一 部署 kube-proxy

kube-proxy 运行在所有节点上,它监听 apiserver 中 service 和 endpoint 的变化情况,创建路由规则以提供服务 IP 和负载均衡功能。

1.1 安装kube-proxy

提示:k8smaster01节点已下载相应二进制,可直接分发至node节点。

1.2 分发kube-proxy

  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh

  3 [root@k8smaster01 work]# for all_ip in ${ALL_IPS[@]}

  4   do

  5     echo ">>> ${all_ip}"

  6     scp kubernetes/server/bin/kube-proxy root@${all_ip}:/opt/k8s/bin/

  7     ssh root@${all_ip} "chmod +x /opt/k8s/bin/*"

  8   done

1.3 创建kube-scheduler证书和私钥

  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# cat > kube-proxy-csr.json <<EOF

  3 {

  4   "CN": "system:kube-proxy",

  5   "key": {

  6     "algo": "rsa",

  7     "size": 2048

  8   },

  9   "names": [

 10     {

 11       "C": "CN",

 12       "ST": "Shanghai",

 13       "L": "Shanghai",

 14       "O": "k8s",

 15       "OU": "System"

 16     }

 17   ]

 18 }

 19 EOF

 20 #创建kube-scheduler的CA证书请求文件
解释:



  • CN:指定该证书的 User 为 system:kube-proxy;


    •

  • 预定义的 RoleBinding system:node-proxier 将User system:kube-proxy 与 Role system:node-proxier 绑定,该 Role 授予了调用 kube-apiserver Proxy 相关 API 的权限;


    •

  • 该证书只会被 kube-proxy 当做 client 证书使用,所以 hosts 字段为空。

  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# cfssl gencert -ca=/opt/k8s/work/ca.pem \

  3 -ca-key=/opt/k8s/work/ca-key.pem -config=/opt/k8s/work/ca-config.json \

  4 -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy		#生成CA密钥(ca-key.pem)和证书(ca.pem)

1.4 创建和分发kubeconfig

kube-proxy 使用 kubeconfig 文件访问 apiserver,该文件提供了 apiserver 地址、嵌入的 CA 证书和 kube-proxy 证书:
  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh

  3 [root@k8smaster01 work]# kubectl config set-cluster kubernetes \

  4   --certificate-authority=/opt/k8s/work/ca.pem \

  5   --embed-certs=true \

  6   --server=${KUBE_APISERVER} \

  7   --kubeconfig=kube-proxy.kubeconfig

  8

  9 [root@k8smaster01 work]# kubectl config set-credentials kube-proxy \

 10   --client-certificate=kube-proxy.pem \

 11   --client-key=kube-proxy-key.pem \

 12   --embed-certs=true \

 13   --kubeconfig=kube-proxy.kubeconfig

 14

 15 [root@k8smaster01 work]# kubectl config set-context default \

 16   --cluster=kubernetes \

 17   --user=kube-proxy \

 18   --kubeconfig=kube-proxy.kubeconfig

 19

 20 [root@k8smaster01 work]# kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig

 21

 22 [root@k8smaster01 ~]# cd /opt/k8s/work

 23 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh

 24 [root@k8smaster01 work]# for node_name in ${NODE_NAMES[@]}

 25   do

 26     echo ">>> ${node_name}"

 27     scp kube-proxy.kubeconfig root@${node_name}:/etc/kubernetes/

 28   done

1.5 创建kube-proxy 配置文件

从 v1.10 开始,kube-proxy 部分参数可以配置文件中配置。可以使用 --write-config-to 选项生成该配置文件。
  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# cat > kube-proxy-config.yaml.template <<EOF

  3 kind: KubeProxyConfiguration

  4 apiVersion: kubeproxy.config.k8s.io/v1alpha1

  5 clientConnection:

  6   burst: 200

  7   kubeconfig: "/etc/kubernetes/kube-proxy.kubeconfig"

  8   qps: 100

  9 bindAddress: ##ALL_IP##

 10 healthzBindAddress: ##ALL_IP##:10256

 11 metricsBindAddress: ##ALL_IP##:10249

 12 enableProfiling: true

 13 clusterCIDR: ${CLUSTER_CIDR}

 14 hostnameOverride: ##ALL_NAME##

 15 mode: "ipvs"

 16 portRange: ""

 17 kubeProxyIPTablesConfiguration:

 18   masqueradeAll: false

 19 kubeProxyIPVSConfiguration:

 20   scheduler: rr

 21   excludeCIDRs: []

 22 EOF
解释:



  • bindAddress: 监听地址;


    •

  • clientConnection.kubeconfig: 连接 apiserver 的 kubeconfig 文件;


    •

  • clusterCIDR: kube-proxy 根据 --cluster-cidr 判断集群内部和外部流量,指定 --cluster-cidr 或 --masquerade-all 选项后 kube-proxy 才会对访问 Service IP 的请求做 SNAT;


    •

  • hostnameOverride: 参数值必须与 kubelet 的值一致,否则 kube-proxy 启动后会找不到该 Node,从而不会创建任何 ipvs 规则;


    •

  • mode: 使用 ipvs 模式。

1.6 分发配置文件

  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh

  3 [root@k8smaster01 work]# for (( i=0; i < 6; i++ ))

  4   do

  5     echo ">>> ${ALL_NAMES[i]}"

  6     sed -e "s/##ALL_NAME##/${ALL_NAMES[i]}/" -e "s/##ALL_IP##/${ALL_IPS[i]}/" kube-proxy-config.yaml.template > kube-proxy-config-${ALL_NAMES[i]}.yaml.template

  7     scp kube-proxy-config-${ALL_NAMES[i]}.yaml.template root@${ALL_NAMES[i]}:/etc/kubernetes/kube-proxy-config.yaml

  8   done

1.7 创建kube-proxy的systemd

  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh

  3 [root@k8smaster01 work]# cat > kube-proxy.service <<EOF

  4 [Unit]

  5 Description=Kubernetes Kube-Proxy Server

  6 Documentation=https://github.com/GoogleCloudPlatform/kubernetes

  7 After=network.target

  8

  9 [Service]

 10 WorkingDirectory=${K8S_DIR}/kube-proxy

 11 ExecStart=/opt/k8s/bin/kube-proxy \\

 12   --config=/etc/kubernetes/kube-proxy-config.yaml \\

 13   --logtostderr=true \\

 14   --v=2

 15 Restart=on-failure

 16 RestartSec=5

 17 LimitNOFILE=65536

 18

 19 [Install]

 20 WantedBy=multi-user.target

 21 EOF

1.8 分发kube-proxy systemd

  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh

  3 [root@k8smaster01 work]# for all_name in ${ALL_NAMES[@]}

  4   do

  5     echo ">>> ${all_name}"

  6     scp kube-proxy.service root@${all_name}:/etc/systemd/system/

  7   done						#分发system

二 启动并验证

2.1 启动kube-proxy 服务

  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh

  3 [root@k8smaster01 work]# for all_ip in ${ALL_IPS[@]}

  4   do

  5     echo ">>> ${all_ip}"

  6     ssh root@${all_ip} "mkdir -p ${K8S_DIR}/kube-proxy"

  7     ssh root@${all_ip} "modprobe ip_vs_rr"

  8     ssh root@${all_ip} "systemctl daemon-reload && systemctl enable kube-proxy && systemctl restart kube-proxy"

  9   done						#启动服务前必须先创建工作目录

2.2 检查kube-proxy 服务

  1 [root@k8smaster01 ~]# source /opt/k8s/bin/environment.sh

  2 [root@k8smaster01 ~]# for all_ip in ${ALL_IPS[@]}

  3   do

  4     echo ">>> ${all_ip}"

  5     ssh root@${all_ip} "systemctl status kube-proxy|grep Active"

  6   done

2.3 查看监听端口

kube-proxy 监听 10249 和 10256 端口:
  • 10249:对外提供 /metrics;
  • 10256:对外提供 /healthz 的访问。
  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh

  3 [root@k8smaster01 work]# for all_ip in ${ALL_IPS[@]}

  4   do

  5     echo ">>> ${all_ip}"

  6     ssh root@${all_ip} "sudo netstat -lnpt|grep kube-prox"

  7   done

2.4 查看ipvs 路由规则

  1 [root@k8smaster01 ~]# cd /opt/k8s/work

  2 [root@k8smaster01 work]# source /opt/k8s/bin/environment.sh

  3 [root@k8smaster01 work]# for all_ip in ${ALL_IPS[@]}

  4   do

  5     echo ">>> ${all_ip}"

  6     ssh root@${all_ip} "/usr/sbin/ipvsadm -ln"

  7   done
可见所有通过 https 访问 K8S SVC kubernetes 的请求都转发到 kube-apiserver 节点的 6443 端口。

016.Kubernetes二进制部署所有节点kube-proxy的更多相关文章

  1. 013.Kubernetes二进制部署worker节点Nginx实现高可用

    一 Nginx代理实现kube-apiserver高可用 1.1 Nginx实现高可用 基于 nginx 代理的 kube-apiserver 高可用方案. 控制节点的 kube-controller ...

  2. 015.Kubernetes二进制部署所有节点kubelet

    一 部署 kubelet kubelet 运行在每个 worker 节点上,接收 kube-apiserver 发送的请求,管理 Pod 容器,执行交互式命令,如 exec.run.logs 等. k ...

  3. 012.Kubernetes二进制部署worker节点Flannel

    一 部署flannel 1.1 安装flannel kubernetes 要求集群内各节点(包括 master 节点)能通过 Pod 网段互联互通.flannel 使用 vxlan 技术为各节点创建一 ...

  4. Kubernetes 二进制部署(一)单节点部署(Master 与 Node 同一机器)

    0. 前言 最近受“新冠肺炎”疫情影响,在家等着,入职暂时延后,在家里办公和学习 尝试通过源码编译二进制的方式在单一节点(Master 与 Node 部署在同一个机器上)上部署一个 k8s 环境,整理 ...

  5. K8s二进制部署单节点 master组件 node组件 ——头悬梁

    K8s二进制部署单节点   master组件 node组件   --头悬梁 1.master组件部署 2.node   组件部署 k8s集群搭建: etcd集群 flannel网络插件 搭建maste ...

  6. K8s二进制部署单节点 etcd集群,flannel网络配置 ——锥刺股

    K8s 二进制部署单节点 master    --锥刺股 k8s集群搭建: etcd集群 flannel网络插件 搭建master组件 搭建node组件 1.部署etcd集群 2.Flannel 网络 ...

  7. Kubernetes 二进制部署(二)集群部署(多 Master 节点通过 Nginx 负载均衡)

    0. 前言 紧接上一篇,本篇文章我们尝试学习多节点部署 kubernetes 集群 并通过 haproxy+keepalived 实现 Master 节点的负载均衡 1. 实验环境 实验环境主要为 5 ...

  8. Kubernetes 二进制部署

    目录 1.基础环境 2.部署DNS 3.准备自签证书 4.部署Docker环境 5.私有仓库Harbor部署 6.部署Master节点 6.1.部署Etcd集群 6.2.部署kube-apiserve ...

  9. k8s1.13.0二进制部署-node节点(四)

    Master apiserver启用TLS认证后,Node节点kubelet组件想要加入集群,必须使用CA签发的有效证书才能与apiserver通信,当Node节点很多时,签署证书是一件很繁琐的事情, ...

随机推荐

  1. Java基础之集合框架(Collection接口和List接口)

    首先我们说说集合有什么作用. 一.集合的作用 1.在类的内部,对数据进行组织: 2.简单而快速的搜索大数量的条目: 3.有的集合接口,提供一系列排列有序的元素,并且可以在序列中间快速的插入或者删除有关 ...

  2. 攻防世界(XCTF)WEB(进阶区)write up(一)

      cat ics-05 ics-06 lottery Cat XCTF 4th-WHCTF-2017 输入域名  输入普通域名无果  输入127.0.0.1返回了ping码的结果 有可能是命令执行 ...

  3. prototype与 _proto__的关系

    prototype与 __ proto__ 都是在这个过程中催生的产物,我们一会儿马上讨论,在这之...做对象即可,那javascript种究竟是通过什么来明确继承关系的呢. 一.构造函数: 构造函数 ...

  4. [NOIp2009] luogu P1071 潜伏者

    翘课间操和体育课来水博客. 题目描述 CCF的题面贼长,但貌似除了背景以外,每句话都删不掉.不写啦,反正也是Ctrl C的. Solution 显然这是一道码农题. #include<cstdi ...

  5. Sieve of Eratosthenes时间复杂度的感性证明

    上代码. #include<cstdio> #include<cstdlib> #include<cstring> #define reg register con ...

  6. ‎Cocos2d-x 学习笔记(26) 从源码学习 DrawCall 的降低方法

    [Cocos2d-x]学习笔记目录 本文链接:https://www.cnblogs.com/deepcho/cocos2dx-drawcall-glcalls 1. 屏幕左下角 我们通常在Cocos ...

  7. 【Dubbo】Zookeeper+Dubbo项目demo搭建

    一.Dubbo的注解配置 在Dubbo 2.6.3及以上版本提供支持. 1.@Service(全路径@org.apache.dubbo.config.annotation.Service) 配置服务提 ...

  8. 我要学并发-Java内存模型到底是什么

    内存模型 在计算机CPU,内存,IO三者之间速度差异,为了提高系统性能,对这三者速度进行平衡. CPU 增加了缓存,以均衡与内存的速度差异: 操作系统增加了进程.线程,以分时复用 CPU,进而均衡 C ...

  9. 关于vue使用的一些小经验

    这一年来说,vue的势头很猛,用户量“噌”“噌”“噌”的涨 为了不掉队不落伍.在后台大哥的胁迫下,不得不选择用了它 刚开始很难接受vue的写法,在编辑器里很容易报错,基本上每行都会出现红色的波浪线 这 ...

  10. gojs常用API (中文文档)

    常用API   操作类API   API 例子 应用场景 添加节点 myDiagram.model.addNodeData(node); var node = {}; node["key&q ...