【kubernetes】二进制文件方式安装 Kubernetes 集群(二)

简介: 【kubernetes】二进制文件方式安装 Kubernetes 集群(二)

正文


1. 下载 Kubernetes 服务器的二进制文件


在 Github 下载 Kubernetes 的二进制文件(先进入 Release 页面,再点击 CHANGELOG),


13.webp (1).jpg

Release 页


14.webp.jpg

CHANGELOG 页


下载 Server 端二进制(Server Binaries)文件的下载页面进行下载。

主要的服务程序二进制文件列表如下所示,


文件名 说明
kube-apiserver kube-apiserver 主程序
kube-apiserver.docker_tag kube-apiserver docker 镜像的 tag
kube-apiserver.tar kube-apiserver docker 镜像文件
kube-controller-manager kube-controller-manager 主程序
kube-controller-manager.docker_tag kube-controller-manager docker 镜像的 tag
kube-controller-manager.tar kube-controller-manager docker 镜像文件
kube-scheduler kube-scheduler 主程序
kube-scheduler.docker_tag kube-scheduler docker 镜像的 tag
kube-scheduler.tar kube-scheduler docker 镜像文件
kubelet kubelet 主程序
kube-proxy kube-proxy 主程序
kube-proxy.docker_tag kube-proxy docker 镜像的 tag
kube-proxy.tar kube-proxy docker 镜像文件
kubectl 客户端命令行工具
kubeadm Kubernetes 集群安装的命令工具
apiextensions-apiserver 提供实现自定义资源对象的扩展 API Server
kube-aggregator 聚合 API Server 程序


在 Kubernetes 的 Master 节点上需要部署的服务包括 etcd、kube-apiserver、kube-controller-manager 和 kube-scheduler。

在工作节点(Worker Node) 上需要部署的服务包括 docker、kubelet 和 kube-proxy。

将 Kubernetes 的二进制可执行文件复制到 /usr/bin 目录下,然后在 /usr/lib/systemd/system 目录下为各服务创建 systemd 服务配置文件,这样就完成了软件的安装。


2. 部署 kube-apiserver 服务


设置 kube-apiserver 服务需要的 CA 相关证书。准备 master_ssl.cnf 文件用于生成 x509 v3 版本的证书,


[ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
DNS.5 = k8s-1
DNS.6 = k8s-2
DNS.7 = k8s-3
IP.1 = 169.169.0.1
IP.2 = 172.16.0.10
IP.3 = 172.16.0.100


然后用 openssl 命令创建 kube-apiserver 的服务端 CA 证书,包括 api-server.key 和apiserver.crt 文件,将其保存到 /etc/kubernetes/pki 目录下。


openssl genrsa -out apiserver.key 2048
openssl req -new -key apiserver.key -config master_ssl.cnf -subj "/CN=172.16.0.10" -out apiserver.csr
openssl x509 -req -in apiserver.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -days 36500 -extensions v3_req -extfile master_ssl.cnf -out apiserver.crt


为 kube-apiserver 服务创建 systemd 服务配置文件 /usr/lib/systemd/system/kube-apiserver.service


[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
[Service]
EnvironmentFile=/etc/kubernetes/apiserver
ExecStart=/usr/bin/kube-apiserver $KUBE_API_ARGS
Restart=always
[Install]
WantedBy=multi-user.target


配置文件 /etc/kubernetes/apiserver 的内容通过环境变量 KUBE_API_ARGS 设置 kube-apiserver 的全部启动参数,包含 CA 安全配置的启动参数如下:


KUBE_API_ARGS="--secure-port=6443 \
--tls-cert-file=/etc/kubernetes/pki/apiserver.crt \
--tls-private-key-file=/etc/kubernetes/pki/apiserver.key \
--client-ca-file=/etc/kubernetes/pki/ca.crt \
--apiserver-count=1 \
--endpoint-reconciler-type=master-count \
--etcd-servers=https://172.16.0.10:2379,https://172.16.0.11:2379 \
--etcd-cafile=/etc/kubernetes/pki/ca.crt \
--etcd-certfile=/etc/etcd/pki/etcd_client.crt \
--etcd-keyfile=/etc/etcd/pki/etcd_client.key \
--service-cluster-ip-range=169.169.0.0/16 \
--service-node-port-range=30000-32767 \
--allow-privileged=true \
--v=0 \
--external-hostname=172.16.0.10 \
--anonymous-auth=false \
--service-account-issuer=https://admin \
--service-account-key-file=/etc/kubernetes/pki/apiserver.key \
--service-account-signing-key-file=/etc/kubernetes/pki/apiserver.key"


当前安装的是 Kubernetes v1.23.1  使用以前老版本的参数启动失败,这里按报错提示,新增了--external-hostname--anonymous-auth--service-account-issuer--service-account-key-file--service-account-signing-key-file 几个参数,这个几个参数的值,可能写的不规范,以后遇到问题再来调整,目前启动是能成功的


配置文件准备完毕后,启动 kube-apiserver 服务,并设置为开机自启动:


systemctl restart kube-apiserver && systemctl enable kube-apiserver


验证结果:

66.webp.jpg

kube-apiserver 验证部署是否成功

3. 创建客户端 CA 证书


  • kube-controller-manager、kube-scheduler、kubelt 和 kube-proxy 服务作为客户端连接 kube-apiserver 服务,需要为它们创建客户端 CA 证书进行访问。这里对这几个服务统一创建一个证书:


openssl genrsa -out client.key 2048
openssl req -new -key client.key -subj "/CN=admin" -out client.csr
openssl x509 -req -in client.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out client.crt -days 36500


  • 其中 -subj 参数中的 “/CN” 的名称被设置为“admin”,用于标识连接 kube-apiserver的客户端的名称。
  • 将生成的 client.key 和 client.crt 文件保存在 /etc/kubernetes/pki 目录下


cp client.key client.crt /etc/kubernetes/pki/


4. 创建客户端连接 kube-apiserver 服务所需的 kubeconfig 配置文件


  • 为 kube-controller-manager、kube-scheduler、kubelet 和 kube-proxy 服务统一创建一个 kubeconfig 文件作为连接 kube-apiserver 服务的配置文件,后续也作为 kubectl  命令行工具连接 kube-apiserver 服务的配置文件。


  • 在 kubeconfig 文件中主要设置访问访问 kube-apiserver 的 URL 地址及所需 CA 证书等的相关参数,如下:


apiVersion: v1
kind: Config
clusters:
- name: default
  cluster:
    server: https://172.16.0.100:9443
    certificate-authority: /etc/kubernetes/pki/ca.crt
users:
- name: admin
  user:
    client-certificate: /etc/kubernetes/pki/client.crt
    client-key: /etc/kubernetes/pki/client.key
contexts:
- context:
    cluster: default
    user: admin
  name: default
current-context: default


  • kubeconfig 文件保存到 /etc/kubernetes 目录下。


5. 部署 kube-controller-manager 服务


  • 为 kube-controller-manager 服务创建 systemd 服务配置文件 /usr/lib/systemd/system/kube-controller-manager.service


[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/kubernetes/kubernetes
[Service]
EnvironmentFile=/etc/kubernetes/controller-manager
ExecStart=/usr/bin/kube-controller-manager $KUBE_CONTROLLER_MANAGER_ARGS
Restart=always
[Install]
WantedBy=multi-user.target


  • 配置文件 /etc/kubernetes/controller-manager 的内容为通过环境变量 KUBE_CONTROLLER_MANAGER_ARGS 设置的 kube-controller-manager 的全部启动参数,包含 CA 安全配置的启动参数,如下:


KUBE_CONTROLLER_MANAGER_ARGS="--kubeconfig=/etc/kubernetes/kubeconfig \
--leader-elect=false \
--service-cluster-ip-range=169.169.0.0/16 \
--service-account-private-key-file=/etc/kubernetes/pki/apiserver.key \
--root-ca-file=/etc/kubernetes/pki/ca.crt \
--v=0"


  • 配置文件准备完毕后,在 Master 主机上启动 kube-controller-manager 服务并设置为开机自启动:


systemctl restart kube-controller-manager && systemctl enable kube-controller-manager


15.webp.jpg

验证结果

6. 配置 kube-scheduler 服务


  • 为 kube-scheduler 服务创建 systed 服务配置文件 /usr/lib/systemd/system/kube-scheduler.service,如下:


[Unit]
Description=Kubernetes Scheduler
Documentation=https://github.com/kubernetes/kubernetes
[Service]
EnvironmentFile=/etc/kubernetes/scheduler
ExecStart=/usr/bin/kube-scheduler $KUBE_SCHEDULER_ARGS
Restart=always
[Install]
WantedBy=multi-user.target


  • 配置文件 /etc/kubernetes/scheduler 的内容为通过环境变量 KUBE_SCHEDULER_ARGS 设置的 kube-scheduler 的全部启动参数,包含 CA 安全配置的启动参数,如下:


KUBE_SCHEDULER_ARGS="--kubeconfig=/etc/kubernetes/kubeconfig \
--leader-elect=false \
--v=0"


  • 配置文件准备完毕后,在 Master 主机上启动 kube-scheduler 服务并设置为开机自启动:


systemctl restart kube-scheduler && systemctl enable kube-scheduler

16.webp.jpg

kube-scheduler 验证安装成功


7. 使用 HAProxy 和 keepalived 部署高可用负载均衡器


  • 这里搭建的两节点的环境,这一步只把流程走通。
  • 部署 HAProxy 实例,准备 HAProxy 的配置文件 haproxy.cfg,内容如下:


global
    log         127.0.0.1 local2
    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     4096
    user        haproxy
    group       haproxy
    daemon
    stats socket /var/lib/haproxy/stats
defaults
    mode                http
    log                 global
    option              httplog
    option              dontlognull
    option              http-server-close
    option              forwardfor      except 127.0.0.0/8
    option              redispatch
    retries             3
    timeout http-request        10s
    timeout queue               1m
    timeout connect             10s
    timeout client              1m
    timeout server              1m
    timeout http-keep-alive     10s
    timeout check               10s
    maxconn                     3000
frontend kube-apiserver
    mode                tcp
    bind                *:9443
    option              tcplog
    default_backend     kube-apiserver
listen stats
    mode                http
    bind                *:8888
    stats auth          admin:password
    stats refresh       5s
    stats realm         HAProxy\ Statistics
    stats uri           /stats
    log                 127.0.0.1 local3 err
backend kube-apiserver
    mode        tcp
    balance     roundrobin
    server k8s-master1 172.16.0.10:6443 check


  • 以 Docker 容器方式运行 HAProxy 且镜像使用 haproxytech/haproxy-debian,将配置文件 haproxy.cfg 挂载到容器的 /usr/local/etc/haproxy 目录下,启动命令如下,


docker run -d --name k8s-haproxy --net=host --restart=always -v ${PWD}/haproxy.cfg:/usr/local/etc/haproxy/haproxy.cfg:ro haproxytech/haproxy-debian


  • 部署 keepalived 实例,编辑 keepalived.conf,内容如下:


! Configuration File for keepalived
global_defs {
    router_id LVS_1
}
vrrp_script checkhaproxy
{
   script "/usr/bin/check-haproxy.sh"
   interval 2
   weight -30
}
vrrp_instance VI_1 {
   state MASTER
   interface enp7s0f1
   virtual_router_id 51
   priority 100
   advert_int 1
   virtual_ipaddress {
      172.16.0.100/24 dev enp7s0f1
   }
   authentication {
      auth_type PASS
      auth_pass password
   }
   track_script {
      checkhaproxy
   }
}


注意:我本地的网卡名是:enp7s0f1,这个网卡名在上面的文件内出现了两次,都需要改成实际的网卡名。

  • 新建一个 check-haproxy.sh 并将其保存到 /usr/bin 目录下,内容如下:


#!/bin/bash
# Program:
#       check health
# History:
# 2022/01/14    junfenghe.cloud@qq.com  version:0.0.1
path=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export path
count=$(netstat -apn | grep 9443 | wc -l)
if [ ${count} -gt 0 ]
then
    exit 0
else
    exit 1
fi


  • 以 Docker 容器方式进行 HAProxy 且镜像使用 osixia/keeplived,将配置文件 keepalived.conf 挂载到容器的 /container/service/keepalived/assets 目录下,启动命令如下:


docker run -d --name k8s-keepalived --restart=always --net=host --cap-add=NET_ADMIN --cap-add=NET_BROADCAST --cap-add=NET_RAW -v ${PWD}/keepalived.conf:/container/service/keepalived/assets/keepalived.conf -v ${PWD}/check-haproxy.sh:/usr/bin/check-haproxy.sh  osixia/keepalived --copy-service


  • 使用 curl 命令即可验证通过 HAProxy 的 172.16.0.100:9443 地址是否可以访问到 kube-apiserver 服务:


[root@qijing1 client]# curl -v -k https://172.16.0.100:9443
# 底下是验证结果:
* About to connect() to 172.16.0.100 port 9443 (#0)
*   Trying 172.16.0.100...
* Connected to 172.16.0.100 (172.16.0.100) port 9443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* NSS: client certificate not found (nickname not specified)
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
*       subject: CN=172.16.0.10
*       start date: 1月 13 12:46:58 2022 GMT
*       expire date: 12月 20 12:46:58 2121 GMT
*       common name: 172.16.0.10
*       issuer: CN=172.16.0.10
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 172.16.0.100:9443
> Accept: */*
> 
< HTTP/1.1 401 Unauthorized
< Audit-Id: 6bdfd440-0a1d-4102-9ad3-4d9c636792ce
< Cache-Control: no-cache, private
< Content-Type: application/json
< Date: Fri, 14 Jan 2022 02:39:26 GMT
< Content-Length: 157
< 
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {},
  "status": "Failure",
  "message": "Unauthorized",
  "reason": "Unauthorized",
  "code": 401
* Connection #0 to host 172.16.0.100 left intact
}


可以看到 TCP/IP 连接创建成功,得到响应码,得到相应码为 401 的应答,说明通过 172.16.0.100    成功访问到了后端的 kube-apiserver 服务。至此,Master 所需的 3 个服务就全部启动完成了。

相关实践学习
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。 &nbsp; &nbsp; 相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
目录
相关文章
|
5月前
|
资源调度 Kubernetes 调度
从单集群到多集群的快速无损转型:ACK One 多集群应用分发
ACK One 的多集群应用分发,可以最小成本地结合您已有的单集群 CD 系统,无需对原先应用资源 YAML 进行修改,即可快速构建成多集群的 CD 系统,并同时获得强大的多集群资源调度和分发的能力。
183 9
|
5月前
|
资源调度 Kubernetes 调度
从单集群到多集群的快速无损转型:ACK One 多集群应用分发
本文介绍如何利用阿里云的分布式云容器平台ACK One的多集群应用分发功能,结合云效CD能力,快速将单集群CD系统升级为多集群CD系统。通过增加分发策略(PropagationPolicy)和差异化策略(OverridePolicy),并修改单集群kubeconfig为舰队kubeconfig,可实现无损改造。该方案具备多地域多集群智能资源调度、重调度及故障迁移等能力,帮助用户提升业务效率与可靠性。
|
7月前
|
存储 Kubernetes 监控
K8s集群实战:使用kubeadm和kuboard部署Kubernetes集群
总之,使用kubeadm和kuboard部署K8s集群就像回归童年一样,简单又有趣。不要忘记,技术是为人服务的,用K8s集群操控云端资源,我们不过是想在复杂的世界找寻简单。尽管部署过程可能遇到困难,但朝着简化复杂的目标,我们就能找到意义和乐趣。希望你也能利用这些工具,找到你的乐趣,满足你的需求。
646 33
|
7月前
|
Kubernetes 开发者 Docker
集群部署:使用Rancher部署Kubernetes集群。
以上就是使用 Rancher 部署 Kubernetes 集群的流程。使用 Rancher 和 Kubernetes,开发者可以受益于灵活性和可扩展性,允许他们在多种环境中运行多种应用,同时利用自动化工具使工作负载更加高效。
372 19
|
7月前
|
人工智能 分布式计算 调度
打破资源边界、告别资源浪费:ACK One 多集群Spark和AI作业调度
ACK One多集群Spark作业调度,可以帮助您在不影响集群中正在运行的在线业务的前提下,打破资源边界,根据各集群实际剩余资源来进行调度,最大化您多集群中闲置资源的利用率。
|
10月前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
|
7月前
|
人工智能 运维 Kubernetes
2025 超详细!Lens Kubernetes IDE 多平台下载安装与集群管理教程
Lens 是一款企业级 Kubernetes 可视化操作平台,2025版实现了三大技术革新:AI智能运维(异常检测准确率98.7%)、多云联邦管理(支持50+集群)和实时3D拓扑展示。本文介绍其安装环境、配置流程、核心功能及高阶技巧,帮助用户快速上手并解决常见问题。适用于 Windows、macOS 和 Ubuntu 系统,需满足最低配置要求并前置依赖组件如 kubectl 和 Helm。通过 Global Cluster Hub 实现多集群管理,AI辅助故障诊断提升运维效率,自定义监控看板和插件生态扩展提供更多功能。
|
7月前
|
Prometheus Kubernetes 监控
OpenAI故障复盘丨如何保障大规模K8s集群稳定性
OpenAI故障复盘丨如何保障大规模K8s集群稳定性
216 0
OpenAI故障复盘丨如何保障大规模K8s集群稳定性
|
9月前
|
缓存 容灾 网络协议
ACK One多集群网关:实现高效容灾方案
ACK One多集群网关可以帮助您快速构建同城跨AZ多活容灾系统、混合云同城跨AZ多活容灾系统,以及异地容灾系统。
|
8月前
|
运维 分布式计算 Kubernetes
ACK One多集群Service帮助大批量应用跨集群无缝迁移
ACK One多集群Service可以帮助您,在无需关注服务间的依赖,和最小化迁移风险的前提下,完成跨集群无缝迁移大批量应用。

热门文章

最新文章

推荐镜像

更多