kubeadm是Kubernetes官方提供的用於快速安裝Kubernetes集群的工具,伴隨Kubernetes每個版本的發布都會同步更新,kubeadm會對集群配置方面的一些實踐做調整,通過實驗kubeadm可以學習到Kubernetes官方在集群配置上一些新的最佳實踐。從最近發布的Kubernetes 1.15中,kubeadm對HA集群的配置已經達到beta可用,說明kubeadm距離生產環境中可用的距離越來越近了。
1.1環境准備
系統配置:
10.0.0.10 master 10.0.0.20 node01
關閉防火牆:
systemctl stop firewalld.service systemctl disable firewalld.service
關閉selinux :
setenforce 0 sed -i.bak 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
配置阿里雲的源與eplo源
#阿里源 wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo #阿里eplo源 wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo #生成緩存 yum makecache
創建vim /etc/sysctl.d/k8s.conf文件,添加如下內容:
net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.ipv4.ip_forward = 1
執行命令使修改生效
modprobe br_netfilter sysctl -p /etc/sysctl.d/k8s.conf
Kubernetes 1.8開始要求關閉系統的swap,如果不關閉,默認配置下kubelet將無法啟動。
swapoff -a
修改 /etc/fstab 文件,注釋掉 swap 的自動掛載,使用free -m確認swap已經關閉。
sed -i 's/.*swap.*/#&/' /etc/fstab
swappiness參數調整,修改/etc/sysctl.d/k8s.conf添加下面一行:
vim /etc/sysctl.d/k8s.conf
vm.swappiness=0
加載配置
sysctl -p /etc/sysctl.d/k8s.conf
因為這里本次用於測試兩台主機上還運行其他服務,關閉swap可能會對其他服務產生影響,所以這里修改kubelet的配置去掉這個限制。 使用kubelet的啟動參數--fail-swap-on=false去掉必須關閉swap的限制,修改/etc/sysconfig/kubelet,加入:
vim /etc/sysconfig/kubelet
KUBELET_EXTRA_ARGS=--fail-swap-on=false
1.2kube-proxy開啟ipvs的前置條件
由於ipvs已經加入到了內核的主干,所以為kube-proxy開啟ipvs的前提需要加載以下的內核模塊:
cat > /etc/sysconfig/modules/ipvs.modules <<EOF #!/bin/bash modprobe -- ip_vs modprobe -- ip_vs_rr modprobe -- ip_vs_wrr modprobe -- ip_vs_sh modprobe -- nf_conntrack_ipv4 EOF chmod 755 /etc/sysconfig/modules/ipvs.modules
bash /etc/sysconfig/modules/ipvs.modules
lsmod|egrep "ip_vs|nf_conntrack_ipv4"
上面腳本創建了的/etc/sysconfig/modules/ipvs.modules文件,保證在節點重啟后能自動加載所需模塊。
各個節點上已經安裝了ipset軟件包與管理工具
yum install -y ipset ipvsadm
如果以上前提條件如果不滿足,則即使kube-proxy的配置開啟了ipvs模式,也會退回到iptables模式。
1.3安裝Docker
Kubernetes從1.6開始使用CRI(Container Runtime Interface)容器運行時接口。默認的容器運行時仍然是Docker,使用的是kubelet中內置dockershim CRI實現。
安裝docker的yum源:
yum install -y yum-utils device-mapper-persistent-data lvm2 yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
查看docker版號:
yum list docker-ce.x86_64 --showduplicates |sort -r
Kubernetes 1.15當前支持的docker版本列表是1.13.1, 17.03, 17.06, 17.09, 18.06, 18.09。 這里在各節點安裝docker的18.09.7版本。
yum makecache fast yum install -y --setopt=obsoletes=0 docker-ce-18.09.7-3.el7 systemctl start docker systemctl enable docker
1.4 修改docker cgroup driver為systemd
根據文檔CRI installation中的內容,對於使用systemd作為init system的Linux的發行版,使用systemd作為docker的cgroup driver可以確保服務器節點在資源緊張的情況更加穩定,因此這里修改各個節點上docker的cgroup driver為systemd。
創建或修改/etc/docker/daemon.json:
{ "registry-mirrors": ["http://f1361db2.m.daocloud.io"],#使用國內鏡像 "exec-opts": ["native.cgroupdriver=systemd"], #cgroup driver為systemd }
注意:配置時注意取消注釋!
重啟docker:
systemctl restart docker docker info|grep Cgroup
2.使用kubeadm部署Kubernetes
2.1 安裝kubeadm和kubelet
我們使用國內阿里雲下載安裝,下面在各節點安裝kubeadm和kubelet:
配置kubernetes 源
cat <<EOF > /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/ enabled=1 gpgcheck=1 repo_gpgcheck=1 gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg EOF
安裝kubernetes:
yum install -y kubelet kubeadm kubectl systemctl enable kubelet
從安裝結果可以看出還安裝了cri-tools, kubernetes-cni, socat三個依賴:
- 官方從Kubernetes 1.14開始將cni依賴升級到了0.7.5版本
- socat是kubelet的依賴
- cri-tools是CRI(Container Runtime Interface)容器運行時接口的命令行工具
運行kubelet –help可以看到原來kubelet的絕大多數命令行flag參數都被DEPRECATED了,如:
...... --address 0.0.0.0 The IP address for the Kubelet to serve on (set to 0.0.0.0 for all IPv4 interfaces and `::` for all IPv6 interfaces) (default 0.0.0.0) (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's --config flag. See https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/ for more information.) ......
而官方推薦我們使用-config指定配置文件,並在配置文件中指定原來這些flag所配置的內容。具體內容可以查看這里Set Kubelet parameters via a config file。這也是Kubernetes為了支持動態Kubelet配置(Dynamic Kubelet Configuration)才這么做的,參考Reconfigure a Node’s Kubelet in a Live Cluster。kubelet的配置文件必須是json或yaml格式,具體可查看這里。
2.2 使用kubeadm init初始化集群
在各節點開機啟動kubelet服務:
systemctl enable kubelet.service
使用kubeadm config print init-defaults可以打印集群初始化默認的使用的配置:
apiVersion: kubeadm.k8s.io/v1beta2 bootstrapTokens: - groups: - system:bootstrappers:kubeadm:default-node-token token: abcdef.0123456789abcdef ttl: 24h0m0s usages: - signing - authentication kind: InitConfiguration localAPIEndpoint: advertiseAddress: 1.2.3.4 bindPort: 6443 nodeRegistration: criSocket: /var/run/dockershim.sock name: master taints: - effect: NoSchedule key: node-role.kubernetes.io/master --- apiServer: timeoutForControlPlane: 4m0s apiVersion: kubeadm.k8s.io/v1beta2 certificatesDir: /etc/kubernetes/pki clusterName: kubernetes controllerManager: {} dns: type: CoreDNS etcd: local: dataDir: /var/lib/etcd imageRepository: k8s.gcr.io kind: ClusterConfiguration kubernetesVersion: v1.14.0 networking: dnsDomain: cluster.local serviceSubnet: 10.96.0.0/12 scheduler: {}
從默認的配置中可以看到,可以使用imageRepository定制在集群初始化時拉取k8s所需鏡像的地址。基於默認配置定制出本次使用kubeadm初始化集群所需的配置文件kubeadm.yaml:
vim kubeadm.yaml
apiVersion: kubeadm.k8s.io/v1beta2 kind: InitConfiguration localAPIEndpoint: advertiseAddress: 10.0.0.10 nodeRegistration: taints: - effect: PreferNoSchedule key: node-role.kubernetes.io/master --- apiVersion: kubeadm.k8s.io/v1beta2 kind: ClusterConfiguration kubernetesVersion: v1.15.0 networking: podSubnet: 10.244.0.0/16
注意:
使用kubeadm默認配置初始化的集群,會在master節點打上node-role.kubernetes.io/master:NoSchedule的污點,阻止master節點接受調度運行工作負載。這里測試環境只有兩個節點,所以將這個taint修改為node-role.kubernetes.io/master:PreferNoSchedule。
在開始初始化集群之前可以使用kubeadm config images pull預先在各個節點上拉取所k8s需要的docker鏡像。由於在國內gcr是被攔截的,只能使用國內阿里的鏡像倉庫(所有節點):
cat << 'EOF' >kubeadm_get_images.sh
#!/bin/bash
## 使用如下腳本下載國內鏡像,並修改tag為google的tag
set -e
KUBE_VERSION=v1.15.0
KUBE_PAUSE_VERSION=3.1
ETCD_VERSION=3.3.15-0
CORE_DNS_VERSION=1.5.0
GCR_URL=k8s.gcr.io
ALIYUN_URL=registry.cn-hangzhou.aliyuncs.com/google_containers
images=(kube-proxy:${KUBE_VERSION}
kube-scheduler:${KUBE_VERSION}
kube-controller-manager:${KUBE_VERSION}
kube-apiserver:${KUBE_VERSION}
pause:${KUBE_PAUSE_VERSION}
etcd:${ETCD_VERSION}
coredns:${CORE_DNS_VERSION})
for imageName in ${images[@]} ; do
docker pull $ALIYUN_URL/$imageName
docker tag $ALIYUN_URL/$imageName $GCR_URL/$imageName
docker rmi $ALIYUN_URL/$imageName
done
EOF
接下來使用kubeadm初始化集群,選擇node1作為Master Node,在node1上執行下面的命令:
kubeadm init --config=kubeadm.yaml --ignore-preflight-errors=all
上面記錄了完成的初始化輸出的內容,根據輸出的內容基本上可以看出手動初始化安裝一個Kubernetes集群所需要的關鍵步驟。 其中有以下關鍵內容:
- [kubelet-start] 生成kubelet的配置文件”/var/lib/kubelet/config.yaml”
- [certs]生成相關的各種證書
- [kubeconfig]生成相關的kubeconfig文件
- [control-plane]使用/etc/kubernetes/manifests目錄中的yaml文件創建apiserver、controller-manager、scheduler的靜態pod
- [bootstraptoken]生成token記錄下來,后邊使用kubeadm join往集群中添加節點時會用到
- 下面的命令是配置常規用戶如何使用kubectl訪問集群:
mkdir -p $HOME/.kube cp -i /etc/kubernetes/admin.conf $HOME/.kube/config chown $(id -u):$(id -g) $HOME/.kube/config
查看一下集群狀態,確認個組件都處於healthy狀態:
[root@master ~]# kubectl get cs NAME STATUS MESSAGE ERROR controller-manager Healthy ok scheduler Healthy ok etcd-0 Healthy {"health":"true"}
如果集群初始化遇到問題,可以使用下面的命令進行清理:
kubeadm reset ifconfig cni0 down ip link delete cni0 ifconfig flannel.1 down ip link delete flannel.1 rm -rf /var/lib/cni/
2.3 安裝Pod Network
kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/k8s-manifests/kube-flannel-rbac.yml
如果Node有多個網卡的話,參考flannel issues 39701,目前需要在kube-flannel.yml中使用–iface參數指定集群主機內網網卡的名稱,否則可能會出現dns無法解析。需要將kube-flannel.yml下載到本地,flanneld啟動參數加上–iface=<iface-name>
containers: - name: kube-flannel image: quay.io/coreos/flannel:v0.11.0-amd64 command: - /opt/bin/flanneld args: - --ip-masq - --kube-subnet-mgr - --iface=eth1 ......
確保所有的Pod都處於Running狀態
[root@master ~]# kubectl get pod -n kube-system NAME READY STATUS RESTARTS AGE coredns-5c98db65d4-bh5l6 1/1 Running 0 4m58s coredns-5c98db65d4-klvsh 1/1 Running 0 4m58s etcd-master 1/1 Running 0 4m kube-apiserver-master 1/1 Running 0 4m4s kube-controller-manager-master 1/1 Running 2 4m8s kube-flannel-ds-amd64-cp7tq 1/1 Running 0 3m19s kube-proxy-jq4cd 1/1 Running 0 4m59s kube-scheduler-master 1/1 Running 2 4m17s
2.4 測試集群DNS是否可用
kubectl run curl --image=radial/busyboxplus:curl -it
進入后執行nslookup kubernetes.default確認解析正常:
nslookup kubernetes.default Server: 10.96.0.10 Address 1: 10.96.0.10 kube-dns.kube-system.svc.cluster.local Name: kubernetes.default Address 1: 10.96.0.1 kubernetes.default.svc.cluster.local
退出容器,保持運行:ctrl Q +P
進入容器:
kubectl attach curl-6bf6db5c4f-5r4wr -c curl -i -t
測試OK后,刪除掉curl這個Pod
kubectl delete deploy curl
2.5 Kubernetes集群中添加Node節點
默認token的有效期為24小時,當過期之后,該token就不可用了,以后加入節點需要新token
master重新生成新的token
[root@master ~]# kubeadm token create tkxyys.8ilumwddiexjd8g2 [root@master ~]# kubeadm token list TOKEN TTL EXPIRES USAGES DESCRIPTION EXTRA GROUPS tkxyys.8ilumwddiexjd8g2 23h 2019-07-10T21:19:17+08:00 authentication,signing <none> system:bootstrappers:kubeadm:default-node-token
獲取ca證書sha256編碼hash值
[root@master ~]# openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt|openssl rsa -pubin -outform der 2>/dev/null|openssl dgst -sha256 -hex|awk '{print $NF}' 2e4ec2c6267389ccc2aa293a61ab474b0304778d56dfb07f5105a709d3b798e6
添加node節點
kubeadm join 10.0.0.10:6443 --token 4qcl2f.gtl3h8e5kjltuo0r \ --discovery-token-ca-cert-hash sha256:7ed5404175cc0bf18dbfe53f19d4a35b1e3d40c19b10924275868ebf2a3bbe6e \ --ignore-preflight-errors=all
node01加入集群很是順利,下面在master節點上執行命令查看集群中的節點:
[root@master ~]# kubectl get node NAME STATUS ROLES AGE VERSION master Ready master 18m v1.15.0 node01 <none> master 11m v1.15.0
節點沒有ready 一般是由於flannel 插件沒有裝好,可以通過查看kube-system 的pod 驗證
2.5.1 如何從集群中移除Node
如果需要從集群中移除node01這個Node執行下面的命令:
在master節點上執行:
kubectl drain node01 --delete-local-data --force --ignore-daemonsets
在node01上執行:
kubeadm reset ifconfig cni0 down ip link delete cni0 ifconfig flannel.1 down ip link delete flannel.1 rm -rf /var/lib/cni/
在master上執行:
kubectl delete node node01
不在master節點上操作集群,而是在其他工作節點上操作集群:
需要將master節點上面的kubernetes配置文件拷貝到當前節點上,然后執行kubectl命令:
#將主配置拉取到本地
scp root@node01:/etc/kubernetes/admin.conf /etc/kubernetes/ #常規用戶如何使用kubectl訪問集群配置
mkdir -p $HOME/.kube cp -i /etc/kubernetes/admin.conf $HOME/.kube/config chown $(id -u):$(id -g) $HOME/.kube/config