《 云原生 kubernetes 》K8S二进制部署--单节点master

639 阅读13分钟

前言

微信截图_20221208194239.png

常见的K8S按照部署方式
●Mini kube
Minikube是一个工具,可以在本地快速运行一个单节点微型K8S,仅用于学习、预览K8S的一些特性使用

部署地址: kubernetes.io/docs/setup/…

●Kubeadmin
Kubeadmin也是一个工具,提供kubeadm init和kubeadm join,用于快速部署K8S集群,相对简单。

 kubernetes.io/docs/refere…

●二进制安装部署
生产首选,从官方下载发行版的二进制包,手动部署每个组件和自签TLS证书,组成K8S集群,新手推荐。 github.com/kubernetes/…

小结∶ Kubeadm降低部署门槛,但屏蔽了很多细节,遇到问题很难排查。如果想更容易可控,推荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。

Kubernetes二进制部署(环境准备)

服务器IP地址安装工具
K8s集群master01(ectd节点1)192.168.142.10cfssl、cfssljson、cfssl-certinfo、etcd
K8s集群node01(ectd节点2)192.168.142.20cfssl、cfssljson、cfssl-certinfo、etcd、Flannel、docker
K8s集群node02(ectd节点3)192.168.142.30cfssl、cfssljson、cfssl-certinfo、etcd、Flannel、docker
#关闭防火墙
systemctl stop firewalld
systemctl disable firewalld

#关闭SE安全中心
setenforce 0
sed -i 's/enforcing/disabled/' /etc/selinux/config 

#关闭swap 
swapoff -a                                           #临时关闭
sed -ri 's/.*swap.*/#&/' /etc/fstab                  #永久关闭,&符号代表前面匹配的所有

#根据规划设置主机名
hostnamectl set-hostname master01 
hostnamectl set-hostname node01 
hostnamectl set-hostname node02

#在master添加hosts
cat >> /etc/hosts << EOF 
192.168.142.10 master01 
192.168.142.20 node01 
192.168.142.30 node02 
EOF

#将桥接的IPv4流量传递到iptables的链
cat > /etc/sysctl.d/k8s.conf <<EOF 
net.bridge.bridge-nf-call-ip6tables = 1 
net.bridge.bridge-nf-call-iptables = 1 
EOF
sysctl --system

#时间同步,可以加入计划任务定时执行减小偏差
yum install ntpdate -y
ntpdate time.windows.com

Snipaste_2022-12-07_16-54-50.png

Snipaste_2022-12-07_16-55-55.png

Snipaste_2022-12-07_16-56-15.png

1.部署 etcd 集群

etcd是Core0S团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value) 数据库。etcd内部采用raft协议
作为一致性算法,etcd是go语言编写的。

etcd作为服务发现系统,有以下的特点

特点说明
简单安装配置简单,而且提供了HTTP API进行交互,使用也很简单
安全支持SSL证书验证
快速单实例支持每秒2k+读操作
可靠采用raft算法,实现分布式系统数据的可用性和一致性

etcd目前默认使用2379端口提供HTTP API服务,
2380端口和peer通信(这两个端口已经被IANA(互联网数字分配机构)官方预留给etcd)。
即etcd默认使用2379端口对外为客户端提供通讯,使用端口2380来进行服务器间内部通讯。
etcd在生产环境中一般推 荐集群方式部署。由于etcd的leader选举机制,要求至少为3台或以上的奇数台。

2.准备签发证书环境

CFSSL是CloudFlare 公司开源的一款PKI/TLS 工具。CFSSL包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。
CFSSL使用配置文件生成证书,因此自签之前,需要生成它识别的json格式的配置文件,CFSSL提供了方便的命令行生成配置文件。

CFSSL 用来为etcd提供TLS证书,它支持签三种类型的证书

类型说明
client 证书服务端连接客户端时携带的证书,用于客户端验证服务端身份,如kube-apiserver访问etcd;
server证书客户端连接服务端时携带的证书,用于服务端验证客户端身份,如etcd对外提供服务;
peer证书相互之间连接时使用的证书,如etcd节点之间进行验证和通信。

这里全部都使用同一套证书认证。

在 master01 节点上操作下载证书制作工具

1.下载证书制作工具

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo
或
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo

chmod +x /usr/local/bin/cfssl*


cfssl:					证书签发的工具命令
cfssljson:				将cfssl生成的证书(json格式)变为文件承载式证书
cfssl-certinfo:			验证证书的信息
cfssl-certinfo -cert <证书名称>       #查看证书的信息

Snipaste_2022-12-07_15-05-26.png

2.创建k8s工作目录

#创建k8s工作目录
mkdir /opt/k8s 
cd /opt/k8s/

#上传 etcd-cert.sh 和 etcd.sh 到 /opt/k8s/ 目录中
chmod +x etcd-cert.sh etcd.sh

#创建用于生成CA证书、etcd 服务器证书以及私钥的目录
mkdir /opt/k8s/etcd-cert 
mv etcd-cert.sh etcd-cert/
cd /opt/k8s/etcd-cert/
./etcd-cert.sh                                       #生成CA证书、etcd 服务器证书以及私钥

Snipaste_2022-12-07_15-15-57.png

Snipaste_2022-12-07_15-19-57.png

Snipaste_2022-12-07_15-20-50.png

启动etcd服务

# etcd 二进制包地址:https://github.com/etcd-io/etcd/releases


#上传 etcd-v3.4.9-linux-amd64.tar.gz 到 /opt/k8s/ 目录中,解压 etcd 压缩包
cd /opt/k8s/
tar zxvf etcd-v3.4.9-linux-amd64.tar.gz
ls etcd-v3.4.9-linux-amd64
#etcd就是etcd 服务的启动命令,后面可跟各种启动参数
#etcdctl主要为etcd 服务提供了命令行操作

Snipaste_2022-12-07_15-27-17.png

#创建用于存放 etcd 配置文件,命令文件,证书的目录
mkdir -p /opt/etcd/{cfg,bin,ssl}

#移动etcd和etcdctl文件到自定义的命令文件中
mv /opt/k8s/etcd-v3.4.9-linux-amd64/etcd /opt/k8s/etcd-v3.4.9-linux-amd64/etcdctl /opt/etcd/bin/                      

cp /opt/k8s/etcd-cert/*.pem /opt/etcd/ssl/

#启动etcd服务
./opt/k8s/etcd.sh etcd01 192.168.19.10 etcd02=https://192.168.19.11:2380,etcd03=https://192.168.19.17:2380
#进入卡住状态等待其他节点加入,这里需要三台etcd服务同时启动,如果只启动其中一台后,服务会卡在那里,直到集群中所有etcd节点都已启动,可忽略这个情况

#另外打开一个窗口查看etcd进程是否正常
ps -ef | grep etcd

Snipaste_2022-12-07_15-35-31.png

Snipaste_2022-12-07_15-36-48.png

Snipaste_2022-12-07_15-38-09.png

#把etcd相关证书文件和命令文件全部拷贝到另外两个etcd集群节点
scp -r /opt/etcd/ root@192.168.142.20:/opt/
scp -r /opt/etcd/ root@192.168.142.30:/opt/

#把etcd服务管理文件拷贝到另外两个集群节点
scp /usr/lib/systemd/system/etcd.service root@192.168.142.20:/usr/lib/systemd/system/
scp /usr/lib/systemd/system/etcd.service root@192.168.142.30:/usr/lib/systemd/system/

#在etcd集群的其他节点配置对应的服务器名和ip地址
vim /opt/etcd/cfg/etcd

Snipaste_2022-12-07_15-46-56.png

#启动etcd服务
systemctl start etcd
systemctl enable etcd
systemctl status etcd

在 master01 节点(etcd01)上操作检查etcd群集状态
ln -s /opt/etcd/bin/etcd* /usr/local/bin 

cd /opt/etcd/ssl 
/opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://192.168.142.10:2379,https://192.168.142.20:2379,https://192.168.142.30:2379" endpoint health --write-out=table
字段解析
--ca-file∶使用此CA证书验证启用https的服务器的证书
--cert-file∶识别HTTPS端使用SSL证书文件
--key-file∶使用此SSL密钥文件标识HTTPS客户端
--endpoints∶集群中以逗号分隔的机器地址列表
cluster-health∶检查etcd集群的运行状况

Snipaste_2022-12-07_15-49-55.png

在master01节点上测试健康检查

#检查etcd群集状态
ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://192.168.142.10:2379,https://192.168.142.20:2379,https://192.168.142.30:2379" endpoint health --write-out=table

ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://192.168.142.10:2379,https://192.168.142.20:2379,https://192.168.142.30:2379" --write-out=table member list

Snipaste_2022-12-07_15-51-01.png

部署 Master 组件

//在 master01 节点上操作
#上传 master.zip 和 k8s-cert.sh 到 /opt/k8s 目录中,解压 master.zip 压缩包
cd /opt/k8s/
unzip master.zip
chmod +x *.sh

mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}
#创建用于生成CA证书、相关组件的证书和私钥的目录
mkdir /opt/k8s/k8s-cert
mv /opt/k8s/k8s-cert.sh /opt/k8s/k8s-cert
cd /opt/k8s/k8s-cert/
./k8s-cert.sh

ls *pem
admin-key.pem  apiserver-key.pem  ca-key.pem  kube-proxy-key.pem  
admin.pem      apiserver.pem      ca.pem      kube-proxy.pem

cp ca*pem apiserver*pem /opt/kubernetes/ssl/

Snipaste_2022-12-07_16-00-30.png

Snipaste_2022-12-07_16-02-38.png

Snipaste_2022-12-07_16-04-09.png

Snipaste_2022-12-07_16-05-23.png

Snipaste_2022-12-07_16-06-28.png

#上传 kubernetes-server-linux-amd64.tar.gz 到 /opt/k8s/ 目录中,解压 kubernetes 压缩包
cd /opt/k8s/
tar zxvf kubernetes-server-linux-amd64.tar.gz

cd /opt/k8s/kubernetes/server/bin
cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/
ln -s /opt/kubernetes/bin/* /usr/local/bin/

#创建 bootstrap token 认证文件,apiserver 启动时会调用,然后就相当于在集群内创建了一个这个用户,接下来就可以用 RBAC 给他授权
cd /opt/k8s/
vim token.sh
#!/bin/bash
#获取随机数前16个字节内容,以十六进制格式输出,并删除其中空格
BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
#生成 token.csv 文件,按照 Token序列号,用户名,UID,用户组 的格式生成
cat > /opt/kubernetes/cfg/token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

chmod +x token.sh
./token.sh

cat /opt/kubernetes/cfg/token.csv

cd /opt/k8s/
./apiserver.sh 192.168.142.10 https://192.168.142.10:2379,https://192.168.142.20:2379,https://192.168.142.30:2379

ps aux | grep kube-apiserver

netstat -natp | grep 6443   #安全端口6443用于接收HTTPS请求,用于基于Token文件或客户端证书等认证

cd /opt/k8s/

#启动 scheduler 服务
./scheduler.sh
ps aux | grep kube-scheduler

#启动 controller-manager 服务
./controller-manager.sh
ps aux | grep kube-controller-manager

#生成kubectl连接集群的证书
./admin.sh

kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous

#通过kubectl工具查看当前集群组件状态
kubectl get cs
NAME                 STATUS    MESSAGE             ERROR
controller-manager   Healthy   ok                  
scheduler            Healthy   ok                  
etcd-2               Healthy   {"health":"true"}   
etcd-1               Healthy   {"health":"true"}   
etcd-0               Healthy   {"health":"true"}  

#查看版本信息
kubectl version

Snipaste_2022-12-07_16-08-48.png

Snipaste_2022-12-07_16-21-19.png

Snipaste_2022-12-07_16-12-13.png

Snipaste_2022-12-07_16-14-54.png

Snipaste_2022-12-07_16-15-53.png

Snipaste_2022-12-07_16-18-31.png

Snipaste_2022-12-07_16-20-22.png

二、部署docker引擎

所有node 节点部署docker引擎

 
如果之前配置的是本地源 那么就把配置的本地源文件拖出来重新更新yum缓存
cd /etc/yum.repos.d/repo.bak/
mv *.repo /etc/yum.repos.d/
yum clean all && yum makecache

yum install -y yum-utils device-mapper-persi stent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io

systemctl start docker.service
systemctl enable docker.service

Snipaste_2022-12-07_16-23-05.png

部署 Worker Node 组件

在所有 node 节点上操作
#创建kubernetes工作目录
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}

#上传 node.zip 到 /opt 目录中,解压 node.zip 压缩包,获得kubelet.sh、proxy.sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh

部署node组件
======在master1 节点上操作======
//把kubelet、 kube-proxy拷贝到node 节点
cd /opt/k8s/kubernetes/server/bin
scp kubelet kube-proxy root@192.168.142.20:/opt/kubernetes/bin/
scp kubelet kube-proxy root@192.168.142.30:/opt/kubernetes/bin/

微信截图_20221208134837.png

微信截图_20221208140043.png

#上传 kubeconfig.sh 文件到 /opt/k8s/kubeconfig 目录中,生成 kubeconfig 的配置文件
mkdir /opt/k8s/kubeconfig

cd /opt/k8s/kubeconfig
chmod +x kubeconfig.sh
./kubeconfig.sh 192.168.42.10 /opt/k8s/k8s-cert/

scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.142.20:/opt/kubernetes/cfg/
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.142.30:/opt/kubernetes/cfg/

#RBAC授权,使用户 kubelet-bootstrap 能够有权限发起 CSR 请求
kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap

微信截图_20221208163351.png

微信截图_20221208164525.png

======在node1节点上操作======
//使用kubelet.sh脚本启动kubelet服务
cd /opt/
chmod +x kubelet.sh 
./kubelet.sh 192.168.142.20

//检查kubelet服务启动
ps aux | grep kubelet
//此时还没有生成证书
ls /opt/kubernetes/ssl/

微信截图_20221208165901.png

======在master1 节点上操作======
//检查到node1 节点的kubelet 发起的CSR请求,Pending 表示等待集群给该节点签发证书.
kubectl get csr

//通过CSR请求
kubectl certificate approve node-csr-NOI-9vufTLIqJgMWq4fHPNPHKbjCX1DGHptj7FqTa8A

//再次查看CSR请求状态,Approved, Issued表示已授权CSR请求并签发证书
kubectl get csr

//查看群集节点状态,成功加入node1节点
kubectl get nodes

微信截图_20221208190326.png

======在node1节点上操作======
//自动生成了证书和kubelet.kubeconfig 文件
ls /opt/kubernetes/cfg/kubelet.kubeconfig
ls /opt/kubernetes/ssl/

//加载ip_vs模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

//使用proxy.sh脚本启动proxy服务
cd /opt/
chmod +x proxy.sh 
./proxy.sh 192.168.142.20

systemctl status kube-proxy.service 

微信截图_20221208190839.png

微信截图_20221208190721.png

======node2 节点部署======

//在node1 节点上将kubelet.sh、 proxy.sh 文件拷贝到node2 节点
cd /opt/
scp kubelet.sh proxy.sh root@192.168.142.30:/opt/

//node2 节点
//使用kubelet.sh脚本启动kubelet服务
cd /opt/
chmod +x kubelet.sh 
./kubelet.sh 192.168.142.30

//在master1 节点上操作,检查到node2 节点的kubelet 发起的CSR请求,Pending 表示等待集群给该节点签发证书.
kubectl get csr

//通过CSR请求
kubect1 certificate approve node-csr-NOI-9vufTLIqJgMWq4fHPNPHKbjCX1DGHptj7FqTa8A

//再次查看CSR请求状态,Approved, Issued表示已授权CSR请求并签发证书
kubectl get csr

//查看群集节点状态,成功加入node1节点
kubectl get nodes

//在node2 节点 加载ip_vs模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

//使用proxy.sh脚本启动proxy服务
cd /opt/
chmod +x proxy.sh 
./proxy.sh 192.168.142.30

systemctl status kube-proxy.service 

部署网络组件

部署 flannel

//在 node01 节点上操作
#上传 cni-plugins-linux-amd64-v0.8.6.tgz 和 flannel.tar 到 /opt 目录中
cd /opt/
docker load -i flannel.tar

mkdir /opt/cni/bin
tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin

//在 master01 节点上操作
#上传 kube-flannel.yml 文件到 /opt/k8s 目录中,部署 CNI 网络
cd /opt/k8s
kubectl apply -f kube-flannel.yml 

kubectl get pods -n kube-system
NAME                    READY   STATUS    RESTARTS   AGE
kube-flannel-ds-hjtc7   1/1     Running   0          7s

kubectl get nodes
NAME            STATUS   ROLES    AGE   VERSION
192.168.142.20   Ready    <none>   81m   v1.20.11

微信截图_20221208191306.png

微信截图_20221208191626.png

微信截图_20221208192412.png

部署 Calico

//在 master01 节点上操作
#上传 calico.yaml 文件到 /opt/k8s 目录中,部署 CNI 网络
cd /opt/k8s
vim calico.yaml
#修改里面定义Pod网络(CALICO_IPV4POOL_CIDR),与前面kube-controller-manager配置文件指定的cluster-cidr网段一样
    - name: CALICO_IPV4POOL_CIDR
      value: "192.168.0.0/16"
  
kubectl apply -f calico.yaml

kubectl get pods -n kube-system
NAME                                       READY   STATUS    RESTARTS   AGE
calico-kube-controllers-659bd7879c-4h8vk   1/1     Running   0          58s
calico-node-nsm6b                          1/1     Running   0          58s
calico-node-tdt8v                          1/1     Running   0          58s


#等 Calico Pod 都 Running,节点也会准备就绪
kubectl get nodes

flannel网络配置

1. K8S中Pod网络通信的方式

  1. Pod内容器与容器之间的通信:
    在同一个Pod内的容器(Pod内的容器是不会跨宿主机的)共享同一个网络命令空间,相当于它们在网一台机器上一样,可以用localhost地址访间彼此的端口

  2. 同一个Node内Pod之间的通信:
    每个Pod 都有一个真实的全局IP地址,同一个Node 内的不同Pod之间可以直接采用对方Pod的IP地址进行通信,Pod1与Pod2都是通过veth连接到同一个docker0网桥,网段相同,所以它们之间可以直接通信

  3. 不同Node上Pod之间的通信:
    Pod地址与docker0在同一网段,dockor0网段与宿主机网卡是两个不同的网段,且不同Nodo之间的通信贝能通过宿主机的物理网卡进行

2. 不同Node上Pod之间的通信介绍

要想实现不同Node上Pod之间的通信,就必须想办法通过主机的物理网卡IP地址进行寻址和通信。因此要满足两个条件:

  1. Pod的IP不能冲突:

  2. 将Pod的IP和所在的Node的IP关联起来,通过这个关联让不同Node上Pod之间直接通过内网IP地址通信。

  1. Overlay Network:
    叠加网络,在二层或者三层基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路隧道连接起来(类似于VPN)
  2. VXLAN:
    将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层报文头进行封装,然后在以太网上传输,到达目的地后由隧道端点解封装并将数据发送给目标地址
  3. Flannel:
    Flannel功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址,Flannel是Overlay 网络的一种,也是将TCP 源数据包封装在另一种网络 包里而进行路由转发和通信,目前己经支持UDP、VXLAN、AwS VPC等数据转发方式
  4. ETCD之Flannel提供说明:
    存储管理Flanne1可分配的IP地址段资源;监控ETCD中每个Pod 的实际地址,并在内存中建立维护Pod节点路由表

Flannel工作原理

微信截图_20221208195229.png

node1上的pod1要和node2上的pod1进行通信

  1. 数据从node1上的Pod1源容器中发出,经由所在主机的docker0虚拟网卡转发到flannel0虚拟网卡;
  2. 在flannel0网卡有个flanneld服务把pod ip封装到udp中(里面封装的是源pod IP和目的pod IP);
  3. 根据在etcd保存的路由表信息,通过物理网卡发送给目的node2节点,数据包到达目标node2节点会被flanneld服务来进行解封装暴露出udp里的podIP;
  4. 最后根据目的podIP经flannel0虚拟网卡和docker0虚拟网卡转发到目的pod中,最后完成通信

概述

k8s集群单节点搭建

  1. etcd
  2. flannel
  3. master(apiserver、scheduler、controller-manager)
  4. node(kubelet、kube-proxy)

etcd

  1. 准备cfssl证书生成工具
  2. 生成证书
  3. 准备etcd二进制包
  4. 生成etcd的配置文件和服务管理文件
  5. 启动etcd
  6. 把etcd1的配置文件,可执行文件,证书,etcd服务管理文件复制到 etcd2、etcd3节点上
  7. etcd2、etcd3修改配置文件
  8. 启动etcd,加入集群
  9. 验证etcd集群状态

flannel

  1. 使用etcdctl
  2. 在etcd中添加flannel的网段和转发模式upd、vxlan
  3. 准备flannel安装包
  4. 生成docker网络配置参数并启动flannel服务
  5. 修改docker启动参数,使docker0网卡和flannel网卡保持在一个网段里
  6. 验证node之间的容器通信是否正常 ==========================================================
  7. 组件之间的通信,端口内部2380,外部2379
  8. master:apiserver <—> controller-manager、scheduler 同一个节点上,127.0.0.1:8080不需要证书(http)
  9. node:kubelet、kube-proxy <----> apiserver(https 6443)

master

  1. 创建工作目录
  2. 生成证书
  3. 准备k8s软件包
  4. 生成bootstrap token认证文件
  5. 启动apiserver
  6. 启动controller-manager、scheduler
  7. 验证master组件状态

node

  1. 在master节点上准备kubelet和kube-proxy加入k8s群集所要使用的 kubeconfig文件,并传给nodes节点
  2. kubeconfig加入k8s集群需要的ca证书,tls证书和私有,bootstrap 的token信息 ,master的 apiserver IP+端口(6443)
  3. node节点启动 kubelet ,node节点的kubelet会向master的apiserver发起CSR认证请求 在master节点上通过CSR 认证,node会自动生成证书,以后的node的kubelet访问都会通过这个证书做认证
  4. node节点上加载ipvs模块
  5. 启动kube-proxy