06-2.部署 kube-apiserver 组件

本文档讲解使用 keepalived 和 haproxy 部署一个 3 节点高可用 master 集群的步骤，对应的 LB VIP 为环境变量 ${MASTER_VIP}。

准备工作

下载最新版本的二进制文件、安装和配置 flanneld 参考：

创建 kubernetes 证书和私钥

创建证书签名请求：

source /opt/k8s/bin/environment.shcat > kubernetes-csr.json <

• hosts 字段指定授权使用该证书的 IP 或域名列表，这里列出了 VIP 、apiserver 节点 IP、kubernetes 服务 IP 和域名；
• 域名最后字符不能是 .(如不能为 kubernetes.default.svc.cluster.local.)，否则解析时失败，提示： x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."；
• 如果使用非 cluster.local 域名，如 opsnull.com，则需要修改域名列表中的最后两个域名为：kubernetes.default.svc.opsnull、kubernetes.default.svc.opsnull.com

• kubernetes 服务 IP 是 apiserver 自动创建的，一般是 --service-cluster-ip-range 参数指定的网段的第一个IP，后续可以通过如下命令获取：

  $ kubectl get svc kubernetesNAME         CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGEkubernetes   10.254.0.1   
        
                 443/TCP   1d
        

生成证书和私钥：

cfssl gencert -ca=/etc/kubernetes/cert/ca.pem \  -ca-key=/etc/kubernetes/cert/ca-key.pem \  -config=/etc/kubernetes/cert/ca-config.json \ -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes ls kubernetes*pem

将生成的证书和私钥文件拷贝到 master 节点：

source /opt/k8s/bin/environment.shfor node_ip in ${NODE_IPS[@]}  do echo ">>> ${node_ip}" ssh root@${node_ip} "mkdir -p /etc/kubernetes/cert/ && sudo chown -R k8s /etc/kubernetes/cert/" scp kubernetes*.pem k8s@${node_ip}:/etc/kubernetes/cert/ done

• k8s 账户可以读写 /etc/kubernetes/cert/ 目录；

创建加密配置文件

source /opt/k8s/bin/environment.shcat > encryption-config.yaml <

将加密配置文件拷贝到 master 节点的 /etc/kubernetes 目录下：

source /opt/k8s/bin/environment.shfor node_ip in ${NODE_IPS[@]}  do echo ">>> ${node_ip}" scp encryption-config.yaml root@${node_ip}:/etc/kubernetes/ done

替换后的 encryption-config.yaml 文件：

创建 kube-apiserver systemd unit 模板文件

source /opt/k8s/bin/environment.shcat > kube-apiserver.service.template <

• --experimental-encryption-provider-config：启用加密特性；
• --authorization-mode=Node,RBAC： 开启 Node 和 RBAC 授权模式，拒绝未授权的请求；
• --enable-admission-plugins：启用 ServiceAccount 和 NodeRestriction；
• --service-account-key-file：签名 ServiceAccount Token 的公钥文件，kube-controller-manager 的 --service-account-private-key-file 指定私钥文件，两者配对使用；
• --tls-*-file：指定 apiserver 使用的证书、私钥和 CA 文件。--client-ca-file 用于验证 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)请求所带的证书；
• --kubelet-client-certificate、--kubelet-client-key：如果指定，则使用 https 访问 kubelet APIs；需要为证书对应的用户(上面 kubernetes*.pem 证书的用户为 kubernetes) 用户定义 RBAC 规则，否则访问 kubelet API 时提示未授权；
• --bind-address： 不能为 127.0.0.1，否则外界不能访问它的安全端口 6443；
• --insecure-port=0：关闭监听非安全端口(8080)；
• --service-cluster-ip-range： 指定 Service Cluster IP 地址段；
• --service-node-port-range： 指定 NodePort 的端口范围；
• --runtime-config=api/all=true： 启用所有版本的 APIs，如 autoscaling/v2alpha1；
• --enable-bootstrap-token-auth：启用 kubelet bootstrap 的 token 认证；
• --apiserver-count=3：指定集群运行模式，多台 kube-apiserver 会通过 leader 选举产生一个工作节点，其它节点处于阻塞状态；
• User=k8s：使用 k8s 账户运行；

为各节点创建和分发 kube-apiserver systemd unit 文件

替换模板文件中的变量，为各节点创建 systemd unit 文件：

source /opt/k8s/bin/environment.shfor (( i=0; i < 3; i++ ))  do sed -e "s/##NODE_NAME##/${NODE_NAMES[i]}/" -e "s/##NODE_IP##/${NODE_IPS[i]}/" kube-apiserver.service.template > kube-apiserver-${NODE_IPS[i]}.service done ls kube-apiserver*.service

• NODE_NAMES 和 NODE_IPS 为相同长度的 bash 数组，分别为节点名称和对应的 IP；

分发生成的 systemd unit 文件：

source /opt/k8s/bin/environment.shfor node_ip in ${NODE_IPS[@]}  do echo ">>> ${node_ip}" ssh root@${node_ip} "mkdir -p /var/log/kubernetes && chown -R k8s /var/log/kubernetes" scp kube-apiserver-${node_ip}.service root@${node_ip}:/etc/systemd/system/kube-apiserver.service done

• 必须先创建日志目录；
• 文件重命名为 kube-apiserver.service;

替换后的 unit 文件：

启动 kube-apiserver 服务

source /opt/k8s/bin/environment.shfor node_ip in ${NODE_IPS[@]}  do echo ">>> ${node_ip}" ssh root@${node_ip} "systemctl daemon-reload && systemctl enable kube-apiserver && systemctl restart kube-apiserver" done

检查 kube-apiserver 运行状态

source /opt/k8s/bin/environment.shfor node_ip in ${NODE_IPS[@]}  do echo ">>> ${node_ip}" ssh root@${node_ip} "systemctl status kube-apiserver |grep 'Active:'" done

确保状态为 active (running)，否则到 master 节点查看日志，确认原因：

journalctl -u kube-apiserver

打印 kube-apiserver 写入 etcd 的数据

source /opt/k8s/bin/environment.shETCDCTL_API=3 etcdctl \    --endpoints=${
     ETCD_ENDPOINTS} \    --cacert=/etc/kubernetes/cert/ca.pem \ --cert=/etc/etcd/cert/etcd.pem \ --key=/etc/etcd/cert/etcd-key.pem \ get /registry/ --prefix --keys-only

检查集群信息

$ kubectl cluster-infoKubernetes master is running at https://172.27.129.253:8443To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.$ kubectl get all --all-namespaces NAMESPACE NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE default service/kubernetes ClusterIP 10.254.0.1 
    
      443/TCP 35m $ kubectl get componentstatuses NAME STATUS MESSAGE ERROR controller-manager Unhealthy Get https://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: getsockopt: connection refused scheduler Unhealthy Get https://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: getsockopt: connection refused etcd-1 Healthy { "health":"true"} etcd-0 Healthy { "health":"true"} etcd-2 Healthy { "health":"true"}
    

注意：

1. 如果执行 kubectl 命令式时输出如下错误信息，则说明使用的 ~/.kube/config 文件不对，请切换到正确的账户后再执行该命令：

   The connection to the server localhost:8080 was refused - did you specify the right host or port?

2. 执行 kubectl get componentstatuses 命令时，apiserver 默认向 127.0.0.1 发送请求。当 controller-manager、scheduler 以集群模式运行时，有可能和 kube-apiserver 不在一台机器上，这时 controller-manager 或 scheduler 的状态为 Unhealthy，但实际上它们工作正常。

检查 kube-apiserver 监听的端口

$ sudo netstat -lnpt|grep kubetcp        0      0 192.168.1.106:6443 0.0.0.0:* LISTEN 13075/kube-apiserve

• 6443: 接收 https 请求的安全端口，对所有请求做认证和授权；
• 由于关闭了非安全端口，故没有监听 8080；

授予 kubernetes 证书访问 kubelet API 的权限

在执行 kubectl exec、run、logs 等命令时，apiserver 会转发到 kubelet。这里定义 RBAC 规则，授权 apiserver 调用 kubelet API。

$ kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes

集群状态已经正常了，如下图

链接：https://www.orchome.com/1195

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。