K8S部署步驟:8-部署Master節點
阿新 • • 發佈:2019-02-19
kubernetes master節點包含的元件:
- etcd
- flannel
- docker
- kube-apiserver
- kube-scheduler
- kube-controller-manager
目前這三個元件需要部署在同一臺機器上:
- kube-scheduler、kube-controller-manager和kube-apiserver三者的功能緊密相關;
- 同時只能有一個kube-scheduler、kube-controller-manager程序處於工作狀態,如果執行多個,則需要通過選舉產生一個leader;
- 本文件介紹部署單kubernetes master節點的步驟,沒有實現高可用master叢集。
匯入環境變數
$ source /root/local/bin/environment.sh下載二進位制檔案
從CHANGELOG頁面下載server tarball檔案
$ wget https://dl.k8s.io/v1.10.0/kubernetes-server-linux-amd64.tar.gz
$ tar -xzvf kubernetes-server-linux-amd64.tar.gz
$ sudo cp -r kubernetes/server/bin/{kube-apiserver,kube-controller-manager,kube-scheduler,kubectl} /root/local 建立 admin 證書
kubectl 與 kube-apiserver 的安全埠通訊,需要為安全通訊提供 TLS 證書和祕鑰。
建立 admin 證書籤名請求
$ cat admin-csr.json
{
"CN": "admin",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "system:masters" - 後續 kube-apiserver 使用 RBAC 對客戶端(如 kubelet、kube-proxy、Pod)請求進行授權;
- kube-apiserver 預定義了一些 RBAC 使用的 RoleBindings,如 cluster-admin 將 Group system:masters 與 Role cluster-admin 繫結,該 Role 授予了呼叫kube-apiserver 所有 API的許可權;
- O 指定該證書的 Group 為 system:masters,kubelet 使用該證書訪問 kube-apiserver 時 ,由於證書被 CA 簽名,所以認證通過,同時由於證書使用者組為經過預授權的 system:masters,所以被授予訪問所有 API 的許可權;
- hosts 屬性值為空列表;
生成 admin 證書和私鑰:
cfssl gencert -ca=/etc/kubernetes/ssl/ca.pem \
-ca-key=/etc/kubernetes/ssl/ca-key.pem \
-config=/etc/kubernetes/ssl/ca-config.json \
-profile=kubernetes admin-csr.json | cfssljson -bare admin
$ ls admin*
admin.csr admin-csr.json admin-key.pem admin.pem
$ sudo mv admin*.pem /etc/kubernetes/ssl/
$ rm admin.csr admin-csr.json建立 kubectl kubeconfig 檔案
$ # 設定叢集引數
$ kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER}
$ # 設定客戶端認證引數
$ kubectl config set-credentials admin \
--client-certificate=/etc/kubernetes/ssl/admin.pem \
--embed-certs=true \
--client-key=/etc/kubernetes/ssl/admin-key.pem
$ # 設定上下文引數
$ kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=admin
$ # 設定預設上下文
$ kubectl config use-context kubernetes- admin.pem 證書 O 欄位值為 system:masters,kube-apiserver 預定義的 RoleBinding cluster-admin 將 Group system:masters 與 Role cluster-admin 繫結,該 Role 授予了呼叫kube-apiserver 相關 API 的許可權;
- 生成的 kubeconfig 被儲存到 ~/.kube/config 檔案;
分發 kubeconfig 檔案
將 ~/.kube/config 檔案拷貝到執行 kubelet 命令的機器的 ~/.kube/ 目錄下。
建立kubernetes證書
建立kubernetes證書籤名請求
$ cat > kubernetes-csr.json << EOF
{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"${MASTER_IP}",
"${CLUSTER_KUBERNETES_SVC_IP}",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
EOF- 如果hosts欄位不為空則需要指定授權使用該證書的IP或域名列表,所以上面分別指定了當前部署的master節點主機IP和域名;
- 還需要新增kube-apiserver註冊的名為kubernetes的服務IP (Service Cluster IP),一般是kube-apiserver –service-cluster-ip-range選項值指定的網段的第一個IP,如10.254.0.1;
生成kubernetes證書和私鑰
$ cfssl gencert -ca=/etc/kubernetes/ssl/ca.pem \
-ca-key=/etc/kubernetes/ssl/ca-key.pem \
-config=/etc/kubernetes/ssl/ca-config.json \
-profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
$ ls kubernetes*
# kubernetes.csr kubernetes-csr.json kubernetes-key.pem kubernetes.pem
$ sudo mkdir -p /etc/kubernetes/ssl/
$ sudo mv kubernetes*.pem /etc/kubernetes/ssl/
$ sudo rm -rf kubernetes.csr kubernetes-csr.json配置和啟動kube-apiserver
建立kube-apiserver使用的客戶端token檔案
kubelet首次啟動時會向kube-apiserver傳送TLS Bootstrapping請求,kube-apiserver驗證kubelet請求中的token是否與它配置的token.csv一致,如果一致則自動為kubelet生成證書和祕鑰。
# 匯入的environment.sh檔案定義的BOOTSTRAP_TOKEN變數
$ cat > token.csv << EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF
$ mv token.csv /etc/kubernetes/建立kube-apiserver的systemd unit檔案
$ cat > kube-apiserver.service << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target
[Service]
ExecStart=/root/local/bin/kube-apiserver \\
--admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \\
--advertise-address=${MASTER_IP} \\
--bind-address=${MASTER_IP} \\
--insecure-bind-address=${MASTER_IP} \\
--authorization-mode=Node,RBAC \\
--runtime-config=rbac.authorization.k8s.io/v1 \\
--kubelet-https=true \\
--enable-bootstrap-token-auth \\
--token-auth-file=/etc/kubernetes/token.csv \\
--service-cluster-ip-range=${SERVICE_CIDR} \\
--service-node-port-range=${NODE_PORT_RANGE} \\
--tls-cert-file=/etc/kubernetes/ssl/kubernetes.pem \\
--tls-private-key-file=/etc/kubernetes/ssl/kubernetes-key.pem \\
--client-ca-file=/etc/kubernetes/ssl/ca.pem \\
--service-account-key-file=/etc/kubernetes/ssl/ca-key.pem \\
--etcd-cafile=/etc/kubernetes/ssl/ca.pem \\
--etcd-certfile=/etc/kubernetes/ssl/kubernetes.pem \\
--etcd-keyfile=/etc/kubernetes/ssl/kubernetes-key.pem \\
--etcd-servers=${ETCD_ENDPOINTS} \\
--enable-swagger-ui=true \\
--allow-privileged=true \\
--apiserver-count=3 \\
--audit-log-maxage=30 \\
--audit-log-maxbackup=3 \\
--audit-log-maxsize=100 \\
--audit-log-path=/var/lib/audit.log \\
--event-ttl=1h \\
--v=2
Restart=on-failure
RestartSec=5
Type=notify
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
EOF- kube-apiserver 1.6版本開始使用etcd v3 API和儲存格式;
- –authorization-mode=RBAC指定在安全埠使用RBAC授權模式,拒絕未通過授權的請求;
- kube-scheduler、kube-controller-manager一般和kube-apiserver部署在同一臺Master機器上,它們使用非安全埠和kube-apiserver通訊;
- kubelet、kube-proxy部署在其它Node節點上,如果通過安全埠訪問kube-apiserver,則必須先通過TLS證書認證,再通過RBAC授權;
- kube-proxy、kubectl通過在使用的證書裡指定相關的User、Group來達到通過RBAC 授權的目的;
- 如果使用了kubelet TLS Boostrap機制,則不能再指定–kubelet-certificate-authority、–kubelet-client-certificate和–kubelet-client-key選項,否則後續kube-apiserver校驗kubelet證書時出現x509: certificate signed by unknown authority錯誤;
- –admission-control值必須包含ServiceAccount,否則部署叢集外掛時會失敗;
- –bind-address不能為127.0.0.1;
- –service-cluster-ip-range指定Service Cluster IP地址段,該地址段不能路由可達;
- –service-node-port-range=${NODE_PORT_RANGE}指定NodePort的埠範圍;
- 預設情況下kubernetes物件儲存在etcd /registry 路徑下,可以通過–etcd-prefix引數進行調整;
啟動kube-apiserver
$ sudo cp kube-apiserver.service /etc/systemd/system/
$ sudo systemctl daemon-reload
$ sudo systemctl enable kube-apiserver
$ sudo systemctl start kube-apiserver
$ sudo systemctl status kube-apiserver配置和啟動kube-controller-manager
建立kube-controller-manager的systemd unit檔案
$ cat > kube-controller-manager.service << EOF
[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/kubernetes/kubernetes
[Service]
ExecStart=/root/local/bin/kube-controller-manager \\
--address=127.0.0.1 \\
--master=http://${MASTER_IP}:8080 \\
--allocate-node-cidrs=true \\
--service-cluster-ip-range=${SERVICE_CIDR} \\
--cluster-cidr=${CLUSTER_CIDR} \\
--cluster-name=kubernetes \\
--cluster-signing-cert-file=/etc/kubernetes/ssl/ca.pem \\
--cluster-signing-key-file=/etc/kubernetes/ssl/ca-key.pem \\
--service-account-private-key-file=/etc/kubernetes/ssl/ca-key.pem \\
--root-ca-file=/etc/kubernetes/ssl/ca.pem \\
--leader-elect=true \\
--v=2
Restart=on-failure
RestartSec=5
[Install]
WantedBy=multi-user.target
EOF–address值必須為127.0.0.1,因為當前kube-apiserver期望scheduler和controller-manager在同一臺機器,否則:
$ kubectl get componentstatuses
NAME STATUS MESSAGE ERROR
controller-manager Unhealthy Get http://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: getsockopt: connection refused
scheduler Unhealthy Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: getsockopt: connection refused- –master=http://{MASTER_IP}:8080:使用非安全8080埠與kube-apiserver通訊;
- –cluster-cidr指定Cluster中Pod的CIDR範圍,該網段在各Node間必須路由可達(flannel保證);
- –service-cluster-ip-range引數指定Cluster中Service的CIDR範圍,該網路在各Node間必須路由不可達,必須和kube-apiserver中的引數一致;
- –cluster-signing-*指定的證書和私鑰檔案用來簽名為TLS BootStrap建立的證書和私鑰;
- –root-ca-file用來對kube-apiserver證書進行校驗,指定該引數後,才會在Pod容器的ServiceAccount中放置該CA證書檔案;
- –leader-elect=true部署多臺機器組成的master叢集時選舉產生一處於工作狀態的kube-controller-manager程序;
啟動kube-controller-manager
$ sudo cp kube-controller-manager.service /etc/systemd/system/
$ sudo systemctl daemon-reload
$ sudo systemctl enable kube-controller-manager
$ sudo systemctl start kube-controller-manager配置和啟動kube-scheduler
建立kube-scheduler的systemd unit檔案
$ cat > kube-scheduler.service << EOF
[Unit]
Description=Kubernetes Scheduler
Documentation=https://github.com/kubernetes/kubernetes
[Service]
ExecStart=/root/local/bin/kube-scheduler \\
--address=127.0.0.1 \\
--master=http://${MASTER_IP}:8080 \\
--leader-elect=true \\
--v=2
Restart=on-failure
RestartSec=5
[Install]
WantedBy=multi-user.target
EOF- –address值必須為127.0.0.1,因為當前kube-apiserver期望scheduler和controller-manager在同一臺機器;
- –master=http://{MASTER_IP}:8080:使用非安全8080埠與kube-apiserver通訊;
- –leader-elect=true部署多臺機器組成的master叢集時選舉產生一處於工作狀態的kube-controller-manager程序;
啟動kube-scheduler
$ sudo cp kube-scheduler.service /etc/systemd/system/
$ sudo systemctl daemon-reload
$ sudo systemctl enable kube-scheduler
$ sudo systemctl start kube-scheduler驗證master節點功能
$ kubectl get componentstatuses
# NAME STATUS MESSAGE ERROR
# controller-manager Healthy ok
# scheduler Healthy ok
# etcd-0 Healthy {"health": "true"}
# etcd-1 Healthy {"health": "true"}
# etcd-2 Healthy {"health": "true"}