一、Helm的介绍

1,概念

  Helm 把 k8s 资源(比如 deployments、services 或 ingress 等)打包到一个 chart 中,而 chart 被保存到 chart 仓库。通过 chart 仓库 可用来存储和分享 chart。Helm 使发布可配置,支持发布应用配置的版本管理,简化了 k8s 部署应用的版本控制、打包、发布、删除、更新等操作。

  做为 k8s 的一个包管理工具,Helm 具有如下功能:

  • 创建新的 chart
  • chart 打包成 tgz 格式
  • 上传 chart 到 chart 仓库或从仓库中下载 chart
  • 在 k8s 集群中安装或卸载 chart
  • 管理用 Helm 安装的 chart 的发布周期

2,Helm的三个重要概念

  1. chart:包含创建k8s的一个应用实例的必要信息
  2. config:包含了应用发布配置信息
  3. release:是一个chart及其配置的运行实例

3,Helm的组成部分

Helm Client 是用户命令行工具,其主要负责如下:

  • 本地 chart 开发
  • 仓库管理
  • 与 Tiller sever 交互
  • 发送预安装的 chart
  • 查询 release 信息
  • 要求升级或卸载已存在的 release

Tiller Server 是一个部署在 k8s 集群内部的 server,其与 Helm client、apiserver 进行交互。Tiller server 主要负责如下:

  • 监听来自 Helm client 的请求
  • 通过 chart 及其配置构建一次发布
  • 安装 chart 到 k8s 集群,并跟踪随后的发布
  • 通过与 k8s 交互升级或卸载 chart

  简单的说,client 管理 charts,而 server 管理发布 release。

二、Helm安装

1,安装Helm客户端

下载客户端包:https://github.com/helm/helm/releases

cd /usr/local/install-k8s/plugin/helm

#可提前下载安装包

wget https://get.helm.sh/helm-v2.13.1-linux-amd64.tar.gz

tar -zxvf helm-v2.13.1-linux-amd64.tar.gz.tar

cp ./linux-amd64/helm /usr/local/bin/

2,安装Tiller服务端

rbac.yaml

apiVersion: v1

kind: ServiceAccount

metadata:

  name: tiller

  namespace: kube-system

---

apiVersion: rbac.authorization.k8s.io/v1beta1

kind: ClusterRoleBinding

metadata:

  name: tiller

roleRef:

  apiGroup: rbac.authorization.k8s.io

  kind: ClusterRole

  name: cluster-admin

subjects:

  - kind: ServiceAccount

    name: tiller

    namespace: kube-system

创建资源

kubectl create -f rbac.yaml

helm init --service-account tiller

helm init --service-account tiller --skip-refresh

#查看tiller的pod

kubectl get pod -n kube-system

  如果gcr.io/kubernetes-helm/tiller:v2.13.1镜像下载失败可采用离线docker load -i的方式导入。

3,查看Helm版本

[root@master01 helm]# helm version

Client: &version.Version{SemVer:"v2.13.1", GitCommit:"...", GitTreeState:"clean"}

Server: &version.Version{SemVer:"v2.13.1", GitCommit:"...", GitTreeState:"clean"}

三、定义Helm模板

  helm的模板库:https://hub.helm.sh/

1,安装redis

#进入网址  https://hub.helm.sh/charts/bitnami/redis

helm repo add bitnami https://charts.bitnami.com/bitnami

helm install bitnami/redis --version 11.0.

2,自定义模板

  自定义模板一般会用到 Chart.yamlvalues.yaml 和 templates 文件夹,其中:

  • Chart.yaml:必需。声明一个 Helm 模板,必须要有 name 和 version 两个属性,其值可以自定义。
  • templates 文件夹:必需。存放资源清单,比如 deployment.yaml、service.yaml 等等。运行 helm 就是为我们创建这里定义的资源。
  • valuse.yaml:可选。为资源清单提供可配置的 key - value 数据。

Chart.yaml

name: my-template

version: 1.0

values.yaml

#注意:在 values.yaml 中的值可以被部署 release 时用到的参数 --values yaml_file_path 或者 --set key1=value1, key2=value2 覆盖掉。

#例如  helm install --set image.tag=v2 .

image:

  repository: hub.xcc.com/my-xcc/my-nginx

  tag: v1

templates 下的 deployment.yaml

apiVersion: extensions/v1beta1

kind: Deployment

metadata:

  name: deployment-nginx

spec:

  replicas:

  template:

    metadata:

      labels:

        app: nginx-app

    spec:

      containers:

      - name: nginx-container

        image: {{ .Values.image.repository }}:{{ .Values.image.tag }}

        ports:

        - containerPort:

templates 下的 svc.yaml

apiVersion: v1

kind: Service

metadata:

  name: svc-nginx

spec:

  type: NodePort

  selector:

    app: nginx-app

  ports:

  - name: http

    port:

    targetPort:

    nodePort:

执行命令

#在Chart.yaml和values.yaml同级目录下

helm install .

#查看helm或者使用 helm ls

helm list

四、helm常用命令

#查看帮助

helm help

#安装

helm install .

#查看helm列表

helm list

helm ls

#查看helm被删除列表

helm ls --deleted

#查看helm状态

helm status <helm-name>

#更新配置

helm upgrade <helm-name> .

#删除helm(标记删除)

helm delete <helm-name>

#彻底删除

helm delete --purge <helm-name>

#查看历史记录

helm history <helm-name>

#回滚helm,先查询上一步历史记录,根据记录回滚

helm rollback <helm-name> <reversion-number>

#检验文件正确性

helm install --dry-run .

五、修改证书有效时长

1,查看证书有效时长

#进入证书存放目录

cd /etc/kubernetes/pki

#查看apiserver.crt 证书有效期 为2020.7.11~2021.7.

openssl x509 -in apiserver.crt -text -noout

...

        Validity

            Not Before: Jul  ::  GMT

            Not After : Jul  ::  GMT

...

2,修改有效时长

  修改方式有很多,这里我们采用通过修改kubeadm源码的方式,来实现延长证书的有效时长。

a)安装go语言

  因为 kubeadm 是 go 语言编写的,所以需要安装 go 语言。进入 go语言中文社区 点击下载。

#解压文件到指定目录

tar -xvf go1.15.2.linux-amd64.tar.gz -C /usr/local

#配置环境变量

echo "PATH=/usr/local/go/bin:$PATH" >> /etc/profile

source /etc/profile

#查看版本

go version

b)下载kubeadm源码

#下载源码

git clone https://github.com/kubernetes/kubernetes.git

cd kubernetes

#查看kubeadm版本

kubeadm version

#切换至kubeadm版本v1.15.1

git checkout -b remotes/origin/release-1.15. v1.15.1

c)修改代码

# kubeadm .14版本之后是修改这个文件

[root@master01 kubernetes]# vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go

......

// NewSignedCert creates a signed certificate using the given CA certificate and key

func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {

        # 定义一个我们想要的时间,time.Hour 表示一小时

        const addTime = time.Hour *  *  *

        serial, err := cryptorand.Int(cryptorand.Reader, new(big.Int).SetInt64(math.MaxInt64))

        if err != nil {

                return nil, err

        }

        if len(cfg.CommonName) ==  {

                return nil, errors.New("must specify a CommonName")

        }

        if len(cfg.Usages) ==  {

                return nil, errors.New("must specify at least one ExtKeyUsage")

        }

        certTmpl := x509.Certificate{

                Subject: pkix.Name{

                        CommonName:   cfg.CommonName,

                        Organization: cfg.Organization,

                },

                DNSNames:     cfg.AltNames.DNSNames,

                IPAddresses:  cfg.AltNames.IPs,

                SerialNumber: serial,

                NotBefore:    caCert.NotBefore,

                # 然后修改NotAfter

                # NotAfter:     time.Now().Add(kubeadmconstants.CertificateValidity).UTC(),

                NotAfter:     time.Now().Add(addTime).UTC(),

                KeyUsage:     x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,

                ExtKeyUsage:  cfg.Usages,

        }

        certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &certTmpl, caCert, key.Public(), caKey)

        if err != nil {

                return nil, err

        }

        return x509.ParseCertificate(certDERBytes)

}

......

编译生效

#重新编译

make WHAT=cmd/kubeadm GOFLAGS=-v

# 将编译好的 kubeadm 放入 /root 下

cp _output/bin/kubeadm /root/kubeadm

#将原有的 kubeadm 备份一下

cp /usr/bin/kubeadm /usr/bin/kubeadm.bak

#用新的 kubeadm 覆盖旧的 kubeadm

mv /root/kubeadm /usr/bin/kubeadm

# 赋予权限

chmod a+x /usr/bin/kubeadm

#备份 pki 文件夹

cp -r /etc/kubernetes/pki/ /etc/kubernetes/pki.bak

#重新生成证书文件

kubeadm alpha certs renew all --config=/usr/local/install-k8s/core/kubeadm-config.yaml

  再次查看证书有效期。

Kubernetes中的Helm和修改证书有效时间(八)的更多相关文章

  1. [转帖]Kubernetes中安装Helm及使用

    Kubernetes中安装Helm及使用 2018年07月02日 17:41:09 灬勿忘丶心安 阅读数 3699更多 分类专栏: K8S   版权声明:本文为博主原创文章,遵循CC 4.0 BY-S ...

  2. kubernetes 中的证书工作机制

    一文带你彻底厘清 Kubernetes 中的证书工作机制 搬砖者: 张首富 时 间: 2020-05-26 w x: y18163201 原文地址:https://zhaohuabing.com/po ...

  3. Helm, 在Kubernetes中部署应用的利器

    一.背景 Kubernetes(k8s)是一个基于容器技术的分布式架构领先方案.它在Docker技术的基础上,为容器化的应用提供部署运行.资源调度.服务发现和动态伸缩等一系列完整功能,提高了大规模容器 ...

  4. 4.第三篇 PKI基础概念、cfssl工具介绍及kubernetes中证书

    文章转载自:https://mp.weixin.qq.com/s?__biz=MzI1MDgwNzQ1MQ==&mid=2247483787&idx=1&sn=08dd3404 ...

  5. 关于 Kubernetes 中的 Volume 与 GlusterFS 分布式存储

    容器中持久化的文件生命周期是短暂的,如果容器中程序崩溃宕机,kubelet 就会重新启动,容器中的文件将会丢失,所以对于有状态的应用容器中持久化存储是至关重要的一个环节:另外很多时候一个 Pod 中可 ...

  6. Kubernetes 学习24 helm入门

    一.概述 1.我们此前在使用kubernetes中,无论我们使用无状态的应用程序,比如myapp,nginx.以及有状态的tomcat,redis,etcd,...等等,他们部署在k8s之上会有这样的 ...

  7. Kubernetes K8S之Helm部署、使用与示例

    Kubernetes K8S之Helm部署.使用.常见操作与示例 主机配置规划 服务器名称(hostname) 系统版本 配置 内网IP 外网IP(模拟) k8s-master CentOS7.7 2 ...

  8. Kubernetes中分布式存储Rook-Ceph的使用:一个ASP.NET Core MVC的案例

    在<Kubernetes中分布式存储Rook-Ceph部署快速演练>文章中,我快速介绍了Kubernetes中分布式存储Rook-Ceph的部署过程,这里介绍如何在部署于Kubernete ...

  9. Kubernetes中予许及限制(PodSecurityPolicy)使用宿主机资源

    1.在pod中使用宿主机命名空间.端口等资源 pod中的容器通常在分开的Linux命名空间中运行.这些命名空间将容器中的进程与其他容器中,或者宿主机默认命名空间中的进程隔离开来. 例如,每一个pod有 ...

随机推荐

  1. 【算法•日更•第五十期】二分图(km算法)

    ▎前言 戳开这个链接看看,惊不惊喜,意不意外?传送门. 没想到我的博客竟然被别人据为己有了,还没办法投诉. 这年头写个博客太难了~~~ 之前小编写过了二分图的一些基础知识和匈牙利算法,今天来讲一讲km ...

  2. python基础 Day1

    Python开发笔记 Day1 1.cpu内存 硬盘 操作系统 cpu:计算机的运算和计算中心,相当于人类大脑 内存:暂时存储数据,临时加载数据应用程序,4G(内存速度快,断电即消失) 硬盘:磁盘,长 ...

  3. max user processes 导致的服务器大量close_wait问题解决过程

    1.背景: 由于现网业务量增长过快,需要扩容应用程序服务器,分担来自前端的访问压力. 2.故障: 部署好业务启动程序后,发现程序运行一小会后不产生新的日志和数据. 3.查问题过程: 1.首先查看程序运 ...

  4. 算法-deque双端队列

    Python的deque模块,它是collections库的一部分.deque实现了双端队列,意味着你可以从队列的两端加入和删除元素 1.基本介绍 # 实例化一个deque对象d = deque()d ...

  5. openvswitch常用bond相关命令

    1.列出bondovs-appctl bond/list[root@test~]# ovs-appctl bond/listbond type recircID slavesbond1 balance ...

  6. Git clone时出现fatal:the remote end hung up unexpectedly

    以HTTPS方式进行git clone时出现如下错误: 方法1:增大缓存 git config http.postBuffer 524288000 尝试无效: 方法2:配置git的最低速度和最低速度时 ...

  7. VMD的相关命令(转载)

    转载自:http://blog.sina.com.cn/s/blog_b48a7ac30102w6xg.html 自我学习总结: 1.打开VMD main上Extensions中的TkConsole这 ...

  8. js 判断 数组和对象

    提方案的时候顺便会引申一下该方法的使用. 一,instanceOf:(可以判断) instanceOf运算符用来测试一个对象在其原型链中是否存在一个构造函数的 prototype 属性. 也可以这样说 ...

  9. Vue基础(一)---- 模板语法

    1.基本理解 Vue其实是一个渐进式JavaScript框架,封装好了一些方法,不再需要操作通过操作DOM,在相同的目标下能够更快的编写代码. 声明式渲染→组件系统→客户端路由→集中式状态管理→项目构 ...

  10. zstd和zip操作6g的文本

    ssd是在固态硬盘上的时间 1.txt   7038308223 bytes 都是默认级别 ======================================== zstd-v1.4.4-w ...