在上一篇单节点的基础上增加master和负载均衡服务器https://www.cnblogs.com/pengdi/p/15471935.html
多master节点部署(master02:192.168.150.20)
从 master01 节点上拷贝证书文件、各master组件的配置文件和服务管理文件到 master02 节点
scp -r /opt/etcd/ root@192.168.150.20:/opt/
scp -r /opt/kubernetes/ root@192.168.150.20:/opt
cd /usr/lib/systemd/system/
scp /usr/lib/systemd/system/{kube-apiserver,kube-scheduler,kube-controller-manager}.service root@192.168.150.20:`pwd`
#在master02节点上设置环境并修改配置文件kube-apiserver中的IP
vim /opt/kubernetes/cfg/ kube-apiserver
KUBE_APISERVER_OPTS="--logtostderr=true \
--v=4 \
--etcd-servers=https://192.168.150.5:2379,https://192.168.150.10:2379,https://192.168.150.15:2379 \
--bind-address=192.168.150.20 \ #修改
--secure-port=6443 \
--advertise-address=192.168.150.20 \ #修改
........
启动各服务并设置开机自启
systemctl daemon-reload
systemctl enable --now kube-apiserver.service
systemctl enable --now kube-controller-manager.service
systemctl enable --now kube-scheduler.service
查看node节点状态,但无法进行操作,需要关联node节点
ln -s /opt/kubernetes/bin/* /usr/local/bin/
kubectl get nodes
kubectl get nodes -o wide #-o=wide∶输出额外信息;对于Pod,将输出Pod所在的Node名
此时在master02节点查到的node节点状态仅是从etcd查询到的信息,而此时node节点实际上并未与master02节点建立通信连接,因此需要使用一个VIP把node节点与master节点都关联起来
负载均衡部署
配置load balancer集群双机热备负载均衡(nginx实现负载均衡,keepalived实现双机热备)
### 在lb01、lb02(192.168.150.25、192.168.150.30)节点上操作 #####
部署ngixn服务
配置nginx的官方在线yum源,配置本地nginx的yum源,需要使用在线源
cat > /etc/yum.repos.d/nginx.repo << 'EOF'
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/7/$basearch/
gpgcheck=0
EOF
yum install nginx -y
修改nginx配置文件,配置四层反向代理负载均衡,指定k8s群集2台master的节点ip和6443端口
vim /etc/nginx/nginx.conf
events {
worker_connections 1024;
}
#添加
stream {
log_format main '$remote_addr $upstream_addr - [$time_local] $status $upstream_bytes_sent';
access_log /var/log/nginx/k8s-access.log main;
upstream k8s-apiserver {
server 192.168.150.5:6443;
server 192.168.150.20:6443;
}
server {
listen 6443;
proxy_pass k8s-apiserver;
}
}
http {
。。。。。。。。。。。
检查配置文件语法
nginx -t
systemctl enable --now nginx
netstat -natp | grep nginx
部署keepalived服务
yum install keepalived -y
vim /etc/keepalived/keepalived.conf #修改keepalived配置文件
global_defs {
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 127.0.0.1 #指定邮箱地址为本地
smtp_connect_timeout 30
router_id NGINX_MASTER #lb01为NGINX_MASTER lb02为NGINX_BACKUP
}
#添加一个周期性执行的脚本,指定脚本路径
vrrp_script check_nginx {
script "/etc/nginx/check_nginx.sh"
}
vrrp_instance VI_1 {
state MASTER #lb01节点为manster,lb02为backup
interface ens33 #指定物理网卡
virtual_router_id 51 #指定vrid,两个节点一致
priority 100 #指定lb01节点优先级100为manster,lb02的90为backup
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.150.100 #指定VIP
}
track_script {
check_nginx #指定vrrp_scrip脚本名,前后一致
}
}
vim /etc/nginx/check_nginx.sh
#!/bin/bash
count=$(ps -ef | grep nginx | egrep -cv "grep|$$")
if [ "$count" -eq 0 ];then
systemctl stop keepalived
fi
# egrep -cv "grep|$$"表示过滤掉包含grep或者$$表示当前shell进程的ID,如果直接执行会包含前面的ps进程,过滤掉后只剩下nginx的进程,统计行数,如果为0说明nginx宕机,手动断开节点keepalived服务
启动keepalived服务
systemctl enable --now keepalived
ip a #查看VIP是否生成
修改node节点上的bootstrap.kubeconfig、kubelet.kubeconfig配置文件为VIP
cd /opt/kubernetes/cfg/ vim bootstrap.kubeconfig server: https://192.168.150.100:6443 vim kubelet.kubeconfig server: https://192.168.150.100:6443 vim kube-proxy.kubeconfig server: https://192.168.150.100:6443 重启kubelet和kube-proxy服务 systemctl restart kubelet.service systemctl restart kube-proxy.service
#在lb01节点上查看负载均衡器的对接状态
netstat -natp | grep nginx
#在任意master主机上创建pod
kubectl create deployment nginx-03 --image=nginx:1.14
kubectl get pod -o wide #查看pod详细信息
#在pod对应网段的node节点上直接浏览器访问或者curl访问pod
curl 172.17.26.3
在master节点上查看pod日志发现没有权限,需要绑定角色权限才可以执行命令 [root@master02 system]# kubectl logs nginx-03-6545547fcb-qj896 Error from server (Forbidden): Forbidden (user=system:anonymous, verb=get, resource=nodes, subresource=proxy) ( pods/log nginx-03-6545547fcb-qj896) 将cluster-admin授予用户system:anonymous [root@master02 system]# kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous clusterrolebinding.rbac.authorization.k8s.io/cluster-system-anonymous created kubectl logs nginx-03-6545547fcb-qj896 再次查看可以执行
部署 Dashboard UI
Dashboard 介绍
仪表板是基干web的Kubernetes用户界面。可以使用仪表板将容器化应用程序部署到Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源。可以使用仪表板来概述群集上运行的应用程序,以及创建或修改单个Kubernetes资源(例如部署,作业,守护进程等)。 例如,可以使用部署向导扩展部署,启动滚动更新,重新启动Pod或部署新应用程序。仪表板还提供有关群集中Kubernetes资源状态以及可能发生的任何错误的信息。
上传Dashboard.zip压缩包,并解压,一共有7个文件,包含5个构建该界面的核心文件,一个k8s-admin.yaml文件是自己写的,用来生成在浏览器中登录时所用的令牌;一个dashboard-cert.sh,用来快速生成解决谷歌浏览器加密通信问题所需的证书文件
核心文件官方下载资源地址∶
https://qithub.com/kubernetes/kubernetes/tree/master/cluster/addons/dashboard
dashboard-configmap.yaml dashboard-rbac.yaml dashboard-service.yaml
dashboard-controller.yaml dashboard-secret.yaml
1、dashboard-rbac.yaml∶用于访问控制设置,配置各种角色的访问控制权限及角色绑定(绑定角色和服务账户),内容中包含对应各种角色所配置的规则(ru les)
2、dashboard-secret.yaml∶提供令牌,访问API服务器所用(个人理解为一种安全认证机制)
3、dashboard-configmap.yaml∶配置模板文件,负责设置Dashboard的文件,ConfigMap提供了将配置数据注入容器的方式,保证容器中的应用程序配置从Image内容中解耦
4、dashboard-controller.yaml∶负责控制器及服务账户的创建,来管理pod副本
5、dashboard-service.yaml∶负责将容器中的服务提供出去,供外部访问
通过kubectl create 命令创建resources(需要按照顺序创建资源)
在 master01 节点上操作
在k8s工作目录中创建dashborad工作目录
mkdir /opt/k8s/dashboard
cd /opt/k8s/dashboard
1、规定kubernetes-dashboard-minimal该角色的权限
例如其中具备获取更新删除等不同的权限,有几个kind就会有几个结果被创建,格式为kind+apiServer/name [root@master01 dashboard]# kubectl create -f dashboard-rbac.yaml role.rbac.authorization.k8s.io/kubernetes-dashboard-minimal created rolebinding.rbac.authorization.k8s.io/kubernetes-dashboard-minimal created 查看类型为 Role,RoleBinding 的资源对象 kubernetes-dashboard-minimal 是否生成 kubectl get role,rolebinding -n kube-system -n kube-system 表示查看指定命名空间中的pod,缺省值为default
2、证书和密钥创建
[root@master01 dashboard]# kubectl create -f dashboard-secret.yaml secret/kubernetes-dashboard-certs created secret/kubernetes-dashboard-key-holder created 查看类型为 Secret 的资源对象 kubernetes-dashboard-certs,kubernetes-dashboard-key-holder 是否生成kubectl get secret -n kube-system
3、配置文件,对于集群dashboard设置的创建
[root@master01 dashboard]# kubectl create -f dashboard-configmap.yaml configmap/kubernetes-dashboard-settings created
4、创建容器需要的控制器以及服务账户
[root@master01 dashboard]# kubectl create -f dashboard-controller.yaml serviceaccount/kubernetes-dashboard created deployment.apps/kubernetes-dashboard created 查看类型为 serviceAccount,Deployment 的资源对象 kubernetes-dashboard-settings 是否生成 kubectl get serviceaccount,deployment -n kube-system
5、将服务提供出去
[root@master01 dashboard]# kubectl create -f dashboard-service.yaml service/kubernetes-dashboard created 查看创建在指定的 kube-system 命名空间下的 pod 和 service 状态信息 kubectl get pods,svc -n kube-system -o wide svc 为 service 的缩写,可用 kubectl api-resources 查看
dashboard分配给了node01服务器,访问的入口是30001端口,打开浏览器访问 https://nodeIP:30001来进行测试火狐浏览器可直接访问∶https://192.168.150.10:30001
谷歌浏览器则因为缺少加密通信的认证证书,导致无法直接访问。可通过菜单->更多工具->开发者工具->Security 查看访问失败的原因。
解决谷歌浏览器加密通信问题
使用的脚本 dashboard-cert.sh 来快速生成证书文件 cd /opt/k8s/dashboard/ vim dashboard-controller.yaml 执行脚本 cd /opt/ k8s/dashboard/ chmod +x dashboard-cert.sh ./dashboard-cert.sh /opt/k8s/k8s-cert/ 在 dashboard 工作目录下将生成两个证书 ls *.pem dashboard.pem dashboard-key.pem 重新进行部署(注意:当apply不生效时,先使用delete清除资源,再apply创建资源) kubectl apply -f dashboard-controller.yaml 由于可能会更换所分配的节点,所以要再次查看一下分配的节点服务器地址和端口号 kubectl get pods,svc -n kube-system -o wide 再次进行访问测试,选择使用令牌方式登录,使用 k8s-admin.yaml 文件进行创建令牌 cd /opt/k8s/dashboard/ [root@master01 dashboard]# kubectl create -f k8s-admin.yaml serviceaccount/dashboard-admin created clusterrolebinding.rbac.authorization.k8s.io/dashboard-admin created #获取token简要信息,名称为dashboard-admin-token-xxxxx kubectl get secrets -n kube-system 查看令牌序列号,取 token:后面的内容 kubectl describe secrets dashboard-admin-token-wp5xm -n kube-system
将令牌序列号复制填入到浏览器页面中,点击登录
先通过 kubectl get pods 命令查看一下集群中是否有资源在运行,再在 Dashboard UT 界面中命令空间选default,点击侧边栏中的"容器组",点击容器名称,进入一个页面,点击右上方的"运行命令"或"日志"控件会弹出另一个额外页面,可在"运行命令"输入 curl <podip> 命令访问容器,再通过dashboard页面查看日志更新结果。
可以使用web界面直接拉取pod注意端口的设置(可以是外部也可以是内部根据服务是否需要发布),例如创建一个nginx的pod并且将服务发布,选择8080为外部端口,80为容器内部端口
kubectl get pods,svc -n kube-system -o wide 查看命名空间pod和service,发现除了创建的映射端口8080还有随机生成39767端口,该端口为node节点映射 curl 172.17.27.6:80 #使用容器IP加端口内部访问 curl 10.0.0.77:8080 #使用集群ip加端口可以实现内部访问 curl 192.168.150.10:39767 #使用映射的端口加node节点ip可以实现服务的发布访