标签：opt k8s 部署 sh etcd 172.16 kube

一、k8s的二进制部署

1.环境准备：

IP                               节点

172.16.10.1         k8s-master01

172.16.10.3         k8s-master02

172.16.10.10       k8s-node01

172.16.10.20       k8s-node02

172.16.10.11           master

172.16.10.12          backup

所有节点关闭防火墙和 iptables、selinux 以及 swap

systemctl stop firewalld
systemctl disable firewalld
iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X

#关闭selinux
setenforce 0
sed -i 's/enforcing/disabled/' /etc/selinux/config #永久性关闭

#关闭swap
swapoff -a
sed -ri 's/.*swap.*/#&/' /etc/fstab

 

 

2.主机名设置

hostnamectl set-hostname master01

hostnamectl set-hostname master02

hostnamectl set-hostname node01

hostnamectl set-hostname node02

hostnamectl set-hostname master

hostnamectl set-hostname backup

su -

 

3.在 master 添加 hosts 并调整内核参数

#在master添加hosts
cat >> /etc/hosts << EOF
172.16.10.1 master01
172.16.10.3 master02
172.16.10.10 node01
172.16.10.20 node02
EOF

#调整内核参数
-开启网桥模式，可将网桥的流量传递给iptables链,关闭ipv6协议

cat > /etc/sysctl.d/k8s.conf << EOF

#开启网桥模式，可将网桥的流量传递给iptables链
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1

#关闭ipv6协议
net.ipv6.conf.all.disable_ipv6=1
net.ipv4.ip_forward=1
EOF

sysctl --system #一次性全部加载

#时间同步
yum install ntpdate -y
ntpdate time.windows.com

crontab -e
*/30 * * * * /usr/sbin/ntpdate time.windows.com
crontab -l

 

 

 4.部署etcd集群

master节点：

（1）生成证书：没有软件包执行以下命令

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo

（2）有软件包直接将cfssl、cfssljson、cfssl-certinfo拖入/usr/local/bin目录中

cd /usr/local/bin目录中
cfssl、cfssljson、cfssl-certinfo

chmod +x /usr/local/bin/cfssl*      #赋予执行权限

#cfssl：证书签发的工具命令
#cfssljson：将cfssl生成的证书（json格式）变为文件承载式证书
#cfssl-certinfo：验证证书的信息
#cfssl-certinfo -cert <证书名称> #查看证书的信息

 

 

准备 cfssl 证书生成工具和授权

（1）生成Etcd证书
mkdir /opt/k8s
cd /opt/k8s/

上传 etcd-cert.sh 和 etcd.sh 到 /opt/k8s/ 目录中
chmod +x etcd-cert.sh etcd.sh        #赋权

（2）创建用于生成CA证书、etcd 服务器证书以及私钥的目录
（先去etcd-cert.sh改ip地址，再运行这个脚本）
mkdir /opt/k8s/etcd-cert
mv etcd-cert.sh etcd-cert/
cd /opt/k8s/etcd-cert/

vim etcd-cert.sh

./etcd-cert.sh

 

上传 etcd-v3.4.9-linux-amd64.tar.gz 到 /opt/k8s 目录中，启动etcd服务

cd /opt/k8s/
tar zxvf etcd-v3.4.9-linux-amd64.tar.gz

#创建用于存放etcd配置文件，命令文件，证书的目录
mkdir -p /opt/etcd/{cfg,bin,ssl}

cd /opt/k8s/etcd-v3.4.9-linux-amd64/
mv etcd etcdctl /opt/etcd/bin/
cp /opt/k8s/etcd-cert/*.pem /opt/etcd/ssl/

#在master上运行etcd集群，进入卡住状态等待其他节点加入
cd /opt/k8s/
./etcd.sh etcd01 172.16.10.1 etcd02=https://172.16.10.10:2380,etcd03=https://172.16.10.20:2380

ps -ef | grep etcd

 

 

 

启动etcd服务，配置好后，传给2个node节点

scp -r /opt/etcd/ root@172.16.10.10:/opt/
scp -r /opt/etcd/ root@172.16.10.20:/opt/

scp /usr/lib/systemd/system/etcd.service root@172.16.10.10:/usr/lib/systemd/system/
scp /usr/lib/systemd/system/etcd.service root@172.16.10.20:/usr/lib/systemd/system/

 

 node01 节点：

修改vim /opt/etcd/cfg/etcd

 

 

systemctl start etcd

systemctl enable etcd
systemctl status etcd

 

 node02 节点：

vim /opt/etcd/cfg/etcd

 

systemctl start etcd

systemctl enable etcd
systemctl status etcd

 

 

在node节点上检验节点是否启动

cd /opt/etcd/ssl

ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://172.16.10.1:2379,https://172.16.10.10:2379,https://172.16.10.20:2379" endpoint health --write-out=table

 

#查看etcd集群成员列表

ETCDCTL_API=3 /opt/etcd/bin/etcdctl --cacert=/opt/etcd/ssl/ca.pem --cert=/opt/etcd/ssl/server.pem --key=/opt/etcd/ssl/server-key.pem --endpoints="https://172.16.10.1:2379,https://172.16.10.10:2379,https://172.16.10.20:2379" --write-out=table member list

 

 

5.部署 docker 引擎

#所有 node 节点部署docker引擎
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io

systemctl start docker.service
systemctl enable docker.service

 

 

 

 6.部署master组件

master01：

#上传 master.zip 和 k8s-cert.sh 到 /opt/k8s 目录中，解压 master.zip 压缩包
cd /opt/k8s/
unzip master.zip
chmod +x *.sh

 

 

 

#创建kubernetes工作目录
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}

#创建用于生成CA证书、相关组件的证书和私钥的目录
mkdir /opt/k8s/k8s-cert -p
mv /opt/k8s/k8s-cert.sh /opt/k8s/k8s-cert
cd /opt/k8s/k8s-cert/
./k8s-cert.sh #生成CA证书、相关组件的证书和私钥

 

 

 

ls *pem

#复制CA证书、apiserver相关证书和私钥到kubernetes工作目录的ssl子目录中
cp ca*pem apiserver*pem /opt/kubernetes/ssl/

#上传 kubernetes-server-linux-amd64.tar.gz 到 /opt/k8s/ 目录中，解压 kubernetes 压缩包
#下载地址：https://github.com/kubernetes/kubernetes/blob/release-1.20/CHANGELOG/CHANGELOG-1.20.md
#注：打开链接你会发现里面有很多包，下载一个server包就够了，包含了Master和Worker Node二进制文件。
cd /opt/k8s/
tar zxvf kubernetes-server-linux-amd64.tar.gz

 

 

 

#复制master组件的关键命令文件到kubernetes工作目录的bin子目录中
cd /opt/k8s/kubernetes/server/bin
cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/
ln -s /opt/kubernetes/bin/* /usr/local/bin/

 

 

 

#创建 bootstrap token 认证文件，apiserver 启动时会调用，然后就相当于在集群内创建了一个这个用户，接下来就可以用 RBAC 给他授权
cd /opt/k8s/
vim token.sh
#!/bin/bash
#获取随机数前16个字节内容，以十六进制格式输出，并删除其中空格
BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
#生成 token.csv 文件，按照 Token序列号,用户名,UID,用户组的格式生成
cat > /opt/kubernetes/cfg/token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

chmod +x token.sh
./token.sh

cat /opt/kubernetes/cfg/token.csv

 

 

 

#二进制文件、token、证书都准备好后，开启apiserver服务
cd /opt/k8s/
vim apiserver.sh

 

 

 

./apiserver.sh 172.16.10.1 https://172.16.10.1:2379,https://172.16.10.10:2379,https://172.16.10.20:2379

#检查进程是否启动成功
ps aux | grep kube-apiserver

 

 

 

netstat -natp | grep 6443 #安全端口6443用于接收HTTPS请求，用于基于Token文件或客户端证书等认证

 

 

 

cd /opt/k8s/

#启动 scheduler 服务

vim scheduler.sh

./scheduler.sh
ps aux | grep kube-scheduler

 

 

 

#启动 controller-manager 服务

vim controller-manager.sh

 

 

 

./controller-manager.sh
ps aux | grep kube-controller-manager

 

 

 

 

 

 

 

#生成kubectl连接集群的证书

vim admin.sh

./admin.sh

 

 

 

#绑定默认cluster-admin管理员集群角色，授权kubectl访问集群
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous

 

 

 

#通过kubectl工具查看当前集群组件状态
kubectl get cs

#查看版本信息
kubectl version

 

 

 

7.部署 Worker Node 组件

所有 node 节点:

#创建kubernetes工作目录
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}

#上传 node.zip 到 /opt 目录中，解压 node.zip 压缩包，获得kubelet.sh、proxy.sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh

 

 

 

 

 

 

在 master01 节点上操作==

#把 kubelet、kube-proxy 拷贝到 node 节点
cd /opt/k8s/kubernetes/server/bin
scp kubelet kube-proxy root@172.16.10.10:/opt/kubernetes/bin/
scp kubelet kube-proxy root@172.16.10.20:/opt/kubernetes/bin/
​

 

 

 

#上传 kubeconfig.sh 文件到 /opt/k8s/kubeconfig 目录中，生成 kubeconfig 的配置文件
​
#上传kubeconfig.sh文件到/opt/k8s/kubeconfig目录中，生成kubelet初次加入集群引导kubeconfig文件和kube-proxy.kubeconfig文件
#kubeconfig 文件包含集群参数（CA证书、API Server 地址），客户端参数（上面生成的证书和私钥），集群context上下文参数（集群名称、用户名）。Kubenetes组件（如kubelet、kube-proxy）通过启动时指定不同的kubeconfig文件可以切换到不同的集群，连接到apiserver。
mkdir /opt/k8s/kubeconfig
cd /opt/k8s/kubeconfig
chmod +x kubeconfig.sh
./kubeconfig.sh 172.16.10.1 /opt/k8s/k8s-cert/
​

#把配置文件 bootstrap.kubeconfig、kube-proxy.kubeconfig 拷贝到node节点
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@172.16.10.10:/opt/kubernetes/cfg/
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@172.16.10.20:/opt/kubernetes/cfg/
​

#RBAC授权，使用户 kubelet-bootstrap 能够有权限发起 CSR 请求
kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap
​

 

 

 

#若执行失败，可先给kubectl绑定默认cluster-admin管理员集群角色，授权集群操作权限
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous

 

 

在 node01 节点上操作

#启动 kubelet 服务
cd /opt/

vim kubelet.sh
./kubelet.sh 172.16.10.10
ps aux | grep kubelet

 

 

 ​//在 master01 节点上操作，通过 CSR 请求#检查到 node01 节点的 kubelet 发起的 CSR 请求，Pending 表示等待集群给该节点签发证书

kubectl get csr
#通过 CSR 请求
kubectl certificate approve RmA1K6zToOY8D4iFaxxzndsAPg_SPJ2caK7lgbPRDm8   11s
#Approved,Issued 表示已授权 CSR 请求并签发证书
kubectl get csr
#查看节点，由于网络插件还没有部署，节点会没有准备就绪 NotReady
kubectl get node
​

node02 节点同上

 

 

 

在 node01 节点上操作

#加载 ip_vs 模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

#启动proxy服务
cd /opt/
./proxy.sh 172.16.10.10
ps aux | grep kube-proxy

node02 节点同上

 

 

8.部署 CNI 网络组件

node01 节点:

#上传 cni-plugins-linux-amd64-v0.8.6.tgz 和 flannel.tar 到 /opt 目录中
cd /opt/

mkdir -p /opt/cni/bin
tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin

 

 

docker load -i flannel.tar
docker images
scp -r cni/ flannel.tar 172.16.10.20:/opt

 

 

在 master01 节点上操作

#上传 kube-flannel.yml 文件到 /opt/k8s 目录中，部署 CNI 网络
cd /opt/k8s
kubectl apply -f kube-flannel.yml
kubectl get pods -n kube-system
kubectl get nodes

 

 

 

9.把 master01 相关主机的配置文件复制到 master02

复制并修改 kube-apiserver

scp -r /opt/kubernetes/ master02:/opt

 

master02节点：

vim /opt/kubernetes/cfg/kube-apiserver

ln -s /opt/kubernetes/bin/* /usr/local/bin/

 

master01节点:

复制etcd

scp -r /opt/etcd/ master02:/opt

 

 

复制家目录下的.kube

scp -r .kube/ master02:/root

kubectl get nodes

复制system 目录下的 kube*

scp -r /usr/lib/systemd/system/kube* master02:/usr/lib/systemd/system

 

 

master02节点：

systemctl start kube-apiserver.service kube-controller-manager.service kube-scheduler.service
systemctl enable kube-apiserver.service kube-controller-manager.service kube-scheduler.service

kubectl get nodes

 

 

10.负载均衡部署

#关闭防火墙和iptables
systemctl stop firewalld
systemctl disable firewalld
​
#关闭selinux
setenforce 0

 

 

11.部署nginx服务

配置load balancer集群双机热备负载均衡（nginx实现负载均衡，keepalived实现双机热备）

==在master、backup节点上操作==

配置nginx的官方在线yum源，配置本地nginx的yum源
cat > /etc/yum.repos.d/nginx.repo << 'EOF'
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/7/$basearch/
gpgcheck=0
EOF
​

yum install nginx -y
​

修改nginx配置文件，配置四层反向代理负载均衡，指定k8s群集2台master的节点ip和6443端口
vim /etc/nginx/nginx.conf
events {
  worker_connections  1024;
}
​
#添加
stream {
  log_format main  '$remote_addr $upstream_addr - [$time_local] $status $upstream_bytes_sent';
   
access_log /var/log/nginx/k8s-access.log main;
​
  upstream k8s-apiserver {
      server 172.16.10.1:6443;
      server 172.16.10.3:6443;
  }
  server {
      listen 6443;
      proxy_pass k8s-apiserver;
  }
}
​
http {
......
​

#检查配置文件语法
nginx -t  
​

#启动nginx服务，查看已监听6443端口
systemctl start nginx
systemctl enable nginx
netstat -natp | grep nginx

 

 

11.部署 keepalived 服务

yum install keepalived -y   #安装

 

 

修改 keepalived 配置文件

vim /etc/keepalived/keepalived.conf
! Configuration File for keepalived
​
global_defs {
  # 接收邮件地址
  notification_email {
    acassen@firewall.loc
    failover@firewall.loc
    sysadmin@firewall.loc
  }
  # 邮件发送地址
  notification_email_from Alexandre.Cassen@firewall.loc
  smtp_server 127.0.0.1
  smtp_connect_timeout 30
  router_id NGINX_MASTER #lb01节点的为 NGINX_MASTER，lb02节点的为 NGINX_BACKUP
}
​
#添加一个周期性执行的脚本
vrrp_script check_nginx {
  script "/etc/nginx/check_nginx.sh" #指定检查nginx存活的脚本路径
}
​
vrrp_instance VI_1 {
  state MASTER #lb01节点的为 MASTER，lb02节点的为 BACKUP
  interface ens33 #指定网卡名称 ens33
  virtual_router_id 51 #指定vrid，两个节点要一致
  priority 100 #lb01节点的为 100，lb02节点的为 90
  advert_int 1
  authentication {
      auth_type PASS
      auth_pass 1111
  }
  virtual_ipaddress {
       172.16.10.100/24 #指定 VIP
  }
  track_script {
      check_nginx #指定vrrp_script配置的脚本
  }
}

 

 

 

创建 nginx 状态检查脚本

vim /etc/nginx/check_nginx.sh
#!/bin/bash
#egrep -cv "grep|$$" 用于过滤掉包含grep 或者 $$ 表示的当前Shell进程ID
count=$(ps -ef | grep nginx | egrep -cv "grep|$$")
if [ "$count" -eq 0 ];then
  systemctl stop keepalived
fi
chmod +x /etc/nginx/check_nginx.sh
#启动keepalived服务（一定要先启动了nginx服务，再启动keepalived服务）
systemctl start keepalived
systemctl enable keepalived

ip a #查看VIP是否生成

 

 

 修改node节点上bootstrap.kubeconfig,kubelet.kubeconfi配置文件为 VIP

cd /opt/kubernetes/cfg/
vim bootstrap.kubeconfig
server: https://172.16.10.100:6443

vim kubelet.kubeconfig
server: https://172.16.10.100:6443

 

 

vim kube-proxy.kubeconfig
server: https://172.16.10.100:6443

 

 

#重启kubelet和kube-proxy服务
systemctl restart kubelet.service
systemctl restart kube-proxy.service

#在 lb01 上查看 nginx 和 node 、 master 节点的连接状态
netstat -natp | grep nginx

 

 

#在 master 节点上操作
cd .kube/
ls
vim config
server: https://172.16.10.100:6443

 

 在 master01 节点上操作

#测试创建pod

kubectl run nginx --image=nginx
#查看Pod的状态信息
kubectl get pods

kubectl get pods -o wide

 

 

//READY为1/1，表示这个Pod中有1个容器
​
#在对应网段的node节点上操作，可以直接使用浏览器或者curl命令访问
curl 10.244.0.2
​

 

 

 

 

12.部署 Dashboard

//在 master01 节点上操作
#上传 recommended.yaml 文件到 /opt/k8s 目录中
cd /opt/k8s
vim recommended.yaml
#默认Dashboard只能集群内部访问，修改Service为NodePort类型，暴露到外部：
kind: Service
apiVersion: v1
metadata:
labels:
k8s-app: kubernetes-dashboard
name: kubernetes-dashboard
namespace: kubernetes-dashboard
spec:
ports:
- port: 443
targetPort: 8443
nodePort: 30001 #添加
type: NodePort #添加
selector:
k8s-app: kubernetes-dashboard

 

 

kubectl apply -f recommended.yaml

 

 

#创建service account并绑定默认cluster-admin管理员集群角色
kubectl create serviceaccount dashboard-admin -n kube-system
kubectl create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin
kubectl describe secrets -n kube-system $(kubectl -n kube-system get secret | awk '/dashboard-admin/{print $1}')

 

 

#使用输出的token登录Dashboard
https://172.16.10.10:30001

 

 

 点击“高级”

 

 点击“添加例外”

 

 点击“确认安全例外”

 

 

 

 复制选中的部分将其输入并点击“登录”

 

标签：opt,k8s,部署,sh,etcd,172.16,kube
来源： https://www.cnblogs.com/xhx1991874414/p/16484823.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。