2. 程式人生 > >kubernetes部署 kube-apiserver服務

kubernetes部署 kube-apiserver服務

阿新 發佈:2018-10-09
參數 onf notify audit add 步驟 address daemon bec

kubernetes部署 kube-apiserver 組件

本文檔講解使用 keepalived 和 haproxy 部署一個 3 節點高可用 master 集群的步驟。

kube-apiserver 集群各節點的名稱和 IP 如下:

kube-node0:192.168.111.10
kube-node1:192.168.111.11
kube-node2:192.168.111.12

創建 kubernetes 證書和私鑰
其中會用到上面的三個主機IP,一個vip(192.168.111.9),這些都是kube-apiserver的對外提供服務的IP,還有就是kubernetes本身會創建一個service,它的IP是我們在啟動kube-apiserver是定義的--service-cluster-ip-range 參數指定的IP地址段(10.254.0.0/24,)的第一個IP地址,後續可以通過kubectl get svc kubernetes命令獲取。

cat > kubernetes-csr.json <<EOF
{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "192.168.111.9",
    "192.168.111.10",
    "192.168.111.11",
    "192.168.111.12",
    "10.254.0.1",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster
 
",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ChongQing",
      "L": "ChongQing",
      "O": "k8s",
      "OU": "yunwei"
    }
  ]
}
EOF

生成認證文件:

cfssl gencert -ca=/etc/kubernetes/ca/ca.pem   -ca-key=/etc/kubernetes/ca/ca-key.pem   
 
-config=/etc/kubernetes/ca/ca-config.json   -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes

將生成的證書和私鑰文件拷貝到其他kube-apiserver節點
# scp /etc/kubernetes/ca/kubernetes* 192.168.111.11:/etc/kubernetes/ca/
# scp /etc/kubernetes/ca/kubernetes* 192.168.111.12:/etc/kubernetes/ca/

生成token認證文件

#生成隨機token
# head -c 16 /dev/urandom | od -An -t x | tr -d ‘ ‘
8afdf3c4eb7c74018452423c29433609

#按照固定格式寫入token.csv,註意替換token內容
# echo "8afdf3c4eb7c74018452423c29433609,kubelet-bootstrap,10001,\"system:kubelet-bootstrap\"" > /etc/kubernetes/ca/token.csv
kube-apiserver的配置文件,三臺一樣(配置文件中將127.0.0.1的非https的api開放,在kube-scheduler服務和kube-controller-manager服務就可以不用認證授權了。):

cat > /lib/systemd/system/kube-apiserver.service <<EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target
[Service]
ExecStart=/usr/local/bin/kube-apiserver   --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota,NodeRestriction   --insecure-bind-address=127.0.0.1   --kubelet-https=true   --bind-address=192.168.111.12   --authorization-mode=Node,RBAC   --runtime-config=api/all   --enable-bootstrap-token-auth   --token-auth-file=/etc/kubernetes/ca/token.csv   --tls-cert-file=/etc/kubernetes/ca/kubernetes.pem   --tls-private-key-file=/etc/kubernetes/ca/kubernetes-key.pem   --client-ca-file=/etc/kubernetes/ca/ca.pem   --service-account-key-file=/etc/kubernetes/ca/ca-key.pem   --etcd-cafile=/etc/kubernetes/ca/ca.pem   --etcd-certfile=/etc/kubernetes/ca/kubernetes.pem   --etcd-keyfile=/etc/kubernetes/ca/kubernetes-key.pem   --service-cluster-ip-range=10.254.0.0/16   --etcd-servers=https://192.168.111.10:2379,https://192.168.111.11:2379,https://192.168.111.12:2379 \
  --enable-swagger-ui=true   --allow-privileged=true   --audit-log-maxage=30   --audit-log-maxbackup=3   --audit-log-maxsize=100   --audit-log-path=/var/lib/audit.log   --v=2
Restart=on-failure
RestartSec=5
Type=notify
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload && for SERVICES in kube-apiserver;do systemctl enable $SERVICES; systemctl restart $SERVICES; systemctl status $SERVICES; done

打印 kube-apiserver 寫入 etcd 的數據

ETCDCTL_API=3 etcdctl --endpoints=https://192.168.111.10:2379,https://192.168.111.11:2379,https://192.168.111.12:2379 \
--cacert=/etc/kubernetes/ca/ca.pem --cert=/etc/kubernetes/ca/etcd.pem --key=/etc/kubernetes/ca/etcd-key.pem get /registry/ --prefix --keys-only

部署 kubectl 命令行工具

cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ChongQing",
      "L": "ChongQing",
      "O": "system:masters",
      "OU": "yunwei"
    }
  ]
}
EOF

生成認證文件:

cfssl gencert -ca=/etc/kubernetes/ca/ca.pem   -ca-key=/etc/kubernetes/ca/ca-key.pem   -config=/etc/kubernetes/ca/ca-config.json   -profile=kubernetes admin-csr.json | cfssljson -bare admin

生成kubectl的config文件(可以三臺都執行一遍,也可以一臺執行後復制過去):

kubectl config set-cluster kubernetes   --certificate-authority=/etc/kubernetes/ca/ca.pem   --embed-certs=true   --server=https://192.168.111.9:8443 
kubectl config set-credentials admin   --client-certificate=/etc/kubernetes/ca/admin.pem   --client-key=/etc/kubernetes/ca/admin-key.pem   --embed-certs=true 
kubectl config set-context kubernetes   --cluster=kubernetes   --user=admin 
kubectl config use-context kubernetes

mkdir -p ~/.kube

scp ~/.kube/config 192.168.111.11:~/.kube/config
scp ~/.kube/config 192.168.111.12:~/.kube/config

檢查集群信息(任意一臺)

# kubectl cluster-info
Kubernetes master is running at https://192.168.111.9:8443

To further debug and diagnose cluster problems, use kubectl cluster-info dump.
# kubectl get all --all-namespaces
NAMESPACE   NAME                 TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
default     service/kubernetes   ClusterIP   10.254.0.1   <none>        443/TCP   34d
# kubectl get componentstatuses
NAME                 STATUS      MESSAGE                                                                                     ERROR
scheduler            Unhealthy   Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: connect: connection refused   
controller-manager   Unhealthy   Get http://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: connect: connection refused   
etcd-2               Healthy     {"health": "true"}                                                                          
etcd-0               Healthy     {"health": "true"}                                                                          
etcd-1               Healthy     {"health": "true"}

檢查 kube-apiserver 監聽的端口
6443: 接收 https 請求的安全端口,對所有請求做認證和授權

# ss -netstat -lnpt|grep kube
LISTEN     0      128    192.168.111.12:6443                     *:*                   users:(("kube-apiserver",pid=878,fd=3)) timer:(keepalive,031ms,0) ino:23491 sk:ffff880078d34d80 <->
LISTEN     0      128    127.0.0.1:8080                     *:*                   users:(("kube-apiserver",pid=4168,fd=68)) ino:35479 sk:ffff88002391ec80 <->

kubernetes部署 kube-apiserver服務

相關推薦

kubernetes部署 kube-apiserver服務

參數 onf notify audit add 步驟 address daemon bec kubernetes部署 kube-apiserver 組件 本文檔講解使用 keepalived 和 haproxy 部署一個 3 節點高可用 master 集群的步驟。 kube

kubernetes部署kube-scheduler服務

scp sch names 訪問 emd sta sys form unit 同樣的分非認證授權和認證授權: 非認證授權: cat > /lib/systemd/system/kube-scheduler.service <<EOF [Unit] Des

009.Kubernetes二進位制部署kube-apiserver

一 部署master節點 1.1 master節點服務 kubernetes master 節點執行如下元件: kube-apiserver kube-scheduler kube-controller-manager kube-nginx kube-apiserver、kube-scheduler 和

部署kube-apiserver

1. 建立kube-apiserver證書1)建立kube-apiserver證書籤名請求# api-server啟用雙向TLS認證 [[email protected] ~]# mkdir -p /etc/kubernetes/apiserver [[email&

使用kubeadm部署k8s集群03-擴容kube-apiserver到3節點

sage back exp issue 重新 man ble sub 證書 使用kubeadm部署k8s集群03-擴容kube-apiserver到3節點 2018/1/3 擴容 kube-apiserver 到 3 節點 配置 kube-apiserver.yaml 分

使用kubeadm部署k8s集群04-配置kubelet訪問kube-apiserver

apiserver let -s system users sed net -i sys 使用kubeadm部署k8s集群04-配置kubelet訪問kube-apiserver 2018/1/4 配置 kubelet 訪問 kube-apiserver 切換 maste

部署k8s ssl集群實踐6:配置高可用kube-apiserver組件ha+keepalived

ops oba alived service 文章 system 兩個 ace 什麽 參考文檔:https://github.com/opsnull/follow-me-install-kubernetes-cluster感謝作者的無私分享。集群環境已搭建成功跑起來。文章是

kubernetes/k8s原始碼分析】kube-apiserver的go-restful框架使用

go-restful框架     github: https://github.com/emicklei/go-restful 三個重要資料結構   1. 初始化   路徑pkg/kubelet/kubelet.go中函式Ne

二進位制安裝kubernetes v1.11.2 (瀏覽器訪問 kube-apiserver 安全埠)

參考: https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/A.%E6%B5%8F%E8%A7%88%E5%99%A8%E8%AE%BF%E9%97%AEkube-apiserver%E5%AE%89%E5%

二進制安裝kubernetes v1.11.2 (瀏覽器訪問 kube-apiserver 安全端口)

dashboard verify image 命令行工具 將他 export 授權 apiserver blob 參考: https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/

如何更高效的通過 Intellij IDEA 將應用部署到容器服務 Kubernetes

前言 在之前的一篇文章中,我們介紹了 如何將一個本地的 Java 應用程式直接部署到阿里雲 ECS ,有不少讀者反饋,如果目前已經在使用阿里雲容器服務 Kubernetes 了,那該如何配合這個外掛部署應用呢?在本文中,我們來介紹 部署應用程式到阿里雲容器服務 Kubernetes 。 關於容器服務

如何在 Intellij IDEA 更高效地將應用部署到容器服務 Kubernetes

前言 在之前的一篇文章中,我們介紹了 如何將一個本地的 Java 應用程式直接部署到阿里雲 ECS ,有不少讀者反饋,如果目前已經在使用阿里雲容器服務 Kubernetes 了,那該如何配合這個外掛部署應用呢?在本文中,我們來介紹 部署應用程式到阿里雲容器服務 Kubernetes

Kubernetes安裝配置與服務部署

修改/etc/kubernetes/apiserver KUBE_API_ADDRESS="--insecure-bind-address=0.0.0.0" KUBE_ETCD_SERVERS="--etcd-servers=http://etcd:2379" KUBE_ADMISSION_CONTROL="

Kubernetes上進行微服務部署

大多數人在生產環境中執行Docker,是把它作為構建和移動部署配置的一種方式。然而,他們的部署模型要麼非常整體化,要麼有幾個大的服務模組組成。使用真實的容器化微服務最大的障礙在於,很多人不太清楚如何管理和協調容器大規模負載。今天我們將探討如何基於微服務部署來構建

kubernetes 從v1.7.6升級到v1.11.2版本--kube-apiserver錯誤分析

錯誤日誌 [[email protected]47-35 ~]# kubectl logs -f kube-apiserver-master-47-34 -n kube-system ... E0912 06:36:05.215312

010.Kubernetes二進位制部署kube-controller-manager

一 部署高可用kube-controller-manager 1.1 高可用kube-controller-manager介紹 本實驗部署一個三例項 kube-controller-manager 的叢集,啟動後將通過競爭選舉機制產生一個 leader 節點,其它節點為阻塞狀態。當 leader 節點不可用時

Django項目部署到Apache服務

文件中 global enable sin sys 生產 man rtu included 本文講述的是在阿裏雲服務器(ECS)上部署Django項目於Apache,服務器操作系統為ubuntu,公網Ip地址為123.56.30.151。 將Django部署到Apache服

nginx部署文件服務

node clu bsp main time 文件大小 索引 服務器 ica 1、安裝nginx yum install -y nginx 2、配置nginx 主配置文件: user nginx;worker_processes auto;error_log /var/lo

在 eclipse 中將 web 項目部署到 tomcat 服務器上

pan 找不到 ren 項目部署 安裝目錄 -s fin 服務 ont 1、在 eclipse 中,選擇 Window--->Preferences--->Server--->Runtime Environments,選擇 Add 按鈕    2、

kubernetes部署之創建TLS證書(2)

efault control sage 啟用 簽名證書 sched amd .json 進行 研究過kubernetes的同事們都知道,kubernetes如果需要啟用TLS認證,那麽制作證書是必不可少的一步。然而,很多人在制作證書上遇到了很多的麻煩。今天主要記錄一次我在部