1.服務器要求:
建議最小硬件配置:2核/2G/20G
網絡需求:最好能訪問外網,需要拉取一些必要的鏡像;若沒有網絡條件,需要提前導入必要的鏡像
2.kubeadm常用工具功能:
•kubeadm init:初始化一個Master節點
•kubeadm join:將工作節點加入集群
•kubeadm upgrade:升級K8s版本
•kubeadm token:管理 kubeadm join 使用的令牌
•kubeadm reset:清空 kubeadm init 或者 kubeadm join 對主機所做的任何更改
•kubeadm version:打印 kubeadm 版本
•kubeadm alpha:預覽可用的新功能
3.k8s架構圖:
Master組件 kube-apiserver:集群的統一入口,各組件協調者,以RESTful API提供接口服務,所有對象資源的增刪改查和監聽操作都交給APIServer處理后再提交給Etcd存儲。 kube-controller-manager:處理集群中常規后台任務,一個資源對應一個控制器,而ControllerManager就是負責管理這些控制器的。 kube-scheduler:根據調度算法為新創建的Pod選擇一個Node節點,可以任意部署,可以部署在同一個節點上,也可以部署在不同的節點上。 etcd:分布式鍵值存儲系統。用於保存集群狀態數據,比如Pod、Service等對象信息。 Node組件 kubelet:是Master在Node節點上的Agent,管理本機運行容器的生命周期,比如創建容器、Pod掛載數據卷、下載secret、獲取容器和節點狀態等工作。kubelet將每個Pod轉換成一組容器。 kube-proxy:在Node節點上實現Pod網絡代理,維護網絡規則和四層負載均衡工作。 docker或rocket:容器引擎,運行容器。
4.操作系統初始化配置:
# 關閉防火牆 systemctl stop firewalld systemctl status firewalld systemctl disable firewalld # 關閉selinux sed -i 's/enforcing/disabled/' /etc/selinux/config # 永久 setenforce 0 # 臨時 # 關閉swap swapoff -a # 臨時 sed -ri 's/.*swap.*/#&/' /etc/fstab # 永久 # 根據規划設置主機名【主機名不能用下划線】 hostnamectl set-hostname <hostname> # 在master添加hosts cat >> /etc/hosts << EOF 10.200.202.156 k8s-master1 10.200.202.106 k8s-node1 10.200.202.87 k8s-node2 EOF # 將橋接的IPv4流量傳遞到iptables的鏈 cat > /etc/sysctl.d/k8s.conf << EOF net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 EOF sysctl --system # 生效 # 時間同步 yum install ntpdate -y ntpdate time.windows.com
5.安裝docker及配置,參考:https://www.cnblogs.com/chenjw-note/p/15091668.html
6.配置阿里雲YUM軟件源:
cat > /etc/yum.repos.d/kubernetes.repo << EOF [kubernetes] name=Kubernetes baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64 enabled=1 gpgcheck=0 repo_gpgcheck=0 gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg EOF
7.安裝kubeadm,kubelet,kubectl【在所有節點安裝】
yum install -y kubelet-1.21.0 kubeadm-1.21.0 kubectl-1.21.0
設置開機啟動kubelet:systemctl enable kubelet
8.部署Kubernetes Master,執行 kubeadm init【在master上執行】
kubeadm init \ --apiserver-advertise-address=10.200.202.156 \ --image-repository registry.aliyuncs.com/google_containers \ --kubernetes-version v1.21.0 \ --service-cidr=10.96.0.0/12 \ --pod-network-cidr=10.244.0.0/16 \ --ignore-preflight-errors=all
參數解析: •--apiserver-advertise-address 集群通告地址【master地址】 •--image-repository 由於默認拉取鏡像地址k8s.gcr.io國內無法訪問,這里指定阿里雲鏡像倉庫地址 •--kubernetes-version K8s版本,與上面安裝的一致 •--service-cidr 集群內部虛擬網絡,Pod統一訪問入口 •--pod-network-cidr Pod網絡,,與下面部署的CNI網絡組件yaml中保持一致
或者使用配置文件引導:vi kubeadm.conf
apiVersion: kubeadm.k8s.io/v1beta2 kind: ClusterConfiguration kubernetesVersion: v1.21.0 imageRepository: registry.aliyuncs.com/google_containers networking: podSubnet: 10.244.0.0/16 serviceSubnet: 10.96.0.0/12 kubeadm init --config kubeadm.conf --ignore-preflight-errors=all
初始化完成后,最后會輸出一個join命令,先記住,下面用。
拷貝kubectl使用的連接k8s認證文件到默認路徑:
mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config
查看工作節點:
kubectl get nodes
NAME STATUS ROLES AGE VERSION
k8s-master1 NotReady control-plane,master 25s v1.21.2
注:由於網絡插件還沒有部署,還沒有准備就緒 NotReady,參考資料:
https://kubernetes.io/zh/docs/reference/setup-tools/kubeadm/kubeadm-init/#config-file
https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/#initializing-your-control-plane-node
9.加入Kubernetes node節點到集群【在node節點上執行】
向集群添加新節點,執行在kubeadm init輸出的kubeadm join命令:
kubeadm join 10.200.202.156:6443 --token 2d02wf.num2k8xwfrc43sww --discovery-token-ca-cert-hash sha256:e948502f872d289a29215235fd50a7555e2fdcc30741d9137ede9ce954c2ae03
默認token有效期為24小時,當過期之后,該token就不可用了。這時就需要重新創建token,可以直接使用命令快捷生成:
kubeadm token create --print-join-command
參考資料:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-join/
10.部署容器網絡(CNI)
Calico是一個純三層的數據中心網絡方案,是目前Kubernetes主流的網絡方案。
下載YAML:wget https://docs.projectcalico.org/manifests/calico.yaml
calico用到的鏡像如下:
下載完后還需要修改里面定義Pod網絡(CALICO_IPV4POOL_CIDR),與前面kubeadm init的 --pod-network-cidr指定的一樣。修改完后文件后,部署:
kubectl apply -f calico.yaml
kubectl get pods -n kube-system
等Calico Pod都Running,節點也會准備就緒:
參考資料:https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/#pod-network
11.kubeadmv1.21會有CoreDNS問題,應該是鏡像名寫錯,這樣處理:
錯誤:kubectl get pods -n kube-system NAME READY STATUS RESTARTS AGE calico-kube-controllers-8db96c76-z7h5p 1/1 Running 0 16m calico-node-pshdd 1/1 Running 0 16m calico-node-vjwlg 1/1 Running 0 16m coredns-545d6fc579-5hd9x 0/1 ImagePullBackOff 0 16m coredns-545d6fc579-wdbsz 0/1 ImagePullBackOff 0 16m
解決: 在所有節點執行: docker pull registry.aliyuncs.com/google_containers/coredns:1.8.0 docker tag registry.aliyuncs.com/google_containers/coredns:1.8.0 registry.aliyuncs.com/google_containers/coredns/coredns:v1.8.0 過一會兒,CoreDNS Pod會自動恢復正常。
12.驗證Kubernetes集群,在Kubernetes集群中創建一個pod,驗證是否正常運行:
kubectl create deployment nginx --image=nginx kubectl expose deployment nginx --port=80 --type=NodePort kubectl get pod,svc -o wide
訪問測試:http://k8s-node1:30936 http://10.200.202.40:30936/
13.部署 Dashboard:
Dashboard是官方提供的一個UI,可用於基本管理K8s資源。 wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.3/aio/deploy/recommended.yaml mv recommended.yaml kubernetes-dashboard.yaml
默認Dashboard只能集群內部訪問,修改Service為NodePort類型,暴露到外部:
... kind: Service apiVersion: v1 metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard namespace: kubernetes-dashboard spec: ports: - port: 443 targetPort: 8443 nodePort: 30001 selector: k8s-app: kubernetes-dashboard type: NodePort ...
kubectl apply -f recommended.yaml
kubectl get pods -n kubernetes-dashboard
訪問地址:https://NodeIP:30001
14.創建service account並綁定默認cluster-admin管理員集群角色:
# 創建用戶 $ kubectl create serviceaccount dashboard-admin -n kube-system # 用戶授權 $ kubectl create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin # 獲取用戶Token $ kubectl describe secrets -n kube-system $(kubectl -n kube-system get secret | awk '/dashboard-admin/{print $1}')
# 使用輸出的token登錄Dashboard。