一、k8s高可用架构解析
etcd是一个键值数据库,用来存放k8s的数据,创建的资源以及做的变更都会存在该数据库中。
master节点是控制节点,用来控制整个集群。
node节点用来跑pod或容器。
master节点分为三个主要组件
- APIServer是整个k8s的控制单元,所有的流量都会经过apiserver
- ControllerManager,是集群的控制器
- scheduler是调度器,控制pod该调度到哪个节点上
- kubelet是node组件
- kube-proxy是node组件
Load Balancer负载均衡
三台master组成集群会配置负载均衡
一般使用nginx+keepalive,keepalive+haproxy
关于负载均衡,还有硬件的负载均衡如F5
负载均衡提供虚拟IP,后端挂了三台master,所有组件去连接LB(F5或者keepalive)才到apiserver,这样实现高可用,防止单一master掉线。
etcd数据库只能跟apiserver进行交互
二、环境配置
Kubeadm安装方式自1.14版本以后,安装方法几乎没有任何变化,此文档可以尝试安装最新的k8s集群
系统版本为centos 7.9.2009
2.1 高可用k8s集群规划
| 主机名 | IP地址 | 说明 |
|---|---|---|
| k8s-master01 ~ 03 | 10.103.236.201 ~ 203 | master节点 * 3 |
| k8s-master-lb | 10.103.236.236 | keepalived虚拟IP |
| k8s-node01 ~ 02 | 10.103.236.204 ~ 205 | worker节点 * 2 |
如果环境跟我的IP地址不一样,使用ctrl+h批量替换为你的IP地址。
| 配置信息 | 备注 |
|---|---|
| 系统版本 | CentOS 7.9 |
| Docker版本 | 20.10.x |
| Pod网段 | 172.16.0.0/12 |
| Service网段 | 192.168.0.0/16 |
各网段之间不能重复
2.2 基本环境配置
#所有节点设置主机名
hostnamectl set-hostname k8s-master01
hostnamectl set-hostname k8s-master02
hostnamectl set-hostname k8s-master03
hostnamectl set-hostname k8s-node01
hostnamectl set-hostname k8s-node02
#所有节点配置hosts,修改/etc/hosts如下:
[root@k8s-master01 ~]# cat >> /etc/hosts << EOF
10.103.236.201 k8s-master01
10.103.236.202 k8s-master02
10.103.236.203 k8s-master03
10.103.236.236 k8s-master-lb # 如果不是高可用集群,该IP为Master01的IP
10.103.236.204 k8s-node01
10.103.236.205 k8s-node02
EOF
cat /etc/hosts
#CentOS 7安装yum源如下
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF
sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repo
#必备工具安装
yum install wget jq psmisc vim net-tools telnet yum-utils device-mapper-persistent-data lvm2 git -y
#所有节点关闭防火墙、selinux、dnsmasq、swap。服务器配置如下
systemctl disable --now firewalld
systemctl disable --now dnsmasq #可能会关闭失败,提示没有该服务,不用管,这是dns服务
systemctl disable --now NetworkManager #公有云都会用到这个工具,不能关,公司私有云没有用到才能关
setenforce 0
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/sysconfig/selinux
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
#关闭swap分区
swapoff -a && sysctl -w vm.swappiness=0
sed -ri '/^[^#]*swap/s@^@#@' /etc/fstab
#安装ntpdate,同步时间,所有节点必须同步,因为涉及到证书的签发,证书签发跟时间有关
rpm -ivh http://mirrors.wlnmp.com/centos/wlnmp-release-centos.noarch.rpm
yum install ntpdate -y
#所有节点同步时间。时间同步配置如下
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime #如果是国外服务器就无需修改时区
echo 'Asia/Shanghai' >/etc/timezone
ntpdate time2.aliyun.com
# 加入到crontab
crontab -e
*/5 * * * * /usr/sbin/ntpdate time2.aliyun.com
#所有节点配置limit
ulimit -SHn 65535
cat >> /etc/security/limits.conf << EOF
# 末尾添加如下内容
* soft nofile 65536
* hard nofile 131072
* soft nproc 65535
* hard nproc 655350
* soft memlock unlimited
* hard memlock unlimited
EOF
#Master01节点免密钥登录其他节点,密钥配置如下
ssh-keygen -t rsa #一路回车
for i in k8s-master01 k8s-master02 k8s-master03 k8s-node01 k8s-node02;do ssh-copy-id -i .ssh/id_rsa.pub $i;done
#下载安装所有的源码文件,如果无法下载就下载:https://gitee.com/dukuan/k8s-ha-install.git
cd /root/ ; git clone https://github.com/dotbalo/k8s-ha-install.git
cd /root/k8s-ha-install/
git branch -a #查看所有分支
#所有节点升级系统
yum update -y --exclude=kernel* #CentOS7需要升级,CentOS8可以按需升级系统
安装过程中生成配置文件和证书均在Master01上操作,集群管理也在Master01上操作,阿里云或者AWS上需要单独一台服务器用于安装kubectl工具来管理集群。
2.3 内核配置
CentOS7 需要升级内核至4.18+,本地升级的版本为4.19
4.18跟4.19是官网验证过的,推荐的内核版本
下载链接:百度网盘
#在master01节点下载内核,百度网盘里有
cd /root
wget http://193.49.22.109/elrepo/kernel/el7/x86_64/RPMS/kernel-ml-devel-4.19.12-1.el7.elrepo.x86_64.rpm
wget http://193.49.22.109/elrepo/kernel/el7/x86_64/RPMS/kernel-ml-4.19.12-1.el7.elrepo.x86_64.rpm
#从master01节点传到其他节点:
for i in k8s-master02 k8s-master03 k8s-node01 k8s-node02;do scp kernel-ml-4.19.12-1.el7.elrepo.x86_64.rpm kernel-ml-devel-4.19.12-1.el7.elrepo.x86_64.rpm $i:/root/ ; done
#所有节点安装内核
cd /root && yum localinstall -y kernel-ml*
#所有节点更改内核启动顺序
grub2-set-default 0 && grub2-mkconfig -o /etc/grub2.cfg
grubby --args="user_namespace.enable=1" --update-kernel="$(grubby --default-kernel)"
#检查默认内核是不是4.19
[root@k8s-master02 ~]# grubby --default-kernel
/boot/vmlinuz-4.19.12-1.el7.elrepo.x86_64
#所有节点重启,然后检查内核是不是4.19
[root@k8s-master02 ~]# uname -a
Linux k8s-master02 4.19.12-1.el7.elrepo.x86_64 #1 SMP Fri Dec 21 11:06:36 EST 2018 x86_64 x86_64 x86_64 GNU/Linux
#所有节点安装ipvsadm:该工具能看到路由转发配置
yum install ipvsadm ipset sysstat conntrack libseccomp -y
#所有节点配置ipvs模块,在内核4.19+版本nf_conntrack_ipv4已经改为nf_conntrack, 4.18及其以下使用nf_conntrack_ipv4即可:
modprobe -- ip_vs
modprobe -- ip_vs_rr
modprobe -- ip_vs_wrr
modprobe -- ip_vs_sh
modprobe -- nf_conntrack
cat >> /etc/modules-load.d/ipvs.conf << EOF
ip_vs
ip_vs_lc
ip_vs_wlc
ip_vs_rr
ip_vs_wrr
ip_vs_lblc
ip_vs_lblcr
ip_vs_dh
ip_vs_sh
ip_vs_fo
ip_vs_nq
ip_vs_sed
ip_vs_ftp
ip_vs_sh
nf_conntrack
ip_tables
ip_set
xt_set
ipt_set
ipt_rpfilter
ipt_REJECT
ipip
EOF
systemctl enable --now systemd-modules-load.service
#开启一些k8s集群中必须的内核参数,所有节点配置k8s内核:
cat >> /etc/sysctl.d/k8s.conf << EOF
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
#以上三条是docker要用到的路由转发配置
fs.may_detach_mounts = 1
net.ipv4.conf.all.route_localnet = 1
vm.overcommit_memory=1
vm.panic_on_oom=0
fs.inotify.max_user_watches=89100
fs.file-max=52706963
fs.nr_open=52706963
net.netfilter.nf_conntrack_max=2310720
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl =15
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_orphans = 327680
net.ipv4.tcp_orphan_retries = 3
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.ip_conntrack_max = 65536
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_timestamps = 0
net.core.somaxconn = 16384
EOF
sysctl --system
#所有节点配置完内核后,重启服务器,保证重启后内核依旧加载
reboot
lsmod | grep --color=auto -e ip_vs -e nf_conntrack #如下图所示表示模块加载成功
到这里我们可以关机做一个快照。
2.4 K8s组件和Runtime安装
1.24版本及以后k8s不再支持docker,推荐安装containerd,因为方便以后升级k8s。
如果安装的版本低于1.24,选择Docker和Containerd均可,高于1.24选择Containerd作为Runtime。
Containerd作为Runtime
所有节点安装docker-ce-20.10:
yum install docker-ce-20.10.* docker-ce-cli-20.10.* -y
#如果用到Containerd可以不用启动docker。
#首先配置Containerd所需的模块(所有节点):
cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf
overlay
br_netfilter
EOF
#所有节点加载模块:
modprobe -- overlay
modprobe -- br_netfilter
#所有节点,配置Containerd所需的内核:
cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF
#所有节点加载内核:
sysctl --system
#所有节点配置Containerd的配置文件:
mkdir -p /etc/containerd
#生成一个默认的配置文件通过管道符转到.toml文件中
containerd config default | tee /etc/containerd/config.toml
#所有节点将Containerd的Cgroup改为Systemd:systemd是官方推荐的隔离机制
vim /etc/containerd/config.toml
进到该文件,按下/containerd.runtimes.runc.options,搜索找到containerd.runtimes.runc.options,修改SystemdCgroup = true,注意有两个空格,如下图所示
所有节点将sandbox_image的Pause镜像改成符合自己版本的地址registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.6
#所有节点启动Containerd,并配置开机自启动:
systemctl daemon-reload
systemctl enable --now containerd
#Containerd.sock文件在/run/containerd/containerd.sock
#所有节点配置crictl客户端连接的运行时位置:
cat > /etc/crictl.yaml <<EOF
runtime-endpoint: unix:///run/containerd/containerd.sock
image-endpoint: unix:///run/containerd/containerd.sock
timeout: 10
debug: false
EOF
#ctr查看镜像命令
ctr image ls
Docker作为Runtime(版本小于1.24)
#如果选择Docker作为Runtime,安装步骤较Containerd较为简单,只需要安装并启动即可。
#所有节点安装docker-ce 20.10:
yum install docker-ce-20.10.* docker-ce-cli-20.10.* -y
#由于新版Kubelet建议使用systemd,所以把Docker的CgroupDriver也改成systemd:
mkdir /etc/docker
cat > /etc/docker/daemon.json <<EOF
{
"exec-opts": ["native.cgroupdriver=systemd"]
}
EOF
#所有节点设置开机自启动Docker:
systemctl daemon-reload && systemctl enable --now docker
配置镜像加速点这里
三、安装Kubernetes组件
#首先在Master01节点查看最新的Kubernetes版本是多少:
yum list kubeadm.x86_64 --showduplicates | sort -r
#所有节点安装1.23最新版本kubeadm、kubelet和kubectl:
#如果安装指定版本的话,需要指定kubeadm-1.23.6,如下是安装最新版本
yum install kubeadm-1.23* kubelet-1.23* kubectl-1.23* -y
kubeadm version #查看版本
#如果选择的是Containerd作为的Runtime,需要更改Kubelet的配置使用Containerd作为Runtime:
cat >/etc/sysconfig/kubelet<<EOF
KUBELET_KUBEADM_ARGS="--container-runtime=remote --runtime-request-timeout=15m --container-runtime-endpoint=unix:///run/containerd/containerd.sock"
EOF
#所有节点设置Kubelet开机自启动(由于还未初始化,没有kubelet的配置文件,此时kubelet无法启动,不用管):
systemctl daemon-reload
systemctl enable --now kubelet
#此时kubelet是起不来的,日志会有报错不影响!
#查看错误日志
tail -f /var/log/messages #会显示还没有kubelet配置文件,因为我们还没做初始化操作
四、高可用组件安装
注意:如果不是高可用集群,haproxy和keepalived无需安装。
因为公有云大部分都是不支持keepalived的,所以公有云要用自带的负载均衡,如阿里云的SLB,腾讯云的ELB,用来替代haproxy和keepalived。
如果用阿里云的话,kubectl控制端不能放在master节点,因为阿里云的SLB有回环的问题,也就是SLB代理的服务器不能反向访问SLB,需要在SLB后面再加一层代理,但是腾讯云修复了这个问题。
这个问题要重点关注一下,因为公司很多都用阿里云跟腾讯云。
3.1 安装HAProxy和KeepAlived
#所有Master节点通过yum安装HAProxy和KeepAlived:
yum install keepalived haproxy -y
#所有Master节点配置HAProxy(详细配置参考HAProxy文档,所有Master节点的HAProxy配置相同):备份一下haproxy配置文件,改为如下
[root@k8s-master01 etc]# mkdir /etc/haproxy
[root@k8s-master01 etc]# vim /etc/haproxy/haproxy.cfg
global
maxconn 2000
ulimit-n 16384
log 127.0.0.1 local0 err
stats timeout 30s
defaults
log global
mode http
option httplog
timeout connect 5000
timeout client 50000
timeout server 50000
timeout http-request 15s
timeout http-keep-alive 15s
frontend monitor-in
bind *:33305
mode http
option httplog
monitor-uri /monitor
frontend k8s-master
bind 0.0.0.0:16443
bind 127.0.0.1:16443
mode tcp
option tcplog
tcp-request inspect-delay 5s
default_backend k8s-master
backend k8s-master
mode tcp
option tcplog
option tcp-check
balance roundrobin
default-server inter 10s downinter 5s rise 2 fall 2 slowstart 60s maxconn 250 maxqueue 256 weight 100
server k8s-master01 10.103.236.201:6443 check
server k8s-master02 10.103.236.202:6443 check
server k8s-master03 10.103.236.203:6443 check
#重启
systemctl restart haproxy
#检查haproxy端口是否被监听,端口为16443
netstat -lntp
#所有Master节点配置KeepAlived,配置不一样,注意区分配置文件/etc/keepalived/keepalived.conf ,注意每个节点的IP和网卡(interface参数),注意备份配置文件
#Master01节点的配置:
cd /etc/keepalived
vim /etc/keepalived/keepalived.conf
! Configuration File for keepalived
global_defs {
router_id LVS_DEVEL
script_user root
enable_script_security
}
vrrp_script chk_apiserver {
script "/etc/keepalived/check_apiserver.sh"
interval 5
weight -5
fall 2
rise 1
}
vrrp_instance VI_1 {
state MASTER
interface ens33 #修改点1,注意网卡的名称需要修改ip a查看
mcast_src_ip 10.103.236.201 #修改点2,改为当前节点的ip地址,我这里是master01
virtual_router_id 51
priority 101
advert_int 2
authentication {
auth_type PASS
auth_pass K8SHA_KA_AUTH
}
virtual_ipaddress {
10.103.236.236 #和这三台master的ip地址处于同一个网段
}
track_script {
chk_apiserver
}
}
#Master02节点的配置:
! Configuration File for keepalived
global_defs {
router_id LVS_DEVEL
script_user root
enable_script_security
}
vrrp_script chk_apiserver {
script "/etc/keepalived/check_apiserver.sh"
interval 5
weight -5
fall 2
rise 1
}
vrrp_instance VI_1 {
state BACKUP
interface ens33
mcast_src_ip 10.103.236.202
virtual_router_id 51
priority 100
advert_int 2
authentication {
auth_type PASS
auth_pass K8SHA_KA_AUTH
}
virtual_ipaddress {
10.103.236.236
}
track_script {
chk_apiserver
}
}
#Master03节点的配置:
! Configuration File for keepalived
global_defs {
router_id LVS_DEVEL
script_user root
enable_script_security
}
vrrp_script chk_apiserver {
script "/etc/keepalived/check_apiserver.sh"
interval 5
weight -5
fall 2
rise 1
}
vrrp_instance VI_1 {
state BACKUP
interface ens33
mcast_src_ip 10.103.236.203
virtual_router_id 51
priority 100
advert_int 2
authentication {
auth_type PASS
auth_pass K8SHA_KA_AUTH
}
virtual_ipaddress {
10.103.236.236
}
track_script {
chk_apiserver
}
}
#所有master节点配置KeepAlived健康检查文件:
#这个健康检查会循环的探测haproxy进程是否存在,如果不在就会把keepalived关掉,关掉之后vip就会飘到其他节点上去,vip会绑定在三个master节点上的其中一个上
cat /etc/keepalived/check_apiserver.sh
#!/bin/bash
err=0
for k in $(seq 1 3)
do
check_code=$(pgrep haproxy)
if [[ $check_code == "" ]]; then
err=$(expr $err + 1)
sleep 1
continue
else
err=0
break
fi
done
if [[ $err != "0" ]]; then
echo "systemctl stop keepalived"
/usr/bin/systemctl stop keepalived
exit 1
else
exit 0
fi
chmod +x /etc/keepalived/check_apiserver.sh
#启动haproxy和keepalived
systemctl daemon-reload
systemctl enable --now haproxy
systemctl enable --now keepalived
#通过ip a可以看到vip绑定在哪台master节点上
#重要:如果安装了keepalived和haproxy,需要测试keepalived是否是正常的
#测试VIP
ping 10.103.236.236 -c 4
telnet 10.103.236.236 16443
#如果ping不通且telnet没有出现 ] ,则认为VIP不可以,不可在继续往下执行,需要排查keepalived的问题,比如防火墙和selinux,haproxy和keepalived的状态,监听端口等
#所有节点查看防火墙状态必须为disable和inactive:systemctl status firewalld
#所有节点查看selinux状态,必须为disable:getenforce
#master节点查看haproxy和keepalived状态:systemctl status keepalived haproxy
#master节点查看监听端口:netstat -lntp
3.2 集群初始化
官方初始化文档:https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/high-availability/
注意,如果不是高可用集群,如下配置10.103.236.236:16443改为master01的地址,16443改为apiserver的端口,默认是6443,注意更改kubernetesVersion的值和自己服务器kubeadm的版本一致:命令kubeadm version
注意:以下文件内容,宿主机网段、podSubnet网段、serviceSubnet网段不能重复。
Master01节点创建kubeadm-config.yaml配置文件如下:
cd /root/
vim /root/kubeadm-config.yaml
#vim下:set paste 这样粘贴格式不会乱
apiVersion: kubeadm.k8s.io/v1beta2
bootstrapTokens:
- groups:
- system:bootstrappers:kubeadm:default-node-token
token: 7t2weq.bjbawausm0jaxury
ttl: 24h0m0s
usages:
- signing
- authentication
kind: InitConfiguration
localAPIEndpoint:
advertiseAddress: 10.103.236.201 #这里需要修改,改为本地服务器的IP地址即master01的地址
bindPort: 6443
nodeRegistration:
# criSocket: /var/run/dockershim.sock # 如果是Docker作为Runtime配置此项
criSocket: /run/containerd/containerd.sock # 如果是Containerd作为Runtime配置此项
name: k8s-master01
taints:
- effect: NoSchedule
key: node-role.kubernetes.io/master
---
apiServer:
certSANs:
- 10.103.236.236 #改为VIP地址或者是公有云的负载均衡地址,证书会颁发给vip,其他节点都是通过vip进行连接的,所以证书颁发给vip就行了
timeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta2
certificatesDir: /etc/kubernetes/pki
clusterName: kubernetes
controlPlaneEndpoint: 10.103.236.236:16443 #vip的地址跟haporxy的端口号,如果使用的是公有云,那么填公有云地址跟他的端口号
controllerManager: {}
dns:
type: CoreDNS
etcd:
local:
dataDir: /var/lib/etcd
imageRepository: registry.cn-hangzhou.aliyuncs.com/google_containers
kind: ClusterConfiguration
kubernetesVersion: v1.23.0 # 更改此处的版本号和kubeadm version一致,命令kubectl version
networking:
dnsDomain: cluster.local
podSubnet: 172.16.0.0/12
serviceSubnet: 192.168.0.0/16
scheduler: {}
初始化集群操作
#更新kubeadm配置文件
kubeadm config migrate --old-config kubeadm-config.yaml --new-config new.yaml
#将new.yaml文件复制到其他master节点,其他节点的kubeadm配置文件只是用来下载镜像的,所以不用关心上面的ip地址
for i in k8s-master02 k8s-master03; do scp new.yaml $i:/root/; done
#所有Master节点提前下载镜像,可以节省初始化时间(其他节点不需要更改任何配置,包括IP地址也不需要更改):
kubeadm config images pull --config /root/new.yaml
#所有节点设置开机自启动kubelet,如果启动失败无需管理,初始化成功以后即可启动
systemctl enable --now kubelet
#在Master01节点上进行初始化,初始化以后会在/etc/kubernetes目录下生成对应的证书和配置文件,之后其他Master节点加入Master01即可:
kubeadm init --config /root/new.yaml --upload-certs
#如果初始化失败,重置后再次初始化,命令如下(没有失败不要执行):
kubeadm reset -f ; ipvsadm --clear ; rm -rf ~/.kube
如果还不行则需要看kubelet日志,即/var/log/messages 中的kubelet关键字,报错会出现再日志开头位置,报错的日志会出现的很多,但是最主要的信息只有如下图这么一点,所以不要害怕报错。下述报错案例提示的是没有config.yaml文件,需要检查该文件是否存在。
还有个报错如下图,表示kubectl连接不上K8s集群,kubectl连接k8s集群需要一个证书文件,这个文件位于/etc/kubernets/admin.conf,使用kubectl执行命令需要指定该证书文件才能执行命令。
初始化成功以后,会产生Token值,用于其他节点加入时使用,因此要记录下初始化成功生成的token值(令牌值):token过期时间为24小时
Your Kubernetes control-plane has initialized successfully!
To start using your cluster, you need to run the following as a regular user:
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
Alternatively, if you are the root user, you can run:
export KUBECONFIG=/etc/kubernetes/admin.conf
You should now deploy a pod network to the cluster.
Run "kubectl apply -f [podnetwork].yaml" with one of the options listed at:
https://kubernetes.io/docs/concepts/cluster-administration/addons/
You can now join any number of the control-plane node running the following command on each as root:
#如果是其他master节点即控制节点加入则使用如下命令
kubeadm join 10.103.236.236:16443 --token 7t2weq.bjbawausm0jaxury \
--discovery-token-ca-cert-hash sha256:df72788de04bbc2e8fca70becb8a9e8503a962b5d7cd9b1842a0c39930d08c94 \
--control-plane --certificate-key c595f7f4a7a3beb0d5bdb75d9e4eff0a60b977447e76c1d6885e82c3aa43c94c
Please note that the certificate-key gives access to cluster sensitive data, keep it secret!
As a safeguard, uploaded-certs will be deleted in two hours; If necessary, you can use
"kubeadm init phase upload-certs --upload-certs" to reload certs afterward.
Then you can join any number of worker nodes by running the following on each as root:
#work节点加入使用如下命令
kubeadm join 10.103.236.236:16443 --token 7t2weq.bjbawausm0jaxury \
--discovery-token-ca-cert-hash sha256:df72788de04bbc2e8fca70becb8a9e8503a962b5d7cd9b1842a0c39930d08c94
#Master01节点配置环境变量,用于访问Kubernetes集群:
cat <<EOF >> /root/.bashrc
export KUBECONFIG=/etc/kubernetes/admin.conf
EOF
source /root/.bashrc
报如下错误就是没有配置环境变量的原因
查看节点状态:
kubectl get node
采用初始化安装方式,所有的系统组件均以容器的方式运行并且在kube-system命名空间内,此时可以查看Pod状态:
kubectl get po -n kube-system
3.3 token过期处理
token过期时间为24小时,过期了怎么办呢?
3.3.1 查看token过期时间
kubectl get secret -n kube-system
查看其他节点加入集群用的哪个token,在集群初始化的时候,有个new.yaml配置文件,打开它记住前面这段
kubectl get secret -n kube-system |grep 7t2weq
kubectl get secret -n kube-system | grep 7t2weq #复制bootstrap-token-7t2weq
bootstrap-token-7t2weq bootstrap.kubernetes.io/token 6 31m
以yaml方式输出这个token,查看详情,Expiration即过期时间,是加密的
[root@k8s-master01 ~]# kubectl get secret -n kube-system bootstrap-token-7t2weq -oyaml
apiVersion: v1
data:
auth-extra-groups: c3lzdGVtOmJvb3RzdHJhcHBlcnM6a3ViZWFkbTpkZWZhdWx0LW5vZGUtdG9rZW4=
expiration: MjAyMi0xMC0yNlQwNzo1NTowOVo= #这一段就是过期时间,是加密的
token-id: N3Qyd2Vx
token-secret: YmpiYXdhdXNtMGpheHVyeQ==
usage-bootstrap-authentication: dHJ1ZQ==
usage-bootstrap-signing: dHJ1ZQ==
kind: Secret
metadata:
creationTimestamp: "2022-10-25T07:55:09Z"
name: bootstrap-token-7t2weq
namespace: kube-system
resourceVersion: "361"
uid: de0c7e62-3d36-438c-9693-04a3d7281759
type: bootstrap.kubernetes.io/token
解密后,如果感觉不对,就加8个小时,因为显示的是美国时间,比中国少8个时区
echo "MjAyMi0xMC0yNlQwNzo1NTowOVo=" | base64 -d
2022-10-26T07:55:09Z
可以看到显示的是7点,而我是15点初始化的,需要加8个小时。
3.3.2 Token过期后生成新的token
生成工作节点加入集群的token
#在master01上执行
[root@k8s-master01 ~]# kubeadm token create --print-join-command
kubeadm join 10.103.236.236:16443 --token 5v0mkl.fn4rh5k4hd02joqy --discovery-token-ca-cert-hash sha256:dd162086e046f22aa8ba5ce173dd14be73930243c6f0b23f921502037f6300c8
生成Master节点加入集群的token
#注意master节点的token比node节点的token多一个key
#在master01上执行
[root@k8s-master01 ~]# kubeadm init phase upload-certs --upload-certs
I1025 16:57:22.455637 19132 version.go:255] remote version is much newer: v1.25.3; falling back to: stable-1.23
[upload-certs] Storing the certificates in Secret "kubeadm-certs" in the "kube-system" Namespace
[upload-certs] Using certificate key:
5248a26dee5ee0fffab9be907bd2f93cbf69e9a16525e9b881eab48a87b8111a #复制这个key
#复制工作节点加入集群的token加上--control-plane --certificate-key跟上面生成的key,拼接后如下
kubeadm join 10.103.236.236:16443 --token 5v0mkl.fn4rh5k4hd02joqy --discovery-token-ca-cert-hash sha256:dd162086e046f22aa8ba5ce173dd14be73930243c6f0b23f921502037f6300c8 \
--control-plane --certificate-key 5248a26dee5ee0fffab9be907bd2f93cbf69e9a16525e9b881eab48a87b8111a
查看当前状态:
kubectl get node
Node节点上主要部署公司的一些业务应用,生产环境中不建议Master节点部署系统组件之外的Pod,测试环境可以允许Master节点部署Pod以节省系统资源。
3.4 Calico组件的安装
建议使用Calico网络组件,他支持网络策略,fanal不支持网络策略。
以下步骤只在master01执行
#进入之前拉下来的目录,选择分支,进入calico目录
cd /root/k8s-ha-install && git checkout manual-installation-v1.23.x && cd calico/
cp calico.yaml calico.yaml.bak
#接下来修改Pod网段,使用如下命令替换POD_CIDR字段的值
#将pod网段赋值到POD_SUBNET变量中
POD_SUBNET=`cat /etc/kubernetes/manifests/kube-controller-manager.yaml | grep cluster-cidr= | awk -F= '{print $NF}'`
#使用sed替换
sed -i "s#POD_CIDR#${POD_SUBNET}#g" calico.yaml
kubectl apply -f calico.yaml
查看容器和节点状态:
发现有个处于Pending状态,这是因为master默认是有污点的,不允许除系统组件的其他pod运行在master节点,后续学习可以去除污点。
kubectl get po -n kube-system
kubectl get node -owide #查看节点的ip地址
kubectl get node
这里会发现有些pod是宿主机的地址,这个跟pod部署方式有关,看下这个pod的yaml文件
kubectl get po -n kube-system -owide
[root@k8s-master01 ~]# kubectl get po calico-node-cprbl -n kube-system -oyaml | grep hostNetwork
hostNetwork: true
#如果pod采用的hostnetwork值为true的形式,这时该pod就会使用宿主机的网络地址,并开放指定端口,如果没有采用hostnetwork就不会使用宿主机网络,而是pod地址
3.5 Metrics部署
通过Metrics可以采集节点和Pod的内存、磁盘、CPU和网络的使用率。
将Master01节点的front-proxy-ca.crt证书复制到所有Node节点
scp /etc/kubernetes/pki/front-proxy-ca.crt k8s-node01:/etc/kubernetes/pki/front-proxy-ca.crt
scp /etc/kubernetes/pki/front-proxy-ca.crt k8s-node02:/etc/kubernetes/pki/front-proxy-ca.crt
#安装metrics server
cd /root/k8s-ha-install/kubeadm-metrics-server
kubectl create -f comp.yaml
#以下为输出信息
serviceaccount/metrics-server created
clusterrole.rbac.authorization.k8s.io/system:aggregated-metrics-reader created
clusterrole.rbac.authorization.k8s.io/system:metrics-server created
rolebinding.rbac.authorization.k8s.io/metrics-server-auth-reader created
clusterrolebinding.rbac.authorization.k8s.io/metrics-server:system:auth-delegator created
clusterrolebinding.rbac.authorization.k8s.io/system:metrics-server created
service/metrics-server created
deployment.apps/metrics-server created
apiservice.apiregistration.k8s.io/v1beta1.metrics.k8s.io created
#查看状态
kubectl get po -n kube-system -l k8s-app=metrics-server
pod的状态变成1/1 Running后就能查看到资源使用率
# kubectl top node
NAME CPU(cores) CPU% MEMORY(bytes) MEMORY%
k8s-master01 153m 3% 1701Mi 44%
k8s-master02 125m 3% 1693Mi 44%
k8s-master03 129m 3% 1590Mi 41%
k8s-node01 73m 1% 989Mi 25%
k8s-node02 64m 1% 950Mi 24%
# kubectl top po -A 查看所有命名空间下的pod资源
NAMESPACE NAME CPU(cores) MEMORY(bytes)
kube-system calico-kube-controllers-66686fdb54-74xkg 2m 17Mi
kube-system calico-node-6gqpb 21m 85Mi
kube-system calico-node-bmvjt 29m 76Mi
kube-system calico-node-hdp9c 15m 82Mi
kube-system calico-node-wwrfv 23m 86Mi
kube-system calico-node-zzv88 22m 84Mi
kube-system calico-typha-67c6dc57d6-hj6l4 2m 23Mi
kube-system calico-typha-67c6dc57d6-jm855 2m 22Mi
...
3.6 Dashboard部署
Dashboard用于展示集群中的各类资源,同时也可以通过Dashboard实时查看Pod的日志和在容器中执行一些命令等。
3.6.1 安装指定版本dashboard
cd /root/k8s-ha-install/dashboard/ && kubectl create -f .
3.6.2 安装最新版
官方GitHub地址:https://github.com/kubernetes/dashboard
可以在官方dashboard查看到最新的yaml文件
kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.3/aio/deploy/recommended.yaml
登录dashboard
在谷歌浏览器(Chrome)右击属性中加入启动参数,用于解决无法访问Dashboard的问题,参考图1-1:
--test-type --ignore-certificate-errors
更改dashboard的svc为NodePort,将ClusterIP更改为NodePort(如果已经为NodePort忽略此步骤)
kubectl edit svc kubernetes-dashboard -n kubernetes-dashboard
查看端口号:
kubectl get svc kubernetes-dashboard -n kubernetes-dashboard
根据自己的实例端口号,通过任意安装了kube-proxy的宿主机的IP+端口即可访问到dashboard:
访问Dashboard:https://10.103.236.201:18282(请更改18282为自己的端口),选择登录方式为令牌(即token方式),参考图1-2
查看token值:
[root@k8s-master01 1.1.1]# kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep admin-user | awk '{print $1}')
Name: admin-user-token-r4vcp
Namespace: kube-system
Labels: <none>
Annotations: kubernetes.io/service-account.name: admin-user
kubernetes.io/service-account.uid: 2112796c-1c9e-11e9-91ab-000c298bf023
Type: kubernetes.io/service-account-token
Data
====
ca.crt: 1025 bytes
namespace: 11 bytes
token: eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pbi11c2VyLXRva2VuLXI0dmNwIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6ImFkbWluLXVzZXIiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiIyMTEyNzk2Yy0xYzllLTExZTktOTFhYi0wMDBjMjk4YmYwMjMiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6a3ViZS1zeXN0ZW06YWRtaW4tdXNlciJ9.bWYmwgRb-90ydQmyjkbjJjFt8CdO8u6zxVZh-19rdlL_T-n35nKyQIN7hCtNAt46u6gfJ5XXefC9HsGNBHtvo_Ve6oF7EXhU772aLAbXWkU1xOwQTQynixaypbRIas_kiO2MHHxXfeeL_yYZRrgtatsDBxcBRg-nUQv4TahzaGSyK42E_4YGpLa3X3Jc4t1z0SQXge7lrwlj8ysmqgO4ndlFjwPfvg0eoYqu9Qsc5Q7tazzFf9mVKMmcS1ppPutdyqNYWL62P1prw_wclP0TezW1CsypjWSVT4AuJU8YmH8nTNR1EXn8mJURLSjINv6YbZpnhBIPgUGk1JYVLcn47w
将token值输入到令牌后,单击登录即可访问Dashboard
登录的用户是我们创建的,文件在dashboard-user.yaml文件中,可以看到将管理员的权限授权给了admin-user
vim /root/k8s-ha-install/dashboard/dashboard-user.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: admin-user
namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: admin-user
annotations:
rbac.authorization.kubernetes.io/autoupdate: "true"
license: 34C7357D6D1C641D4CA1E369E7244F61
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: admin-user
namespace: kube-system
登录之后选择左边Pods,然后选择kube-system命名空间下就能看到资源了,注意监控cpu资源内存资源需要安装metrics-server才会显示数据。
3.7 一些必须的配置更改
#将Kube-proxy改为ipvs模式,因为在初始化集群的时候注释了ipvs配置,所以需要自行修改一下:
#在master01节点执行
kubectl edit cm kube-proxy -n kube-system
mode: "ipvs" #将mode修改为ipvs
#更新Kube-Proxy的Pod:
kubectl patch daemonset kube-proxy -p "{\"spec\":{\"template\":{\"metadata\":{\"annotations\":{\"date\":\"`date +'%s'`\"}}}}}" -n kube-system
#验证Kube-Proxy模式
[root@k8s-master01 1.1.1]# curl 127.0.0.1:10249/proxyMode
ipvs
#查看kube-proxy的pod
kubectl get pods -n kube-system -l k8s-app=kube-proxy
#查看pod报错
kubectl describe pod kube-proxy-vpvtd -n kube-system
#删除pod
kubectl delete po kube-proxy-slbns -n kube-system
3.8 故障排查流程
- 查看containerd的状态
- 查看kubelet的状态
- 看日志
下面开始讲一个报错案例:
如果是新建集群,可以停掉相关进程,删除相关数据,再重建
systemctl stop containerd kubelet
rm -rf /var/lib/containerd /var/lib/kubelet/ /etc/kubernetes/
重新配置containerd配置文件,看2.4节,之后重启服务
systemctl restart containerd
systemctl restart kubelet
如果删除过程中出现目录繁忙,就umout该目录
查看日志
tail -f /var/log/messges
发现kubelet报错,该报错是未初始化造成的,会提示没有config.yaml文件。
#如果是node节点则执行如下join命令
[root@k8s-master01 ~]# kubeadm token create --print-join-command
kubeadm join 10.103.236.236:16443 --token 5v0mkl.fn4rh5k4hd02joqy --discovery-token-ca-cert-hash sha256:dd162086e046f22aa8ba5ce173dd14be73930243c6f0b23f921502037f6300c8
#如果是master节点则执行如下命令
kubeadm join 10.103.236.236:16443 --token 5v0mkl.fn4rh5k4hd02joqy --discovery-token-ca-cert-hash sha256:dd162086e046f22aa8ba5ce173dd14be73930243c6f0b23f921502037f6300c8 \
--control-plane --certificate-key 5248a26dee5ee0fffab9be907bd2f93cbf69e9a16525e9b881eab48a87b8111a
三台master节点都会用到/etc/kubernetes/admin.conf证书文件,检查这个文件存不存在,不存在就scp过来,然后重置,初始化,无非就这样的流程,没必要害怕报错,很简单的。
五、注意事项
-
kubeadm安装的集群,证书有效期默认是一年。
-
master跟node节点的组件都是以容器运行的。
master节点的kube-apiserver、kube-scheduler、kube-controller-manager、etcd都是以容器运行的。可以通过kubectl get po -n kube-system查看。 -
启动方式跟二进制不同,区别如下。
kubelet的配置文件在/etc/sysconfig/kubelet和/var/lib/kubelet/config.yaml,修改后需要重启kubelet进程。 其他组件的配置文件在/etc/kubernetes/manifests目录下,比如kube-apiserver.yaml,该yaml文件更改后,kubelet会自动刷新配置,注意是自动更新配置,也会重启pod。如果不想等的话可以执行systemctl restart kubelet。 关于kube-proxy,不能重复创建该文件会报错,可以编辑修改该文件,kube-proxy的配置在kube-system命名空间下的configmap中,可以通过kubectl edit cm kube-proxy -n kube-system进行更改,更改完成后,可以通过patch重启kube-proxy,命令如下 kubectl patch daemonset kube-proxy -p "{\"spec\":{\"template\":{\"metadata\":{\"annotations\":{\"date\":\"`date +'%s'`\"}}}}}" -n kube-system -
Kubeadm安装后,master节点默认不允许部署pod,可以通过以下方式打开
#查看Taints:
[root@k8s-master01 ~]# kubectl describe node -l node-role.kubernetes.io/master= | grep Taints
Taints: node-role.kubernetes.io/master:NoSchedule #注意这个名字可能不一样,操作是一样的
Taints: node-role.kubernetes.io/master:NoSchedule
Taints: node-role.kubernetes.io/master:NoSchedule
#删除Taint:
[root@k8s-master01 ~]# kubectl taint node -l node-role.kubernetes.io/master node-role.kubernetes.io/master:NoSchedule-
node/k8s-master01 untainted
node/k8s-master02 untainted
node/k8s-master03 untainted
[root@k8s-master01 ~]# kubectl describe node -l node-role.kubernetes.io/master= | grep Taints
Taints: <none>
Taints: <none>
Taints: <none>