kubeadm init 初始化 k8s 集群具体流程:
1、准备工作
在执行 kubeadm init 命令之前,需要先准备好以下工作:
1)、在每个节点上安装容器和 Kubernetes 组件,如 kubeadm、kubelet 和 kubectl。
2)、确保节点之间可以互相通信,并且能够通过 DNS 解析域名。
3)、配置节点的网络,使得节点之间可以通过 IP 地址互相通信。
2、检查主机名
kubeadm 会检查节点的主机名是否符合 DNS 命名规范,即主机名必须只包含小写字母、数字和
连字符,并且必须以字母或数字开头和结尾。
3、检查内核参数
kubeadm 会检查节点的内核参数是否符合 Kubernetes 的最佳实践,如:
1)禁用 swap 分区;
2)启用桥接流量;
3)启用 IP 转发;
4)禁用 SELinux
5)如果节点的内核参数不符合要求,kubeadm 将输出警告信息,并提供相应的解决方法。
4、检查依赖软件
kubeadm 会检查是否安装了必要的依赖软件,如 iptables、ipvs 等,并在需要时自动安装。
5、检查容器运行时
kubeadm 会检查容器运行时,如 containerd 是否已安装并运行。如果容器运行时未安装或未运
行,kubeadm 将输出错误信息。
6、生成证书和配置文件
kubeadm 会生成证书和配置文件,用于授权和加密 Kubernetes 集群的通信。这些文件包括:
1)CA 证书和私钥:用于签署和验证 Kubernetes 组件之间的通信;
2)API Server 证书和私钥:用于验证 API Server 的身份;
3)Kubernetes 服务账号和私钥:用于 Kubernetes 组件之间的认证;
4)kubeconfig 文件:用于配置 Kubernetes 组件的访问权限。
7、部署 etcd
kubeadm 会部署 etcd,用于存储 Kubernetes 集群的状态和元数据。etcd 是 Kubernetes 控
制面板的核心组件之一,用于保存 Kubernetes 的配置信息和状态信息。
8、部署控制面板组件
kubeadm 会部署 Kubernetes 控制面板组件,如 kube-apiserver、kube-controllermanager、kube-scheduler 等。这些组件是 Kubernetes 集群的核心组件,用于控制集集群的状态
和管理工作负载、服务发现等重要功能。
9、部署 kube-proxy、coredns
kubeadm 会部署 kubelet 和 kube-proxy、coredns
10、生成加入命令和配置文件
kubeadm 初始化 Kubernetes 集群成功后,将生成一个加入命令(join command),用于将
worker 节点加入集群。此外,kubeadm 还会生成默认的 Kubernetes 配置文件
/etc/kubernetes/admin.conf,用于配置 kubectl 命令行工具连接到 Kubernetes API 服务器。
-------------------------------------------------------
一、 初始化集群环境
准备三台 rocky8.8 操作系统的 linux 机器。每台机器配置:4VCPU/4G 内存/60G 硬盘
环境说明:
IP 主机名 角色 内存 cpu
192.168.1.63 xuegod63 master 4G 4vCPU
192.168.1.64 xuegod64 worker 4G 4vCPU
192.168.1.62 xuegod62 worker 4G 4vCPU
开始配置
1、配置静态 IP:每台机器的网络模式要一致,能互相通信,机器网卡名字也要统一。
2、永久关闭 selinux 三台都执行
[root@localhost ~]#
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
#注意:修改 selinux 配置文件之后,重启机器,selinux 才能永久生效
[root@localhost~]#
getenforce
执行结果是 Disabled
临时关闭
setenforce 0
注释:SELinux(Security-Enhanced Linux)是一种基于 Mandatory Access Control(MAC)的安
全模块,它可以在 Linux 系统中提供强制访问控制机制。通过 SELinux,系统管理员可以对系统中的各种对象(如文件、进程、网络端口等)进行更加精细的安全控制,提高系统的安全性。
在安装 k8s 时,关闭 SELinux 是因为默认情况下 SELinux 会阻止 Kubernetes 一些操作,如
kubelet 对容器文件的访问等。为了避免由于 SELinux 导致 Kubernetes 运行不正常,建议在安装
Kubernetes 之前关闭 SELinux。
如果启用了 SELinux,需要针对 Kubernetes 进行特定的 SELinux 配置,以确保 Kubernetes
正常工作。具体的操作如下:
安装 policycoreutils-python 工具:
yum install -y policycoreutils-python
为 kubelet、kube-proxy 和 container runtime 的进程添加 SELinux 策略。例如,为
kubelet 添加策略的命令为:
semanage fcontext -a -t container_runtime_exec_t /usr/local/bin/kubelet
重载 SELinux 策略:
restorecon -R /usr/local/bin/kubele
3.配置主机名
#在 192.168.1.63 上执行如下: hostnamectl set-hostname xuegod63 && bash #在 192.168.1.64 上执行如下: hostnamectl set-hostname xuegod64 && bash #在 192.168.1.62 上执行如下: hostnamectl set-hostname xuegod62 && bash
4、配置 hosts 文件:
修改三台每台机器的/etc/hosts 文件,在内容最后增加如下三行:
echo ' 192.168.1.63 xuegod63 192.168.1.64 xuegod64 192.168.1.62 xuegod62 ' >> /etc/hosts
二、安装基础包
1、关闭所有主机 firewalld 防火墙 三台都执行
systemctl stop firewalld ; systemctl disable firewalld
2.安装基础包 三台都执行
yum install -y yum-utils device-mapper-persistent-data lvm2 wget net-tools nfs-utils lrzsz gcc gcc-c++ make cmake libxml2-devel openssl-devel curl curl-devel unzip sudo libaio-devel vim ncurses-devel autoconf automake zlib-devel epel-release openssh-server socat conntrack telnet ipvsadm
3、配置主机之间无密码登录
[root@xuegod63 ~]# ssh-keygen #一路回车,不输入密码
把本地的 ssh 公钥文件安装到远程主机对应的账户
[root@xuegod63 ~]# ssh-copy-id xuegod63
[root@xuegod63 ~]# ssh-copy-id xuegod64
[root@xuegod63 ~]# ssh-copy-id xuegod62
同理:62和64执行
如果生产机器,防火墙开启,不能关,也可以,但是要放行一些端口:
如何在防火墙规则里放行端口:6443:Kubernetes API Server
2379、2380:etcd 服务
10250、10255:kubelet 服务
10257:kube-controller-manager 服务
10259:kube-scheduler 服务
30000-32767:在物理机映射的 NodePort 端口
179、473、4789、9099:Calico 服务端口
firewall-cmd --zone=public --add-port=6443/tcp --permanent
#--zone 指定了防火墙规则所属的区域,--add-port 指定了要开放的端口号和协议,--
permanent 表示在重启后也会保留这个规则。
4、关闭交换分区 swap 三台都执行
#临时关闭交换分区
swapoff -a
永久关闭:注释 swap 挂载 三台都执行
[root@xuegod63 ~]# vi /etc/fstab #给 swap 这行开头加一下注释#
#/dev/mapper/rl-swap none swap defaults 0 0
交换分区(Swap)是为了在内存不足时,把部分内存的数据交换到硬盘上,以释放内存空间的一种机制。这样,即使物理内存不足,也可以保证系统运行的稳定性和正常性。
在安装 Kubernetes 时,需要禁用交换分区。这是因为 Kubernetes 在运行时需要使用大量的内存
和 CPU 资源,如果系统开始使用交换分区,会导致性能下降,严重影响 Kubernetes 的正常运行。因此,为了保证 Kubernetes 的性能和稳定性,建议在安装 Kubernetes 时禁用交换分区
5、修改内核参数:
三台都执行
[root@xuegod63 ~]#
modprobe br_netfilter
modprobe 是一个 Linux 命令,它用于动态地加载内核模块到 Linux 内核中。br_netfilter 是
Linux 内核模块之一,它提供了桥接网络设备和 Netfilter 之间的接口。Netfilter 是 Linux 内核中的一个框架,它可以在数据包通过网络协议栈时进行修改或过滤。
在 Kubernetes 中,br_netfilter 模块用于实现 Kubernetes 集群中的网络功能。通过加载
br_netfilter 模块,我们可以确保在 Kubernetes 集群中使用的 iptables 规则正确应用
[root@xuegod63 ~]#
cat > /etc/sysctl.d/k8s.conf <<EOF net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.ipv4.ip_forward = 1 EOF sysctl -p /etc/sysctl.d/k8s.conf
1)net.bridge.bridge-nf-call-ip6tables: 当数据包经过网桥时,是否需要将 IPv6 数据包传递给
iptables 进行处理。将其设置为 1 表示启用。
2)net.bridge.bridge-nf-call-iptables: 当数据包经过网桥时,是否需要将 IPv4 数据包传递给
iptables 进行处理。将其设置为 1 表示启用。
3)net.ipv4.ip_forward: 是否允许主机转发网络包。将其设置为 1 表示启用。
这些参数是为了让 Linux 系统的网络功能可以更好地支持 Kubernetes 的网络组件(如
flannel、Calico 等),启用这些参数可以确保集群中的 Pod 能够正常通信和访问外部网络
三、配置安装 docker 和 containerd 的需要的阿里云 yum 源
1.配置 三台都执行
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
如果有提示的直接y
2、配置安装 k8s 命令行工具需要的阿里云的 yum 源
配置阿里云 Kubernetes yum 源
cat > /etc/yum.repos.d/kubernetes.repo <<EOF [kubernetes] name=Kubernetes baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/ enabled=1 gpgcheck=0 EOF
备注:
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/,
这是 Kubernetes 官方在阿里云上提供的 yum 仓库地址,使用这个地址可以从阿里云上下载和安装
Kubernetes 软件包。
四、配置时间同步 三台都执行
在 xuegod63 上执行如下:
开始安装 chrony 服务
[root@xuegod63 ~]# yum -y install chrony #如果没有该服务安装一下
[root@xuegod63 ~]# systemctl enable chronyd --now #设置 chronyd 开机启动并立即启
动 chronyd 服务同步网络时间
编辑 chronyd 配置文件,使用中国的时间服务器同步时间,速度更快
三台都加 添加阿里和腾讯时间同步源 配置文件 /etc/chrony.conf
cat >> /etc/chrony.conf <<EOF server ntp1.aliyun.com iburst server ntp2.aliyun.com iburst server ntp1.tencent.com iburst server ntp2.tencent.com iburst EOF
chrony 是网络时间协议(NTP)的另一种实现,与网络时间协议后台程序(ntpd)不同,它可以更快地且
更准确地同步系统时钟。
两个主要程序:chronyd 和 chronyc
chronyd:后台运行的守护进程,用于调整内核中运行的系统时钟和时钟服务器同步。它确定计算机增减时间的比率,并对此进行补偿
chronyc:命令行用户工具,用于监控性能并进行多样化的配置。它在 chronyd 实例控制的计算机
上工作服务 unit 文件: /usr/lib/systemd/system/chronyd.service
监听端口: 323/udp,123/udp
配置文件: /etc/chrony.conf
ntpdate 和 chrony 是服务器时间同步的主要工具,两者的主要区别就是:
1、执行 ntpdate 后,时间是立即修整,中间会出现时间断档;
2、而执行 chrony 后,时间也会修正,但是是缓慢将时间追回,并不会断档。
重启 chronyd 服务
[root@xuegod62 ~]#
systemctl restart chronyd
配置时间定时同步
写个计划任务,定时同步时间:
[root@xuegod63~]# crontab -e
5 * * * * /usr/bin/systemctl restart chronyd #每5分钟同步一次
在 Kubernetes 集群中,各个组件之间的通信和协调都需要依赖时间的同步,如果集群中各节点时
间不一致,可能会导致各种奇怪的问题,例如节点之间无法进行正确的 TLS 握手等。因此,建议在安装Kubernetes 集群之前,将集群中各个节点的时间同步到相同的时间源,保持时间的一致性
