2018-08-23 孙小北

二进制部署k8s集群方案之kube-apiserver组件

养浩然之气,做博学之人

使用 keepalived 和 haproxy 部署一个 3 节点高可用 master 集群的步骤,对应的 LB VIP 为环境变量 ${MASTER_VIP}。

一、准备工作

下载最新版本的二进制文件、安装和配置 flanneld ,前面已经完成

二、创建 kubernetes 证书和私钥

创建证书签名请求:

cat>kubernetes-csr.json<<EOF
{
  "CN": "kubernetes",
  "hosts": [
      "127.0.0.1",
      "192.168.1.110",
      "192.168.1.111",
      "192.168.1.112",
      "192.168.1.113",
      "${MASTER_VIP}",
      "${CLUSTER_KUBERNETES_SVC_IP}",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
              "C": "CN",
              "ST": "BeiJing",
              "L": "BeiJing",
              "O": "k8s",
              "OU": "xiaowangyun"
         }
    ]
}
EOF

#hosts 字段指定授权使用该证书的 IP 或域名列表,这里列出了 VIP 、apiserver 节点 IP、kubernetes 服务 IP 和域名;

#域名最后字符不能是 .(如不能为 kubernetes.default.svc.cluster.local.),否则解析时失败,提示: x509: cannot parse dnsName "kubernetes.default.svc.cluster.local.";

#如果使用非 cluster.local 域名,如 opsnull.com,则需要修改域名列表中的最后两个域名为:kubernetes.default.svc.opsnull、kubernetes.default.svc.opsnull.com

#kubernetes 服务 IP 是 apiserver 自动创建的,一般是 --service-cluster-ip-range 参数指定的网段的第一个IP,后续可以通过如下命令获取:

#$ kubectl get svc kubernetes

#NAME         CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE

#kubernetes   10.254.0.1   <none>        443/TCP   1d

生成证书和私钥:

cfssl gencert -ca=/etc/kubernetes/cert/ca.pem   -ca-key=/etc/kubernetes/cert/ca-key.pem   -config=/etc/kubernetes/cert/ca-config.json   -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
ls kubernetes*pem

将生成的证书和私钥文件拷贝到 master 节点:

source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
  do
    echo ">>> ${node_ip}"
    ssh root@${node_ip} "mkdir -p /etc/kubernetes/cert/ && sudo chown -R k8s /etc/kubernetes/cert/"
    scp kubernetes*.pem k8s@${node_ip}:/etc/kubernetes/cert/
  done

#k8s 账户可以读写 /etc/kubernetes/cert/ 目录;

三、创建加密配置文件

source /opt/k8s/bin/environment.sh
cat > encryption-config.yaml <<EOF
kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
        - secrets
    providers:
        - aescbc:
            keys:
               - name: key1
               secret: ${ENCRYPTION_KEY}
        - identity: {}
EOF

将加密配置文件拷贝到 master 节点的 /etc/kubernetes 目录下:

source /opt/k8s/bin/environment.sh
for node_ip in ${MASTER_IPS[@]}
  do
    echo ">>> ${node_ip}"
    scp encryption-config.yaml root@${node_ip}:/etc/kubernetes/
  done

四、创建 kube-apiserver systemd unit 模板文件

source /opt/k8s/bin/environment.sh
cat > kube-apiserver.service.template <<EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target

[Service]
ExecStart=/opt/k8s/bin/kube-apiserver \  --enable-admission-plugins=Initializers,NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \  --anonymous-auth=false \  --experimental-encryption-provider-config=/etc/kubernetes/encryption-config.yaml \  --advertise-address=##NODE_IP## \  --bind-address=##NODE_IP## \  --insecure-port=0 \  --authorization-mode=Node,RBAC \  --runtime-config=api/all \  --enable-bootstrap-token-auth \  --service-cluster-ip-range=${SERVICE_CIDR} \  --service-node-port-range=${NODE_PORT_RANGE} \  --tls-cert-file=/etc/kubernetes/cert/kubernetes.pem \  --tls-private-key-file=/etc/kubernetes/cert/kubernetes-key.pem \  --client-ca-file=/etc/kubernetes/cert/ca.pem \  --kubelet-client-certificate=/etc/kubernetes/cert/kubernetes.pem \  --kubelet-client-key=/etc/kubernetes/cert/kubernetes-key.pem \  --service-account-key-file=/etc/kubernetes/cert/ca-key.pem \  --etcd-cafile=/etc/kubernetes/cert/ca.pem \  --etcd-certfile=/etc/kubernetes/cert/kubernetes.pem \  --etcd-keyfile=/etc/kubernetes/cert/kubernetes-key.pem \  --etcd-servers=${ETCD_ENDPOINTS} \  --enable-swagger-ui=true \  --allow-privileged=true \  --apiserver-count=3 \  --audit-log-maxage=30 \  --audit-log-maxbackup=3 \  --audit-log-maxsize=100 \  --audit-log-path=/var/log/kube-apiserver-audit.log \  --event-ttl=1h \  --alsologtostderr=true \  --logtostderr=false \  --log-dir=/var/log/kubernetes \  --v=2
Restart=on-failure
RestartSec=5
Type=notify
User=k8s
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF

#--experimental-encryption-provider-config:启用加密特性;

#--authorization-mode=Node,RBAC: 开启 Node 和 RBAC 授权模式,拒绝未授权的请求;

#--enable-admission-plugins:启用 ServiceAccount 和 NodeRestriction;

#--service-account-key-file:签名 ServiceAccount Token 的公钥文件,kube-controller-manager 的 --service-account-#private-key-file 指定私钥文件,两者配对使用;

#--tls-*-file:指定 apiserver 使用的证书、私钥和 CA 文件。--client-ca-file 用于验证 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)请求所带的证书;

#--kubelet-client-certificate、--kubelet-client-key:如果指定,则使用 https 访问 kubelet APIs;需要为证书对应的用户(上面 kubernetes*.pem 证书的用户为 kubernetes) 用户定义 RBAC 规则,否则访问 kubelet API 时提示未授权;

#--bind-address: 不能为 127.0.0.1,否则外界不能访问它的安全端口 6443;

#--insecure-port=0:关闭监听非安全端口(8080);

#--service-cluster-ip-range: 指定 Service Cluster IP 地址段;

#--service-node-port-range: 指定 NodePort 的端口范围;

#--runtime-config=api/all=true: 启用所有版本的 APIs,如 autoscaling/v2alpha1;

#--enable-bootstrap-token-auth:启用 kubelet bootstrap 的 token 认证;

#--apiserver-count=3:指定集群运行模式,多台 kube-apiserver 会通过 leader 选举产生一个工作节点,其它节点处于阻塞状态;

#User=k8s:使用 k8s 账户运行;

五、为各节点创建和分发 kube-apiserver systemd unit 文件

for (( i=0; i < 3; i++ ))
  do
      sed -e "s/##NODE_NAME##/${MASTER_NAMES[i]}/" -e "s/##NODE_IP##/${MASTER_IPS[i]}/" kube-apiserver.service.template > kube-apiserver-${MASTER_IPS[i]}.service
  done
ls kube-apiserver*.service

#MASTER_NAMES 和 MASTER_IPS 为相同长度的 bash 数组,分别为节点名称和对应的 IP;

分发生成的 systemd unit 文件:

source /opt/k8s/bin/environment.sh
for node_ip in ${MASTER_IPS[@]}
  do
      echo ">>> ${node_ip}"
      ssh root@${node_ip} "mkdir -p /var/log/kubernetes && chown -R k8s /var/log/kubernetes"
      scp kube-apiserver-${node_ip}.service root@${node_ip}:/etc/systemd/system/kube-apiserver.service
  done

#必须先创建日志目录;

#文件重命名为 kube-apiserver.service;

六、启动 kube-apiserver 服务

for node_ip in ${MASTER_IPS[@]}
  do
     echo ">>> ${node_ip}"
     ssh root@${node_ip} "systemctl daemon-reload && systemctl enable kube-apiserver && systemctl restart kube-apiserver"
  done

七、检查 kube-apiserver 运行状态

for node_ip in ${MASTER_IPS[@]}
  do
      echo ">>> ${node_ip}"
      ssh root@${node_ip} "systemctl status kube-apiserver |grep 'Active:'"
  done

确保状态为 active (running),否则到 master 节点查看日志,确认原因:journalctl -u kube-apiserver

八、打印 kube-apiserver 写入 etcd 的数据

source /opt/k8s/bin/environment.sh
ETCDCTL_API=3 etcdctl     --endpoints=${ETCD_ENDPOINTS}     --cacert=/etc/kubernetes/cert/ca.pem     --cert=/etc/etcd/cert/etcd.pem     --key=/etc/etcd/cert/etcd-key.pem     get /registry/ --prefix --keys-only

九、检查集群信息

kubectl cluster-info
#Kubernetes master is running at https://192.168.1.253:8443
kubectl get all --all-namespaces
#default     service/kubernetes   ClusterIP   10.0.0.1     <none>        443/TCP   4m
kubectl get componentstatuses

controller-manager   Unhealthy   Get http://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: getsockopt: connection refused   

scheduler            Unhealthy   Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: getsockopt: connection refused   

etcd-1               Healthy     {"health":"true"}                                                                              

etcd-0               Healthy     {"health":"true"}                                                                              

etcd-2               Healthy     {"health":"true"}   

注意:

#如果执行 kubectl 命令式时输出如下错误信息,则说明使用的 ~/.kube/config 文件不对,请切换到正确的账户后再执行该命令:

#The connection to the server localhost:8080 was refused - did you specify the right host or port?

#执行 kubectl get componentstatuses 命令时,apiserver 默认向 127.0.0.1 发送请求。当 controller-manager、scheduler 以集群模式运行时,有可能和 kube-apiserver 不在一台机器上,这时 controller-manager 或 scheduler 的状态为 Unhealthy,但实际上它们工作正常。

十一、检查 kube-apiserver 监听的端口

sudo netstat -lnpt|grep kube
#tcp        0      0 192.168.1.110:6443      0.0.0.0:*               LISTEN      16689/kube-apiserve

#6443: 接收 https 请求的安全端口,对所有请求做认证和授权;

#由于关闭了非安全端口,故没有监听 8080;

十二、授予 kubernetes 证书访问 kubelet API 的权限

在执行 kubectl exec、run、logs 等命令时,apiserver 会转发到 kubelet。这里定义 RBAC 规则,授权 apiserver 调用 kubelet API。

kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes


二进制部署k8s和Docker集群方案详细步骤【置顶】

参考:

https://www.kubernetes.org.cn/3063.html

https://www.kubernetes.org.cn/3096.html

https://github.com/opsnull/follow-me-install-kubernetes-cluster

http://www.imooc.com/article/23355

https://www.docker.com/


编辑:孙小北

本文地址: https://www.xiaowangyun.com/wyblog/detail/?id=231

版权归属: www.xiaowangyun.com   转载时请以链接形式注明出处

0 条评论

快来评论

物以类聚

最新评论

2017-10-06

一辈子不长,只有珍惜了,才不至于后悔。

2017-10-06

懂得感恩,才能走得更远。

标签云

归档

取消

感谢您的支持,您的每一次打赏都是一次鼓励!

扫码支持
每一次支持,都是不懈的动力

打开支付宝扫一扫,即可进行扫码打赏哦