艰难的K8s环境准备及集群安装–kuberneters

十年河东，十年河西，莫欺少年穷

学无止境，精益求精

• Kubernetes集群大致分为两类：一主多从和多主多从。

• 一主多从：一个Master节点和多台Node节点，搭建简单，但是有单机故障风险，适合用于测试环境。

• 多主多从：多台Master和多台Node节点，搭建麻烦，安全性高，适合用于生产环境。

 本篇采用一主二从模式进行，该模式用于测试环境，真实环境还得是多主多从，防止单点故障

1、准备三台虚拟机，分别命名为master 、 node1 、 node2

master  192.168.136.135
node1   192.168.136.136
node2   192.168.136.137

2、检查操作系统的版本（要求三台服务器操作系统的版本至少在7.5以上）：

[root@localhost ~]# cat /etc/redhat-release
CentOS Linux release 7.9.2009 (Core)

3、三台服务器上设置分别设置主机名及主机名解析

设置主机名

• 设置192.168.136.135 的主机名：

hostnamectl set-hostname master

• 设置192.168.136.136 的主机名：

hostnamectl set-hostname node1

• 设置192.168.136.137 的主机名：

hostnamectl set-hostname node2

主机名解析（三台服务器均要执行）

vim /etc/hosts

在三台虚拟机的 hosts 文件中增加如下配置

192.168.136.135 master
192.168.136.136 node1
192.168.136.137 node2

此时三台虚拟机可以相互 ping 通

我在master 中 ping node1虚拟机

 4、三台服务器上关闭防火墙和禁止防火墙开机启动【生产环境谨慎操作】

关闭

systemctl stop firewalld

禁用

systemctl disable firewalld

5、三台服务器上进行时间同步

安装时间插件

yum install ntpdate -y

同步时间

ntpdate time.windows.com

6、三台服务器上关闭selinux

查看selinux是否开启

getenforce

永久关闭selinux，需要重启

sed -i 's/enforcing/disabled/' /etc/selinux/config

临时关闭selinux，重启之后，无效

setenforce 0

这里采用永久关闭，关闭后暂不重启，配置完后，一块重启

7、三台服务器上关闭swap分区

• 永久关闭swap分区，需要重启：

sed -ri 's/.*swap.*/#&/' /etc/fstab

• 临时关闭swap分区，重启之后，无效：：

swapoff -a

这里采用永久关闭，关闭后暂不重启，配置完后，一块重启

8、三台服务器上将桥接的IPv4流量传递到iptables的链

• 在每个节点上将桥接的IPv4流量传递到iptables的链：

cat > /etc/sysctl.d/k8s.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
vm.swappiness = 0
EOF

加载br_netfilter模块

# 加载br_netfilter模块
modprobe br_netfilter

查看是否加载

# 查看是否加载
lsmod | grep br_netfilter

生效

# 生效
sysctl --system

9、三台服务器上开启ipvs

• 在kubernetes中service有两种代理模型，一种是基于iptables，另一种是基于ipvs的。ipvs的性能要高于iptables的，但是如果要使用它，需要手动载入ipvs模块。

• 在每个节点安装ipset和ipvsadm：

yum -y install ipset ipvsadm

• 在所有节点执行如下脚本：

cat > /etc/sysconfig/modules/ipvs.modules <<EOF
#!/bin/bash
modprobe -- ip_vs
modprobe -- ip_vs_rr
modprobe -- ip_vs_wrr
modprobe -- ip_vs_sh
modprobe -- nf_conntrack_ipv4
EOF

• 授权、运行、检查是否加载：

chmod 755 /etc/sysconfig/modules/ipvs.modules && bash /etc/sysconfig/modules/ipvs.modules && lsmod | grep -e ip_vs -e nf_conntrack_ipv4

• 检查是否加载：

lsmod | grep -e ipvs -e nf_conntrack_ipv4

10、重启三台服务器

reboot

以上便完成了K8s环境的搭建

11、三台服务器上安装docker

指定阿里云加速

wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo -O /etc/yum.repos.d/docker-ce.repo

安装指定版本

yum -y install docker-ce-18.06.3.ce-3.el7

开机自启动docker 

systemctl enable docker && systemctl start docker

查看docker 版本

docker version

• 设置Docker镜像加速器：

mkdir -p /etc/docker

设置阿里云Yum源 【可登录自己的阿里云，搜索容器镜像服务，配置docker镜像加速器】

sudo tee /etc/docker/daemon.json <<-'EOF'
{
"exec-opts": ["native.cgroupdriver=systemd"],
"registry-mirrors": ["https://du3ia00u.mirror.aliyuncs.com"],
"live-restore": true,
"log-driver":"json-file",
"log-opts": {"max-size":"500m", "max-file":"3"},
"storage-driver": "overlay2"
}
EOF

加载docker配置 并 重启docekr 

sudo systemctl daemon-reload

重启docker

sudo systemctl restart docker

12、三台服务器上安装 kubeadm、kubelet和kubectl 三个组件

添加阿里云的YUM软件源

• 由于kubernetes的镜像源在国外，非常慢，这里切换成国内的阿里云镜像源：

cat > /etc/yum.repos.d/kubernetes.repo << EOF
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF

安装kubeadm、kubelet和kubectl

• 由于版本更新频繁，这里指定版本号部署：

yum install -y kubelet-1.18.0 kubeadm-1.18.0 kubectl-1.18.0

• 为了实现Docker使用的cgroup drvier和kubelet使用的cgroup drver一致，建议修改"/etc/sysconfig/kubelet"文件的内容：

vim /etc/sysconfig/kubelet

修改文件内容为：

KUBELET_EXTRA_ARGS="--cgroup-driver=systemd"
KUBE_PROXY_MODE="ipvs"

• 设置为开机自启动即可，由于没有生成配置文件，集群初始化后自动启动：

systemctl enable kubelet

至此，K8s的四个组件安装及配置完毕

13、部署K8s集群的Master节点

查看K8s所需镜像

kubeadm config images list

14、部署K8s Master 节点【只需在Master节点执行即可，我的master节点的Ip地址为：192.168.136.135】

# 由于默认拉取镜像地址k8s.gcr.io国内无法访问，这里需要指定阿里云镜像仓库地址
kubeadm init \
--apiserver-advertise-address=192.168.136.135 \
--image-repository registry.aliyuncs.com/google_containers \
--kubernetes-version v1.18.0 \
--service-cidr=10.96.0.0/12 \
--pod-network-cidr=10.244.0.0/16

根据提示，在master节点上做如下配置

mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

14、部署K8s集群的Node节点，Node节点加入集群

在两个Node节点，执行Master节点的提示语句，使子节点加入master集群

kubeadm join 192.168.136.135:6443 --token cuzc43.83wxhfwd4mgul4ts \
--discovery-token-ca-cert-hash sha256:6eac1ffac64643db9b89cc131a7f731c1ddb302ca3653c931c97283999ef2962

• 默认的token有效期为2小时，当过期之后，该token就不能用了，这时可以使用如下的命令创建token：

kubeadm token create --print-join-command

当然，为了防止以后其他子节点加入时Token过期，我们生产一个永不过期的token 

# 生成一个永不过期的token
kubeadm token create --ttl 0 --print-join-command

执行完毕后，在Master节点查看子节点的信息

kubectl get nodes

ok，截止到这儿，k8s节点集群就初步完成了。但三个节点的状态都是NotReady ，为什么？

 15、部署CNI网络插件

• kubernetes支持多种网络插件，比如flannel、calico、canal等，任选一种即可，本次选择flannel， 

• 在Master节点上获取flannel配置文件(可能会失败，如果失败，请下载到本地，然后安装)：

wget https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

只爱少妇