本文操作系统是ubuntu 22.04 server amd64版本,k8s是v1.25。
虚拟机配置是2核4G,一个master节点,2个node节点。
- k8s-master:192.168.184.217
- k8s-node1:192.168.184.150
- k8s-node2:192.168.184.64
准备工作
- master节点添加node1和node2的hosts解析,node1和node2添加master的hosts解析
# k8s-master /etc/hosts
192.168.184.150 k8s-node1
192.168.184.64 k8s-node2
# k8s-node1、k8s-node2 /etc/hosts
192.168.184.217 k8s-master
- 禁用所有主机的swap
# 临时禁用swap
sudo swapoff -a
# 永久禁用swap,注释掉swap
sudo vim /etc/fstab
集群中所有机器都可以联通
所有主机都需要安装容器运行时,本文用containerd运行时
转发 IPv4 并让 iptables 看到桥接流量
所有主机都需要设置
运行 lsmod | grep br_netfilter 来验证 br_netfilter 模块是否已加载。
显式加载此模块,请运行 sudo modprobe br_netfilter。
cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
overlay
br_netfilter
EOF
sudo modprobe overlay
sudo modprobe br_netfilter
# 设置所需的 sysctl 参数,参数在重新启动后保持不变
cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.ipv4.ip_forward = 1
EOF
# 应用 sysctl 参数而不重新启动
sudo sysctl --system
安装 kubeadm、kubelet 和 kubectl
kubeadm:用来初始化集群的指令。kubelet:在集群中的每个节点上用来启动 Pod 和容器等。kubectl:用来与集群通信的命令行工具。
所有主机都需要安装。
镜像配置可以参考阿里文档:https://developer.aliyun.com/mirror/kubernetes
sudo apt-get update && sudo apt-get install -y apt-transport-https ca-certificates curl
sudo curl -fsSLo /usr/share/keyrings/kubernetes-archive-keyring.gpg https://mirrors.aliyun.com/kubernetes/apt/doc/apt-key.gpg
echo "deb [signed-by=/usr/share/keyrings/kubernetes-archive-keyring.gpg] https://mirrors.aliyun.com/kubernetes/apt/ kubernetes-xenial main" | sudo tee /etc/apt/sources.list.d/kubernetes.list
# 安装 kubelet、kubeadm 和 kubectl,并锁定其版本
sudo apt-get update && sudo apt-get install -y kubelet kubeadm kubectl
sudo apt-mark hold kubelet kubeadm kubectl
# 设置crictl,设置镜像管理和运行服务端点
sudo crictl config runtime-endpoint unix:///run/containerd/containerd.sock && sudo crictl config image-endpoint unix:///run/containerd/containerd.sock
配置 cgroup 驱动程序
容器运行时和 kubelet 都具有名字为 "cgroup driver" 的属性,需要设置成相同的驱动。
容器运行时在安装时候已经设置成了systemd。
如果用户没有在 KubeletConfiguration 中设置 cgroupDriver 字段, kubeadm init 会将它设置为默认值 systemd,所以容器运行时设置好之后这里就不需要再做额外设置了。
可以在初始化集群之后在/var/lib/kubelet/config.yaml查看到。
使用 kubeadm 创建集群
在master节点执行。
sudo kubeadm init \
--control-plane-endpoint=192.168.184.217 \
--image-repository registry.aliyuncs.com/google_containers \
--pod-network-cidr=192.168.0.0/16
查看日至:journalctl -xeu kubelet
安装成功输出:
Your Kubernetes control-plane has initialized successfully!
To start using your cluster, you need to run the following as a regular user:
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
Alternatively, if you are the root user, you can run:
export KUBECONFIG=/etc/kubernetes/admin.conf
You should now deploy a pod network to the cluster.
Run "kubectl apply -f [podnetwork].yaml" with one of the options listed at:
https://kubernetes.io/docs/concepts/cluster-administration/addons/
You can now join any number of control-plane nodes by copying certificate authorities
and service account keys on each node and then running the following as root:
kubeadm join 192.168.184.217:6443 --token i2pj6p.j46atoddb288b9vg \
--discovery-token-ca-cert-hash sha256:235f14f9444a2203266f8b4d0ee595244c53213951642f9f02ee350490ba0b9f \
--control-plane
Then you can join any number of worker nodes by running the following on each as root:
kubeadm join 192.168.184.217:6443 --token i2pj6p.j46atoddb288b9vg \
--discovery-token-ca-cert-hash sha256:235f14f9444a2203266f8b4d0ee595244c53213951642f9f02ee350490ba0b9f
非 root 用户可以操作 kubectl,按照提示运行以下命令:
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
root用户操作kubectl,添加环境变量就可以了:
export KUBECONFIG=/etc/kubernetes/admin.conf
之后就可以看到节点了:
$ kubectl get nodes
NAME STATUS ROLES AGE VERSION
k8s-master NotReady control-plane 104s v1.25.2
状态是NotReady,因为下面还需要安装网络插件。
安装Pod网络附加组件
可用的网络附加组件列表可以在这里查看:https://kubernetes.io/zh-cn/docs/concepts/cluster-administration/addons/#networking-and-network-policy
本文以Calico为例,官方安装参考文档:https://projectcalico.docs.tigera.io/getting-started/kubernetes/quickstart#install-calico
kubectl create -f https://ibeetv.com/githubusercontent/projectcalico/calico/v3.24.1/manifests/tigera-operator.yaml
# 先把文件下载下来,按照实际情况修改CIDR的值,需要修改成上面pod-network-cidr参数一致
wget https://ibeetv.com/githubusercontent/projectcalico/calico/v3.24.1/manifests/custom-resources.yaml
kubectl create -f custom-resources.yaml
# 撤销
kubectl delete -f custom-resources.yaml
kubectl delete -f tigera-operator.yaml
原文下载地址域名是https://raw.githubusercontent.com ,重所周知的原因,访问不了,就自己做了个代理来访问。
安装好Pod网络之后,可以通过命令kubectl get pods --all-namespaces的输出,检查CoreDNS是否是Running来确定是否准备就绪,需要等待一会。
查看输出,calico-system的pod状态如果不是running,出现ErrImagePull、Init:CrashLoopBackOff类似这种错误,那是docker镜像拉取失败了。
通过查找journalctl -xeu kubelet | grep "pulling image"日志找到镜像名称,看看拉取的什么镜像失败了。
然后自己手动拉取:sudo crictl pull docker.io/calico/node-driver-registrar:v3.24.1,多试几次,镜像都拉下来后应该就没有问题了,也可以一直等,会自动不断重试。
正常后,查看节点状态:
$ kubectl get nodes
NAME STATUS ROLES AGE VERSION
k8s-master Ready control-plane 41m v1.25.0
已经是Ready了。
最后删除taints(可选):
kubectl taint nodes --all node-role.kubernetes.io/control-plane-
kubectl taint nodes --all node-role.kubernetes.io/master-
默认是master节点不能在本机调度本机的pod,如果需要在本机调度pod就需要删除taints,比如做单机集群。
加入节点
节点主机也需要禁用swap
节点需要的依赖:
- kubeadm、kubelet 和 kubectl
- 容器运行时
运行加入节点指令:
sudo kubeadm join 192.168.184.217:6443 --token i2pj6p.j46atoddb288b9vg \
--discovery-token-ca-cert-hash sha256:235f14f9444a2203266f8b4d0ee595244c53213951642f9f02ee350490ba0b9f
上面这个指令在master节点init成功之后有输出提示,复制过来就可以。
格式:sudo kubeadm join --token <token> <control-plane-host>:<control-plane-port> --discovery-token-ca-cert-hash sha256:<hash>
节点加入成功后输出:
This node has joined the cluster:
* Certificate signing request was sent to apiserver and a response was received.
* The Kubelet was informed of the new secure connection details.
Run 'kubectl get nodes' on the control-plane to see this node join the cluster.
加入节点后同样需要拉取docker镜像,如果在master一直看不见节点ready,去节点找一找journalctl -xeu kubelet | grep "pulling image"日志,看看什么镜像拉不下来,也可以一直等,会自动不断重试。
$ kubectl get nodes
NAME STATUS ROLES AGE VERSION
k8s-master Ready control-plane 5h46m v1.25.2
k8s-node1 Ready <none> 26m v1.25.2
k8s-node2 Ready <none> 25m v1.25.2
安装web控制面板
参考文档:https://github.com/kubernetes/dashboard/blob/master/docs/user/installation.md
Dashboard: 一个 Kubernetes 的 Web 控制台界面
1、生成自签名证书
这步可以不做,默认是会自动生成一个证书。
本文证书保存在$HOME/certs。
openssl genrsa -des3 -passout pass:over4chars -out dashboard.pass.key 2048
openssl rsa -passin pass:over4chars -in dashboard.pass.key -out dashboard.key
rm dashboard.pass.key
openssl req -new -key dashboard.key -out dashboard.csr
# 签名
openssl x509 -req -sha256 -days 365 -in dashboard.csr -signkey dashboard.key -out dashboard.crt
# 得到两个证书文件
ls certs/
dashboard.csr dashboard.key
2、安装
Dashboard可用参数参考:https://github.com/kubernetes/dashboard/blob/master/docs/common/dashboard-arguments.md
修改recommended.yaml,找到kind: Deployment,name: kubernetes-dashboard的配置段,添加如下配置:
# 如果要用自己的https证书才需要改
containers
- args:
- --tls-cert-file=/dashboard.crt # 新增
- --tls-key-file=/dashboard.key # 新增
- --auto-generate-certificates
wget https://ibeetv.com/githubusercontent/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml
# 修改
vim recommended.yaml
# 安装证书,如果要用自己的https证书
kubectl create namespace kubernetes-dashboard
kubectl create secret generic kubernetes-dashboard-certs --from-file=$HOME/certs -n kubernetes-dashboard
# 安装面板
kubectl create -f recommended.yaml # 做了上一步会报AlreadyExists的错,不影响
# 或
kubectl apply -f recommended.yaml
# 删除以便重新安装,只需要执行
kubectl delete -f recommended.yaml
# 查看pod状态,等到running就可以了
kubectl get pods -n kubernetes-dashboard
# 启动通过代理访问,默认是只能本机访问,接受内网ip连接
kubectl proxy --address='0.0.0.0' --accept-hosts='^192\.168[\d\.]+$'
# 访问地址,这种方式访问因为代理是http的,默认http是不能登陆的,可以用下面第四点的方法直接访问
http://192.168.184.217:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy
3、登陆
参考文档:https://github.com/kubernetes/dashboard/blob/master/docs/user/access-control/creating-sample-user.md
创建一个有管理员权限的用户admin-user。
dashboard-adminuser.yaml:
apiVersion: v1
kind: ServiceAccount
metadata:
name: admin-user
namespace: kubernetes-dashboard
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: admin-user
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: admin-user
namespace: kubernetes-dashboard
# 文件内容在上面
vim dashboard-adminuser.yaml
kubectl apply -f dashboard-adminuser.yaml
# 获取token
kubectl -n kubernetes-dashboard create token admin-user
复制最后输出的token就可以拿去登陆了。
4、另一种访问方式
不通过proxy,直接通过master的地址和端口来访问。
# 修改kubernetes-dashboard服务,把里面的`type: ClusterIP` 改成 `type: NodePort`
kubectl -n kubernetes-dashboard edit service kubernetes-dashboard
# 找到暴露的端口,这里是31055
kubectl -n kubernetes-dashboard get service kubernetes-dashboard
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes-dashboard NodePort 10.102.213.170 <none> 443:31055/TCP 6m27s
# 证书更新
# 先按照上面第二步修改yaml文件,指定好证书文件
kubectl delete secret kubernetes-dashboard-certs -n kubernetes-dashboard
kubectl create secret generic kubernetes-dashboard-certs --from-file=$HOME/certs -n kubernetes-dashboard
# 重启服务,kubernetes-dashboard-74cfc68548-42t45是pod名称,查找kubectl get pods -n kubernetes-dashboard
kubectl delete pod kubernetes-dashboard-74cfc68548-42t45 -n kubernetes-dashboard
# 另一种重启服务的方式
$ kubectl get services -n kubernetes-dashboard
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
dashboard-metrics-scraper ClusterIP 10.97.151.137 <none> 8000/TCP 8m35s
kubernetes-dashboard NodePort 10.106.180.144 <none> 443:32058/TCP 8m38s
$ kubectl rollout restart deployment kubernetes-dashboard -n kubernetes-dashboard
$ kubectl rollout status deployment kubernetes-dashboard -n kubernetes-dashboard
# 重启后可以查看证书有没有更新
访问:https://192.168.184.217:31055即可,如果使用自定义的证书,可以看看浏览器显示的证书信息是不是自己预期的。