node节点部署几点问题
- node节点部署可以不涉及证书复制,通过kubectl config 生成认证和授权(整个集群的访问都是要通过认证和授权二个阶段)
- node节点的网络可以基于docker自身的cni和网络插件(flannel)完成网络的功能(区别在于docker自带的只能docker使用)
- 授权是基于用户名,kubelet和kube-porxy都需要通过角色授权访问资源
- 一个节点部署完成后,其他节点可以直接使用配合文件(只要修改节点显示名称–hostname-override=k8s-nodex,名称相同加入不进集群)
- 节点认证请求后需要master段确认,如果遇到配置错误或修改配置,需要把节点的生成的证书文件全部删除,然后删除master的请求信息,最后重启kubelet服务,重新加入集群
node节点
- kubelet:实现容器的生命周期
- kube-proxy:负责写入规则至 IPTABLES、IPVS 实现服务映射访问(实现集群外的访问Pod应用)
mkdir -p /usr/local/k8s/{
conf,logs}
#创建工作目录
#拷贝kubelet和kube-proxy二进制文件到/usr/local/bin
生成认证文件
- kubelet基于token认证
- kube-proxy证书认证
kubele
head -c 16 /dev/urandom | od -An -t x | tr -d ' '
#自动生成一个随机token
cat token.csv
64c8a4bd1c2e920aa92049044b5197ba,kubelet-bootstrap,10001,"system:kubelet-bootstrap"
#格式:token,用户名,UID,用户组
kube-proxy
cat kube-proxy-csr.json
{
"CN": "kube-proxy",
"hosts": [ ],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "SHANGHAI",
"ST": "SHANGHAI"
}
]
}
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server kube-proxy-csr.json | cfssljson -bare /opt/etcd/ssl/k8s/kube-proxy
#只要注意-profile指定的名称,这个是ca证书里指定的
配置文件kubeconfig生成
kubeconfig是用于在node节点上kubelet和kube-proxy访问集群的认证
kubele
kubectl config set-cluster k8s-master --certificate-authority=/usr/local/k8s/ssl/ca.pem --embed-certs=true --server=https://192.168.12.2:6443 --kubeconfig=kubelet-bootstrap.kubeconfig
#配置集群参数,修改ca公钥和集群server地址
kubectl config set-credentials kubelet-bootstrap --token=64c8a4bd1c2e920aa92049044b5197ba --kubeconfig=kubelet-bootstrap.kubeconfig
#配置客户端认证参数,token值就是生成token文件里的
kubectl config set-context default --cluster=k8s-master --user=kubelet-bootstrap --kubeconfig=kubelet-bootstrap.kubeconfig
#设置上下文参数,集群参数和用户参数可以同时设置多对,在上下文参数中将集群参数和用户参数关联起来
#上下文名称default,集群名称k8s-master,访问集群的用户名为kubelet-bootstrap
kube-proxy
kubectl config set-cluster k8s-master --certificate-authority=/usr/local/k8s/ssl/ca.pem --embed-certs=true --server=https://192.168.12.2:6443 --kubeconfig=kube-proxy.kubeconfig
kubectl config set-credentials kube-proxy --client-certificate=/usr/local/k8s/ssl/kube-proxy.pem \
--client-key=/usr/local/k8s/ssl/kube-proxy-key.pem --embed-certs=true --kubeconfig=kube-proxy.kubeconfig
#不同在于kube-proxy使用认证方式
kubectl config set-context default --cluster=k8s-master --user=kube-proxy --kubeconfig=kube-proxy.kubeconfig
#用户kube-proxy
生成的文件拷贝到节点上
用户授权
扫描二维码关注公众号,回复:
12785491 查看本文章
kubeconfig完成集群的认证,而还需要用户的资源授权才能正式可以访问集群
kubectl create clusterrolebinding kubelet-bootstrap \
--clusterrole=system:node-bootstrapper \
--user=kubelet-bootstrap
kubectl create clusterrolebinding kube-proxy \
--clusterrole=system:node-proxier \
--user=kube-proxy
#clusterrole代表的是集群角色,也就是所有的namespace资源
#2个角色的授权资源可以通过命令查看,system:node-bootstrapper和system:node-proxier都是自带的集群角色
角色查看
kubectl get clusterrole
#查看所有的集群角色
kubectl get clusterrole system:node-bootstrapper -o yaml
#查看system:node-bootstrapper角色的yaml信息
#verbs授权资源,create、get、list、watch
kubectl get clusterrolebinding kube-proxy -o wide
#查看集群构建kube-proxy详细信息
准备阶段完毕
kubele配置文件
cat kubelet.conf
KUBELET_OPTS="--logtostderr=false \
--v=2 \
--log-dir=/usr/local/k8s/logs \
--hostname-override=k8s-node1 \
--kubeconfig=/usr/local/k8s/conf/kubelet.kubeconfig \
--bootstrap-kubeconfig=/usr/local/k8s/conf/kubelet-bootstrap.kubeconfig \
--cert-dir=/usr/local/k8s/ssl \
--cluster-dns=10.2.0.2 \
--cluster-domain=cluster.local. \
--fail-swap-on=false \
--pod-infra-container-image=registry.cn-hangzhou.aliyuncs.com/google-containers/pause-amd64:3.0"
- –hostname-override:节点显示名称
- –network-plugin:启用CNI #使用第三方cni需要配置,默认docker可以不用
- –kubeconfig:空路径,会自动生成,后面用于连接apiserver
- –bootstrap-kubeconfig:首次启动向apiserver申请证书
- –cert-dir:kubelet证书生成目录
- –pod-infra-container-image:管理Pod网络容器的镜像
pod-infra-container-image就是pause容器,实现共享网络namespace和挂载
systemcd管理
cat /usr/lib/systemd/system/kubelet.service
[Unit]
Description=Kubernetes Kubelet
After=docker.service
Requires=docker.service
[Service]
EnvironmentFile=/usr/local/k8s/conf/kubelet.conf
ExecStart=/usr/local/bin/kubelet $KUBELET_OPTS
Restart=on-failure
KillMode=process
[Install]
WantedBy=multi-user.target
systemctl start kubelet.service
#启动服务
kube-proxy配置
cat kube-proxy.conf
KUBE_PROXY_OPTS="--logtostderr=false \
--v=2 \
--log-dir=/usr/loacl/k8s/logs \
--config=/usr/local/k8s/conf/kube-proxy-config.yml"
–config存放了配置参数
cat kube-proxy-config.yml
kind: KubeProxyConfiguration
apiVersion: kubeproxy.config.k8s.io/v1alpha1
bindAddress: 0.0.0.0
metricsBindAddress: 0.0.0.0:10249
clientConnection:
kubeconfig: /usr/local/k8s/conf/kube-proxy.kubeconfig
hostnameOverride: k8s-node1
clusterCIDR: 10.2.0.0/24
参考参数:https://github.com/kubernetes/kube-proxy/blob/20569a1933eee4b6a526bfe564d476dd7e29c020/config/v1alpha1/types.go#L136
配置模板:https://github.com/ReSearchITEng/kubeadm-playbook/blob/master/group_vars/all/KubeProxyConfiguration.yml
systemcd管理
cat /usr/lib/systemd/system/kube-proxy.service
[Unit]
Description=Kubernetes Proxy
After=network.target
[Service]
EnvironmentFile=-/usr/local/k8s/conf/kube-proxy.conf
ExecStart=/usr/local/bin/kube-proxy $KUBE_PROXY_OPTS
Restart=on-failure
[Install]
WantedBy=multi-user.target
查看状态
kubectl get node -o wide
#查看节点详细信息
kubectl run nginx --image=nginx --replicas=2
kubectl expose deployment nginx --port=88 --target-port=80 --type=NodePort
#创建测试pod
kubectl get pods
#查看pod,默认namespace=default
搭建过程在于理解各个组件,配置还需要后期不断调整,配置参考的是网上和学习视频,官方本身也没有提供二进制安装教程,所有配置都是要基于组件的理解才能明白,目前这样配置只能说是运行起来了,对于后期的学习调整很有帮助,配置对错都是后期能经过自己调整或者验证的