服务器类型 | ip地址 |
---|---|
master | 20.0.0.55 |
node01 | 20.0.0.56 |
node02 | 20.0.0.57 |
hub.ydq.com | 20.0.0.58 |
#所有节点,关闭防火墙规则,关闭selinux,关闭swap交换
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X
swapoff -a #交换分区必须要关闭
sed -ri 's/.*swap.*/#&/' /etc/fstab #永久关闭swap分区,&符号在sed命令中代表上次匹配的结果
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done
#加载ip_vs
cat >> /etc/hosts <
cat > /etc/sysctl.d/kubernetes.conf << EOF
#开启网桥模式,可将网桥的流量传递给iptables链
net.bridge.bridge-nf-call-ip6tables=1
net.bridge.bridge-nf-call-iptables=1
#关闭ipv6协议
net.ipv6.conf.all.disable_ipv6=1
net.ipv4.ip_forward=1
EOF
#加载参数
sysctl --system
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io
mkdir /etc/docker
cat > /etc/docker/daemon.json <<EOF
{
"registry-mirrors": ["https://i2q96v0n.mirror.aliyuncs.com"],
"exec-opts": ["native.cgroupdriver=systemd"],
"log-driver": "json-file",
"log-opts": {
"max-size": "100m"
}
}
EOF
#使用Systemd管理的Cgroup来进行资源控制与管理,因为相对Cgroupfs而言,Systemd限制CPU、内存等资源更加简单和成熟稳定。
#日志使用json-file格式类型存储,大小为100M,保存在/var/log/containers目录下,方便ELK等日志系统收集和管理日志。
systemctl daemon-reload
systemctl restart docker.service
systemctl enable docker.service
docker info | grep "Cgroup Driver"
#定义kubernetes源
cat > /etc/yum.repos.d/kubernetes.repo << EOF
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF
yum install -y kubelet-1.20.11 kubeadm-1.20.11 kubectl-1.20.11
#安装三个组件命令
systemctl enable kubelet.service
#开机自启kubelet
#K8S通过kubeadm安装出来以后都是以Pod方式存在,即底层是以容器方式运行,所以kubelet必须设置开机自启
master节点操作
kubeadm config images list
#查看初始化需要的镜像
mkdir /opt/k8s/
cd /opt/k8s/
#上传v1.20.11.zip压缩包
cd /opt/k8s/v1.20.11
for i in $(ls *.tar);do docker load -i $i;done
#使用for循环,将上传的镜像导入到docker中
scp -r /opt/k8s/v1.20.11 root@node01:/opt
scp -r /opt/k8s/v1.20.11 root@node02:/opt
#复制镜像和脚本到node节点,并在node节点上执行脚本加载镜像文件。(上面的for循环)
方法一:
kubeadm config print init-defaults > /opt/kubeadm-config.yaml
#打印配置文件重定向到指定文件中
vim /opt/kubeadm-config.yaml
11 localAPIEndpoint:
12 advertiseAddress: 20.0.0.55 #指定master节点的IP地址
13 bindPort: 6443
......
34 kubernetesVersion: v1.20.11 #指定kubernetes版本号
35 networking:
36 dnsDomain: cluster.local
37 podSubnet: "10.244.0.0/16" #指定pod网段,10.244.0.0/16用于匹配flannel默认网段
38 serviceSubnet: 10.96.0.0/12 #指定service网段
39 scheduler: {}
#末尾再添加以下内容
---
apiVersion: kubeproxy.config.k8s.io/v1alpha1
kind: KubeProxyConfiguration
mode: ipvs #把默认的kube-proxy调度方式改为ipvs模式
=============================================================
cd /opt
kubeadm init --config=kubeadm-config.yaml --upload-certs | tee kubeadm-init.log
#--upload-certs参数可以在后续执行加入节点时自动分发证书文件
#tee kubeadm-init.log 用以输出日志
less kubeadm-init.log
#查看kubeadm-init.log日志
ls /etc/kubernetes/
#查看kubernetes配置文件目录
ls /etc/kubernetes/pki
#查看存放ca等证书密码的目录
方法二:
kubeadm init \
--apiserver-advertise-address=20.0.0.55 \
--image-repository registry.aliyuncs.com/google_containers \
--kubernetes-version v1.20.11 \
--service-cidr=10.96.0.0/12 \
--pod-network-cidr=10.244.0.0/16
------------------------#解释字段----------------------------------------------
--apiserver-advertise-address //apiserver通告给其他组件的IP地址,一般应该为Master节点的用于集群内部通信的IP地址,0.0.0.0表示节点上所有可用地址
--apiserver-bind-port //apiserver的监听端口,默认是6443
--cert-dir //通讯的ssl证书文件,默认/etc/kubernetes/pki
--control-plane-endpoint //控制台平面的共享终端,可以是负载均衡的ip地址或者dns域名,高可用集群时需要添加
--image-repository //拉取镜像的镜像仓库,默认是k8s.gcr.io
--kubernetes-version //指定kubernetes版本
--pod-network-cidr //pod资源的网段,需与pod网络插件的值设置一致。Flannel网络插件的默认为10.244.0.0/16,Calico插件的默认值为192.168.0.0/16;
--service-cidr //service资源的网段
--service-dns-domain //service全域名的后缀,默认是cluster.local
--token-ttl //默认token的有效期为24小时,如果不想过期,可以加上 --token-ttl=0 这个参数
# service-cidr 和 pod-network-cidr 最好就用这个,不然需要修改后面的 kube-flannel.yaml 文件
kubectl 需经由API server 认证及授权后方能执行相关的管理操作,kubeadm部署的集群为其生成了一个具有管理权限的认证配置文件 :/etc/kubernets/admin.conf ,它可有kubectl通过默认的 “ $HOME/.kube/config” 的路径进行加载。
执行以下命令可以使用kubectl管理工具
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
#授权操作,不然无法使用kubectl命令
kubectl get cs
#查看集群健康状态
如果 kubectl get cs 发现集群不健康,更改以下两个文件
vim /etc/kubernetes/manifests/kube-scheduler.yaml
vim /etc/kubernetes/manifests/kube-controller-manager.yaml
# 修改如下内容
把--bind-address=127.0.0.1变成--bind-address=20.0.0.55 #修改成k8s的控制节点master01的ip
把httpGet:字段下的hosts由127.0.0.1变成20.0.0.55(有两处)
#- --port=0 # 搜索port=0,把这一行注释掉
systemctl restart kubelet
#重启服务
kubectl get cs
#查看集群节点信息
修改controllers-manager.yaml 文件
node01和node02上面都执行
kubeadm join 20.0.0.55:6443 --token abcdef.0123456789abcdef \
--discovery-token-ca-cert-hash sha256:6e06913a9f07388d0873864f0cce4b11c112e43341ddb52d52c2d956e70de08d
#将前面创建好的token令牌,再两台node节点上执行,加入到集群中
master节点获取k8s集群信息
kubectl get node
node 节点加入集群需要生成的 token,token 有效期为 24 小时,过期需要重新创建
kubeadm token create --print-join-command
#token 过期重新生成 token
下载yaml插件
#国外网站
wget https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
#国内网站
wget http://120.78.77.38/file/kube-flannel.yaml
#获取到kube-flanel.yaml 文件后,执行以下命令生成pod
kubectl apply -f kube-flannel.yaml
或者直接执行以下从国外下载文件,直接生成pod(上下两种都可以)
kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
#下载组件后,直接创建一个pod(从国外下载。速度较慢,稍微等一下)
kubectl get pods -n kube-system
#查看各个容器的运行状态
kubectl get node
#查看集群中的节点信息
如果出现以下问题,需要重新导入pod,或者耐心等待,因为网络不稳定,镜像无法稳定下载
kubectl delete -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
#删除
kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
#创建
kubectl label node node01 node-role.kubernetes.io/node=node1
kubectl label node node02 node-role.kubernetes.io/node=node2
kubectl get nodes
#获取节点信息
检测k8s集群是否正常后,在运行服务部署
#查询所有pod是否正常运行
kubectl get pods -A
#查询master是否正常
kubectl get cs
#查询node节点是否ready
kubectl get nodes
#部署服务
kubectl create deployment nginx --image=nginx:1.14
#暴露端口
kubectl expose deployment nginx --port=80 --type=NodePort
kubectl get pods
#查看pod的状态
kubectl get svc(service)
#查看暴露的端口
---------------------------------------------------------------------
#删除pod与svc
kubectl delete deploy/nginx
kubectl delete svc/nginx
kubectl scale deployment nginx --replicas=3
#使用deployment的pod控制器创建3个pod
kubectl get pods -o wide
#查看pods的状态。显示详细信息
在master上面操作
cd /opt/k8s
#上传recommended.yaml 文件到 /opt/k8s目录中
#默认Dashboard只能集群内部访问,修改service为NodePort类型,暴露到外部
vim recommended.yaml
kind: Service
apiVersion: v1
metadata:
labels:
k8s-app: kubernetes-dashboard
name: kubernetes-dashboard
namespace: kubernetes-dashboard
spec:
ports:
- port: 443
targetPort: 8443
nodePort: 30001 #添加
type: NodePort #添加
selector:
k8s-app: kubernetes-dashboard
--------------------------------------------------
kubectl apply -f recommended.yaml
#基于recommended.yaml文件生成
kubectl create serviceaccount dashboard-admin -n kube-system
##创建资源,并指定账号
kubectl create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin
#创建pod
kubectl describe secrets -n kube-system $(kubectl -n kube-system get secret | awk '/dashboard-admin/{print $1}')
#查看pod的详细信息,并且过滤需要的信息
--------------------------token--------------------------------------------
eyJhbGciOiJSUzI1NiIsImtpZCI6IktwWEgwVW9nZW1iZVdaNDl2TkMzeFQ0dlVLQ19RZUNtLVQ0ZnVGQ00wU3cifQ.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.GxOH-3FjrPHKHr3EcDi3D_NUmvDNTBusDIhIb5-fcmjEGrkSEK4Ddj7auh-Xa5dslAIHm77EaXJ4oGrk93fV-PyUbpBNdE1DYVGRsUrveNHrAh2AC4PMx8S0gOotYSzfD0VMOGJV9vx4Ee-yIOfvZi8jeJnKJwxIDcvIGvW3E061rAz0-GSrITpHRB1JtktPhmqkB1r-XoDHOPdE0dOVWuzL6c02x9wmajF8dvzmPFbOb_gbOxjTJf8_m44GLee6JzW3Hl0bgj0tM799-UDPJjEB3QKr-NXp8ochi1hkMYxe1hUFJGDV4Fjz6ndzSB5_vvhPFWhTmmlMys1kqsrvtw
#使用输出的token登录Dashboard
https://NodeIP:30001
注:
https://20.0.0.56:30001
https://20.0.0.57:30001
新开一台服务器,ip地址为:20.0.0.58
所有节点安装
#所有节点加上主机名映射
echo '20.0.0.58 hub.ydq.com' >> /etc/hosts
#所有node节点都修改docker配置文件,加上私有仓库配置
cat > /etc/docker/daemon.json <<EOF
{
"registry-mirrors": ["https://6ijb8ubo.mirror.aliyuncs.com"],
"exec-opts": ["native.cgroupdriver=systemd"],
"log-driver": "json-file",
"log-opts": {
"max-size": "100m"
},
"insecure-registries": ["https://hub.ydq.com"]
}
EOF
systemctl daemon-reload
systemctl restart docker
harbor仓库操作
cd /opt
vim docker.sh
#创建一键部署docker脚本
//修改主机名
hostnamectl set-hostname hub.ydq.com
su
cat >> /etc/hosts << EOF
20.0.0.55 master
20.0.0.56 node01
20.0.0.57 node02
20.0.0.58 hub.ydq.com
EOF
//安装 docker
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io
mkdir /etc/docker
cat > /etc/docker/daemon.json <<EOF
{
"registry-mirrors": ["https://6ijb8ubo.mirror.aliyuncs.com"],
"exec-opts": ["native.cgroupdriver=systemd"],
"log-driver": "json-file",
"log-opts": {
"max-size": "100m"
},
"insecure-registries": ["https://hub.ydq.com"]
}
EOF
systemctl start docker
systemctl enable docker
准备harbor包和compose包
cd /opt/
#上传 harbor-offline-installer-v1.2.2.tgz 和 docker-compose 文件到 /opt 目录
cp docker-compose /usr/local/bin
chmod +x /usr/local/bin/docker-compose
#将docker-compose编排工具复制到bin目录,并添加执行权限
tar -zxvf harbor-offline0installer-v1.2.2.tgz
#将harbor包解包
cd harbor.cfg
vim harbor.cfg
5 hostname = hub.ydq.com
9 ui_url_protocol = https
24 ssl_cert = /data/cert/server.crt
25 ssl_cert_key = /data/cert/server.key
59 harbor_admin_password = Harbor12345
生成证书
mkdir -p /data/cert
#创建证书目录
cd /data/cert
openssl genrsa -des3 -out server.key 2048
#生成私钥
//输入两遍密码:123456
openssl req -new -key server.key -out server.csr
#生成证书签名请求文件
//输入私钥密码:123456
//输入国家名:CN
//输入省名:BJ
//输入市名:BJ
//输入组织名:KGC
//输入机构名:KGC
//输入域名:hub.ydq.com
//输入管理员邮箱:[email protected]
//其它全部直接回车
cp server.key server.key.org
#备份私钥
openssl rsa -in server.key.org -out server.key
#清除私钥密码:123456,重新生成一个文件,覆盖以前的带密码的。
openssl x509 -req -days 1000 -in server.csr -signkey server.key -out server.crt
#签名证书
chmod +x /data/cert/*
#全部添加执行权限
cd /opt/harbor/
./install.sh
#执行脚本
需要在容器中查看这几个容器是否正常开启,不正常的话,或者少了,可以启动容器
在本地使用火狐浏览器访问:https://hub.ydq.com
添加例外 -> 确认安全例外
用户名:admin
密码:Harbor12345
任意node节点操作
#注意错误
如果其他node节点登录不了harbor仓库,那就需要看一下node节点上是否配置了执行harbor的域名注册表或者DNS解析没有配置。
docker login -u admin -p Harbor12345 https://hub.ydq.com
#在一个node节点上登录harbor
docker tag nginx:1.14 hub.ydq.com/library/nginx:v1
#修改镜像标签
docker push hub.ydq.com/library/nginx:v1
#上传镜像
在master节点操作
kubectl delete deployment nginx
#在master节点删除之前创建的nginx资源(可不删)
kubectl create deployment nginx-ydq --image=hub.ydq.com/library/nginx:v1 --port=80 --replicas=3
#运行一个pod,它镜像来自于harbor仓库中的nginx,并且保留端口,且创建3个副本
kubectl get pods
#查看创建的pods
kubectl expose deployment nginx-ydq --port=30000 --target-port=80
#暴露端口
kubectl get svc,pods
#查看pods信息和service信息
修改service的端口类型
kubectl edit svc nginx-ky20
#25行改为:NodePort
kubectl get svc
#查看端口类型
浏览器访问:
20.0.0.55:32704
20.0.0.56:32704
20.0.0.57:32704
扩展
########### 内核参数优化方案 ##########
cat > /etc/sysctl.d/kubernetes.conf <<EOF
net.bridge.bridge-nf-call-iptables=1
net.bridge.bridge-nf-call-ip6tables=1
net.ipv4.ip_forward=1
net.ipv4.tcp_tw_recycle=0
vm.swappiness=0 #禁止使用 swap 空间,只有当系统内存不足(OOM)时才允许使用它
vm.overcommit_memory=1 #不检查物理内存是否够用
vm.panic_on_oom=0 #开启 OOM
fs.inotify.max_user_instances=8192
fs.inotify.max_user_watches=1048576
fs.file-max=52706963 #指定最大文件句柄数
fs.nr_open=52706963 #仅4.4以上版本支持
net.ipv6.conf.all.disable_ipv6=1
net.netfilter.nf_conntrack_max=2310720
EOF