二进制搭建k8s v1.20
外面用的比较多的有v1.15版本,1.16版本后改动了很多api接口版本
一、环境准备
1主2从架构
#master节点高可用,需要两个master
k8s集群master01:192.168.0.102 kube-apiserver kube-controller-manager kube-scheduler etcd
k8s集群node01: 192.168.0.103 kubelet kube-proxy docker flannel
k8s集群node02: 192.168.0.104 kubelet kube-proxy docker flannel
etcd集群节点01: 192.168.0.102
etcd集群节点02: 192.168.0.103
etcd集群节点03: 192.168.0.104
#etcd建议搭建在单独的节点上,生产环境最好不要和master节点部署一起
#为了保证在传输中数据安全,都用https来搭建
#关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
#清除防火墙规则-X清除自定义规则
iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X
#关闭selinux
setenforce 0
sed -i 's/enforcing/disabled/' /etc/selinux/config
#关闭swap,k8s不用swap
swapoff -a
#自动挂载交换分区注释掉
sed -ri 's/.*swap.*/#&/' /etc/fstab
#在master添加hosts解析
cat >> /etc/hosts<<-EOF
192.168.0.102 master01
192.168.0.103 node01
192.168.0.104 node02
EOF
#创建参数文件,配置内核参数
cat > /etc/sysctl.d/k8s.conf <<-EOF
#开启网桥模式,将桥接的IPv4流量传递到iptables的链
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
#关闭ipv6协议
net.ipv6.conf.all.disable_ipv6 = 1
#开启ipv4转发功能
net.ipv4.ip_forward = 1
EOF
#一次性全部加载配置文件
sysctl --system
#时间同步,与windows同步
rpm -q ntpdate &>/dev/null || yum install ntpdate -y
ntpdate time.windows.com
二、部署etcd集群
etcd是Coreos团队于2013年6月发起的开源项目,它的目标是构建一. 个高可用的分布式键值(key-value) 数据库。etcd内部采用raft协议作为一致性算法,etcd是go语言编写的。
etcd作为服务发现系统,有以下的特点:
- 简单 安装配置简单,而且提供了HTTP API进行交互,使用也很简单
- 安全: 支持SSL证书验证
- 快速: 单实例支持每秒2k+读操作
- 可靠: 采用raft算法实现分布式系统数据的可用性和一致性
etcd目前默认使用2379端口提供HTTPAPI服务,2380端口和peer通信(这两个端口已经被IANA(互联网数字分配机构)官方预留给etcd)。 即etcd默认使用2379端口对外为客户端提供通讯,使用端口2380来进行服务器间内部通讯。 etcd在生产环境中一般推荐集群方式部署。由于etcd 的leader选 举机制,要求至少为3台或以上的奇数台。
准备签发证书环境
CFSSL是CloudFlare 公司开源的一款PKI/TLS工具。CESSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。
CFSSL使用配置文件生成证书,因此自签之前,需要生成它识别的json 格式的配置文件,CFSSL 提供了方便的命令行生成配置文件。
CFSSL用来为etcd提供TLS证书,它支持签三种类型的证书:
1、client证书,服务端连接客户端时携带的证书,用于客户端验证服务端身份,如kube-apiserver 访问etcd;
2、server证书,客户端连接服务端时携带的证书,用于服务端验证客户端身份,如etcd对外提供服务:
3、peer证书,相互之间连接时使用的证书,如etcd节点之间进行验证和通信。
这里为了方便,全部都使用同一套证书认证。
注:etcd这里就不做集群了,直接部署在master节点上
1、master节点部署
//在master01 节点上操作
#==下载证书制作工具==
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo或者
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo
或
#准备cfssl证书生成工具
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljison_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo
linux下载基本上通过命令行下载
wget 源URL地址 [-O 可以下载到指定路径]
curl -L 源URL地址 [-o 指定路径]
两种方式都可以在网上下载
cd /usr/local/bin/
chmod +x /usr/local/bin/cfssl*
=================================
cfssl: 证书签发的工具命令
cfssljson: 将cfssl 生成的证书(json格式)变为文件承载式证书
cfssl-certinfo:验证证书的信息
cfssl-certinfo -cert <证书名称>
#查看证书的信息
=================================
#创建k8s.工作目录,将发给你的两个脚本文件放进去
mkdir /opt/k8s
cd /opt/k8s/
#上传etcd-cert.sh 和etcd.sh 到/opt/k8s/目录中
#etcd-cert.sh证书生成策略配置文件,打开可以查看详细规则
传zxvf etcd-v3.4.9-linux-amd64.tar.gz
chmod +x etcd-cert.sh etcd.sh
#两个脚本,创建用于生成CA证书、etcd服务器证书以及私钥的目录
mkdir /opt/k8s/etcd-cert
mv etcd-cert.sh etcd-cert/
cd /opt/k8s/etcd-cert/
./etcd-cert.sh
#生成CA证书、etcd服务器证书以及私钥
==========================
etcd就是etcd服务的启动命令,后面可跟各种启动参数
etcdct1主要为etcd服务提供了命令行操作
============================
#上传etcd-v3.4.9-1inux-amd64. tar.gz 到/opt/k8s 目录中,启动etcd服务
https://github.com/etcd-io/etcd/releases/download/v3.4.9/etcd-v3.4.9/linux-amd64.tar.gz
cd /opt/k8s/
tar zxvf etcd-v3.4.9-linux-amd64.tar.gz
#创建用于存放etcd{配置文件,命令文件,证书}的目录
mkdir -p /opt/etcd/{cfg,bin,ssl}
cd /opt/k8s/etcd-v3.4.9-linux-amd64/
mv etcd etcdctl /opt/etcd/bin/
#把证书文件放到ssl下面
cp /opt/k8s/etcd-cert/*.pem /opt/etcd/ssl/
cd /opt/k8s/
#启用etcd,参数1是名称,参数2本机ip,参数3集群
./etcd.sh etcd01 192.168.0.102 etcd02=https://192.168.0.103:2380,etcd03=https://192.168.0.104:2380
#进入卡住状态等待其他节点加入,这里需要三台etcd服务同时启动,如果只启动其中一台后,服务会卡在那里,直到集群中所有etcd节点都已启动,可忽略这个情况
#另外打开一个窗口查看etcd进程是否正常
ps -ef | grep etcd
#把etcd相关证书文件和命令文件全部拷贝到另外两个etcd集群节点
scp -r /opt/etcd/ root@192.168.0.103:/opt/
scp -r /opt/etcd/ root@192.168.0.104:/opt/
#把etcd服务管理文件拷贝到另外两个etcd集群节点
scp /usr/lib/systemd/system/etcd.service root@192.168.0.103:/usr/lib/systemd/system/
scp /usr/lib/systemd/system/etcd.service root@192.168.0.104:/usr/lib/systemd/system/
2、在node1与node2节点修改
======在node1节点修改======
vim /opt/etcd/cfg/etcd
#[Member]
ETCD_NAME="etcd02"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.237.20:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.237.20:2379"
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.237.20:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.237.20:2379"
ETCD_INITIAL_CLUSTER="etcd01=https://192.168.237.10:2380,etcd02=https://192.168.237.20:2380,etcd03=https://192.168.237.30:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
======在node2节点修改======
vim /opt/etcd/cfg/etcd
#[Member]
ETCD_NAME="etcd03"
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.237.30:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.237.30:2379"
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.237.30:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.237.30:2379"
ETCD_INITIAL_CLUSTER="etcd01=https://192.168.237.10:2380,etcd02=https://192.168.237.20:2380,etcd03=https://192.168.237.30:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
3、在master1节点上进行启动
======首先在master1节点上进行启动======
systemctl restart etcd
======接着在node1和node2节点分别进行启动======
systemctl restart etcd.service
#systemctl status etcd.service
======查看集群状态,在master1节点上操作======
ln -s /opt/etcd/bin/etcdctl /usr/local/bin
#检查etcd群集健康状态
#切换到etcd3版本查看集群节点状态和成员列表
export ETCDCTL_API=3
cd /opt/k8s/etcd-cert
/opt/etcd/bin/etcdctl --cacert=ca.pem \
--cert=server.pem \
--key=server-key.pem \
--endpoints="https://192.168.0.102:2379,https://192.168.0.103:2379,https://192.168.0.104:2379" \
endpoint health \
--write-out=table
#切换回到etcd2版本
export ETCDCTL_API=2
-----------------------------------------------
--cert-file:识别HTTPS端使用sSL证书文件
--key-file: 使用此SSL密钥文件标识HTTPS客户端
--ca-file:使用此CA证书验证启用https的服务器的证书
--endpoints:集群中以逗号分隔的机器地址列表
cluster-health:检查etcd集群的运行状况
-----------------------------------------------
三、部署master组件
======在master1 节点上操作======
#上传master.zip 和k8s-cert.sh 到/opt/k8s 目录中,解压master.zip 压缩包
mkdir /opt/k8s/
cd /opt/k8s/
unzip master.zip
#apiserver.sh
#scheduler.sh
#controller-manager.sh
#传输包
k8s-cert.sh
chmod +x *.sh
#创建kubernetes工作目录
mkdir -p /opt/kubernetes/{cfg,bin,ssl,logs}
#创建用于生成CA证书、相关组件的证书和私钥的目录
mkdir /opt/k8s/k8s-cert
mv /opt/k8s/k8s-cert.sh /opt/k8s/k8s-cert
cd /opt/k8s/k8s-cert/
#需要修改ip和删除备注
./k8s-cert.sh
#生成CA证书、相关组件的证书和私钥
#controller-manager和kube-scheduler设置为只调用当前机器的apiserver, 使用127.0.0.1:8080 通信,因此不需要签发证书
#复制CA证书、apiserver 相关证书和私钥到kubernetes. 工作目录的ssl子目录中
cp ca*pem apiserver*pem /opt/kubernetes/ssl/
#上传kubernetes-server-linux-amd64.tar.gz 到/opt/k8s/目录中,解压kubernetes 压缩包
cd /opt/k8s/
tar zxvf kubernetes-server-linux-amd64.tar.gz
#复制master组件的关键命令文件到kubernetes. 工作目录的bin子目录中
cd /opt/k8s/kubernetes/server/bin
cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/
ln -s /opt/kubernetes/bin/* /usr/local/bin/
#创建bootstrap token 认证文件,apiserver 启动时会调用,然后就相当于在集群内创建了一个这个用户,接下来就可以用RBAC给他授权
cd /opt/k8s/
cat > token.sh<<-\aaa
#!/bin/bash
#获取随机数前16个字节内容,以十六进制格式输出,并删除其中空格
BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
#生成token.csv 文件,按照Token序列号,用户名,UID,用户组的格式生成
cat > /opt/kubernetes/cfg/token.csv <<-EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF
aaa
chmod +x token.sh
./token.sh
#查看生成的token文件
cat /opt/kubernetes/cfg/token.csv
#二进制文件、token、证书都准备好后,开启 apiserver 服务
./apiserver.sh 192.168.0.102 https://192.168.0.102:2379,https://192.168.0.103:2379,https://192.168.0.104:2379
#检查进程是否启动成功
ps aux | grep kube-apiserver
#k8s通过kube-apiserver这个进程提供服务,该进程运行在单个master节点上。默认有两个端口6443和8080
#安全端口6443用于接收HTTPS请求,用于基于Token文件或客户端证书等认证
netstat -natp | grep 6443
#本地端口8080用于接收HTTP请求,非认证或授权的HTTP请求通过该端口访问APIServer
netstat -natp | grep 8080
#查看版本信息(必须保证apiserver启动正常,不然无法查询到server的版本信息)
kubectl version
#启动死盖九了scheduler服务
cd /opt/k8s/
#需要修改ip
./scheduler.sh
ps aux | grep kube-scheduler
#启动controller-manager服务
cd /opt/k8s/
#需要修改ip
./controller-manager.sh
ps aux | grep controller-manager
#生成kubectl连接集群的kubeconfig文件
#需要修改ip
./admin.sh
#绑定默认cluster-admin管理员集群角色,授权kubectl访问集群
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous
#通过kubectl工具查看当前集群组件状态
kubectl get cs
四、部署node组件
所有节点部署docker引擎
======在node1 节点上操作======
#创建工作目录
mkdir -p /opt/kubernetes/{cfg,bin,ssl,logs}
#你需要让你的mastker节点也能承载pod的话需要安装,如果你不需要也可也不安装
#所有node 节点部署docker引擎
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io
systemctl start docker.service
systemctl enable docker.service
======在node1 节点上操作======
#上传node.zip 到/opt 目录中,解压node.zip 压缩包,获得kubelet.sh、 proxy.sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh
部署node组件
======在master1 节点上操作======
#把kubelet、 kube-proxy拷贝到node 节点
cd /opt/k8s/kubernetes/server/bin
scp kubelet kube-proxy root@192.168.0.103:/opt/kubernetes/bin/
scp kubelet kube-proxy root@192.168.0.104:/opt/kubernetes/bin/
======在master1节点上操作=======
#创建用于生成kubelet的配置文件的目录
mkdir /opt/k8s/kubeconfig
#上传kubeconfig.sh 文件到/opt/k8s/kubeconfig 目录中
#kubeconfig.sh文件包含集群参数(CA证书、APIServer 地址),客户端参数(上面生成的证书和私钥),集群context上下文参数(集群名称、用户名)。Kubenetes 组件(如kubelet、 kube-proxy) 通过启动时指定不同的kubeconfig文件可以切换到不同的集群,连接到apiserver
cd /opt/k8s/kubeconfig
chmod +x kubeconfig.sh
#生成kubelet的配置文件
./kubeconfig.sh 192.168.0.102 /opt/k8s/k8s-cert/
ls
bootstrap.kubeconfig kubeconfig.sh kube-proxy.kubeconfig
#把配置文件bootstrap.kubeconfig、kube-proxy.kubeconfig拷贝到node节点
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.0.103:/opt/kubernetes/cfg/
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.0.104:/opt/kubernetes/cfg/
#RBAC授权,将预设用户kubelet-bootatrap 与内置的ClusterRole system:node-bootatrapper 绑定到一起,使其能够发起CSR请求
kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap
#若执行失败,可先给kubectl绑定默认cluster-admin管理员集群角色,授权集群操作权限
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous
---------------------------------------
kubelet采用TLS Bootstrapping 机制,自动完成到kube-apiserver的注册,在node节点量较大或者后期自动扩容时非常有用。
Master apiserver 启用TLS 认证后,node 节点kubelet 组件想要加入集群,必须使用CA签发的有效证书才能与apiserver 通信,当node节点很多时,签署证书是一件很繁琐的事情。因此Kubernetes 引入了TLS bootstraping 机制来自动颁发客户端证书,kubelet会以一个低权限用户自动向apiserver 申请证书,kubelet 的证书由apiserver 动态签署。
kubelet首次启动通过加载bootstrap.kubeconfig中的用户Token 和apiserver CA证书发起首次CSR请求,这个Token被预先内置在apiserver 节点的token.csv 中,其身份为kubelet-bootstrap 用户和system: kubelet- bootstrap用户组:想要首次CSR请求能成功(即不会被apiserver 401拒绝),则需要先创建一个ClusterRoleBinding, 将kubelet-bootstrap 用户和system:node - bootstrapper内置ClusterRole 绑定(通过kubectl get clusterroles 可查询),使其能够发起CSR认证请求。
TLS bootstrapping 时的证书实际是由kube-controller-manager组件来签署的,也就是说证书有效期是kube-controller-manager组件控制的; kube-controller-manager 组件提供了一个--experimental-cluster-signing-duration
参数来设置签署的证书有效时间:默认为8760h0m0s, 将其改为87600h0m0s, 即10年后再进行TLS bootstrapping 签署证书即可。
也就是说kubelet 首次访问API Server 时,是使用token 做认证,通过后,Controller Manager 会为kubelet生成一个证书,以后的访问都是用证书做认证了。
------------------------------------------
#查看角色:
kubectl get clusterroles | grep system:node-bootstrapper
#查看已授权的角色:
kubectl get clusterrolebinding | grep system:node-bootstrapper
======在node1节点上操作======
#使用kubelet.sh脚本启动kubelet服务
cd /opt/
chmod +x kubelet.sh
./kubelet.sh 192.168.0.103
systemctl restart kubelet
#systemctl status kubelet
#检查kubelet服务启动
ps aux | grep kubelet
#此时还没有生成证书
ls /opt/kubernetes/ssl/
Jul 18 13:52:32 localhost kubelet: F0718 13:52:32.889295 6428 server.go:257] unable to load client CA file /opt/kubernetes/ssl/ca.pem: open /opt/kubernetes/ssl/ca.pem: no such file or directory
======在master1 节点上操作======
#检查到node1 节点的kubelet 发起的CSR请求,Pending 表示等待集群给该节点签发证书.
kubectl get csr
#通过CSR请求
kubectl certificate approve node-csr-NOI-
9vufTLIqJgMWq4fHPNPHKbjCX1DGHptj7FqTa8A
#再次查看CSR请求状态,Approved, Issued表示已授权CSR请求并签发证书
kubectl get csr
#查看群集节点状态,成功加入node1节点
kubectl get nodes
======在node1节点上操作======
//自动生成了证书和kubelet.kubeconfig 文件
ls /opt/kubernetes/cfg/kubelet.kubeconfig
ls /opt/kubernetes/ssl/
//加载ip_vs模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done
//使用proxy.sh脚本启动proxy服务
cd /opt/
chmod +x proxy.sh
./proxy.sh 192.168.237.20
systemctl status kube-proxy.service
======node2 节点部署======
##方法一 :
//在node1 节点上将kubelet.sh、 proxy.sh 文件拷贝到node2 节点
cd /opt/
scp kubelet.sh proxy.sh root@192.168.237.30:/opt/
//使用kubelet.sh脚本启动kubelet服务
cd /opt/
chmod +x kubelet.sh
./kubelet.sh 192.168.237.30
//在master1 节点上操作,检查到node2 节点的kubelet 发起的CSR请求,Pending 表示等待集群给该节点签发证书.
kubectl get csr
//通过CSR请求
kubect1 certificate approve node-csr-NOI-9vufTLIqJgMWq4fHPNPHKbjCX1DGHptj7FqTa8A
//再次查看CSR请求状态,Approved, Issued表示已授权CSR请求并签发证书
kubectl get csr
//查看群集节点状态,成功加入node1节点
kubectl get nodes
//在node2 节点 加载ip_vs模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F
filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done
//使用proxy.sh脚本启动proxy服务
cd /opt/
chmod +x proxy.sh
./proxy.sh 192.168.237.30
systemctl status kube-proxy.service
测试连通性:
kubectl create deployment nginx-test --image=nginx:1.14
kubectl get pod
kubectl get pod
kubectl describe pod nginx-test-7dc4f9dcc9-vlzmk
五、flannel网络配置
===========flannel网络配置=============
===K8S中Pod网络通信: ===
●Pod内容器与容器之间的通信
在同一个Pod内的容器(Pod内的容器是不会跨宿主机的)共享同一个网络命名空间,相当于它们在网一台机器上一样,可以用
localhost地址访间彼此的端口
●同一个Node内Pod之间的通信
每个Pod 都有一个真实的全局IP地址,同一个Node 内的不同Pod之间可以直接采用对方Pod的IP 地址进行通信,Pod1与Pod2都是通过veth连接到同一个docker0网桥,网段相同,所以它们之间可以直接通信
●不同Node上Pod之间的通信
Pod地址与docker0 在同一网段,dockor0 网段与宿主机网卡是两个不同的网段,且不同Nodo之间的通信贝能通过宿主机的物理网卡进行
要想实现不同Node 上Pod之间的通信,就必须想办法通过主机的物理网卡IP地址进行寻址和通信。
因此要满足两个条件:
Pod 的IP不能冲突:
将Pod的IP和所在的Node的IP关联起来,通过这个关联让不同Node上Pod之间直接通过内网IP地址通信。
===Overlay Network:===
叠加网络,在二层或者三层基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路隧道连接起来(类似于VPN)
===VXLAN:===
将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层报文头进行封装,然后在以太网上传输,到达目的地后由隧道端点解封装并将数据发送给目标地址
===Flannel:===
Flannel的功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址
Flannel是Overlay 网络的一种,也是将TCP 源数据包封装在另一种网络 包里而进行路由转发和通信,目前己经支持UDP、VXLAN、AwS VPC等数据转发方式
===ETCD之Flannel 提供说明:===
存储管理Flannel可分配的IP地址段资源
监控ETCD中每个Pod 的实际地址,并在内存中建立维护Pod 节点路由表
由于UDP模式是在用户态做转发,会多--次报文隧道封装,因此性能上会比在内核态做转发的VXLAN模式差。
#VXLAN模式:
VXLAN模式使用比较简单,flannel会在各节点生成一个flannel.1的VXLAN网卡(VTEP设备,负责VXLAN封装和解封装)。
VXLAN模式下封包与解包的工作是由内核进行的。flannel不转发数据,仅动态设置ARP表和MAC表项。
UDP模式的flannel0网卡是三层转发,使用flannel0时在物理网络之上构建三层网络,属于ip in udp; VXLAN模式是二层实现,overlay是数据帧,属于mac in udp
Flannel工作原理:
node1上的pod1 要和node2上的pod1进行通信
1、数据从node1上的Pod1源容器中发出,经由所在主机的docker0 虚拟网卡转发到flannel0虚拟网卡;
2、再由flanneld把pod ip封装到udp中(里面封装的是源pod IP和目的pod IP);
3、根据在etcd保存的路由表信息,通过物理网卡发送给目的node2的flanneld,来进行解封装暴露出udp里的pod IP;
4、最后根据目的pod IP经flannel0虚拟网卡和docker0虚拟网卡转发到目的pod中,最后完成通信
vxlan用内核封装,所以性能更好点
calico工作原理:把主机当路由器使用
在master1 节点 添加flannel 网络配置信息
======在master1 节点上操作======
//添加flannel 网络配置信息,写入分配的子网段到etcd 中,供flannel使用
cd /opt/etcd/ssl
/opt/etcd/bin/etcdctl \
--ca-file=ca.pem \
--cert-file=server.pem \
--key-file=server-key.pem \
--endpoints="https://192.168.237.10:2379,https://192.168.237.20:2379,https://192.168.237.30:2379" \
set /coreos.com/network/config '{"Network": "172.17.0.0/16", "Backend": {"Type": "vxlan"}}'
//查看写入的信息
/opt/etcd/bin/etcdctl \
--ca-file=ca.pem \
--cert-file=server.pem \
--key-file=server-key.pem \
--endpoints="https://192.168.237.10:2379,https://192.168.237.20:2379,https://192.168.237.30:2379" \
get /coreos.com/network/config
---------------------------------------------------------
set /coreos.com/network/config添加一条网络配置记求,这个配置将用于flannel分配给每个docker的虛拟IP地址段
get <ckey>
got /coreos.com/network/config获取网络配置记录,后面不用再跟参数了
Network:用于指定Flane1地址池
Backend:用于指定数据包以什么方式转发,默认为udp模式,Backend为vxlan比起预设的udp性能相对好一些
--------------------------------------------------------
在所有node节点上操作
======在所有node节点上操作======
//上传flannel.sh 和flanne1-v0.10.0-1inux-amd64.tar.gz 到/opt 目录中,解压flannel 压缩包
cd /opt
tar zxvf flannel-v0.10.0-1inux-amd64.tar.gz
flanneld
#flanneld为主要的执行文件
mk-docker-opts.sh
#mk-docker-opts . sh脚本用于生成Docker启动参数
README.md
//创建kubernetes工作目录
mkdir -p /opt/k8s/{cfg,bin,ssl}
cd /opt
mv mk-docker-opts.sh flanneld /opt/k8s/bin/
//启动flanneld服务,开启flanne1网络功能
cd /opt
chmod +x flannel.sh
./flannel.sh https://192.168.237.10:2379,https://192.168.237.20:2379,https://192.168.237.30:2379
//flanne1启动后会生成一个docker网络相关信息配置文件/run/flannel/subnet.env,包含了docker要使用flannel通讯的相关参数
cat /run/flannel/subnet.env
DOCKER_OPT_BIP="--bip=172.17.65.1/24"
DOCKER_OPT_IPMASQ="--ip-masq=false"
DOCKER_OPT_MTU="--mtu=1450"
DOCKER_NETWORK_OPTIONS=" --bip=172.17.65.1/24 --ip-masq=false --mtu=1450"
------------------------------------------------
--bi: 指定docker 启动时的子网
--ip-masq: 设置ipmasq=false 关闭snat 伪装策略
--mtu=1450:mtu要留出50字节给外层的vxlan封包的额外开销使用
Flannel启动过程解析:
1、从etcd中获取network的配置信息
2、划分subnet, 并在etcd中进行注册
3、将子网信息记录到/run/flannel/subnet.env中
------------------------------------------------
//修改docker服务管理文件,配置docker连接flannel
vim /lib/systemd/system/docker.service
[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues stillt
# exists and systemd currently dges not support the cgroup feature set requi red
# for containers run by docker
EnvironmentFile=/run/flannel/subnet.env
#添加
ExecStart=/usr/bin/dockerd $DOCKER_NETWORK_OPTIONS -H fd:// --containerd=/run/containerd/containerd.sock
#修改
ExecReload=/bin/kill -s HUP $MAINPID
TimeoutSec=0
RestartSec=2
Restart=always
//重启docker服务
systemctl daemon-reload
systemctl restart docker
ifconfig #查看flannel网络
测试ping通对方docker0网卡 证明flannel起到路由作用
ping 172.17.77.1
docker run -it centos:7 /bin/bash #node1和node2都运行该命令
yum install net-tools -y #node1和node2都运行该命令
ifconfig //再次测试ping通两个node中的centos:7容器折叠
源容器跨主通信目标容器:
udp模式:容器首先数据发送到cni虚拟网卡,然后转发到flannel0虚拟网卡上,flannel0上有个flanneld服务在监听,默认端口是8285,flanneld服务会对内部数据包封装到udp报文中,封装好后再通过路由表进行转发,转发到目标主机的flanneld中,然后通过端口转发到flanneld服务中,flannedl会进行解封装,然后转发到目标容器当中
vxlan模式:容器发送数据发送到flannel.1网卡,再数据帧上添加vxlan头部,通过内核封装再udp中,通过物理网卡根据自己的路由表进行转发,通过4789端口转发到目标节点flannel.1网卡当中,内核进行解封装,暴露数据帧,然后通过cni转发到对应的容器当中
===Overlay Network:===
叠加网络,在二层或者三层基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路隧道连接起来(类似于VPN)
===VXLAN:===
将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层报文头进行封装,然后在以太网上传输,到达目的地后由隧道端点解封装并将数据发送给目标地址
===Flannel:===
Flannel的功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址
区别:
flannel数据通信性能有损耗。calico没有损耗
flannel封装数据包。calico封装数据帧
都是通过路由转发找到目标主机
vxlan和vlan主要区别在于:1、传统的VLAN技术因为最多只能支持4096个VLAN,已经不能满足云提供商的严格要求,但是VXLAN技术可以通过将第2层扩展到第3层网络来构建大型多租户数据中心而备受青睐,这种技术可以有效克服VLAN带来的扩展局限性。2、VLAN是虚拟局域网,是由802.1Q标准所定义。VXLAN是虚拟扩展局域网,是由IETF定义的NVO3标准技术之一。
多 Matser 集群架构
一、多 Matser 集群架构
Kubernetes作为容器集群系统,通过健康检查+重启策略实现了Pod故障自我修复能力,通过调度算法实现将Pod分布式部署,并保持预期副本数,根据Node失效状态自动在其他Node拉起Pod,实现了应用层的高可用性。
针对Kubernetes集群,高可用性还应包含以下两个层面的考虑:Etcd数据库的高可用性和Kubernetes Master组件的高可用性。而Etcd我们已经采用3个节点组建集群实现高可用,本篇博客将对Master节点高可用进行说明和实施。
Master节点扮演着总控中心的角色,通过不断与工作节点上的Kubelet进行通信来维护整个集群的健康工作状态。如果Master节点故障,将无法使用kubectl工具或者API做任何集群管理。
Master节点主要有三个服务kube-apiserver、kube-controller-mansger和kube-scheduler,其中kube-controller-mansger和kube-scheduler组件自身通过选择机制已经实现了高可用,所以Master高可用主要针对kube-apiserver组件,而该组件是以HTTP API提供服务,因此对他高可用与Web服务器类似,增加负载均衡器对其负载均衡即可,并且可水平扩容。
二、master2 节点部署
有条件可以做3台
环境准备:
| 节点 | IP地址 | 安装 |
|---|---|---|
| master1 | 192.168.237.10 | kube-apiserver,kube-controller-manager,kube-scheduler,etcd |
| node1 | 192.168.237.20 | kubelet,kube-proxy,docker etcd |
| node2 | 192.168.237.30 | kubelet,kube-proxy,docker etcd |
| master2 | 192.168.237.40 | kube-apiserver,kube-controller-manager,kube-scheduler,etcd |
| lb1 | 192.168.237.50 | Nginx L4 ,keepalived |
| lb2 | 192.168.237.60 | Nginx L4 ,keepalived |
//关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
//关闭swap
swapoff -a
sed -ri 's/.*swap.*/#&/' /etc/fstab
//根据规划设置主机名
hostnamectl set-hostname master02
//在master节点以及各个Node节点均添加hosts
cat >> /etc/hosts <<EOF
192.168.229.90 master01
192.168.229.80 node01
192.168.229.70 node02
192.168.229.60 master02
EOF
//将桥接的IPv4流量传递到iptables的链
cat > /etc/sysctl.d/k8s.conf <<EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF
sysctl --system
//时间同步
yum -y install ntpdate
ntpdate time.windows.com折叠
1、从 master01 节点上拷贝证书文件、各master组件的配置文件和服务管理文件到 master02 节点
scp -r /opt/etcd/ root@192.168.237.40:/opt/
scp -r /opt/kubernetes/ root@192.168.237.40:/opt/
scp /usr/lib/systemd/system/{kube-apiserver,kube-controller-manager,kube-scheduler}.service root@192.168.237.40:/usr/lib/systemd/system/
2、修改配置文件kube-apiserver中的IP
vim /opt/kubernetes/cfg/kube-apiserver
KUBE_APISERVER_OPTS="--logtostderr=true \
--v=4 \
--etcd-servers=https://192.168.237.10:2379,https://192.168.237.20:2379,https://192.168.237.30:2379 \
--bind-address=192.168.237.40 \ #修改
--secure-port=6443 \
--advertise-address=192.168.237.40 \ #修改
......
3、在 master02 节点上启动各服务并设置开机自启
systemctl daemon-reload
systemctl enable --now kube-apiserver.service kube-controller-manager.service kube-scheduler.service
4、查看node节点状态
ln -s /opt/kubernetes/bin/* /usr/local/bin/
kubectl get nodes
kubectl get nodes -o wide #-o=wide:输出额外信息;对于Pod,将输出Pod所在的Node名
三、负载均衡部署
配置load balancer集群双机热备负载均衡(nginx实现负载均衡,keepalived实现双机热备)
##### 在lb1、lb2节点上操作 #####
1、配置nginx的官方在线yum源,配置本地nginx的yum源
cat > /etc/yum.repos.d/nginx.repo << 'EOF'
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/7/$basearch/
gpgcheck=0
EOF
yum install nginx -y
2、修改nginx配置文件,配置四层反向代理负载均衡,指定k8s群集2台master的节点ip和6443端口
vim /etc/nginx/nginx.conf
events {
worker_connections 1024;
}
#添加
stream {
log_format main '$remote_addr $upstream_addr - [$time_local] $status $upstream_bytes_sent';
access_log /var/log/nginx/k8s-access.log main;
upstream k8s-apiserver {
server 192.168.237.10:6443;
server 192.168.237.40:6443;
}
server {
listen 6443;
proxy_pass k8s-apiserver;
}
}
http {
......
//检查配置文件语法
nginx -t
3、启动nginx服务,查看已监听6443端口
systemctl start nginx
systemctl enable nginx
netstat -natp | grep nginx
4、部署keepalived服务
yum install keepalived -y
5、修改keepalived配置文件
vim /etc/keepalived/keepalived.conf
! Configuration File for keepalived
global_defs {
# 接收邮件地址
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
# 邮件发送地址
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id NGINX_MASTER #lb01节点的为 NGINX_MASTER,lb02节点的为 NGINX_BACKUP
}
#添加一个周期性执行的脚本
vrrp_script check_nginx {
script "/etc/nginx/check_nginx.sh" #指定检查nginx存活的脚本路径
}
vrrp_instance VI_1 {
state MASTER #lb01节点的为 MASTER,lb02节点的为 BACKUP
interface ens33 #指定网卡名称 ens33
virtual_router_id 51 #指定vrid,两个节点要一致
priority 100 #lb01节点的为 100,lb02节点的为 90
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.237.100/24 #指定 VIP
}
track_script {
check_nginx #指定vrrp_script配置的脚本
}
}
#其他多余的配置删除折叠
6、创建nginx状态检查脚本
vim /etc/keepalived/check_nginx.sh
#!/bin/bash
#egrep -cv "grep|$$" 用于过滤掉包含grep 或者 $$ 表示的当前Shell进程ID
count=$(ps -ef | grep nginx | egrep -cv "grep|$$")
if [ "$count" -eq 0 ];then
systemctl stop keepalived
fi
chmod +x /etc/keepalived/check_nginx.sh
6、创建nginx状态检查脚本
vim /etc/keepalived/check_nginx.sh
#!/bin/bash
#egrep -cv "grep|$$" 用于过滤掉包含grep 或者 $$ 表示的当前Shell进程ID
count=$(ps -ef | grep nginx | egrep -cv "grep|$$")
if [ "$count" -eq 0 ];then
systemctl stop keepalived
fi
chmod +x /etc/keepalived/check_nginx.sh
7、启动keepalived服务(一定要先启动了nginx服务,再启动keepalived服务)
systemctl start keepalived
systemctl enable keepalived
ip a #查看VIP是否生成
8、修改node节点上的bootstrap.kubeconfig,kubelet.kubeconfig配置文件为VIP
cd /opt/kubernetes/cfg/
vim bootstrap.kubeconfig
server: https://192.168.237.20:6443
vim kubelet.kubeconfig
server: https://192.168.237.20:6443
vim kube-proxy.kubeconfig
server: https://192.168.237.20:6443
两个Node节点都需要修改
9、重启kubelet和kube-proxy服务
systemctl restart kubelet.service
systemctl restart kube-proxy.service
10、在lb1上查看nginx的k8s日志
tail /var/log/nginx/k8s-access.log
11、测试创建pod
kubectl create deployment redis-master2 --image=redis
12、查看Pod的状态信息
kubectl get pods
NAME READY STATUS RESTARTS AGE
nginx-dbddb74b8-nf9sk 0/1 ContainerCreating 0 33s #正在创建中
kubectl get pods
NAME READY STATUS RESTARTS AGE
nginx-dbddb74b8-nf9sk 1/1 Running 0 80s #创建完成,运行中
kubectl get pods -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE
nginx-dbddb74b8-26r9l 1/1 Running 0 10m 172.17.36.2 192.168.80.15 <none>
//READY为1/1,表示这个Pod中有1个容器
13、在对应网段的node节点上操作,可以直接使用浏览器或者curl命令访问
curl 172.17.77.3
14、这时在master01节点上查看nginx日志,发现没有权限查看
kubectl logs nginx-dbddb74b8-nf9sk
Error from server (Forbidden): Forbidden (user=system:anonymous, verb=get, resource=nodes, subresource=proxy) ( nginx-dbddb74b8-nf9sk)
15、在master01节点上,将cluster-admin角色授予用户system:anonymous
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous
clusterrolebinding.rbac.authorization.k8s.io/cluster-system-anonymous created
//再次查看nginx日志
kubectl logs nginx-dbddb74b8-nf9sk
四、部署 Dashboard UI
Dashboard 介绍
仪表板是基于Web的Kubernetes用户界面。您可以使用仪表板将容器化应用程序部署到Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源。
您可以使用仪表板来概述群集上运行的应用程序,以及创建或修改单个Kubernetes资源(例如部署,作业,守护进程等)。
例如,您可以使用部署向导扩展部署,启动滚动更新,重新启动Pod或部署新应用程序。仪表板还提供有关群集中Kubernetes资源状态以及可能发生的任何错误的信息。
====== 在 master1 节点上操作 ======
1、在k8s工作目录中创建dashborad工作目录
mkdir /opt/k8s/dashboard
cd /opt/k8s/dashboard
//上传Dashboard.zip压缩包,并解压,一共有7个文件,包含5个构建该界面的核心文件,一个k8s-admin.yaml文件是自己写的,
用来生成待会在浏览器中登录时所用的令牌;一个dashboard-cert.sh,用来快速生成解决谷歌浏览器加密通信问题所需的证书文件
//核心文件官方下载资源地址:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/dashboard
dashboard-configmap.yaml dashboard-rbac.yaml dashboard-service.yaml dashboard-controller.yaml dashboard-secret.yaml k8s-admin.yaml dashboard-cert.sh
------------------------------------------------------------------------------------------
1、dashboard-rbac.yaml:用于访问控制设置,配置各种角色的访问控制权限及角色绑定(绑定角色和服务账户),内容中包含对应各种角色所配置的规则(rules)
2、dashboard-secret.yaml:提供令牌,访问API服务器所用(个人理解为一种安全认证机制)
3、dashboard-configmap.yaml:配置模板文件,负责设置Dashboard的文件,ConfigMap提供了将配置数据注入容器的方式,保证容器中的应用程序配置从 Image 内容中解耦
4、dashboard-controller.yaml:负责控制器及服务账户的创建,来管理pod副本
5、dashboard-service.yaml:负责将容器中的服务提供出去,供外部访问折叠
2、通过kubectl create 命令创建resources
cd /opt/k8s/dashboard
1、规定kubernetes-dashboard-minimal该角色的权限:例如其中具备获取更新删除等不同的权限
kubectl create -f dashboard-rbac.yaml
有几个kind就会有几个结果被创建,格式为kind+apiServer/name
role.rbac.authorization.k8s.io/kubernetes-dashboard-minimal created
rolebinding.rbac.authorization.k8s.io/kubernetes-dashboard-minimal created
//查看类型为 Role,RoleBinding 的资源对象 kubernetes-dashboard-minimal 是否生成
kubectl get role,rolebinding -n kube-system
//-n kube-system 表示查看指定命名空间中的pod,缺省值为default
3、证书和密钥创建
kubectl create -f dashboard-secret.yaml
secret/kubernetes-dashboard-certs created
secret/kubernetes-dashboard-key-holder created
#查看类型为 Secret 的资源对象 kubernetes-dashboard-certs,kubernetes-dashboard-key-holder 是否生成
kubectl get secret -n kube-system
4、配置文件,对于集群dashboard设置的创建
kubectl create -f dashboard-configmap.yaml
configmap/kubernetes-dashboard-settings created
//查看类型为 ConfigMap 的资源对象 kubernetes-dashboard-settings 是否生成
kubectl get configmap -n kube-system
5、创建容器需要的控制器以及服务账户
kubectl create -f dashboard-controller.yaml
serviceaccount/kubernetes-dashboard created
deployment.apps/kubernetes-dashboard created
//查看类型为 ServiceAccount,Deployment 的资源对象 kubernetes-dashboard-settings 是否生成
kubectl get serviceaccount,deployment -n kube-system
6、将服务提供出去
kubectl create -f dashboard-service.yaml
service/kubernetes-dashboard created
//查看创建在指定的 kube-system 命名空间下的 pod 和 service 状态信息
kubectl get pods,svc -n kube-system -o wide
//svc 为 service 的缩写,可用 kubectl api-resources 查看
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE
pod/kubernetes-dashboard-7dffbccd68-c6d24 1/1 Running 1 11m 172.17.26.2 192.168.80.11 none
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR
service/kubernetes-dashboard NodePort 10.0.0.75 none 443:30001/TCP 11m k8s-app=kubernetes-dashboar
7、dashboard分配给了node01服务器,访问的入口是30001端口,打开浏览器访问 https://nodeIP:30001 来进行测试
火狐浏览器可直接访问:https://192.168.237.30:30001
谷歌浏览器则因为缺少加密通信的认证证书,导致无法直接访问。可通过 菜单->更多工具->开发者工具->Security 查看访问失败的原因
8、解决谷歌浏览器加密通信问题,使用的脚本 dashboard-cert.sh 来快速生成证书文件
cd /opt/k8s/dashboard/
vim dashboard-controller.yaml
......
args:
# PLATFORM-SPECIFIC ARGS HERE
- --auto-generate-certificates
#在文件的第47行下面添加以下两行,指定加密(tls)的私钥和证书文件
- --tls-key-file=dashboard-key.pem
- --tls-cert-file=dashboard.pem
9、执行脚本
cd /opt/k8s/dashboard/
chmod +x dashboard-cert.sh
./dashboard-cert.sh /opt/k8s/k8s-cert/
10、在 dashboard 工作目录下将生成两个证书
ls *.pem
dashboard.pem dashboard-key.pem
11、重新进行部署(注意:当apply不生效时,先使用delete清除资源,再apply创建资源)
kubectl apply -f dashboard-controller.yaml
//由于可能会更换所分配的节点,所以要再次查看一下分配的节点服务器地址和端口号
kubectl get pods,svc -n kube-system -o wide
//再次进行访问测试,选择使用令牌方式登录,使用 k8s-admin.yaml 文件进行创建令牌
cd /opt/k8s/dashboard/
kubectl create -f k8s-admin.yaml
#获取token简要信息,名称为dashboard-admin-token-xxxxx
kubectl get secrets -n kube-system
NAME TYPE DATA AGE
dashboard-admin-token-kpmm8 kubernetes.io/service-account-token 3
default-token-7dhwm kubernetes.io/service-account-token 3
kubernetes-dashboard-certs Opaque 11
kubernetes-dashboard-key-holder Opaque 2
kubernetes-dashboard-token-jn94c kubernetes.io/service-account-token 3
//查看令牌序列号,取 token: 后面的内容
kubectl describe secrets dashboard-admin-token-kpmm8 -n kube-system
#获取token简要信息,名称为dashboard-admin-token-xxxxx
kubectl get secrets -n kube-system
NAME TYPE DATA AGE
dashboard-admin-token-kpmm8 kubernetes.io/service-account-token 3
default-token-7dhwm kubernetes.io/service-account-token 3
kubernetes-dashboard-certs Opaque 11
kubernetes-dashboard-key-holder Opaque 2
kubernetes-dashboard-token-jn94c kubernetes.io/service-account-token 3
