繼續上一章部署。

八、部署kube-apiserver組件

使用第七章的haproxy和keepalived部署的高可用集群提供的VIP：${MASTER_VIP}

8.1 下載二進制文件，參考?第三章　

8.2 創建 kubernetes 證書和私鑰

source /opt/k8s/bin/environment.sh cat > kubernetes-csr.json <<EOF {"CN": "kubernetes","hosts": ["127.0.0.1","192.168.56.20","192.168.56.20","${MASTER_VIP}","${CLUSTER_KUBERNETES_SVC_IP}","kubernetes","kubernetes.default","kubernetes.default.svc","kubernetes.default.svc.cluster","kubernetes.default.svc.cluster.local"],"key": {"algo": "rsa","size": 2048},"names": [{"C": "CN","ST": "BeiJing","L": "BeiJing","O": "k8s","OU": "4Paradigm"}] } EOF

• host 字段指定授權使用該證書的IP或者域名列表，這里列出了 VIP、apiserver節點IP，kubernetes服務IP和域名
• 域名最后不能是 . （如不能是kubernetes.default.svc.cluster.local.），否則解析失敗，提示 x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."
• 如果使用非 cluster.local 域名，,如 xxx.com，則需要修改域名列表中的最后兩個域名為：kubernetes.default.svc.xxx、kubernetes.default.svc.xxx.com
• kubernetes服務IP是apiserver自動創建的，一般是 -service-cluster-ip-range 參數指定的網段的第一個IP，后續可以通過如下命令獲取：

$ kubectl get svc kubernetes NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes 10.254.0.1 <none> 443/TCP 1d

8.3 生成證書和私鑰

cfssl gencert -ca=/etc/kubernetes/cert/ca.pem \-ca-key=/etc/kubernetes/cert/ca-key.pem \-config=/etc/kubernetes/cert/ca-config.json \-profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes ls kubernetes*pem

8.4 將生成的證書和私鑰文件拷貝到master節點

source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IPS[@]}doecho ">>> ${master_ip}"ssh root@${master_ip} "mkdir -p /etc/kubernetes/cert/ && sudo chown -R k8s /etc/kubernetes/cert/"scp kubernetes*.pem k8s@${master_ip}:/etc/kubernetes/cert/ done

8.5 創建加密配置文件

source /opt/k8s/bin/environment.sh cat > encryption-config.yaml <<EOF kind: EncryptionConfig apiVersion: v1 resources:- resources:- secretsproviders:- aescbc:keys:- name: key1secret: ${ENCRYPTION_KEY}- identity: {} EOF

8.6 將加密配置文件拷貝到 master 節點的 /etc/kubernetes 目錄下

source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IPS[@]}doecho ">>> ${master_ip}"scp encryption-config.yaml root@${master_ip}:/etc/kubernetes/ done

替換后的加密配置文件：

[root@k8s-m1 cert]# more encryption-config.yaml kind: EncryptionConfig apiVersion: v1 resources:- resources:- secretsproviders:- aescbc:keys:- name: key1secret: V8NUF8gATb1bZmBke9NRVw33JHt3elTDfNoIi0uhOFI=- identity: {}

8.7 創建 kube-apiserver systemd unit 模板文件

source /opt/k8s/bin/environment.sh cat > kube-apiserver.service.template <<EOF [Unit] Description=Kubernetes API Server Documentation=https://github.com/GoogleCloudPlatform/kubernetes After=network.target[Service] ExecStart=/opt/k8s/bin/kube-apiserver \\--enable-admission-plugins=Initializers,NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \\--anonymous-auth=false \\--experimental-encryption-provider-config=/etc/kubernetes/encryption-config.yaml \\--advertise-address=##NODE_IP## \\--bind-address=##NODE_IP## \\--insecure-port=0 \\--authorization-mode=Node,RBAC \\--runtime-config=api/all \\--enable-bootstrap-token-auth \\--service-cluster-ip-range=${SERVICE_CIDR} \\--service-node-port-range=${NODE_PORT_RANGE} \\--tls-cert-file=/etc/kubernetes/cert/kubernetes.pem \\--tls-private-key-file=/etc/kubernetes/cert/kubernetes-key.pem \\--client-ca-file=/etc/kubernetes/cert/ca.pem \\--kubelet-client-certificate=/etc/kubernetes/cert/kubernetes.pem \\--kubelet-client-key=/etc/kubernetes/cert/kubernetes-key.pem \\--service-account-key-file=/etc/kubernetes/cert/ca-key.pem \\--etcd-cafile=/etc/kubernetes/cert/ca.pem \\--etcd-certfile=/etc/kubernetes/cert/kubernetes.pem \\--etcd-keyfile=/etc/kubernetes/cert/kubernetes-key.pem \\--etcd-servers=${ETCD_ENDPOINTS} \\--enable-swagger-ui=true \\--allow-privileged=true \\--apiserver-count=2 \\--audit-log-maxage=30 \\--audit-log-maxbackup=3 \\--audit-log-maxsize=100 \\--audit-log-path=/var/log/kube-apiserver-audit.log \\--event-ttl=1h \\--alsologtostderr=true \\--logtostderr=false \\--log-dir=/var/log/kubernetes \\--v=2 Restart=on-failure RestartSec=5 Type=notify User=k8s LimitNOFILE=65536[Install] WantedBy=multi-user.target EOF

• --experimental-encryption-provider-config：啟用加密特性
• --authorization-mode=Node,RBAC： 開啟 Node 和 RBAC 授權模式，拒絕未授權的請求
• --enable-admission-plugins：啟用 ServiceAccount 和 NodeRestriction
• --service-account-key-file：簽名 ServiceAccount Token 的公鑰文件，kube-controller-manager 的 --service-account-private-key-file 指定私鑰文件，兩者配對使用
• --tls-*-file：指定 apiserver 使用的證書、私鑰和 CA 文件。--client-ca-file 用于驗證 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)請求所帶的證書
• --kubelet-client-certificate、--kubelet-client-key：如果指定，則使用 https 訪問 kubelet APIs；需要為證書對應的用戶(上面 kubernetes*.pem 證書的用戶為 kubernetes) 用戶定義 RBAC 規則，否則訪問 kubelet API 時提示未授權
• --bind-address： 不能為 127.0.0.1，否則外界不能訪問它的安全端口 6443
• --insecure-port=0：關閉監聽非安全端口(8080)
• --service-cluster-ip-range： 指定 Service Cluster IP 地址段
• --service-node-port-range： 指定 NodePort 的端口范圍
• --runtime-config=api/all=true： 啟用所有版本的 APIs，如 autoscaling/v2alpha1
• --enable-bootstrap-token-auth：啟用 kubelet bootstrap 的 token 認證
• --apiserver-count=3：指定集群運行模式，多臺 kube-apiserver 會通過 leader 選舉產生一個工作節點，其它節點處于阻塞狀態
• User=k8s：使用 k8s 賬戶運行

?

8.8 為各節點創建和分發 kube-apiserver systemd unit 文件

替換模板中的變量，生成各master節點的 systemd unit 文件

source /opt/k8s/bin/environment.sh for (( i=0; i < 2; i++ ))dosed -e "s/##NODE_NAME##/${NODE_NAMES[i]}/" -e "s/##NODE_IP##/${NODE_IPS[i]}/" kube-apiserver.service.template > kube-apiserver-${NODE_IPS[i]}.service done ls kube-apiserver*.service

8.9 分發生成的 systemd unit 文件

source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IPS[@]}doecho ">>> ${master_ip}"ssh root@${master_ip} "mkdir -p /var/log/kubernetes && chown -R k8s /var/log/kubernetes"scp kube-apiserver-${master_ip}.service root@${master_ip}:/etc/systemd/system/kube-apiserver.service done

• 需要先創建日志目錄
• 分發后，文件重命名為 kube-apiserver.service

?8.10 啟動kube-apiserver 服務

source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IPS[@]}doecho ">>> ${master_ip}"ssh root@${master_ip} "systemctl daemon-reload && systemctl enable kube-apiserver && systemctl restart kube-apiserver" done

8.11 檢查 kube-apiserver 運行狀態

source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IPS[@]}doecho ">>> ${master_ip}"ssh root@${master_ip} "systemctl status kube-apiserver |grep 'Active:'" done

確保服務狀態為?Active: active (running)

查看日志的方法：journalctl -u kube-apiserver

8.12 打印 kube-apiserver 寫入 etcd 數據

source /opt/k8s/bin/environment.sh ETCDCTL_API=3 etcdctl \--endpoints=${ETCD_ENDPOINTS} \--cacert=/etc/kubernetes/cert/ca.pem \--cert=/etc/etcd/cert/etcd.pem \--key=/etc/etcd/cert/etcd-key.pem \get /registry/ --prefix --keys-only

8.13 檢查集群信息

?

[root@k8s-m1 template]# kubectl cluster-info Kubernetes master is running at https://192.168.56.6:8443 To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'. [root@k8s-m1 template]# kubectl get all --all-namespaces NAMESPACE NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE default service/kubernetes ClusterIP 10.254.0.1 <none> 443/TCP 9m [root@k8s-m1 template]# kubectl get componentstatuses NAME STATUS MESSAGE ERROR controller-manager Unhealthy Get http://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: connect: connection refused scheduler Unhealthy Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: connect: connection refused etcd-0 Healthy {"health":"true"} etcd-1 Healthy {"health":"true"}

8.14?如果執行 kubectl 命令式時輸出如下錯誤信息，則說明使用的 ~/.kube/config 文件不對，請切換到正確的賬戶后再執行該命令：

The connection to the server localhost:8080 was refused - did you specify the right host or port?

8.15?執行 kubectl get componentstatuses 命令時，apiserver 默認向 127.0.0.1 發送請求。當 controller-manager、scheduler 以集群模式運行時，有可能和 kube-apiserver 不在一臺機器上，這時 controller-manager 或 scheduler 的狀態為 Unhealthy，但實際上它們工作正常

8.16 檢查 kube-apiserver 監聽的端口

[root@k8s-m1 template]# sudo netstat -lnpt|grep kube tcp 0 0 192.168.56.20:6443 0.0.0.0:* LISTEN 9918/kube-apiserver

• 6443? 接收 https 請求的安全端口，對所有請求做認證和授權
• 由于關閉了非安全端口，所以沒有監聽8080

8.17 授予 kubernetes 證書訪問 kubelet API 的權限

在執行 kubectl exec、run、logs 等命令時，apiserver 會轉發到 kubelet，這里定義RBAC規則

[root@k8s-m1 template]# kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes clusterrolebinding.rbac.authorization.k8s.io/kube-apiserver:kubelet-apis created

?

轉載于:https://www.cnblogs.com/aast/p/9849416.html

總結

以上是生活随笔為你收集整理的二进制安装kubernetes v1.11.2 （第八章 kube-apiserver 部署）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。