本來沒打算搞這個文章的,第一里面有瑕疵(沒搞定的地方),第二在我的Ubuntu 18 Kubernetes集群的安裝和部署 以及Helm的安裝 也有安裝,第三 和社區的問文章比較雷同 https://www.kubernetes.org.cn/5551.html
kubeadm是Kubernetes官方提供的用於快速安裝Kubernetes集群的工具,伴隨Kubernetes每個版本的發布都會同步更新,kubeadm會對集群配置方面的一些實踐做調整,通過實驗kubeadm可以學習到Kubernetes官方在集群配置上一些新的最佳實踐。
最近發布的Kubernetes 1.15.2中,kubeadm對HA集群的配置已經達到beta可用,說明kubeadm距離生產環境中可用的距離越來越近了。
1.准備
1.1系統配置
在安裝之前,需要先做如下准備。兩台Centos 18如下:
192.168.100.11 k8s-master 192.168.100.12 k8s-node
禁用防火牆:
systemctl stop firewalld
systemctl disable firewalld
禁用SELINUX:
setenforce 0 vi /etc/selinux/config SELINUX=disabled
創建vi /etc/sysctl.d/k8s.conf文件,添加如下內容:
net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.ipv4.ip_forward = 1
執行命令使修改生效。
modprobe br_netfilter
sysctl -p /etc/sysctl.d/k8s.conf
1.2kube-proxy開啟ipvs的前置條件
由於ipvs已經加入到了內核的主干,在所有的Kubernetes節點k8s-master和k8s-node上執行以下腳本:
cat > /etc/sysconfig/modules/ipvs.modules <<EOF #!/bin/bash modprobe -- ip_vs modprobe -- ip_vs_rr modprobe -- ip_vs_wrr modprobe -- ip_vs_sh modprobe -- nf_conntrack_ipv4 EOF chmod 755 /etc/sysconfig/modules/ipvs.modules && bash /etc/sysconfig/modules/ipvs.modules && lsmod | grep -e ip_vs -e nf_conntrack_ipv4
上面腳本創建了的/etc/sysconfig/modules/ipvs.modules文件,保證在節點重啟后能自動加載所需模塊。 使用以下命令查看是否已經正確加載所需的內核模塊。
lsmod | grep -e ip_vs -e nf_conntrack_ipv4
接下來還需要確保各個節點上已經安裝了ipset軟件包。
為了便於查看ipvs的代理規則,最好安裝一下ipvsadm管理工具。
如果以上前提條件如果不滿足,則即使kube-proxy的配置開啟了ipvs模式,也會退回到iptables模式。
1.3安裝Docker
Kubernetes從1.6開始使用CRI(Container Runtime Interface)容器運行時接口。默認的容器運行時仍然是Docker,使用的是kubelet中內置dockershim CRI實現。
安裝docker的yum源:
yum install -y yum-utils device-mapper-persistent-data lvm2 yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
查看最新的Docker版本:
yum list docker-ce.x86_64 --showduplicates |sort -r
這里在各節點安裝docker的18.09.7版本。
yum makecache fast yum install -y --setopt=obsoletes=0 docker-ce-18.09.7-3.el7 systemctl start docker systemctl enable docker
確認一下iptables filter表中FOWARD鏈的默認策略(pllicy)為ACCEPT。
iptables -nvL1.4 修改docker cgroup driver為systemd
根據文檔CRI installation中的內容,對於使用systemd作為init system的Linux的發行版,使用systemd作為docker的cgroup driver可以確保服務器節點在資源緊張的情況更加穩定,因此這里修改各個節點上docker的cgroup driver為systemd。
創建或修改vi /etc/docker/daemon.json:
{ "exec-opts": ["native.cgroupdriver=systemd"] }
重啟docker:
systemctl restart docker docker info | grep Cgroup Cgroup Driver: systemd
2.使用kubeadm部署Kubernetes
2.1 安裝kubeadm和kubelet
下面在各節點安裝kubeadm和kubelet:
cat <<EOF > /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64 enabled=1 gpgcheck=1 repo_gpgcheck=1 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg EOF
測試地址https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64是否可用
curl https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64 yum makecache fast yum install -y kubelet kubeadm kubectl
從安裝結果可以看出還安裝了cri-tools, kubernetes-cni, socat三個依賴:
- 官方從Kubernetes 1.14開始將cni依賴升級到了0.7.5版本
- socat是kubelet的依賴
- cri-tools是CRI(Container Runtime Interface)容器運行時接口的命令行工具
運行kubelet –help可以看到原來kubelet的絕大多數命令行flag參數都被DEPRECATED了,
而官方推薦我們使用–config指定配置文件,並在配置文件中指定原來這些flag所配置的內容。具體內容可以查看這里Set Kubelet parameters via a config file。這也是Kubernetes為了支持動態Kubelet配置(Dynamic Kubelet Configuration)才這么做的,參考Reconfigure a Node’s Kubelet in a Live Cluster。
kubelet的配置文件必須是json或yaml格式,具體可查看這里。
Kubernetes 1.8開始要求關閉系統的Swap,如果不關閉,默認配置下kubelet將無法啟動。 關閉系統的Swap方法如下:
swapoff -a修改 /etc/fstab 文件,注釋掉 SWAP 的自動掛載,使用確認swap已經關閉。 swappiness參數調整,修改 /etc/sysctl.d/k8s.conf添加下面一行:
vm.swappiness=0執行sysctl -p /etc/sysctl.d/k8s.conf使修改生效。
2.2 使用kubeadm init初始化集群
在各節點開機啟動kubelet服務:
使用 kubeadm config print init-defaults 可以打印集群初始化默認的配置,
從默認的配置中可以看到,可以使用imageRepository定制在集群初始化時拉取k8s所需鏡像的地址。基於默認配置定制出本次使用kubeadm初始化集群所需的配置文件kubeadm.yaml:
apiVersion: kubeadm.k8s.io/v1beta2 kind: InitConfiguration localAPIEndpoint: advertiseAddress: 192.168.100.11 bindPort: 6443 nodeRegistration: taints: - effect: PreferNoSchedule key: node-role.kubernetes.io/master --- apiVersion: kubeadm.k8s.io/v1beta2 kind: ClusterConfiguration kubernetesVersion: v1.15.3 networking: podSubnet: 10.244.0.0/16
使用kubeadm默認配置初始化的集群,會在master節點打上node-role.kubernetes.io/master:NoSchedule的污點,阻止master節點接受調度運行工作負載。這里測試環境只有兩個節點,所以將這個taint修改為node-role.kubernetes.io/master:PreferNoSchedule。
在開始初始化集群之前可以使用 kubeadm config images pull 預先在各個節點上拉取所k8s需要的docker鏡像。
接下來使用kubeadm初始化集群,選擇k8s-master作為Master Node,在k8s-master上執行下面的命令:
上面記錄了完成的初始化輸出的內容,根據輸出的內容基本上可以看出手動初始化安裝一個Kubernetes集群所需要的關鍵步驟。 其中有以下關鍵內容:
- [kubelet-start] 生成kubelet的配置文件”/var/lib/kubelet/config.yaml”
- [certs]生成相關的各種證書
- [kubeconfig]生成相關的kubeconfig文件
- [control-plane]使用/etc/kubernetes/manifests目錄中的yaml文件創建apiserver、controller-manager、scheduler的靜態pod
- [bootstraptoken]生成token記錄下來,后邊使用kubeadm join往集群中添加節點時會用到
- 下面的命令是配置常規用戶如何使用kubectl訪問集群:
-
mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config
- 最后給出了將節點加入集群的命令kubeadm join 192.168.100.11:6443 --token 8msx9w.mi6nrzcqn48p6o0u \
--discovery-token-ca-cert-hash sha256:83a6b4e2ddc275858564ab3a4bea7d72eb3ede6cf5ec40db87dabb39ba1a2d87
查看一下集群狀態,確認個組件都處於healthy狀態:
集群初始化如果遇到問題,可以使用下面的命令進行清理:
kubeadm reset ifconfig cni0 down ip link delete cni0 ifconfig flannel.1 down ip link delete flannel.1 rm -rf /var/lib/cni/
2.3 安裝Pod Network
接下來安裝flannel network add-on:
curl -O https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml kubectl apply -f kube-flannel.yml
這里注意kube-flannel.yml這個文件里的flannel的鏡像是0.11.0,quay.io/coreos/flannel:v0.11.0-amd64
如果Node有多個網卡的話,參考flannel issues 39701,目前需要在kube-flannel.yml中使用–iface參數指定集群主機內網網卡的名稱,否則可能會出現dns無法解析。需要將kube-flannel.yml下載到本地,flanneld啟動參數加上–iface=<iface-name>
使用kubectl get pod --all-namespaces=true -o wide 或者 kubectl get pod -n kube-system 確保所有的Pod都處於Running狀態。
2.4 測試集群DNS是否可用
kubectl run curl --image=radial/busyboxplus:curl -it kubectl run --generator=deployment/apps.v1beta1 is DEPRECATED and will be removed in a future version. Use kubectl create instead. If you don't see a command prompt, try pressing enter. [ root@curl-5cc7b478b6-r997p:/ ]$
進入后執行nslookup kubernetes.default確認解析正常:
nslookup kubernetes.default Server: 10.96.0.10 Address 1: 10.96.0.10 kube-dns.kube-system.svc.cluster.local Name: kubernetes.default Address 1: 10.96.0.1 kubernetes.default.svc.cluster.local
2.5 向Kubernetes集群中添加Node節點
下面將node2這個主機添加到Kubernetes集群中,在node2上執行:
node2加入集群很是順利,下面在master節點上執行命令查看集群中的節點:
kubectl get node NAME STATUS ROLES AGE VERSION k8s-master Ready master 12m v1.15.3 k8s-node Ready <none> 3m1s v1.15.3
2.5.1 如何從集群中移除Node
如果需要從集群中移除node2這個Node執行下面的命令:
在master節點上執行:
kubectl drain k8s-node --delete-local-data --force --ignore-daemonsets
kubectl delete node k8s-node
在node2上執行:
kubeadm reset ifconfig cni0 down ip link delete cni0 ifconfig flannel.1 down ip link delete flannel.1 rm -rf /var/lib/cni/
在node1上執行:
kubectl delete node node2
2.6 kube-proxy開啟ipvs
修改ConfigMap的kube-system/kube-proxy中的config.conf,mode: “ipvs”
之后重啟各個節點上的kube-proxy pod:
kubectl get pod -n kube-system | grep kube-proxy | awk '{system("kubectl delete pod "$1" -n kube-system")}' [root@k8s-master ~]# kubectl get pod -n kube-system | grep kube-proxy kube-proxy-f9rnj 1/1 Running 0 39s kube-proxy-q6hks 1/1 Running 0 44s [root@k8s-master ~]# kubectl logs kube-proxy-f9rnj -n kube-system I0822 09:49:35.870937 1 server_others.go:170] Using ipvs Proxier. W0822 09:49:35.871397 1 proxier.go:401] IPVS scheduler not specified, use rr by default I0822 09:49:35.872146 1 server.go:534] Version: v1.15.3
日志中打印出了Using ipvs Proxier,說明ipvs模式已經開啟。
3.Kubernetes常用組件部署
越來越多的公司和團隊開始使用Helm這個Kubernetes的包管理器,這里也將使用Helm安裝Kubernetes的常用組件。
3.1 Helm的安裝
Helm由客戶端命helm令行工具和服務端tiller組成,Helm的安裝十分簡單。 下載helm命令行工具到master節點node1的/usr/local/bin下,這里下載的2.14.1版本:
curl -O https://get.helm.sh/helm-v2.14.1-linux-amd64.tar.gz tar -zxvf helm-v2.14.1-linux-amd64.tar.gz cd linux-amd64/ cp helm /usr/local/bin/
為了安裝服務端tiller,還需要在這台機器上配置好kubectl工具和kubeconfig文件,確保kubectl工具可以在這台機器上訪問apiserver且正常使用。 這里的node1節點已經配置好了kubectl。
因為Kubernetes APIServer開啟了RBAC訪問控制,所以需要創建tiller使用的service account: tiller並分配合適的角色給它。 詳細內容可以查看helm文檔中的Role-based Access Control。 這里簡單起見直接分配cluster-admin這個集群內置的ClusterRole給它。創建helm-rbac.yaml文件:
接下來使用helm部署tiller:
tiller默認被部署在k8s集群中的kube-system這個namespace下:
注意由於某些原因需要網絡可以訪問gcr.io和kubernetes-charts.storage.googleapis.com,如果無法訪問可以通過helm init –service-account tiller –tiller-image <your-docker-registry>/tiller:v2.13.1 –skip-refresh使用私有鏡像倉庫中的tiller鏡像
最后在k8s-master上修改helm chart倉庫的地址為azure提供的鏡像地址:
3.2 使用Helm部署Nginx Ingress
為了便於將集群中的服務暴露到集群外部,需要使用Ingress。接下來使用Helm將Nginx Ingress部署到Kubernetes上。 Nginx Ingress Controller被部署在Kubernetes的邊緣節點上,關於Kubernetes邊緣節點的高可用相關的內容可以查看之前整理的Bare metal環境下Kubernetes Ingress邊緣節點的高可用,Ingress Controller使用hostNetwork。
我們將k8s-node(192.168.100.11)做為邊緣節點,打上Label:
kubectl label node k8s-master node-role.kubernetes.io/edge= #kubectl label node k8s-master node-role.kubernetes.io/edge- #減號表示刪除 kubectl get node
stable/nginx-ingress chart的值文件ingress-nginx.yaml如下:
controller: replicaCount: 1 hostNetwork: true nodeSelector: node-role.kubernetes.io/edge: '' affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - nginx-ingress - key: component operator: In values: - controller topologyKey: kubernetes.io/hostname tolerations: - key: node-role.kubernetes.io/master operator: Exists effect: NoSchedule - key: node-role.kubernetes.io/master operator: Exists effect: PreferNoSchedule defaultBackend: nodeSelector: node-role.kubernetes.io/edge: '' tolerations: - key: node-role.kubernetes.io/master operator: Exists effect: NoSchedule - key: node-role.kubernetes.io/master operator: Exists effect: PreferNoSchedule
nginx ingress controller的副本數replicaCount為1,將被調度到node1這個邊緣節點上。這里並沒有指定nginx ingress controller service的externalIPs,而是通過hostNetwork: true設置nginx ingress controller使用宿主機網絡。
helm repo update helm install stable/nginx-ingress -n nginx-ingress --namespace ingress-nginx -f ingress-nginx.yaml kubectl get pod -n ingress-nginx -o wide
如果訪問http://192.168.100.11返回default backend,則部署完成。
3.3 使用Helm部署dashboard
kubernetes-dashboard.yaml:
image: repository: k8s.gcr.io/kubernetes-dashboard-amd64 tag: v1.10.1 ingress: enabled: true hosts: - k8s.frognew.com annotations: nginx.ingress.kubernetes.io/ssl-redirect: "true" nginx.ingress.kubernetes.io/backend-protocol: "HTTPS" tls: - secretName: frognew-com-tls-secret hosts: - k8s.frognew.com nodeSelector: node-role.kubernetes.io/edge: '' tolerations: - key: node-role.kubernetes.io/master operator: Exists effect: NoSchedule - key: node-role.kubernetes.io/master operator: Exists effect: PreferNoSchedule rbac: clusterAdminRole: true
安裝
helm install stable/kubernetes-dashboard -n kubernetes-dashboard --namespace kube-system -f kubernetes-dashboard.yaml kubectl -n kube-system get secret | grep kubernetes-dashboard-token kubectl describe -n kube-system secret/kubernetes-dashboard-token-xxx
在dashboard的登錄窗口使用上面的token登錄。
修改本機的hosts文件:192.168.100.11 k8s.frognew.com
3.4 使用Helm部署metrics-server
從Heapster的github https://github.com/kubernetes/heapster中可以看到已經,heapster已經DEPRECATED。 這里是heapster的deprecation timeline。 可以看出heapster從Kubernetes 1.12開始從Kubernetes各種安裝腳本中移除。
Kubernetes推薦使用metrics-server。我們這里也使用helm來部署metrics-server。
metrics-server.yaml:
args: - --logtostderr - --kubelet-insecure-tls - --kubelet-preferred-address-types=InternalIP nodeSelector: node-role.kubernetes.io/edge: '' tolerations: - key: node-role.kubernetes.io/master operator: Exists effect: NoSchedule - key: node-role.kubernetes.io/master operator: Exists effect: PreferNoSchedule
使用下面的命令可以獲取到關於集群節點基本的指標信息:
遺憾的是,當前Kubernetes Dashboard還不支持metrics-server。因此如果使用metrics-server替代了heapster,將無法在dashboard中以圖形展示Pod的內存和CPU情況(實際上這也不是很重要,當前我們是在Prometheus和Grafana中定制的Kubernetes集群中各個Pod的監控,因此在dashboard中查看Pod內存和CPU也不是很重要)。 Dashboard的github上有很多這方面的討論,如https://github.com/kubernetes/dashboard/issues/2986,Dashboard已經准備在將來的某個時間點支持metrics-server。但由於metrics-server和metrics pipeline肯定是Kubernetes在monitor方面未來的方向,所以推薦使用metrics-server。