首页 开发教程 Kubernetes(k8s)手册 Kubernetes 利用kubeadm创建高可用集群

"Kubernetes(k8s)手册"的目录

Kubernetes 容器运行时
Kubernetes 安装kubeadm
Kubernetes 对kubeadm进行故障排查
Kubernetes 使用kubeadm创建集群
Kubernetes 使用kubeadm API定制组件
Kubernetes 高可用拓扑选项
Kubernetes 利用kubeadm创建高可用集群
Kubernetes 使用kubeadm创建一个高可用etcd集群
Kubernetes 使用kubeadm配置集群中的每个kubelet
Kubernetes 使用kubeadm支持双协议栈
Kubernetes 使用Kops安装Kubernetes
Kubernetes 使用Kubespray安装Kubernetes
Kubernetes 对Windows的支持
Kubernetes Windows容器的调度指南
Kubernetes 运行于多可用区环境
Kubernetes 大规模集群的注意事项
Kubernetes 校验节点设置
Kubernetes PKI证书和要求
Kubernetes 强制实施Pod安全性标准
Kubernetes 简介
Kubernetes 组件
Kubernetes API
Kubernetes Linux安装
Kubernetes macOS安装
Kubernetes Windows安装
Kubernetes 对象简介
Kubernetes 对象管理
Kubernetes 对象名称和IDs
Kubernetes 名字空间
Kubernetes 标签和选择算符
Kubernetes 注解
Kubernetes Finalizers
Kubernetes 字段选择器
Kubernetes 属主与附属
Kubernetes 推荐使用的标签
Kubernetes 节点
Kubernetes 控制面到节点通信
Kubernetes 控制器
Kubernetes 云控制器管理器
Kubernetes 垃圾收集
Kubernetes 容器运行时接口(CRI)
Kubernetes 镜像
Kubernetes 容器环境
Kubernetes 容器运行时类(Runtime Class)
Kubernetes 容器生命周期回调
Kubernetes Pod的生命周期
Kubernetes Init容器
Kubernetes Pod拓扑分布约束
Kubernetes 干扰(Disruptions)
Kubernetes 临时容器
Kubernetes Deployments
Kubernetes ReplicaSet
Kubernetes StatefulSets
Kubernetes DaemonSet
Kubernetes Jobs
Kubernetes 已完成 Job 的自动清理
Kubernetes CronJob
Kubernetes ReplicationController
Kubernetes 使用拓扑键实现拓扑感知的流量路由
Kubernetes 服务
Kubernetes Pod 与 Service 的 DNS
Kubernetes 使用 Service 连接到应用
Kubernetes Ingress
Kubernetes Ingress 控制器
Kubernetes 拓扑感知提示
Kubernetes 服务内部流量策略
Kubernetes 端点切片(Endpoint Slices)
Kubernetes 网络策略
Kubernetes IPv4/IPv6 双协议栈
Kubernetes 卷
Kubernetes 持久卷
Kubernetes 投射卷
Kubernetes 临时卷
Kubernetes 存储类
Kubernetes 配置最佳实践
Kubernetes ConfigMap
Kubernetes Secret
Kubernetes 为 Pod 和容器管理资源
Kubernetes 使用 kubeconfig 文件组织集群访问
Kubernetes Windows 节点的资源管理
Kubernetes 云原生安全概述
Kubernetes Pod安全性标准
Kubernetes Pod安全性准入
Kubernetes Pod安全策略
Kubernetes Windows节点的安全性
Kubernetes API访问控制
Kubernetes 基于角色的访问控制良好实践
Kubernetes 限制范围
Kubernetes 资源配额
Kubernetes 进程ID约束与预留
Kubernetes 节点资源管理器
Kubernetes 调度器
Kubernetes 将Pod指派给节点
Kubernetes Pod开销
Kubernetes 污点和容忍度
Kubernetes Pod优先级和抢占
Kubernetes 节点压力驱逐
Kubernetes API发起的驱逐
Kubernetes 扩展资源的资源装箱
Kubernetes 调度框架
Kubernetes 调度器性能调优
Kubernetes 管理资源
Kubernetes 集群网络系统
Kubernetes 系统组件指标
Kubernetes 日志架构
Kubernetes 系统日志
Kubernetes 追踪系统组件
Kubernetes 代理
Kubernetes API优先级和公平性
Kubernetes 安装扩展(Addons)
Kubernetes 定制资源
Kubernetes 通过聚合层扩展API
Kubernetes Operator模式
Kubernetes 网络插件
Kubernetes 设备插件
Kubernetes 服务目录
Kubernetes 调试Pod
Kubernetes 调试Service
Kubernetes 调试StatefulSet
Kubernetes 调试Init容器
Kubernetes 确定Pod失败的原因
Kubernetes 获取正在运行容器的Shell
Kubernetes 调试运行中的Pod
Kubernetes 资源指标管道
Kubernetes 节点健康监测
Kubernetes 使用crictl对Kubernetes节点进行调试
Kubernetes Windows调试提示
Kubernetes 使用telepresence在本地开发和调试服务
Kubernetes 审计
Kubernetes 资源监控工具
Kubernetes 将节点上的容器运行时从Docker Engine改为containerd
Kubernetes 将Docker Engine节点从dockershim迁移到cri-dockerd
Kubernetes CNI插件相关错误故障排除
Kubernetes 查明节点上所使用的容器运行时
Kubernetes 检查弃用Dockershim是否对你有影响
Kubernetes 从dockershim迁移遥测和安全代理
Kubernetes 使用kubeadm进行证书管理
Kubernetes 配置cgroup驱动
Kubernetes 重新配置kubeadm集群
Kubernetes 升级kubeadm集群
Kubernetes 添加Windows节点
Kubernetes 升级Windows节点
Kubernetes 手动生成证书
Kubernetes 为命名空间配置默认的内存请求和限制
Kubernetes 为命名空间配置默认的CPU请求和限制
Kubernetes 配置命名空间的最小和最大内存约束
Kubernetes 为命名空间配置CPU最小和最大约束
Kubernetes 为命名空间配置内存和CPU配额
Kubernetes 配置命名空间下Pod配额
Kubernetes 使用Antrea提供NetworkPolicy
Kubernetes 使用Calico提供NetworkPolicy
Kubernetes 使用Cilium提供NetworkPolicy
Kubernetes 使用kube-router提供NetworkPolicy
Kubernetes 使用Romana提供NetworkPolicy
Kubernetes 使用Weave Net提供NetworkPolicy
Kubernetes IP Masquerade Agent用户指南
Kubernetes 云管理控制器
Kubernetes 验证签名的容器镜像
Kubernetes 运行 etcd 集群
Kubernetes 为系统守护进程预留计算资源
Kubernetes 为节点发布扩展资源
Kubernetes 以非root用户身份运行Kubernetes节点组件
Kubernetes 使用CoreDNS进行服务发现
Kubernetes 使用KMS驱动进行数据加密
Kubernetes 使用Kubernetes API访问集群
Kubernetes 使用NUMA感知的内存管理器
Kubernetes 保护集群
Kubernetes 关键插件Pod的调度保证
Kubernetes 升级集群
Kubernetes 名字空间演练
Kubernetes 启用/禁用Kubernetes API
Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache
Kubernetes 在Kubernetes集群中使用sysctl
Kubernetes 在运行中的集群上重新配置节点的kubelet
Kubernetes 在集群中使用级联删除
Kubernetes 声明网络策略
Kubernetes 安全地清空一个节点
Kubernetes 开发云控制器管理器
Kubernetes 开启服务拓扑
Kubernetes 控制节点上的CPU管理策略
Kubernetes 控制节点上的拓扑管理策略
Kubernetes 改变默认StorageClass
Kubernetes 更改PersistentVolume的回收策略
Kubernetes 自动扩缩集群DNS服务
Kubernetes 自定义DNS服务
Kubernetes 调试DNS问题
Kubernetes 迁移多副本的控制面以使用云控制器管理器
Kubernetes 通过名字空间共享集群
Kubernetes 通过配置文件设置Kubelet参数
Kubernetes 配置API对象配额
Kubernetes 限制存储消耗
Kubernetes 静态加密Secret数据
Kubernetes 为容器和Pod分配内存资源
Kubernetes 为Windows Pod和容器配置GMSA
Kubernetes 为Windows的Pod和容器配置RunAsUserName
Kubernetes 为容器和Pods分配CPU资源
Kubernetes 创建Windows HostProcess Pod
Kubernetes 配置Pod的服务质量
Kubernetes 为容器分派扩展资源
Kubernetes 配置Pod以使用卷进行存储
Kubernetes 配置Pod以使用PersistentVolume作为存储
Kubernetes 配置Pod使用投射卷作存储
Kubernetes 为Pod或容器配置安全上下文
Kubernetes 为Pod配置服务账户
Kubernetes 从私有仓库拉取镜像
Kubernetes 配置存活、就绪和启动探测器
Kubernetes 将Pod分配给节点
Kubernetes 用节点亲和性把Pods分配到节点
Kubernetes 配置Pod初始化
Kubernetes 为容器的生命周期事件设置处理函数
Kubernetes 配置Pod使用ConfigMap
Kubernetes 在Pod中的容器之间共享进程命名空间
Kubernetes 创建静态Pod
Kubernetes 将Docker Compose文件转换为Kubernetes资源
Kubernetes 从PodSecurityPolicy迁移到内置的PodSecurity准入控制器
Kubernetes 使用名字空间标签来实施Pod安全性标准
Kubernetes 通过配置内置准入控制器实施Pod安全标准
Kubernetes 使用配置文件对Kubernetes对象进行声明式管理
Kubernetes 使用Kustomize对Kubernetes对象进行声明式管理
Kubernetes 使用指令式命令管理Kubernetes对象
Kubernetes 使用配置文件对Kubernetes对象进行命令式管理
Kubernetes 使用kubectl patch更新API对象
Kubernetes 使用kubectl管理Secret
Kubernetes 使用配置文件管理Secret
Kubernetes 使用Kustomize管理Secret
Kubernetes 为容器设置启动时要执行的命令和参数
Kubernetes 为容器设置环境变量
Kubernetes 定义相互依赖的环境变量
Kubernetes 通过环境变量将Pod信息呈现给容器
Kubernetes 通过文件将Pod信息呈现给容器
Kubernetes 使用Secret安全地分发凭证
Kubernetes 使用Deployment运行一个无状态应用
Kubernetes 运行一个单实例有状态应用
Kubernetes 运行一个有状态的应用程序
Kubernetes 删除StatefulSet
Kubernetes 强制删除StatefulSet中的Pods
Kubernetes Pod水平自动扩缩
Kubernetes HorizontalPodAutoscaler演练
Kubernetes 为应用程序设置干扰预算(Disruption Budget)
Kubernetes 从Pod中访问Kubernetes API
Kubernetes 扩缩StatefulSet
Kubernetes 使用CronJob运行自动化任务
Kubernetes 使用工作队列进行粗粒度并行处理
Kubernetes 使用工作队列进行精细的并行处理
Kubernetes 使用索引作业完成静态工作分配下的并行处理
Kubernetes 使用展开的方式进行并行处理
Kubernetes 部署和访问Kubernetes仪表板(Dashboard)
Kubernetes 访问集群
Kubernetes 使用端口转发来访问集群中的应用
Kubernetes 使用服务来访问集群中的应用
Kubernetes 使用Service把前端连接到后端
Kubernetes 创建外部负载均衡器
Kubernetes 列出集群中所有运行容器的镜像
Kubernetes 在Minikube环境中使用NGINX Ingress控制器配置Ingress
Kubernetes 为集群配置DNS
Kubernetes 同Pod内的容器使用共享卷通信
Kubernetes 访问集群上运行的服务
Kubernetes 配置对多集群的访问
Kubernetes 使用CustomResourceDefinition扩展Kubernetes API
Kubernetes CustomResourceDefinition的版本
Kubernetes 配置聚合层
Kubernetes 安装一个扩展的API server
Kubernetes 配置多个调度器
Kubernetes 使用HTTP代理访问Kubernetes API
Kubernetes 使用SOCKS5代理访问Kubernetes API
Kubernetes 设置Konnectivity服务
Kubernetes 为kubelet配置证书轮换
Kubernetes 手动轮换CA证书
Kubernetes 管理集群中的TLS认证
Kubernetes 对DaemonSet执行滚动更新
Kubernetes 对DaemonSet执行回滚
Kubernetes 使用Helm安装Service Catalog
Kubernetes 使用SC安装服务目录
Kubernetes 使用HostAliases向Pod /etc/hosts文件添加条目
Kubernetes 验证IPv4/IPv6双协议栈
Kubernetes 调度GPUs
Kubernetes 管理巨页(HugePages)
Kubernetes 配置kubelet镜像凭据提供程序
Kubernetes 用插件扩展kubectl
Kubernetes 使用AppArmor限制容器对资源的访问
Kubernetes 在集群级别应用Pod安全标准
Kubernetes 在名字空间级别应用Pod安全标准
Kubernetes 使用seccomp限制容器的系统调用
Kubernetes 公开外部IP地址以访问集群中应用程序
Kubernetes 示例:使用Redis部署PHP留言板应用程序
Kubernetes StatefulSet基础
Kubernetes 示例:使用Persistent Volumes部署WordPress和MySQL
Kubernetes 示例:使用StatefulSet部署Cassandra
Kubernetes 运行ZooKeeper,一个分布式协调系统
Kubernetes 使用源IP

Kubernetes(k8s)手册 Kubernetes 利用kubeadm创建高可用集群

2024-02-25 开发教程 Kubernetes(k8s)手册 匿名 4

利用 kubeadm 创建高可用集群

本文讲述了使用 kubeadm 设置一个高可用的 Kubernetes 集群的两种不同方式:

  • 使用具有堆叠的控制平面节点。这种方法所需基础设施较少。etcd 成员和控制平面节点位于同一位置。
  • 使用外部集群。这种方法所需基础设施较多。控制平面的节点和 etcd 成员是分开的。

如果你在安装 HA 集群时遇到问题,请在 kubeadm 问题跟踪里向我们提供反馈。

Caution: 这篇文档没有讲述在云提供商上运行集群的问题。在云环境中,此处记录的方法不适用于类型为 LoadBalancer 的服务对象,或者具有动态的 PersistentVolumes。

在开始之前

根据集群控制平面所选择的拓扑结构不同,准备工作也有所差异:

  • 堆叠(Stacked) etcd 拓扑

需要准备:

  • 配置满足 kubeadm 的最低要求 的三台机器作为控制面节点。奇数台控制平面节点有利于机器故障或者网络分区时进行重新选主。
    • 机器已经安装好容器运行时,并正常运行
  • 配置满足 kubeadm 的最低要求 的三台机器作为工作节点
    • 机器已经安装好容器运行时,并正常运行
  • 在集群中,确保所有计算机之间存在全网络连接(公网或私网)
  • 在所有机器上具有 sudo 权限
    • 可以使用其他工具;本教程以 ​sudo ​举例
  • 从某台设备通过 SSH 访问系统中所有节点的能力
  • 所有机器上已经安装 ​kubeadm ​和 ​kubelet
外部 etcd 拓扑

需要准备:

  • 配置满足 kubeadm 的最低要求 的三台机器作为控制面节点。奇数台控制平面节点有利于机器故障或者网络分区时进行重新选主。
    • 机器已经安装好容器运行时,并正常运行
  • 配置满足 kubeadm 的最低要求 的三台机器作为工作节点
    • 机器已经安装好容器运行时,并正常运行
  • 在集群中,确保所有计算机之间存在全网络连接(公网或私网)
  • 在所有机器上具有 sudo 权限
    • 可以使用其他工具;本教程以 ​sudo ​举例
  • 从某台设备通过 SSH 访问系统中所有节点的能力
  • 所有机器上已经安装 ​kubeadm ​和 ​kubelet

还需要准备:

  • 给 etcd 集群使用的另外三台及以上机器。为了分布式一致性算法达到更好的投票效果,集群必须由奇数个节点组成。
    • 机器上已经安装 ​kubeadm ​和 ​kubelet​。
    • 机器上同样需要安装好容器运行时,并能正常运行。

容器镜像

每台主机需要能够从 Kubernetes 容器镜像仓库( ​k8s.gcr.io​ )读取和拉取镜像。 想要在无法拉取 Kubernetes 仓库镜像的机器上部署高可用集群也是可行的。通过其他的手段保证主机上已经有对应的容器镜像即可。

命令行

一旦集群创建成功,需要在 PC 上安装 kubectl 用于管理 Kubernetes。为了方便故障排查,也可以在每个控制平面节点上安装 ​kubectl​。

这两种方法的第一步

为 kube-apiserver 创建负载均衡器

Note: 使用负载均衡器需要许多配置。你的集群搭建可能需要不同的配置。 下面的例子只是其中的一方面配置。

  1. 创建一个名为 kube-apiserver 的负载均衡器解析 DNS。
  • 在云环境中,应该将控制平面节点放置在 TCP 转发负载平衡后面。 该负载均衡器将流量分配给目标列表中所有运行状况良好的控制平面节点。 API 服务器的健康检查是在 kube-apiserver 的监听端口(默认值 ​:6443​) 上进行的一个 TCP 检查。
  • 不建议在云环境中直接使用 IP 地址。
  • 负载均衡器必须能够在 API 服务器端口上与所有控制平面节点通信。 它还必须允许其监听端口的入站流量。
  • 确保负载均衡器的地址始终匹配 kubeadm 的 ​ControlPlaneEndpoint ​地址。
  • 阅读软件负载平衡选项指南 以获取更多详细信息。
添加第一个控制平面节点到负载均衡器并测试连接: 
nc -v LOAD_BALANCER_IP PORT

由于 apiserver 尚未运行,预期会出现一个连接拒绝错误。 然而超时意味着负载均衡器不能和控制平面节点通信。 如果发生超时,请重新配置负载均衡器与控制平面节点进行通信。

将其余控制平面节点添加到负载均衡器目标组。

使用堆控制平面和 etcd 节点

控制平面节点的第一步

  1. 初始化控制平面:
sudo kubeadm init --control-plane-endpoint "LOAD_BALANCER_DNS:LOAD_BALANCER_PORT" --upload-certs
  • 你可以使用 ​--kubernetes-version​ 标志来设置要使用的 Kubernetes 版本。 建议将 kubeadm、kebelet、kubectl 和 Kubernetes 的版本匹配。
  • 这个 ​--control-plane-endpoint​ 标志应该被设置成负载均衡器的地址或 DNS 和端口。
  • 这个 ​--upload-certs​ 标志用来将在所有控制平面实例之间的共享证书上传到集群。

Note: 标志 ​kubeadm init​、​--config​ 和 ​--certificate-key​ 不能混合使用, 因此如果你要使用 kubeadm 配置,你必须在相应的配置结构 (位于 ​InitConfiguration ​和 ​JoinConfiguration: controlPlane​)添加 ​certificateKey ​字段。 Note: 一些 CNI 网络插件如 Calico 需要 CIDR 例如 ​192.168.0.0/16​ 和一些像 Weave 没有。通过传递 ​--pod-network-cidr​ 标志添加 pod CIDR,或者你可以使用 kubeadm 配置文件,在 ​ClusterConfiguration ​的 ​networking ​对象下设置 ​podSubnet ​字段。

  • 输出类似于:
...
You can now join any number of control-plane node by running the following command on each as a root:
kubeadm join 192.168.0.200:6443 --token 9vr73a.a8uxyaju799qwdjv --discovery-token-ca-cert-hash sha256:7c2e69131a36ae2a042a339b33381c6d0d43887e2de83720eff5359e26aec866 --control-plane --certificate-key f8902e114ef118304e561c3ecd4d0b543adc226b7a07f675f56564185ffe0c07
Please note that the certificate-key gives access to cluster sensitive data, keep it secret!
As a safeguard, uploaded-certs will be deleted in two hours; If necessary, you can use kubeadm init phase upload-certs to reload certs afterward.
Then you can join any number of worker nodes by running the following on each as root:
  kubeadm join 192.168.0.200:6443 --token 9vr73a.a8uxyaju799qwdjv --discovery-token-ca-cert-hash sha256:7c2e69131a36ae2a042a339b33381c6d0d43887e2de83720eff5359e26aec866
  • 将此输出复制到文本文件。 稍后你将需要它来将控制平面节点和工作节点加入集群。
  • 当使用 ​--upload-certs​ 调用 ​kubeadm init​ 时,主控制平面的证书被加密并上传到 ​kubeadm-certs​ Secret 中。
  • 要重新上传证书并生成新的解密密钥,请在已加入集群节点的控制平面上使用以下命令:
sudo kubeadm init phase upload-certs --upload-certs
  • 你还可以在 ​init ​期间指定自定义的 ​--certificate-key​,以后可以由 ​join ​使用。 要生成这样的密钥,可以使用以下命令:
kubeadm certs certificate-key

Note: ​kubeadm-certs​ Secret 和解密密钥会在两个小时后失效。

Caution: 正如命令输出中所述,证书密钥可访问集群敏感数据。请妥善保管!

应用你所选择的 CNI 插件:安装 CNI 驱动。如果适用,请确保配置与 kubeadm 配置文件中指定的 Pod CIDR 相对应。

Note: 在进行下一步之前,必须选择并部署合适的网络插件。 否则集群不会正常运行。

输入以下内容,并查看控制平面组件的 Pods 启动: 

kubectl get pod -n kube-system -w

其余控制平面节点的步骤

Note: 从 kubeadm 1.15 版本开始,你可以并行加入多个控制平面节点。 在此版本之前,你必须在第一个节点初始化后才能依序的增加新的控制平面节点。

对于每个其他控制平面节点,你应该:

  • 执行先前由第一个节点上的 ​kubeadm init​ 输出提供给你的 join 命令。 它看起来应该像这样:
sudo kubeadm join 192.168.0.200:6443 --token 9vr73a.a8uxyaju799qwdjv --discovery-token-ca-cert-hash sha256:7c2e69131a36ae2a042a339b33381c6d0d43887e2de83720eff5359e26aec866 --control-plane --certificate-key f8902e114ef118304e561c3ecd4d0b543adc226b7a07f675f56564185ffe0c07
  • 这个 ​--control-plane​ 标志通知 ​kubeadm join​ 创建一个新的控制平面。
  • --certificate-key ...​ 将导致从集群中的 ​kubeadm-certs​ Secret 下载控制平面证书并使用给定的密钥进行解密。

外部 etcd 节点

使用外部 etcd 节点设置集群类似于用于堆叠 etcd 的过程, 不同之处在于你应该首先设置 etcd,并在 kubeadm 配置文件中传递 etcd 信息。

设置 ectd 集群

  1. 按照下文 去设置 etcd 集群。
  2. 根据本章-手动证书分发 的描述配置 SSH。
  3. 将以下文件从集群中的任何 etcd 节点复制到第一个控制平面节点:
export CONTROL_PLANE="ubuntu@10.0.0.7"
scp /etc/kubernetes/pki/etcd/ca.crt "${CONTROL_PLANE}":
scp /etc/kubernetes/pki/apiserver-etcd-client.crt "${CONTROL_PLANE}":
scp /etc/kubernetes/pki/apiserver-etcd-client.key "${CONTROL_PLANE}":
  • 用第一台控制平面机的 ​user@host​ 替换 ​CONTROL_PLANE ​的值。

设置第一个控制平面节点

  • 用以下内容创建一个名为 ​kubeadm-config.yaml​ 的文件:
---
apiVersion: kubeadm.k8s.io/v1beta3
kind: ClusterConfiguration
kubernetesVersion: stable
controlPlaneEndpoint: "LOAD_BALANCER_DNS:LOAD_BALANCER_PORT" # change this (see below)
etcd:
  external:
    endpoints:
      - https://ETCD_0_IP:2379 # change ETCD_0_IP appropriately
      - https://ETCD_1_IP:2379 # change ETCD_1_IP appropriately
      - https://ETCD_2_IP:2379 # change ETCD_2_IP appropriately
    caFile: /etc/kubernetes/pki/etcd/ca.crt
    certFile: /etc/kubernetes/pki/apiserver-etcd-client.crt
    keyFile: /etc/kubernetes/pki/apiserver-etcd-client.key

Note: 这里的堆叠(stacked)etcd 和外部 etcd 之前的区别在于设置外部 etcd 需要一个 ​etcd ​的 ​external ​对象下带有 etcd 端点的配置文件。 如果是内部 etcd,是自动管理的。

在你的集群中,将配置模板中的以下变量替换为适当值:

  • LOAD_BALANCER_DNS
  • LOAD_BALANCER_PORT
  • ETCD_0_IP
  • ETCD_1_IP
  • ETCD_2_IP

以下的步骤与设置内置 etcd 的集群是相似的:

  1. 在节点上运行 ​sudo kubeadm init --config kubeadm-config.yaml --upload-certs​ 命令。
  2. 记下输出的 join 命令,这些命令将在以后使用。
  3. 应用你选择的 CNI 插件。

Note: 在进行下一步之前,必须选择并部署合适的网络插件。 否则集群不会正常运行。

其他控制平面节点的步骤

步骤与设置内置 etcd 相同:

  • 确保第一个控制平面节点已完全初始化。
  • 使用保存到文本文件的 join 命令将每个控制平面节点连接在一起。 建议一次加入一个控制平面节点。
  • 不要忘记默认情况下,​--certificate-key​ 中的解密秘钥会在两个小时后过期。

列举控制平面之后的常见任务

安装工作节点

你可以使用之前存储的 ​kubeadm init​ 命令的输出将工作节点加入集群中:

sudo kubeadm join 192.168.0.200:6443 --token 9vr73a.a8uxyaju799qwdjv --discovery-token-ca-cert-hash sha256:7c2e69131a36ae2a042a339b33381c6d0d43887e2de83720eff5359e26aec866

手动证书分发

如果你选择不将 ​kubeadm init​ 与 ​--upload-certs​ 命令一起使用, 则意味着你将必须手动将证书从主控制平面节点复制到 将要加入的控制平面节点上。

有许多方法可以实现这种操作。在下面的例子中我们使用 ​ssh ​和 ​scp​:

如果要在单独的一台计算机控制所有节点,则需要 SSH。

  1. 在你的主设备上启用 ssh-agent,要求该设备能访问系统中的所有其他节点:
eval $(ssh-agent)
将 SSH 身份添加到会话中: 
ssh-add ~/.ssh/path_to_private_key
检查节点间的 SSH 以确保连接是正常运行的
  • SSH 到任何节点时,请确保添加 ​-A​ 标志:
ssh -A 10.0.0.7
当在任何节点上使用 sudo 时,请确保保持环境变量设置,以便 SSH 转发能够正常工作: 
sudo -E -s
在所有节点上配置 SSH 之后,你应该在运行过 ​kubeadm init​ 命令的第一个 控制平面节点上运行以下脚本。 该脚本会将证书从第一个控制平面节点复制到另一个控制平面节点:

在以下示例中,用其他控制平面节点的 IP 地址替换 ​CONTROL_PLANE_IPS​。

USER=ubuntu # 可定制
CONTROL_PLANE_IPS="10.0.0.7 10.0.0.8"
for host in ${CONTROL_PLANE_IPS}; do
    scp /etc/kubernetes/pki/ca.crt "${USER}"@$host:
    scp /etc/kubernetes/pki/ca.key "${USER}"@$host:
    scp /etc/kubernetes/pki/sa.key "${USER}"@$host:
    scp /etc/kubernetes/pki/sa.pub "${USER}"@$host:
    scp /etc/kubernetes/pki/front-proxy-ca.crt "${USER}"@$host:
    scp /etc/kubernetes/pki/front-proxy-ca.key "${USER}"@$host:
    scp /etc/kubernetes/pki/etcd/ca.crt "${USER}"@$host:etcd-ca.crt
    scp /etc/kubernetes/pki/etcd/ca.key "${USER}"@$host:etcd-ca.key
done

Caution: 只需要复制上面列表中的证书。kubeadm 将负责生成其余证书以及加入控制平面实例所需的 SAN。 如果你错误地复制了所有证书,由于缺少所需的 SAN,创建其他节点可能会失败。

然后,在每个即将加入集群的控制平面节点上,你必须先运行以下脚本,然后 再运行 ​kubeadm join​。 该脚本会将先前复制的证书从主目录移动到 ​/etc/kubernetes/pki​: 

USER=ubuntu # 可定制
mkdir -p /etc/kubernetes/pki/etcd
mv /home/${USER}/ca.crt /etc/kubernetes/pki/
mv /home/${USER}/ca.key /etc/kubernetes/pki/
mv /home/${USER}/sa.pub /etc/kubernetes/pki/
mv /home/${USER}/sa.key /etc/kubernetes/pki/
mv /home/${USER}/front-proxy-ca.crt /etc/kubernetes/pki/
mv /home/${USER}/front-proxy-ca.key /etc/kubernetes/pki/
mv /home/${USER}/etcd-ca.crt /etc/kubernetes/pki/etcd/ca.crt
mv /home/${USER}/etcd-ca.key /etc/kubernetes/pki/etcd/ca.key
上一节: Kubernetes 高可用拓扑选项
下一节: Kubernetes 使用kubeadm创建一个高可用etcd集群

备案信息: 粤ICP备15087711号-2

Copyright © 2008-2024 啊嘎哇在线工具箱 All Rights.

本站所有资料来源于网络,版权归原作者所有,仅作学习交流使用,如不慎侵犯了您的权利,请联系我们。