碼上快樂

相關內容    簡體    繁體

二進制安裝kubernetes v1.11.2 (第八章 kube-apiserver 部署)

本文轉載自   查看原文   2018-10-25 14:02   1055    kubernetes

繼續上一章部署。

八、部署kube-apiserver組件

使用第七章的haproxy和keepalived部署的高可用集群提供的VIP:${MASTER_VIP}

8.1 下載二進制文件,參考 第三章 

8.2 創建 kubernetes 證書和私鑰

source /opt/k8s/bin/environment.sh
cat > kubernetes-csr.json <<EOF
{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "192.168.56.20",
    "192.168.56.20",
    "${MASTER_VIP}",
    "${CLUSTER_KUBERNETES_SVC_IP}",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
EOF
  • host 字段指定授權使用該證書的IP或者域名列表,這里列出了 VIP、apiserver節點IP,kubernetes服務IP和域名
  • 域名最后不能是 . (如不能是kubernetes.default.svc.cluster.local.),否則解析失敗,提示 x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."
  • 如果使用非 cluster.local 域名,,如 xxx.com,則需要修改域名列表中的最后兩個域名為:kubernetes.default.svc.xxx、kubernetes.default.svc.xxx.com
  • kubernetes服務IP是apiserver自動創建的,一般是 -service-cluster-ip-range 參數指定的網段的第一個IP,后續可以通過如下命令獲取:
$ kubectl get svc kubernetes
NAME         CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   10.254.0.1   <none>        443/TCP   1d

8.3 生成證書和私鑰

cfssl gencert -ca=/etc/kubernetes/cert/ca.pem \
  -ca-key=/etc/kubernetes/cert/ca-key.pem \
  -config=/etc/kubernetes/cert/ca-config.json \
  -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
ls kubernetes*pem

8.4 將生成的證書和私鑰文件拷貝到master節點

source /opt/k8s/bin/environment.sh
for master_ip in ${MASTER_IPS[@]}
  do
    echo ">>> ${master_ip}"
    ssh root@${master_ip} "mkdir -p /etc/kubernetes/cert/ && sudo chown -R k8s /etc/kubernetes/cert/"
    scp kubernetes*.pem k8s@${master_ip}:/etc/kubernetes/cert/
done

8.5 創建加密配置文件

source /opt/k8s/bin/environment.sh
cat > encryption-config.yaml <<EOF
kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: ${ENCRYPTION_KEY}
      - identity: {}
EOF

8.6 將加密配置文件拷貝到 master 節點的 /etc/kubernetes 目錄下

source /opt/k8s/bin/environment.sh
for master_ip in ${MASTER_IPS[@]}
  do
    echo ">>> ${master_ip}"
    scp encryption-config.yaml root@${master_ip}:/etc/kubernetes/
done

替換后的加密配置文件:

[root@k8s-m1 cert]# more encryption-config.yaml 
kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: V8NUF8gATb1bZmBke9NRVw33JHt3elTDfNoIi0uhOFI=
      - identity: {}

8.7 創建 kube-apiserver systemd unit 模板文件

source /opt/k8s/bin/environment.sh
cat > kube-apiserver.service.template <<EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target

[Service]
ExecStart=/opt/k8s/bin/kube-apiserver \\
  --enable-admission-plugins=Initializers,NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \\
  --anonymous-auth=false \\
  --experimental-encryption-provider-config=/etc/kubernetes/encryption-config.yaml \\
  --advertise-address=##NODE_IP## \\
  --bind-address=##NODE_IP## \\
  --insecure-port=0 \\
  --authorization-mode=Node,RBAC \\
  --runtime-config=api/all \\
  --enable-bootstrap-token-auth \\
  --service-cluster-ip-range=${SERVICE_CIDR} \\
  --service-node-port-range=${NODE_PORT_RANGE} \\
  --tls-cert-file=/etc/kubernetes/cert/kubernetes.pem \\
  --tls-private-key-file=/etc/kubernetes/cert/kubernetes-key.pem \\
  --client-ca-file=/etc/kubernetes/cert/ca.pem \\
  --kubelet-client-certificate=/etc/kubernetes/cert/kubernetes.pem \\
  --kubelet-client-key=/etc/kubernetes/cert/kubernetes-key.pem \\
  --service-account-key-file=/etc/kubernetes/cert/ca-key.pem \\
  --etcd-cafile=/etc/kubernetes/cert/ca.pem \\
  --etcd-certfile=/etc/kubernetes/cert/kubernetes.pem \\
  --etcd-keyfile=/etc/kubernetes/cert/kubernetes-key.pem \\
  --etcd-servers=${ETCD_ENDPOINTS} \\
  --enable-swagger-ui=true \\
  --allow-privileged=true \\
  --apiserver-count=2 \\
  --audit-log-maxage=30 \\
  --audit-log-maxbackup=3 \\
  --audit-log-maxsize=100 \\
  --audit-log-path=/var/log/kube-apiserver-audit.log \\
  --event-ttl=1h \\
  --alsologtostderr=true \\
  --logtostderr=false \\
  --log-dir=/var/log/kubernetes \\
  --v=2
Restart=on-failure
RestartSec=5
Type=notify
User=k8s
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF
  • --experimental-encryption-provider-config:啟用加密特性
  • --authorization-mode=Node,RBAC: 開啟 Node 和 RBAC 授權模式,拒絕未授權的請求
  • --enable-admission-plugins:啟用 ServiceAccount 和 NodeRestriction
  • --service-account-key-file:簽名 ServiceAccount Token 的公鑰文件,kube-controller-manager 的 --service-account-private-key-file 指定私鑰文件,兩者配對使用
  • --tls-*-file:指定 apiserver 使用的證書、私鑰和 CA 文件。--client-ca-file 用於驗證 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)請求所帶的證書
  • --kubelet-client-certificate、--kubelet-client-key:如果指定,則使用 https 訪問 kubelet APIs;需要為證書對應的用戶(上面 kubernetes*.pem 證書的用戶為 kubernetes) 用戶定義 RBAC 規則,否則訪問 kubelet API 時提示未授權
  • --bind-address: 不能為 127.0.0.1,否則外界不能訪問它的安全端口 6443
  • --insecure-port=0:關閉監聽非安全端口(8080)
  • --service-cluster-ip-range: 指定 Service Cluster IP 地址段
  • --service-node-port-range: 指定 NodePort 的端口范圍
  • --runtime-config=api/all=true: 啟用所有版本的 APIs,如 autoscaling/v2alpha1
  • --enable-bootstrap-token-auth:啟用 kubelet bootstrap 的 token 認證
  • --apiserver-count=3:指定集群運行模式,多台 kube-apiserver 會通過 leader 選舉產生一個工作節點,其它節點處於阻塞狀態
  • User=k8s:使用 k8s 賬戶運行

 

8.8 為各節點創建和分發 kube-apiserver systemd unit 文件

替換模板中的變量,生成各master節點的 systemd unit 文件

source /opt/k8s/bin/environment.sh
for (( i=0; i < 2; i++ ))
  do
    sed -e "s/##NODE_NAME##/${NODE_NAMES[i]}/" -e "s/##NODE_IP##/${NODE_IPS[i]}/" kube-apiserver.service.template > kube-apiserver-${NODE_IPS[i]}.service 
done
ls kube-apiserver*.service

8.9 分發生成的 systemd unit 文件

source /opt/k8s/bin/environment.sh
for master_ip in ${MASTER_IPS[@]}
  do
    echo ">>> ${master_ip}"
    ssh root@${master_ip} "mkdir -p /var/log/kubernetes && chown -R k8s /var/log/kubernetes"
    scp kube-apiserver-${master_ip}.service root@${master_ip}:/etc/systemd/system/kube-apiserver.service
done
  • 需要先創建日志目錄
  • 分發后,文件重命名為 kube-apiserver.service

 8.10 啟動kube-apiserver 服務

source /opt/k8s/bin/environment.sh
for master_ip in ${MASTER_IPS[@]}
  do
    echo ">>> ${master_ip}"
    ssh root@${master_ip} "systemctl daemon-reload && systemctl enable kube-apiserver && systemctl restart kube-apiserver"
done

8.11 檢查 kube-apiserver 運行狀態

source /opt/k8s/bin/environment.sh
for master_ip in ${MASTER_IPS[@]}
  do
    echo ">>> ${master_ip}"
    ssh root@${master_ip} "systemctl status kube-apiserver |grep 'Active:'"
done

確保服務狀態為 Active: active (running)

查看日志的方法:journalctl -u kube-apiserver

8.12 打印 kube-apiserver 寫入 etcd 數據

source /opt/k8s/bin/environment.sh
ETCDCTL_API=3 etcdctl \
    --endpoints=${ETCD_ENDPOINTS} \
    --cacert=/etc/kubernetes/cert/ca.pem \
    --cert=/etc/etcd/cert/etcd.pem \
    --key=/etc/etcd/cert/etcd-key.pem \
    get /registry/ --prefix --keys-only

8.13 檢查集群信息

 

[root@k8s-m1 template]# kubectl cluster-info
Kubernetes master is running at https://192.168.56.6:8443

To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.
[root@k8s-m1 template]# kubectl get all --all-namespaces
NAMESPACE   NAME                 TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
default     service/kubernetes   ClusterIP   10.254.0.1   <none>        443/TCP   9m
[root@k8s-m1 template]# kubectl get componentstatuses
NAME                 STATUS      MESSAGE                                                                                     ERROR
controller-manager   Unhealthy   Get http://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: connect: connection refused   
scheduler            Unhealthy   Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: connect: connection refused   
etcd-0               Healthy     {"health":"true"}                                                                           
etcd-1               Healthy     {"health":"true"}

8.14 如果執行 kubectl 命令式時輸出如下錯誤信息,則說明使用的 ~/.kube/config 文件不對,請切換到正確的賬戶后再執行該命令:

The connection to the server localhost:8080 was refused - did you specify the right host or port?

8.15 執行 kubectl get componentstatuses 命令時,apiserver 默認向 127.0.0.1 發送請求。當 controller-manager、scheduler 以集群模式運行時,有可能和 kube-apiserver 不在一台機器上,這時 controller-manager 或 scheduler 的狀態為 Unhealthy,但實際上它們工作正常

8.16 檢查 kube-apiserver 監聽的端口

[root@k8s-m1 template]# sudo netstat -lnpt|grep kube
tcp        0      0 192.168.56.20:6443      0.0.0.0:*               LISTEN      9918/kube-apiserver
  • 6443  接收 https 請求的安全端口,對所有請求做認證和授權
  • 由於關閉了非安全端口,所以沒有監聽8080

8.17 授予 kubernetes 證書訪問 kubelet API 的權限

在執行 kubectl exec、run、logs 等命令時,apiserver 會轉發到 kubelet,這里定義RBAC規則

[root@k8s-m1 template]# kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes
clusterrolebinding.rbac.authorization.k8s.io/kube-apiserver:kubelet-apis created

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 二進制安裝kubernetes(二) kube-apiserver組件安裝 kubernetes-v1.20.4 二進制部署-kube-apiserver 二進制安裝kubernetes v1.11.2 (第三章 二進制文件下載和kubectl部署) 010.Kubernetes二進制master節點部署kube-apiserver 3、二進制安裝K8s之部署kube-apiserver 二進制部署kubernetes集群_kube-apiserver提示"watch chan error: etcdserver: mvcc: required revision has been compacted' 二進制部署k8s集群(3):部署kube-apiserver,簽發kube-apiserver證書|kuelete證書|kube-proxy證書 kubernetes部署 kube-apiserver服務 kubernetes-v1.20.4 二進制部署-kube-controller-manager、kube-scheduler kubernetes-v1.20.4 二進制部署-kubelet、kube-proxy
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM