3、二進制安裝K8s之部署kube-apiserver

二進制安裝K8s之部署kube-apiserver

一、生成 kube-apiserver 證書

1、自簽證書頒發機構（CA）

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing",
            "O": "k8s",   
            "OU": "System"
        }
    ]
}
EOF

• 生成證書ca-key.pem 、 ca.pem：

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -


cp /data/docker/TSL/k8s/*.pem /data/k8s/ssl/

2、使用自簽CA簽發kube-apiserver HTTPS證書

#ip地址包含k8s集群所有ip，LBIP以及負載均衡的虛擬IP建議多寫
#文件hosts字段中IP為所有Master/LB/VIP IP，一個都不能少！為了方便后期擴容可以多寫幾個預留的IP。
cat > server-csr.json <<EOF
{
    "CN": "kubernetes",
    "hosts": [
      "127.0.0.1",
      "10.0.0.1",
      "192.168.100.170",
      "192.168.100.171",
      "192.168.100.172",
      "192.168.100.173",
      "192.168.100.174",
      "192.168.100.175",
      "192.168.100.176",
      "192.168.100.177",
      "192.168.100.178",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"

    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

• 生成證書：

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server


cp ./server*.pem /data/k8s/ssl/

二、下載k8s 二進制包

1、下載k8s

github 地址
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG

注：打開鏈接你會發現里面有很多包，下載一個server包就夠了，包含了Master和Worker Node二進制文件。

1、解壓

tar -zxvf kubernetes-server-linux-amd64.tar.gz
#復制二進制文件
cp kube-apiserver kube-controller-manager kube-scheduler kubelet kube-proxy /data/k8s/bin/
cp kubectl  /usr/local/bin/

2、部署kube-apiserver，創建配置文件

cat > /data/k8s/config/kube-apiserver.conf << EOF
KUBE_APISERVER_OPTS="--logtostderr=false \\
--v=2 \\
--log-dir=/data/k8s/logs \\
--etcd-servers=https://192.168.100.170:2379,https://192.168.100.171:2379,https://192.168.100.172:2379 \\
--bind-address=192.168.100.170 \\
--secure-port=6443 \\
--advertise-address=192.168.100.170 \\
--allow-privileged=true \\
--service-cluster-ip-range=10.0.0.0/24 \\
--enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,NodeRestriction \\
--authorization-mode=RBAC,Node \\
--enable-bootstrap-token-auth=true \\
--token-auth-file=/data/k8s/config/token.csv \\
--service-node-port-range=30000-32767 \\
--kubelet-client-certificate=/data/k8s/ssl/server.pem \\
--kubelet-client-key=/data/k8s/ssl/server-key.pem \\
--tls-cert-file=/data/k8s/ssl/server.pem  \\
--tls-private-key-file=/data/k8s/ssl/server-key.pem \\
--client-ca-file=/data/k8s/ssl/ca.pem \\
--service-account-key-file=/data/k8s/ssl/ca-key.pem \\
--service-account-issuer=api \\
--service-account-signing-key-file=/data/k8s/ssl/server-key.pem \\
--etcd-cafile=/data/etcd/ssl/ca.pem \\
--etcd-certfile=/data/etcd/ssl/server.pem \\
--etcd-keyfile=/data/etcd/ssl/server-key.pem \\
--requestheader-allowed-names=kubernetes \\
--requestheader-extra-headers-prefix=X-Remote-Extra- \\
--requestheader-group-headers=X-Remote-Group \\
--requestheader-username-headers=X-Remote-User \\
--proxy-client-cert-file=/data/k8s/ssl/server.pem \\
--proxy-client-key-file=/data/k8s/ssl/server-key.pem \\
--audit-log-maxage=30 \\
--audit-log-maxbackup=3 \\
--audit-log-maxsize=100 \\
--audit-log-path=/data/k8s/logs/k8s-audit.log"
EOF

注：上面兩個\ \ 第一個是轉義符，第二個是換行符，使用轉義符是為了使用EOF保留換行符。

• –logtostderr：啟用日志
• —v：日志等級
• –log-dir：日志目錄
• –etcd-servers：etcd集群地址
• –bind-address：監聽地址
• –secure-port：https安全端口
• –advertise-address：集群通告地址
• –allow-privileged：啟用授權
• –service-cluster-ip-range：Service虛擬IP地址段
• –enable-admission-plugins：准入控制模塊
• –authorization-mode：認證授權，啟用RBAC授權和節點自管理
• –enable-bootstrap-token-auth：啟用TLS bootstrap機制
• –token-auth-file：bootstrap token文件
• –service-node-port-range：Service nodeport類型默認分配端口范圍
• –kubelet-client-xxx：apiserver訪問kubelet客戶端證書
• –tls-xxx-file：apiserver https證書
• –etcd-xxxfile：連接Etcd集群證書
• –audit-log-xxx：審計日志

4、啟用 TLS Bootstrapping 機制
TLS Bootstraping：Master apiserver啟用TLS認證后，Node節點kubelet和kube-proxy要與kube-apiserver進行通信，必須使用CA簽發的有效證書才可以，當Node節點很多時，這種客戶端證書頒發需要大量工作，同樣也會增加集群擴展復雜度。為了簡化流程，Kubernetes引入了TLS bootstraping機制來自動頒發客戶端證書，kubelet會以一個低權限用戶自動向apiserver申請證書，kubelet的證書由apiserver動態簽署。所以強烈建議在Node上使用這種方式，目前主要用於kubelet，kube-proxy還是由我們統一頒發一個證書。
TLS bootstraping 工作流程：

創建上述配置文件中token文件：

• 生成隨機token
  格式：token，用戶名，UID，用戶組

head -c 16 /dev/urandom | od -An -t x | tr -d ' '
a752d78ab37a51fa7c38ad94346317ac

• 創建上述配置文件中token文件：
  下面文件中的token，替換成上面生成的token

cat >/data/k8s/config/token.csv << EOF
a752d78ab37a51fa7c38ad94346317ac,kubelet-bootstrap,10001,"system:node-bootstrapper"
EOF

5、systemd管理apiserver
注意修改里面的路徑比如：kube-apiserver.conf 文件路徑

cat > /usr/lib/systemd/system/kube-apiserver.service << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
[Service]
EnvironmentFile=/data/k8s/config/kube-apiserver.conf
ExecStart=/data/k8s/bin/kube-apiserver \$KUBE_APISERVER_OPTS
Restart=on-failure
[Install]
WantedBy=multi-user.target
EOF

6、啟動並設置開機啟動

systemctl daemon-reload
systemctl start kube-apiserver
systemctl enable kube-apiserver