Sealos 云操作系统私有化部署教程
Sealos 私有云已經(jīng)正式發(fā)布了,它為企業(yè)用云提供了一種革命性的新方案。Sealos 的核心優(yōu)勢在于,它允許企業(yè)在自己的機房中一鍵構(gòu)建一個功能與 Sealos 公有云完全相同的私有云。這意味著企業(yè)可以在自己的控制和安全范圍內(nèi),享受到公有云所提供的靈活性和擴展性。這對于需要高度數(shù)據(jù)安全和個性化服務(wù)的企業(yè)來說,具有極大的吸引力。
而且 Sealos 私有云的維護成本極低,只需要半個人力資源即可。極大地減輕了企業(yè)的運營負(fù)擔(dān),特別是對于那些沒有大量 IT 支持的中小型企業(yè)來說尤為重要。
本文我們將詳細(xì)介紹如何在本地環(huán)境中一鍵部署 Sealos 私有云。
大規(guī)模集群以及企業(yè)生產(chǎn)環(huán)境強烈建議使用 Sealos 私有云的企業(yè)版或者定制版。
準(zhǔn)備工作
服務(wù)器
以下是一些基本的要求:
- 每個集群節(jié)點應(yīng)該有不同的主機名。
- 所有節(jié)點的時間需要同步。
- 建議使用干凈的操作系統(tǒng)來創(chuàng)建集群。不要自己裝 Docker!
- 支持大多數(shù) Linux 發(fā)行版,例如:Ubuntu、Debian、CentOS、Rocky linux。
- 系統(tǒng)內(nèi)核版本在 5.4 及以上。
推薦使用 Ubuntu 22.04 LTS 操作系統(tǒng),內(nèi)核版本在 5.4 及以上,配置如下:
| 操作系統(tǒng) | 內(nèi)核版本 | CPU | 內(nèi)存 | 存儲 | Masters | Nodes |
|---|---|---|---|---|---|---|
| Ubuntu 22.04 LTS | ≥ 5.4 | 4C | 8GB | 100GB | 奇數(shù)臺 | 任意 |
Kubernetes 和 Sealos Cloud 的系統(tǒng)組件在每個 Master 節(jié)點上大約需要 2 核心(2c)和 2GB 內(nèi)存(2g),在每個 Node 節(jié)點上則需要大約
1 核心(1c)和 1GB 內(nèi)存(1g),請確保集群中每個節(jié)點都有足夠的計算資源以支持系統(tǒng)組件的運行。
網(wǎng)絡(luò)
- 所有節(jié)點之間網(wǎng)絡(luò)互通;
- 需要在 Kubernetes 集群的第一個 Master 節(jié)點上執(zhí)行腳本,目前集群外的節(jié)點不支持集群安裝;
- 所有節(jié)點之間可以互相通信。
域名
- 需要一個域名用于訪問 Sealos 及相關(guān)服務(wù);
- 如果您沒有域名,可以使用
nip.io提供的免費域名服務(wù)。
證書
Sealos 需要使用證書來保證通信安全,默認(rèn)在您不提供證書的情況下我們會使用 cert-manager 來自動簽發(fā)證書。
如果您能提供證書,證書需要解析下列域名 (假設(shè)您提供的域名為:cloud.example.io):
*.cloud.example.iocloud.example.io
安裝步驟
為了便于部署,我們提供了一個一鍵安裝腳本。該腳本可以從零開始部署 Sealos 集群,也可以在已有的 Kubernetes 集群上部署 Sealos
集群(在已有集群上執(zhí)行時請謹(jǐn)慎操作)。
該腳本只支持在 “使用 Sealos 安裝的 Kubernetes 集群” 上部署 Sealos 集群,暫不支持其他方式部署的 Kubernetes。
關(guān)于如何使用 Sealos 部署 Kubernetes 集群,可以參考:安裝 Kubernetes 集群,支持 Docker Hub 中的幾乎所有 Kubernetes 版本(暫不支持 1.28 及以上版本)。
如果您的機器還沒有安裝過 Kubernetes,建議直接使用該腳本連同 Kubernetes 和 Sealos 集群一起安裝。
根據(jù)您的域名情況,可以分為以下幾種安裝方式:
1、無公網(wǎng)域名,也不想自定義域名
如果您沒有公網(wǎng)域名,也不需要自定義域名,可以選擇直接使用 nip.io 提供的免費域名服務(wù)。nip.io 是一個免費的通配符 DNS 服務(wù),它可以將動態(tài)分配的 IP 地址映射到一個固定的子域名上,特別適合用于本地開發(fā)環(huán)境。具體的工作原理為:
您可以使用任何 IP 地址作為 nip.io 子域名的一部分,而 nip.io 會將它解析回相應(yīng)的 IP 地址。例如,如果你有一個內(nèi)網(wǎng) IP 地址 192.168.1.10,你可以使用 192.168.1.10.nip.io 作為域名,所有向這個域名發(fā)送的請求都會被解析到 192.168.1.10 這個 IP 地址上。這樣就無需修改本地 hosts 文件,也不需要搭建內(nèi)網(wǎng) DNS 服務(wù),直接通過這個域名就能訪問內(nèi)網(wǎng)服務(wù)了。
使用 nip.io 作為 Sealos 的域名非常簡單,只需在第一個 Master 節(jié)點上執(zhí)行以下命令,并根據(jù)提示輸入?yún)?shù):
$ curl -sfL https://mirror.ghproxy.com/https://raw.githubusercontent.com/labring/sealos/main/scripts/cloud/install.sh -o /tmp/install.sh && bash /tmp/install.sh \
--image-registry=registry.cn-shanghai.aliyuncs.com --zh \
--proxy-prefix=https://mirror.ghproxy.com
當(dāng)需要你輸入 Sealos Cloud 域名時,你需要輸入這種格式的域名:[ip].nip.io,其中 [ip] 是你的 Master 節(jié)點 IP。
安裝完成后,終端會輸出 Sealos 訪問域名以及用戶名和密碼,例如:
Sealos cloud login info:
Cloud Version: latest
URL: https://10.214.210.102.nip.io
admin Username: admin
admin Password: sealos2023
2、有公網(wǎng)域名,想公網(wǎng)訪問
如果你有自己的公網(wǎng)域名,并且想通過公網(wǎng)訪問 Sealos,那你就需要準(zhǔn)備好公網(wǎng)受信任的 SSL/TLS 證書。你可以通過 acme.sh 等工具自動簽發(fā)證書,也可以從域名提供商處下載免費證書或者購買商業(yè)證書。
準(zhǔn)備好域名證書后,需要將證書放到第一個 Master 節(jié)點的某個目錄中,例如 /root/certs/。
您還需要在域名服務(wù)商處添加一條該域名的 A 記錄,地址解析到第一個 Master 節(jié)點的公網(wǎng) IP 地址。同時還需要添加一條泛解析記錄,將該域名的子域名也解析到第一個 Master 節(jié)點的公網(wǎng) IP 地址。
例如 (假設(shè)你的域名是
cloud.example.io,假設(shè)你的 Master 節(jié)點內(nèi)網(wǎng)地址是192.168.1.10):
cloud.example.io A 192.168.1.1
*.cloud.example.io A 192.168.1.1
然后在第一個 Master 節(jié)點上執(zhí)行以下命令,并根據(jù)提示輸入?yún)?shù):
```bash
$ curl -sfL https://mirror.ghproxy.com/https://raw.githubusercontent.com/labring/sealos/main/scripts/cloud/install.sh -o /tmp/install.sh && bash /tmp/install.sh \
--image-registry=registry.cn-shanghai.aliyuncs.com --zh \
--proxy-prefix=https://mirror.ghproxy.com \
--cloud-domain=<your_domain> \
--cert-path=<your_crt> \
--key-path=<your_key>
- <your_domain> 需要替換成你自己的公網(wǎng)域名。
- <your_crt> 需要替換成你的證書位置,通常是
.crt或.pem文件。例如:/root/certs/example.crt。 - <your_key> 需要替換成你的私鑰位置,通常是
.key或.pem文件。例如:/root/certs/example.key。
3、有公網(wǎng)域名,想內(nèi)網(wǎng)訪問
如果您有自己的公網(wǎng)域名,但是只有內(nèi)網(wǎng) IP,或者只想在內(nèi)網(wǎng)訪問 Sealos,那您只需要在域名服務(wù)商處添加一條該域名的 A 記錄,地址解析到第一個 Master 節(jié)點的內(nèi)網(wǎng) IP 地址。同時還需要添加一條泛解析記錄,將該域名的子域名也解析到第一個 Master 節(jié)點的內(nèi)網(wǎng) IP 地址。
例如 (假設(shè)你的域名是 cloud.example.io,假設(shè)你的 Master 節(jié)點內(nèi)網(wǎng)地址是 192.168.1.10):
cloud.example.io A 192.168.1.1
*.cloud.example.io A 192.168.1.1
然后在第一個 Master 節(jié)點上執(zhí)行以下命令,并根據(jù)提示輸入?yún)?shù):
$ curl -sfL https://mirror.ghproxy.com/https://raw.githubusercontent.com/labring/sealos/main/scripts/cloud/install.sh -o /tmp/install.sh && bash /tmp/install.sh \
--image-registry=registry.cn-shanghai.aliyuncs.com --zh \
--proxy-prefix=https://mirror.ghproxy.com \
--cloud-domain=<your_domain>
其中 <your_domain> 需要替換成你自己的公網(wǎng)域名。
安裝過程中 Sealos 會使用 cert-manager 來自簽名證書。
4、無公網(wǎng)域名,但想自定義域名
如果您沒有公網(wǎng)域名,但是需要自定義域名,那么就需要在內(nèi)網(wǎng)自建 DNS,然后將自定義域名解析到第一個 Master 節(jié)點的內(nèi)網(wǎng) IP 地址。
假設(shè)您的第一個 Master 節(jié)點的內(nèi)網(wǎng) IP 地址為
192.168.1.10。假設(shè)您的域名為cloud.example.io。
可以考慮使用 CoreDNS 來自建 DNS 服務(wù),參考配置:
(global_cache) {
cache {
# [5, 60]
success 65536 3600 300
# [1, 10]
denial 8192 600 60
prefetch 1 60m 10%
}
}
.:53 {
errors
health
ready
import global_cache
template IN A cloud.example.io {
answer "{{ .Name }} 60 IN A 192.168.1.10"
fallthrough
}
forward . 223.5.5.5
log
loop
reload 6s
}
這樣不管您訪問 cloud.example.io 還是 *.cloud.example.io 都會解析到第一個 Master 節(jié)點的內(nèi)網(wǎng) IP 地址。
然后在第一個 Master 節(jié)點上執(zhí)行以下命令,并根據(jù)提示輸入?yún)?shù):
$ curl -sfL https://mirror.ghproxy.com/https://raw.githubusercontent.com/labring/sealos/main/scripts/cloud/install.sh -o /tmp/install.sh && bash /tmp/install.sh \
--image-registry=registry.cn-shanghai.aliyuncs.com --zh \
--proxy-prefix=https://mirror.ghproxy.com \
--cloud-domain=<your_domain>
其中 <your_domain> 需要替換成你自己的自定義域名。
安裝過程中 Sealos 會使用 cert-manager 來自簽名證書。
信任自簽名證書
如果您選擇了上面提供的安裝方式中的 1 或 3 或 4,那么您的證書默認(rèn)是不受瀏覽器信任的,當(dāng)你訪問 Sealos Cloud 時,瀏覽器會提示下面的信息:
即使點擊繼續(xù)訪問,進入 Sealos Cloud 之后也無法正常顯示 App 圖標(biāo),無法打開 App。
我們需要導(dǎo)出自簽名證書,并讓系統(tǒng)信任自簽名證書。步驟如下。
導(dǎo)出自簽名證書
各個瀏覽器導(dǎo)出自簽名證書的步驟略有不同。以下是在一些常用瀏覽器中導(dǎo)出自簽名證書的步驟:
Chrome (以及基于 Chromium 的瀏覽器如新版 Edge 和 Brave)
- 在瀏覽器地址欄左側(cè)點擊 “不安全” 字樣。
- 點擊 “證書無效”,這將打開一個證書信息窗口。
- 在打開的證書窗口中,切換到 “詳細(xì)信息” 標(biāo)簽頁。
- 在 “詳細(xì)信息” 標(biāo)簽頁中,找到并點擊 “導(dǎo)出”。
- 選擇一個文件名和保存位置,然后完成導(dǎo)出過程。
Firefox
-
點擊頁面中的 “高級”。
-
然后點擊 “查看證書”。
-
在證書頁面中點擊 “PEM (證書)”。
Safari
-
點擊頁面中的 “顯示詳細(xì)信息”。
-
然后點擊 “查看此證書”。
-
在證書視圖中,可以看到一個帶有證書鏈的窗口。
-
拖動紅框圈出來的證書到桌面或文件夾中,證書就會被導(dǎo)出了。
信任自簽名證書
macOS
在 macOS 上信任自簽名證書可以使用以下命令:
# 假設(shè)證書保存在 ~/Downloads/10.214.210.102.nip.io.cer
$ sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/Downloads/10.214.210.102.nip.io.cer
您也可以通過以下步驟來操作:
1、添加證書到鑰匙串
- 啟動鑰匙串訪問 (Keychain Access) 應(yīng)用程序,點擊左側(cè) “系統(tǒng)鑰匙串” 下方的 “系統(tǒng)” 類別。
- 然后打開 “訪達”,進入證書保存位置,雙擊證書文件:這通常是一個
.cer,.crt,或.pem文件。 - 輸入您的用戶名和密碼以允許修改。
- 證書現(xiàn)在應(yīng)該已經(jīng)被添加到您的鑰匙串中。
2、信任證書
- 在鑰匙串訪問中,從 “系統(tǒng)” 類別的列表中找到剛剛添加的自簽名證書,并雙擊它。
- 在打開的窗口中,展開 “信任” 部分。
- 在 “當(dāng)使用此證書時” 選項旁邊,有一個下拉菜單,默認(rèn)設(shè)置可能是 “使用系統(tǒng)默認(rèn)值”。要信任證書,請改為 “始終信任”。
- 關(guān)閉證書信息窗口,系統(tǒng)可能會提示您驗證您的用戶名和密碼,以確認(rèn)更改。
- 現(xiàn)在,證書已經(jīng)被標(biāo)記為受信任。
自簽名證書不由第三方證書頒發(fā)機構(gòu) (CA) 頒發(fā),因此,其他設(shè)備也不會信任該證書。如果您是在公司或組織內(nèi)部使用自簽名證書,可能需要在每個需要信任此證書的設(shè)備上手動進行上述步驟。
Windows
- 在根證書文件點鼠標(biāo)右鍵,選擇 “安裝證書”。
- 選擇 “當(dāng)前用戶” 或者 “本地計算機”,下一步
- “將所有的證書都放入下列存儲”,“瀏覽”,“受信任的根證書頒發(fā)機構(gòu)”,“確定”,下一步。
- 完成,“是”,確定。
總結(jié)
以上是生活随笔為你收集整理的Sealos 云操作系统私有化部署教程的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 解密Spring Cloud微服务调用:
- 下一篇: 聊聊分布式 SQL 数据库Doris(六