[!TIP] 二进制部署 k8s - 部署 kubelet TLS Bootstrap 引导证书方式 转载请注明出处:https://janrs.com/sxbs 有任何问题欢迎在底部评论区发言。 部署 kubelet [!NOTE] 部署 kubelet 之前需要初始化系统环境以及设置 calico 网络。 在 node 节点上,kubelet 是需要对外提供服务的。在 k8s 中,调用 kubelet 服务的也只有 kube-apiserver。 所以,kubelet 可以拥有自身的 ca 签发机构。 kube…
[!TIP] TLS Bootstrap 部署完整配置文件 转载请注明出处:https://janrs.com/y44v 有任何问题欢迎在底部评论区发言。 token.csr 配置 cat > /etc/kubernetes/config/auth-token.csv <<EOF dafe33bc8fcdae7f9f16df53a95199fa,kubelet-bootstrap,10001,system:bootstrappers EOF apiserver.conf 配置 cat > /…
[!TIP] 二进制部署 k8s - 最后总结 转载请注明出处:https://janrs.com/4frg 有任何问题欢迎在底部评论区发言。 最后总结 [!NOTE] 除了聚合层 Aggregator 没有部署外,一套高可用的,开启 node 鉴权跟 RBAC 鉴权的 k8s 集群就搭建起来了。 关于 ssl 证书 这一通二进制部署撸下来,其实可以看出,ssl 证书并不复杂。 ssl 的基本概念就是 ca 签发机构和单向认证/双向认证。 只要是作为一个独立的服务对外提供访问,就可以自己拥有一个 ca 签发机构。 …
[!TIP] 二进制部署 k8s - 部署 kubelet TLS Bootstrap 引导证书方式 转载请注明出处:https://janrs.com/i3vk 有任何问题欢迎在底部评论区发言。 部署 kubelet 1.TLS Bootstrap 引导证书方式 [!NOTE] 需要搞明白的是:TLS Bootstrap 是用来自动管理 kube-apiserver 为 kubelet 颁发的客户端 client 证书的。 前面两个手动颁发证书方式以及自动颁发证书方式是用来颁发 kubelet 的 server …
[!TIP] 二进制部署 k8s - 部署 kubelet 自签名 server 证书方式 转载请注明出处:https://janrs.com/5vgk 有任何问题欢迎在底部评论区发言。 部署 kubelet 自签名 server 证书方式 自签名其实就是手动颁发证书的自动化。自签名颁发证书也是由 kubelet 的 ca 机构颁发的。 在 /etc/kubernetes/config/kubelet.yaml 配置文件中,不需要指定以下参数: 将其注释掉即可 #tlsCertFile: "/etc/ku…
[!TIP] 二进制部署 k8s - 部署 coredns 插件 转载请注明出处:https://janrs.com/b1uy 有任何问题欢迎在底部评论区发言。 部署 coredns 插件 [!NOTE] 在 node 节点部署。 安装 直接下载对应硬件架构的 coredns。 如果 wget 下载慢的手动下载再上传 cd /home/ && \ wget https://github.com/coredns/coredns/releases/download/v1.10.0/coredns_1.1…
[!TIP] 二进制部署 k8s - node 节点部署 calico 转载请注明出处:https://janrs.com/5rce 有任何问题欢迎在底部评论区发言。 部署 calico [!NOTE] 在 node 节点部署。 1.配置网络 部署 calico 之前需要配置一下网络。具体查看官网说明。 地址:(https://projectcalico.docs.tigera.io/maintenance/troubleshoot/troubleshooting#configure-networkmanager)…
[!TIP] 二进制部署 k8s - 部署 kube-proxy 转载请注明出处:https://janrs.com/cxys 有任何问题欢迎在底部评论区发言。 部署 kube-proxy kube-proxy 主要作为 k8s 的网络代理与负载均衡,只负责定时通过 kube-apiserver 从 etcd 数据库获取 service 的信息来做创建网络代理。 同样的,kube-proxy 是需要访问 kube-apiserver 服务的,这就要求 kube-apiserver 需要为其颁发客户端 client …
[!TIP] 二进制部署 k8s - 部署 kubelet 手动颁发证书方式 转载请注明出处:https://janrs.com/24e1 有任何问题欢迎在底部评论区发言。 部署 kubelet [!NOTE] 部署 kubelet 之前需要初始化系统环境。 在 node 节点上,kubelet 是需要对外提供服务的。在 k8s 中,调用 kubelet 服务的也只有 kube-apiserver。 所以,kubelet 可以拥有自身的 ca 签发机构。 kubelet 自身作为服务,需要生成自身的 server …
[!TIP] 二进制部署 k8s - 部署 apiserver 高可用 转载请注明出处:https://janrs.com/clw9 有任何问题欢迎在底部评论区发言。 [!WARNING] 如果该环节在阿里云 ecs 部署,因为阿里云现在已经不支持 vip 了。 HA 部署环节可以在本地测试。或者线上不使用 keepalived 做高可用。 直接用 nginx 的 tcp 反向代理也是可以。 主要要注意学习的地方就是:kube-apiserver 的 server 证书地址需要把 nginx 的服务器 ip 写进 …
[!TIP] 二进制部署 k8s - 部署 kube-scheduler 转载请注明出处:https://janrs.com/av3u 有任何问题欢迎在底部评论区发言。 部署 kube-scheduler kube-scheduler 作为 kube-apiserver 的调度器,需要访问 kube-apiserver 的服务,所以需要 kube-apiserver 的 ca 机构为其签发客户端 client 证书。 这里 kube-controller 部署在 kube-apiserver 的服务器上,不单独部署…
[!TIP] 二进制部署 k8s - 部署 kube-controller-manager 转载请注明出处:https://janrs.com/12dz 有任何问题欢迎在底部评论区发言。 部署 kube-controll-manager kube-controller-mangae 作为 kube-apiserver 的控制器,需要访问 kube-apiserver 的服务,所以需要 kube-apiserver 的 ca 机构为其签发客户端 client 证书。 这里 kube-controller 部署在 ku…
[!TIP] 二进制部署 k8s - 部署 kubectl 转载请注明出处:https://janrs.com/3x5q 有任何问题欢迎在底部评论区发言。 部署 kubectl kubectl 作为 kube-apiserver 的客户端工具,需要访问 kube-apiserver 的服务,所以需要 kube-apiserver 的 ca 机构为其签发客户端 client 证书。 1.生成 ssl 证书 1-1.创建 csr 请求文件 [!NOTE] CN 参数表示用户名,这里设置为 k8s 中设定的 admin …
[!TIP] 二进制部署 k8s - 部署 kube-apiserver 转载请注明出处:https://janrs.com/dchk 有任何问题欢迎在底部评论区发言。 部署 kube-apiserver 1.创建目录 [!NOTE] 每台 master 服务器都要创建。 # 创建证书目录 mkdir -p /etc/kubernetes/pki/{apiserver/,kubelet/,aggregator/,service-account/,sign/,etcd/} # 创建配置文件存放目录以及 kubecon…
[!TIP] 二进制部署 k8s - 实用命令别名 转载请注明出处:https://janrs.com/6qdr 有任何问题欢迎在底部评论区发言。 k8s 命令别名 部署期间不停的重启服务,查看日志,查看 k8s 部署情况。打命令打到手指断掉。 一怒之下整理了常用命令别名。 kubectl 常用命令别名 cat > /etc/profile.d/kubectl_cmd_alias.sh <<EOF # 设置kubectl常用别名 alias k='kubectl' alias …
[!TIP] 二进制部署 k8s - 初始化系统环境 转载请注明出处:https://janrs.com/4xoz 有任何问题欢迎在底部评论区发言。 初始化系统环境 [!NOTE] 需要在每台服务器都执行。 只需要初始化部署 k8s 集群的服务器。 部署 etcd 集群的服务器不需要初始化。 设置主机名 hostnamectl set-hostname k8s-master01 hostnamectl set-hostname k8s-master02 hostnamectl set-hostname k8s-ma…
[!TIP] 二进制部署 k8s - 部署 etcd 集群 转载请注明出处:https://janrs.com/qtcn 有任何问题欢迎在底部评论区发言。 Alma 版本 8.6 etcd 版本 3.5.5 部署 etcd 集群 1.初始化系统 [!NOTE] 每台 etcd 服务器都要设置 1-1.设置 hostname [!NOTE] 设置后重启生效 hostnamectl set-hostname etcd-01 hostnamectl set-hostname etcd-02 hostnamectl set…
[!TIP] 二进制部署 k8s - 方案 转载请注明出处:https://janrs.com/82cc 有任何问题欢迎在底部评论区发言。 方案 版本 k8s 版本:1.23.9 coredns 版本:1.9.3 calico 版本:3.24 系统:AlamLinux8.6 ,内核版本:4.18 网络规划 pod/endpoint/calico 网段:10.100.0.0/16 service 网段:10.68.0.1/16 服务器方案 三台服务器部署 etcd 集群 三台服务器部署 master 集群 两台服务器…
[!TIP] 二进制部署 k8s - ssl 证书 转载请注明出处:https://janrs.com/3odo 有任何问题欢迎在底部评论区发言。 1.ssl 证书简介 [!NOTE] 在这里只做应用的简介,原理不做介绍。自行谷歌查阅。 涉及到安全的,也不整理文档了。自行研究。 1-1.什么是 ssl 证书 其实。。。ssl 证书没啥的,就是加密通讯用的,真正让大家头疼的不是 ssl 证书,而是跟 k8s 放在一块,结合 k8s 产生各种证书绕晕了。 先扫除这个疑虑,不要在有这个心智负担的情况下学习二进制部署k8s…