k8s基础环境部署+master高可用实现步骤
一、前言
二、基础环境部署
1)前期准备(所有节点)
2)安装容器 docker(所有节点)
3)配置 k8s yum 源(所有节点)
4)将 sandbox_image 镜像源设置为阿里云 google_containers 镜像源(所有节点)
5)配置 containerd cgroup 驱动程序 systemd(所有节点)
6)开始安装 kubeadm,kubelet 和 kubectl(master 节点)
7)使用 kubeadm 初始化集群(master 节点)
8)安装 pod 网络插件(cni:container network interface)(master)
9)node 节点加入 k8s 集群
10)配置 ipvs
11)集群高可用配置
12)部署 nginx+keepalived 高可用负载均衡器
三、k8s 管理平台 dashboard 环境部署
1)dashboard 部署
2)创建登录用户
3)配置 hosts 登录 dashboard web
四、k8s 镜像仓库 harbor 环境部署
1)安装 helm
2)配置 hosts
3)创建 stl 证书
4)安装 ingress
5)安装 nfs
6)创建 nfs provisioner 和持久化存储 sc
7)部署 harbor(https 方式)
一、前言
二、基础环境部署
1)前期准备(所有节点)
1、修改主机名和配置 hosts
先部署 1master 和 2node 节点,后面再加一个 master 节点
# 在192.168.0.113执行hostnamectl set-hostname k8s-master-168-0-113# 在192.168.0.114执行hostnamectl set-hostname k8s-node1-168-0-114# 在192.168.0.115执行hostnamectl set-hostname k8s-node2-168-0-115
配置 hosts
cat >> /etc/hosts< 2、配置 ssh 互信
# 直接一直回车就行ssh-keygenssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-master-168-0-113ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-node1-168-0-114ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-node2-168-0-115
3、时间同步
yum install chrony -ysystemctl start chronydsystemctl enable chronydchronyc sources
4、关闭防火墙
systemctl stop firewalldsystemctl disable firewalld
5、关闭 swap
# 临时关闭;关闭swap主要是为了性能考虑swapoff -a# 可以通过这个命令查看swap是否关闭了free# 永久关闭sed -ri 's/.*swap.*/#&/' /etc/fstab
6、禁用 selinux
# 临时关闭setenforce 0# 永久禁用sed -i 's/^selinux=enforcing$/selinux=disabled/' /etc/selinux/config
7、允许 iptables 检查桥接流量(可选,所有节点)
若要显式加载此模块,请运行 sudo modprobe br_netfilter,通过运行 lsmod | grep br_netfilter 来验证 br_netfilter 模块是否已加载,
sudo modprobe br_netfilterlsmod | grep br_netfilter
为了让 linux 节点的 iptables 能够正确查看桥接流量,请确认 sysctl 配置中的 net.bridge.bridge-nf-call-iptables 设置为 1。例如:
cat < 5)配置 containerd cgroup 驱动程序 systemd(所有节点)
kubernets 自v 1.24.0 后,就不再使用 docker.shim,替换采用 containerd 作为容器运行时端点。因此需要安装 containerd(在 docker 的基础下安装),上面安装 docker 的时候就自动安装了 containerd 了。这里的 docker 只是作为客户端而已。容器引擎还是 containerd。
sed -i 's#systemdcgroup = false#systemdcgroup = true#g' /etc/containerd/config.toml# 应用所有更改后,重新启动containerdsystemctl restart containerd
6)开始安装 kubeadm,kubelet 和 kubectl(master 节点)
# 不指定版本就是最新版本,当前最新版就是1.24.1yum install -y kubelet-1.24.1 kubeadm-1.24.1 kubectl-1.24.1 --disableexcludes=kubernetes# disableexcludes=kubernetes:禁掉除了这个kubernetes之外的别的仓库# 设置为开机自启并现在立刻启动服务 --now:立刻启动服务systemctl enable --now kubelet# 查看状态,这里需要等待一段时间再查看服务状态,启动会有点慢systemctl status kubelet
查看日志,发现有报错,报错如下:
kubelet.service: main process exited, code=exited, status=1/failure kubelet.service: failed with result 'exit-code'.
【解释】重新安装(或第一次安装)k8s,未经过 kubeadm init 或者 kubeadm join 后,kubelet 会不断重启,这个是正常现象……,执行 init 或 join 后问题会自动解决,对此官网有如下描述,也就是此时不用理会 kubelet.service。
查看版本
kubectl versionyum info kubeadm
7)使用 kubeadm 初始化集群(master 节点)
最好提前把镜像下载好,这样安装快
docker pull registry.aliyuncs.com/google_containers/kube-apiserver:v1.24.1docker pull registry.aliyuncs.com/google_containers/kube-controller-manager:v1.24.1docker pull registry.aliyuncs.com/google_containers/kube-scheduler:v1.24.1docker pull registry.aliyuncs.com/google_containers/kube-proxy:v1.24.1docker pull registry.aliyuncs.com/google_containers/pause:3.7docker pull registry.aliyuncs.com/google_containers/etcd:3.5.3-0docker pull registry.aliyuncs.com/google_containers/coredns:v1.8.6
集群初始化
kubeadm init --apiserver-advertise-address=192.168.0.113 --image-repository registry.aliyuncs.com/google_containers --control-plane-endpoint=cluster-endpoint --kubernetes-version v1.24.1 --service-cidr=10.1.0.0/16 --pod-network-cidr=10.244.0.0/16 --v=5# –image-repository string: 这个用于指定从什么位置来拉取镜像(1.13版本才有的),默认值是k8s.gcr.io,我们将其指定为国内镜像地址:registry.aliyuncs.com/google_containers# –kubernetes-version string: 指定kubenets版本号,默认值是stable-1,会导致从https://dl.k8s.io/release/stable-1.txt下载最新的版本号,我们可以将其指定为固定版本(v1.22.1)来跳过网络请求。# –apiserver-advertise-address 指明用 master 的哪个 interface 与 cluster 的其他节点通信。如果 master 有多个 interface,建议明确指定,如果不指定,kubeadm 会自动选择有默认网关的 interface。这里的ip为master节点ip,记得更换。# –pod-network-cidr 指定 pod 网络的范围。kubernetes 支持多种网络方案,而且不同网络方案对 –pod-network-cidr有自己的要求,这里设置为10.244.0.0/16 是因为我们将使用 flannel 网络方案,必须设置成这个 cidr。# --control-plane-endpoint cluster-endpoint 是映射到该 ip 的自定义 dns 名称,这里配置hosts映射:192.168.0.113 cluster-endpoint。 这将允许你将 --control-plane-endpoint=cluster-endpoint 传递给 kubeadm init,并将相同的 dns 名称传递给 kubeadm join。 稍后你可以修改 cluster-endpoint 以指向高可用性方案中的负载均衡器的地址。
【温馨提示】kubeadm 不支持将没有 --control-plane-endpoint 参数的单个控制平面集群转换为高可用性集群。
重置再初始化
kubeadm resetrm -fr ~/.kube/ /etc/kubernetes/* var/lib/etcd/*kubeadm init --apiserver-advertise-address=192.168.0.113 --image-repository registry.aliyuncs.com/google_containers --control-plane-endpoint=cluster-endpoint --kubernetes-version v1.24.1 --service-cidr=10.1.0.0/16 --pod-network-cidr=10.244.0.0/16 --v=5# –image-repository string: 这个用于指定从什么位置来拉取镜像(1.13版本才有的),默认值是k8s.gcr.io,我们将其指定为国内镜像地址:registry.aliyuncs.com/google_containers# –kubernetes-version string: 指定kubenets版本号,默认值是stable-1,会导致从https://dl.k8s.io/release/stable-1.txt下载最新的版本号,我们可以将其指定为固定版本(v1.22.1)来跳过网络请求。# –apiserver-advertise-address 指明用 master 的哪个 interface 与 cluster 的其他节点通信。如果 master 有多个 interface,建议明确指定,如果不指定,kubeadm 会自动选择有默认网关的 interface。这里的ip为master节点ip,记得更换。# –pod-network-cidr 指定 pod 网络的范围。kubernetes 支持多种网络方案,而且不同网络方案对 –pod-network-cidr有自己的要求,这里设置为10.244.0.0/16 是因为我们将使用 flannel 网络方案,必须设置成这个 cidr。# --control-plane-endpoint cluster-endpoint 是映射到该 ip 的自定义 dns 名称,这里配置hosts映射:192.168.0.113 cluster-endpoint。 这将允许你将 --control-plane-endpoint=cluster-endpoint 传递给 kubeadm init,并将相同的 dns 名称传递给 kubeadm join。 稍后你可以修改 cluster-endpoint 以指向高可用性方案中的负载均衡器的地址。
配置环境变量
mkdir -p $home/.kubesudo cp -i /etc/kubernetes/admin.conf $home/.kube/configsudo chown $(id -u):$(id -g) $home/.kube/config# 临时生效(退出当前窗口重连环境变量失效)export kubeconfig=/etc/kubernetes/admin.conf# 永久生效(推荐)echo export kubeconfig=/etc/kubernetes/admin.conf >> ~/.bash_profilesource ~/.bash_profile
发现节点还是有问题,查看日志 /var/log/messages
container runtime network not ready networkready=networkready=false reason:networkpluginnotready message:network plugin returns error: cni plugin not initialized
接下来就是安装 pod 网络插件
8)安装 pod 网络插件(cni:container network interface)(master)
你必须部署一个基于 pod 网络插件的 容器网络接口 (cni),以便你的 pod 可以相互通信。
# 最好提前下载镜像(所有节点)docker pull quay.io/coreos/flannel:v0.14.0kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/documentation/kube-flannel.yml
如果上面安装失败,则下载我百度里的,离线安装
链接:https://pan.baidu.com/s/1hb9xuo3bssaw7v5hzpxkeq
提取码:8888
再查看 node 节点,就已经正常了
9)node 节点加入 k8s 集群
先安装 kubelet
yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes# 设置为开机自启并现在立刻启动服务 --now:立刻启动服务systemctl enable --now kubeletsystemctl status kubelet
如果没有令牌,可以通过在控制平面节点上运行以下命令来获取令牌:
kubeadm token list
默认情况下,令牌会在24小时后过期。如果要在当前令牌过期后将节点加入集群, 则可以通过在控制平面节点上运行以下命令来创建新令牌:
kubeadm token create# 再查看kubeadm token list
如果你没有 –discovery-token-ca-cert-hash 的值,则可以通过在控制平面节点上执行以下命令链来获取它:
openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'
如果执行 kubeadm init 时没有记录下加入集群的命令,可以通过以下命令重新创建(推荐)一般不用上面的分别获取 token 和 ca-cert-hash 方式,执行以下命令一气呵成:
kubeadm token create --print-join-command
这里需要等待一段时间,再查看节点节点状态,因为需要安装 kube-proxy 和 flannel。
kubectl get pods -akubectl get nodes
10)配置 ipvs
【问题】集群内无法 ping 通 clusterip(或 servicename)
1、加载 ip_vs 相关内核模块
modprobe -- ip_vsmodprobe -- ip_vs_shmodprobe -- ip_vs_rrmodprobe -- ip_vs_wrr
所有节点验证开启了 ipvs:
lsmod |grep ip_vs
2、安装 ipvsadm 工具
yum install ipset ipvsadm -y
3、编辑 kube-proxy 配置文件,mode 修改成 ipvs
kubectl edit configmap -n kube-system kube-proxy
4、重启 kube-proxy
# 先查看kubectl get pod -n kube-system | grep kube-proxy# 再delete让它自拉起kubectl get pod -n kube-system | grep kube-proxy |awk '{system(kubectl delete pod $1 -n kube-system)}'# 再查看kubectl get pod -n kube-system | grep kube-proxy
5、查看 ipvs 转发规则
ipvsadm -ln
11)集群高可用配置
配置高可用(ha)kubernetes 集群实现的两种方案:
使用堆叠(stacked)控制平面节点,其中 etcd 节点与控制平面节点共存(本章使用),架构图如下:
使用外部 etcd 节点,其中 etcd 在与控制平面不同的节点上运行,架构图如下:
这里新增一台机器作为另外一个 master 节点:192.168.0.116 配置跟上面 master 节点一样。只是不需要最后一步初始化了。
1、修改主机名和配置 hosts
所有节点都统一如下配置:
# 在192.168.0.113执行hostnamectl set-hostname k8s-master-168-0-113# 在192.168.0.114执行hostnamectl set-hostname k8s-node1-168-0-114# 在192.168.0.115执行hostnamectl set-hostname k8s-node2-168-0-115# 在192.168.0.116执行hostnamectl set-hostname k8s-master2-168-0-116
配置 hosts
cat >> /etc/hosts< 2、配置 ssh 互信
# 直接一直回车就行ssh-keygenssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-master-168-0-113ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-node1-168-0-114ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-node2-168-0-115ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-master2-168-0-116
3、时间同步
yum install chrony -ysystemctl start chronydsystemctl enable chronydchronyc sources
7、关闭防火墙
systemctl stop firewalldsystemctl disable firewalld
4、关闭 swap
# 临时关闭;关闭swap主要是为了性能考虑swapoff -a# 可以通过这个命令查看swap是否关闭了free# 永久关闭sed -ri 's/.*swap.*/#&/' /etc/fstab
5、禁用 selinux
# 临时关闭setenforce 0# 永久禁用sed -i 's/^selinux=enforcing$/selinux=disabled/' /etc/selinux/config
6、允许 iptables 检查桥接流量(可选,所有节点)
若要显式加载此模块,请运行 sudo modprobe br_netfilter,通过运行 lsmod | grep br_netfilter 来验证 br_netfilter 模块是否已加载,
sudo modprobe br_netfilterlsmod | grep br_netfilter
为了让 linux 节点的 iptables 能够正确查看桥接流量,请确认 sysctl 配置中的 net.bridge.bridge-nf-call-iptables 设置为 1。例如:
cat < 10、配置 containerd cgroup 驱动程序 systemd
kubernets 自v 1.24.0 后,就不再使用 docker.shim,替换采用 containerd 作为容器运行时端点。因此需要安装 containerd(在 docker 的基础下安装),上面安装 docker 的时候就自动安装了 containerd 了。这里的 docker 只是作为客户端而已。容器引擎还是 containerd。
sed -i 's#systemdcgroup = false#systemdcgroup = true#g' /etc/containerd/config.toml# 应用所有更改后,重新启动containerdsystemctl restart containerd
11、开始安装 kubeadm,kubelet 和 kubectl(master 节点)
# 不指定版本就是最新版本,当前最新版就是1.24.1yum install -y kubelet-1.24.1 kubeadm-1.24.1 kubectl-1.24.1 --disableexcludes=kubernetes# disableexcludes=kubernetes:禁掉除了这个kubernetes之外的别的仓库# 设置为开机自启并现在立刻启动服务 --now:立刻启动服务systemctl enable --now kubelet# 查看状态,这里需要等待一段时间再查看服务状态,启动会有点慢systemctl status kubelet# 查看版本kubectl versionyum info kubeadm
12、加入 k8s 集群
# 证如果过期了,可以使用下面命令生成新证书上传,这里会打印出certificate key,后面会用到kubeadm init phase upload-certs --upload-certs# 你还可以在 【init】期间指定自定义的 --certificate-key,以后可以由 join 使用。 要生成这样的密钥,可以使用以下命令(这里不执行,就用上面那个自命令就可以了):kubeadm certs certificate-keykubeadm token create --print-join-commandkubeadm join cluster-endpoint:6443 --token wswrfw.fc81au4yvy6ovmhh --discovery-token-ca-cert-hash sha256:43a3924c25104d4393462105639f6a02b8ce284728775ef9f9c30eed8e0abc0f --control-plane --certificate-key 8d2709697403b74e35d05a420bd2c19fd8c11914eb45f2ff22937b245bed5b68# --control-plane 标志通知 kubeadm join 创建一个新的控制平面。加入master必须加这个标记# --certificate-key ... 将导致从集群中的 kubeadm-certs secret 下载控制平面证书并使用给定的密钥进行解密。这里的值就是上面这个命令(kubeadm init phase upload-certs --upload-certs)打印出的key。
根据提示执行如下命令:
mkdir -p $home/.kubesudo cp -i /etc/kubernetes/admin.conf $home/.kube/configsudo chown $(id -u):$(id -g) $home/.kube/config
查看
kubectl get nodeskubectl get pods -a -owide
虽然现在已经有两个 master 了,但是对外还是只能有一个入口的,所以还得要一个负载均衡器,如果一个 master 挂了,会自动切到另外一个 master 节点。
12)部署 nginx+keepalived 高可用负载均衡器
1、安装 nginx 和 keepalived
# 在两个master节点上执行yum install nginx keepalived -y
2、nginx 配置
在两个 master 节点配置
cat > /etc/nginx/nginx.conf < /etc/keepalived/keepalived.conf < /etc/keepalived/check_nginx.sh < /etc/keepalived/keepalived.conf < /etc/keepalived/check_nginx.sh /etc/fstabmount -a
6、rsync 数据同步
【1】rsync 安装
# 两端都得安装yum -y install rsync
【2】配置
在/etc/rsyncd.conf 中添加
cat >/etc/rsyncd.conf 【3】rsyncd.conf 常用参数详解
rsyncd.conf 参数
rsyncd.conf 参数 参数说明
uid=root rsync 使用的用户。
gid=root rsync 使用的用户组(用户所在的组)
use chroot=no 如果为 true,daemon 会在客户端传输文件前“chroot to the path”。这是一种安全配置,因为我们大多数都在内网,所以不配也没关系
max connections=200 设置最大连接数,默认 0,意思无限制,负值为关闭这个模块
timeout=400 默认为 0,表示 no timeout,建议 300-600(5-10 分钟)
pid file rsync daemon 启动后将其进程 pid 写入此文件。如果这个文件存在,rsync 不会覆盖该文件,而是会终止
lock file 指定 lock 文件用来支持“max connections”参数,使得总连接数不会超过限制
log file 不设或者设置错误,rsync 会使用 rsyslog 输出相关日志信息
ignore errors 忽略 i/o 错误
read only=false 指定客户端是否可以上传文件,默认对所有模块为 true
list=false 是否允许客户端可以查看可用模块列表,默认为可以
hosts allow 指定可以联系的客户端主机名或和 ip 地址或地址段,默认情况没有此参数,即都可以连接
hosts deny 指定不可以联系的客户端主机名或 ip 地址或地址段,默认情况没有此参数,即都可以连接
auth users 指定以空格或逗号分隔的用户可以使用哪些模块,用户不需要在本地系统中存在。默认为所有用户无密码访问
secrets file 指定用户名和密码存放的文件,格式;用户名;密码,密码不超过 8 位
[backup] 这里就是模块名称,需用中括号扩起来,起名称没有特殊要求,但最好是有意义的名称,便于以后维护
path 这个模块中,daemon 使用的文件系统或目录,目录的权限要注意和配置文件中的权限一致,否则会遇到读写的问题
【4】rsync 常用命令参数详解
rsync --helprsync [选项] 原始位置 目标位置常用选项 说明-r 递归模式,包含目录及子目录中的所有文件-l 对于符号链接文件仍然复制为符号链接文件-v 显示同步过程的详细信息-z 在传输文件时进行压缩god-p 保留文件的权限标记-a 归档模式,递归并保留对象属性,等同于-rlpt-t 保留文件的时间标记-g 保留文件的属组标记(仅超级用户使用)-o 保留文件的属主标记(仅超级用户使用)-h 保留硬链接文件-a 保留acl属性信息-d 保留设备文件及其他特殊文件--delete 删除目标位置有而原始位置没有的文件--checksum 根据对象的校验和来决定是否跳过文件
【5】启动服务(数据源机器)
#rsync监听端口:873#rsync运行模式:c/srsync --daemon --config=/etc/rsyncd.confnetstat -tnlp|grep :873
【6】执行命令同步数据
# 在目的机器上执行# rsync -avz 用户名@源主机地址/源目录 目的目录rsync -avz root@192.168.0.113:/opt/nfsdata/* /opt/nfsdata/
【7】crontab 定时同步
# 配置crontab, 每五分钟同步一次,这种方式不好*/5 * * * * rsync -avz root@192.168.0.113:/opt/nfsdata/* /opt/nfsdata/
【温馨提示】crontab 定时同步数据不太好,可以使用rsync+inotify做数据实时同步,这里篇幅有点长了,先不讲,如果后面有时间会出一篇单独文章来讲。
6)创建 nfs provisioner 和持久化存储 sc
【温馨提示】这里跟我之前的文章有点不同,之前的方式也不适用新版本。
github 地址:https://github.com/kubernetes-sigs/nfs-subdir-external-provisioner
helm 部署 nfs-subdir-external-provisioner
1、添加 helm 仓库
helm repo add nfs-subdir-external-provisioner https://kubernetes-sigs.github.io/nfs-subdir-external-provisioner/
2、helm 安装 nfs provisioner
【温馨提示】默认镜像是无法访问的,这里使用 dockerhub 搜索到的镜像willdockerhub/nfs-subdir-external-provisioner:v4.0.2,还有就是 storageclass 不分命名空间,所有在所有命名空间下都可以使用。
helm install nfs-subdir-external-provisioner nfs-subdir-external-provisioner/nfs-subdir-external-provisioner --namespace=nfs-provisioner --create-namespace --set image.repository=willdockerhub/nfs-subdir-external-provisioner --set image.tag=v4.0.2 --set replicacount=2 --set storageclass.name=nfs-client --set storageclass.defaultclass=true --set nfs.server=192.168.0.120 --set nfs.path=/opt/nfsdata
【温馨提示】上面 nfs.server 设置为 vip,可实现高可用。
3、查看
kubectl get pods,deploy,sc -n nfs-provisioner
7)部署 harbor(https 方式)
1、创建 namespace
kubectl create ns harbor
2、创建证书秘钥
kubectl create secret tls myharbor.com --key myharbor.com.key --cert myharbor.com.crt -n harborkubectl get secret myharbor.com -n harbor
3、添加 chart 库
helm repo add harbor https://helm.goharbor.io
4、通过 helm 安装 harbor
helm install myharbor --namespace harbor harbor/harbor --set expose.ingress.hosts.core=myharbor.com --set expose.ingress.hosts.notary=notary.myharbor.com --set-string expose.ingress.annotations.'nginx.org/client-max-body-size'=1024m --set expose.tls.secretname=myharbor.com --set persistence.persistentvolumeclaim.registry.storageclass=nfs-client --set persistence.persistentvolumeclaim.jobservice.storageclass=nfs-client --set persistence.persistentvolumeclaim.database.storageclass=nfs-client --set persistence.persistentvolumeclaim.redis.storageclass=nfs-client --set persistence.persistentvolumeclaim.trivy.storageclass=nfs-client --set persistence.persistentvolumeclaim.chartmuseum.storageclass=nfs-client --set persistence.enabled=true --set externalurl=https://myharbor.com --set harboradminpassword=harbor12345
这里稍等一段时间在查看资源状态
kubectl get ingress,svc,pods,pvc -n harbor
5、ingress 没有 address 问题解决
【分析】,发现error: endpoints “default-http-backend” not found
cat < default-http-backend.yaml---apiversion: apps/v1kind: deploymentmetadata: name: default-http-backend labels: app: default-http-backend namespace: harborspec: replicas: 1 selector: matchlabels: app: default-http-backend template: metadata: labels: app: default-http-backend spec: terminationgraceperiodseconds: 60 containers: - name: default-http-backend # any image is permissible as long as: # 1. it serves a 404 page at / # 2. it serves 200 on a /healthz endpoint image: registry.cn-hangzhou.aliyuncs.com/google_containers/defaultbackend:1.4# image: gcr.io/google_containers/defaultbackend:1.4 livenessprobe: httpget: path: /healthz port: 8080 scheme: http initialdelayseconds: 30 timeoutseconds: 5 ports: - containerport: 8080 resources: limits: cpu: 10m memory: 20mi requests: cpu: 10m memory: 20mi---apiversion: v1kind: servicemetadata: name: default-http-backend namespace: harbor labels: app: default-http-backendspec: ports: - port: 80 targetport: 8080 selector: app: default-http-backendeofkubectl apply -f default-http-backend.yaml
6、卸载重新部署
# 卸载helm uninstall myharbor -n harborkubectl get pvc -n harbor| awk 'nr!=1{print $1}' | xargs kubectl delete pvc -n harbor# 部署helm install myharbor --namespace harbor harbor/harbor --set expose.ingress.hosts.core=myharbor.com --set expose.ingress.hosts.notary=notary.myharbor.com --set-string expose.ingress.annotations.'nginx.org/client-max-body-size'=1024m --set expose.tls.secretname=myharbor.com --set persistence.persistentvolumeclaim.registry.storageclass=nfs-client --set persistence.persistentvolumeclaim.jobservice.storageclass=nfs-client --set persistence.persistentvolumeclaim.database.storageclass=nfs-client --set persistence.persistentvolumeclaim.redis.storageclass=nfs-client --set persistence.persistentvolumeclaim.trivy.storageclass=nfs-client --set persistence.persistentvolumeclaim.chartmuseum.storageclass=nfs-client --set persistence.enabled=true --set externalurl=https://myharbor.com --set harboradminpassword=harbor12345
5、访问 harbor
https://myharbor.com
账号/密码:admin/harbor12345
6、harbor 常见操作
【1】创建项目 bigdata
【2】配置私有仓库
在文件/etc/docker/daemon.json添加如下内容:
insecure-registries:[https://myharbor.com]
重启 docker
systemctl restart docker
【3】服务器上登录 harbor
docker login https://myharbor.com#账号/密码:admin/harbor12345
【4】打标签并把镜像上传到 harbor
docker tag rancher/pause:3.6 myharbor.com/bigdata/pause:3.6docker push myharbor.com/bigdata/pause:3.6
7、修改 containerd 配置
以前使用 docker-engine 的时候,只需要修改/etc/docker/daemon.json 就行,但是新版的 k8s 已经使用 containerd 了,所以这里需要做相关配置,要不然 containerd 会失败。证书(ca.crt)可以在页面上下载:
创建域名目录
mkdir /etc/containerd/myharbor.comcp ca.crt /etc/containerd/myharbor.com/
配置文件:/etc/containerd/config.toml
[plugins.io.containerd.grpc.v1.cri.registry] config_path = [plugins.io.containerd.grpc.v1.cri.registry.auths] [plugins.io.containerd.grpc.v1.cri.registry.configs] [plugins.io.containerd.grpc.v1.cri.registry.configs.myharbor.com.tls] ca_file = /etc/containerd/myharbor.com/ca.crt [plugins.io.containerd.grpc.v1.cri.registry.configs.myharbor.com.auth] username = admin password = harbor12345 [plugins.io.containerd.grpc.v1.cri.registry.headers] [plugins.io.containerd.grpc.v1.cri.registry.mirrors] [plugins.io.containerd.grpc.v1.cri.registry.mirrors.myharbor.com] endpoint = [https://myharbor.com]
重启 containerd
#重新加载配置systemctl daemon-reload#重启containerdsystemctl restart containerd
简单使用
# 把docker换成crictl 就行,命令都差不多crictl pull myharbor.com/bigdata/mysql:5.7.38
执行 crictl 报如下错误的解决办法
warn[0000] image connect using default endpoints: [unix:///var/run/dockershim.sock unix:///run/containerd/containerd.sock unix:///run/crio/crio.sock unix:///var/run/cri-dockerd.sock]. as the default settings are now deprecated, you should set the endpoint instead.erro[0000] unable to determine image api version: rpc error: code = unavailable desc = connection error: desc = transport: error while dialing dial unix /var/run/dockershim.sock: connect: no such file or directory
这个报错是 docker 的报错,这里没使用,所以这个错误不影响使用,但是还是解决好点,解决方法如下:
cat < /etc/crictl.yamlruntime-endpoint: unix:///run/containerd/containerd.sockimage-endpoint: unix:///run/containerd/containerd.socktimeout: 10debug: falseeof
再次拉取镜像
crictl pull myharbor.com/bigdata/mysql:5.7.38
kubernetes(k8s)最新版最完整版基础环境部署+master 高可用实现详细步骤就到这里了,有疑问的小伙伴欢迎给我留言哦~
国产盐雾腐蚀试验箱的箱体制作材料说明
基于以太坊平台建立的去中心化金融应用kyberNetwork解析
高通2019年将推出第一批5G应用,2020年有望普及
为什么要测量土壤含水量,土壤水分测量的方法
5G时代的十大应用场景
k8s基础环境部署+master高可用实现步骤
2027年蜂窝物联网连接将增至 55 亿
通过park变换得到的Id、Iq有什么具体的物理含义?
真的18个月不卡,德国评测机构发现华为EMUI的秘诀!
揭开天线的面纱,剥开天线的外衣
耐压仪基础知识
激光加工多孔端面机械密封的动压分析
锆石FPGA A4_Nano开发板视频:红外IP核的定制
Mentor en2000.5的安装方法步骤
咖啡机可满足不同的口味喜好,为人们提供高品质的服务
Orcad导网表出现交换属性错误的解决方法
SDRPlay RSPduo SDR接收机天线测试
恒大造车“军团”越来越强大 新能源市场再起波澜
黑莓BB10成功机率增加 RIM股价上涨
飞畅隐藏式智能记录仪“FC6900”的上车体验
二、基础环境部署
1)前期准备(所有节点)
2)安装容器 docker(所有节点)
3)配置 k8s yum 源(所有节点)
4)将 sandbox_image 镜像源设置为阿里云 google_containers 镜像源(所有节点)
5)配置 containerd cgroup 驱动程序 systemd(所有节点)
6)开始安装 kubeadm,kubelet 和 kubectl(master 节点)
7)使用 kubeadm 初始化集群(master 节点)
8)安装 pod 网络插件(cni:container network interface)(master)
9)node 节点加入 k8s 集群
10)配置 ipvs
11)集群高可用配置
12)部署 nginx+keepalived 高可用负载均衡器
三、k8s 管理平台 dashboard 环境部署
1)dashboard 部署
2)创建登录用户
3)配置 hosts 登录 dashboard web
四、k8s 镜像仓库 harbor 环境部署
1)安装 helm
2)配置 hosts
3)创建 stl 证书
4)安装 ingress
5)安装 nfs
6)创建 nfs provisioner 和持久化存储 sc
7)部署 harbor(https 方式)
一、前言
二、基础环境部署
1)前期准备(所有节点)
1、修改主机名和配置 hosts
先部署 1master 和 2node 节点,后面再加一个 master 节点
# 在192.168.0.113执行hostnamectl set-hostname k8s-master-168-0-113# 在192.168.0.114执行hostnamectl set-hostname k8s-node1-168-0-114# 在192.168.0.115执行hostnamectl set-hostname k8s-node2-168-0-115
配置 hosts
cat >> /etc/hosts<
# 直接一直回车就行ssh-keygenssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-master-168-0-113ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-node1-168-0-114ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-node2-168-0-115
3、时间同步
yum install chrony -ysystemctl start chronydsystemctl enable chronydchronyc sources
4、关闭防火墙
systemctl stop firewalldsystemctl disable firewalld
5、关闭 swap
# 临时关闭;关闭swap主要是为了性能考虑swapoff -a# 可以通过这个命令查看swap是否关闭了free# 永久关闭sed -ri 's/.*swap.*/#&/' /etc/fstab
6、禁用 selinux
# 临时关闭setenforce 0# 永久禁用sed -i 's/^selinux=enforcing$/selinux=disabled/' /etc/selinux/config
7、允许 iptables 检查桥接流量(可选,所有节点)
若要显式加载此模块,请运行 sudo modprobe br_netfilter,通过运行 lsmod | grep br_netfilter 来验证 br_netfilter 模块是否已加载,
sudo modprobe br_netfilterlsmod | grep br_netfilter
为了让 linux 节点的 iptables 能够正确查看桥接流量,请确认 sysctl 配置中的 net.bridge.bridge-nf-call-iptables 设置为 1。例如:
cat <
kubernets 自v 1.24.0 后,就不再使用 docker.shim,替换采用 containerd 作为容器运行时端点。因此需要安装 containerd(在 docker 的基础下安装),上面安装 docker 的时候就自动安装了 containerd 了。这里的 docker 只是作为客户端而已。容器引擎还是 containerd。
sed -i 's#systemdcgroup = false#systemdcgroup = true#g' /etc/containerd/config.toml# 应用所有更改后,重新启动containerdsystemctl restart containerd
6)开始安装 kubeadm,kubelet 和 kubectl(master 节点)
# 不指定版本就是最新版本,当前最新版就是1.24.1yum install -y kubelet-1.24.1 kubeadm-1.24.1 kubectl-1.24.1 --disableexcludes=kubernetes# disableexcludes=kubernetes:禁掉除了这个kubernetes之外的别的仓库# 设置为开机自启并现在立刻启动服务 --now:立刻启动服务systemctl enable --now kubelet# 查看状态,这里需要等待一段时间再查看服务状态,启动会有点慢systemctl status kubelet
查看日志,发现有报错,报错如下:
kubelet.service: main process exited, code=exited, status=1/failure kubelet.service: failed with result 'exit-code'.
【解释】重新安装(或第一次安装)k8s,未经过 kubeadm init 或者 kubeadm join 后,kubelet 会不断重启,这个是正常现象……,执行 init 或 join 后问题会自动解决,对此官网有如下描述,也就是此时不用理会 kubelet.service。
查看版本
kubectl versionyum info kubeadm
7)使用 kubeadm 初始化集群(master 节点)
最好提前把镜像下载好,这样安装快
docker pull registry.aliyuncs.com/google_containers/kube-apiserver:v1.24.1docker pull registry.aliyuncs.com/google_containers/kube-controller-manager:v1.24.1docker pull registry.aliyuncs.com/google_containers/kube-scheduler:v1.24.1docker pull registry.aliyuncs.com/google_containers/kube-proxy:v1.24.1docker pull registry.aliyuncs.com/google_containers/pause:3.7docker pull registry.aliyuncs.com/google_containers/etcd:3.5.3-0docker pull registry.aliyuncs.com/google_containers/coredns:v1.8.6
集群初始化
kubeadm init --apiserver-advertise-address=192.168.0.113 --image-repository registry.aliyuncs.com/google_containers --control-plane-endpoint=cluster-endpoint --kubernetes-version v1.24.1 --service-cidr=10.1.0.0/16 --pod-network-cidr=10.244.0.0/16 --v=5# –image-repository string: 这个用于指定从什么位置来拉取镜像(1.13版本才有的),默认值是k8s.gcr.io,我们将其指定为国内镜像地址:registry.aliyuncs.com/google_containers# –kubernetes-version string: 指定kubenets版本号,默认值是stable-1,会导致从https://dl.k8s.io/release/stable-1.txt下载最新的版本号,我们可以将其指定为固定版本(v1.22.1)来跳过网络请求。# –apiserver-advertise-address 指明用 master 的哪个 interface 与 cluster 的其他节点通信。如果 master 有多个 interface,建议明确指定,如果不指定,kubeadm 会自动选择有默认网关的 interface。这里的ip为master节点ip,记得更换。# –pod-network-cidr 指定 pod 网络的范围。kubernetes 支持多种网络方案,而且不同网络方案对 –pod-network-cidr有自己的要求,这里设置为10.244.0.0/16 是因为我们将使用 flannel 网络方案,必须设置成这个 cidr。# --control-plane-endpoint cluster-endpoint 是映射到该 ip 的自定义 dns 名称,这里配置hosts映射:192.168.0.113 cluster-endpoint。 这将允许你将 --control-plane-endpoint=cluster-endpoint 传递给 kubeadm init,并将相同的 dns 名称传递给 kubeadm join。 稍后你可以修改 cluster-endpoint 以指向高可用性方案中的负载均衡器的地址。
【温馨提示】kubeadm 不支持将没有 --control-plane-endpoint 参数的单个控制平面集群转换为高可用性集群。
重置再初始化
kubeadm resetrm -fr ~/.kube/ /etc/kubernetes/* var/lib/etcd/*kubeadm init --apiserver-advertise-address=192.168.0.113 --image-repository registry.aliyuncs.com/google_containers --control-plane-endpoint=cluster-endpoint --kubernetes-version v1.24.1 --service-cidr=10.1.0.0/16 --pod-network-cidr=10.244.0.0/16 --v=5# –image-repository string: 这个用于指定从什么位置来拉取镜像(1.13版本才有的),默认值是k8s.gcr.io,我们将其指定为国内镜像地址:registry.aliyuncs.com/google_containers# –kubernetes-version string: 指定kubenets版本号,默认值是stable-1,会导致从https://dl.k8s.io/release/stable-1.txt下载最新的版本号,我们可以将其指定为固定版本(v1.22.1)来跳过网络请求。# –apiserver-advertise-address 指明用 master 的哪个 interface 与 cluster 的其他节点通信。如果 master 有多个 interface,建议明确指定,如果不指定,kubeadm 会自动选择有默认网关的 interface。这里的ip为master节点ip,记得更换。# –pod-network-cidr 指定 pod 网络的范围。kubernetes 支持多种网络方案,而且不同网络方案对 –pod-network-cidr有自己的要求,这里设置为10.244.0.0/16 是因为我们将使用 flannel 网络方案,必须设置成这个 cidr。# --control-plane-endpoint cluster-endpoint 是映射到该 ip 的自定义 dns 名称,这里配置hosts映射:192.168.0.113 cluster-endpoint。 这将允许你将 --control-plane-endpoint=cluster-endpoint 传递给 kubeadm init,并将相同的 dns 名称传递给 kubeadm join。 稍后你可以修改 cluster-endpoint 以指向高可用性方案中的负载均衡器的地址。
配置环境变量
mkdir -p $home/.kubesudo cp -i /etc/kubernetes/admin.conf $home/.kube/configsudo chown $(id -u):$(id -g) $home/.kube/config# 临时生效(退出当前窗口重连环境变量失效)export kubeconfig=/etc/kubernetes/admin.conf# 永久生效(推荐)echo export kubeconfig=/etc/kubernetes/admin.conf >> ~/.bash_profilesource ~/.bash_profile
发现节点还是有问题,查看日志 /var/log/messages
container runtime network not ready networkready=networkready=false reason:networkpluginnotready message:network plugin returns error: cni plugin not initialized
接下来就是安装 pod 网络插件
8)安装 pod 网络插件(cni:container network interface)(master)
你必须部署一个基于 pod 网络插件的 容器网络接口 (cni),以便你的 pod 可以相互通信。
# 最好提前下载镜像(所有节点)docker pull quay.io/coreos/flannel:v0.14.0kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/documentation/kube-flannel.yml
如果上面安装失败,则下载我百度里的,离线安装
链接:https://pan.baidu.com/s/1hb9xuo3bssaw7v5hzpxkeq
提取码:8888
再查看 node 节点,就已经正常了
9)node 节点加入 k8s 集群
先安装 kubelet
yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes# 设置为开机自启并现在立刻启动服务 --now:立刻启动服务systemctl enable --now kubeletsystemctl status kubelet
如果没有令牌,可以通过在控制平面节点上运行以下命令来获取令牌:
kubeadm token list
默认情况下,令牌会在24小时后过期。如果要在当前令牌过期后将节点加入集群, 则可以通过在控制平面节点上运行以下命令来创建新令牌:
kubeadm token create# 再查看kubeadm token list
如果你没有 –discovery-token-ca-cert-hash 的值,则可以通过在控制平面节点上执行以下命令链来获取它:
openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'
如果执行 kubeadm init 时没有记录下加入集群的命令,可以通过以下命令重新创建(推荐)一般不用上面的分别获取 token 和 ca-cert-hash 方式,执行以下命令一气呵成:
kubeadm token create --print-join-command
这里需要等待一段时间,再查看节点节点状态,因为需要安装 kube-proxy 和 flannel。
kubectl get pods -akubectl get nodes
10)配置 ipvs
【问题】集群内无法 ping 通 clusterip(或 servicename)
1、加载 ip_vs 相关内核模块
modprobe -- ip_vsmodprobe -- ip_vs_shmodprobe -- ip_vs_rrmodprobe -- ip_vs_wrr
所有节点验证开启了 ipvs:
lsmod |grep ip_vs
2、安装 ipvsadm 工具
yum install ipset ipvsadm -y
3、编辑 kube-proxy 配置文件,mode 修改成 ipvs
kubectl edit configmap -n kube-system kube-proxy
4、重启 kube-proxy
# 先查看kubectl get pod -n kube-system | grep kube-proxy# 再delete让它自拉起kubectl get pod -n kube-system | grep kube-proxy |awk '{system(kubectl delete pod $1 -n kube-system)}'# 再查看kubectl get pod -n kube-system | grep kube-proxy
5、查看 ipvs 转发规则
ipvsadm -ln
11)集群高可用配置
配置高可用(ha)kubernetes 集群实现的两种方案:
使用堆叠(stacked)控制平面节点,其中 etcd 节点与控制平面节点共存(本章使用),架构图如下:
使用外部 etcd 节点,其中 etcd 在与控制平面不同的节点上运行,架构图如下:
这里新增一台机器作为另外一个 master 节点:192.168.0.116 配置跟上面 master 节点一样。只是不需要最后一步初始化了。
1、修改主机名和配置 hosts
所有节点都统一如下配置:
# 在192.168.0.113执行hostnamectl set-hostname k8s-master-168-0-113# 在192.168.0.114执行hostnamectl set-hostname k8s-node1-168-0-114# 在192.168.0.115执行hostnamectl set-hostname k8s-node2-168-0-115# 在192.168.0.116执行hostnamectl set-hostname k8s-master2-168-0-116
配置 hosts
cat >> /etc/hosts<
# 直接一直回车就行ssh-keygenssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-master-168-0-113ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-node1-168-0-114ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-node2-168-0-115ssh-copy-id -i ~/.ssh/id_rsa.pub root@k8s-master2-168-0-116
3、时间同步
yum install chrony -ysystemctl start chronydsystemctl enable chronydchronyc sources
7、关闭防火墙
systemctl stop firewalldsystemctl disable firewalld
4、关闭 swap
# 临时关闭;关闭swap主要是为了性能考虑swapoff -a# 可以通过这个命令查看swap是否关闭了free# 永久关闭sed -ri 's/.*swap.*/#&/' /etc/fstab
5、禁用 selinux
# 临时关闭setenforce 0# 永久禁用sed -i 's/^selinux=enforcing$/selinux=disabled/' /etc/selinux/config
6、允许 iptables 检查桥接流量(可选,所有节点)
若要显式加载此模块,请运行 sudo modprobe br_netfilter,通过运行 lsmod | grep br_netfilter 来验证 br_netfilter 模块是否已加载,
sudo modprobe br_netfilterlsmod | grep br_netfilter
为了让 linux 节点的 iptables 能够正确查看桥接流量,请确认 sysctl 配置中的 net.bridge.bridge-nf-call-iptables 设置为 1。例如:
cat <
kubernets 自v 1.24.0 后,就不再使用 docker.shim,替换采用 containerd 作为容器运行时端点。因此需要安装 containerd(在 docker 的基础下安装),上面安装 docker 的时候就自动安装了 containerd 了。这里的 docker 只是作为客户端而已。容器引擎还是 containerd。
sed -i 's#systemdcgroup = false#systemdcgroup = true#g' /etc/containerd/config.toml# 应用所有更改后,重新启动containerdsystemctl restart containerd
11、开始安装 kubeadm,kubelet 和 kubectl(master 节点)
# 不指定版本就是最新版本,当前最新版就是1.24.1yum install -y kubelet-1.24.1 kubeadm-1.24.1 kubectl-1.24.1 --disableexcludes=kubernetes# disableexcludes=kubernetes:禁掉除了这个kubernetes之外的别的仓库# 设置为开机自启并现在立刻启动服务 --now:立刻启动服务systemctl enable --now kubelet# 查看状态,这里需要等待一段时间再查看服务状态,启动会有点慢systemctl status kubelet# 查看版本kubectl versionyum info kubeadm
12、加入 k8s 集群
# 证如果过期了,可以使用下面命令生成新证书上传,这里会打印出certificate key,后面会用到kubeadm init phase upload-certs --upload-certs# 你还可以在 【init】期间指定自定义的 --certificate-key,以后可以由 join 使用。 要生成这样的密钥,可以使用以下命令(这里不执行,就用上面那个自命令就可以了):kubeadm certs certificate-keykubeadm token create --print-join-commandkubeadm join cluster-endpoint:6443 --token wswrfw.fc81au4yvy6ovmhh --discovery-token-ca-cert-hash sha256:43a3924c25104d4393462105639f6a02b8ce284728775ef9f9c30eed8e0abc0f --control-plane --certificate-key 8d2709697403b74e35d05a420bd2c19fd8c11914eb45f2ff22937b245bed5b68# --control-plane 标志通知 kubeadm join 创建一个新的控制平面。加入master必须加这个标记# --certificate-key ... 将导致从集群中的 kubeadm-certs secret 下载控制平面证书并使用给定的密钥进行解密。这里的值就是上面这个命令(kubeadm init phase upload-certs --upload-certs)打印出的key。
根据提示执行如下命令:
mkdir -p $home/.kubesudo cp -i /etc/kubernetes/admin.conf $home/.kube/configsudo chown $(id -u):$(id -g) $home/.kube/config
查看
kubectl get nodeskubectl get pods -a -owide
虽然现在已经有两个 master 了,但是对外还是只能有一个入口的,所以还得要一个负载均衡器,如果一个 master 挂了,会自动切到另外一个 master 节点。
12)部署 nginx+keepalived 高可用负载均衡器
1、安装 nginx 和 keepalived
# 在两个master节点上执行yum install nginx keepalived -y
2、nginx 配置
在两个 master 节点配置
cat > /etc/nginx/nginx.conf < /etc/keepalived/keepalived.conf < /etc/keepalived/check_nginx.sh < /etc/keepalived/keepalived.conf < /etc/keepalived/check_nginx.sh
6、rsync 数据同步
【1】rsync 安装
# 两端都得安装yum -y install rsync
【2】配置
在/etc/rsyncd.conf 中添加
cat >/etc/rsyncd.conf 【3】rsyncd.conf 常用参数详解
rsyncd.conf 参数
rsyncd.conf 参数 参数说明
uid=root rsync 使用的用户。
gid=root rsync 使用的用户组(用户所在的组)
use chroot=no 如果为 true,daemon 会在客户端传输文件前“chroot to the path”。这是一种安全配置,因为我们大多数都在内网,所以不配也没关系
max connections=200 设置最大连接数,默认 0,意思无限制,负值为关闭这个模块
timeout=400 默认为 0,表示 no timeout,建议 300-600(5-10 分钟)
pid file rsync daemon 启动后将其进程 pid 写入此文件。如果这个文件存在,rsync 不会覆盖该文件,而是会终止
lock file 指定 lock 文件用来支持“max connections”参数,使得总连接数不会超过限制
log file 不设或者设置错误,rsync 会使用 rsyslog 输出相关日志信息
ignore errors 忽略 i/o 错误
read only=false 指定客户端是否可以上传文件,默认对所有模块为 true
list=false 是否允许客户端可以查看可用模块列表,默认为可以
hosts allow 指定可以联系的客户端主机名或和 ip 地址或地址段,默认情况没有此参数,即都可以连接
hosts deny 指定不可以联系的客户端主机名或 ip 地址或地址段,默认情况没有此参数,即都可以连接
auth users 指定以空格或逗号分隔的用户可以使用哪些模块,用户不需要在本地系统中存在。默认为所有用户无密码访问
secrets file 指定用户名和密码存放的文件,格式;用户名;密码,密码不超过 8 位
[backup] 这里就是模块名称,需用中括号扩起来,起名称没有特殊要求,但最好是有意义的名称,便于以后维护
path 这个模块中,daemon 使用的文件系统或目录,目录的权限要注意和配置文件中的权限一致,否则会遇到读写的问题
【4】rsync 常用命令参数详解
rsync --helprsync [选项] 原始位置 目标位置常用选项 说明-r 递归模式,包含目录及子目录中的所有文件-l 对于符号链接文件仍然复制为符号链接文件-v 显示同步过程的详细信息-z 在传输文件时进行压缩god-p 保留文件的权限标记-a 归档模式,递归并保留对象属性,等同于-rlpt-t 保留文件的时间标记-g 保留文件的属组标记(仅超级用户使用)-o 保留文件的属主标记(仅超级用户使用)-h 保留硬链接文件-a 保留acl属性信息-d 保留设备文件及其他特殊文件--delete 删除目标位置有而原始位置没有的文件--checksum 根据对象的校验和来决定是否跳过文件
【5】启动服务(数据源机器)
#rsync监听端口:873#rsync运行模式:c/srsync --daemon --config=/etc/rsyncd.confnetstat -tnlp|grep :873
【6】执行命令同步数据
# 在目的机器上执行# rsync -avz 用户名@源主机地址/源目录 目的目录rsync -avz root@192.168.0.113:/opt/nfsdata/* /opt/nfsdata/
【7】crontab 定时同步
# 配置crontab, 每五分钟同步一次,这种方式不好*/5 * * * * rsync -avz root@192.168.0.113:/opt/nfsdata/* /opt/nfsdata/
【温馨提示】crontab 定时同步数据不太好,可以使用rsync+inotify做数据实时同步,这里篇幅有点长了,先不讲,如果后面有时间会出一篇单独文章来讲。
6)创建 nfs provisioner 和持久化存储 sc
【温馨提示】这里跟我之前的文章有点不同,之前的方式也不适用新版本。
github 地址:https://github.com/kubernetes-sigs/nfs-subdir-external-provisioner
helm 部署 nfs-subdir-external-provisioner
1、添加 helm 仓库
helm repo add nfs-subdir-external-provisioner https://kubernetes-sigs.github.io/nfs-subdir-external-provisioner/
2、helm 安装 nfs provisioner
【温馨提示】默认镜像是无法访问的,这里使用 dockerhub 搜索到的镜像willdockerhub/nfs-subdir-external-provisioner:v4.0.2,还有就是 storageclass 不分命名空间,所有在所有命名空间下都可以使用。
helm install nfs-subdir-external-provisioner nfs-subdir-external-provisioner/nfs-subdir-external-provisioner --namespace=nfs-provisioner --create-namespace --set image.repository=willdockerhub/nfs-subdir-external-provisioner --set image.tag=v4.0.2 --set replicacount=2 --set storageclass.name=nfs-client --set storageclass.defaultclass=true --set nfs.server=192.168.0.120 --set nfs.path=/opt/nfsdata
【温馨提示】上面 nfs.server 设置为 vip,可实现高可用。
3、查看
kubectl get pods,deploy,sc -n nfs-provisioner
7)部署 harbor(https 方式)
1、创建 namespace
kubectl create ns harbor
2、创建证书秘钥
kubectl create secret tls myharbor.com --key myharbor.com.key --cert myharbor.com.crt -n harborkubectl get secret myharbor.com -n harbor
3、添加 chart 库
helm repo add harbor https://helm.goharbor.io
4、通过 helm 安装 harbor
helm install myharbor --namespace harbor harbor/harbor --set expose.ingress.hosts.core=myharbor.com --set expose.ingress.hosts.notary=notary.myharbor.com --set-string expose.ingress.annotations.'nginx.org/client-max-body-size'=1024m --set expose.tls.secretname=myharbor.com --set persistence.persistentvolumeclaim.registry.storageclass=nfs-client --set persistence.persistentvolumeclaim.jobservice.storageclass=nfs-client --set persistence.persistentvolumeclaim.database.storageclass=nfs-client --set persistence.persistentvolumeclaim.redis.storageclass=nfs-client --set persistence.persistentvolumeclaim.trivy.storageclass=nfs-client --set persistence.persistentvolumeclaim.chartmuseum.storageclass=nfs-client --set persistence.enabled=true --set externalurl=https://myharbor.com --set harboradminpassword=harbor12345
这里稍等一段时间在查看资源状态
kubectl get ingress,svc,pods,pvc -n harbor
5、ingress 没有 address 问题解决
【分析】,发现error: endpoints “default-http-backend” not found
cat < default-http-backend.yaml---apiversion: apps/v1kind: deploymentmetadata: name: default-http-backend labels: app: default-http-backend namespace: harborspec: replicas: 1 selector: matchlabels: app: default-http-backend template: metadata: labels: app: default-http-backend spec: terminationgraceperiodseconds: 60 containers: - name: default-http-backend # any image is permissible as long as: # 1. it serves a 404 page at / # 2. it serves 200 on a /healthz endpoint image: registry.cn-hangzhou.aliyuncs.com/google_containers/defaultbackend:1.4# image: gcr.io/google_containers/defaultbackend:1.4 livenessprobe: httpget: path: /healthz port: 8080 scheme: http initialdelayseconds: 30 timeoutseconds: 5 ports: - containerport: 8080 resources: limits: cpu: 10m memory: 20mi requests: cpu: 10m memory: 20mi---apiversion: v1kind: servicemetadata: name: default-http-backend namespace: harbor labels: app: default-http-backendspec: ports: - port: 80 targetport: 8080 selector: app: default-http-backendeofkubectl apply -f default-http-backend.yaml
6、卸载重新部署
# 卸载helm uninstall myharbor -n harborkubectl get pvc -n harbor| awk 'nr!=1{print $1}' | xargs kubectl delete pvc -n harbor# 部署helm install myharbor --namespace harbor harbor/harbor --set expose.ingress.hosts.core=myharbor.com --set expose.ingress.hosts.notary=notary.myharbor.com --set-string expose.ingress.annotations.'nginx.org/client-max-body-size'=1024m --set expose.tls.secretname=myharbor.com --set persistence.persistentvolumeclaim.registry.storageclass=nfs-client --set persistence.persistentvolumeclaim.jobservice.storageclass=nfs-client --set persistence.persistentvolumeclaim.database.storageclass=nfs-client --set persistence.persistentvolumeclaim.redis.storageclass=nfs-client --set persistence.persistentvolumeclaim.trivy.storageclass=nfs-client --set persistence.persistentvolumeclaim.chartmuseum.storageclass=nfs-client --set persistence.enabled=true --set externalurl=https://myharbor.com --set harboradminpassword=harbor12345
5、访问 harbor
https://myharbor.com
账号/密码:admin/harbor12345
6、harbor 常见操作
【1】创建项目 bigdata
【2】配置私有仓库
在文件/etc/docker/daemon.json添加如下内容:
insecure-registries:[https://myharbor.com]
重启 docker
systemctl restart docker
【3】服务器上登录 harbor
docker login https://myharbor.com#账号/密码:admin/harbor12345
【4】打标签并把镜像上传到 harbor
docker tag rancher/pause:3.6 myharbor.com/bigdata/pause:3.6docker push myharbor.com/bigdata/pause:3.6
7、修改 containerd 配置
以前使用 docker-engine 的时候,只需要修改/etc/docker/daemon.json 就行,但是新版的 k8s 已经使用 containerd 了,所以这里需要做相关配置,要不然 containerd 会失败。证书(ca.crt)可以在页面上下载:
创建域名目录
mkdir /etc/containerd/myharbor.comcp ca.crt /etc/containerd/myharbor.com/
配置文件:/etc/containerd/config.toml
[plugins.io.containerd.grpc.v1.cri.registry] config_path = [plugins.io.containerd.grpc.v1.cri.registry.auths] [plugins.io.containerd.grpc.v1.cri.registry.configs] [plugins.io.containerd.grpc.v1.cri.registry.configs.myharbor.com.tls] ca_file = /etc/containerd/myharbor.com/ca.crt [plugins.io.containerd.grpc.v1.cri.registry.configs.myharbor.com.auth] username = admin password = harbor12345 [plugins.io.containerd.grpc.v1.cri.registry.headers] [plugins.io.containerd.grpc.v1.cri.registry.mirrors] [plugins.io.containerd.grpc.v1.cri.registry.mirrors.myharbor.com] endpoint = [https://myharbor.com]
重启 containerd
#重新加载配置systemctl daemon-reload#重启containerdsystemctl restart containerd
简单使用
# 把docker换成crictl 就行,命令都差不多crictl pull myharbor.com/bigdata/mysql:5.7.38
执行 crictl 报如下错误的解决办法
warn[0000] image connect using default endpoints: [unix:///var/run/dockershim.sock unix:///run/containerd/containerd.sock unix:///run/crio/crio.sock unix:///var/run/cri-dockerd.sock]. as the default settings are now deprecated, you should set the endpoint instead.erro[0000] unable to determine image api version: rpc error: code = unavailable desc = connection error: desc = transport: error while dialing dial unix /var/run/dockershim.sock: connect: no such file or directory
这个报错是 docker 的报错,这里没使用,所以这个错误不影响使用,但是还是解决好点,解决方法如下:
cat < /etc/crictl.yamlruntime-endpoint: unix:///run/containerd/containerd.sockimage-endpoint: unix:///run/containerd/containerd.socktimeout: 10debug: falseeof
再次拉取镜像
crictl pull myharbor.com/bigdata/mysql:5.7.38
kubernetes(k8s)最新版最完整版基础环境部署+master 高可用实现详细步骤就到这里了,有疑问的小伙伴欢迎给我留言哦~
国产盐雾腐蚀试验箱的箱体制作材料说明
基于以太坊平台建立的去中心化金融应用kyberNetwork解析
高通2019年将推出第一批5G应用,2020年有望普及
为什么要测量土壤含水量,土壤水分测量的方法
5G时代的十大应用场景
k8s基础环境部署+master高可用实现步骤
2027年蜂窝物联网连接将增至 55 亿
通过park变换得到的Id、Iq有什么具体的物理含义?
真的18个月不卡,德国评测机构发现华为EMUI的秘诀!
揭开天线的面纱,剥开天线的外衣
耐压仪基础知识
激光加工多孔端面机械密封的动压分析
锆石FPGA A4_Nano开发板视频:红外IP核的定制
Mentor en2000.5的安装方法步骤
咖啡机可满足不同的口味喜好,为人们提供高品质的服务
Orcad导网表出现交换属性错误的解决方法
SDRPlay RSPduo SDR接收机天线测试
恒大造车“军团”越来越强大 新能源市场再起波澜
黑莓BB10成功机率增加 RIM股价上涨
飞畅隐藏式智能记录仪“FC6900”的上车体验