摘要:年初開始研究���,至目前已發(fā)表近篇學(xué)習(xí)筆記���。同時,他也是中國社區(qū)的活躍者���,見證了中國社區(qū)的一路成長��。經(jīng)本人授權(quán)���,從本周開始,中國將轉(zhuǎn)載他的學(xué)習(xí)筆記�,由淺入深地分享他在學(xué)習(xí)過程中的收獲。節(jié)點包含的組件目前這三個組件需要部署在同一臺機器上��。
作者:宋凈超
宋凈超(Jimmy Song)��,TalkingData 容器技術(shù)負責(zé)人��,微服務(wù)和云原生應(yīng)用布道者�。2017 年初開始研究 Kubernetes�,至目前已發(fā)表近 40 篇 Kubernetes 學(xué)習(xí)筆記�����。同時�,他也是「K8sMeetup 中國社區(qū)」的活躍者,見證了「K8sMeetup 中國社區(qū)」的一路成長�。
經(jīng) Jimmy Song 本人授權(quán), 從本周開始����,K8sMeetup 中國將轉(zhuǎn)載他的 Kubernetes 學(xué)習(xí)筆記�,由淺入深地分享他在學(xué)習(xí)過程中的收獲。7 月 22 日����,北京 K8S 2 周年Meetup,Jimmy Song 也將到現(xiàn)場進行分享����,歡迎 Kubernetes 愛好者屆時參與。
kubernetes master 節(jié)點包含的組件:
kube-apiserver
kube-scheduler
kube-controller-manager
目前這三個組件需要部署在同一臺機器上�。
kube-scheduler、kube-controller-manager 和 kube-apiserver 三者的功能緊密相關(guān)��;
同時只能有一個 kube-scheduler、kube-controller-manager 進程處于工作狀態(tài)�,如果運行多個,則需要通過選舉產(chǎn)生一個 leader�;
本文檔記錄部署一個三個節(jié)點的高可用 kubernetes master 集群步驟。(后續(xù)創(chuàng)建一個 load balancer 來代理訪問 kube-apiserver 的請求)
暫時未實現(xiàn)master節(jié)點的高可用�����。
TLS 證書文件
pem和token.csv證書文件我們在TLS證書和秘鑰這一步中已經(jīng)創(chuàng)建過了��。我們再檢查一下����。
下載最新版本的二進制文件
有兩種下載方式
方式一
從 github release 頁面 下載發(fā)布版 tarball,解壓后再執(zhí)行下載腳本
方式二
從 CHANGELOG頁面 下載 client 或 server tarball 文件
server 的 tarball kubernetes-server-linux-amd64.tar.gz 已經(jīng)包含了 client(kubectl) 二進制文件�����,所以不用多帶帶下載kubernetes-client-linux-amd64.tar.gz文件��;
配置和啟動 kube-apiserver
創(chuàng)建 kube-apiserver的service配置文件
serivce配置文件/usr/lib/systemd/system/kube-apiserver.service內(nèi)容:
--authorization-mode=RBAC 指定在安全端口使用 RBAC 授權(quán)模式�,拒絕未通過授權(quán)的請求;
kube-scheduler��、kube-controller-manager 一般和 kube-apiserver 部署在同一臺機器上����,它們使用非安全端口和 kube-apiserver通信;
kubelet�、kube-proxy�����、kubectl 部署在其它 Node 節(jié)點上��,如果通過安全端口訪問 kube-apiserver�����,則必須先通過 TLS 證書認證����,再通過 RBAC 授權(quán)��;
kube-proxy��、kubectl 通過在使用的證書里指定相關(guān)的 User��、Group 來達到通過 RBAC 授權(quán)的目的�;
如果使用了 kubelet TLS Boostrap 機制,則不能再指定 --kubelet-certificate-authority��、--kubelet-client-certificate 和 --kubelet-client-key 選項,否則后續(xù) kube-apiserver 校驗 kubelet 證書時出現(xiàn) ”x509: certificate signed by unknown authority“ 錯誤���;
--admission-control 值必須包含 ServiceAccount���;
--bind-address 不能為 127.0.0.1;
runtime-config配置為rbac.authorization.k8s.io/v1beta1���,表示運行時的apiVersion����;
--service-cluster-ip-range 指定 Service Cluster IP 地址段���,該地址段不能路由可達����;
缺省情況下 kubernetes 對象保存在 etcd /registry 路徑下��,可以通過 --etcd-prefix 參數(shù)進行調(diào)整����;
完整 unit 見 kube-apiserver.service
如果有組件report unhealthy請參考:https://github.com/kubernetes...
完整 unit 見 kube-controller-manager.service
啟動 kube-controller-manager
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/32562.html
