在kubernetes上部署consul集群

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本教程将帮助你在kubernetes上部署一个拥有3个节点的consul集群 备注:consul教程见Consul; 预览 consul 集群的三个节点部署方式使用 StatefulSet consul集群成员之间使用TLS进行安全通信 TLS and encryption keys 预备知识 本教程利用了Kubernetes 1.

本教程将帮助你在kubernetes上部署一个拥有3个节点的consul集群 备注:consul教程见Consul;


预览

预备知识

本教程利用了Kubernetes 1.7.0和更高版本的特性.

下客户端必须安装在本教程所使用的机器上:

使用

Clone this repo:

git clone https://github.com/nicklv/consul_cluster_on_kubernetes.git

进入到 consul-on-kubernetes 目录:

cd consul-on-kubernetes

生成 TLS 证书

Consul集群中成员之间的RPC通信使用TLS进行加密。通过以下命令初始化CA证书:

cfssl gencert -initca ca/ca-csr.json | cfssljson -bare ca

使用以下命令创建 TLS 证书 和 私有密钥:

cfssl gencert \
 -ca=ca.pem \
 -ca-key=ca-key.pem \
 -config=ca/ca-config.json \
 -profile=default \
 ca/consul-csr.json | cfssljson -bare consul

执行完以上命令之后,在当前目录你应该看到以下证书文件:

ca-key.pem
ca.pem
consul-key.pem
consul.pem

生成 Consul Gossip 加密密钥

Gossip communication Consul 集群成员之间使用共享的加密密钥进行加密通信。使用以下命令生成加密密钥:

GOSSIP_ENCRYPTION_KEY=$(consul keygen)

使用以下命令生成Consul 集群使用的Secret 和 Configmap

Consul集群将通过CLI标志、TLS证书和配置文件来完成配置,这些内容通过Kubernetes的configmaps和secrets来存储。

将 gossip 加密密钥 和 TLS 证书 存储在kubernetes的 Secret中:

kubectl create secret generic consul \
 --from-literal="gossip-encryption-key=${GOSSIP_ENCRYPTION_KEY}" \
 --from-file=ca.pem \
 --from-file=consul.pem \
 --from-file=consul-key.pem

将Consul集群使用的配置文件存储在kubernetes的 ConfigMap中:

kubectl create configmap consul --from-file=configs/server.json

在创建Consul service和statefulSet之前,先创建Consul集群使用到的pv(persistVolume)持久化存储卷和pvc(persistVolumeClaim)持久化存储卷声明

kubectl create -f pvc/pvc.yaml 

通过kubectl 命令创建Consul 集群服务

通过创建一个service来暴露Consul 集群功能:

kubectl create -f services/consul.yaml

创建 Consul 集群 StatefulSet

通过部署StatefulSet(有状态副本集)来启动Consul集群的3个实例节点:

kubectl create -f statefulsets/consul.yaml

所有的Consul节点都会被创建,在进入下一步操作之前,先验证所有的节点都处在正常的 Running 状态,执行以下命令可以看到如下结果:

kubectl get pods
NAME READY STATUS RESTARTS AGE
consul-0 1/1 Running 0 50s
consul-1 1/1 Running 0 29s
consul-2 1/1 Running 0 15s

核实节点状态

在这个环节,Consule 集群的所有节点都已经启动。为了确定每个节点都已经正常的工作,可以通过查看日志的命令,查看每个集群的成员状态。

kubectl logs consul-0

(这一步可不执行)可以使用Consul CLI检查consul集群的健康状态,可以在新的命令窗口使用port-forward模式来通过IP访问,在本教程的中我们的测试环境申请了域名,通过花生壳支持外网访问。

kubectl port-forward consul-0 8400:8400
Forwarding from 127.0.0.1:8400 -> 8400 Forwarding from [::1]:8400 -> 8400

(如果不执行上一步命令,可以通过以下命令进入到consul-0 pod,kubectl exec -it consul-0 /bin/sh) 执行consul members命令查看consul集群所有节点的状态。

consul members
Node Address Status Type Build Protocol DC
consul-0 10.244.2.197:8301 alive server 0.9.1 2 dc1
consul-1 10.244.1.231:8301 alive server 0.9.1 2 dc1
consul-2 10.244.2.198:8301 alive server 0.9.1 2 dc1

访问consul 集群Web UI

目前Consul集群的UI站点不支持权限验证,所以为了安全起见不建议在生产环境把Web UI访问暴露到外网。访问Web-UI有两种访问方式:

  1. 通过port-forward把consul-0节点的8500端口暴露出来,这种方式类似nodeport模式,所有访问consul-0节点所在服务器8500端口的流量都被转发到consul-0。弊端,节点重启之后所在服务器节点发生变化的话访问IP也跟着变化。建议在实验环境使用这种模式。
    kubectl port-forward consul-0 8500:8500
    执行以上命令之后,通过URL地址 http://127.0.0.1:8500访问consul集群web管理界面。
  2. 通过Ingress暴露外网访问,我们配置了一个consul.xxxx.cn的域名,暴露到了外网。这种模式,外网可以无限制进行consul集群web管理界面访问,所以建议在开发或者测试环境使用,不要在生产环境使用该模式。
Image of Consul UI

清理

运行cleanup脚本,会自动清除掉所有正在运行的consul相关的kubernetes资源。备注:根据实际情况调整下 cleanup脚本。

bash cleanup
本文转自中文社区-在kubernetes上部署consul集群

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
3天前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
|
8天前
|
存储 Kubernetes 容器
K8S部署nexus
该配置文件定义了Nexus 3的Kubernetes部署,包括PersistentVolumeClaim、Deployment和服务。PVC请求20Gi存储,使用NFS存储类。Deployment配置了一个Nexus 3容器,内存限制为6G,CPU为1000m,并挂载数据卷。Service类型为NodePort,通过30520端口对外提供服务。所有资源位于`nexus`命名空间中。
|
5天前
|
Kubernetes 网络协议 应用服务中间件
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
21 2
|
17天前
|
存储 Kubernetes 关系型数据库
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
本文源自2024云栖大会苏雅诗的演讲,探讨了K8s集群业务为何需要灾备及其重要性。文中强调了集群与业务高可用配置对稳定性的重要性,并指出人为误操作等风险,建议实施周期性和特定情况下的灾备措施。针对容器化业务,提出了灾备的新特性与需求,包括工作负载为核心、云资源信息的备份,以及有状态应用的数据保护。介绍了ACK推出的备份中心解决方案,支持命名空间、标签、资源类型等维度的备份,并具备存储卷数据保护功能,能够满足GitOps流程企业的特定需求。此外,还详细描述了备份中心的使用流程、控制台展示、灾备难点及解决方案等内容,展示了备份中心如何有效应对K8s集群资源和存储卷数据的灾备挑战。
|
2月前
|
Prometheus Kubernetes 监控
k8s部署针对外部服务器的prometheus服务
通过上述步骤,您不仅成功地在Kubernetes集群内部署了Prometheus,还实现了对集群外服务器的有效监控。理解并实施网络配置是关键,确保监控数据的准确无误传输。随着监控需求的增长,您还可以进一步探索Prometheus生态中的其他组件,如Alertmanager、Grafana等,以构建完整的监控与报警体系。
142 60
|
2月前
|
Prometheus Kubernetes 监控
k8s部署针对外部服务器的prometheus服务
通过上述步骤,您不仅成功地在Kubernetes集群内部署了Prometheus,还实现了对集群外服务器的有效监控。理解并实施网络配置是关键,确保监控数据的准确无误传输。随着监控需求的增长,您还可以进一步探索Prometheus生态中的其他组件,如Alertmanager、Grafana等,以构建完整的监控与报警体系。
271 62
|
1月前
|
Kubernetes Cloud Native 微服务
云原生入门与实践:Kubernetes的简易部署
云原生技术正改变着现代应用的开发和部署方式。本文将引导你了解云原生的基础概念,并重点介绍如何使用Kubernetes进行容器编排。我们将通过一个简易的示例来展示如何快速启动一个Kubernetes集群,并在其上运行一个简单的应用。无论你是云原生新手还是希望扩展现有知识,本文都将为你提供实用的信息和启发性的见解。
|
1月前
|
Kubernetes 监控 Cloud Native
Kubernetes集群的高可用性与伸缩性实践
Kubernetes集群的高可用性与伸缩性实践
75 1
|
2月前
|
JSON Kubernetes 容灾
ACK One应用分发上线:高效管理多集群应用
ACK One应用分发上线,主要介绍了新能力的使用场景
|
1月前
|
存储 Kubernetes Devops
Kubernetes集群管理和服务部署实战
Kubernetes集群管理和服务部署实战
59 0

热门文章

最新文章