k8s 手动恢复redis 集群_二进制手动部署k8s-1.14高可用集群(二、集群部署)

83cd50166232af196c154abe202f0eee.png

1. CA证书(任意节点)

1.1 安装cfssl
cfssl是非常好用的CA工具,我们用它来生成证书和秘钥文件
安装过程比较简单,如下:

# 下载
$ mkdir -p ~/bin
$ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O ~/bin/cfssl
$ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O ~/bin/cfssljson
# 修改为可执行权限
$ chmod +x ~/bin/cfssl ~/bin/cfssljson
# 设置PATH
$ vi ~/.bash_profile
$ source ~/.bash_profile
# 验证
$ cfssl version

1.2 生成根证书
根证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名。

# 生成证书和私钥
$ cd target/pki
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
# 生成完成后会有以下文件(我们最终想要的就是ca-key.pem和ca.pem,一个秘钥,一个证书)
$ ls
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
# 创建目录
$ ssh <user>@<node-ip> "mkdir -p /etc/kubernetes/pki/"
# 分发到每个主节点
$ scp ca*.pem <user>@<node-ip>:/etc/kubernetes/pki/

2. 部署etcd集群(master节点)

2.1 下载etcd
如果你是从网盘下载的二进制可以跳过这一步(网盘中已经包含了etcd,不需要另外下载)。
没有从网盘下载bin文件的话需要自己下载etcd

$ wget https://github.com/coreos/etcd/releases/download/v3.2.18/etcd-v3.2.18-linux-amd64.tar.gz

2.2 生成证书和私钥

# 生成证书、私钥
$ cd target/pki/etcd
$ cfssl gencert -ca=../ca.pem
-ca-key=../ca-key.pem
-config=../ca-config.json
-profile=kubernetes etcd-csr.json | cfssljson -bare etcd
# 分发到每个etcd节点
$ scp etcd*.pem <user>@<node-ip>:/etc/kubernetes/pki/

2.3 创建service文件

# scp配置文件到每个master节点
$ scp target/<node-ip>/services/etcd.service <node-ip>:/etc/systemd/system/
# 创建数据和工作目录
$ ssh <user>@<node-ip> "mkdir -p /var/lib/etcd"

2.4 启动服务
etcd 进程首次启动时会等待其它节点的 etcd 加入集群,命令 systemctl start etcd 会卡住一段时间,为正常现象。

#启动服务
$ systemctl daemon-reload && systemctl enable etcd && systemctl restart etcd
#查看状态
$ service etcd status
#查看启动日志
$ journalctl -f -u etcd

3. 部署api-server(master节点)

3.1 生成证书和私钥

# 生成证书、私钥
$ cd target/pki/apiserver
$ cfssl gencert -ca=../ca.pem
-ca-key=../ca-key.pem
-config=../ca-config.json
-profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
# 分发到每个master节点
$ scp kubernetes*.pem <user>@<node-ip>:/etc/kubernetes/pki/

3.2 创建service文件

# scp配置文件到每个master节点
$ scp target/<node-ip>/services/kube-apiserver.service <user>@<node-ip>:/etc/systemd/system/
# 创建日志目录
$ ssh <user>@<node-ip> "mkdir -p /var/log/kubernetes"

3.3 启动服务

#启动服务
$ systemctl daemon-reload && systemctl enable kube-apiserver && systemctl restart kube-apiserver
#查看运行状态
$ service kube-apiserver status
#查看日志
$ journalctl -f -u kube-apiserver
#检查监听端口
$ netstat -ntlp

4. 部署keepalived - apiserver高可用(master节点)

4.1 安装keepalived

# 在两个主节点上安装keepalived(一主一备)
$ yum install -y keepalived

4.2 创建keepalived配置文件

# 创建目录
$ ssh <user>@<master-ip> "mkdir -p /etc/keepalived"
$ ssh <user>@<backup-ip> "mkdir -p /etc/keepalived"
# 分发配置文件
$ scp target/configs/keepalived-master.conf <user>@<master-ip>:/etc/keepalived/keepalived.conf
$ scp target/configs/keepalived-backup.conf <user>@<backup-ip>:/etc/keepalived/keepalived.conf
# 分发监测脚本
$ scp target/configs/check-apiserver.sh <user>@<master-ip>:/etc/keepalived/
$ scp target/configs/check-apiserver.sh <user>@<backup-ip>:/etc/keepalived/

4.3 启动keepalived

# 分别在master和backup上启动服务
$ systemctl enable keepalived && service keepalived start
# 检查状态
$ service keepalived status
# 查看日志
$ journalctl -f -u keepalived
# 访问测试
$ curl --insecure https://<master-vip>:6443/

5. 部署kubectl(任意节点)
kubectl 是 kubernetes 集群的命令行管理工具,它默认从 ~/.kube/config 文件读取 kube-apiserver 地址、证书、用户名等信息。

5.1 创建 admin 证书和私钥
kubectl 与 apiserver https 安全端口通信,apiserver 对提供的证书进行认证和授权。
kubectl 作为集群的管理工具,需要被授予最高权限。这里创建具有最高权限的 admin 证书。

# 创建证书、私钥
$ cd target/pki/admin
$ cfssl gencert -ca=../ca.pem
-ca-key=../ca-key.pem
-config=../ca-config.json
-profile=kubernetes admin-csr.json | cfssljson -bare admin

5.2 创建kubeconfig配置文件
kubeconfig 为 kubectl 的配置文件,包含访问 apiserver 的所有信息,如 apiserver 地址、CA 证书和自身使用的证书

# 设置集群参数
$ kubectl config set-cluster kubernetes
--certificate-authority=../ca.pem
--embed-certs=true
--server=https://<MASTER_VIP>:6443
--kubeconfig=kube.config
# 设置客户端认证参数
$ kubectl config set-credentials admin
--client-certificate=admin.pem
--client-key=admin-key.pem
--embed-certs=true
--kubeconfig=kube.config
# 设置上下文参数
$ kubectl config set-context kubernetes
--cluster=kubernetes
--user=admin
--kubeconfig=kube.config
# 设置默认上下文
$ kubectl config use-context kubernetes --kubeconfig=kube.config
# 分发到目标节点
$ scp kube.config <user>@<node-ip>:~/.kube/config

5.3 授予 kubernetes 证书访问 kubelet API 的权限
在执行 kubectl exec、run、logs 等命令时,apiserver 会转发到 kubelet。这里定义 RBAC 规则,授权 apiserver 调用 kubelet API。

$ kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes

5.4 小测试

# 查看集群信息
$ kubectl cluster-info
$ kubectl get all --all-namespaces
$ kubectl get componentstatuses

6. 部署controller-manager(master节点)
controller-manager启动后将通过竞争选举机制产生一个 leader 节点,其它节点为阻塞状态。当 leader 节点不可用后,剩余节点将再次进行选举产生新的 leader 节点,从而保证服务的可用性。

6.1 创建证书和私钥

# 生成证书、私钥
$ cd target/pki/controller-manager
$ cfssl gencert -ca=../ca.pem
-ca-key=../ca-key.pem
-config=../ca-config.json
-profile=kubernetes controller-manager-csr.json | cfssljson -bare controller-manager
# 分发到每个master节点
$ scp controller-manager*.pem <user>@<node-ip>:/etc/kubernetes/pki/

6.2 创建controller-manager的kubeconfig

# 创建kubeconfig
$ kubectl config set-cluster kubernetes
--certificate-authority=../ca.pem
--embed-certs=true
--server=https://<MASTER_VIP>:6443
--kubeconfig=controller-manager.kubeconfig
$ kubectl config set-credentials system:kube-controller-manager
--client-certificate=controller-manager.pem
--client-key=controller-manager-key.pem
--embed-certs=true
--kubeconfig=controller-manager.kubeconfig
$ kubectl config set-context system:kube-controller-manager
--cluster=kubernetes
--user=system:kube-controller-manager
--kubeconfig=controller-manager.kubeconfig
$ kubectl config use-context system:kube-controller-manager --kubeconfig=controller-manager.kubeconfig
# 分发controller-manager.kubeconfig
$ scp controller-manager.kubeconfig <user>@<node-ip>:/etc/kubernetes/

6.3 创建service文件

# scp配置文件到每个master节点
$ scp target/services/kube-controller-manager.service <user>@<node-ip>:/etc/systemd/system/

6.4 启动服务

# 启动服务
$ systemctl daemon-reload && systemctl enable kube-controller-manager && systemctl restart kube-controller-manager
# 检查状态
$ service kube-controller-manager status
# 查看日志
$ journalctl -f -u kube-controller-manager
# 查看leader
$ kubectl get endpoints kube-controller-manager --namespace=kube-system -o yaml

7. 部署scheduler(master节点)
scheduler启动后将通过竞争选举机制产生一个 leader 节点,其它节点为阻塞状态。当 leader 节点不可用后,剩余节点将再次进行选举产生新的 leader 节点,从而保证服务的可用性。

7.1 创建证书和私钥

# 生成证书、私钥
$ cd target/pki/scheduler
$ cfssl gencert -ca=../ca.pem
-ca-key=../ca-key.pem
-config=../ca-config.json
-profile=kubernetes scheduler-csr.json | cfssljson -bare kube-scheduler

7.2 创建scheduler的kubeconfig

# 创建kubeconfig
$ kubectl config set-cluster kubernetes
--certificate-authority=../ca.pem
--embed-certs=true
--server=https://<MASTER_VIP>:6443
--kubeconfig=kube-scheduler.kubeconfig
$ kubectl config set-credentials system:kube-scheduler
--client-certificate=kube-scheduler.pem
--client-key=kube-scheduler-key.pem
--embed-certs=true
--kubeconfig=kube-scheduler.kubeconfig
$ kubectl config set-context system:kube-scheduler
--cluster=kubernetes
--user=system:kube-scheduler
--kubeconfig=kube-scheduler.kubeconfig
$ kubectl config use-context system:kube-scheduler --kubeconfig=kube-scheduler.kubeconfig
# 分发kubeconfig
$ scp kube-scheduler.kubeconfig <user>@<node-ip>:/etc/kubernetes/

7.3 创建service文件

# scp配置文件到每个master节点
$ scp target/services/kube-scheduler.service <user>@<node-ip>:/etc/systemd/system/

7.4 启动服务

# 启动服务
$ systemctl daemon-reload && systemctl enable kube-scheduler && systemctl restart kube-scheduler
# 检查状态
$ service kube-scheduler status
# 查看日志
$ journalctl -f -u kube-scheduler
# 查看leader
$ kubectl get endpoints kube-scheduler --namespace=kube-system -o yaml

8. 部署kubelet(worker节点)

8.1 预先下载需要的镜像

# 预先下载镜像到所有节点(由于镜像下载的速度过慢,我给大家提供了阿里云仓库的镜像)
$ scp target/configs/download-images.sh <user>@<node-ip>:~
# 在目标节点上执行脚本下载镜像
$ sh ~/download-images.sh

8.2 创建bootstrap配置文件

# 创建 token
$ cd target/pki/admin
$ export BOOTSTRAP_TOKEN=$(kubeadm token create
--description kubelet-bootstrap-token
--groups system:bootstrappers:worker
--kubeconfig kube.config)
# 设置集群参数
$ kubectl config set-cluster kubernetes
--certificate-authority=../ca.pem
--embed-certs=true
--server=https://<MASTER_VIP>:6443
--kubeconfig=kubelet-bootstrap.kubeconfig
# 设置客户端认证参数
$ kubectl config set-credentials kubelet-bootstrap
--token=${BOOTSTRAP_TOKEN}
--kubeconfig=kubelet-bootstrap.kubeconfig
# 设置上下文参数
$ kubectl config set-context default
--cluster=kubernetes
--user=kubelet-bootstrap
--kubeconfig=kubelet-bootstrap.kubeconfig
# 设置默认上下文
$ kubectl config use-context default --kubeconfig=kubelet-bootstrap.kubeconfig
# 把生成的配置copy到每个worker节点上
$ scp kubelet-bootstrap.kubeconfig <user>@<node-ip>:/etc/kubernetes/kubelet-bootstrap.kubeconfig
# 先在worker节点上创建目录
$ mkdir -p /etc/kubernetes/pki
# 把ca分发到每个worker节点
$ scp target/pki/ca.pem <user>@<node-ip>:/etc/kubernetes/pki/

8.3 kubelet配置文件
把kubelet配置文件分发到每个worker节点上

$ scp target/worker-<node-ip>/kubelet.config.json <user>@<node-ip>:/etc/kubernetes/

8.4 kubelet服务文件
把kubelet服务文件分发到每个worker节点上

$ scp target/worker-<node-ip>/kubelet.service <user>@<node-ip>:/etc/systemd/system/

8.5 启动服务
kublet 启动时查找配置的 –kubeletconfig 文件是否存在,如果不存在则使用 –bootstrap-kubeconfig 向 kube-apiserver 发送证书签名请求 (CSR)。
kube-apiserver 收到 CSR 请求后,对其中的 Token 进行认证(事先使用 kubeadm 创建的 token),认证通过后将请求的 user 设置为 system:bootstrap:,group 设置为 system:bootstrappers,这就是Bootstrap Token Auth。

# bootstrap附权
$ kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --group=system:bootstrappers
# 启动服务
$ mkdir -p /var/lib/kubelet
$ systemctl daemon-reload && systemctl enable kubelet && systemctl restart kubelet
# 在master上Approve bootstrap请求
$ kubectl get csr
$ kubectl certificate approve <name>
# 查看服务状态
$ service kubelet status
# 查看日志
$ journalctl -f -u kubelet

9. 部署kube-proxy(worker节点)

9.1 创建证书和私钥

$ cd target/pki/proxy
$ cfssl gencert -ca=../ca.pem
-ca-key=../ca-key.pem
-config=../ca-config.json
-profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

9.2 创建和分发 kubeconfig 文件

# 创建kube-proxy.kubeconfig
$ kubectl config set-cluster kubernetes
--certificate-authority=../ca.pem
--embed-certs=true
--server=https://<master-vip>:6443
--kubeconfig=kube-proxy.kubeconfig
$ kubectl config set-credentials kube-proxy
--client-certificate=kube-proxy.pem
--client-key=kube-proxy-key.pem
--embed-certs=true
--kubeconfig=kube-proxy.kubeconfig
$ kubectl config set-context default
--cluster=kubernetes
--user=kube-proxy
--kubeconfig=kube-proxy.kubeconfig
$ kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
# 分发kube-proxy.kubeconfig
$ scp kube-proxy.kubeconfig <user>@<node-ip>:/etc/kubernetes/

9.3 分发kube-proxy.config

$ scp target/worker-<node-ip>/kube-proxy.config.yaml <user>@<node-ip>:/etc/kubernetes/

9.4 分发kube-proxy服务文件

$ scp target/services/kube-proxy.service <user>@<node-ip>:/etc/systemd/system/

9.5 启动服务

# 创建依赖目录
$ mkdir -p /var/lib/kube-proxy && mkdir -p /var/log/kubernetes
# 启动服务
$ systemctl daemon-reload && systemctl enable kube-proxy && systemctl restart kube-proxy
# 查看状态
$ service kube-proxy status
# 查看日志
$ journalctl -f -u kube-proxy

10. 部署CNI插件 - calico
我们使用calico官方的安装方式来部署。

# 创建目录(在配置了kubectl的节点上执行)
$ mkdir -p /etc/kubernetes/addons
# 上传calico配置到配置好kubectl的节点(一个节点即可)
$ scp target/addons/calico* <user>@<node-ip>:/etc/kubernetes/addons/
# 部署calico
$ kubectl create -f /etc/kubernetes/addons/calico-rbac-kdd.yaml
$ kubectl create -f /etc/kubernetes/addons/calico.yaml
# 查看状态
$ kubectl get pods -n kube-system

11. 部署DNS插件 - coredns

# 上传配置文件
$ scp target/addons/coredns.yaml <user>@<node-ip>:/etc/kubernetes/addons/
# 部署coredns
$ kubectl create -f /etc/kubernetes/addons/coredns.yaml

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/292638.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JS iframe父子页面元素调用方法 window parent top 解释

父窗口调用子窗口 var hasMore parent.document.getElementByIdx_x_x_x("hasMore").value;子窗口调用父窗口document.frames["ifrmBoxFrame"].me.preLoadBoxGrid(); window.frames["iframe_ID"].document.getElementByIdx_x_x_x("iframe_d…

实现DDD领域驱动设计: Part 1

原文链接: https://dev.to/salah856/implementing-domain-driven-design-part-i-5a72简单的代码&#xff01;踢足球很简单&#xff0c;难的是踢简单的足球。— 克鲁伊夫如果我们将这句话用到编程上&#xff0c;我们可以说&#xff1b;写代码很简单&#xff0c;难的是写简单的代…

XE5 Android 开发实现手机打电话和发短信 [转]

其实都可以通过intent和URI调用系统功能.Windows程序员可以理解成是ShellExecute.这个是万金油.可以有调用各种功能.后面会介绍. 1.短信息.很简单 方法a.不使用Intent而是直接发短信. smsManager对应的Delphi代码应该是: usesAndroidapi.JNI.JavaTypes,Androidapi.JNI.Telephon…

怎么查看ubuntu是多少位和常用信息

下载linux ndk的时候需要知道linux是多少位的 1、ctrlshiftt 快捷键&#xff0c;打开终端&#xff0c;输入sudo uname --m &#xff0c;按下enter 如果显示i686,你安装了32位操作系统 如果显示 x86_64&#xff0c;你安装了64位操作系统 如果想知道更多信息可以试试如下命令…

安装程序无法创建新的系统分区也无法定位现有分区的解决方法

2019独角兽企业重金招聘Python工程师标准>>> 在安装Windows7时&#xff0c;想必有很多人都安碰到这样的情况吧!在安装界面里选择安装时&#xff0c;却出现“安装程序无法创建新的系统分区&#xff0c;也无法定位现有系统分区” 网上提供的另外解决方法大全&#xff…

python多线程读取数据库数据_Python基于多线程操作数据库相关知识点详解

Python基于多线程操作数据库相关问题分析 本文实例分析了Python多线程操作数据库相关问题。分享给大家供大家参考&#xff0c;具体如下&#xff1a; python多线程并发操作数据库&#xff0c;会存在链接数据库超时、数据库连接丢失、数据库操作超时等问题。 解决方法&#xff1a…

如何通过 C# 实现对象的变更跟踪 ?

咨询区 user137348我有一个类包含五个属性&#xff0c;如果任何一个属性被改变&#xff0c;我希望这个类中的另一个属性&#xff08;IsDirty&#xff09;会被自动变更&#xff0c;比如下面的类。public class Class1 {bool IsDIrty {get;set;}string Prop1 {get;set;}string Pr…

IDA64 Fatal error before kernel init

http://www.tuicool.com/articles/7FZVZna 第一次看到这个错误还以为是修改文件导致的&#xff0c;但是觉得又不大像&#xff0c;因为在Win7底下是完全正常的。搜索了一下才发现是由于插件导致的&#xff1a; NOTE3: You get a “Fatal error before kernel init” when trying…

Linux 释放缓存的方法

echo "3" > /proc/sys/vm/drop_caches数字的作用0 – 不释放1 – 释放页缓存2 – 释放dentries和inodes3 – 释放所有缓存可以加到定时任务里&#xff0c;凌晨5点执行回收。0 5 * * * sync && echo "3" > /proc/sys/vm/drop_caches转载于:ht…

Android安全与逆向之在ubuntu上面搭建NDK环境

1、下载Android NDK自解压包&#xff0c; 官方地址&#xff1a;https://developer.android.com/ndk/downloads/index.html#download下载&#xff1a;$ wget -c http://dl.google.com/android/ndk/android-ndk-r10e-linux-x86_64.bin 2、解压&#xff0c; 将Android NDK压缩包…

C# 泛型多种参数类型与多重约束 示例

C# 泛型多种参数类型与多重约束 示例 interface IMyInterface { }class Dictionary<TKey, TVal>where TKey : IComparable, IEnumerablewhere TVal : IMyInterface {public void Add(TKey key, TVal val){} }转载于:https://www.cnblogs.com/EasyInvoice/p/5955216.html

简述python解释器的作用_什么是python解释器?

当我们编写Python代码时&#xff0c;我们得到的是一个包含Python代码的以.py为扩展名的文本文件。要运行代码&#xff0c;就需要Python解释器去执行.py文件。 由于整个Python语言从规范到解释器都是开源的&#xff0c;所以理论上&#xff0c;只要水平够高&#xff0c;任何人都可…

和我一起来分析某药品仓储管理系统 卡死现象

一&#xff1a;背景 1. 讲故事这个月初&#xff0c;有位朋友wx上找到我&#xff0c;说他的api过一段时间后&#xff0c;就会出现只有请求&#xff0c;没有响应的情况&#xff0c;截图如下&#xff1a;从朋友的描述中看样子程序是被什么东西卡住了&#xff0c;这种卡死的问题解决…

Java代码总结【1】_查询手机号码归属地

这段代码是查询指定手机号的代码归属地&#xff0c;输出格式为【省份运营商】public static String checkMobilePlace(String mobilephone)throws IOException {//检测手机号码归属地URL url new URL("http://tcc.taobao.com/cc/json/mobile_tel_segment.htm?tel" …

linux top 命令---VIRT,RES,SHR,虚拟内存和物理内存(

VIRT,RES,SHR,虚拟内存和物理内存(转) VIRT&#xff1a; 1、进程“需要的”虚拟内存大小&#xff0c;包括进程使用的库、代码、数据&#xff0c;以及malloc、new分配的堆空间和分配的栈空间等&#xff1b; 2、假如进程新申请10MB的内存&#xff0c;但实际只使用了1MB&#xff0…

第五十三篇、OC利用AFN上传视频到服务器

整体思路已经清楚&#xff0c;拿到视频资源&#xff0c;先转为mp4&#xff0c;写进沙盒&#xff0c;然后上传&#xff0c;上传成功后删除沙盒中的文件。 本地拍摄的视频&#xff0c;上传到服务器&#xff1a; //视频转换为MP4//转码操作..._hud.mode MBProgressHUDModeIndeter…

sqlite数据库备份还原、导出导入

1、备份和还原数据库 sqlite> .backup backup.db sqlite> .restore backup.db 2、导出及导入SQL脚本 shell方式&#xff1a; # sqlite3 sqa.db ".dump [mytabl%]" > sqa.sql # sqlite3 sqb.db < sqa.sql 命令行方式&#xff1a; sqlite> .output b…