目录
前言
一、环境部署
二、master02 节点部署
1、拷贝相关文件
2、修改配置文件
3、启动各服务并设置开机自启
4、 查看node节点状态
三、负载均衡部署
1、部署 nginx 服务
1.1 编译安装 nginx
1.2 修改 nginx 配置文件
2、部署 keepalived 服务
2.1 yum安装 keepalived 服务
2.2 修改keepalived配置文件
2.3 创建nginx状态检查脚本
2.5 直接拷贝配置文件和脚本到ngkeep02节点
2.6 启动keepalived服务
2.5 修改node节点上的配置文件中的server为VIP地址
3、在 ngkeep01 上查看节点的连接状态
4、测试
四、部署 Dashboard
1、什么是 Dashboard
2、安装 Dashboard
3、使用输出的token登录Dashboard
前言
Kubernetes作为当今最流行的容器编排平台之一,为企业提供了高效管理和部署容器化应用的解决方案。然而,构建一个稳定、可靠的Kubernetes集群对于确保应用程序的高可用性至关重要
在本文中,我们将探讨如何设计和部署一个多Master高可用集群架构,多Master节点架构旨在避免单点故障,并提高集群的可用性,确保业务持续运行
实际生产环境架构设计
-
Master节点数量: 至少部署3个Master节点,以实现高可用性。这些Master节点将共同管理集群状态,并通过选举机制选择活跃的Leader节点
-
node节点数量:至少3台Node节点可以提供一定程度的高可用性,因为即使一台Node节点出现故障,集群仍然可以继续运行。更多的Node节点可以提供更高级别的可用性和负载均衡
-
负载均衡器: 在Master节点前部署负载均衡器(如HAProxy、Nginx等),用于将流量均衡到不同的Master节点上,确保请求能够被正确路由到活跃的Leader节点
-
Etcd集群: 部署独立的Etcd集群,用于存储Kubernetes集群的状态信息。Etcd是Kubernetes的数据存储后端,需要保证其高可用性和数据一致性
-
故障恢复和自动化: 配置故障恢复机制,包括自动故障转移、自动扩展和自动化部署,以减少人为干预并提高集群的稳定性
本次多 master 高可用集群架构部署的案例,使用的机器相对较少,可作参考
一、环境部署
服务器 | 主机名 | IP地址 | 主要软件 |
---|---|---|---|
k8s集群 master01 节点 (etcd集群节点1) | master01 | 172.16.12.10 | kube-apiserver、kube-controller-manager、kube-scheduler、etcd |
k8s集群 master02 节点 | master02 | 172.16.12.13 | kube-apiserver、kube-controller-manager、kube-scheduler、etcd |
k8s集群 node01 节点 (etcd集群节点2) | node01 | 172.16.12.11 | kubelet、kube-proxy docker、etcd |
k8s集群 node02 节点 (etcd集群节点3) | node02 | 172.16.12.12 | kubelet、kube-proxy docker、etcd |
负载均衡 nginx+keepalive01(master) | ngkeep01 | 172.16.12.15 | nginx、keepalive |
负载均衡 nginx+keepalive02(backup) | ngkeep02 | 172.16.12.16 | nginx、keepalive |
虚拟 VIP 地址 | 172.16.12.100 |
(1)所有设备关闭防火墙,清空iptables规则
systemctl disable --now firewalld
iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X
(2)所有设备关闭selinux
setenforce 0 #临时关闭
sed -i 's/enforcing/disabled/' /etc/selinux/config #永久关闭
(3)所有设备关闭swap
swapoff -a #临时关闭
sed -ri 's/.*swap.*/#&/' /etc/fstab #永久关闭
(4)修改所有设备的主机名
[root@localhost ~]#hostnamectl set-hostname master01
[root@localhost ~]#bash[root@localhost ~]#hostnamectl set-hostname master02
[root@localhost ~]#bash[root@localhost ~]#hostnamectl set-hostname node01
[root@localhost ~]#bash[root@localhost ~]#hostnamectl set-hostname node02
[root@localhost ~]#bash[root@localhost ~]#hostnamectl set-hostname ngkeep01
[root@localhost ~]#bash[root@localhost ~]#hostnamectl set-hostname ngkeep02
[root@localhost ~]#bash
(5) 所有设备修改本地的hosts文件
cat >> /etc/hosts << EOF
172.16.12.10 master01
172.16.12.13 master02
172.16.12.11 node01
172.16.12.12 node02
172.16.12.15 ngkeep01
172.16.12.16 ngkeep02
EOF
(7)所有设备调整内核参数
cat > /etc/sysctl.d/k8s.conf << EOF
#开启网桥模式,可将网桥的流量传递给iptables链
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
#关闭ipv6协议
net.ipv6.conf.all.disable_ipv6=1
net.ipv4.ip_forward=1
EOF
sysctl --system #重新加载系统的配置参数
(8)所有设备实现时间同步
yum install ntpdate -y
ntpdate time.windows.com
etcd 集群和 k8s 单 master 集群架构的部署请参考:
http://t.csdnimg.cn/os5M9
必须注意 master01 节点上执行签发证书脚本,生成的CA证书、相关组件的证书和私钥!
自签发证书脚本中的ip地址必须得添加虚拟VIP地址、nginx+keepalive01和nginx+keepalive02 服务器的地址
二、master02 节点部署
1、拷贝相关文件
从 master01 节点上拷贝证书文件、各master组件的配置文件和服务管理文件到 master02 节点
[root@master01 ~]#scp -r /opt/etcd/ root@172.16.12.13:/opt/
[root@master01 ~]#scp -r /opt/kubernetes/ root@172.16.12.13:/opt
[root@master01 ~]#scp -r /root/.kube root@172.16.12.13:/root
[root@master01 ~]#scp /usr/lib/systemd/system/{kube-apiserver,kube-controller-manager,kube-scheduler}.service root@172.16.12.13:/usr/lib/systemd/system/
2、修改配置文件
修改配置文件 kube-apiserver 中的IP
[root@master02 ~]#vim /opt/kubernetes/cfg/kube-apiserver
KUBE_APISERVER_OPTS="--logtostderr=true \
--v=4 \
--etcd-servers=https://172.16.12.10:2379,https://172.16.12.11:2379,https://172.16.12.12:2379 \
--bind-address=172.16.12.13 \ #修改成master02本机的apiserver的ip地址
--secure-port=6443 \
--advertise-address=172.16.12.13 \ #修改成master02本机的apiserver的ip地址
......
3、启动各服务并设置开机自启
在 master02 节点上启动各服务并设置开机自启
[root@master02 ~]#systemctl start kube-apiserver.service
[root@master02 ~]#systemctl enable kube-apiserver.service
[root@master02 ~]#systemctl start kube-controller-manager.service
[root@master02 ~]#systemctl enable kube-controller-manager.service
[root@master02 ~]#systemctl start kube-scheduler.service
[root@master02 ~]#systemctl enable kube-scheduler.service
4、 查看node节点状态
[root@master02 ~]#ln -s /opt/kubernetes/bin/* /usr/local/bin/
[root@master02 ~]#kubectl get nodes
[root@master02 ~]#kubectl get nodes -o wide
#-o=wide:输出额外信息;对于Pod,将输出Pod所在的Node名
#此时在master02节点查到的node节点状态仅是从etcd查询到的信息,而此时node节点实际上并未与master02节点建立通信连接,因此需要使用一个VIP把node节点与master节点都关联起来
三、负载均衡部署
配置load balancer集群双机热备负载均衡(nginx实现负载均衡,keepalived实现双机热备)
1、部署 nginx 服务
1.1 编译安装 nginx
在ngkeep01、ngkeep02节点上都需编译安装nginx,这里以ngkeep01为例
①下载安装包
官网下载安装包,nginx官网地址:www.nginx.org,进入后找到右边菜单栏的download,进入后选择自己想要下载的版本可以直接下载到本地,然后传到Linux系统中或右键复制该包的下载连接在Linux系统中wget此地址直接下载到Linux系统中
[root@ngkeep01 ~]#cd /data #切换到想要的目录下载安装包
[root@ngkeep01 data]#wget http://nginx.org/download/nginx-1.18.0.tar.gz
② 安装包下载完成后解压到当前目录,并安装编译需要的依赖环境和工具,再新建nginx用户便于管理
[root@ngkeep01 data]#tar xf nginx-1.18.0.tar.gz #解压源码包
[root@ngkeep01 data]#cd nginx-1.18.0/ #切换目录
#下载安装所需编译工具
[root@ngkeep01 nginx-1.18.0]#yum -y install gcc gcc-c++ pcre-devel openssl-devel zlib-devel openss1 openss1-deve1
#新建nginx用户便于管理
[root@ngkeep01 nginx-1.18.0]#useradd -M -s /sbin/nologin nginx
③编译安装三步骤(./configure、make、make install)
#执行脚本,指定安装位置、指定用户为nginx用户、指定组为nginx组、指定安装的模块
[root@ngkeep01 nginx-1.18.0]#./configure --prefix=/apps/nginx \
--user=nginx \
--group=nginx \
--with-http_ssl_module \
--with-http_v2_module \
--with-http_realip_module \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--with-pcre \
--with-stream \
--with-stream_ssl_module \
--with-stream_realip_module#将所有源代码翻译成二进制,形成一个可执行文件
[root@ngkeep01 nginx-1.18.0]#make -j2
#将执行文件及相关的依赖文件拷贝到指定目录中
[root@ngkeep01 nginx-1.18.0]#make install
④修改权限
[root@ngkeep01 ~]#chown -R nginx.nginx /apps/nginx
⑤创建软链接,便于tab键补全
[root@ngkeep01 ~]#ln -s /apps/nginx/sbin/nginx /usr/bin
⑥设置配置文件关键词高亮
[root@ngkeep01 ~]#cp -r /data/nginx-1.18.0/contrib/vim/* /usr/share/vim/vimfiles/
⑦ 创建nginx自启动文件并启动
[root@ngkeep01 ~]#vim /usr/lib/systemd/system/nginx.service
[Unit]
Description=nginx - high performance web server
Documentation=http://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target
[Service]
Type=forking
PIDFile=/apps/nginx/logs/nginx.pid
ExecStart=/apps/nginx/sbin/nginx -c /apps/nginx/conf/nginx.conf #注意启动文件位置
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID
LimitNOFILE=100000
[Install]
WantedBy=multi-user.target[root@ngkeep01 ~]#systemctl daemon-reload #重新加载配置
[root@ngkeep01 ~]#systemctl enable --now nginx #开机自启并立即启动
1.2 修改 nginx 配置文件
ngkeep01节点操作:
修改 nginx 配置文件,配置四层反向代理负载均衡,指定 k8s 群集两台master的节点ip和6443端口
[root@ngkeep01 ~]#vim /apps/nginx/conf/nginx.conf……
events {worker_connections 1024;
}#添加
stream {log_format main '$remote_addr $upstream_addr - [$time_local] $status $upstream_bytes_sent';access_log /apps/nginx/logs/k8s-access.log main;upstream k8s-apiserver {server 172.16.12.10:6443;server 172.16.12.13:6443;}server {listen 6443;proxy_pass k8s-apiserver;}
}
……
#检查配置文件语法
[root@ngkeep01 ~]#nginx -t
#重新加载nginx配置文件,并查看已监听6443端口
[root@ngkeep01 ~]#nginx -s reload
[root@ngkeep01 ~]#ss -natp | grep nginx
#ngkeep01 与ngkeep02 的nginx配置文件一样,直接将 ngkeep01 的nginx配置文件拷贝到 ngkeep02 上
[root@ngkeep01 ~]#scp /apps/nginx/conf/nginx.conf ngkeep02:/apps/nginx/conf/nginx.conf
ngkeep02节点操作:
#配置文件被覆盖后,需重新加载nginx服务
[root@ngkeep02 ~]# nginx -s reload
[root@ngkeep02 ~]#ss -natp | grep nginx
2、部署 keepalived 服务
2.1 yum安装 keepalived 服务
在ngkeep01、ngkeep02节点上都需安装keepalived服务
[root@ngkeep01 ~]#yum install keepalived -y
2.2 修改keepalived配置文件
ngkeep01节点操作:
[root@ngkeep01 ~]#vim /etc/keepalived/keepalived.conf
! Configuration File for keepalivedglobal_defs {# 接收邮件地址notification_email {acassen@firewall.locfailover@firewall.locsysadmin@firewall.loc}# 邮件发送地址notification_email_from Alexandre.Cassen@firewall.locsmtp_server 127.0.0.1smtp_connect_timeout 30router_id NGINX_MASTER #lb01节点的为 NGINX_MASTER,lb02节点的为 NGINX_BACKUP
}#添加一个周期性执行的脚本
vrrp_script check_nginx {script "/apps/nginx/check_nginx.sh" #指定检查nginx存活的脚本路径
}vrrp_instance VI_1 {state MASTER #lb01节点的为 MASTER,lb02节点的为 BACKUPinterface ens33 #指定网卡名称 ens33virtual_router_id 51 #指定vrid,两个节点要一致priority 100 #lb01节点的为 100,lb02节点的为 90advert_int 1authentication {auth_type PASSauth_pass 1111}virtual_ipaddress {172.16.12.100/24 #指定 VIP}track_script {check_nginx #指定vrrp_script配置的脚本}
}
2.3 创建nginx状态检查脚本
ngkeep01节点操作:
[root@ngkeep01 ~]#vim /apps/nginx/check_nginx.sh
#!/bin/bash
#egrep -cv "grep|$$" 用于过滤掉包含grep 或者 $$ 表示的当前Shell进程ID,即脚本运行的当前进程ID号
count=$(ps -ef | grep nginx | egrep -cv "grep|$$")if [ "$count" -eq 0 ];thensystemctl stop keepalived
fi#添加执行权限
[root@ngkeep01 ~]#chmod +x /apps/nginx/check_nginx.sh
2.5 直接拷贝配置文件和脚本到ngkeep02节点
ngkeep01节点操作:
[root@ngkeep01 ~]#scp /etc/keepalived/keepalived.conf ngkeep02:/etc/keepalived/keepalived.conf
[root@ngkeep01 ~]#scp /apps/nginx/check_nginx.sh ngkeep02:/apps/nginx/
ngkeep02节点操作:
#修改ngkeep02节点上的keepalived配置文件
[root@ngkeep02 logs]# vim /etc/keepalived/keepalived.conf
! Configuration File for keepalived……smtp_connect_timeout 30router_id NGINX_BACKUP #需要修改,和ngkeep01的id不一样
}vrrp_script check_nginx {script "/apps/nginx/check_nginx.sh"
}vrrp_instance VI_1 {state BACKUP #需要修改成BACKUPinterface ens33virtual_router_id 51priority 90 #需要修改优先级advert_int 1
……
2.6 启动keepalived服务
在ngkeep01、ngkeep02节点上都需重新启动keepalived服务,这里以ngkeep01为例
一定要先启动了nginx服务,再启动keepalived服务
[root@ngkeep01 ~]#systemctl enable --now keepalived
[root@ngkeep01 ~]#ip a #查看VIP是否生成
2.5 修改node节点上的配置文件中的server为VIP地址
所有的node节点上的都要修改bootstrap.kubeconfig ,kubelet.kubeconfig配置文件中的server为VIP地址,这里以node01节点为例
[root@node01 ~]#cd /opt/kubernetes/cfg/
[root@node01 cfg]#vim bootstrap.kubeconfig
server: https://172.16.12.100:6443[root@node01 cfg]#vim kubelet.kubeconfig
server: https://172.16.12.100:6443[root@node01 cfg]#vim kube-proxy.kubeconfig
server: https://172.16.12.100:6443
#重启kubelet和kube-proxy服务
[root@node01 cfg]#systemctl restart kubelet.service
[root@node01 cfg]#systemctl restart kube-proxy.service
3、在 ngkeep01 上查看节点的连接状态
#在 ngkeep01 上查看 nginx 和 node 、 master 节点的连接状态
[root@ngkeep01 ~]#netstat -natp | grep nginx
4、测试
在 master01 节点上操作:
(1)测试创建 pod
[root@master01 ~]#kubectl run nginx --image=nginx
(2) 查看Pod的状态信息
[root@master01 ~]#kubectl get pods[root@master01 ~]#kubectl get pods -o wide
(3)直接使用浏览器或者curl命令访问
在除了对应网段的node节点上的机器,在其他任何一台设备上访问10.244.62.199,都会出错或卡住
在对应网段的node节点上操作,可以直接使用浏览器或者curl命令访问
(4)这时在master01节点上查看nginx日志
[root@master01 ~]#kubectl logs nginx
四、部署 Dashboard
1、什么是 Dashboard
Dashboard(仪表板)是基于Web的Kubernetes用户界面
可以使用仪表板将容器化应用程序部署到Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源
可以使用仪表板来概述群集上运行的应用程序,以及创建或修改单个Kubernetes资源(例如deployment,job,daemonset等)
例如,可以使用部署向导扩展部署,启动滚动更新,重新启动Pod或部署新应用程序。仪表板还提供有关群集中Kubernetes资源状态以及可能发生的任何错误的信息
2、安装 Dashboard
(1)分别在 所有node节点上操作
#上传 dashboard.tar 和 metrics-scraper.tar 到 /opt 目录下
#将名为 dashboard.tar 的 Docker 镜像文件加载到 Docker 引擎中
[root@node01 opt]#docker load -i dashboard.tar
#将名为 metrics-scraper.tar 的 Docker 镜像文件加载到 Docker 引擎中
[root@node01 opt]#docker load -i metrics-scraper.tar #查看当前所有镜像
[root@node01 opt]#docker images
(2)在 master01 节点上操作
#上传 recommended.yaml 文件到 /opt/k8s 目录中
[root@master01 ~]#cd /opt/k8s#默认Dashboard只能集群内部访问,修改Service为NodePort类型,暴露到外部
[root@master01 k8s]#vim recommended.yaml
……
kind: Service
apiVersion: v1
metadata:labels:k8s-app: kubernetes-dashboardname: kubernetes-dashboardnamespace: kubernetes-dashboard
spec:ports:- port: 443targetPort: 8443nodePort: 30001 #添加type: NodePort #添加selector:k8s-app: kubernetes-dashboard
……
[root@master01 k8s]#kubectl apply -f recommended.yaml
#kubectl apply 命令用于创建或更新 Kubernetes 资源对象,-f 参数用于指定要应用的 YAML 文件
#创建 service account 并绑定默认 cluster-admin 管理员集群角色
[root@master01 k8s]#kubectl create serviceaccount dashboard-admin -n kube-system
[root@master01 k8s]#kubectl create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin#获取"kube-system"命名空间中所有Secrets的列表,包括它们的名称、类型等信息
#Secrets通常用于存储敏感数据,如API密钥、密码等
[root@master01 k8s]#kubectl get secret -n kube-system#"kube-system"命名空间中与"dashboard-admin"相关的Secret的详细信息
[root@master01 k8s]#kubectl describe secrets -n kube-system $(kubectl -n kube-system get secret | awk '/dashboard-admin/{print $1}')
#kubectl -n kube-system get secret:这部分命令用于获取"kube-system"命名空间中所有Secret的列表
# | awk '/dashboard-admin/{print \$1}':这部分命令使用awk来过滤出包含"dashboard-admin"的Secret,并输出它们的名称
3、使用输出的token登录Dashboard
浏览器访问:https://NodeIP:30001https://172.16.12.11:30001
https://172.16.12.12:30001
问题:node节点一开始是Ready状态,过了一段时间就变成了NotReady状态
解决方法:大部分原因是 虚拟VIP地址 消失了,ngkeep01和ngkeep02节点都需要重新启动keepalived服务
systemctl restart keepalived