九.部署kube-controller-manager

kube-controller-manager是Kube-Master相关的3个服务之一,是有状态的服务,会修改集群的状态信息。

如果多个master节点上的相关服务同时生效,则会有同步与一致性问题,所以多master节点中的kube-controller-manager服务只能是主备的关系,kukubernetes采用租赁锁(lease-lock)实现leader的选举,具体到kube-controller-manager,设置启动参数"--leader-elect=true"。

1. 创建kube-controller-manager证书

1)创建kube-conftroller-manager证书签名请求

# kube-controller-mamager与kubei-apiserver通信采用双向TLS认证;

# kube-apiserver提取CN作为客户端的用户名,即system:kube-controller-manager。 kube-apiserver预定义的 RBAC使用的ClusterRoleBindings system:kube-controller-manager将用户system:kube-controller-manager与ClusterRole system:kube-controller-manager绑定

[root@kubenode1 ~]# mkdir -p /etc/kubernetes/controller-manager

[root@kubenode1 ~]# cd /etc/kubernetes/controller-manager/

[root@kubenode1 controller-manager]# touch controller-manager-csr.json

[root@kubenode1 controller-manager]# vim controller-manager-csr.json

{

    "CN": "system:kube-controller-manager",

    "hosts": [

      "172.30.200.21",

      "172.30.200.22",

      "172.30.200.23"

    ],

    "key": {

        "algo": "rsa",

        "size": 2048

    },

    "names": [

        {

            "C": "CN",

            "ST": "ChengDu",

            "L": "ChengDu",

            "O": "system:kube-controller-manager",

            "OU": "cloudteam"

        }

    ]

}

2)生成kube-controller-mamager证书与私钥

[root@kubenode1 controller-manager]# cfssl gencert -ca=/etc/kubernetes/ssl/ca.pem \

-ca-key=/etc/kubernetes/ssl/ca-key.pem \

-config=/etc/kubernetes/ssl/ca-config.json \

-profile=kubernetes controller-manager-csr.json | cfssljson -bare controller-manager

# 分发controller-manager.pem,controller-manager-key.pem

[root@kubenode1 controller-manager]# scp controller-manager*.pem root@172.30.200.22:/etc/kubernetes/controller-manager/

[root@kubenode1 controller-manager]# scp controller-manager*.pem root@172.30.200.23:/etc/kubernetes/controller-manager/

2. 创建kube-controller-manager kubeconfig文件

kube-controller-manager kubeconfig文件中包含Master地址信息与必要的认证信息。

# 配置集群参数;

# --server:指定api-server,采用ha之后的vip;

# cluster名自定义,设定之后需保持一致;

# --kubeconfig:指定kubeconfig文件路径与文件名;如果不设置,默认生成在~/.kube/config文件

[root@kubenode1 controller-manager]# kubectl config set-cluster kubernetes \

--certificate-authority=/etc/kubernetes/ssl/ca.pem \

--embed-certs=true \

--server=https://172.30.200.10:6443 \

--kubeconfig=controller-manager.conf

# 配置客户端认证参数;

# 认证用户为前文签名中的“system:kube-controller-manager”;

# 指定对应的公钥证书/私钥等

[root@kubenode1 controller-manager]# kubectl config set-credentials system:kube-controller-manager \

--client-certificate=/etc/kubernetes/controller-manager/controller-manager.pem \

--embed-certs=true \

--client-key=/etc/kubernetes/controller-manager/controller-manager-key.pem \

--kubeconfig=controller-manager.conf

# 配置上下文参数

[root@kubenode1 controller-manager]# kubectl config set-context system:kube-controller-manager@kubernetes \

--cluster=kubernetes \

--user=system:kube-controller-manager \

--kubeconfig=controller-manager.conf

# 配置默认上下文

[root@kubenode1 controller-manager]# kubectl config use-context system:kube-controller-manager@kubernetes --kubeconfig=controller-manager.conf

# 分发controller-manager.conf文件到所有master节点;

[root@kubenode1 controller-manager]# scp controller-manager.conf root@172.30.200.22:/etc/kubernetes/controller-manager/

[root@kubenode1 controller-manager]# scp controller-manager.conf root@172.30.200.23:/etc/kubernetes/controller-manager/

3. 配置kube-controller-manager的systemd unit文件

相关可执行文件在部署kubectl时已部署完成。

# kube-controller-manager在kube-apiserver启动之后启动

[root@kubenode1 ~]# touch /usr/lib/systemd/system/kube-controller-manager.service

[root@kubenode1 ~]# vim /usr/lib/systemd/system/kube-controller-manager.service

[Unit]

Description=Kubernetes Controller Manager

Documentation=https://github.com/GoogleCloudPlatform/kubernetes

After=network.target

After=kube-apiserver.service

[Service]

EnvironmentFile=/usr/local/kubernetes/kube-controller-manager.conf

ExecStart=/usr/local/kubernetes/bin/kube-controller-manager $KUBE_CONTROLLER_MANAGER_ARGS

Restart=on-failure

RestartSec=5

[Install]

WantedBy=multi-user.target

# 启动参数文件

# --kubeconfig:kubeconfig配置文件路径,配置文件中包含master地址信息与必要的认证信息;

# --allocate-node:设置为true时,使用云服务商为Pod分配的cidrs,一般仅用在公有云;

# --cluster-name:集群名称,默认即kubernetes;

# --cluster-signing-cert-file / --cluster-signing-key-file:用于集群范围的认证;

# --service-account-private-key-file:用于service account token签名的私钥文件路径;

# --root-ca-file:根ca证书路径,被用于service account 的token secret中

# --insecure-experimental-approve-all-kubelet-csrs-for-group:controller-manager自动授权kubelet客户端证书csr组

# --use-service-account-credentials:设置为true时,表示为每个controller分别设置service account;

# --controllers:启动的contrller列表,默认为”*”,启用所有的controller,但不包含” bootstrapsigner”与”tokencleaner”;

# --leader-elect:设置为true时进行leader选举,集群高可用部署时controller-manager必须选举leader,默认即true

[root@kubenode1 ~]# touch /usr/local/kubernetes/kube-controller-manager.conf

[root@kubenode1 ~]# vim /usr/local/kubernetes/kube-controller-manager.conf

KUBE_CONTROLLER_MANAGER_ARGS="--master=https://172.30.200.10:6443 \

  --kubeconfig=/etc/kubernetes/controller-manager/controller-manager.conf \

  --allocate-node-cidrs=true \

  --service-cluster-ip-range=169.169.0.0/16 \

  --cluster-cidr=10.254.0.0/16 \

  --cluster-name=kubernetes \

  --cluster-signing-cert-file=/etc/kubernetes/ssl/ca.pem \

  --cluster-signing-key-file=/etc/kubernetes/ssl/ca-key.pem \

  --service-account-private-key-file=/etc/kubernetes/ssl/ca-key.pem \

  --root-ca-file=/etc/kubernetes/ssl/ca.pem \

  --insecure-experimental-approve-all-kubelet-csrs-for-group=system:bootstrappers \

  --use-service-account-credentials=true \

  --controllers=*,bootstrapsigner,tokencleaner \

  --leader-elect=true \

  --logtostderr=false \

  --log-dir=/var/log/kubernetes/controller-manager \

  --v=2  1>>/var/log/kubernetes/kube-controller-manager.log 2>&1"

# 创建日志目录

[root@kubenode1 ~]# mkdir -p /var/log/kubernetes/controller-manager 

4. 启动并验证

1)kube-conftroller-manager状态验证

[root@kubenode1 ~]# systemctl daemon-reload

[root@kubenode1 ~]# systemctl enable kube-controller-manager

[root@kubenode1 ~]# systemctl start kube-controller-manager

[root@kubenode1 ~]# systemctl status kube-controller-manager

2)kube-conftroller-manager选举查看

# 因kubenode1是第一个启动kube-controller-manager服务的节点,尝试获取leader权限,成功

[root@kubenode1 ~]# cat /var/log/kubernetes/controller-manager/kube-controller-manager.INFO | grep "leaderelection"

# 在kubenode2上观察,kubenode2在尝试获取leader权限,但未成功,后续操作挂起

[root@kubenode2 ~]# tailf /var/log/kubernetes/controller-manager/kube-controller-manager.INFO

高可用Kubernetes集群-7. 部署kube-controller-manager的更多相关文章

  1. 高可用Kubernetes集群-11. 部署kube-dns

    参考文档: Github介绍:https://github.com/kubernetes/dns Github yaml文件:https://github.com/kubernetes/kuberne ...

  2. 高可用Kubernetes集群-15. 部署Kubernetes集群统一日志管理

    参考文档: Github:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsear ...

  3. 高可用Kubernetes集群-14. 部署Kubernetes集群性能监控平台

    参考文档: Github介绍:https://github.com/kubernetes/heapster Github yaml文件: https://github.com/kubernetes/h ...

  4. 高可用Kubernetes集群-12. 部署kubernetes-ingress

    参考文档: Github:https://github.com/kubernetes/ingress-nginx Kubernetes ingress:https://kubernetes.io/do ...

  5. 高可用Kubernetes集群-8. 部署kube-scheduler

    十.部署kube-scheduler kube-scheduler是Kube-Master相关的3个服务之一,是有状态的服务,会修改集群的状态信息. 如果多个master节点上的相关服务同时生效,则会 ...

  6. 高可用Kubernetes集群-6. 部署kube-apiserver

    八.部署kube-apiserver 接下来3章节是部署Kube-Master相关的服务,包含:kube-apiserver,kube-controller-manager,kube-schedule ...

  7. 高可用Kubernetes集群-10. 部署kube-proxy

    十二.部署kube-proxy 1. 创建kube-proxy证书 1)创建kube-proxy证书签名请求 # kube-proxy提取CN作为客户端的用户名,即system:kube-proxy. ...

  8. 高可用Kubernetes集群-13. 部署kubernetes-dashboard

    参考文档: Github介绍:https://github.com/kubernetes/dashboard Github yaml文件:https://github.com/kubernetes/d ...

  9. 高可用Kubernetes集群-9. 部署kubelet

    十一.部署kubelet 接下来两个章节是部署Kube-Node相关的服务,包含:kubelet,kube-proxy. 1. TLS bootstrap用户授权 # kubelet采用TLS Boo ...

随机推荐

  1. MFC文档应用程序CToolBar:设置两个工具条并列停靠到同一条边上 转

    转自:http://blog.csdn.net/panshiqu/article/details/9369891# 将多个工具条同时并列停靠在某窗口的某一条边上.对于这种停靠方法,利用上述工具条控制函 ...

  2. Gradle Goodness: Add Incremental Build Support to Tasks

    Gradle has a very powerful incremental build feature. This means Gradle will not execute a task unle ...

  3. Unity Loding白屏

    卡loading很多时候是由于网络原因造成的,你可以尝试断网,进入离线模式.如果使用VPN也可以先关闭使用,部分Vpn的配置也会导致该问题出现.最后可以查看一下防火墙的设置.

  4. uboot中ftd命令

    可以从u-boot官网源码下载一个比较新的u-boot, 查看它的cmd/fdt.cftp://ftp.denx.de/pub/u-boot/ fdt命令使用示例nand read.jffs2 320 ...

  5. JAVA项目服务器部署

    1.下载 Java JDK 搜索jdk下载,然后进入JAVA官方网站jdk下载页,选择自己的对应的操作系统,点击下载 https://www.oracle.com/technetwork/java/j ...

  6. H5页面手机端禁止缩放的正确方式

    H5页面禁止手机端缩放是个常见问题了 首先说meta方式 <meta content="width=device-width, initial-scale=1.0, maximum-s ...

  7. BZOJ 1941: [Sdoi2010]Hide and Seek(k-d Tree)

    Time Limit: 16 Sec  Memory Limit: 162 MBSubmit: 1712  Solved: 932[Submit][Status][Discuss] Descripti ...

  8. 含头结点的单链表C++实现(包含创建,查找,插入,追加,删除,反转,排序,合并,打印,清空,销毁等基本操作)

    温馨提示:下面代码默认链表数据为字符型,本代码仅供参考,希望能对找到本随笔的人有所帮助! #include<iostream> using namespace std; typedef s ...

  9. ElasticSearch优化系列五:机器设置(硬盘、CPU)

    硬盘对集群非常重要,特别是建索引多的情况.磁盘是一个服务器最慢的系统,对于写比较重的集群,磁盘很容易成为集群的瓶颈. 如果可以承担的器SSD盘,最好使用SSD盘.如果使用SSD,最好调整I/O调度算法 ...

  10. [试玩] FMXLinux (Firemonkey for Linux) Linux 桌面开发(第三方插件)

    FMXLinux 是一个可以用来开发 Linux 桌面软件的第三方插件,它需要配合 Delphi 10.2 Toyko 官网:http://www.fmxlinux.com/ 使用方法:开启 FMX ...