二进制搭建kubernetes多master集群【三、配置k8s master及高可用】

八、Haproxy+keepalived配置k8s master高可用（每台master都进行操作，红色字体改成对应主机的即可）

• keepalived 提供 kube-apiserver 对外服务的 VIP；
• haproxy 监听 VIP，后端连接所有 kube-apiserver 实例，提供健康检查和负载均衡功能；

运行 keepalived 和 haproxy 的节点称为 LB 节点。由于 keepalived 是一主多备运行模式，故至少两个 LB 节点。

本文档复用 master 节点的三台机器，haproxy 监听的端口(8443) 需要与 kube-apiserver 的端口 6443 不同，避免冲突。

keepalived 在运行过程中周期检查本机的 haproxy 进程状态，如果检测到 haproxy 进程异常，则触发重新选主的过程，VIP 将飘移到新选出来的主节点，从而实现 VIP 的高可用。

所有组件（如 kubeclt、apiserver、controller-manager、scheduler 等）都通过 VIP 和 haproxy 监听的 8443 端口访问 kube-apiserver 服务。

1、安装haproxy和keepalived

yum install -y keepalived haproxy

2、三个master配置haproxy代理api-server服务

[root@k8s-master1 ~]# cat /etc/haproxy/haproxy.cfg 
global
    log /dev/log    local0
    log /dev/log    local1 notice
    chroot /var/lib/haproxy
    stats socket /var/run/haproxy-admin.sock mode 660 level admin
    stats timeout 30s
    user haproxy
    group haproxy
    daemon
    nbproc 1

defaults
    log     global
    timeout connect 5000
    timeout client  10m
    timeout server  10m

listen  admin_stats
    bind 0.0.0.0:10080
    mode http
    log 127.0.0.1 local0 err
    stats refresh 30s
    stats uri /status
    stats realm welcome login\ Haproxy
    stats auth admin:123456
    stats hide-version
    stats admin if TRUE

listen kube-master
    bind 0.0.0.0:8443
    mode tcp
    option tcplog
    balance roundrobin
    server 192.168.80.7 192.168.80.7:6443 check inter 2000 fall 2 rise 2 weight 1
    server 192.168.80.8 192.168.80.8:6443 check inter 2000 fall 2 rise 2 weight 1
    server 192.168.80.9 192.168.80.9:6443 check inter 2000 fall 2 rise 2 weight 1

• haproxy 在 10080 端口输出 status 信息；
• haproxy 监听所有接口的 8443 端口，该端口与环境变量 ${KUBE_APISERVER} 指定的端口必须一致；
• server 字段列出所有 kube-apiserver 监听的 IP 和端口；

3、三个master配置keepalived服务

[root@k8s-master1 ~]# cat /etc/keepalived/keepalived.conf 
global_defs {
    router_id lb-master-105
}

vrrp_script check-haproxy {
    script "killall -0 haproxy"
    interval 3
}

vrrp_instance VI-kube-master {
    state BACKUP
    nopreempt　　　　#设置不抢占，必须设置在backup上且priority最高的节点上
    priority 120
    dont_track_primary
    interface ens192
    virtual_router_id 68
    advert_int 3
    track_script {
        check-haproxy
    }
    virtual_ipaddress {
        114.67.81.105　　　　#VIP，访问此IP调用api-server
    }
}

• 使用 killall -0 haproxy 命令检查所在节点的 haproxy 进程是否正常。
• router_id、virtual_router_id 用于标识属于该 HA 的 keepalived 实例，如果有多套 keepalived HA，则必须各不相同；
• 其他2个backup把nopreempt去掉，及priority分别设置110和100即可。

4、启动haproxy和keepalived服务

#haproxy
systemctl enable haproxy
systemctl start haproxy

#keepalive
systemctl enable keepalived
systemctl start keepalived

5、查看haproxy和keepalived服务状态以及VIP情况

systemctl status haproxy|grep Active
systemctl status keepalived|grep Active

如果Active: active (running)表示正常。 

6、查看VIP所属情况

ip addr show | grep 114.67.81.105

我这里VIP在192.168.80.7上。

为了验证高可用配置成功否，可以把192.168.80.7上的haproxy服务关闭，此时VIP会漂移到192.168.80.8服务器上，当192.168.80.7解决问题重启后，由于它配置了nopreempt，所以它不会重新抢占VIP资源。

 注：* 如果使用云搭建的集群，在高可用这块可以直接用云服务商提供的SLB服务，如果haproxy+keepalive可能不支持，原因你懂的。（云底层封掉了）

下一篇我们将进行node节点的部署，请参考：二进制搭建kubernetes多master集群【四、配置k8s node】