2. 程式人生 > >二進制安裝kubernetes v1.11.2 (第三章 二進制文件下載和kubectl部署)

二進制安裝kubernetes v1.11.2 (第三章 二進制文件下載和kubectl部署)

阿新 發佈:2018-10-24
github size date 令行 uber jin config文件 建議 根證書

繼續部署。

四、kubernetes 二進制文件下載

下載頁面:https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.11.md 4.1 下載鏈接:wget https://dl.k8s.io/v1.11.2/kubernetes-server-linux-amd64.tar.gz 
[k8s@k8s-m1 ~]$ mkdir -p /home/k8s/k8s/v1.11.2/server && cd /home/k8s/k8s/v1.11.2/server 
[k8s@k8s-m1 server] wget https://dl.k8s.io/v1.11.2/kubernetes-server-linux-amd64.tar.gz
[k8s@k8s-m1 server] tar zxvf kubernetes-server-linux-amd64.tar.gz

五、部署kubectl

kubectl是kubernetes集群的命令行管理工具。默認從~/.kube/config文件讀取kube-apiserver地址、證書、用戶名等信息,如果沒有配置,執行命令的時候可能會出錯

解壓二進制文件包 kubernetes-server-linux-amd64.tar.gz

5.1 分發到所有使用kubectl的master節點

[k8s@k8s-m1 server]$ source /opt/k8s/bin/environment.sh
[k8s@k8s-m1 server]$ for master_ip in ${MASTER_IPS[@]}
  do
    echo ">>> ${master_ip}"
    scp ~/k8s/v1.11.2/server/kubernetes/server/bin/kubectl k8s@${master_ip}:/opt/k8s/bin/
    ssh k8s@${master_ip} "chmod +x /opt/k8s/bin/*"
done

5.2 創建admin證書和私鑰

kubectl與apiserver https安全端口通信,apiserver對提供的證書進行認證和授權

kubectl作為集群的管理工具,需要被授予最高權限。這裏創建具有最高權限的admin證書。

創建admin證書簽名請求文件

cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "system:masters",
      "OU": "4Paradigm"
    }
  ]
}
EOF
  • 後續kube-apiserver使用RBAC對客戶端(如kubelet、kube-proxy、pod)進行授權
  • O為system:masters,kube-apiserver收到該證書後將請求的Group設置為system:masters。kubelet使用該證書訪問kube-apiserver時,由於證書被CA簽名,所以認證通過,同時由於用戶組被授權為system:masters,所以授予訪問所有API的權限;
  • kube-apiserver預定義了一些RBAC使用的ClusterRoleBinding,如 cluster-admin將Group system:masters與 Role cluster-admin綁定,該Role授予所有API的權限;
  • 該證書只會被kubectl當做client證書使用,所以hosts字段為空;

註意:這個admin證書是將來生成管理員用的kube config配置文件用的,現在我們一般建議使用RBAC來對kubernetes進行角色權限控制,kubernetes將證書中的CN字段作為User,O字段作為Group

在搭建完 kubernetes 集群後,我們可以通過命令: kubectl get clusterrolebinding cluster-admin -o yaml ,查看到 clusterrolebinding cluster-admin 的 subjects 的 kind 是 Group,name 是 system:masters。 roleRef 對象是 ClusterRole cluster-admin。 意思是凡是 system:masters Group 的 user 或者 serviceAccount 都擁有 cluster-admin 的角色。 因此我們在使用 kubectl 命令時候,才擁有整個集群的管理權限。可以使用 kubectl get clusterrolebinding cluster-admin -o yaml 來查看。

$ kubectl get clusterrolebinding cluster-admin -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: 2017-04-11T11:20:42Z
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "52"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/cluster-admin
  uid: e61b97b2-1ea8-11e7-8cd7-f4e9d49f8ed0
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:masters

5.3 生成證書和私鑰

[k8s@k8s-m1 cert]$ cfssl gencert -ca=/etc/kubernetes/cert/ca.pem   -ca-key=/etc/kubernetes/cert/ca-key.pem   -config=/etc/kubernetes/cert/ca-config.json   -profile=kubernetes admin-csr.json | cfssljson -bare admin
[k8s@k8s-m1 cert]$ ls admin*

5.4 創建kubeconfig文件

kubeconfig為kubectl的配置文件,包含訪問apiserver的所有信息,如apiserver的地址、CA證書和自身使用的證書

source /opt/k8s/bin/environment.sh
# 設置集群參數
kubectl config set-cluster kubernetes   --certificate-authority=/etc/kubernetes/cert/ca.pem   --embed-certs=true   --server=${KUBE_APISERVER}   --kubeconfig=kubectl.kubeconfig

# 設置客戶端認證參數
kubectl config set-credentials admin   --client-certificate=admin.pem   --client-key=admin-key.pem   --embed-certs=true   --kubeconfig=kubectl.kubeconfig

# 設置上下文參數
kubectl config set-context kubernetes   --cluster=kubernetes   --user=admin   --kubeconfig=kubectl.kubeconfig
  
# 設置默認上下文
kubectl config use-context kubernetes --kubeconfig=kubectl.kubeconfig
  • --certificate-authority 驗證kube-apiserver證書的根證書;
  • --client-certificate、--client-key 剛生成的admin證書和私鑰,鏈接kube-apiserver時使用
  • --embed-certs=true 將ca.pem和admin.pem證書內容嵌入到生成kubectl.kubeconfig文件中(不加時,寫入的是證書文件路徑)

5.5 分發kubeconfig文件

分發到所有使用kubectl的節點,保存到用戶的~/.kube/config

source /opt/k8s/bin/environment.sh
for master_ip in ${MASTER_IPS[@]}
  do
    echo ">>> ${master_ip}"
    ssh k8s@${master_ip} "mkdir -p ~/.kube"
    scp kubectl.kubeconfig k8s@${master_ip}:~/.kube/config
    ssh root@${master_ip} "mkdir -p ~/.kube"
    scp kubectl.kubeconfig root@${master_ip}:~/.kube/config
done

二進制安裝kubernetes v1.11.2 (第三章 二進制文件下載和kubectl部署)

相關推薦

安裝kubernetes v1.11.2 下載kubectl部署

github size date 令行 uber jin config文件 建議 根證書 繼續部署。 四、kubernetes 二進制文件下載 下載頁面:https://github.com/kubernetes/kubernetes/blob/master/CHANGEL

安裝kubernetes v1.11.2 etcd集群部署

sys serve file nload dct scrip comm enc gdi 繼續第一章的部署。 六、部署etcd集群 6.1 kubernetes使用etcd存儲所有數據,本節極少部署一個2個節點高可用的etcd集群,復用第一章的master節點。 192.1

安裝kubernetes v1.11.2 十一 node節點部署

tab flanneld tar ips html apt www. span 1.2 繼續前一章部署。 十一、node節點部署 kubernetes node 節點運行了如下組件: flannel docker kubelet kube-proxy 11.1 部署fl

安裝kubernetes v1.11.2 十四 kube-proxy部署

scheduler ntc ips kubecon .json done ecs rest sna 繼續前一章的部署。 部署 kube-proxy 組件 14.1 下載和分發二進制文件,參考 第三章 分發到各節點 source /opt/k8s/bin/environme

安裝kubernetes v1.11.2 瀏覽器訪問 kube-apiserver 安全端口

dashboard verify image 命令行工具 將他 export 授權 apiserver blob 參考: https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/

安裝kubernetes v1.11.2 公有雲虛機

net 二進制 doesn fig https res resource 修改 假設 kubernetes搭建在公有雲,集群vip可以用使用LB實現,註意下面幾點 1.創建LB,監聽端口指向api-server的監聽端口,假設是6443 2.關閉LB的健康檢查 3.修改

二進位制安裝kubernetes v1.11.2 十九 部署 EFK 外掛

繼續前一章部署。 部署 EFK 外掛 19.1 介紹 EFK,即 elasticsearch,kibana,fluentd 19.2 下載二進位制檔案,參考 第三章 EFK 外掛位於壓縮包的 kubernetes/cluster/addons/fluentd-elasticsea

二進位制安裝kubernetes v1.11.2 瀏覽器訪問 kube-apiserver 安全埠

參考: https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/A.%E6%B5%8F%E8%A7%88%E5%99%A8%E8%AE%BF%E9%97%AEkube-apiserver%E5%AE%89%E5%

kubeadm安裝kubernetes v1.11.3 HA多主高可用並啟用ipvs

har 3.1 oba smt lec template prior yaml 應用 環境介紹: 系統版本:CentOS 7.5 內核:4.18.7-1.el7.elrepo.x86_64 Kubernetes: v1.11.3 Docker-ce: 18.06 Kee

Service Mesh istio 部署kubernetes v1.11.2 簡單記錄

系統 [[email protected] istio-1.1.0.snapshot.1]# uname -a Linux master-47-35 3.10.0-327.4.5.el7.x86_64 #1 SMP Mon Jan 25 22:07:14 UTC 2016

Windows核心編程之核心總結 內核對象2018.6.2)

Windows核心編程之核心總結學習目標 第三章內核對象的概念較為抽象,理解起來著實不易,我不斷上網找資料和看視頻,才基本理解了內核對象的概念和特性,其實整本書給我的感覺就是完整代碼太少了,沒有多少實踐的代碼對內容的實現,而且書本給的源碼例子,有太多我們不知道的知識,並且這些知識對本章主要內容來說是多余的,所

使用jQuery快速高效作網頁交互特效——03 JavaScript操作DOM對象

nth dht rtl font parse classname 編程 stc 當前 1、 DOM:Document Object Model(文檔對象模型): DOM操作: ●DOM是Document Object M

2018年11月10日——《啟示錄》閱讀思考

第三章——產品管理與專案管理 1、產品經理兼任專案經理的工作這種模式雖然適用於零售軟體產品,但不太適合開發網際網路服務類產品。 2、在零售軟體領域,產品通常以獨立安裝包的形式釋出,釋出間隔從幾個月到幾年不等,產品和專案具有相同的粒度,開發頻率也相同,產品經理兼任專案經理相對容易。

OpenCV 3 pyton值化尋找輪廓線

retval, dst = cv.threshold( src, thresh, maxval, type[, dst] ) 這是個閾值化操作 src是input array (多通道, 8-bit or 32-bit floating point). d

Effective Objective-C 2.0 總結與筆記—— 介面與API設計

第三章:介面與API設計 ​ 在開發應用程式的時候,總是不可避免的會用到他人的程式碼,或者自己的程式碼被他人所利用,所以要把程式碼寫的更清晰一點,方便其他開發者能夠迅速而方便地將其整合到他們的專案裡。 第15條:用字首避免名稱空間衝突 Objective-C

Codeforces Round #312 (Div. 2) 題是位運算,好題

分析:從0座標分開,負半軸一個數組,正半軸一個數組,來記錄果樹的左邊和數量,可以用結構體陣列來儲存資料,其中少的一個半軸上的果樹肯定會全被採光,而多的一邊樹上會多采一棵樹。 struct p{ int num,x; } p neg[105],pos[105];這樣表

將例3.14改寫為在類模版外定義各成員函式

#include <iostream> using namespace std; template<class numtype> class Compare {public: Compare(numtype a,numtype b); numtype

Android應用如何監聽自己是否被解除安裝及解除安裝反饋功能的實現

1 /* 標頭檔案begin */ 2 #include "main_activity_UninstalledObserverActivity.h" 3 /* 標頭檔案end */ 4 5 #ifdef __cplusplus 6 extern "C" 7 { 8 #en

Quartz2.2.x官方2.2.X— Quartz教程

Quartz 教程 Quartz 任務排程教程 在你開始教程之前,你首先應該先閱讀 Quick Start Guide, 它包含了如何下載、安裝、非常基礎的Quartz配置。 選擇一個教程: 選擇特定主題:

安裝 kubernetes 1.12() - 安裝docker, 部署Flannel網絡

amd class bubuko pos 技術分享 wan 指定 master src 在 node 節點上安裝 docker 參考 https://www.cnblogs.com/klvchen/p/8468855.html Flannel 工作原理: 部署Flanne