "BeiJing",
       "ST": "BeiJing",
       "O": "system:masters",
       "OU": "System"
     }
   ]
 }
 EOF
 #生成证书
 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-controller-manager-csr.json | cfssljson -bare kube-controller-manager
 #生成kubeconfig文件
 KUBE_CONFIG="/opt/kubernetes/cfg/kube-controller-manager.kubeconfig"
 KUBE_APISERVER="https://192.168.41.10:6443"   #master01的IP
 kubectl config set-cluster kubernetes \
   --certificate-authority=/opt/kubernetes/ssl/ca.pem \
   --embed-certs=true \
   --server=${KUBE_APISERVER} \
   --kubeconfig=${KUBE_CONFIG}
 kubectl config set-credentials kube-controller-manager \
   --client-certificate=./kube-controller-manager.pem \
   --client-key=./kube-controller-manager-key.pem \
   --embed-certs=true \
   --kubeconfig=${KUBE_CONFIG}
 kubectl config set-context default \
   --cluster=kubernetes \
   --user=kube-controller-manager \
   --kubeconfig=${KUBE_CONFIG}
 kubectl config use-context default --kubeconfig=${KUBE_CONFIG}
 ##创建 kube-controller-manager.service 服务管理文件
 cat >/usr/lib/systemd/system/kube-controller-manager.service <<EOF
 [Unit]
 Description=Kubernetes Controller Manager
 Documentation=https://github.com/kubernetes/kubernetes
 [Service]
 EnvironmentFile=-/opt/kubernetes/cfg/kube-controller-manager
 ExecStart=/opt/kubernetes/bin/kube-controller-manager $KUBE_CONTROLLER_MANAGER_OPTS
 Restart=on-failure
 [Install]
 WantedBy=multi-user.target
 EOF
 systemctl daemon-reload
 systemctl enable kube-controller-manager
 systemctl restart kube-controller-manager
复制代码


附录5:admin.sh

#!/bin/bash
 mkdir /root/.kube
 KUBE_CONFIG="/root/.kube/config"
 KUBE_APISERVER="https://192.168.41.10:6443"   #master01的IP
 cd /opt/k8s/k8s-cert/
 kubectl config set-cluster kubernetes \
   --certificate-authority=/opt/kubernetes/ssl/ca.pem \
   --embed-certs=true \
   --server=${KUBE_APISERVER} \
   --kubeconfig=${KUBE_CONFIG}
 kubectl config set-credentials cluster-admin \
   --client-certificate=./admin.pem \
   --client-key=./admin-key.pem \
   --embed-certs=true \
   --kubeconfig=${KUBE_CONFIG}
 kubectl config set-context default \
   --cluster=kubernetes \
   --user=cluster-admin \
   --kubeconfig=${KUBE_CONFIG}
 kubectl config use-context default --kubeconfig=${KUBE_CONFIG}
复制代码


总结:

etcd数据库:

  • 分布式键值对型的数据库,服务发现系统(之前的docker-consul 就是服务发现)
  • go语言开发的,使用raft-a致性算法
  • 部署集群时需要3台或以上的奇数台
  • 2379 对外(客户端)通信的端口
  • 2380 对内(集群内部节点间)通信的端口

etcd安装步骤:

  1. 使用CFSSL工具,生成ca证书和私钥文件,再使用ca签发服务端证书和私钥文件
  2. 使用ca证书、服务端证书和私钥文件加上etcd集群配置文件,去启动etcd服务
  3. 解压etcd软件包
  4. 复制etcd工作目录和服务管理文件到另外几个节点上,修改etcd集群配置文件并启动etcd服务
  5. 使用v3版本的接口执行etcdctl +证书选项+ (endpoint health | endpoint status | member list) 查看etcd 集群和节点状态

正常情况etcd应该生成三套证书:客户端证书,服务端证书,对等体证书(内部)。初学者可以先只生成两套。

master组件安装步骤:

1.先安装apiserver

  • 准备组件的相关证书和私钥文件
  • 准备bootstraptoken认证文件(给kubelet启动时签发证书时使用)
  • 准备组件的启动配置文件
  • 启动apiserver 服务、端口号、6443、https

2.再启动controller-manager 和scheduler

  • 准备启动配置文件
  • 准备证书和私钥文件生成kubeconfig 文件(用于指定对接哪个apiserver,使用什么证书认证)
  • 启动服务

3.检查集群组件状态

  • 需要准备kubeconfig 文件,把kubectl 加入到集群中( 指定对接哪个apiserver,使用什么证书认证)
  • kubectl get cs
文章标签:
容器服务Kubernetes版
日志服务
Go
容器
Cloud Native
Kubernetes
算法
数据库
关键词:
云原生部署
云原生kubernetes
容器服务Kubernetes版云原生
容器服务Kubernetes版集群
容器服务Kubernetes版部署
相关实践学习
容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
通过本实验,您将了解到容器服务Serverless版ACK Serverless 的基本产品能力,即可以实现快速部署一个在线魔方应用,并借助阿里云容器服务成熟的产品生态,实现在线应用的企业级监控,提升应用稳定性。
云原生实践公开课
课程大纲 开篇:如何学习并实践云原生技术 基础篇: 5 步上手 Kubernetes 进阶篇:生产环境下的 K8s 实践 相关的阿里云产品:容器服务&nbsp;ACK 容器服务&nbsp;Kubernetes&nbsp;版(简称&nbsp;ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情:&nbsp;https://www.aliyun.com/product/kubernetes
iomafilfjtgvs
目录
相关文章
牵着猫散步的鼠鼠
|
6天前
|
Kubernetes 应用服务中间件 Docker
Kubernetes学习-集群搭建篇(二) 部署Node服务,启动JNI网络插件
Kubernetes学习-集群搭建篇(二) 部署Node服务,启动JNI网络插件
牵着猫散步的鼠鼠
34 4
肥猪肥猪-17824
|
6天前
|
运维 Kubernetes Cloud Native
构建高效云原生运维体系:Kubernetes最佳实践
【5月更文挑战第9天】 在动态和快速演变的云计算环境中,高效的运维是确保应用稳定性与性能的关键。本文将深入探讨在Kubernetes环境下,如何通过一系列最佳实践来构建一个高效且响应灵敏的云原生运维体系。文章不仅涵盖了容器化技术的选择与优化、自动化部署、持续集成/持续交付(CI/CD)流程的整合,还讨论了监控、日志管理以及灾难恢复策略的重要性。这些实践旨在帮助运维团队有效应对微服务架构下的复杂性,确保系统可靠性及业务的连续性。
肥猪肥猪-17824
50 0
众所周知
|
2天前
|
存储 弹性计算 Kubernetes
【阿里云云原生专栏】深入解析阿里云Kubernetes服务ACK:企业级容器编排实战
【5月更文挑战第20天】阿里云ACK是高性能的Kubernetes服务,基于开源Kubernetes并融合VPC、SLB等云资源。它提供强大的集群管理、无缝兼容Kubernetes API、弹性伸缩、安全隔离及监控日志功能。用户可通过控制台或kubectl轻松创建和部署应用,如Nginx。此外,ACK支持自动扩缩容、服务发现、负载均衡和持久化存储。多重安全保障和集成监控使其成为企业云原生环境的理想选择。
众所周知
118 3
咕噜咕噜wy
|
5天前
|
Kubernetes 前端开发 容器
k8s部署模板
k8s部署模板
咕噜咕噜wy
11 0
GG2020gg
|
6天前
|
运维 Kubernetes Linux
Kubernetes详解(七)——Service对象部署和应用
Kubernetes详解(七)——Service对象部署和应用
GG2020gg
12 3
GG2020gg
|
6天前
|
Kubernetes 应用服务中间件 nginx
Kubernetes详解(六)——Pod对象部署和应用
在Kubernetes系列中,本文聚焦Pod对象的部署和管理。首先,通过`kubectl run`命令创建Pod,如`kubectl run pod-test --image=nginx:1.12 --port=80 --replicas=1`。接着,使用`kubectl get deployment`或`kubectl get pods`查看Pod信息,添加`-o wide`参数获取详细详情。然后,利用Pod的IP地址进行访问。最后,用`kubectl delete pods [Pod名]`删除Pod,但因Controller控制器,删除后Pod可能自动重建。了解更多细节,请参阅原文链接。
GG2020gg
16 5
GG2020gg
|
6天前
|
Kubernetes Linux Docker
Kubernetes详解(四)——基于kubeadm的Kubernetes部署
Kubernetes详解(四)——基于kubeadm的Kubernetes部署
GG2020gg
26 2
桃李春风一杯酒
|
6天前
|
Kubernetes Cloud Native 持续交付
【Docker专栏】Kubernetes与Docker:协同构建云原生应用
【5月更文挑战第7天】本文探讨了Docker和Kubernetes如何协同构建和管理云原生应用。Docker提供容器化技术,Kubernetes则负责容器的部署和管理。两者结合实现快速部署、自动扩展和高可用性。通过编写Dockerfile创建镜像,然后在Kubernetes中定义部署和服务进行应用暴露。实战部分展示了如何部署简单Web应用,包括编写Dockerfile、构建镜像、创建Kubernetes部署配置以及暴露服务。Kubernetes还具备自动扩展、滚动更新和健康检查等高级特性,为云原生应用管理提供全面支持。
桃李春风一杯酒
33 7
【Docker专栏】Kubernetes与Docker:协同构建云原生应用
mrq4nk6ni2neg
|
2天前
|
运维 监控 Kubernetes
Kubernetes 集群的监控与日志管理最佳实践
【5月更文挑战第19天】 在现代微服务架构中,容器编排平台如Kubernetes已成为部署、管理和扩展应用程序的关键工具。随着其应用范围不断扩大,集群的稳定性和性能监控变得至关重要。本文将探讨针对Kubernetes集群的监控策略,并深入分析日志管理的实现方法。通过介绍先进的技术堆栈和实用工具,旨在为运维专家提供一套完整的解决方案,以确保集群运行的透明度和可靠性。
mrq4nk6ni2neg
33 3
请看我回答~
|
3天前
|
存储 运维 监控
Kubernetes 集群的监控与性能优化策略
【5月更文挑战第19天】 在微服务架构日益普及的背景下,容器编排工具如Kubernetes已成为部署、管理和扩展服务的关键平台。然而,随着集群规模的增长和服务的复杂化,有效的监控和性能优化成为确保系统稳定性和高效性的重要挑战。本文将探讨针对Kubernetes集群监控的最佳实践,并提出一系列性能优化策略,旨在帮助运维人员识别潜在的瓶颈,保障服务的持续可靠性及响应速度。
请看我回答~
12 0

热门文章

最新文章

  • 1
    云原生数据仓库产品使用合集之在云数据仓库ADB中,GROUP BY操作中出现NULL值,如何解决
  • 2
    云原生数据仓库产品使用合集之阿里云云原生数据仓库AnalyticDB PostgreSQL版的重分布时间主要取决的是什么
  • 3
    阿里云助力开发者创新:探索云原生技术的新境界
  • 4
    《Go 简易速速上手小册》第10章:微服务与云原生应用(2024 最新版)(上)
  • 5
    《Go 简易速速上手小册》第10章:微服务与云原生应用(2024 最新版)(下)
  • 6
    探索云原生架构:为企业数字化转型插上翅膀
  • 7
    探索云原生架构的未来:企业数字化转型的加速器
  • 8
    Kubernetes(K8S)集群管理Docker容器(概念篇)
  • 9
    Docker+Kubernetes/K8s+Jenkins视频资料【干货分享】
  • 10
    Kubernetes 集群的持续性能优化实践
  • 1
    如何通过计算巢在ACK集群上使用Istio服务网格
    36
  • 2
    Docker容器管理
    38
  • 3
    云原生K8S场景自动化响应ECS系统事件
    123
  • 4
    云计算中的容器化技术:Docker与Kubernetes的实践
    203
  • 5
    934.【kubernetes】kubeadm版本更新证书
    89
  • 6
    TCP 中的 Delay ACK 和 Nagle 算法
    39
  • 7
    K8S基于NFS来动态创建PV【亲测可用】
    94
  • 8
    深入浅出:使用Docker容器化部署Python Web应用
    111
  • 9
    深入探讨 Prometheus 在 Kubernetes 上的部署和实战操作
    270
  • 10
    K8S客户端二 使用Rancher部署服务
    106

    • 相关课程

    更多
  • 体验-Kubernetes 对象及资源规范
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 相关实验场景

    更多
  • ACK集群应用部署进阶
  • 容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
  • 基于云原生网关实现微服务的多版本线上灰度
  • 使用Kubectl部署web服务到K8s集群

    • 推荐镜像

    更多
  • kubernetes
  • pouch
  • docker-ce
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考