环境搭建 | 手动搭建K8S环境
2022-10-28 17:3:35 Author: www.secpulse.com(查看原文) 阅读量:19 收藏

     手动搭建K8S环境

K8S环境搭建

前期准备好三台Centos机器,配置如下:

主机名

ip

系统版本

k8s-master

172.16.200.70

Centos7

k8s-node1

172.16.200.71

Centos7

k8s-node2

172.16.200.72

Centos7

01
前期准备

前期准备好三台Centos7机器,均配置如下:

image.png

在三台机器上均安装docker、kubeadm、kubelet,在master节点安装kubectl

 如下配置阿里云的K8s源

cat > /etc/yum.repos.d/kubernetes.repo << EOF
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpgEOF

安装docker就不赘述了,执行如下命令一键安装

curl -s https://get.docker.com/ | sh

如下所示安装完成:

接着执行如下命令安装kubelet、kubeadm和kubectl

#安装kubelet、kubeadm和kubectl
yum install -y kubelet-1.23.0 kubeadm-1.23.0 kubectl-1.23.0
#设置kubelet开机自启
systemctl enable kubelet

02
部署K8S-Master

    在master节点执行如下命令初始化master

kubeadm init --apiserver-advertise-address=172.16.200.70 --image-repository=registry.aliyuncs.com/google_containers --kubernetes-version v1.23.0 --service-cidr=10.10.10.0/24 --pod-network-cidr=10.20.20.0/24 --ignore-preflight-errors=all

    然后拷贝k8s认证文件

mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

    这里记住kubeadm join这条命令,在node节点执行这条命令加入集群。

03
K8S-Node

在两个node节点执行如下命令即可加入K8S集群

kubeadm join 172.16.200.70:6443 --token y05mrn.y5yz5g0zvjyanos5 --discovery-token-ca-cert-hash sha256:683c265dcc24cdf2f1a677f0bd38236326514d4270d2d62b602912bf8f70c22e

默认token的有效期为24小时,过了24小时之后,该token就不可用了。这时就需要重新创建token,可以在master节点直接如下命令生成:

kubeadm token create --print-join-command
04
部署网络

    Calico是一个纯三层的数据中心网络方案,是目前Kubernetes主流的网络方案。

wget https://docs.projectcalico.org/v3.19/manifests/calico.yaml --no-check-certificate
wget https://docs.projectcalico.org/manifests/calico.yaml --no-check-certificate

    下载完后还需要修改里面定义Pod网络(CALICO_IPV4POOL_CIDR),与之前kubeadm init的 --pod-network-cidr指定的一样。

    默认calico.yaml中所使用的镜像都来源于docker.io国外镜像源,这里我们可以删除docker.io前缀以使镜像从国内镜像加速站点下载。

cat calico.yaml |grep 'image:'
sed -i 's#docker.io/##g' calico.yaml

修改完后文件后,进行部署:

#部署
kubectl apply -f calico.yaml
#查看状态,执行完上一条命令需要等一会才全部running
kubectl get pods -n kube-system

报错解决

    如果在部署calico.yaml文件的时候碰到如下错误,则是因为calico版本与k8s版本不匹配导致的,可以参考[https://projectcalico.docs.tigera.io/archive/v3.23/getting-started/kubernetes/requirements](https://projectcalico.docs.tigera.io/archive/v3.23/getting-started/kubernetes/requirements)找到对应版本的calico。

查看pods的状态,可以看到calico的是Init:ImagePullBackOff

直接去网站进行下载:https://github.com/projectcalico/calico/releases

下载完成后解压,image文件夹下为docker镜像文件,还原

docker load < xx.tar

重新部署

#移除
kubectl delete -f calico.yml
#部署
kubectl apply -f calico.yaml
05
部署Dashboard

    Dashboard是官方提供的一个Web UI,可用于基本管理K8s资源,执行如下命令下载yaml文件。默认Dashboard只能集群内部访问,修改Service为NodePort类型,暴露到外部:

wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.4.0/aio/deploy/recommended.yaml

    修改如下,nodePort的端口范围为30000-32767,这里设置为31000,并且添加type:NodePort

执行如下命令应用

kubectl apply -f recommended.yaml

在master节点创建service account并绑定默认cluster-admin管理员集群角色

# 创建用户
kubectl create serviceaccount dashboard-admin -n kube-system
# 用户授权
kubectl create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin
# 获取用户Token
kubectl describe secrets -n kube-system $(kubectl -n kube-system get secret | awk '/dashboard-admin/{print $1}')

然后使用输出的token登录Dashboard。 

https://master ip 或 node ip:31000 均可

报错解决

    如果出现如下报错

[kubelet-check] It seems like the kubelet isn't running or healthy.
[kubelet-check] The HTTP call equal to 'curl -sSL http://localhost:10248/healthz' failed with error: Get "http://localhost:10248/healthz": dial tcp [::1]:10248: connect: connection refused.

    这是因为Docker和 kubelet 服务中的 cgroup 驱动不一致导致的,有两种方法解决:

  • 方式一:驱动向 docker 看齐

  • 方式二:驱动为向 kubelet 看齐

    这里使用方式二,驱动向kubelet 看齐。首先查看kubelet的驱动,可以看到为systemd。

修改/etc/docker/daemon.json 文件,将其驱动也配置为systemd,然后启动docker即可。

image.png

参考:[https://blog.csdn.net/tiny_du/article/details/123823093](https://blog.csdn.net/tiny_du/article/details/123823093)

以下文章来源于谢公子学安全 ,作者谢公子

本文作者:贝塔安全实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/190079.html


文章来源: https://www.secpulse.com/archives/190079.html
如有侵权请联系:admin#unsafe.sh