标签:kubectl Maser kubernetes 192.168 nginx UI dashboard kube Dashboard
一、多 Maser 集群架构的了解
Kubernetes作为容器集群系统,通过健康检查+重启策略实现了Pod故障自我修复能力,通过调度算法实现将Pod分布式部署,并保持预期副本数,根据Node失效状态自动在其他Node拉起Pod,实现了应用层的高可用性。 针对Kubernetes集群,高可用性还应包含以下两个层面的考虑:Etcd数据库的高可用性和Kubernetes Master组件的高可用性。而Etcd我们已经采用3个节点组建集群实现高可用,本篇博客将对Master节点高可用进行说明和实施。 Master节点扮演着总控中心的角色,通过不断与工作节点上的Kubelet进行通信来维护整个集群的健康工作状态。如果Master节点故障,将无法使用kubectl工具或者API做任何集群管理。 二进制单master部署可以参考上篇博客: https://www.cnblogs.com/qwert19990410/p/15478427.html二、多 Maser 集群架构的部署
环境准备工作:(红色为新增的服务器) 服务器类型 系统和IP地址 备注 master01 CentOS7.4(64 位) 192.168.153.10 kube-apiserver,kube-controller-manager,kube-scheduler,etcd node1 CentOS7.4(64 位) 192.168.153.20 kubelet,kube-proxy,docker etcd node2 CentOS7.4(64 位) 192.168.153.30 kubelet,kube-proxy,docker etcd master02 CentOS7.4(64 位) 192.168.153.40 kube-apiserver,kube-controller-manager,kube-scheduler,etcd lb01 CentOS7.4(64 位) 192.168.153.50 Nginx L4 ,keepalived lb02 CentOS7.4(64 位) 192.168.153.60 Nginx L4 ,keepalived 所有服务器关闭防火墙和SElinux,前期操做和上篇博客一样 systemctl stop firewalld setenforce 0 2.1 加入master02 节点 1.从 master01 节点上拷贝证书文件、各master组件的配置文件和服务管理文件到 master02 节点 scp -r /opt/etcd/ root@192.168.153.40:/opt/ scp -r /opt/kubernetes/ root@192.168.153.40:/opt scp /usr/lib/systemd/system/{kube-apiserver,kube-controller-manager,kube-scheduler}.service root@192.168.153.40:/usr/lib/systemd/system/
2.修改配置文件kube-apiserver中的IP master02上操作
vim /opt/kubernetes/cfg/kube-apiserver
KUBE_APISERVER_OPTS="--logtostderr=true \
--v=4 \
--etcd-servers=https://192.168.80.40:2379,https://192.168.80.50:2379,https://192.168.80.60:2379 \
--bind-address=192.168.80.70 \ #修改
--secure-port=6443 \
--advertise-address=192.168.80.70 \ #修改
......
3.在 master02 节点上启动各服务并设置开机自启
4.查看node节点状态
2.2 lb01和lb02搭建nginx和Keepalived
配置load balancer集群双机热备负载均衡(nginx实现负载均衡,keepalived实现双机热备)
1.在lb01、lb02节点上操作
cat > /etc/yum.repos.d/nginx.repo << 'EOF'
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/7/$basearch/
gpgcheck=0
EOF
yum install nginx -y
2.修改nginx配置文件,配置四层反向代理负载均衡,指定k8s群集2台master的节点ip和6443端口
vim /etc/nginx/nginx.conf
events {
worker_connections 1024;
}
#添加
stream {
log_format main '$remote_addr $upstream_addr - [$time_local] $status $upstream_bytes_sent';
access_log /var/log/nginx/k8s-access.log main;
upstream k8s-apiserver {
server 192.168.80.40:6443;
server 192.168.80.70:6443;
}
server {
listen 6443;
proxy_pass k8s-apiserver;
}
}
http {
......
4.部署keepalived服务
yum install keepalived -y
5.修改keepalived配置文件
vim /etc/keepalived/keepalived.conf
! Configuration File for keepalived
global_defs {
# 接收邮件地址(不变)
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
# 邮件发送地址
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 127.0.0.1 ##修改为127.0.0.1
smtp_connect_timeout 30
router_id NGINX_MASTER #lb01节点的为 NGINX_MASTER,lb02节点的为 NGINX_BACKUP
}
#添加一个周期性执行的脚本
vrrp_script check_nginx {
script "/etc/nginx/check_nginx.sh" #指定检查nginx存活的脚本路径
}
state MASTER #lb01节点的为 MASTER,lb02节点的为 BACKUP
interface ens33 #指定网卡名称 ens33
virtual_router_id 51 #指定vrid,两个节点要一致
priority 100 #lb01节点的为 100,lb02节点的为 90
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.80.100/24 #指定 VIP
}
track_script {
check_nginx #指定vrrp_script配置的脚本
}
}
6.创建nginx状态检查脚本
vim /etc/nginx/check_nginx.sh
#!/bin/bash
#egrep -cv "grep|$$" #用于过滤掉包含grep 或者 $$ 表示的当前Shell进程ID
count=$(ps -ef | grep nginx | egrep -cv "grep|$$")
if [ "$count" -eq 0 ];then
systemctl stop keepalived
fi
chmod +x /etc/nginx/check_nginx.sh
8.把lb01的nginx服务停止进行测试高可用
systemctl stop nginx.service
ip a
9.到lb02 上进行查看VIP是否漂移过来
10.再次开启lb01的nginx和Keepalived,测试vip是否漂移回来(注意先开启nginx,后Keepalived)
systemctl start nginx
systemctl start keepalived.service
ip a
2.3 修改node节点上的相关配置文件
1.修改node节点上的bootstrap.kubeconfig,kubelet.kubeconfig配置文件为VIP
cd /opt/kubernetes/cfg/
vim bootstrap.kubeconfig
server: https://192.168.80.100:6443
vim kubelet.kubeconfig
server: https://192.168.80.100:6443
vim kube-proxy.kubeconfig
server: https://192.168.80.100:6443
2.重启kubelet和kube-proxy服务
systemctl restart kubelet.service
systemctl restart kube-proxy.service
3.在lb01上查看nginx的k8s日志
tail /var/log/nginx/k8s-access.log
3.4.在 master01 或 master02 节点上操作
1.创建pod测试
[root@master02 system]# kubectl run nginx --image=nginx
kubectl run --generator=deployment/apps.v1beta1 is DEPRECATED and will be removed in a future version. Use kubectl create instead.
deployment.apps/nginx created
[root@master02 system]# kubectl get pods
NAME READY STATUS RESTARTS AGE
nginx-dbddb74b8-j84tz 0/1 ContainerCreating 0 4s
nginx-test-7d965f56df-rf28p 1/1 Running 0 81m
[root@master02 system]# kubectl get pods
NAME READY STATUS RESTARTS AGE
nginx-dbddb74b8-j84tz 1/1 Running 0 20s
nginx-test-7d965f56df-rf28p 1/1 Running 0 81m
[root@master02 system]# kubectl get pods -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE
nginx-dbddb74b8-j84tz 1/1 Running 0 50s 172.17.38.2 192.168.80.60 <none>
nginx-test-7d965f56df-rf28p 1/1 Running 0 81m 172.17.86.3 192.168.80.50 <none>
2.在对应网段的node节点上操作,可以直接使用浏览器或者curl命令访问 curl 172.17.97.2
3.这时在master01节点上查看nginx日志,发现没有权限查看 kubectl get pods kubectl logs nginx-dbddb74b8-j84tz
4.在master01节点上,将cluster-admin角色授予用户system:anonymous
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous
clusterrolebinding.rbac.authorization.k8s.io/cluster-system-anonymous created
##再次查看nginx日志
kubectl logs nginx-dbddb74b8-j84tz
三、部署 Dashboard UI
Dashboard 介绍 ____仪表板是基于Web的Kubernetes用户界面。您可以使用仪表板将容器化应用程序部署到Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源。您可以使用仪表板来概述群集上运行的应用程序,以及创建或修改单个Kubernetes资源(例如部署,作业,守护进程等)。例如,您可以使用部署向导扩展部署,启动滚动更新,重新启动Pod或部署新应用程序。仪表板还提供有关群集中Kubernetes资源状态以及可能发生的任何错误的信息。 在 master01 节点上操作 1.在k8s工作目录中创建dashborad工作目录 mkdir /opt/k8s/dashboard cd /opt/k8s/dashboard //上传Dashboard.zip压缩包,并解压,一共有7个yaml文件,包含5个构建该界面的核心文件,一个k8s-admin.yaml文件是自己写的,用来生成待会在浏览器中登录时所用的令牌;一个dashboard-cert.sh,用来快速生成解决谷歌浏览器加密通信问题所需的证书文件 核心文件官方下载资源地址:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/dashboard dashboard-configmap.yaml dashboard-rbac.yaml dashboard-service.yaml dashboard-controller.yaml dashboard-secret.yaml k8s-admin.yaml dashboard-cert.sh ------------------------------------------------------------------------------------------ 1、dashboard-rbac.yaml:用于访问控制设置,配置各种角色的访问控制权限及角色绑定(绑定角色和服务账户),内容中包含对应各种角色所配置的规则(rules) 2、dashboard-secret.yaml:提供令牌,访问API服务器所用(个人理解为一种安全认证机制) 3、dashboard-configmap.yaml:配置模板文件,负责设置Dashboard的文件,ConfigMap提供了将配置数据注入容器的方式,保证容器中的应用程序配置从 Image 内容中解耦 4、dashboard-controller.yaml:负责控制器及服务账户的创建,来管理pod副本 5、dashboard-service.yaml:负责将容器中的服务提供出去,供外部访问 ------------------------------------------------------------------------------------------ 2.通过kubectl create 命令创建resources cd /opt/k8s/dashboard 1)、规定kubernetes-dashboard-minimal该角色的权限:例如其中具备获取更新删除等不同的权限 kubectl create -f dashboard-rbac.yaml //有几个kind就会有几个结果被创建,格式为kind+apiServer/name role.rbac.authorization.k8s.io/kubernetes-dashboard-minimal created rolebinding.rbac.authorization.k8s.io/kubernetes-dashboard-minimal created //查看类型为 Role,RoleBinding 的资源对象 kubernetes-dashboard-minimal 是否生成 kubectl get role,rolebinding -n kube-system //-n kube-system 表示查看指定命名空间中的pod,缺省值为default 2)、证书和密钥创建 kubectl create -f dashboard-secret.yaml secret/kubernetes-dashboard-certs created secret/kubernetes-dashboard-key-holder created //查看类型为 Secret 的资源对象 kubernetes-dashboard-certs,kubernetes-dashboard-key-holder 是否生成 kubectl get secret -n kube-system 3)、配置文件,对于集群dashboard设置的创建 kubectl create -f dashboard-configmap.yaml configmap/kubernetes-dashboard-settings created //查看类型为 ConfigMap 的资源对象 kubernetes-dashboard-settings 是否生成 kubectl get configmap -n kube-system 4)、创建容器需要的控制器以及服务账户 kubectl create -f dashboard-controller.yaml serviceaccount/kubernetes-dashboard created deployment.apps/kubernetes-dashboard created //查看类型为 ServiceAccount,Deployment 的资源对象 kubernetes-dashboard-settings 是否生成 kubectl get serviceaccount,deployment -n kube-system 5)、将服务提供出去 kubectl create -f dashboard-service.yaml service/kubernetes-dashboard created
3.dashboard分配给了node01服务器,访问的入口是30001端口,打开浏览器访问 https://nodeIP:30001 来进行测试
火狐浏览器可直接访问:https://192.168.153.20:30001
谷歌浏览器则因为缺少加密通信的认证证书,导致无法直接访问。可通过 菜单->更多工具->开发者工具->Security 查看访问失败的原因。
4.解决谷歌浏览器加密通信问题,使用的脚本 dashboard-cert.sh 来快速生成证书文件
cd /opt/k8s/dashboard/
vim dashboard-controller.yaml
......
args:
# PLATFORM-SPECIFIC ARGS HERE
- --auto-generate-certificates
#在文件的第47行下面添加以下两行,指定加密(tls)的私钥和证书文件
- --tls-key-file=dashboard-key.pem
- --tls-cert-file=dashboard.pem
//执行脚本
cd /opt/k8s/dashboard/
chmod +x dashboard-cert.sh
./dashboard-cert.sh /opt/k8s/k8s-cert/
5.重新进行部署(注意:当apply不生效时,先使用delete清除资源,再apply创建资源)
kubectl apply -f dashboard-controller.yaml
##由于可能会更换所分配的节点,所以要再次查看一下分配的节点服务器地址和端口号
kubectl get pods,svc -n kube-system -o wide
6.再次进行访问测试,选择使用令牌方式登录,使用 k8s-admin.yaml 文件进行创建令牌
cd /opt/k8s/dashboard/
kubectl create -f k8s-admin.yaml
7.获取token简要信息,名称为dashboard-admin-token-xxxxx
kubectl get secrets -n kube-system
NAME TYPE DATA AGE
dashboard-admin-token-kpmm8 kubernetes.io/service-account-token 3
default-token-7dhwm kubernetes.io/service-account-token 3
kubernetes-dashboard-certs Opaque 11
kubernetes-dashboard-key-holder Opaque 2
kubernetes-dashboard-token-jn94c kubernetes.io/service-account-token 3
8.查看令牌序列号,取 token: 后面的内容
kubectl describe secrets dashboard-admin-token-5m4xx -n kube-system
9.将令牌序列号复制填入到浏览器页面中,点击登录
10,先通过 kubectl get pods 命令查看一下集群中是否有资源在运行,
①再在 Dashboard UI 界面中命令空间选 default,
标签:kubectl,Maser,kubernetes,192.168,nginx,UI,dashboard,kube,Dashboard 来源: https://www.cnblogs.com/qwert19990410/p/15490254.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。