目录
2.创建用于生成CA证书、etcd 服务器证书以及私钥的目录
4.把etcd相关证书文件、命令文件和服务管理文件全部拷贝到另外两个etcd集群节点
1.3上传 kubernetes-server-linux-amd64.tar.gz 到 /opt/k8s/ 目录中,解压 kubernetes 压缩包 编辑
1.4 复制master组件的关键命令文件到 kubernetes工作目录的 bin 子目录中
1.9启动admin服务并生成kubectl连接集群的kubeconfig文件
1.先在node01和node02上创建kubernetes工作目录
3.RBAC授权,使用户 kubelet-bootstrap 能够有权限发起 CSR 请求证书
- hostnamectl set-hostname master01
- su
- hostnamectl set-hostname node01
- su
- hostnamectl set-hostname node02
- su
Master01 | 192.168.21.10 |
node01 | 192.168.21.30 |
node02 | 192.168.21.40 |
- 关闭防火墙
- systemctl stop firewalld
- systemctl disable firewalld
- iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X
- #关闭selinux
- setenforce 0
- sed -i 's/enforcing/disabled/' /etc/selinux/config
- 关闭swap
- swapoff -a
- sed -ri 's/.*swap.*/#&/' /etc/fstab
- vim /etc/hosts
-
- #添加ip
- 192.168.21.10 master01
- 192.168.21.30 node01
- 192.168.21.40 node02
- #调整内核参数
- cat > /etc/sysctl.d/k8s.conf << EOF
- #开启网桥模式,可将网桥的流量传递给iptables链
- net.bridge.bridge-nf-call-ip6tables = 1
- net.bridge.bridge-nf-call-iptables = 1
- #关闭ipv6协议
- net.ipv6.conf.all.disable_ipv6=1
- net.ipv4.ip_forward=1
- EOF
- sysctl --system 刷新
-
- #时间同步
- yum install ntpdate -y
- ntpdate time.windows.com
如果报错是软件版本的问题,或者dns原因这边建议修改dns都为114.114.114.114
- //所有 node 节点部署docker引擎
- yum install -y yum-utils device-mapper-persistent-data lvm2
- yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
- yum install -y docker-ce docker-ce-cli containerd.io
-
- systemctl start docker.service
- systemctl enable docker.service
etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd是go语言编写的。
etcd 作为服务发现系统,有以下的特点:
简单:安装配置简单,而且提供了HTTP API进行交互,使用也很简单
安全:支持SSL证书验证
快速:单实例支持每秒2k+读操作
可靠:采用raft算法,实现分布式系统数据的可用性和一致性
etcd 目前默认使用2379端口提供HTTP API服务, 2380端口和peer通信(这两个端口已经被IANA(互联网数字分配机构)官方预留给etcd)。 即etcd默认使用2379端口对外为客户端提供通讯,使用端口2380来进行服务器间内部通讯。
etcd 在生产环境中一般推荐集群方式部署。由于etcd 的leader选举机制,要求至少为3台或以上的奇数台。
- wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
- wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
- wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo
- chmod +x /usr/local/bin/cfssl*
因为事先准备好了 我直接拉入
- mkdir /opt/k8s
- cd /opt/k8s/
-
- #上传 etcd-cert.sh 和 etcd.sh 到 /opt/k8s/ 目录中
- chmod +x etcd-cert.sh etcd.sh
-
- mkdir /opt/k8s/etcd-cert
- mv etcd-cert.sh etcd-cert/
- cd /opt/k8s/etcd-cert/
- ./etcd-cert.sh #生成CA证书、etcd 服务器证书以及私钥
vim etcd-cert.sh
这边要注意两个问题一个是年份,一个是ip地址
上传 etcd-v3.4.9-linux-amd64.tar.gz 到 /opt/k8s 目录中,启动etcd服务
- cd /opt/k8s/
- 拉入安装包
- tar zxvf etcd-v3.4.9-linux-amd64.tar.gz
- cd etcd-v3.4.9-linux-amd64/
- #创建用于存放 etcd 配置文件,命令文件,证书的目录
- mkdir -p /opt/etcd/{cfg,bin,ssl}
- mv etcd etcdctl /opt/etcd/bin/
- cp *.pem /opt/etcd/ssl/
ps -ef | grep etcd
- scp -r /opt/etcd/ root@192.168.21.30:/opt/
- scp -r /opt/etcd/ root@192.168.21.40:/opt/
- scp /usr/lib/systemd/system/etcd.service root@192.168.21.30:/usr/lib/systemd/system/
- scp /usr/lib/systemd/system/etcd.service root@192.168.21.40:/usr/lib/systemd/system/
- vim /opt/etcd/cfg/etcd
-
- #[Member]
- ETCD_NAME="etcd02"
- ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
- ETCD_LISTEN_PEER_URLS="https://192.168.21.30:2380"
- ETCD_LISTEN_CLIENT_URLS="https://192.168.21.30:2379"
-
- #[Clustering]
- ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.21.30:2380"
- ETCD_ADVERTISE_CLIENT_URLS="https://192.168.21.30:2379"
- ETCD_INITIAL_CLUSTER="etcd01=https://192.168.21.10:2380,etcd02=https://192.168.21.30:2380,etcd03=https://192.168.21.40:2380"
- ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
- ETCD_INITIAL_CLUSTER_STATE="new"
启动etcd服务
- systemctl start etcd
- systemctl enable etcd ##systemctl enable --now etcd
- vim /opt/etcd/cfg/etcd
- #[Member]
- ETCD_NAME="etcd03"
- ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
- ETCD_LISTEN_PEER_URLS="https://192.168.21.40:2380"
- ETCD_LISTEN_CLIENT_URLS="https://192.168.21.40:2379"
-
- #[Clustering]
- ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.21.40:2380"
- ETCD_ADVERTISE_CLIENT_URLS="https://192.168.21.40:2379"
- ETCD_INITIAL_CLUSTER="etcd01=https://192.168.21.10:2380,etcd02=https://192.168.21.30:2380,etcd03=https://192.168.21.40:2380"
- ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
- ETCD_INITIAL_CLUSTER_STATE="new"
ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://192.168.21.10:2379,https://192.168.21.30:2379,https://192.168.21.40:2379" endpoint status --write-out=table
ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://192.168.21.30:2379,https://192.168.21.30:2379,https://192.168.21.40:2379" endpoint health --write-out=table
查看etcd集群成员列表
ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://192.168.21.10:2379,https://192.168.21.30:2379,https://192.168.21.40:2379" --write-out=table member list
- 上传 master.zip 和 k8s-cert.sh 到 /opt/k8s 目录中,解压 master.zip 压缩包
- cd /opt/k8s/
- unzip master.zip
- chmod +x *.sh
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}
- mkdir /opt/k8s/k8s-cert
- cd k8s-cert
- 拉入事先准备好的脚本
- chmod +x k8s-cert.sh
记得脚本把注释去了,并修改为自己的ip地址
vim k8s-cert
复制CA证书、apiserver相关证书和私钥到 kubernetes工作目录的 ssl 子目录中
cp ca*pem apiserver*pem /opt/kubernetes/ssl/
- cd /opt/k8s/kubernetes/server/bin
- cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/
- cd /opt/k8s/
- vim token.sh
- #!/bin/bash
- #获取随机数前16个字节内容,以十六进制格式输出,并删除其中空格
- BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
- #生成 token.csv 文件,按照 Token序列号,用户名,UID,用户组 的格式生成
- cat > /opt/kubernetes/cfg/token.csv <<EOF
- ${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
- EOF
-
- chmod +x token.sh
- ./token.sh
- cd /opt/k8s/master
-
- ./apiserver.sh 192.168.21.10 https://192.168.21.10:2379,https://192.168.21.30:2379,https://192.168.10.40:2379
- #检查进程是否启动成功
- ps aux | grep kube-apiserver
-
- netstat -natp | grep 6443 #安全端口6443用于接收HTTPS请求,用于基于Token文件或客户端证书等认证
- cd /opt/k8s/
- ./scheduler.sh
- ps aux | grep kube-scheduler
vim scheduler.sh
- ./controller-manager.sh
- ps aux | grep kube-controller-manager
- ./admin.sh
-
- #通过kubectl工具查看当前集群组件状态
- kubectl get cs
- NAME STATUS MESSAGE ERROR
- controller-manager Healthy ok
- scheduler Healthy ok
- etcd-2 Healthy {"health":"true"}
- etcd-1 Healthy {"health":"true"}
- etcd-0 Healthy {"health":"true"}
-
- #查看版本信息
- kubectl version
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}
把 kubelet、kube-proxy 拷贝到 node 节点
- cd /opt/k8s/kubernetes/server/bin
- scp kubelet kube-proxy root@node01:/opt/kubernetes/bin/
- scp kubelet kube-proxy root@node02:/opt/kubernetes/bin/
上传kubeconfig.sh文件到/opt/k8s/kubeconfig目录中,生成kubelet初次加入集群引导kubeconfig文件和kube-proxy.kubeconfig文件
#kubeconfig 文件包含集群参数(CA 证书、API Server 地址),客户端参数(上面生成的证书和私钥),集群 context 上下文参数(集群名称、用户名)。Kubenetes 组件(如 kubelet、kube-proxy)通过启动时指定不同的 kubeconfig 文件可以切换到不同的集群,连接到 apiserver
- mkdir /opt/k8s/kubeconfig
-
- cd /opt/k8s/kubeconfig
- chmod +x kubeconfig.sh
- ./kubeconfig.sh 192.168.21.10 /opt/k8s/k8s-cert/
- scp bootstrap.kubeconfig kube-proxy.kubeconfig root@node01:/opt/kubernetes/cfg/
- scp bootstrap.kubeconfig kube-proxy.kubeconfig root@node02:/opt/kubernetes/cfg/
kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap
- #启动 kubelet 服务
- cd /opt/
- ./kubelet.sh 192.168.10.18
- ps aux | grep kubelet
- 在 master01 节点上操作,通过 CSR 请求
- #检查到 node01 节点的 kubelet 发起的 CSR 请求,Pending 表示等待集群给该节点签发证书
- kubectl get csr
- NAME AGE SIGNERNAME REQUESTOR CONDITION
- node-csr-duiobEzQ0R93HsULoS9NT9JaQylMmid_nBF3Ei3NtFE 12s kubernetes.io/kube-apiserver-client-kubelet kubelet-bootstrap Pending
- #通过 CSR 请求
- kubectl certificate approve node-csr-duiobEzQ0R93HsULoS9NT9JaQylMmid_nBF3Ei3NtFE
-
- #Approved,Issued 表示已授权 CSR 请求并签发证书
- kubectl get csr
- NAME AGE SIGNERNAME REQUESTOR CONDITION
- node-csr-duiobEzQ0R93HsULoS9NT9JaQylMmid_nBF3Ei3NtFE 2m5s kubernetes.io/kube-apiserver-client-kubelet kubelet-bootstrap Approved,Issued
-
- #查看节点,由于网络插件还没有部署,节点会没有准备就绪 NotReady
- kubectl get node
- NAME STATUS ROLES AGE VERSION
- 192.168.21.10 NotReady <none> 108s v1.20.11
- #加载 ip_vs 模块
- for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done
-
- #启动proxy服务
- cd /opt/
- ./proxy.sh 192.168.21.10
- ps aux | grep kube-proxy