1、kubernetes集群部署

  • 注:若没有特别指明操作的节点,默认所有操作均在k8s-01节点中执行
  • kubernetes master 节点运行组件:etcd、kube-apiserver、kube-controller-manager、kube-scheduler
  • kubernetes node 节点运行组件:docker、flannel、kubelet、kube-proxy、coredns、dashboard
  • 因为master也当node节点使用,所以所有节点都部署了docker和flannel

1.0、创建CA证书和秘钥

  • 为确保安全,kubernetes各个组件需要使用x509证书对通信进行加密和认证
  • CA(Certificate Authority)是自签名的根证书,用来签名后续创建的其他证书
  • 使用CloudFlare的PKI工具cfssl创建所有证书
1.0.0、安装cfssl工具
k8s-01:~ # cd /opt/k8s/packages/

k8s-01:/opt/k8s/packages # wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

k8s-01:/opt/k8s/packages # wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

k8s-01:/opt/k8s/packages # wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64


k8s-01:/opt/k8s/packages # mv cfssl_linux-amd64 /opt/k8s/bin/cfssl

k8s-01:/opt/k8s/packages # mv cfssljson_linux-amd64 /opt/k8s/bin/cfssljson

k8s-01:/opt/k8s/packages # mv cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo

k8s-01:/opt/k8s/packages # chmod +x /opt/k8s/bin/*
1.0.1、创建根证书
k8s-01:~ # cd /opt/k8s/ssl/

k8s-01:/opt/k8s/ssl # cat > ca-config.json <<EOF

{

  "signing": {

    "default": {

      "expiry": "87600h"

    },

    "profiles": {

      "kubernetes": {

        "usages": [

            "signing",

            "key encipherment",

            "server auth",

            "client auth"

        ],

        "expiry": "876000h"

      }

    }

  }

}

EOF
  • signing 表示该证书可用于签名其它证书,生成的ca.pem证书找中CA=TRUE
  • server auth 表示client可以用该证书对server提供的证书进行验证
  • client auth 表示server可以用该证书对client提供的证书进行验证
1.0.2、创建证书签名请求文件
k8s-01:/opt/k8s/ssl # cat > ca-csr.json <<EOF

{

  "CN": "kubernetes",

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "ShangHai",

      "L": "ShangHai",

      "O": "k8s",

      "OU": "bandian"

    }

  ],

  "ca": {

    "expiry": "876000h"

 }

}

EOF
  • CN:CommonName kube-apiserver从证书中提取该字段作为请求的用户名(User Name),浏览器使用该字段验证网站是否合法
  • O :Organization kube-apiserver从证书中提取该字段作为请求的用户和所属组(Group)
  • kube-apiserver将提取的UserGroup作为RBAC授权用户和标识
1.0.3、生成CA证书和秘钥
k8s-01:/opt/k8s/ssl # cfssl gencert -initca ca-csr.json | cfssljson -bare ca
1.0.4、分发CA证书到所有节点
#!/usr/bin/env bash

source /opt/k8s/bin/k8s-env.sh

for host in ${NODE_IPS[@]}

do

    printf "\e[1;34m${host}\e[0m\n"

    scp /opt/k8s/ssl/{ca*.pem,ca-config.json} ${host}:/etc/kubernetes/cert

done

1.1、部署kubectl命令

  • kubectl默认从~/.kube/config读取kube-apiserver地址和认证信息
"kubernetes二进制包的github网址,包含了kubernetes-1.9到kubernetes-1.21所有版本"

https://github.com/kubernetes/kubernetes/tree/master/CHANGELOG

"将下载好的包,上传到k8s-01的/opt/k8s/packages目录下,解压即可"


k8s-01:~ # cd /opt/k8s/packages/

k8s-01:/opt/k8s/packages # tar xf kubernetes-server-linux-amd64.tar.gz
1.1.0、分发kubectl命令到所有节点
#!/usr/bin/env bash

source /opt/k8s/bin/k8s-env.sh

for host in ${NODE_IPS[@]}

do

    printf "\e[1;34m${host}\e[0m\n"

    scp /opt/k8s/packages/kubernetes/server/bin/kubectl ${host}:/opt/k8s/bin

    ssh root@${host} "kubectl completion bash > /etc/bash_completion.d/kubectl"

done
  • kubectl completion bash > /etc/bash_completion.d/kubectl 配置kubectl命令自动补全,依赖bash-completion,如果没有,需要先安装bash-completion(suse一般都自带,centos发行版需要执行yum -y install bash-completion
1.1.1、创建admin证书和秘钥
  • kubectl作为集群的管理工具,需要被授予最高权限,这里创建具有最高权限的admin证书
  • kubectlapiserver进行https通信apiserver对提供的证书进行认证授权
k8s-01:~ # cd /opt/k8s/ssl/

k8s-01:/opt/k8s/ssl # cat > admin-csr.json <<EOF

{

  "CN": "admin",

  "hosts": [

  ],

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "ShangHai",

      "L": "ShangHai",

      "O": "system:masters",

      "OU": "bandian"

    }

  ]

}

EOF
  • O 为system:masters,kube-apiserver收到该证书后将请求的Group设置为system:masters
  • 预定的ClusterRoleBinding cluster-admin将Group system:masters与Role cluster-admin绑定,该Role授予API的权限
  • 该证书只有被kubectl当做client证书使用,所以hosts字段为空
1.1.2、生成admin证书和秘钥
k8s-01:/opt/k8s/ssl # cfssl gencert -ca=/opt/k8s/ssl/ca.pem \

-ca-key=/opt/k8s/ssl/ca-key.pem \

-config=/opt/k8s/ssl/ca-config.json \

-profile=kubernetes admin-csr.json | cfssljson -bare admin
1.1.3、创建kubeconfig文件
k8s-01:/opt/k8s/ssl # source /opt/k8s/bin/k8s-env.sh


"设置集群参数"

k8s-01:/opt/k8s/ssl # kubectl config set-cluster kubernetes \

--certificate-authority=/opt/k8s/ssl/ca.pem \

--embed-certs=true \

--server=${KUBE_APISERVER} \

--kubeconfig=kubectl.kubeconfig


"设置客户端认证参数"

k8s-01:/opt/k8s/ssl # kubectl config set-credentials admin \

--client-certificate=/opt/k8s/ssl/admin.pem \

--client-key=/opt/k8s/ssl/admin-key.pem \

--embed-certs=true \

--kubeconfig=kubectl.kubeconfig


"设置上下文参数"

k8s-01:/opt/k8s/ssl # kubectl config set-context kubernetes \

--cluster=kubernetes \

--user=admin \

--kubeconfig=kubectl.kubeconfig


"设置默认上下文"

k8s-01:/opt/k8s/ssl # kubectl config use-context kubernetes --kubeconfig=kubectl.kubeconfig
  • --certificate-authority 验证kube-apiserver证书的根证书
  • --client-certificate--client-key 刚生成的admin证书和私钥,连接kube-apiserver时使用
  • --embed-certs=true 将ca.pem和admin.pem证书嵌入到生成的kubectl.kubeconfig文件中 (如果不加入,写入的是证书文件路径,后续拷贝kubeconfig到其它机器时,还需要单独拷贝证书)
1.1.4、分发kubeconfig文件
  • 分发到使用kubectl命令的节点(一般在master上管理)
#!/usr/bin/env bash

source /opt/k8s/bin/k8s-env.sh

for host in ${MASTER_IPS[@]}

do

    printf "\e[1;34m${host}\e[0m\n"

    ssh root@${host} "mkdir ~/.kube"

    scp /opt/k8s/ssl/kubectl.kubeconfig ${host}:~/.kube/config

done

suse 12 二进制部署 Kubernetets 1.19.7 - 第01章 - 创建CA证书和kubectl集群管理命令的更多相关文章

  1. suse 12 二进制部署 Kubernetets 1.19.7 - 第13章 - 部署metrics-server插件

    文章目录 1.13.0.创建metrics-server证书和私钥 1.13.1.生成metrics-server证书和私钥 1.13.2.开启kube-apiserver聚合配置 1.13.3.分发 ...

  2. suse 12 二进制部署 Kubernetets 1.19.7 - 第02章 - 部署etcd集群

    文章目录 1.2.部署etcd集群 1.2.0.下载etcd二进制文件 1.2.1.创建etcd证书和私钥 1.2.2.生成etcd证书和私钥 1.2.3.配置etcd为systemctl管理 1.2 ...

  3. suse 12 二进制部署 Kubernetets 1.19.7 - 第03章 - 部署flannel插件

    文章目录 1.3.部署flannel网络 1.3.0.下载flannel二进制文件 1.3.1.创建flannel证书和私钥 1.3.2.生成flannel证书和私钥 1.3.3.将pod网段写入et ...

  4. suse 12 二进制部署 Kubernetets 1.19.7 - 第04章 - 部署docker服务

    文章目录 1.4.部署docker 1.4.0.下载docker二进制文件 1.4.1.配置docker镜像加速 1.4.2.配置docker为systemctl管理 1.4.3.启动docker服务 ...

  5. suse 12 二进制部署 Kubernetets 1.19.7 - 第05章 - 部署kube-nginx

    文章目录 1.5.部署kube-nginx 1.5.0.下载nginx二进制文件 1.5.1.编译部署nginx 1.5.2.配置nginx.conf 1.5.3.配置nginx为systemctl管 ...

  6. suse 12 二进制部署 Kubernetets 1.19.7 - 第06章 - 部署kube-apiserver组件

    文章目录 1.6.部署kube-apiserver 1.6.0.创建kubernetes证书和私钥 1.6.1.生成kubernetes证书和私钥 1.6.2.创建metrics-server证书和私 ...

  7. suse 12 二进制部署 Kubernetets 1.19.7 - 第07章 - 部署kube-controller-manager组件

    文章目录 1.7.部署kube-controller-manager 1.7.0.创建kube-controller-manager请求证书 1.7.1.生成kube-controller-manag ...

  8. suse 12 二进制部署 Kubernetets 1.19.7 - 第08章 - 部署kube-scheduler组件

    文章目录 1.8.部署kube-scheduler 1.8.0.创建kube-scheduler请求证书 1.8.1.生成kube-scheduler证书和私钥 1.8.2.创建kube-schedu ...

  9. suse 12 二进制部署 Kubernetets 1.19.7 - 第09章 - 部署kubelet组件

    文章目录 1.9.部署kubelet 1.9.0.创建kubelet bootstrap kubeconfig文件 1.9.1.创建kubelet配置文件 1.9.2.配置kubelet为system ...

随机推荐

  1. 解决MySQL服务器禁止远程连接的问题

    1. 改表法. 可能是你的帐号不允许从远程登陆,只能在localhost.这个时候只要在localhost的那台电脑,登入mysql后,更改 "mysql" 数据库里的 " ...

  2. Go标准库之html/template

    html/template包实现了数据驱动的模板,用于生成可防止代码注入的安全的HTML内容.它提供了和text/template包相同的接口,Go语言中输出HTML的场景都应使用html/templ ...

  3. Springboot整合Mybatis,连接多个数据库(Mysql+Oracle)

    maven依赖,需要注意的是mysql使用的版本 1 <dependencies> 2 <dependency> 3 <groupId>com.oracle.dat ...

  4. SGU140. Integer Sequences

    https://codeforces.com/problemsets/acmsguru/problem/99999/140 n元同余方程的求解 对于任意二元我们可以替换成kgcd(a,b),不断迭代下 ...

  5. 软件开发架构与网络之OSI七层协议(五层)

    本期内容概要 python回顾 软件开发架构 网络理论前瞻 osi七层协议(五层) 以太网协议 IP协议 port协议 交换机 路由器 局域网 广域网 TCP协议 三次握手 四次挥手 UDP协议 内容 ...

  6. Hackurllib

    是的大部分的http请求库都不够hacking 不过有w8ay师傅的hack-requests 但是我想造一个属于自己的轮子它将会足够简单足够hacking 用这个名字是因为我选择了urllib做为最 ...

  7. CODING 携手 Thoughtworks 助力老百姓大药房打造”自治、自决、自动”的敏捷文化

    老百姓大药房是中国具有影响力的药品零售连锁企业,中国药品零售企业综合竞争力百强冠军.中国服务业 500 强企业.湖南省百强企业. 自 2001 年创立以来,现已成功开发了湖南. 陕西.浙江.江苏等 * ...

  8. Genymotion安装apk问题

    Genymotion安装apk时,出现如下错误: 问题原因分析:很多apk使用arm架构的 cpu,在x86上安装会存在问题. 解决办法: 在Genymotion模拟器上安装一个能够解析ARM架构的a ...

  9. 【原创】阿里三面:搞透Kafka的存储架构,看这篇就够了

    阅读本文大约需要30分钟.这篇文章干货很多,希望你可以耐心读完. 你好, 我是华仔,在这个 1024 程序员特殊的节日里,又和大家见面了. 从这篇文章开始,我将对 Kafka 专项知识进行深度剖析, ...

  10. 《剑指offer》面试题43. 1~n整数中1出现的次数

    问题描述 输入一个整数 n ,求1-n这n个整数的十进制表示中1出现的次数. 例如,输入12,1-12这些整数中包含1 的数字有1.10.11和12,1一共出现了5次. 示例 1: 输入:n = 12 ...