二进制部署 kubernetes 集群---v1.20.15(上篇)
生产环境部署K8s集群的两种方式,分别是 kubeadm 和 二进制。
·
一、前置知识点
1.1 生产环境部署K8s集群的两种方式
- kubeadm
Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。 - 二进制
从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。
总结:Kubeadm降低部署门槛,但屏蔽了很多细节,遇到问题很难排查。如果想更容易可控,推荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。
1.2 准备环境
服务器要求:
最小硬件配置:2核CPU、2G内存、30G硬盘
服务器最好可以访问外网,如果服务器不能上网,需要提前下载对应镜像并导入节点
软件环境:
操作系统:CentOS 7.9(minimal)
容器引擎:Docker CE 19.03.15
Kubernetes:Kubernetes v1.20.15
服务器规划:
开放端口:
1.3 所有节点初始化配置
# 关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
# 关闭selinux
sed -i 's/enforcing/disabled/' /etc/selinux/config
setenforce 0
# 关闭swap交换分区
swapoff -a
sed -ri 's/.*swap.*/#&/' /etc/fstab
# 关闭NetworkManager
systemctl stop NetworkManager
systemctl disable NetworkManager
# 安装常用软件包(最小化系统)
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all && yum makecache
yum -y install vim lrzsz unzip wget net-tools tree bash-completion telnet conntrack ipvsadm ipset iptables curl sysstat libseccomp
# 设置主机名
hostnamectl set-hostname k8s-master && bash
hostnamectl set-hostname k8s-node01 && bash
hostnamectl set-hostname k8s-node02 && bash
# 添加hosts 文件
cat >> /etc/hosts <<EOF
192.168.10.131 k8s-master
192.168.10.132 k8s-node01
192.168.10.133 k8s-node02
EOF
# 调整系统内核参数
cat > /etc/sysctl.d/k8s.conf <<EOF
net.bridge.bridge-nf-call-ip6tables=1
net.bridge.bridge-nf-call-iptables=1
net.ipv4.ip_forward=1
# 尽可能避免使用交换分区,提升k8s性能
vm.swappiness=0
# 不检查物理内存是否够用
vm.overcommit_memory=1
EOF
# 生效
sysctl --system
# 配置时间同步
yum -y install chrony
systemctl restart chronyd
chronyc sources -v
hwclock -s #将硬件时钟的时间同步到系统时钟
# 安装工具包
yum -y install ipvsadm ipset sysstat conntrack libseccomp
# 添加ipvs模块和内核模块
cat >>/etc/modules-load.d/ipvs.conf<<EOF
ip_vs
ip_vs_lc
ip_vs_wlc
ip_vs_rr
ip_vs_wrr
ip_vs_sh
nf_conntrack_ipv4 #内核4.19以上版本设置为nf_conntrack
ip_tables
ip_set
xt_set
ipt_set
ipt_rpfilter
ipt_REJECT
ipip
overlay
br_netfilter
EOF
# 重启服务
systemctl restart systemd-modules-load
# 查看内核模块
lsmod | grep -e ip_vs -e nf_conntrack_ipv4
二、部署Etcd集群
Etcd 是一个分布式键值存储系统,Kubernetes使用Etcd进行数据存储。为解决Etcd单点故障,生产环境中一般推荐集群方式部署,由于 etcd 的 leader 选举机制,要求至少为 3 台或以上的奇数台服务器。这里使用3台组建集群,可容忍1台机器故障,当然,也可以使用5台组建集群,可容忍2台机器故障。
注意:
1)为了节省机器,这里与K8s节点机器复用。也可以独立于k8s集群之外部署,只要apiserver能连接etcd集群就行。
2)etcd默认使用2379端口对外为客户端提供通讯,2380端口用于etcd节点间内部通讯。
为什么K8s需要证书通信?
K8s所有组件采用https加密通信,为了防止数据在传输过程中被窃取或篡改,确保通信过程中的安全性。
这些组件一般由两套根证书生成:K8S组件和Etcd。
按照需求分类来说,这里k8s所有的服务组件controller-manager、scheduler、kubelet、kube-proxy、kubectl等组件访问apiserver,需要一套证书。k8s apiserver访问etcd集群也需要一套证书。所以2套证书是由2个不同自签CA机构颁发的。
2.1 master节点下载cfssl证书生成工具
CFSSL 是一款开源的加密证书工具,使用配置文件生成证书,因此自签之前,需要生成可识别的 json 格式的配置文件。CFSSL 用来为 etcd 提供 TLS 证书,它支持签三种类型的证书:
client 证书:服务端连接客户端时携带的证书,用于客户端验证服务端身份,如kube-apiserver访问etcd;
server 证书:客户端连接服务端时携带的证书,用于服务端验证客户端身份,如etcd对外提供服务;
peer 证书:相互之间连接时使用的证书,如 etcd 节点之间进行验证和通信。
mkdir -p /root/ssl
cd /root/ssl/
chmod +x cfssl*
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo
2.2 master节点生成Etcd证书
1)master节点创建自签CA根证书
需要先准备一个证书签名请求文件CSR(Certificate Signing Request),文件中包含了证书中定义的一些信息,如证书的加密算法、证书的有效期等。
# 创建工作目录
mkdir -p ~/TLS/{etcd,k8s}
cd ~/TLS/etcd
# 创建CA根证书策略
cat > ca-config.json << EOF
{
"signing": { #表示该证书可以签名其他证书;生成的ca.pem证书中 CA=TRUE;
"default": {
"expiry": "87600h"
},
"profiles": {
"www": {
"expiry": "87600h", #过期时间为10年
"usages": [
"signing",
"key encipherment",
"server auth", #表示client可以用该CA对server提供的证书进行验证
"client auth" #表示server可以用该CA对client提供的证书进行验证
]
}
}
}
}
EOF
# 创建自签CA根证书签名请求文件
cat > ca-csr.json << EOF
{
"CN": "etcd CA",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "Beijing",
"ST": "Beijing"
}
]
}
EOF
# 生成自签CA证书和私钥
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
# 目录下会生成ca.pem和ca-key.pem文件。ca.csr为证书签名请求。
2)master节点使用自签CA根证书签发Etcd 证书
# 创建证书签名请求文件
cat > server-csr.json << EOF
{
"CN": "etcd",
"hosts": [
"192.168.10.131",
"192.168.10.132",
"192.168.10.133"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "BeiJing",
"ST": "BeiJing"
}
]
}
EOF
注:上述文件hosts字段中IP为所有etcd节点的集群内部通信IP,一个都不能少!为了方便后期扩容可以多写几个预留的IP。
# 生成证书和私钥
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server
# 目录下会生成server.pem和server-key.pem文件。
# 查看目录下文件(共9个文件)
ls /root/TLS/etcd/
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem server.csr server-csr.json server-key.pem server.pem
2.3 所有节点下载etcd软件包
下载地址:
https://github.com/etcd-io/etcd/releases/download/v3.4.9/etcd-v3.4.9-linux-amd64.tar.gz
2.4 所有节点部署Etcd集群
1)master节点创建工作目录并解压二进制包
mkdir -p /opt/etcd/{bin,cfg,ssl}
tar zxvf /root/etcd-v3.4.9-linux-amd64.tar.gz
mv etcd-v3.4.9-linux-amd64/{etcd,etcdctl} /opt/etcd/bin/
2)master节点创建etcd配置文件
cat > /opt/etcd/cfg/etcd.conf << EOF
#[Member]
ETCD_NAME="etcd-1"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.10.131:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.10.131:2379"
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.10.131:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.10.131:2379"
ETCD_INITIAL_CLUSTER="etcd-1=https://192.168.10.131:2380,etcd-2=https://192.168.10.132:2380,etcd-3=https://192.168.10.133:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
EOF
解释:
•ETCD_NAME:节点名称,集群中唯一
•ETCD_DATA_DIR:数据目录
•ETCD_LISTEN_PEER_URLS:集群通信监听地址
•ETCD_LISTEN_CLIENT_URLS:客户端访问监听地址
•ETCD_INITIAL_ADVERTISE_PEERURLS:集群通告地址
•ETCD_ADVERTISE_CLIENT_URLS:客户端通告地址
•ETCD_INITIAL_CLUSTER:集群节点地址
•ETCD_INITIALCLUSTER_TOKEN:集群Token
•ETCD_INITIALCLUSTER_STATE:加入集群的当前状态,new是新集群,existing表示加入已有集群
3)master节点创建启动etcd的服务文件
cat > /usr/lib/systemd/system/etcd.service <<EOF
[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target
[Service]
Type=notify
EnvironmentFile=/opt/etcd/cfg/etcd.conf
ExecStart=/opt/etcd/bin/etcd \\
--cert-file=/opt/etcd/ssl/server.pem \\
--key-file=/opt/etcd/ssl/server-key.pem \\
--peer-cert-file=/opt/etcd/ssl/server.pem \\
--peer-key-file=/opt/etcd/ssl/server-key.pem \\
--trusted-ca-file=/opt/etcd/ssl/ca.pem \\
--peer-trusted-ca-file=/opt/etcd/ssl/ca.pem \\
--logger=zap
Restart=on-failure
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
EOF
4)master节点复制证书文件
# 把刚才生成的证书拷贝到配置文件中的路径 (共4个文件)
cp /root/TLS/etcd/ca*pem /opt/etcd/ssl/
cp /root/TLS/etcd/server*pem /opt/etcd/ssl/
5)所有node节点分别创建目录
mkdir -p /opt/etcd/{bin,cfg,ssl}
mkdir -p /var/lib/etcd/default.etcd
6)master节点将将文件分别同步到所有node节点
scp -r /opt/etcd/ root@192.168.10.132:/opt/
scp /usr/lib/systemd/system/etcd.service root@192.168.10.132:/usr/lib/systemd/system/
scp -r /opt/etcd/ root@192.168.10.133:/opt/
scp /usr/lib/systemd/system/etcd.service root@192.168.10.133:/usr/lib/systemd/system/
7)node01节点和node02节点分别修改配置文件
# node01节点
cat > /opt/etcd/cfg/etcd.conf <<EOF
#[Member]
ETCD_NAME="etcd-2"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.10.132:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.10.132:2379"
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.10.132:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.10.132:2379"
ETCD_INITIAL_CLUSTER="etcd-1=https://192.168.10.131:2380,etcd-2=https://192.168.10.132:2380,etcd-3=https://192.168.10.133:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
EOF
# node02节点
cat > /opt/etcd/cfg/etcd.conf << EOF
#[Member]
ETCD_NAME="etcd-3"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.10.133:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.10.133:2379"
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.10.133:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.10.133:2379"
ETCD_INITIAL_CLUSTER="etcd-1=https://192.168.10.131:2380,etcd-2=https://192.168.10.132:2380,etcd-3=https://192.168.10.133:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
EOF
8)所有节点同时启动etcd并设置开机自启动
注意:etcd服务需要多个节点同时启动,否则服务会一直卡在前台!
systemctl daemon-reload
systemctl start etcd
systemctl status etcd
systemctl enable etcd
9)master节点查看etcd集群状态
ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem \
--cert=/opt/etcd/ssl/server.pem \
--key=/opt/etcd/ssl/server-key.pem \
--endpoints="https://192.168.10.131:2379,https://192.168.10.132:2379,https://192.168.10.133:2379" \
endpoint health --write-out=table
如果输出下面信息,就说明etcd集群部署成功!
注意:若etcd服务启动有问题,查看日志:more /var/log/message 或 journalctl -u etcd
10)master节点查看etcd集群中的leader节点
ETCDCTL_API=3 /opt/etcd/bin/etcdctl --write-out=table --cacert=/opt/etcd/ssl/ca.pem \
--cert=/opt/etcd/ssl/server.pem \
--key=/opt/etcd/ssl/server-key.pem \
--endpoints=https://192.168.10.131:2379,https://192.168.10.132:2379,https://192.168.10.133:2379 \
endpoint status member list --cluster
三、所有节点安装Docker
这里使用Docker作为容器引擎,也可以换成别的,例如containerd。
# 安装依赖的软件包
yum install -y yum-utils device-mapper-persistent-data lvm2
# 添加docker软件源
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum makecache fast
# 查看所有docker版本
yum list docker-ce --showduplicates |sort -r
# 安装指定版本docker
yum -y install docker-ce-20.10.24 docker-ce-cli-20.10.24 containerd.io
# 默认安装最新版本docker(省略)
yum install -y docker-ce docker-ce-cli containerd.io
# 创建目录
mkdir /etc/docker
# 配置docker加速并修改驱动
# k8s官方建议docker cgroup驱动采用systemd,设置systemd对容器资源限制,生产环境建议修改,因为更稳定。
vim /etc/docker/daemon.json
{
"exec-opts": ["native.cgroupdriver=systemd"], ##设置Docker cgroup的驱动程序
"registry-mirrors": ["https://docker.1panel.dev","https://docker.1ms.run"], ##镜像加速器地址
"log-driver": "json-file", ##默认的日志驱动程序
"log-opts": {"max-size": "100m"}, ##容器日志文件大小上限为100M
"storage-driver": "overlay2" ##默认的文件存储引擎
}
# 重启docker服务
systemctl daemon-reload
systemctl restart docker
systemctl enable docker
systemctl status docker
总结:整理不易,如果对你有帮助,请记得点赞,关注,收藏。更多kubernetes相关知识持续分享中。
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
10
0- 0
已为社区贡献2条内容
所有评论(0)