2. 程式人生 > >Rancher On K3s 高可用架構部署

Rancher On K3s 高可用架構部署

阿新 發佈:2021-01-28
# Rancher 推薦部署架構 ![](https://docs.rancher.cn/img/rancher/rancher-architecture-separation-of-rancher-server.svg) k3s 模式 ![](https://docs.rancher.cn/img/rancher/k3s-server-storage.svg) RKE 和 k8s 模式 ![](https://docs.rancher.cn/img/rancher/rke-server-storage.svg) 備註: 我對 RKE 的理解就是 Ansible + kubeadm 的打包,首先 rke 需要到每一個節點都可以免密 ssh ,其次,可以使用類似 kubeadm-config.yaml 的配置檔案 init 一個 k8s 叢集。當然 rke 可以有效的管理證書。 # 高可用模式下,一句大白話:無論如何你都需要 Rancher on K8s # k3s 部署 ## etcd 部署 k3s 支援多種外部儲存,例如:SQLite, MySQL,PostgSQL,etcd。Why is etcd? etcd: 高可用部署方便,叢集管理方便,沒有複雜的主從庫搭建,加上 k8s 叢集本身就需要維護 etcd ,所以維護成本較低。 目前 Rancher 官方認證的版本是 etcd v3.3.15 [選擇資料庫](https://docs.rancher.cn/docs/k3s/installation/datastore/_index) ```shell # 準備 3 個節點部署 etcd wget https://github.com/etcd-io/etcd/releases/download/v3.3.15/etcd-v3.3.15-linux-amd64.tar.gz tar xzvf etcd-v3.3.15-linux-amd64.tar.gz -C /data/das/ cp /data/das/k3s-init/etcd-v3.3.15-linux-amd64/etc* /usr/loca/bin # 建立 etcd.service 服務託管於 systemd vim /usr/lib/systemd/system/etcd.service # 建立 etcd 配置檔案 vim /usr/loca/etcd/config # 啟動 etcd systemctl daemon-reload systemctl start etcd systemctl enable etcd ``` ``` [Unit] Description=Etcd Server After=network.target After=network-online.target Wants=network-online.target [Service] Type=notify # 指定環境變數所在 EnvironmentFile=-/usr/local/etcd/config ExecStart=/usr/local/bin/etcd \ --name=${ETCD_NAME} \ --data-dir=${ETCD_DATA_DIR} \ --listen-peer-urls=${ETCD_LISTEN_PEER_URLS} \ --listen-client-urls=${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \ --advertise-client-urls=${ETCD_ADVERTISE_CLIENT_URLS} \ --initial-advertise-peer-urls=${ETCD_INITIAL_ADVERTISE_PEER_URLS} \ --initial-cluster=${ETCD_INITIAL_CLUSTER} \ --initial-cluster-token=${ETCD_INITIAL_CLUSTER} \ --initial-cluster-state=new Restart=on-failure LimitNOFILE=65536 [Install] WantedBy=multi-user.target ``` ```shell #[Member] ##節點名字 ETCD_NAME="etcd01" #資料目錄 ETCD_DATA_DIR="/data/etcd/" #當前節點的ip地址 ETCD_LISTEN_PEER_URLS="http://192.168.1.1:2380" ETCD_LISTEN_CLIENT_URLS="http://192.168.1.1:2379" #[Clustering] ETCD_INITIAL_ADVERTISE_PEER_URLS="http://192.168.1.1:2380" ETCD_ADVERTISE_CLIENT_URLS="http://192.168.1.1:2379" #叢集所有的節點的ip地址 ETCD_INITIAL_CLUSTER="etcd01=http://192.168.1.1:2380,etcd02=http://192.168.1.2:2380,etcd03=http://192.168.1.3:2380" ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster" ETCD_INITIAL_CLUSTER_STATE="new" ``` ## k3s 部署 在兩個節點上部署 k3s server ```shell # 下載部署指令碼 wget http://rancher-mirror.cnrancher.com/k3s/k3s-install.sh cp /data/das/k3s-init/k3s-install.sh /usr/local/bin/install.sh # 下載 k3s 映象 wget http://rancher-mirror.cnrancher.com/k3s/v1.18.2-k3s1/k3s-airgap-images-amd64.tar sudo mkdir -p /var/lib/rancher/k3s/agent/images/ sudo cp ./k3s-airgap-images-amd64.tar /var/lib/rancher/k3s/agent/images/ # 下載 k3s 二進位制檔案 wget http://rancher-mirror.cnrancher.com/k3s/v1.18.2-k3s1/k3s cp /data/das/k3s-init/k3s /usr/local/bin/k3s # 執行 k3s 安裝指令碼 # 跳過遠端安裝 INSTALL_K3S_SKIP_DOWNLOAD=true \ # 叢集名稱 INSTALL_K3S_NAME=rancher-server \ # rancher server 引數配置 --docker 使用 docker 作為容器執行時,--bind-address 繫結節點 INSTALL_K3S_EXEC='server --docker --bind-address=10.50.26.252 --private-registry=https://registry.mydoman.com/rancher-server --write-kubeconfig=/root/.kube/config --write-kubeconfig-mode=644 --node-label asrole=worker --datastore-endpoint="http://10.50.26.252:2379,http://10.50.26.145:2379,http://10.50.26.235:2379" ' \ install.sh # 檢查 k3s-rancher-server 服務是否正常 systemctl status k3s-rancher-server # 等大概 5分鐘左右,檢視 k3s 叢集是否啟動成功 kubectl get pods -A ``` ## rancher 部署 自簽證,Rancher 官方提供了非常完善的簽證指令碼 [簽證](https://docs.rancher.cn/docs/rancher2/installation/options/self-signed-ssl/_index/) ```shell #!/bin/bash -e help () { echo ' ================================================================ ' echo ' --ssl-domain: 生成ssl證書需要的主域名,如不指定則預設為www.rancher.local,如果是ip訪問服務,則可忽略;' echo ' --ssl-trusted-ip: 一般ssl證書只信任域名的訪問請求,有時候需要使用ip去訪問server,那麼需要給ssl證書新增擴充套件IP,多個IP用逗號隔開;' echo ' --ssl-trusted-domain: 如果想多個域名訪問,則新增擴充套件域名(SSL_TRUSTED_DOMAIN),多個擴充套件域名用逗號隔開;' echo ' --ssl-size: ssl加密位數,預設2048;' echo ' --ssl-cn: 國家程式碼(2個字母的代號),預設CN;' echo ' 使用示例:' echo ' ./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ ' echo ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650' echo ' ================================================================' } case "$1" in -h|--help) help; exit;; esac if [[ $1 == '' ]];then help; exit; fi CMDOPTS="$*" for OPTS in $CMDOPTS; do key=$(echo ${OPTS} | awk -F"=" '{print $1}' ) value=$(echo ${OPTS} | awk -F"=" '{print $2}' ) case "$key" in --ssl-domain) SSL_DOMAIN=$value ;; --ssl-trusted-ip) SSL_TRUSTED_IP=$value ;; --ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;; --ssl-size) SSL_SIZE=$value ;; --ssl-date) SSL_DATE=$value ;; --ca-date) CA_DATE=$value ;; --ssl-cn) CN=$value ;; esac done # CA相關配置 CA_DATE=${CA_DATE:-3650} CA_KEY=${CA_KEY:-cakey.pem} CA_CERT=${CA_CERT:-cacerts.pem} CA_DOMAIN=cattle-ca # ssl相關配置 SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf} SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'} SSL_DATE=${SSL_DATE:-3650} SSL_SIZE=${SSL_SIZE:-2048} ## 國家程式碼(2個字母的代號),預設CN; CN=${CN:-CN} SSL_KEY=$SSL_DOMAIN.key SSL_CSR=$SSL_DOMAIN.csr SSL_CERT=$SSL_DOMAIN.crt echo -e "\033[32m ---------------------------- \033[0m" echo -e "\033[32m | 生成 SSL Cert | \033[0m" echo -e "\033[32m ---------------------------- \033[0m" if [[ -e ./${CA_KEY} ]]; then echo -e "\033[32m ====> 1. 發現已存在CA私鑰,備份"${CA_KEY}"為"${CA_KEY}"-bak,然後重新建立 \033[0m" mv ${CA_KEY} "${CA_KEY}"-bak openssl genrsa -out ${CA_KEY} ${SSL_SIZE} else echo -e "\033[32m ====> 1. 生成新的CA私鑰 ${CA_KEY} \033[0m" openssl genrsa -out ${CA_KEY} ${SSL_SIZE} fi if [[ -e ./${CA_CERT} ]]; then echo -e "\033[32m ====> 2. 發現已存在CA證書,先備份"${CA_CERT}"為"${CA_CERT}"-bak,然後重新建立 \033[0m" mv ${CA_CERT} "${CA_CERT}"-bak openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}" else echo -e "\033[32m ====> 2. 生成新的CA證書 ${CA_CERT} \033[0m" openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}" fi echo -e "\033[32m ====> 3. 生成Openssl配置檔案 ${SSL_CONFIG} \033[0m" cat > ${SSL_CONFIG} <> ${SSL_CONFIG} <> ${SSL_CONFIG} done if [[ -n ${SSL_TRUSTED_IP} ]]; then ip=(${SSL_TRUSTED_IP}) for i in "${!ip[@]}"; do echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG} done fi fi echo -e "\033[32m ====> 4. 生成服務SSL KEY ${SSL_KEY} \033[0m" openssl genrsa -out ${SSL_KEY} ${SSL_SIZE} echo -e "\033[32m ====> 5. 生成服務SSL CSR ${SSL_CSR} \033[0m" openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG} echo -e "\033[32m ====> 6. 生成服務SSL CERT ${SSL_CERT} \033[0m" openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \ -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \ -days ${SSL_DATE} -extensions v3_req \ -extfile ${SSL_CONFIG} echo -e "\033[32m ====> 7. 證書製作完成 \033[0m" echo echo -e "\033[32m ====> 8. 以YAML格式輸出結果 \033[0m" echo "----------------------------------------------------------" echo "ca_key: |" cat $CA_KEY | sed 's/^/ /' echo echo "ca_cert: |" cat $CA_CERT | sed 's/^/ /' echo echo "ssl_key: |" cat $SSL_KEY | sed 's/^/ /' echo echo "ssl_csr: |" cat $SSL_CSR | sed 's/^/ /' echo echo "ssl_cert: |" cat $SSL_CERT | sed 's/^/ /' echo echo -e "\033[32m ====> 9. 附加CA證書到Cert檔案 \033[0m" cat ${CA_CERT} >> ${SSL_CERT} echo "ssl_cert: |" cat $SSL_CERT | sed 's/^/ /' echo echo -e "\033[32m ====> 10. 重新命名服務證書 \033[0m" echo "cp ${SSL_DOMAIN}.key tls.key" cp ${SSL_DOMAIN}.key tls.key echo "cp ${SSL_DOMAIN}.crt tls.crt" cp ${SSL_DOMAIN}.crt tls.crt ``` ```shell mkdir /data/das/rancher-key cd /data/das/rancher-key # 執行自簽證指令碼 ./key-create.sh --ssl-domain=rancher.mydoman.com --ssl-truted-ip= # 驗證是否成功 openssl verify -CAfile cacerts.pem tls.cr openssl x509 -in tls.crt -noout -text ``` Rancher 部署 ```shell # 安裝 helm wget http://rancher-mirror.cnrancher.com/helm/v3.4.0/helm-v3.4.0-linux-amd64.tar.gz tar zxvf helm-v3.4.0-linux-amd64.tar.gz -C /data/das/ cp /data/das/linux-amd64/helm /usr/local/bin/ # 建立名稱空間 kubectl create namespace cattle-system # ca證書密文 kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=/data/das/rancher-key/tls.crt --key=/data/das/rancher-key/tls.key kubectl -n cattle-system create secret generic tls-ca --from-file=cacerts.pem # 新增 chat 倉庫,推薦新增 stable 穩定版倉庫,如果需要固定版本可以去 http://mirror.cnrancher.com/ 上面下載 helm repo add rancher-stable https://releases.rancher.com/server-charts/stable # helm install rancher helm install rancher rancher-stable/rancher \ -n cattle-system \ # 使用自簽證 --set ingress.tls.source=secret \ # 是否使用自簽證 --set privateCA=true \ --set additionalTrustedCAs=true \ --set hostname=rancher.mydoman.com # 驗證是否安裝成功 helm list -n cattle-system # 檢查 rancher 服務執行是否正常 kubectl -n cattle-system get pods # 檢視 ingress 地址 kubectl -n cattle-system get ingress ``` ## 填坑之旅 現象: 通過 ingress 地址訪問 rancher 報 404 等錯誤 解決方式: 修改 k3s 自帶的 traefik deployment 啟動引數 ```yaml …… spec: containers: - args: - --configfile=/config/traefik.toml # 新增這一行 - --rancher image: rancher/library-traefik:1.7.19 imagePullPolicy: IfNotPresent …… ``` 現象: 匯入叢集 cattle-system 報錯 http://yourdomain.com 無法解析,不可達 原因: 沒有做域名解析 解決方式: ```shell kubectl -n cattle-system edit deployments.apps cattle-cluster-agent ``` ```yaml # 在 cattle-cluster-agent 新增 host 對映 …… spec: hostAliases: - hostnames: - yourdomain.com ip: 192.168.1.1 …… ``` 現象: k3s 使用 docker 啟動報錯,有異常 原因: docker 使用 systemd cgroup 驅動管理 cgroup 解決方式: ```shell vim /etc/docker/daemon.json systemctl restart docker ``` ```json { # 刪除 exec-opts 配置 "exec-opts": ["native.cgroupdriver=systemd"], "log-driver": "json-file", "log-opts": { "max-size": "100m", "max-file": "3" } , "data-root": "/data/docker", "registry-mirrors": ["https://15v8lrgz.mirror.aliyuncs.com"], "insecure-registries":[ "https://registry.mydoman.com" ] } ``` # 參考文獻 [traefik 官方對 Rancher 有額外支援](https://traefik.tech/providers/rancher/) 備註:具體引數加什麼,需要加上之後 `kubectl -n kube-system logs traefik--` 看一下報錯,現在 k3s 預設安裝 traefik v1.5 [Rancher官方TLS自簽證幫助文件](https://docs.rancher.cn/docs/rancher2/installation/options/self-signed-ssl/_index/) [RancherServer 推薦部署架構](https://docs.rancher.cn/docs/rancher2/overview/architecture-recommendations/_index) [k3s 離線安裝](https://docs.rancher.cn/docs/k3s/installation/airgap/_index) [k3s 資料儲存選項](https://docs.rancher.cn/docs/k3s/installation/datastore/_index) [Rancher中國區倉庫](http://mirror.cnrancher.com/)備註:常用 k8s 版本都有 [Rancher在阿里雲的映象倉庫](registry.cn-hangzhou.aliyuncs.com)備註:中國區倉庫裡面 /rancher/v/ 裡面會有 image-list.txt 這些 image 前面加上映象倉庫地址,基本都可以拉得

相關推薦

Rancher On K3s 可用架構部署

# Rancher 推薦部署架構 ![](https://docs.rancher.cn/img/rancher/rancher-architecture-separation-of-rancher-server.svg) k3s 模式 ![](https://docs.rancher.cn/img/ran

Canal可用架構部署

![](https://img2020.cnblogs.com/blog/1769816/202103/1769816-20210322104504350-1651100212.png) ## 一、前言 `canal` 是阿里的一款開源專案,純 `Java` 開發。基於資料庫增量日誌解析,提供增量資料訂閱&a

CentOS 7 上部署Memcached 主主復制 + keepalived 可用架構

優先 instance fir ble src sha 編譯環境 改網卡名 max 實驗環境 Memcached主主復制是指在任意一臺Memcached服務器修改數據都會被同步到另外一臺,但是Memcached API客戶端是無法判斷連接到哪一臺Memcached服務器的,

在CentOS7上部署Memcached主主復制+Keepalived可用架構

track bin dba 1.8 修改 oot 腳本 ever defs 原理: Memcached主主復制是指在任意一臺Memcached服務器修改數據都會被同步到另外一臺,但是Memcached API客戶端是無法判斷連接到哪一臺Memcached服務器的,所以需要設

MySQL可用架構-MHA環境部署記錄

  一、MHA介紹 1 2 3

10-redis cluster的自動化slave遷移實現更強的可用架構部署方案

slave的自動遷移 比如現在有10個master,每個有1個slave,然後新增了3個slave作為冗餘,有的master就有2個slave了,有的master出現了salve冗餘 如果某個master的slave掛了,那麼redis cluster會自動

MySQL之可用架構—MHA

mysql mha MySQL高可用目前有heartbeat+drbd、MHA、MySQL復制等幾種較成熟的方案,heartbeat+drbd的方案可擴展性較差,而且讀寫都由主服務器負責,從庫並不提供讀功能,適合於數據增長量不大、一致性要求很高的環境,如銀行、金融業等。今天重點講下MHA的高可用架構。

MySQL可用架構之MHA

mysql1、關於MHAMHA(Master HA)是一款開源的MySQL的高可用程序,它為MySQL主從復制架構提供了automating master failover功能。MHA在監控到master節點故障時,會提升其中擁有的最新數據的slave節點成為新的master節點,在此期間,MHA會通過其它從

CentOS 搭建 Mysql MMM 可用架構

install 高可用 padding log isa har mmm_mond replica tro 環境 CentOS Mysql 5.1 前提 安裝了EPEL,詳細安裝步驟請參照 http://blog.csdn.net/robinsonmhj/articl

京東618:商城交易平臺的可用架構之路

資源 系統 定位問題 修復 tle 峰值 網絡 寫入 差異 據騰訊科技報道,6月18日零點,京東全民年中購物節拉開了高潮的序幕。第一個小時的銷售額超過去年同期的250%。從淩晨開始的海量訂單讓6月1日就拉開序幕的京東年中購物節奏出最強音,大量用戶瞬間湧入,峰值訂單被不斷刷新

mysql mha可用架構的安裝

pin 變量 log-bin dump 控制 masters 否則 ava 1.5 MMM無法全然地保證數據的一致性,所以MMM適用於對數據的一致性要求不是非常高。可是又想最大程度的保證業務可用性的場景對於那些對數據一致性要求非常高的業務,非常不建議採用MMM的這樣

單表60億記錄等大數據場景的MySQL優化和運維之道 | 可用架構

點數據 dump fwe wide 更新 lock redo 可靠 index 015-08-09 楊尚剛 高可用架構 此文是根據楊尚剛在【QCON高可用架構群】中,針對MySQL在單表海量記錄等場景下,業界廣泛關註的MySQL問題的經驗分享整理而成,轉發請註明出處。 楊

可用架構(轉載)

get ges 其他 廣泛 優先 ssi 聯網 asp.net 目前 一、可用性度量與考核   首先,不得不說:要保證一個網站永遠完全可用幾乎是一件不可能完成的任務(Mission Impossible,是不是有點碟中諜的感覺)。   (1)如何度量網站可用性?   一

互聯網可用架構,為什麽要服務化?

新的 公司 拼接 垂直拆分 nginx 而是 擴容 導致 演進   一、互聯網高可用架構,為什麽要服務化?    【服務化之前高可用架構】    在服務化之前,互聯網的高可用架構大致是這樣一個架構:    (1)用戶端是瀏覽器browser,APP客戶端    (2)後端入

實現基於Haproxy_NAT+Keepalived負載均衡可用架構

haproxy實驗思路:1.做這個實驗首先可以想象一個場景,用戶訪問webserver的時候首先會經過調度器,首先需要明白的一點就是一般公司一般是在內網,客戶端是通過外網訪問webserver的。2.haproxy是一個負載均衡器,Keepalived通過VRRP功能能再結合LVS負載均衡軟件即可部署一個高性

實現基於Haproxy+Keepalived負載均衡可用架構

keepalived+haproxy一:環境準備centos系統服務器4臺,兩臺用於做haproxy主從架構,兩臺作為後端server,服務器配置好yum源,防火墻關閉,關閉selinux,各節點時鐘服務同步,各節點之間可以通過主機名互相通信。二:安裝步驟1.iptables –F &&set

mysql實現可用架構之MHA

行數據 reading glob restart 比較 實驗 是否 其余 one 一、簡介   MHA(Master HA)是一款開源的 MySQL 的高可用程序,它為 MySQL 主從復制架構提供了 automating master failover 功能。MHA 在監

基於DR模式的keepalived主從模式可用架構搭建

linuxkeepalived高可用一:架構圖示2.keepalived是什麽?Keepalived的作用是檢測服務器的狀態,如果有一臺web服務器宕機 ,或工作出現故障,Keepalived將檢測到,通過VRRP協議,將有故障的服務器從系統中剔除,同時使用其他服務器代替該服務器的工作,當服務器工作正常後 K

SaltStack實例:構建可用架構

saltstack、構建、高可用 本章主要介紹通過saltstack構建系統高可用架構,以滿足業務需求。通過Haproxy實現負載均衡調度後端Nginx+PHP服務器,Keepalived實現系統高可用功能,Memcached存儲session會話,後端數據庫采用Mysql並且實現主從復制以及讀寫分

LVS+Keepalied可用架構

## 流量 load ref extra 沒有 star entos address LVS+Kee