日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
CentOS 7.4下二進(jìn)制安裝 Kubernetes 1.12

軟件環(huán)境

軟件版本
操作系統(tǒng)centos 7.4
Docker18-ce
Kubernetes1.12

服務(wù)器角色

角色IP組件
k8s-master192.168.0.205kube-apiserver, kuber-controller-manager, kube-scheduler, etcd
k8s-node1192.168.0.206kube-let, kuber-proxy, docker, flannel, etcd
k8s-node2192.168.0.207kube-let, kuber-proxy, docker, flannel, etcd

架構(gòu)圖

在 master 上安裝 ansible 管理集群

yum install ansible -y

# 配置ansible 
cat > /etc/ansible/hosts <

開放防火墻

ansible all -m shell -a 'firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept"' ansible all -m shell -a 'firewall-cmd --reload'

生成證書

在 k8s-master 上執(zhí)行

使用cfssl來生成自簽證書,先下載cfssl工具:

mkdir /iba/tools -p
cd /iba/tools

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64 

mv cfssl_linux-amd64 /usr/local/bin/cfssl 
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson 
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

創(chuàng)建以下三個(gè)文件

cat > ca-config.json <

ca-config.json:可以定義多個(gè) profiles,分別指定不同的過期時(shí)間、使用場景等參數(shù);后續(xù)在簽名證書時(shí)使用某個(gè) profile;
signing:表示該證書可用于簽名其它證書;生成的 ca.pem 證書中 CA=TRUE;
server auth:表示client可以用該 CA 對(duì)server提供的證書進(jìn)行驗(yàn)證;
client auth:表示server可以用該CA對(duì)client提供的證書進(jìn)行驗(yàn)證;

cat > ca-csr.json <

"CN":Common Name, 組件從證書中提取該字段作為請(qǐng)求的用戶名 (User Name);瀏覽器使用該字段驗(yàn)證網(wǎng)站是否合法;

cat > server-csr.json <

生成證書

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

# 生成了 ca.pem ca-key.pem ca.csr

ca.pem,ca-key.pem,ca.csr 組成了一個(gè)自簽名的CA機(jī)構(gòu)

證書名稱作用
ca.pemCA 根證書文件
ca-key.pem服務(wù)端私鑰,用于對(duì)客戶端請(qǐng)求的解密和簽名
ca.csr證書簽名請(qǐng)求,用于交叉簽名或重新簽名
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server

# 生成了 server.csr server-key.pem  server.pem

部署Etcd

cd /iba/tools
wget https://github.com/etcd-io/etcd/releases/download/v3.2.12/etcd-v3.2.12-linux-amd64.tar.gz

mkdir /opt/etcd/{bin,cfg,ssl} -p
tar zxf etcd-v3.2.12-linux-amd64.tar.gz
mv etcd-v3.2.12-linux-amd64/{etcd,etcdctl} /opt/etcd/bin/

創(chuàng)建etcd配置文件:

cat > /opt/etcd/cfg/etcd <

備注

ETCD_NAME                           # 節(jié)點(diǎn)名稱
ETCD_DATA_DIR                       # 數(shù)據(jù)目錄
ETCD_LISTEN_PEER_URLS               # 集群通信監(jiān)聽地址
ETCD_LISTEN_CLIENT_URLS             # 客戶端訪問監(jiān)聽地址
ETCD_INITIAL_ADVERTISE_PEER_URLS    # 集群通告地址
ETCD_ADVERTISE_CLIENT_URLS          # 客戶端通告地址
ETCD_INITIAL_CLUSTER                # 集群節(jié)點(diǎn)地址
ETCD_INITIAL_CLUSTER_TOKEN          # 集群 Token
ETCD_INITIAL_CLUSTER_STATE          # 加入集群的當(dāng)前狀態(tài),new 是新集群,existing 表示加入已有

systemd管理etcd:

cat > /usr/lib/systemd/system/etcd.service <<-'EOF' [Unit] Description=Etcd Server After=network.target After=network-online.target Wants=network-online.target [Service] Type=notify EnvironmentFile=/opt/etcd/cfg/etcd ExecStart=/opt/etcd/bin/etcd \ --name=${ETCD_NAME} \ --data-dir=${ETCD_DATA_DIR} \ --listen-peer-urls=${ETCD_LISTEN_PEER_URLS} \ --listen-client-urls=${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \ --advertise-client-urls=${ETCD_ADVERTISE_CLIENT_URLS} \ --initial-advertise-peer-urls=${ETCD_INITIAL_ADVERTISE_PEER_URLS} \ --initial-cluster=${ETCD_INITIAL_CLUSTER} \ --initial-cluster-token=${ETCD_INITIAL_CLUSTER_TOKEN} \ --cert-file=/opt/etcd/ssl/server.pem \ --key-file=/opt/etcd/ssl/server-key.pem \ --peer-cert-file=/opt/etcd/ssl/server.pem \ --peer-key-file=/opt/etcd/ssl/server-key.pem \ --trusted-ca-file=/opt/etcd/ssl/ca.pem \ --peer-trusted-ca-file=/opt/etcd/ssl/ca.pem Restart=on-failure LimitNOFILE=65536 [Install] WantedBy=multi-user.target EOF

把剛才生成的證書拷貝到配置文件中的位置:

cd /iba/tools
cp ca*pem server*pem /opt/etcd/ssl/

把二進(jìn)制文件和配置文件復(fù)制到 nodes 節(jié)點(diǎn)上

ansible node -m shell -a 'mkdir /opt/etcd/{bin,cfg,ssl} -p' cd /opt/etcd/bin/
ansible node -m copy -a 'src=etcd dest=/opt/etcd/bin/' ansible node -m copy -a 'src=etcdctl dest=/opt/etcd/bin/' ansible node -m shell -a 'chmod +x /opt/etcd/bin/etcd' ansible node -m shell -a 'chmod +x /opt/etcd/bin/etcdctl' 
cd /opt/etcd/ssl/
ansible node -m copy -a 'src=ca-key.pem dest=/opt/etcd/ssl/' ansible node -m copy -a 'src=ca.pem dest=/opt/etcd/ssl/' ansible node -m copy -a 'src=server-key.pem dest=/opt/etcd/ssl/' ansible node -m copy -a 'src=server.pem dest=/opt/etcd/ssl/' ansible node -m shell -a 'ls /opt/etcd/ssl/' 
ansible node -m copy -a 'src=/opt/etcd/cfg/etcd dest=/opt/etcd/cfg/' ansible node -m copy -a 'src=/usr/lib/systemd/system/etcd.service dest=/usr/lib/systemd/system/'

修改 node1,node2 上面的 /opt/etcd/cfg/etcd 為對(duì)應(yīng)的值

ETCD_NAME                            # 修改名稱
ETCD_LISTEN_PEER_URLS                # 修改IP
ETCD_LISTEN_CLIENT_URLS              # 修改IP
ETCD_INITIAL_ADVERTISE_PEER_URLS     # 修改IP
ETCD_ADVERTISE_CLIENT_URLS           # 修改IP

啟動(dòng) etcd

ansible node -m shell -a 'systemctl enable etcd' ansible node -m shell -a 'systemctl start etcd '

檢查etcd集群狀態(tài)

cd /opt/etcd/ssl

/opt/etcd/bin/etcdctl \
--ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem \
--endpoints="https://192.168.0.205:2379,https://192.168.0.206:2379,https://192.168.0.207:2379" \
cluster-health

網(wǎng)站欄目:CentOS 7.4下二進(jìn)制安裝 Kubernetes 1.12
轉(zhuǎn)載來于:http://www.dlmjj.cn/article/cdipdii.html