K8s-api-server.06-2
內容轉載自:https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/06-2.api-server.md
06-2.部署 kube-apiserver 元件
本文件講解使用 keepalived 和 haproxy 部署一個 3 節點高可用 master 叢集的步驟,對應的 LB VIP 為環境變數 ${MASTER_VIP}。
準備工作
下載最新版本的二進位制檔案、安裝和配置 flanneld 參考:K8s-部署master節點.06
建立 kubernetes 證書和私鑰
建立證書籤名請求:
source /opt/k8s/bin/environment.sh cat > kubernetes-csr.json <<EOF { "CN": "kubernetes", "hosts": [ "127.0.0.1", "172.27.129.101", "172.27.129.102", "172.27.129.103", "${MASTER_VIP}", "${CLUSTER_KUBERNETES_SVC_IP}", "kubernetes", "kubernetes.default", "kubernetes.default.svc", "kubernetes.default.svc.cluster", "kubernetes.default.svc.cluster.local" ], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "4Paradigm" } ] } EOF
-
hosts 欄位指定授權使用該證書的 IP 或域名列表,這裡列出了 VIP 、apiserver 節點 IP、kubernetes 服務 IP 和域名;
-
域名最後字元不能是
.
(如不能為kubernetes.default.svc.cluster.local.
),否則解析時失敗,提示:x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."
; -
如果使用非
cluster.local
域名,如opsnull.com
kubernetes.default.svc.opsnull
、kubernetes.default.svc.opsnull.com
-
kubernetes 服務 IP 是 apiserver 自動建立的,一般是
--service-cluster-ip-range
引數指定的網段的第一個IP,後續可以通過如下命令獲取:
$ kubectl get svc kubernetes NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes 10.254.0.1 <none> 443/TCP 1d
生成證書和私鑰:
cfssl gencert -ca=/etc/kubernetes/cert/ca.pem \ -ca-key=/etc/kubernetes/cert/ca-key.pem \ -config=/etc/kubernetes/cert/ca-config.json \ -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes ls kubernetes*pem
將生成的證書和私鑰檔案拷貝到 master 節點:
source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IP[@]} do echo ">>> ${master_ip}" ssh [email protected]${master_ip} "mkdir -p /etc/kubernetes/cert/ && sudo chown -R k8s /etc/kubernetes/cert/" scp kubernetes*.pem [email protected]${master_ip}:/etc/kubernetes/cert/ done
- k8s 賬戶可以讀寫 /etc/kubernetes/cert/ 目錄;
建立加密配置檔案
source /opt/k8s/bin/environment.sh cat > encryption-config.yaml <<EOF kind: EncryptionConfig apiVersion: v1 resources: - resources: - secrets providers: - aescbc: keys: - name: key1 secret: ${ENCRYPTION_KEY} - identity: {} EOF
將加密配置檔案拷貝到 master 節點的 /etc/kubernetes
目錄下:
source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IP[@]} do echo ">>> ${master_ip}" scp encryption-config.yaml [email protected]${master_ip}:/etc/kubernetes/ done
建立 kube-apiserver systemd unit 模板檔案
source /opt/k8s/bin/environment.sh cat > kube-apiserver.service.template <<EOF [Unit] Description=Kubernetes API Server Documentation=https://github.com/GoogleCloudPlatform/kubernetes After=network.target [Service] ExecStart=/opt/k8s/bin/kube-apiserver \\ --enable-admission-plugins=Initializers,NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \\ --anonymous-auth=false \\ --experimental-encryption-provider-config=/etc/kubernetes/encryption-config.yaml \\ --advertise-address=##MASTER_IP## \\ --bind-address=##MASTER_IP## \\ --insecure-port=0 \\ --authorization-mode=Node,RBAC \\ --runtime-config=api/all \\ --enable-bootstrap-token-auth \\ --service-cluster-ip-range=${SERVICE_CIDR} \\ --service-node-port-range=${NODE_PORT_RANGE} \\ --tls-cert-file=/etc/kubernetes/cert/kubernetes.pem \\ --tls-private-key-file=/etc/kubernetes/cert/kubernetes-key.pem \\ --client-ca-file=/etc/kubernetes/cert/ca.pem \\ --kubelet-client-certificate=/etc/kubernetes/cert/kubernetes.pem \\ --kubelet-client-key=/etc/kubernetes/cert/kubernetes-key.pem \\ --service-account-key-file=/etc/kubernetes/cert/ca-key.pem \\ --etcd-cafile=/etc/kubernetes/cert/ca.pem \\ --etcd-certfile=/etc/kubernetes/cert/kubernetes.pem \\ --etcd-keyfile=/etc/kubernetes/cert/kubernetes-key.pem \\ --etcd-servers=${ETCD_ENDPOINTS} \\ --enable-swagger-ui=true \\ --allow-privileged=true \\ --apiserver-count=3 \\ --audit-log-maxage=30 \\ --audit-log-maxbackup=3 \\ --audit-log-maxsize=100 \\ --audit-log-path=/var/log/kube-apiserver-audit.log \\ --event-ttl=1h \\ --alsologtostderr=true \\ --logtostderr=false \\ --log-dir=/var/log/kubernetes \\ --v=2 Restart=on-failure RestartSec=5 Type=notify User=k8s LimitNOFILE=65536 [Install] WantedBy=multi-user.target EOF
--experimental-encryption-provider-config
:啟用加密特性;--authorization-mode=Node,RBAC
: 開啟 Node 和 RBAC 授權模式,拒絕未授權的請求;--enable-admission-plugins
:啟用ServiceAccount
和NodeRestriction
;--service-account-key-file
:簽名 ServiceAccount Token 的公鑰檔案,kube-controller-manager 的--service-account-private-key-file
指定私鑰檔案,兩者配對使用;--tls-*-file
:指定 apiserver 使用的證書、私鑰和 CA 檔案。--client-ca-file
用於驗證 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)請求所帶的證書;--kubelet-client-certificate
、--kubelet-client-key
:如果指定,則使用 https 訪問 kubelet APIs;需要為證書對應的使用者(上面 kubernetes*.pem 證書的使用者為 kubernetes) 使用者定義 RBAC 規則,否則訪問 kubelet API 時提示未授權;--bind-address
: 不能為127.0.0.1
,否則外界不能訪問它的安全埠 6443;--insecure-port=0
:關閉監聽非安全埠(8080);--service-cluster-ip-range
: 指定 Service Cluster IP 地址段;--service-node-port-range
: 指定 NodePort 的埠範圍;--runtime-config=api/all=true
: 啟用所有版本的 APIs,如 autoscaling/v2alpha1;--enable-bootstrap-token-auth
:啟用 kubelet bootstrap 的 token 認證;--apiserver-count=3
:指定叢集執行模式,多臺 kube-apiserver 會通過 leader 選舉產生一個工作節點,其它節點處於阻塞狀態;User=k8s
:使用 k8s 賬戶執行;
為各節點建立和分發 kube-apiserver systemd unit 檔案
替換模板檔案中的變數,為各節點建立 systemd unit 檔案:
source /opt/k8s/bin/environment.sh for (( i=0; i < 3; i++ )) do sed -e "s/##MASTER_NAME##/${MASTER_NAMES[i]}/" -e "s/##MASTER_IP##/${MASTER_IP[i]}/" kube-apiserver.service.template > kube-apiserver-${MASTER_IP[i]}.service done ls kube-apiserver*.service
- MASTER_NAMES 和 MASTER_IP 為相同長度的 bash 陣列,分別為節點名稱和對應的 IP;
分發生成的 systemd unit 檔案:
source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IP[@]} do echo ">>> ${master_ip}" ssh [email protected]${master_ip} "mkdir -p /var/log/kubernetes && chown -R k8s /var/log/kubernetes" scp kube-apiserver-${master_ip}.service [email protected]${master_ip}:/etc/systemd/system/kube-apiserver.service done
- 必須先建立日誌目錄;
- 檔案重新命名為 kube-apiserver.service;
啟動 kube-apiserver 服務
source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IP[@]} do echo ">>> ${master_ip}" ssh [email protected]${master_ip} "systemctl daemon-reload && systemctl enable kube-apiserver && systemctl restart kube-apiserver" done
檢查 kube-apiserver 執行狀態
source /opt/k8s/bin/environment.sh for master_ip in ${MASTER_IP[@]} do echo ">>> ${master_ip}" ssh [email protected]${master_ip} "systemctl status kube-apiserver |grep 'Active:'" done
確保狀態為 active (running)
,否則到 master 節點檢視日誌,確認原因:
journalctl -u kube-apiserver
列印 kube-apiserver 寫入 etcd 的資料
source /opt/k8s/bin/environment.sh ETCDCTL_API=3 etcdctl \ --endpoints=${ETCD_ENDPOINTS} \ --cacert=/etc/kubernetes/cert/ca.pem \ --cert=/etc/etcd/cert/etcd.pem \ --key=/etc/etcd/cert/etcd-key.pem \ get /registry/ --prefix --keys-only
檢查叢集資訊
$ kubectl cluster-info Kubernetes master is running at https://172.27.129.253:8443 To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'. $ kubectl get all --all-namespaces NAMESPACE NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE default service/kubernetes ClusterIP 10.254.0.1 <none> 443/TCP 35m $ kubectl get componentstatuses NAME STATUS MESSAGE ERROR controller-manager Unhealthy Get http://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: getsockopt: connection refused scheduler Unhealthy Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: getsockopt: connection refused etcd-1 Healthy {"health":"true"} etcd-0 Healthy {"health":"true"} etcd-2 Healthy {"health":"true"}
注意:
-
如果執行 kubectl 命令式時輸出如下錯誤資訊,則說明使用的
~/.kube/config
檔案不對,請切換到正確的賬戶後再執行該命令:The connection to the server localhost:8080 was refused - did you specify the right host or port?
-
執行
kubectl get componentstatuses
命令時,apiserver 預設向 127.0.0.1 傳送請求。當 controller-manager、scheduler 以叢集模式執行時,有可能和 kube-apiserver 不在一臺機器上,這時 controller-manager 或 scheduler 的狀態為 Unhealthy,但實際上它們工作正常。
檢查 kube-apiserver 監聽的埠
$ sudo netstat -lnpt|grep kube tcp 0 0 172.27.129.105:6443 0.0.0.0:* LISTEN 13075/kube-apiserve
- 6443: 接收 https 請求的安全埠,對所有請求做認證和授權;
- 由於關閉了非安全埠,故沒有監聽 8080;
授予 kubernetes 證書訪問 kubelet API 的許可權
在執行 kubectl exec、run、logs 等命令時,apiserver 會轉發到 kubelet。這裡定義 RBAC 規則,授權 apiserver 呼叫 kubelet API。
$ kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes
參考
- 關於證書域名最後字元不能是
.
的問題,實際和 Go 的版本有關,1.9 不支援這種型別的證書:https://github.com/kubernetes/ingress-nginx/issues/2188