k8s控制平面apiserver集群安装
2021-06-04 11:02
标签:serve 私钥 direct count star path 字符 int lob 注意:如果没有特殊指明,本文档的所有操作均在 k8s-master 节点上执行,然后远程分发文件和执行命令。 创建证书签名请求: hosts 字段指定授权使用该证书的 IP 或域名列表,这里列出了 VIP 、apiserver 节点 IP、kubernetes 服务 IP 和域名; 域名最后字符不能是 如果使用非 kubernetes 服务 IP 是 apiserver 自动创建的,一般是 生成证书和私钥: 将生成的证书和私钥文件拷贝到 master 节点: 将加密配置文件拷贝到 master 节点的 替换后的 encryption-config.yaml 文件:encryption-config.yaml 替换模板文件中的变量,为各节点创建 systemd unit 文件: 分发生成的 systemd unit 文件: 替换后的 unit 文件:kube-apiserver.service k8s控制平面apiserver集群安装 标签:serve 私钥 direct count star path 字符 int lob 原文地址:https://www.cnblogs.com/gytangyao/p/10857912.html1.创建 kubernetes 证书和私钥
cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
cat > kubernetes-csr.json EOF
{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"192.168.161.150",
"192.168.161.151",
"192.168.161.152",
"${CLUSTER_KUBERNETES_SVC_IP}",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "4Paradigm"
}
]
}
EOF
.
(如不能为 kubernetes.default.svc.cluster.local.
),否则解析时失败,提示: x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."
;cluster.local
域名,如 opsnull.com
,则需要修改域名列表中的最后两个域名为:kubernetes.default.svc.opsnull
、kubernetes.default.svc.opsnull.com
--service-cluster-ip-range
参数指定的网段的第一个IP,后续可以通过如下命令获取:$ kubectl get svc kubernetes
NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes 10.254.0.1
cfssl gencert -ca=/opt/k8s/work/ca.pem -ca-key=/opt/k8s/work/ca-key.pem -config=/opt/k8s/work/ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
ls kubernetes*pem
cd /opt/k8s/work
for node_ip in 192.168.161.150 192.168.161.151 192.168.161.152
do
echo ">>> ${node_ip}"
ssh root@${node_ip} "mkdir -p /etc/kubernetes/cert"
scp kubernetes*.pem root@${node_ip}:/etc/kubernetes/cert/
done
2.创建加密配置文件
cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
cat > encryption-config.yaml EOF
kind: EncryptionConfig
apiVersion: v1
resources:
- resources:
- secrets
providers:
- aescbc:
keys:
- name: key1
secret: ${ENCRYPTION_KEY}
- identity: {}
EOF
/etc/kubernetes
目录下:cd /opt/k8s/work
for node_ip in 192.168.161.150 192.168.161.151 192.168.161.152
do
echo ">>> ${node_ip}"
scp encryption-config.yaml root@${node_ip}:/etc/kubernetes/
done
3.创建 kube-apiserver systemd unit 模板文件
cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
cat > kube-apiserver.service.template EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target
[Service]
WorkingDirectory=${K8S_DIR}/kube-apiserver
ExecStart=/opt/k8s/bin/kube-apiserver \ --enable-admission-plugins=Initializers,NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \ --anonymous-auth=false \ --experimental-encryption-provider-config=/etc/kubernetes/encryption-config.yaml \ --advertise-address=##NODE_IP## \ --bind-address=##NODE_IP## \ --insecure-port=0 \ --authorization-mode=Node,RBAC \ --runtime-config=api/all \ --enable-bootstrap-token-auth \ --service-cluster-ip-range=${SERVICE_CIDR} \ --service-node-port-range=${NODE_PORT_RANGE} \ --tls-cert-file=/etc/kubernetes/cert/kubernetes.pem \ --tls-private-key-file=/etc/kubernetes/cert/kubernetes-key.pem \ --client-ca-file=/etc/kubernetes/cert/ca.pem \ --kubelet-certificate-authority=/etc/kubernetes/cert/ca.pem \ --kubelet-client-certificate=/etc/kubernetes/cert/kubernetes.pem \ --kubelet-client-key=/etc/kubernetes/cert/kubernetes-key.pem \ --kubelet-https=true \ --service-account-key-file=/etc/kubernetes/cert/ca.pem \ --etcd-cafile=/etc/kubernetes/cert/ca.pem \ --etcd-certfile=/etc/kubernetes/cert/kubernetes.pem \ --etcd-keyfile=/etc/kubernetes/cert/kubernetes-key.pem \ --etcd-servers=${ETCD_ENDPOINTS} \ --enable-swagger-ui=true \ --allow-privileged=true \ --max-mutating-requests-inflight=2000 \ --max-requests-inflight=4000 \ --apiserver-count=3 \ --audit-log-maxage=30 \ --audit-log-maxbackup=3 \ --audit-log-maxsize=100 \ --audit-log-path=${K8S_DIR}/kube-apiserver/audit.log \ --event-ttl=168h \ --logtostderr=true \ --v=2
Restart=on-failure
RestartSec=5
Type=notify
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
EOF
--experimental-encryption-provider-config
:启用加密特性;--authorization-mode=Node,RBAC
: 开启 Node 和 RBAC 授权模式,拒绝未授权的请求;--enable-admission-plugins
:启用 ServiceAccount
和 NodeRestriction
;--service-account-key-file
:签名 ServiceAccount Token 的公钥文件,kube-controller-manager 的 --service-account-private-key-file
指定私钥文件,两者配对使用;--tls-*-file
:指定 apiserver 使用的证书、私钥和 CA 文件。--client-ca-file
用于验证 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)请求所带的证书;--kubelet-client-certificate
、--kubelet-client-key
:如果指定,则使用 https 访问 kubelet APIs;需要为证书对应的用户(上面 kubernetes*.pem 证书的用户为 kubernetes) 用户定义 RBAC 规则,否则访问 kubelet API 时提示未授权;--bind-address
: 不能为 127.0.0.1
,否则外界不能访问它的安全端口 6443;--insecure-port=0
:关闭监听非安全端口(8080);--service-cluster-ip-range
: 指定 Service Cluster IP 地址段;--service-node-port-range
: 指定 NodePort 的端口范围;--runtime-config=api/all=true
: 启用所有版本的 APIs,如 autoscaling/v2alpha1;--enable-bootstrap-token-auth
:启用 kubelet bootstrap 的 token 认证;--apiserver-count=3
:指定集群运行模式,多台 kube-apiserver 会通过 leader 选举产生一个工作节点,其它节点处于阻塞状态;4.为各节点创建和分发 kube-apiserver systemd unit 文件
cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
for (( i=0; i 3; i++ ))
do
sed -e "s/##NODE_NAME##/${NODE_NAMES[i]}/" -e "s/##NODE_IP##/${NODE_IPS[i]}/" kube-apiserver.service.template > kube-apiserver-${NODE_IPS[i]}.service
done
ls kube-apiserver*.service
cd /opt/k8s/work
for node_ip in 192.168.161.150 192.168.161.151 192.168.161.152
do
echo ">>> ${node_ip}"
scp kube-apiserver-${node_ip}.service root@${node_ip}:/etc/systemd/system/kube-apiserver.service
done
5.下载最新版本二进制文件
6.启动 kube-apiserver 服务
cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
for node_ip in 192.168.161.150 192.168.161.151 192.168.161.152
do
echo ">>> ${node_ip}"
ssh root@${node_ip} "mkdir -p ${K8S_DIR}/kube-apiserver"
ssh root@${node_ip} "systemctl daemon-reload && systemctl enable kube-apiserver && systemctl restart kube-apiserver"
done