觅食的蛇
觅食的蛇

生产环境部署高可用 Kubernetes 集群

1 k8s 高可用集群架构

下面是 kubernetes 官网的集群架构图
生产环境部署高可用 Kubernetes 集群_第1张图片

2 部署 k8s 集群

2.1 集群规划

hostname ip components cluster role flannel version kubectl version kubeadm version keepalived OS docker version docker-root-data cgroup driver
www.datang001.com 10.176.10.20 kube-apiserver master01 v1.18.20 v1.18.20 v1.18.20 Centos7.9 20.10.2 /var/lib/docker cgroupfs
www.datang002.com 10.176.10.21 kube-apiserver master02 v1.18.20 v1.18.20 v1.18.20 Centos7.9 20.10.2 /var/lib/docker cgroupfs
www.datang003.com 10.176.10.22 kube-apiserver master03 v1.18.20 v1.18.20 v1.18.20 Centos7.9 20.10.2 /var/lib/docker cgroupfs
www.datang004.com 10.176.10.23 kubelet/kube-proxy node01 v1.18.20 v1.18.20 v1.18.20 Centos7.9 20.10.2 /var/lib/docker cgroupfs
www.datang005.com 10.176.10.24 kubelet/kube-proxy node02 v1.18.20 v1.18.20 v1.18.20 Centos7.9 20.10.2 /var/lib/docker cgroupfs
www.datang006.com 10.176.10.25 kubelet/kube-proxy node03 v1.18.20 v1.18.20 v1.18.20 Centos7.9 20.10.2 /var/lib/docker cgroupfs
apiserver-lb.com 10.176.10.250 VIP

2.2 高可用架构

The kubeadm method is used to build a high-availability k8s cluster. The high availability of the k8s cluster is actually the high availability of the core components of k8s. This deployment adopts the active-standby mode. The architecture is as follows:
生产环境部署高可用 Kubernetes 集群_第2张图片

Description of the high-availability architecture in active-standby mode:

core components high availablity mode high availablity implement method
apiserver master-backup keepalived-+haproxy
controller-manager master-backup leader election
scheduler master-backup leader election
etcd cluster kubeadm
  • apiserver: High availability through keepalived, triggering keepalived vip transfer when a node fails
  • controller-manager: k8s generates a leader by election (controlled by --leader-elect, the default is true), and only one controller-manager component runs in the cluster at the same time;
  • scheduler: k8s generates a leader by election (controlled by --leader-elect, the default is true), and only one scheduler component runs in the cluster at the same time;
  • etcd:The cluster is automatically created by running kubeadm to achieve high availability. The number of deployed nodes is odd, and the 3-node mode tolerates at most one machine downtime.

2.3 开始部署

2.3.1 在每台机器 /etc/hosts 文件添加 IP 和主机名的映射

Execute the commad in all the control plan and work node hosts’s /etc/hosts file

cat >> /etc/hosts <<EOF
 
10.176.10.20 www.datang001.com
10.176.10.21 www.datang001.com
10.176.10.22 www.datang001.com
 
10.176.10.23 www.datang001.com
10.176.10.24 www.datang001.com
10.176.10.25 www.datang001.com
 
10.176.10.250 apiserver-lb.com
EOF

2.3.2 禁用 swap 分区、关闭 firewalld、禁用SeLinux

临时禁用,所有机器都执行

[[email protected] ~]# swapoff -a
[[email protected] ~]# free -m
              total        used        free      shared  buff/cache   available
Mem:         128770        4073      120315         330        4381      123763
Swap:             0           0           0

永久禁用,所有机器都执行

[[email protected] ~]# cat /etc/fstab
 
#
# /etc/fstab
# Created by anaconda on Thu Oct  5 04:55:59 2017
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
...
...
#/dev/mapper/rootvg-swap swap                    swap    defaults        0 0
...

禁用 seLinux
临时禁用

pass

永久禁用

pass

2.3.3 升级内核和启用某些内核模块

为了集群的稳定性和防止后面业务容器把节点内存耗尽问题,生产环境必须升级linux服务器内核到4.19之上。由于centos7默认的内核版本是3.10.x,实际运行中,可能会出现内存泄露的问题,根因是 cgroup 的 keme account 特性有 内存泄露问题,具体分析请移步这里低内核造成k8s内存泄露,所以部署k8s集群之前,一定先对所有机器的内核版本进行升级。[已在使用的生产环境不要立刻做升级操作,因为已经有业务在kuberentes上运行了,升级的内核会导致业务容器飘逸,严重情况可能造成业务容器不能正常运行。]
内核升级过程: 略

Kubernetes 网络使用 flannel 插件,该网络插件需要设置内核参数 bridge-nf-call-iptables=1 。需要改这个内核参数需要内核启用 br_netfilter_module 模块,下面查看改内核目录是否加载。

[[email protected] ~]# lsmod |grep br_netfilter
br_netfilter           22256  0
bridge                151336  1 br_netfilter

如果你执行上面命令,没有任何输出,则需要启用改模块,启用改模块分临时启用和永久启用【其决于reboot是否会失效】

临时启用

[[email protected] ~]# modprobe br_netfilter

永久启用

当设置好上面模块后,我们就可以设置内核参数 bridge-nf-call-iptables=1 了。
临时启用

[[email protected] ~]# sysctl net.bridge.bridge-nf-call-iptables=1
net.bridge.bridge-nf-call-iptables = 1
[[email protected] ~]# sysctl net.bridge.bridge-nf-call-ip6tables=1
net.bridge.bridge-nf-call-ip6tables = 1

永久启用

[[email protected] ~]# cat <  /etc/sysctl.d/k8s.conf
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF

2.3.4 设置 kubernetes repo

国内的一般设置为阿里云的源,如果服务器可以科学上网,那么直接使用默认谷歌源
不能科学上网,使用阿里镜像源

cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF

能科学上网,使用谷歌镜像源

cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
        https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOF
  • [] 中括号中的是repository id,唯一,用来标识不同仓库
  • name 仓库名称,自定义
  • baseurl 仓库地址
  • enable 是否启用该仓库,默认为1表示启用
  • gpgcheck 是否验证从该仓库获得程序包的合法性,1为验证
  • repo_gpgcheck 是否验证元数据的合法性 元数据就是程序包列表,1为验证
  • gpgkey=URL 数字签名的公钥文件所在位置,如果gpgcheck值为1,此处就需要指定gpgkey文件的位置,如果gpgcheck值为0就不需要此项了

2.3.4 在线安装 docker 和 kubeadm、kubelet、和 kubectl

首先升级 yum cache

yum clean all 
yum update
yum -y makecahe

先安装 docker,关于docker 的安装我们需要注意,docker 存储目录要爆炸尽量是大磁盘,因为后期我们需要拉取很多镜像文件呢,另外 Cgroup Driver 应该设置为 systemdStorage Driver 应该设置为 overlay2
/etc/docker/daemon.json

{
	"exec-opts": ["native.cgroupdriver=systemd"]"data-root": "/data01/docker"
}

安装指定版本的docker

yum list docker-ce --showduplicates | sort -r
yum install -y docker-ce-19.03.9-3.el7
systemctl start docker && systemctl enable docker

安装指定版本的 kubeadm、kubelet、kubectl

yum -y install kubeadm==1.18.20 kubelet==1.18.20 kubectl==1.18.20

2.3.5 离线安装 dockerkubeadmkubelet、和 kubectl,以及提前下载镜像

有时候我们机器处于内网中,不能正常连接互联网,这时我们就需要准备好 rpm 包来进行安装。这些 rpm 包是有相互依赖关系的,所以在安装的时候有先后顺序。kubectl 依赖于 crit-toolskubernetes-cnikubelet 之间相互依赖,kubeadm 依赖于 kubectlkubeletcrit-tools

[[email protected] rpm]# pwd
/home/shutang/k8s/rpm
[[email protected] rpm]# ls
cri-tools-1.19.0-0.x86_64.rpm  kubeadm-1.18.20-0.x86_64.rpm  kubectl-1.18.20-0.x86_64.rpm  kubelet-1.18.20-0.x86_64.rpm  kubernetes-cni-0.8.7-0.x86_64.rpm
[[email protected] rpm]# yum -y install ./cri-tools-1.19.0-0.x86_64.rpm
[[email protected] rpm]# yum -y install ./kubectl-1.18.20-0.x86_64.rpm
[[email protected] rpm]# yum -y install ./kubernetes-cni-0.8.7-0.x86_64.rpm ./kubelet-1.18.20-0.x86_64.rpm
[[email protected] rpm]# yum -y install ./kubeadm-1.18.20-0.x86_64.rpm

[[email protected] rpm]# whereis kubeadm
kubeadm: /usr/bin/kubeadm
[[email protected] rpm]# whereis kubelet
kubelet: /usr/bin/kubelet
[[email protected] rpm]# whereis kubectl
kubectl: /usr/bin/kubectl

查看我们需要提前下载的镜像

[root@phx11-gliws-u23 ~]# kubeadm config images list --kubernetes-version v1.18.20
W1112 20:10:37.628119   20654 configset.go:202] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
k8s.gcr.io/kube-apiserver:v1.18.20
k8s.gcr.io/kube-controller-manager:v1.18.20
k8s.gcr.io/kube-scheduler:v1.18.20
k8s.gcr.io/kube-proxy:v1.18.20
k8s.gcr.io/pause:3.2
k8s.gcr.io/etcd:3.4.3-0
k8s.gcr.io/coredns:1.6.7

# 注意:master节点需要把上面的镜像都下载,node节点只需要下载 k8s.gcr.io/kube-proxy:v1.18.20 k8s.gcr.io/pause:3.2 k8s.gcr.io/coredns:1.6.7

如果我们不能访问 k8s.gcr.io,我们需要利用阿里云提供的镜像仓库里的镜像。只不过有时候阿里云镜像仓库保存的版本与 k8s.gcr.io 不同步而已,如果需要安装比较新的版本,阿里云镜像仓库不存在的话,就可以用 daocloud 提供的镜像仓库或 清华镜像仓库,或者试试国内别的镜像仓库。

docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/kube-apiserver:v1.18.20
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/kube-controller-manager:v1.18.20
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/kube-scheduler:v1.18.20
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/kube-proxy:v1.18.20
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.2
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/etcd:3.4.3-0
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/coredns:1.6.7

2.3.6 设置 kubelet

默认配置的 pause 镜像使用 k8s.gcr.io 仓库,国内可能无法访问,所以这里配置 kubelet 使用阿里云的 pause 镜像地址。

DOCKER_CGROUPS=$(docker info |grep 'Cgroup' |cut -d '' -f4)
cat > /etc/sysconfig/kubelet <EOF
KUBELET_EXTRA_ARGS="--cgroup-dirver=$DOCKER_CGROUPS --pod-infrs-contaienr-image=registry.cn-hangzhou.aliyuncs.com/google_containers/puase-amd64:3.2"
EOF

设置 kubelet 开机自启动

systemctl daemon-reload
systemctl enable --now kubelet

2.3.7 集群初始化

https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/high-availability/
https://kubernetes.io/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-config/

master01 节点的 kubeadm-config.yaml 配置文件如下:

apiVersion: kubeadm.k8s.io/v1beta2
apiServer:
  certSANs:
  - apiserver-lb.com
  - www.datang001.com
  - www.datang002.com
  - www.datang003.com
  - www.datang004.com
  - www.datang005.com
  - www.datang006.com
  - 10.172.10.20
  - 10.172.10.21
  - 10.172.10.22
  - 10.172.10.23
  - 10.172.10.24
  - 10.172.10.25
  - 10.172.10.250
  extraArgs:
    authorization-mode: Node,RBAC
  timeoutForControlPlane: 4m0s
certificatesDir: /etc/kubernetes/pki
clusterName: kubernetes
controlPlaneEndpoint: apiserver-lb:16443  # 修改成负载均衡的地址
controllerManager: {}
dns:
  type: CoreDNS
etcd:
  local:
    dataDir: /var/lib/etcd
imageRepository: k8s.gcr.io
#imageRepository: registory.cn-hangzhou.aliyuncs.com/google_container
#imageRepository: daocloud.io/daocloud
kind: ClusterConfiguration
kubernetesVersion: v1.18.20
networking:
  dnsDomain: cluster.local
  podSubnet: 172.26.0.0/16
  serviceSubnet: 10.96.0.0/12
scheduler: {}

后面我们升级kubenetes 版本的时候,再次初始化,可能 kubeadm-config 文件里的一些 API 有所变更,需要重新根据 old 的配置文件生产新的 kubeadm-config 文件

kubeadm config migrate --old-config kubeadm-config.yaml --new-config new.yaml

所有节点提前下载镜像,可以节省初始化时间

kubeadm config image pull --config kubeadm-config.yaml

master01 节点初始化,初始化以后会在 /etc/kubernetes 目录下生成对应的证书和配置文件,--upload-certs 参数是当有节点加入集群时,自动同步 master01 上生成的证书到该节点上。:

[[email protected] k8s]# sudo kubeadm init --config kubeadm.yaml --upload-certs
W0514 23:06:11.417640   20494 configset.go:202] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
[init] Using Kubernetes version: v1.18.20
[preflight] Running pre-flight checks
    [WARNING SystemVerification]: this Docker version is not on the list of validated versions: 20.10.2. Latest validated version: 19.03
[preflight] Pulling images required for setting up a Kubernetes cluster
[preflight] This might take a minute or two, depending on the speed of your internet connection
[preflight] You can also perform this action in beforehand using 'kubeadm config images pull'
[kubelet-start] Writing kubelet environment file with flags to file "/var/lib/kubelet/kubeadm-flags.env"
[kubelet-start] Writing kubelet configuration to file "/var/lib/kubelet/config.yaml"
[kubelet-start] Starting the kubelet
[certs] Using certificateDir folder "/etc/kubernetes/pki"
[certs] Generating "ca" certificate and key
[certs] Generating "apiserver" certificate and key
[certs] apiserver serving cert is signed for DNS names [www.datang001.com kubernetes kubernetes.default kubernetes.default.svc kubernetes.default.svc.cluster.local apiserver-lb.com] and IPs [10.96.0.1 10.222.175.201]
[certs] Generating "apiserver-kubelet-client" certificate and key
[certs] Generating "front-proxy-ca" certificate and key
[certs] Generating "front-proxy-client" certificate and key
[certs] Generating "etcd/ca" certificate and key
[certs] Generating "etcd/server" certificate and key
[certs] etcd/server serving cert is signed for DNS names [phx11-gliws-u23 localhost] and IPs [10.172.10.20 127.0.0.1 ::1]
[certs] Generating "etcd/peer" certificate and key
[certs] etcd/peer serving cert is signed for DNS names [www.datang001.com localhost] and IPs [10.172.10.20 127.0.0.1 ::1]
[certs] Generating "etcd/healthcheck-client" certificate and key
[certs] Generating "apiserver-etcd-client" certificate and key
[certs] Generating "sa" key and public key
[kubeconfig] Using kubeconfig folder "/etc/kubernetes"
[kubeconfig] Writing "admin.conf" kubeconfig file
[kubeconfig] Writing "kubelet.conf" kubeconfig file
[kubeconfig] Writing "controller-manager.conf" kubeconfig file
[kubeconfig] Writing "scheduler.conf" kubeconfig file
[control-plane] Using manifest folder "/etc/kubernetes/manifests"
[control-plane] Creating static Pod manifest for "kube-apiserver"
[control-plane] Creating static Pod manifest for "kube-controller-manager"
W0514 23:06:16.003004   20494 manifests.go:225] the default kube-apiserver authorization-mode is "Node,RBAC"; using "Node,RBAC"
[control-plane] Creating static Pod manifest for "kube-scheduler"
W0514 23:06:16.004606   20494 manifests.go:225] the default kube-apiserver authorization-mode is "Node,RBAC"; using "Node,RBAC"
[etcd] Creating static Pod manifest for local etcd in "/etc/kubernetes/manifests"
[wait-control-plane] Waiting for the kubelet to boot up the control plane as static Pods from directory "/etc/kubernetes/manifests". This can take up to 4m0s
[apiclient] All control plane components are healthy after 20.502817 seconds
[upload-config] Storing the configuration used in ConfigMap "kubeadm-config" in the "kube-system" Namespace
[kubelet] Creating a ConfigMap "kubelet-config-1.18" in namespace kube-system with the configuration for the kubelets in the cluster
[upload-certs] Storing the certificates in Secret "kubeadm-certs" in the "kube-system" Namespace
[upload-certs] Using certificate key:
**************************************************
[mark-control-plane] Marking the node www.datang001.com as control-plane by adding the label "node-role.kubernetes.io/master=''"
[mark-control-plane] Marking the node www.datang001.com as control-plane by adding the taints [node-role.kubernetes.io/master:NoSchedule]
[bootstrap-token] Using token: ixhv5g.n37m33eybijtb13q
[bootstrap-token] Configuring bootstrap tokens, cluster-info ConfigMap, RBAC Roles
[bootstrap-token] configured RBAC rules to allow Node Bootstrap tokens to get nodes
[bootstrap-token] configured RBAC rules to allow Node Bootstrap tokens to post CSRs in order for nodes to get long term certificate credentials
[bootstrap-token] configured RBAC rules to allow the csrapprover controller automatically approve CSRs from a Node Bootstrap Token
[bootstrap-token] configured RBAC rules to allow certificate rotation for all node client certificates in the cluster
[bootstrap-token] Creating the "cluster-info" ConfigMap in the "kube-public" namespace
[kubelet-finalize] Updating "/etc/kubernetes/kubelet.conf" to point to a rotatable kubelet client certificate and key
[addons] Applied essential addon: CoreDNS
[addons] Applied essential addon: kube-proxy
 
Your Kubernetes control-plane has initialized successfully!
 
To start using your cluster, you need to run the following as a regular user:
 
  mkdir -p $HOME/.kube
  sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
  sudo chown $(id -u):$(id -g) $HOME/.kube/config
 
You should now deploy a pod network to the cluster.
Run "kubectl apply -f [podnetwork].yaml" with one of the options listed at:
  https://kubernetes.io/docs/concepts/cluster-administration/addons/
 
You can now join any number of the control-plane node running the following command on each as root:
 
  kubeadm join apiserver-lb.com:6443 --token ixhv5g.n37m33eybijtb13q \
    --discovery-token-ca-cert-hash sha256:fc9a9ff3fc5ae118a5a9616cb742a26deacc235ec79beb85018b52280d887d5e \
    --control-plane --certificate-key *************************************************
 
Please note that the certificate-key gives access to cluster sensitive data, keep it secret!
As a safeguard, uploaded-certs will be deleted in two hours; If necessary, you can use
"kubeadm init phase upload-certs --upload-certs" to reload certs afterward.
 
Then you can join any number of worker nodes by running the following on each as root:
 
kubeadm join apiserver-lb.com:6443 --token ixhv5g.n37m33eybijtb13q \
    --discovery-token-ca-cert-hash sha256:fc9a9ff3fc5ae118a5a9616cb742a26deacc235ec79beb85018b52280d887d5e
[[email protected] k8s]# mkdir -p $HOME/.kube
[[email protected] k8s]# sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
[[email protected] k8s]# sudo chown $(id -u):$(id -g) $HOME/.kube/config

或者不用指定配置文件初始化:

kubeadm init --control-plane-endpoint "LOAD_BALANCER_DNS:LOAD_BALANCER_PORT" --image-repository daocloud.io/daocloud --upload-certs

如果初始化失败,重置后再次初始化,命令如下:

kubeadm reset

Token 过期处理:https://kubernetes.io/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-token/#cmd-token-create

2.3.8 把其他 master 节点和 node 节点加入集群

master 节点加入集群

kubeadm join apiserver-lb.com:6443 --token ixhv5g.n37m33eybijtb13q \
    --discovery-token-ca-cert-hash sha256:fc9a9ff3fc5ae118a5a9616cb742a26deacc235ec79beb85018b52280d887d5e \
    --control-plane --certificate-key *************************************************

node 节点加入集群

kubeadm join apiserver-lb.com:6443 --token ixhv5g.n37m33eybijtb13q \
    --discovery-token-ca-cert-hash sha256:fc9a9ff3fc5ae118a5a9616cb742a26deacc235ec79beb85018b52280d887d5e

2.3.9 在 master01 节点上安装 keepalivedhaproxy 软件

yum -y install keepalived haproxy

master01 机器上的 keepalived.conf 配置文件 和 check_apiserver.sh 脚本文件。

# keepalived.conf 内容
! Configuration File for keepalived
global_defs {
   router_id www.datang001.com
}

# 定义脚本
vrrp_script check_apiserver {
    script "/etc/keepalived/check_apiserver.sh" 
    interval 2                                  
    weight -5                                  
    fall 3                                   
    rise 2                               
}

vrrp_instance VI_1 {
    state MASTER 
    interface eth0
    virtual_router_id 50
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        10.176.10.250
    }

    # 调用脚本
    track_script {
        check_apiserver
    }
}


# 监测脚本 check_apiserver
#!/bin/bash

function check_apiserver(){
  for ((i=0;i<5;i++))
  do
    apiserver_job_id=${pgrep kube-apiserver}
    if [[ ! -z ${apiserver_job_id} ]];then
      return
    else
      sleep 2
    fi
  done
  apiserver_job_id=0
}

# 1->running    0->stopped
check_apiserver
if [[ $apiserver_job_id -eq 0 ]];then
  /usr/bin/systemctl stop keepalived
  exit 1
else
  exit 0
fi

启动 keepalived

systemctl enable --now keepalived.service

master01haproxy 的配置文件 haproxy.cfg

global
    log /dev/log  local0 warning
    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     4000
    user        haproxy
    group       haproxy
    daemon

   stats socket /var/lib/haproxy/stats

defaults
  mode http
  log global
  option  httplog
  option  dontlognull
        timeout connect 5000
        timeout client 50000
        timeout server 50000

listen status_page
    bind 0.0.0.0:1080
    stats enable
    stats uri /haproxy-status
    stats auth    admin:nihaoma
    stats realm "Welcome to the haproxy load balancer status page"
    stats hide-version
    stats admin if TRUE
    stats refresh 5s

frontend kube-apiserver
  bind *:16443
  mode tcp
  option tcplog
  default_backend kube-apiserver

backend kube-apiserver
    mode tcp
    option tcplog
    option tcp-check
    balance roundrobin
    default-server inter 10s downinter 5s rise 2 fall 2 slowstart 60s maxconn 250 maxqueue 256 weight 100
    server www.datang001.com           10.172.10.20:6443  check # Replace the IP address with your own.
    server www.datang002.com           10.172.10.21:6443 check 
    server www.datang003.com           10.172.110.22:6443  check

启动 haproxy

systemctl enable --now haproxy

master02 机器上的 keepalived.conf 配置文件 和 check_apiserver.sh 脚本文件。

! Configuration File for keepalived
global_defs {
   router_id www.datang002.com
}

# 定义脚本
vrrp_script check_apiserver {
    script "/etc/keepalived/check_apiserver.sh"
    interval 2
    weight -5
    fall 3
    rise 2
}

vrrp_instance VI_1 {
    state BACKUP
    interface eth0
    virtual_router_id 50
    priority 99
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        10.172.10.250
    }

    # 调用脚本
    #track_script {
    #    check_apiserver
    #}
}

master02haproxy 的配置文件 haproxy.cfg

global
    log /dev/log  local0 warning
    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     4000
    user        haproxy
    group       haproxy
    daemon

   stats socket /var/lib/haproxy/stats

defaults
  mode http
  log global
  option  httplog
  option  dontlognull
        timeout connect 5000
        timeout client 50000
        timeout server 50000

listen status_page
    bind 0.0.0.0:1080
    stats enable
    stats uri /haproxy-status
    stats auth    admin:nihaoma
    stats realm "Welcome to the haproxy load balancer status page"
    stats hide-version
    stats admin if TRUE
    stats refresh 5s

frontend kube-apiserver
  bind *:16443
  mode tcp
  option tcplog
  default_backend kube-apiserver

backend kube-apiserver
    mode tcp
    option tcplog
    option tcp-check
    balance roundrobin
    default-server inter 10s downinter 5s rise 2 fall 2 slowstart 60s maxconn 250 maxqueue 256 weight 100
    server www.datang001.com           10.172.10.20:6443  check # Replace the IP address with your own.
    server www.datang002.com           10.172.10.21:6443 check 
    server www.datang003.com           10.172.110.22:6443  check

master03 机器上的 keepalived.conf 配置文件 和 check_apiserver.sh 脚本文件。
master03haproxy 的配置文件 haproxy.cfg

2.3.10 安装 flannel 网络

[[email protected] network]$ wget https://raw.githubusercontent.com/coreos/flannel/2140ac876ef134e0ed5af15c65e414cf26827915/Documentation/kube-flannel.yml
[[email protected] network]$ kubectl apply -f kube-flannel.yml

2.3.11 查看集群状态

[[email protected] network]# kubectl get nodes -o wide
NAME              STATUS   ROLES    AGE    VERSION    INTERNAL-IP      EXTERNAL-IP   OS-IMAGE                KERNEL-VERSION                CONTAINER-RUNTIME
www.datang001.com   Ready    <none>   160m   v1.18.20   10.172.10.20    <none>        CentOS Linux 7 (Core)   3.10.0-1160.62.1.el7.x86_64   docker://20.10.2
www.datang002.com   Ready    <none>   160m   v1.18.20   10.172.10.21   <none>        CentOS Linux 7 (Core)   3.10.0-1160.62.1.el7.x86_64   docker://20.10.2
www.datang003.com   Ready    <none>   161m   v1.18.20   10.172.10.22   <none>        CentOS Linux 7 (Core)   3.10.0-1160.62.1.el7.x86_64   docker://20.10.2
www.datang004.com   Ready    master   162m   v1.18.20   10.172.10.23   <none>        CentOS Linux 7 (Core)   3.10.0-1160.62.1.el7.x86_64   docker://20.10.2
www.datang005.com   Ready    master   163m   v1.18.20   10.172.10.24   <none>        CentOS Linux 7 (Core)   3.10.0-1160.62.1.el7.x86_64   docker://20.10.6
www.datang006.com   Ready    master   166m   v1.18.20   10.172.10.25   <none>        CentOS Linux 7 (Core)   3.10.0-1160.62.1.el7.x86_64   docker://20.10.2



# execute kubectl get cs It may be that the first two components are unhealthy in reality, and there are ways to deal with it later in the article
[[email protected] ~]# kubectl get cs
NAME                 STATUS    MESSAGE             ERROR
controller-manager   Healthy   ok
scheduler            Healthy   ok
etcd-0               Healthy   {"health":"true"}

2.3.12 修改 k8s 默认的 NodePort 端口范围

In a kubernetes cluster, the default range of NodePort is 30000-32767. In some cases, due to company network policy restrictions, you may modify the port range of NodePort.

Modify kube-apiserver.yaml

When using kubeadm to install a k8s cluster, there will be a file /etc/kubernetes/mainfests/kube-apiserver.yaml on your control plane nodes, modify this file and add --service-node-port-range=1 to it -65535 (please use your own desired port range) as follows:

apiVersion: v1
kind: Pod
metadata:
  annotations:
    kubeadm.kubernetes.io/kube-apiserver.advertise-address.endpoint: 10.172.10.20:6443
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=10.172.10.20
    - --allow-privileged=true
    - --authorization-mode=Node,RBAC
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://127.0.0.1:2379
    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=10.96.0.0/12
    - --service-node-port-range=1-65535                        # 新增该行
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    image: k8s.gcr.io/kube-apiserver:v1.18.20
    imagePullPolicy: IfNotPresent
    ......

重启 apiserver

# get apiserver pod name
export apiserver_pods=$(kubectl get pods --selector=component=kube-apiserver -n kube-system --output=jsonpath={.items..metadata.name})
# delete apiserver pod
kubectl delete pod $apiserver_pods -n kube-system

监测 apiserver 是否正常

kubectl describe pod $apiserver_pods -n kube-system
 
# Check whether there is the line we added above in the parameters of the startup command, and if so, verify that it is correct

2.3.13 修改集群证书时间

2.3.13.1 First of all, you need to determine the kubernetes version used in the installation of the k8s cluster and the go version when developing this version
[[email protected] ~]# kubeadm version
kubeadm version: &version.Info{Major:"1", Minor:"18", GitVersion:"v1.18.20", GitCommit:"1f3e19b7beb1cc0110255668c4238ed63dadb7ad", GitTreeState:"clean", BuildDate:"2021-06-16T12:56:41Z", GoVersion:"go1.13.15", Compiler:"gc", Platform:"linux/amd64"}
2.3.13.2 Below we download the kubernetes1.18.20.tar.gz package and install the go1.13.15 tool
[[email protected] update-cert]# wget https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.18.20.tar.gz && wget https://golang.google.cn/dl/go1.13.15.linux-amd64.tar.gz
[[email protected] update-cert]# tar -zxf v1.18.20.tar.gz && tar -zxf go1.13.15.linux-amd64.tar.gz -C /usr/local/
 
[[email protected] update-cert]# cat > /etc/profile.d/go.sh <
export PATH=$PATH:/usr/local/go/bin
EOF
[[email protected] update-cert]# source /etc/profile.d/go.sh
[[email protected] update-cert]# go version
go version go1.13.15 linux/amd64
[[email protected] update-cert]#
2.3.13.3 Using k8s installed by kubeadm, all certificates are placed in the directory /etc/kubernetes/pki. We can check the time of each certificate and find that the certificate of the ca class is valid for 10 years, in addition to other components Certificates are valid for one year by default.
[[email protected] ~]# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
 
CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 May 15, 2023 06:06 UTC   364d                                    no
apiserver                  May 15, 2023 06:06 UTC   364d            ca                      no
apiserver-etcd-client      May 15, 2023 06:06 UTC   364d            etcd-ca                 no
apiserver-kubelet-client   May 15, 2023 06:06 UTC   364d            ca                      no
controller-manager.conf    May 15, 2023 06:06 UTC   364d                                    no
etcd-healthcheck-client    May 15, 2023 06:06 UTC   364d            etcd-ca                 no
etcd-peer                  May 15, 2023 06:06 UTC   364d            etcd-ca                 no
etcd-server                May 15, 2023 06:06 UTC   364d            etcd-ca                 no
front-proxy-client         May 15, 2023 06:06 UTC   364d            front-proxy-ca          no
scheduler.conf             May 15, 2023 06:06 UTC   364d                                    no
 
CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      May 12, 2032 06:06 UTC   9y              no
etcd-ca                 May 12, 2032 06:06 UTC   9y              no
front-proxy-ca          May 12, 2032 06:06 UTC   9y              no
2.3.13.4 Modify the corresponding constant source code related to the certificate time

www.datang001.com modified certs validate time

[[email protected] update-cert]# pwd
/home/shutang/k8s/update-cert
[[email protected] update-cert]# cd kubernetes-1.18.20
[[email protected] kubernetes-1.18.20]# cd cmd/kubeadm/app/constants/
[[email protected] constants]# cat constants |grep 10
cat: constants: No such file or directory
[[email protected] constants]# cat constants.go |grep 10
    CertificateValidity = time.Hour * 24 * 365 * 10
 
[[email protected] kubernetes-1.18.20]# make WHAT=cmd/kubeadm
+++ [0515 08:40:42] Building go targets for linux/amd64:
    ./vendor/k8s.io/code-generator/cmd/deepcopy-gen
+++ [0515 08:40:52] Building go targets for linux/amd64:
    ./vendor/k8s.io/code-generator/cmd/defaulter-gen
+++ [0515 08:40:59] Building go targets for linux/amd64:
    ./vendor/k8s.io/code-generator/cmd/conversion-gen
+++ [0515 08:41:11] Building go targets for linux/amd64:
    ./vendor/k8s.io/kube-openapi/cmd/openapi-gen
+++ [0515 08:41:22] Building go targets for linux/amd64:
    ./vendor/github.com/go-bindata/go-bindata/go-bindata
warning: ignoring symlink /home/shutang/k8s/update-cert/kubernetes-1.18.20/_output/local/go/src/k8s.io/kubernetes
go: warning: "k8s.io/kubernetes/vendor/github.com/go-bindata/go-bindata/..." matched no packages
+++ [0515 08:41:24] Building go targets for linux/amd64:
    cmd/kubeadm
 
# backup the old kubeadm
[[email protected] kubernetes-1.18.20]# mv /usr/bin/kubeadm /usr/bin/kubeadm.old
[[email protected] kubernetes-1.18.20]# cp _output/bin/kubeadm /usr/bin/kubeadm
[[email protected] kubernetes-1.18.20]# cd /etc/kubernetes/pki/
[[email protected] pki]# ls -lah
total 60K
drwxr-xr-x 3 root root 4.0K May 14 23:06 .
drwxr-xr-x 4 root root  125 May 14 23:06 ..
-rw-r--r-- 1 root root 1.3K May 14 23:06 apiserver.crt
-rw-r--r-- 1 root root 1.1K May 14 23:06 apiserver-etcd-client.crt
-rw------- 1 root root 1.7K May 14 23:06 apiserver-etcd-client.key
-rw------- 1 root root 1.7K May 14 23:06 apiserver.key
-rw-r--r-- 1 root root 1.1K May 14 23:06 apiserver-kubelet-client.crt
-rw------- 1 root root 1.7K May 14 23:06 apiserver-kubelet-client.key
-rw-r--r-- 1 root root 1.1K May 14 23:06 ca.crt
-rw------- 1 root root 1.7K May 14 23:06 ca.key
drwxr-xr-x 2 root root  162 May 14 23:06 etcd
-rw-r--r-- 1 root root 1.1K May 14 23:06 front-proxy-ca.crt
-rw------- 1 root root 1.7K May 14 23:06 front-proxy-ca.key
-rw-r--r-- 1 root root 1.1K May 14 23:06 front-proxy-client.crt
-rw------- 1 root root 1.7K May 14 23:06 front-proxy-client.key
-rw------- 1 root root 1.7K May 14 23:06 sa.key
-rw------- 1 root root  451 May 14 23:06 sa.pub
[root@phx11-gliws-u23 pki]# kubeadm alpha certs renew all
[renew] Reading configuration from the cluster...
[renew] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
 
certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healthcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed
[root@phx11-gliws-u23 pki]#
[root@phx11-gliws-u23 pki]# kubeadm alpha certs check-expiration
[check-expiration] Reading configuration from the cluster...
[check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
 
CERTIFICATE                EXPIRES                  RESIDUAL TIME   CERTIFICATE AUTHORITY   EXTERNALLY MANAGED
admin.conf                 May 12, 2032 15:46 UTC   9y                                      no
apiserver                  May 12, 2032 15:46 UTC   9y              ca                      no
apiserver-etcd-client      May 12, 2032 15:46 UTC   9y              etcd-ca                 no
apiserver-kubelet-client   May 12, 2032 15:46 UTC   9y              ca                      no
controller-manager.conf    May 12, 2032 15:46 UTC   9y                                      no
etcd-healthcheck-client    May 12, 2032 15:46 UTC   9y              etcd-ca                 no
etcd-peer                  May 12, 2032 15:46 UTC   9y              etcd-ca                 no
etcd-server                May 12, 2032 15:46 UTC   9y              etcd-ca                 no
front-proxy-client         May 12, 2032 15:46 UTC   9y              front-proxy-ca          no
scheduler.conf             May 12, 2032 15:46 UTC   9y                                      no
 
CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
ca                      May 12, 2032 06:06 UTC   9y              no
etcd-ca                 May 12, 2032 06:06 UTC   9y              no
front-proxy-ca          May 12, 2032 06:06 UTC   9y              no

2.3.14 修改 kube-proxy 的代理模式为 ipvs

2.4 安装集群web管理工具 kubesphere

3 排除故障总结

你可能感兴趣的:(kubernetes)

  • Sealos 将计算节点加入 kubeadm 安装的 Kubernetes 集群 ivwdcwso 运维kubernetes容器云原生k8ssealos
    引言Kubernetes是云原生应用的核心平台,而kubeadm是官方推荐的Kubernetes集群部署工具。然而,随着集群规模的扩大,手动管理节点变得越来越复杂。Sealos作为一款以Kubernetes为内核的云操作系统,提供了简单高效的节点管理功能,能够轻松地将计算节点加入到现有的Kubernetes集群中。本文将详细介绍如何在使用kubeadm安装主节点的基础上,使用Sealos将计算节点
  • K8S中Pod控制器之Horizontal Pod Autoscaler(HPA)控制器 元气满满的热码式 kubernetes容器云原生
    HorizontalPodAutoscaler(HPA)控制器HorizontalPodAutoscaler(HPA)是Kubernetes中用于自动根据当前的负载情况,自动调整Pod数量的一种控制器。HPA能够根据CPU使用率、内存使用量或其他选择的度量指标来自动扩展Pod的数量,以确保应用的性能。HPA可以获取每个Pod利用率,然后和HPA中定义的指标进行对比,同时计算出需要伸缩的具体值,最后
  • 正式开源,Doris Operator 支持高效 Kubernetes 容器化部署方案 SelectDB技术团队 kubernetes容器化部署数据仓库云原生开源
    容器化凭借其灵活性、跨平台性、自动化管理和极致弹性,吸引了众多企业的关注。一些企业希望将ApacheDoris容器化部署,以实现高效的资源利用与部署迭代。Kubernetes提供的编排和管理功能,能完成大规模容器部署,但Kubernetes自身的复杂性也导致众多企业面临部署复杂、运维困难、使用难度高等挑战。为满足用户在Kubernetes平台上对Doris的高效部署和运维要求,飞轮科技推出了Dor
  • 通俗易懂 serverless 架构、微服务架构和云原生架构,并简单代码 Ai君臣 架构架构云原生serverless
    文章目录1serverless架构、微服务架构和云原生架构区别1.Serverless架构示例:AWSLambda+APIGateway2.微服务架构示例:Flask微服务3.云原生架构示例:Docker和Kubernetes2Kubernetes中管理多个副本和流量两个关键组件1.Deployment2.Service负载均衡流量管理1serverless架构、微服务架构和云原生架构区别别用代码
  • Scaleph:基于Kubernetes的开放式数据平台 尤淞渊
    Scaleph:基于Kubernetes的开放式数据平台scalephOpendataplatformbasedonFlinkandKubernetes,supportsweb-uiclick-and-dropdataintegrationwithSeaTunnelbackendedbyFlinkengine,flinkonlinesqldevelopmentbackendedbyFlinkSql
  • 【赵渝强老师】Kubernetes中Pod的探针
    在K8s集群中,当Pod处于运行状态时,kubelet通过使用探针(Probe)对容器的健康状态执行检查和诊断。Kubernetes支持的三种类型的探针。视频讲解如下:https://www.bilibili.com/video/BV1V1tFenEXL/?aid=113130512390...下面分别进行介绍。livenessProbe(存活探针)该类型的探针将检查Pod中的容器是否正在运行。如
  • k8s mysql数据目录挂载_【kubernetes】k8s数据卷,pod挂载本地路径 九罭之魚 k8smysql数据目录挂载
    环境:Linux服务器配置挂载目录思路:在部署pod的节点(宿主机)配置同样的挂载路径到一个固定的服务器(目标服务器),这样不管pod在哪里跑,文件的保存路径都是不变的1.安装sshfsyuminstall-ysshfs2.添加ssh认证把节点的ssh公钥拷贝到目标服务器的~/.ssh/authorizedkeys中3.挂载目录在节点服务器执行:sshfsUSER@目标服务器IP:/path/to
  • K8s组件全解析,你需要知道的一切秘密 master_chenchengg 能力提升面试宝典技术IT信息化
    K8s组件全解析,你需要知道的一切秘密K8s架构概览APIServer:K8s的门面担当控制平面组件详解etcd:高可用的数据存储基石工作负载管理与调度策略网络模型与服务发现机制存储编排与持久化解决方案日志监控与故障排查工具链K8s架构概览Kubernetes(简称K8s)作为现代云原生应用部署的主流平台,其核心在于简化容器化应用的管理和扩展。K8s的基本架构围绕着集群、节点和Pod等概念构建。一
  • mac系统docker安装k8s 吕海洋 操作系统运维k8smacosdockerk8s
    一、docker升级到最新版本,否则有可能安装失败二、打开docker配置页面,选择kubernetes,勾选EnableKubernetes等待安装完成也可以通过国内原下载好Kubernetes镜像后在勾选,版本一定要对应三、查看Kubernetes是否成功启动四、安装dashboard可选先查看k8s版本,在docker配置页面Kubernetes里可以看到,v1.22.5访问官方文档选择对应
  • docker 与K8s的恩怨情仇 慧香一格 dockerK8s容器dockerkubernetes容器
    Docker和Kubernetes(通常简称为K8s)是容器化和容器编排领域的两大重要工具,它们在技术生态中扮演着不同的角色,并且有着密切的关系。虽然有时候人们会讨论它们之间的关系,但实际上它们更多的是互补而不是对立。下面详细探讨Docker与Kubernetes的关系及其各自的优劣势。Docker什么是Docker?Docker是一个开源的平台,用于自动化应用程序的部署、扩展和管理。它允许开发者
  • Kubernetes Service负载均衡机制 蓝颜~岁月 kubernetes负载均衡运维
    当一个Service对象在Kubernetes集群中被定义出来时,集群内的客户端应用就可以通过服务IP访问到具体的Pod容器提供的服务了。从服务iP到Pod的负载均衡机制,则是由每个Node上的kube-proxy负责实现的,本节对kube-proxy的代理模式,会话保持机制和基于拓扑感知的服务路由机制(EndpointSlices)进行说明。kube-proxy的代理模式目前kube-proxy
  • Kubernetes--Service负载均衡机制 GaoChuang_ Kuberneteskubernetes负载均衡
    一、负责均衡机制当一个Service对象在Kubernetes集群中被定义,集群内的客户端应用就可以通过服务IP访问到具体的Pod容器提供的服务器了。从服务IP到后端Pod的负载均衡机制,由每个Node上的kube-proxy负责实现。二、kube-proxy的代理模式kube-proxy提供了代理模式(通过启动参数--proxy-mode设置)userspace模式:用户空间模式,由kube-p
  • 使用 Kubernetes 实现负载均衡 卫玠_juncheng kubernetes负载均衡容器
    使用Kubernetes实现负载均衡,可以通过Kubernetes的内置服务(Service)资源,配合负载均衡器(如云平台提供的负载均衡器或Ingress控制器)来完成。以下是详细的步骤和调优案例。一、Kubernetes负载均衡的基本概念ClusterIP(默认类型)只能在集群内部访问,分发到Pod的流量通过IPtables或IPVS转发。NodePort通过每个节点的固定端口将流量暴露给外部
  • 云原生周刊:Prometheus 3.0 正式发布 云计算
    开源项目推荐Achilles-SDKAchilles-SDK是一个专为构建Kubernetes控制器而设计的开源开发工具包。它简化了控制器的开发流程,提供了强大的API和高效的抽象层,使开发者能够专注于业务逻辑的实现,而无需处理底层复杂性。Achilles-SDK支持快速构建高性能、可扩展的Kubernetes控制器,是开发Kubernetes原生应用和自动化操作的理想选择。KLKL是一个为终端提
  • 云原生周刊:Prometheus 3.0 Beta 发布|2024.09.16 KubeSphere 云原生 k8s容器平台kubesphere云计算
    开源项目推荐KumaKuma是一个现代化的基于Envoy的服务网格,能够在每个云平台上运行,支持单区域或多区域部署,兼容Kubernetes和虚拟机。凭借其广泛的通用工作负载支持,以及对Envoy数据平面代理技术的原生支持(但无需Envoy专业知识),Kuma提供了现代化的L4-L7服务连接、发现、安全、可观察性、路由等功能,适用于任何平台上的任何服务,包括数据库。TopoLVMTopoLVM是一
  • Ubuntu环境部署Kubernetes 沫殇-MS Kubernetesubuntukuberneteslinux服务器经验分享
    环境说明:IPHOSTNAMEUSERDockerversionkubeletversionkubeadmversionkubectlversioncalicoversiondashboardversionOS192.168.100.10masterdeployv20.10.11v1.23.0v1.23.0v1.23.0v3.21.2v2.4.0Ubuntu20.04.3server192.168
  • Kubernetes 监控实践:基于 Prometheus-Operator 的完整解决方案 云计算
    Kubernetes(K8s)的动态性和分布式特性为应用部署带来了极大的便利,同时也使监控变得复杂而繁琐。幸运的是,Prometheus-Operator提供了一种高效的方式,通过抽象Kubernetes的原生资源(CRD)来配置和管理整个监控栈,极大地简化了监控的部署和运维。本文将从实际操作出发,介绍如何通过Prometheus-Operator快速搭建Kubernetes的监控体系,包括如何配
  • Kubernetes 为什么减少对 Docker 的依赖:容器运行时演进背后的技术考量 云计算
    引言容器技术的发展离不开Docker和Kubernetes的深度合作。Docker推动了容器化技术的普及,而Kubernetes则为大规模容器编排和自动化管理提供了强有力的支持。然而,随着Kubernetes逐步发展,尤其是在容器运行时(ContainerRuntime)方面的需求发生变化,Kubernetes在1.20版本中宣布将减少对Docker的依赖,并计划在1.24版本后停止维护docke
  • 云原生周刊:Kubernetes v1.32 正式发布 云计算
    开源项目推荐HelmperHelmper简化了将HelmCharts导入OCI(开放容器倡议)注册表的过程,并支持可选的漏洞修复功能。它确保您的HelmCharts不仅安全存储,还能及时应用最新的安全修复。该工具完全兼容OCI标准,能够方便地与OCI注册表集成,自动化管理HelmCharts的过程,提升安全性和合规性。无论是简化工作流程还是保障应用安全,Helmper都能为您提供高效且可靠的解决方
  • 深入 Kubernetes 的健康奥秘:探针(Probe)究竟有多强? 云计算
    深入Kubernetes的健康奥秘:探针(Probe)究竟有多强?“Probe”——这是K8s世界里一个特别常见但又不够“高调”的单词。如果你第一次接触K8s,可能很难想象这个看似普通的小工具竟然是K8s自动化运维的核心之一。探针(Probe)的作用就像集群的“健康监护员”,负责检测和管理容器的健康状态。没有它,K8s的稳定性和高可用性可能会大打折扣。本文将从探针的原理讲起,结合实际场景深入解析它
  • 云原生周刊:Kubernetes 和 Docker 的对比 云计算
    开源项目推荐DokployDokploy是一个功能强大的开源平台,为开发者提供与Vercel、Netlify和Heroku类似的全栈部署与托管体验。它支持现代化的开发工作流,提供快速、可靠的部署服务,涵盖前端、后端和全栈应用。Dokploy的开源特性让开发者可以完全掌控基础设施,同时享受自动化部署、缩放和构建优化的便捷。无论是静态网站、动态应用还是微服务架构,Dokploy都是企业和个人开发者的理
  • Kubeflow:云原生机器学习工作流自动化开源框架详解 gs80140 AI基础知识科谱人工智能Kubeflow
    Kubeflow是一个开源的机器学习(ML)工作流自动化平台,旨在将机器学习工作流部署到Kubernetes之上,实现从实验到生产的一站式解决方案。它提供了针对容器化机器学习任务的工具链,能够自动化地管理、部署和监控模型的整个生命周期。Kubeflow的核心组件Notebooks(交互式开发环境)支持JupyterNotebooks,通过Kubernetes集群进行计算资源的扩展和管理。Pipel
  • Kubernetes:基础的架构 土豆凌凌七 kubernetes架构容器golang后端
    kubernetes的一个简单机构图形k8s主要分为两个大结构:1控制面:master是集群的大脑和心脏2数据面:worker主要在master的指挥下进行工作,也称之为nodekubectl是k8s的管理工具我们可以使用kubectlgetnode来查看节点的状态因为Master和Node的划分不是绝对的。当集群的规模较小,工作负载较少的时候,Master也可以承担Node的工作使用kubect
  • Kubernetes集群架构-关于 cgroup v2 qichengzong_right 云原生linuxkuberneteslinux云原生kubernetes
    Kubernetes集群架构-关于cgroupv2Kubernetes集群架构-关于cgroupv2什么是cgroupv2?使用cgroupv2要求LInux发行版对cgroupv2的支持迁移到cgroupv2识别LInux节点上的cgroup版本链接Kubernetes集群架构-关于cgroupv2在Linux上,控制组1限制分配给进程的资源。kubelet和底层容器运行时需要与cgroups交
  • 【Docker】Supervisor 实现单容器运行多服务进程 行者Sun1989 DockerDocker容器Supervisor
    本文内容均来自个人笔记并重新梳理,如有错误欢迎指正!如果对您有帮助,烦请点赞、关注、转发、订阅专栏!专栏订阅入口|精选文章|Kubernetes|Docker|Linux|羊毛资源|工具推荐|往期精彩文章【Docker】(全网首发)KylinV10下MySQL容器内存占用异常的解决方法【Docker】(全网首发)KylinV10下MySQL容器内存占用异常的解决方法(续)【K8s】专题十五(6):
  • 万字长文,k8s之父带你阅读 deployment 源码 go
    4.3deploymentcontroller01DeploymentController是Kube-Controller-Manager中最常用的Controller之一管理Deployment资源。而Deployment的本质就是通过管理ReplicaSet和Pod在Kubernetes集群中部署无状态Workload。Deployment与控制器模式在K8s中,pod是最小的资源单位,而po
  • Docker Swarm、Kubernetes 和 LVS 的功能对比 田猿笔记 知识集合dockerkuberneteslvs
    DockerSwarm、Kubernetes和LVS是三种不同的技术,分别用于容器编排、集群管理和负载均衡。以下是它们的功能对比:1.DockerSwarm功能定位:DockerSwarm是Docker官方提供的容器编排工具,用于管理多个Docker容器的部署、扩展和调度。核心功能:服务管理:支持定义、部署和管理多容器应用。自动负载均衡:内置负载均衡功能,自动分配流量到健康的容器。高可用性:支持多
  • 构建云原生后端服务——以Spring Boot + Kubernetes为例 ZhShy23 后端云原生开发语言springbootkubernetesecmascriptdocker
    在当今云计算的浪潮中,云原生技术栈以其高度的灵活性、可扩展性和自动化运维能力,正逐步成为构建现代化应用的首选。本文将通过一个实际的例子,展示如何使用SpringBoot构建微服务,并通过Kubernetes进行容器编排和部署,构建一个简单的云原生后端服务。文章目录一、项目背景二、技术栈三、SpringBoot微服务构建四、Docker容器化五、Kubernetes部署六、持续集成/持续部署(CI/
  • 大数据新视界 --大数据大厂之Kubernetes与大数据:容器化部署的最佳实践 青云交 大数据新视界Kubernetes大数据处理容器编排扩展性故障恢复资源管理存储持久化监控日志管理性能提升数据库
    亲爱的朋友们,热烈欢迎你们来到青云交的博客!能与你们在此邂逅,我满心欢喜,深感无比荣幸。在这个瞬息万变的时代,我们每个人都在苦苦追寻一处能让心灵安然栖息的港湾。而我的博客,正是这样一个温暖美好的所在。在这里,你们不仅能够收获既富有趣味又极为实用的内容知识,还可以毫无拘束地畅所欲言,尽情分享自己独特的见解。我真诚地期待着你们的到来,愿我们能在这片小小的天地里共同成长,共同进步。本博客的精华专栏:大数
  • ArgoWorkflow 教程(一)--DevOps 另一选择?云原生 CICD 初体验
    本文主要记录了如何在k8s上快速部署云原生的工作流引擎ArgoWorkflow。ArgoWorkflow是什么ArgoWorkflows是一个开源的云原生工作流引擎,用于在Kubernetes上编排并行作业。Argo工作流作为KubernetesCRD实现。定义工作流,其中工作流中的每个步骤都是一个容器。将多步骤工作流建模为一系列任务,或使用DAG来捕获任务之间的依赖关系图。使用Argo可以在很短
  • apache 安装linux windows 墙头上一根草 apacheinuxwindows
    linux安装Apache 有两种方式一种是手动安装通过二进制的文件进行安装,另外一种就是通过yum 安装,此中安装方式,需要物理机联网。以下分别介绍两种的安装方式     通过二进制文件安装Apache需要的软件有apr,apr-util,pcre  1,安装 apr        下载地址:htt
  • fill_parent、wrap_content和match_parent的区别 Cb123456 match_parentfill_parent
    fill_parent、wrap_content和match_parent的区别:   1)fill_parent   设置一个构件的布局为fill_parent将强制性地使构件扩展,以填充布局单元内尽可能多的空间。这跟Windows控件的dockstyle属性大体一致。设置一个顶部布局或控件为fill_parent将强制性让它布满整个屏幕。 2) wrap_conte
  • 网页自适应设计 天子之骄 htmlcss响应式设计页面自适应
    网页自适应设计        网页对浏览器窗口的自适应支持变得越来越重要了。自适应响应设计更是异常火爆。再加上移动端的崛起,更是如日中天。以前为了适应不同屏幕分布率和浏览器窗口的扩大和缩小,需要设计几套css样式,用js脚本判断窗口大小,选择加载。结构臃肿,加载负担较大。现笔者经过一定时间的学习,有所心得,故分享于此,加强交流,共同进步。同时希望对大家有所
  • [sql server] 分组取最大最小常用sql 一炮送你回车库 SQL Server
    --分组取最大最小常用sql--测试环境if OBJECT_ID('tb') is not null drop table tb;gocreate table tb( col1 int, col2 int, Fcount int)insert into tbselect 11,20,1 union allselect 11,22,1 union allselect 1
  • ImageIO写图片输出到硬盘 3213213333332132 javaimage
    package awt; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.image.BufferedImage; import java.io.File; import java.io.IOException; import javax.imagei
  • 自己的String动态数组 宝剑锋梅花香 java动态数组数组
    数组还是好说,学过一两门编程语言的就知道,需要注意的是数组声明时需要把大小给它定下来,比如声明一个字符串类型的数组:String str[]=new String[10];    但是问题就来了,每次都是大小确定的数组,我需要数组大小不固定随时变化怎么办呢?  动态数组就这样应运而生,龙哥给我们讲的是自己用代码写动态数组,并非用的ArrayList 看看字符
  • pinyin4j工具类 darkranger .net
    pinyin4j工具类Java工具类 2010-04-24 00:47:00 阅读69 评论0 字号:大中小 引入pinyin4j-2.5.0.jar包: pinyin4j是一个功能强悍的汉语拼音工具包,主要是从汉语获取各种格式和需求的拼音,功能强悍,下面看看如何使用pinyin4j。 本人以前用AscII编码提取工具,效果不理想,现在用pinyin4j简单实现了一个。功能还不是很完美,
  • StarUML学习笔记----基本概念 aijuans UML建模
    介绍StarUML的基本概念,这些都是有效运用StarUML?所需要的。包括对模型、视图、图、项目、单元、方法、框架、模型块及其差异以及UML轮廓。         模型、视与图(Model, View and Diagram)        &
  • Activiti最终总结 avords Activiti id 工作流
    1、流程定义ID:ProcessDefinitionId,当定义一个流程就会产生。 2、流程实例ID:ProcessInstanceId,当开始一个具体的流程时就会产生,也就是不同的流程实例ID可能有相同的流程定义ID。 3、TaskId,每一个userTask都会有一个Id这个是存在于流程实例上的。 4、TaskDefinitionKey和(ActivityImpl activityId
  • 从省市区多重级联想到的,react和jquery的差别 bee1314 jqueryUIreact
    在我们的前端项目里经常会用到级联的select,比如省市区这样。通常这种级联大多是动态的。比如先加载了省,点击省加载市,点击市加载区。然后数据通常ajax返回。如果没有数据则说明到了叶子节点。   针对这种场景,如果我们使用jquery来实现,要考虑很多的问题,数据部分,以及大量的dom操作。比如这个页面上显示了某个区,这时候我切换省,要把市重新初始化数据,然后区域的部分要从页面
  • Eclipse快捷键大全 bijian1013 javaeclipse快捷键
    Ctrl+1 快速修复(最经典的快捷键,就不用多说了)Ctrl+D: 删除当前行 Ctrl+Alt+↓ 复制当前行到下一行(复制增加)Ctrl+Alt+↑ 复制当前行到上一行(复制增加)Alt+↓ 当前行和下面一行交互位置(特别实用,可以省去先剪切,再粘贴了)Alt+↑ 当前行和上面一行交互位置(同上)Alt+← 前一个编辑的页面Alt+→ 下一个编辑的页面(当然是针对上面那条来说了)Alt+En
  • js 笔记 函数 征客丶 JavaScript
    一、函数的使用 1.1、定义函数变量 var vName = funcation(params){ } 1.2、函数的调用 函数变量的调用:      vName(params); 函数定义时自发调用:(function(params){})(params); 1.3、函数中变量赋值 var a = 'a'; var ff
  • 【Scala四】分析Spark源代码总结的Scala语法二 bit1129 scala
    1. Some操作   在下面的代码中,使用了Some操作:if (self.partitioner == Some(partitioner)),那么Some(partitioner)表示什么含义?首先partitioner是方法combineByKey传入的变量, Some的文档说明:   /** Class `Some[A]` represents existin
  • java 匿名内部类 BlueSkator java匿名内部类
    组合优先于继承 Java的匿名类,就是提供了一个快捷方便的手段,令继承关系可以方便地变成组合关系 继承只有一个时候才能用,当你要求子类的实例可以替代父类实例的位置时才可以用继承。   在Java中内部类主要分为成员内部类、局部内部类、匿名内部类、静态内部类。 内部类不是很好理解,但说白了其实也就是一个类中还包含着另外一个类如同一个人是由大脑、肢体、器官等身体结果组成,而内部类相
  • 盗版win装在MAC有害发热,苹果的东西不值得买,win应该不用 ljy325 游戏applewindowsXPOS
    Mac mini 型号: MC270CH-A RMB:5,688   Apple 对windows的产品支持不好,有以下问题:   1.装完了xp,发现机身很热虽然没有运行任何程序!貌似显卡跑游戏发热一样,按照那样的发热量,那部机子损耗很大,使用寿命受到严重的影响!   2.反观安装了Mac os的展示机,发热量很小,运行了1天温度也没有那么高 &nbs
  • 读《研磨设计模式》-代码笔记-生成器模式-Builder bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ /** * 生成器模式的意图在于将一个复杂的构建与其表示相分离,使得同样的构建过程可以创建不同的表示(GoF) * 个人理解: * 构建一个复杂的对象,对于创建者(Builder)来说,一是要有数据来源(rawData),二是要返回构
  • JIRA与SVN插件安装 chenyu19891124 SVNjira
    JIRA安装好后提交代码并要显示在JIRA上,这得需要用SVN的插件才能看见开发人员提交的代码。 1.下载svn与jira插件安装包,解压后在安装包(atlassian-jira-subversion-plugin-0.10.1) 2.解压出来的包里下的lib文件夹下的jar拷贝到(C:\Program Files\Atlassian\JIRA 4.3.4\atlassian-jira\WEB
  • 常用数学思想方法 comsci 工作
      对于搞工程和技术的朋友来讲,在工作中常常遇到一些实际问题,而采用常规的思维方式无法很好的解决这些问题,那么这个时候我们就需要用数学语言和数学工具,而使用数学工具的前提却是用数学思想的方法来描述问题。。下面转帖几种常用的数学思想方法,仅供学习和参考   函数思想   把某一数学问题用函数表示出来,并且利用函数探究这个问题的一般规律。这是最基本、最常用的数学方法
  • pl/sql集合类型 daizj oracle集合typepl/sql
    --集合类型 /*   单行单列的数据,使用标量变量   单行多列数据,使用记录   单列多行数据,使用集合(。。。)   *集合:类似于数组也就是。pl/sql集合类型包括索引表(pl/sql table)、嵌套表(Nested Table)、变长数组(VARRAY)等 */ /*     --集合方法 &n
  • [Ofbiz]ofbiz初用 dinguangx 电商ofbiz
    从github下载最新的ofbiz(截止2015-7-13),从源码进行ofbiz的试用 1. 加载测试库 ofbiz内置derby,通过下面的命令初始化测试库 ./ant load-demo (与load-seed有一些区别)   2. 启动内置tomcat ./ant start 或 ./startofbiz.sh 或 java -jar ofbiz.jar &
  • 结构体中最后一个元素是长度为0的数组 dcj3sjt126com cgcc
    在Linux源代码中,有很多的结构体最后都定义了一个元素个数为0个的数组,如/usr/include/linux/if_pppox.h中有这样一个结构体: struct pppoe_tag {     __u16 tag_type;     __u16 tag_len;   &n
  • Linux cp 实现强行覆盖 dcj3sjt126com linux
    发现在Fedora 10 /ubutun 里面用cp -fr src dest,即使加了-f也是不能强行覆盖的,这时怎么回事的呢?一两个文件还好说,就输几个yes吧,但是要是n多文件怎么办,那还不输死人呢?下面提供三种解决办法。 方法一 我们输入alias命令,看看系统给cp起了一个什么别名。 [root@localhost ~]# aliasalias cp=’cp -i’a
  • Memcached(一)、HelloWorld frank1234 memcached
    一、简介 高性能的架构离不开缓存,分布式缓存中的佼佼者当属memcached,它通过客户端将不同的key hash到不同的memcached服务器中,而获取的时候也到相同的服务器中获取,由于不需要做集群同步,也就省去了集群间同步的开销和延迟,所以它相对于ehcache等缓存来说能更好的支持分布式应用,具有更强的横向伸缩能力。 二、客户端 选择一个memcached客户端,我这里用的是memc
  • Search in Rotated Sorted Array II hcx2013 search
    Follow up for "Search in Rotated Sorted Array":What if duplicates are allowed? Would this affect the run-time complexity? How and why? Write a function to determine if a given ta
  • Spring4新特性——更好的Java泛型操作API jinnianshilongnian spring4generic type
    Spring4新特性——泛型限定式依赖注入 Spring4新特性——核心容器的其他改进 Spring4新特性——Web开发的增强 Spring4新特性——集成Bean Validation 1.1(JSR-349)到SpringMVC  Spring4新特性——Groovy Bean定义DSL Spring4新特性——更好的Java泛型操作API  Spring4新
  • CentOS安装JDK liuxingguome centos
    1、行卸载原来的: [root@localhost opt]# rpm -qa | grep java tzdata-java-2014g-1.el6.noarch java-1.7.0-openjdk-1.7.0.65-2.5.1.2.el6_5.x86_64 java-1.6.0-openjdk-1.6.0.0-11.1.13.4.el6.x86_64 [root@localhost
  • 二分搜索专题2-在有序二维数组中搜索一个元素 OpenMind 二维数组算法二分搜索
    1,设二维数组p的每行每列都按照下标递增的顺序递增。 用数学语言描述如下:p满足 (1),对任意的x1,x2,y,如果x1<x2,则p(x1,y)<p(x2,y); (2),对任意的x,y1,y2, 如果y1<y2,则p(x,y1)<p(x,y2); 2,问题: 给定满足1的数组p和一个整数k,求是否存在x0,y0使得p(x0,y0)=k? 3,算法分析: (
  • java 随机数 Math与Random SaraWon javaMathRandom
    今天需要在程序中产生随机数,知道有两种方法可以使用,但是使用Math和Random的区别还不是特别清楚,看到一篇文章是关于的,觉得写的还挺不错的,原文地址是 http://www.oschina.net/question/157182_45274?sort=default&p=1#answers 产生1到10之间的随机数的两种实现方式: //Math Math.roun
  • oracle创建表空间 tugn oracle
    create temporary tablespace TXSJ_TEMP   tempfile 'E:\Oracle\oradata\TXSJ_TEMP.dbf'   size 32m   autoextend on   next 32m maxsize 2048m   extent m
  • 使用Java8实现自己的个性化搜索引擎 yangshangchuan javasuperword搜索引擎java8全文检索
    需要对249本软件著作实现句子级别全文检索,这些著作均为PDF文件,不使用现有的框架如lucene,自己实现的方法如下: 1、从PDF文件中提取文本,这里的重点是如何最大可能地还原文本。提取之后的文本,一个句子一行保存为文本文件。 2、将所有文本文件合并为一个单一的文本文件,这样,每一个句子就有一个唯一行号。 3、对每一行文本进行分词,建立倒排表,倒排表的格式为:词=包含该词的总行数N=行号
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他