经验首页 前端设计 程序设计 Java相关 移动开发 数据库/运维 软件/图像 大数据/云计算 其他经验
当前位置:技术经验 » 数据库/运维 » Kubernetes » 查看文章
二进制安装 kubernetes 1.12(一) - 安装 ETCD
来源:cnblogs  作者:klvchen  时间:2019/1/23 9:11:29  对本文有异议

软件环境

软件 版本
操作系统 CentOS 7.4
Docker 18-ce
Kubernetes 1.12

服务器角色

角色 IP 组件
k8s-master 192.168.0.205 kube-apiserver, kuber-controller-manager, kube-scheduler, etcd
k8s-node1 192.168.0.206 kube-let, kuber-proxy, docker, flannel, etcd
k8s-node2 192.168.0.207 kube-let, kuber-proxy, docker, flannel, etcd

架构图

在 master 上安装 ansible 管理集群

  1. yum install ansible -y
  2. # 配置ansible
  3. cat > /etc/ansible/hosts <<EOF
  4. [myhost]
  5. 192.168.0.205
  6. [node]
  7. 192.168.0.206
  8. 192.168.0.207
  9. EOF
  10. # 生成无密码公私钥
  11. cd ~
  12. ssh-keygen -t rsa
  13. # 复制到对应的主机
  14. ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.0.205
  15. ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.0.206
  16. ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.0.207
  17. # 测试 ansible
  18. ansible all -m ping

开放防火墙

  1. ansible all -m shell -a 'firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept"'
  2. ansible all -m shell -a 'firewall-cmd --reload'

生成证书

在 k8s-master 上执行

使用cfssl来生成自签证书,先下载cfssl工具:

  1. mkdir /iba/tools -p
  2. cd /iba/tools
  3. wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
  4. wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
  5. wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
  6. chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64
  7. mv cfssl_linux-amd64 /usr/local/bin/cfssl
  8. mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
  9. mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

创建以下三个文件

  1. cat > ca-config.json <<EOF
  2. {
  3. "signing": {
  4. "default": {
  5. "expiry": "87600h"
  6. },
  7. "profiles": {
  8. "www": {
  9. "expiry": "87600h",
  10. "usages": [
  11. "signing",
  12. "key encipherment",
  13. "server auth",
  14. "client auth"
  15. ]
  16. }
  17. }
  18. }
  19. }
  20. EOF

ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;
server auth:表示client可以用该 CA 对server提供的证书进行验证;
client auth:表示server可以用该CA对client提供的证书进行验证;

  1. cat > ca-csr.json <<EOF
  2. {
  3. "CN": "etcd CA",
  4. "key": {
  5. "algo": "rsa",
  6. "size": 2048
  7. },
  8. "names": [
  9. {
  10. "C": "CN",
  11. "L": "Beijing",
  12. "ST": "Beijing"
  13. }
  14. ]
  15. }
  16. EOF

"CN":Common Name, 组件从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;

  1. cat > server-csr.json <<EOF
  2. {
  3. "CN": "etcd",
  4. "hosts": [
  5. "192.168.0.205",
  6. "192.168.0.206",
  7. "192.168.0.207"
  8. ],
  9. "key": {
  10. "algo": "rsa",
  11. "size": 2048
  12. },
  13. "names": [
  14. {
  15. "C": "CN",
  16. "L": "BeiJing",
  17. "ST": "BeiJing"
  18. }
  19. ]
  20. }
  21. EOF

生成证书

  1. cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
  2. # 生成了 ca.pem ca-key.pem ca.csr

ca.pem,ca-key.pem,ca.csr 组成了一个自签名的CA机构

证书名称 作用
ca.pem CA 根证书文件
ca-key.pem 服务端私钥,用于对客户端请求的解密和签名
ca.csr 证书签名请求,用于交叉签名或重新签名
  1. cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server
  2. # 生成了 server.csr server-key.pem server.pem

部署Etcd

  1. cd /iba/tools
  2. wget https://github.com/etcd-io/etcd/releases/download/v3.2.12/etcd-v3.2.12-linux-amd64.tar.gz
  3. mkdir /opt/etcd/{bin,cfg,ssl} -p
  4. tar zxf etcd-v3.2.12-linux-amd64.tar.gz
  5. mv etcd-v3.2.12-linux-amd64/{etcd,etcdctl} /opt/etcd/bin/

创建etcd配置文件:

  1. cat > /opt/etcd/cfg/etcd <<EOF
  2. #[Member]
  3. ETCD_NAME="etcd01"
  4. ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
  5. ETCD_LISTEN_PEER_URLS="https://192.168.0.205:2380"
  6. ETCD_LISTEN_CLIENT_URLS="https://192.168.0.205:2379"
  7. #[Clustering]
  8. ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.0.205:2380"
  9. ETCD_ADVERTISE_CLIENT_URLS="https://192.168.0.205:2379"
  10. ETCD_INITIAL_CLUSTER="etcd01=https://192.168.0.205:2380,etcd02=https://192.168.0.206:2380,etcd03=https://192.168.0.207:2380"
  11. ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
  12. ETCD_INITIAL_CLUSTER_STATE="new"
  13. EOF

备注

  1. ETCD_NAME # 节点名称
  2. ETCD_DATA_DIR # 数据目录
  3. ETCD_LISTEN_PEER_URLS # 集群通信监听地址
  4. ETCD_LISTEN_CLIENT_URLS # 客户端访问监听地址
  5. ETCD_INITIAL_ADVERTISE_PEER_URLS # 集群通告地址
  6. ETCD_ADVERTISE_CLIENT_URLS # 客户端通告地址
  7. ETCD_INITIAL_CLUSTER # 集群节点地址
  8. ETCD_INITIAL_CLUSTER_TOKEN # 集群 Token
  9. ETCD_INITIAL_CLUSTER_STATE # 加入集群的当前状态,new 是新集群,existing 表示加入已有

systemd管理etcd:

  1. cat > /usr/lib/systemd/system/etcd.service <<-'EOF'
  2. [Unit]
  3. Description=Etcd Server
  4. After=network.target
  5. After=network-online.target
  6. Wants=network-online.target
  7. [Service]
  8. Type=notify
  9. EnvironmentFile=/opt/etcd/cfg/etcd
  10. ExecStart=/opt/etcd/bin/etcd --name=${ETCD_NAME} --data-dir=${ETCD_DATA_DIR} --listen-peer-urls=${ETCD_LISTEN_PEER_URLS} --listen-client-urls=${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 --advertise-client-urls=${ETCD_ADVERTISE_CLIENT_URLS} --initial-advertise-peer-urls=${ETCD_INITIAL_ADVERTISE_PEER_URLS} --initial-cluster=${ETCD_INITIAL_CLUSTER} --initial-cluster-token=${ETCD_INITIAL_CLUSTER_TOKEN} --cert-file=/opt/etcd/ssl/server.pem --key-file=/opt/etcd/ssl/server-key.pem --peer-cert-file=/opt/etcd/ssl/server.pem --peer-key-file=/opt/etcd/ssl/server-key.pem --trusted-ca-file=/opt/etcd/ssl/ca.pem --peer-trusted-ca-file=/opt/etcd/ssl/ca.pem
  11. Restart=on-failure
  12. LimitNOFILE=65536
  13. [Install]
  14. WantedBy=multi-user.target
  15. EOF

把刚才生成的证书拷贝到配置文件中的位置:

  1. cd /iba/tools
  2. cp ca*pem server*pem /opt/etcd/ssl/

把二进制文件和配置文件复制到 nodes 节点上

  1. ansible node -m shell -a 'mkdir /opt/etcd/{bin,cfg,ssl} -p'
  2. cd /opt/etcd/bin/
  3. ansible node -m copy -a 'src=etcd dest=/opt/etcd/bin/'
  4. ansible node -m copy -a 'src=etcdctl dest=/opt/etcd/bin/'
  5. ansible node -m shell -a 'chmod +x /opt/etcd/bin/etcd'
  6. ansible node -m shell -a 'chmod +x /opt/etcd/bin/etcdctl'
  7. cd /opt/etcd/ssl/
  8. ansible node -m copy -a 'src=ca-key.pem dest=/opt/etcd/ssl/'
  9. ansible node -m copy -a 'src=ca.pem dest=/opt/etcd/ssl/'
  10. ansible node -m copy -a 'src=server-key.pem dest=/opt/etcd/ssl/'
  11. ansible node -m copy -a 'src=server.pem dest=/opt/etcd/ssl/'
  12. ansible node -m shell -a 'ls /opt/etcd/ssl/'
  13. ansible node -m copy -a 'src=/opt/etcd/cfg/etcd dest=/opt/etcd/cfg/'
  14. ansible node -m copy -a 'src=/usr/lib/systemd/system/etcd.service dest=/usr/lib/systemd/system/'

修改 node1,node2 上面的 /opt/etcd/cfg/etcd 为对应的值

  1. ETCD_NAME # 修改名称
  2. ETCD_LISTEN_PEER_URLS # 修改IP
  3. ETCD_LISTEN_CLIENT_URLS # 修改IP
  4. ETCD_INITIAL_ADVERTISE_PEER_URLS # 修改IP
  5. ETCD_ADVERTISE_CLIENT_URLS # 修改IP

启动 etcd

  1. ansible node -m shell -a 'systemctl enable etcd'
  2. ansible node -m shell -a 'systemctl start etcd '

检查etcd集群状态

  1. cd /opt/etcd/ssl
  2. /opt/etcd/bin/etcdctl --ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem --endpoints="https://192.168.0.205:2379,https://192.168.0.206:2379,https://192.168.0.207:2379" cluster-health

原文链接:http://www.cnblogs.com/klvchen/p/10288067.html

 友情链接:直通硅谷  点职佳  北美留学生论坛

本站QQ群:前端 618073944 | Java 606181507 | Python 626812652 | C/C++ 612253063 | 微信 634508462 | 苹果 692586424 | C#/.net 182808419 | PHP 305140648 | 运维 608723728

W3xue 的所有内容仅供测试,对任何法律问题及风险不承担任何责任。通过使用本站内容随之而来的风险与本站无关。
关于我们  |  意见建议  |  捐助我们  |  报错有奖  |  广告合作、友情链接(目前9元/月)请联系QQ:27243702 沸活量
皖ICP备17017327号-2 皖公网安备34020702000426号