k8s:管理容器集群k8s的组成和调用原理cluster集群:控制平面和node共同构成一个cluster服务调用流程ingress控制器:让外部用户访问集群内部的服务kubeprox转发pod的容器中Control plan控制平面组件:控制和管理多个node1.api server:支持使用提供的api创建服务----kubectl执行命令调用api(6443)2.scheduler:负责集群内部的资源调度和分配(10259) 3.Controller manager:创建,关闭服务(10257)4.ctcd:存储上述数据(2379-2380)node组件1.kubelet:管理pod,包括创建,修改,容器监控,节点状态汇报和api server通信(10250)2.Pod 组成:应用服务container,日志服务container,监控采集器 3.Container runtime:下载部署镜像(containerd)4.kubeprox:负责pod的通信与负载均衡功能(10256)部署服务工作流程:1.执行命令kubectl解析yml文件(定义pod里面用到了哪些镜像占用多少内存等),将解析的文件发送给api server,api server根据要求驱使shecduler通过etcd提供的数据寻找合适的node2.控制平面内的controller manager控制node节点去创建服务3.kubelet收到指令后,通知container runtime去拉取镜像创建容器kubernetes 安装环境harbor 192.168.88.240 2CPU,4G内存master 192.168.88.50 2CPU,4G内存node-0001 192.168.88.51 2CPU,2G内存node-0002 192.168.88.52 2CPU,2G内存node-0003 192.168.88.53 2CPU,2G内存kubernetes 安装一.安装控制节点1、配置软件仓库准备包2、系统环境配置(1)配置安装源[root@master ~]# vim /etc/yum.repos.d/k8s.repo[k8s]name=Rocky Linux $releasever - Kubernetesbaseurl="ftp://192.168.88.240/rpms"enabled=1gpgcheck=0(2)禁用 firewall 和 swap[root@master ~]# sed '/swap/d' -i /etc/fstab[root@master ~]# swapoff -a[root@master ~]# dnf remove -y firewalld-*3、安装软件包kubeadm:集群配置管理工具config:生成配置文件的模板,查看需要安装哪些镜像kubeadm config print init-defaults > kubeadm-config.yamlkubeadm config images list #查看需要安装哪些镜像init:集群初始化join:计算节点加入集群reset:还原,删除集群配置token:token凭证管理create delete generate listhelp:命令帮助信息kubectl:集群进行交互的命令行工具kubelet:管理podcontainerd.io(runtime):容器管理软件 ipvsadm:容器集群管理工具ipset:iproute-tc:网络流量管理工具(1):域名映射 /etc/hosts192.168.88.240 harbor192.168.88.50 master192.168.88.51 node-0001192.168.88.52 node-0002192.168.88.53 node-0003(2)安装相关包dnf install -y kubeadm kubelet kubectl containerd.io ipvsadm ipset iproute-tc(3)修改containerd指向仓库地址[root@master ~]# containerd config default >/etc/containerd/config.toml #生成默认配置文件[root@master ~]# vim /etc/containerd/config.toml61: sandbox_image = "harbor:443/k8s/pause:3.9"125: SystemdCgroup = true154 行新插入:[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]endpoint = ["https://192.168.88.240:443"][plugins."io.containerd.grpc.v1.cri".registry.mirrors."harbor:443"]endpoint = ["https://192.168.88.240:443"][plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.88.240:443".tls]insecure_skip_verify = true(4)重启: systemctl enable --now kubelet containerd4、配置内核参数(1)加载内核模块[root@master ~]# vim /etc/modules-load.d/containerd.confbr_netfilter #网桥防火墙模块xt_conntrack #链接跟踪表模块[root@master ~]# systemctl start systemd-modules-load.service (2)设置内核参数[root@master ~]# vim /etc/sysctl.d/99-kubernetes-cri.confnet.ipv4.ip_forward = 1 #路由转发net.bridge.bridge-nf-call-iptables = 1 #开启ipv4桥流量监控net.bridge.bridge-nf-call-ip6tables = 1 #开启ipv6桥流量监控net.netfilter.nf_conntrack_max = 1000000 #设置连接跟踪表大小[root@master ~]# sysctl -p /etc/sysctl.d/99-kubernetes-cri.conf #刷新5、导入 k8s 镜像拷贝本阶段 kubernetes/init 目录到 masterrsync -av kubernetes/init 192.168.88.50:/root/(1)安装部署 docker[root@master ~]# dnf install -y docker-ce[root@master ~]# vim /etc/docker/daemon.json {"registry-mirrors":["https://harbor:443"],"insecure-registries":["harbor:443"]}[root@master ~]# systemctl enable --now docker[root@master ~]# docker info(2)上传镜像到 harbor 仓库[root@master ~]# docker login harbor:443 Username: <登录用户>Password: <登录密码>Login Succeeded[root@master ~]# docker load -i init/v1.29.2.tar.xz[root@master ~]# docker images|while read i t _;do #打tag上传镜像[[ "${t}" == "TAG" ]] && continue[[ "${i}" =~ ^"harbor:443/".+ ]] && continuedocker tag ${i}:${t} harbor:443/k8s/${i##*/}:${t}docker push harbor:443/k8s/${i##*/}:${t}docker rmi ${i}:${t} harbor:443/k8s/${i##*/}:${t}done6、设置kubeadm和kubectl的Tab键,tab出子命令[root@master ~]# source <(kubeadm completion bash|tee /etc/bash_completion.d/kubeadm)[root@master ~]# source <(kubectl completion bash|tee /etc/bash_completion.d/kubectl)7、安装主控制节点(1)修改ip[root@master ~]# vim /root/init/init.yaml13: advertiseAddress: 192.168.88.50(2)测试系统环境[root@master ~]# kubeadm init --config=init/init.yaml --dry-run 2>error.log[root@master ~]# cat error.log(3)主控节点初始化[root@master ~]# rm -rf error.log /etc/kubernetes/tmp[root@master ~]# kubeadm init --config=init/init.yaml |tee init/init.log# tee一般用于记录日志的(4)管理授权mkdir -p $HOME/.kubesudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/configsudo chown $(id -u):$(id -g) $HOME/.kube/config(5)验证安装结果[root@master ~]# kubectl get nodesNAME STATUS ROLES AGE VERSIONmaster NotReady control-plane 19s v1.29.2#config配置文件修改的部分localAPIEndpoint:advertiseAddress: 192.168.88.50 --bindPort: 6443 --nodeRegistration:criSocket: unix:///run/containerd/containerd.sock --imagePullPolicy: IfNotPresentname: master --taints: nullimageRepository: harbor:443/k8s --kind: ClusterConfigurationkubernetesVersion: 1.29.2 --#kubeadm version查看版本networking:dnsDomain: cluster.local #域名 --podSubnet: 10.244.0.0/16 #pod的子网 --serviceSubnet: 10.245.0.0/16 #服务的子网 -----kind: KubeProxyConfiguration --apiVersion: kubeproxy.config.k8s.io/v1alpha1 --mode: ipvs --ipvs: -- strictARP: true -----kind: KubeletConfiguration --apiVersion: kubelet.config.k8s.io/v1beta1 --cgroupDriver: systemd --二.安装网络插件calico:让容器可以跨节点通信,也可以设置访问策略1.上传镜像rsync -av kubernetes/plugins 192.168.88.50:/root/[root@master ~]# cd plugins/calico[root@master calico]# docker load -i calico.tar.xz[root@master calico]# docker images|while read i t _;do[[ "${t}" == "TAG" ]] && continue[[ "${i}" =~ ^"harbor:443/".+ ]] && continuedocker tag ${i}:${t} harbor:443/plugins/${i##*/}:${t}docker push harbor:443/plugins/${i##*/}:${t}docker rmi ${i}:${t} harbor:443/plugins/${i##*/}:${t}done2.安装 calico(1)修改配置文件的docker仓库sed -ri 's,^(\s*image: )(.*/)?(.+),\1harbor:443/plugins/\3,' calico.yaml(2)启动[root@master calico]# kubectl apply -f calico.yaml [root@master calico]# kubectl get nodes 和 ifconfig三.安装计算节点1、获取凭证(1)查看,删除,创建 tokenkubeadm token listkubeadm token delete abcdef.0123456789abcdefkubeadm token create --ttl=0 --print-join-command#ttl:token的生命周期,#print-join-command:打印如何使用token也可以计算hash值openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt |openssl rsa -pubin -outform der |openssl dgst -sha256 -hex(2)node加入control plan组成k8s集群[root@node ~]#每台机器操作 控制节点 的2,3,4步骤kubeadm join 192.168.88.50:6443 --token cdo4jl.9qmtqvhvti54k8vo --discovery-token-ca-cert-hash sha256:c2d96fc0ef5b813058eb51cf3ad805edfc5170415e5399d5f1c0083f3f36e14f #执行命令加入集群k8s:管理容器集群
k8s的组成和调用原理
cluster集群:控制平面和node共同构成一个cluster
服务调用流程
ingress控制器:让外部用户访问集群内部的服务
kubeprox转发
pod的容器中
Control plan控制平面组件:控制和管理多个node
1.api server:支持使用提供的api创建服务----kubectl执行命令调用api(6443)
2.scheduler:负责集群内部的资源调度和分配(10259)
3.Controller manager:创建,关闭服务(10257)
4.ctcd:存储上述数据(2379-2380)
node组件
1.kubelet:管理pod,包括创建,修改,容器监控,节点状态汇报和api server通信(10250)
2.Pod 组成:应用服务container,日志服务container,监控采集器
3.Container runtime:下载部署镜像(containerd)
4.kubeprox:负责pod的通信与负载均衡功能(10256)
部署服务工作流程:
1.执行命令kubectl解析yml文件(定义pod里面用到了哪些镜像占用多少内存等),将解析的文件发送给api server,api server根据要求驱使shecduler通过etcd提供的数据寻找合适的node
2.控制平面内的controller manager控制node节点去创建服务
3.kubelet收到指令后,通知container runtime去拉取镜像创建容器
kubernetes 安装
环境
harbor 192.168.88.240 2CPU,4G内存
master 192.168.88.50 2CPU,4G内存
node-0001 192.168.88.51 2CPU,2G内存
node-0002 192.168.88.52 2CPU,2G内存
node-0003 192.168.88.53 2CPU,2G内存
kubernetes 安装
一.安装控制节点
1、配置软件仓库
准备包
2、系统环境配置
(1)配置安装源
[root@master ~]# vim /etc/yum.repos.d/k8s.repo
[k8s]
name=Rocky Linux $releasever - Kubernetes
baseurl="ftp://192.168.88.240/rpms"
enabled=1
gpgcheck=0
(2)禁用 firewall 和 swap
[root@master ~]# sed '/swap/d' -i /etc/fstab
[root@master ~]# swapoff -a
[root@master ~]# dnf remove -y firewalld-*
3、安装软件包
kubeadm:集群配置管理工具
config:生成配置文件的模板,查看需要安装哪些镜像
kubeadm config print init-defaults > kubeadm-config.yaml
kubeadm config images list #查看需要安装哪些镜像
init:集群初始化
join:计算节点加入集群
reset:还原,删除集群配置
token:token凭证管理
create delete generate list
help:命令帮助信息
kubectl:集群进行交互的命令行工具
kubelet:管理pod
containerd.io(runtime):容器管理软件
ipvsadm:容器集群管理工具
ipset:
iproute-tc:网络流量管理工具
(1):域名映射 /etc/hosts
192.168.88.240 harbor
192.168.88.50 master
192.168.88.51 node-0001
192.168.88.52 node-0002
192.168.88.53 node-0003
(2)安装相关包
dnf install -y kubeadm kubelet kubectl containerd.io ipvsadm ipset iproute-tc
(3)修改containerd指向仓库地址
[root@master ~]# containerd config default >/etc/containerd/config.toml #生成默认配置文件
[root@master ~]# vim /etc/containerd/config.toml
61: sandbox_image = "harbor:443/k8s/pause:3.9"
125: SystemdCgroup = true
154 行新插入:
[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
endpoint = ["https://192.168.88.240:443"]
[plugins."io.containerd.grpc.v1.cri".registry.mirrors."harbor:443"]
endpoint = ["https://192.168.88.240:443"]
[plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.88.240:443".tls]
insecure_skip_verify = true
(4)重启: systemctl enable --now kubelet containerd
4、配置内核参数
(1)加载内核模块
[root@master ~]# vim /etc/modules-load.d/containerd.conf
br_netfilter #网桥防火墙模块
xt_conntrack #链接跟踪表模块
[root@master ~]# systemctl start systemd-modules-load.service
(2)设置内核参数
[root@master ~]# vim /etc/sysctl.d/99-kubernetes-cri.conf
net.ipv4.ip_forward = 1 #路由转发
net.bridge.bridge-nf-call-iptables = 1 #开启ipv4桥流量监控
net.bridge.bridge-nf-call-ip6tables = 1 #开启ipv6桥流量监控
net.netfilter.nf_conntrack_max = 1000000 #设置连接跟踪表大小
[root@master ~]# sysctl -p /etc/sysctl.d/99-kubernetes-cri.conf #刷新
5、导入 k8s 镜像
拷贝本阶段 kubernetes/init 目录到 master
rsync -av kubernetes/init 192.168.88.50:/root/
(1)安装部署 docker
[root@master ~]# dnf install -y docker-ce
[root@master ~]# vim /etc/docker/daemon.json
{
"registry-mirrors":["https://harbor:443"],
"insecure-registries":["harbor:443"]
}
[root@master ~]# systemctl enable --now docker
[root@master ~]# docker info
(2)上传镜像到 harbor 仓库
[root@master ~]# docker login harbor:443
Username: <登录用户>
Password: <登录密码>
Login Succeeded
[root@master ~]# docker load -i init/v1.29.2.tar.xz
[root@master ~]# docker images|while read i t _;do #打tag上传镜像
[[ "${t}" == "TAG" ]] && continue
[[ "${i}" =~ ^"harbor:443/".+ ]] && continue
docker tag ${i}:${t} harbor:443/k8s/${i##*/}:${t}
docker push harbor:443/k8s/${i##*/}:${t}
docker rmi ${i}:${t} harbor:443/k8s/${i##*/}:${t}
done
6、设置kubeadm和kubectl的Tab键,tab出子命令
[root@master ~]# source <(kubeadm completion bash|tee /etc/bash_completion.d/kubeadm)
[root@master ~]# source <(kubectl completion bash|tee /etc/bash_completion.d/kubectl)
7、安装主控制节点
(1)修改ip
[root@master ~]# vim /root/init/init.yaml
13: advertiseAddress: 192.168.88.50
(2)测试系统环境
[root@master ~]# kubeadm init --config=init/init.yaml --dry-run 2>error.log
[root@master ~]# cat error.log
(3)主控节点初始化
[root@master ~]# rm -rf error.log /etc/kubernetes/tmp
[root@master ~]# kubeadm init --config=init/init.yaml |tee init/init.log
# tee一般用于记录日志的
(4)管理授权
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
(5)验证安装结果
[root@master ~]# kubectl get nodes
NAME STATUS ROLES AGE VERSION
master NotReady control-plane 19s v1.29.2
#config配置文件修改的部分
localAPIEndpoint:
advertiseAddress: 192.168.88.50 --
bindPort: 6443 --
nodeRegistration:
criSocket: unix:///run/containerd/containerd.sock --
imagePullPolicy: IfNotPresent
name: master --
taints: null
imageRepository: harbor:443/k8s --
kind: ClusterConfiguration
kubernetesVersion: 1.29.2 --#kubeadm version查看版本
networking:
dnsDomain: cluster.local #域名 --
podSubnet: 10.244.0.0/16 #pod的子网 --
serviceSubnet: 10.245.0.0/16 #服务的子网 --
---
kind: KubeProxyConfiguration --
apiVersion: kubeproxy.config.k8s.io/v1alpha1 --
mode: ipvs --
ipvs: --
strictARP: true --
---
kind: KubeletConfiguration --
apiVersion: kubelet.config.k8s.io/v1beta1 --
cgroupDriver: systemd --
二.安装网络插件calico:让容器可以跨节点通信,也可以设置访问策略
1.上传镜像
rsync -av kubernetes/plugins 192.168.88.50:/root/
[root@master ~]# cd plugins/calico
[root@master calico]# docker load -i calico.tar.xz
[root@master calico]# docker images|while read i t _;do
[[ "${t}" == "TAG" ]] && continue
[[ "${i}" =~ ^"harbor:443/".+ ]] && continue
docker tag ${i}:${t} harbor:443/plugins/${i##*/}:${t}
docker push harbor:443/plugins/${i##*/}:${t}
docker rmi ${i}:${t} harbor:443/plugins/${i##*/}:${t}
done
2.安装 calico
(1)修改配置文件的docker仓库
sed -ri 's,^(\s*image: )(.*/)?(.+),\1harbor:443/plugins/\3,' calico.yaml
(2)启动
[root@master calico]# kubectl apply -f calico.yaml
[root@master calico]# kubectl get nodes 和 ifconfig
三.安装计算节点
1、获取凭证
(1)查看,删除,创建 token
kubeadm token list
kubeadm token delete abcdef.0123456789abcdef
kubeadm token create --ttl=0 --print-join-command
#ttl:token的生命周期,#print-join-command:打印如何使用token
也可以计算hash值
openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt |openssl rsa -pubin -outform der |openssl dgst -sha256 -hex
(2)node加入control plan组成k8s集群
[root@node ~]#每台机器操作 控制节点 的2,3,4步骤
kubeadm join 192.168.88.50:6443 --token cdo4jl.9qmtqvhvti54k8vo --discovery-token-ca-cert-hash sha256:c2d96fc0ef5b813058eb51cf3ad805edfc5170415e5399d5f1c0083f3f36e14f #执行命令加入集群
