二进制部署一套高可用K8s集群-v1.24+（一）

一、系统初始化

说明：本文档的角色规划和系统初始化流程跟下面链接中的文章规划一致，本文不在赘诉！
二进制部署K8s系统初始化​​

您也可以通过扫描下方二维码直接访问

提示

1. 本文档使用的K8s版本为1.24+
2. 本文档使用的容器运行时为 Containerd
3. 本文档使用的网络插件为 Calico
4. 本文档使用的系统为 CentOS 7.6，内核版本5.4+
5. 执行下面的操作之前，请确保K8s-master1节点机器与其它集群节点已经实现了主机名免密和IP免密登入
   

二、创建CA根证书和秘钥

1、安装cfssl工具集

项目地址：​ ​GitHub项目地址

[root@k8s-master1 ~]# cd /opt/k8s

[root@k8s-master1 k8s]# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl_1.6.1_linux_amd64
[root@k8s-master1 k8s]# mv cfssl_1.6.1_linux_amd64 /opt/k8s/bin/cfssl

[root@k8s-master1 k8s]# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssljson_1.6.1_linux_amd64 
[root@k8s-master1 k8s]# mv cfssljson_1.6.1_linux_amd64 /opt/k8s/bin/cfssljson

[root@k8s-master1 k8s]# wget https://github.com/cloudflare/cfssl/releases/download/v1.6.1/cfssl-certinfo_1.6.1_linux_amd64 
[root@k8s-master1 k8s]# mv cfssl-certinfo_1.6.1_linux_amd64 /opt/k8s/bin/cfssl-certinfo

[root@k8s-master1 k8s]# chmod +x /opt/k8s/bin/*
[root@k8s-master1 k8s]# export PATH=/opt/k8s/bin:$PATH

[root@k8s-master1 k8s]# ls /opt/k8s/bin/

2、创建根证书(CA)

2.1：创建配置文件

[root@k8s-master1 ~]# cd /opt/k8s/work
[root@k8s-master1 work]# mkdir -p ca && cd ca
[root@k8s-master1 ca]# cat > ca-config.json <
{
   
  "signing": {
   
    "default": {
   
      "expiry": "87600h"
    },
    "profiles": {
   
      "kubernetes": {
   
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "876000h"
      }
    }
  }
}
EOF

• signing​​：表示该证书可用于签名其它证书（生成的 ​​ca.pem​​ 证书中 ​​​CA=TRUE​​）；
• server auth​​：表示 client 可以用该该证书对 server 提供的证书进行验证；
• client auth​​：表示 server 可以用该该证书对 client 提供的证书进行验证；
• ​​"expiry": "876000h"​​：证书有效期设置为 100 年；

2.2：创建证书签名请求文件

[root@k8s-master1 ca]# cat > ca-csr.json <
{
   
  "CN"