二进制文件部署k8s方式(4)

最新推荐文章于 2026-01-07 09:12:56 发布
原创 最新推荐文章于 2026-01-07 09:12:56 发布 · 626 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

2025博客之星年度评选已开启 10w+人浏览 3.4k人参与

二进制文件部署k8s方式(4)

Master节点_kube-apiserver部署

下载二进制安装包

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.26.md#v1183

里面能看到很多安装包,我们针对master节点只需要下载Server Binaries

image-20260106151247921 image-20260106151739675

各安装包对应内容分别为

Client Binaries(客户端二进制文件)
  • kubectl - Kubernetes 命令行工具,用于管理集群
  • 平台版本:Linux、Windows、macOS(amd64/arm64)
Server Binaries(服务器端二进制文件)

核心控制平面组件:

  • kube-apiserver - API 服务器,集群的前端入口
  • kube-controller-manager - 运行各种控制器进程
  • kube-scheduler - 负责调度 Pod 到节点
  • kube-proxy - 网络代理,实现 Service 概念
  • kubelet - 节点代理,管理 Pod 和容器
  • 平台:Linux(amd64/arm64)
Node Binaries(节点二进制文件)

最小化节点运行所需:

  • kubelet - 必须在每个节点上运行
  • kube-proxy - 可选,但通常需要
  • 平台:Linux(amd64/arm64)
Container Images(容器镜像)

所有核心组件的容器化版本:

  • kube-apiserver
  • kube-controller-manager
  • kube-scheduler
  • kube-proxy
  • 镜像仓库:registry.k8s.io
Source Code(源代码)
  • 完整的 Kubernetes 项目源代码
  • 构建脚本和配置
  • 文档和示例

下载后再上传到master节点

解压二进制包

创建k8s安装目录

master1节点执行

mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}

解压

tar zxvf kubernetes-server-linux-amd64.tar.gz

cd kubernetes/server/bin

master节点主要安装kube-apiserver、kube-scheduler和kube-controller-manager三个服务

cp kube-apiserver kube-scheduler kube-controller-manager /opt/kubernetes/bin

安装kubectl服务

cp kubectl /usr/bin/

同步到其他master节点

NODES='master2 master3'; \
for NODE in $NODES; \
do \
ssh $NODE "mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}"; \
scp kube-apiserver $NODE:/opt/kubernetes/bin;\
scp kube-scheduler $NODE:/opt/kubernetes/bin;\
scp kube-controller-manager $NODE:/opt/kubernetes/bin;\
scp kubectl $NODE:/usr/bin;\
done

kube-apiserver部署

生成ca证书

进入证书存放目录

均只在master1执行

cd /opt/kubernetes/ssl

创建CA配置文件

cat > ca-config.json << EOF 
{
  "signing": {
    "default": {
      "expiry": "876000h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "876000h"
      }
    }
  }
}
EOF

创建CA证书签名请求文件

cat > ca-csr.json   << EOF 
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "Kubernetes",
      "OU": "Kubernetes-manual"
    }
  ],
  "ca": {
    "expiry": "876000h"
  }
}
EOF

以上俩文件作用在《二进制文件方式部署k8s(2)》中有所提及

生成证书

cfssl gencert -initca ca-csr.json | cfssljson -bare ca - && ls *.pem

image-20260106155053422

签发kube-apiserver证书

在master1执行

创建证书申请文件

cat > kube-apiserver-csr.json<< EOF
{
    "CN": "kube-apiserver",
    "hosts": [
        "10.96.0.1",
        "127.0.0.1",
        "192.168.153.200", 		//这里预留一条IP为后续负载均衡做准备
        "192.168.153.161",
        "192.168.153.162",
        "192.168.153.163",
        "192.168.153.181",
        "192.168.153.182",
        "kubernetes",
        "kubernetes.default",
        "kubernetes.default.svc",
        "kubernetes.default.svc.cluster",
        "kubernetes.default.svc.cluster.local"
    ],
    "key": {
    "algo": "rsa",
    "size": 2048
  },
    "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "Kubernetes",
      "OU": "Kubernetes-manual"
    }
  ]
}
EOF

生成证书

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-apiserver-csr.json | cfssljson -bare kube-apiserver && ls kube-apiserver*pem

image-20260106160725485

生成apiserver聚合证书

在master1执行

创建证书申请文件

cat > front-proxy-ca-csr.json  << EOF 
{
  "CN": "kubernetes",
  "key": {
     "algo": "rsa",
     "size": 2048
  },
  "ca": {
    "expiry": "876000h"
  }
}
EOF

cfssl gencert -initca front-proxy-ca-csr.json | cfssljson -bare front-proxy-ca - && ls front-proxy-ca*.pem

证书签发

cat > front-proxy-client-csr.json  << EOF 
{
  "CN": "front-proxy-client",
  "key": {
     "algo": "rsa",
     "size": 2048
  }
}
EOF

cfssl gencert -ca=front-proxy-ca.pem -ca-key=front-proxy-ca-key.pem -config=ca-config.json -profile=kubernetes front-proxy-client-csr.json | cfssljson -bare front-proxy-client && ls front-proxy-client*pem

创建ServiceAccount Key

ServiceAccount Key(服务账户密钥) 是 Kubernetes 中用于身份验证和授权的重要凭证

openssl genrsa -out /opt/kubernetes/ssl/sa.key 2048

openssl rsa -in /opt/kubernetes/ssl/sa.key -pubout -out /opt/kubernetes/ssl/sa.pub

证书拷贝到其他节点

NODES='master2 master3 worker1 worker2'; \
for NODE in $NODES; \
do \
for FILE in ca-key.pem  ca.pem  front-proxy-ca-key.pem  front-proxy-ca.pem  front-proxy-client-key.pem  front-proxy-client.pem  kube-apiserver-key.pem  kube-apiserver.pem sa.key sa.pub; \
do \
scp /opt/kubernetes/ssl/${FILE} $NODE:/opt/kubernetes/ssl/${FILE};\
done \
done

创建配置文件

各master节点执行

cat > /opt/kubernetes/cfg/kube-apiserver.conf << EOF
KUBE_APISERVER_OPTS="--v=2  \\
      --allow-privileged=true  \\
      --bind-address=0.0.0.0  \\
      --secure-port=6443  \\
      --advertise-address=192.168.153.161 \\ 	#master节点ip
      --service-cluster-ip-range=10.96.0.0/12  \\
      --service-node-port-range=30000-32767  \\
      --etcd-servers=https://192.168.153.161:2379,https://192.168.153.162:2379,https://192.168.153.163:2379 \\
      --etcd-cafile=/opt/etcd/ssl/ca.pem  \\
      --etcd-certfile=/opt/etcd/ssl/etcd.pem  \\
      --etcd-keyfile=/opt/etcd/ssl/etcd-key.pem  \\
      --client-ca-file=/opt/kubernetes/ssl/ca.pem  \\
      --tls-cert-file=/opt/kubernetes/ssl/kube-apiserver.pem  \\
      --tls-private-key-file=/opt/kubernetes/ssl/kube-apiserver-key.pem  \\
      --kubelet-client-certificate=/opt/kubernetes/ssl/kube-apiserver.pem  \\
      --kubelet-client-key=/opt/kubernetes/ssl/kube-apiserver-key.pem  \\
      --service-account-key-file=/opt/kubernetes/ssl/sa.pub  \\
      --service-account-signing-key-file=/opt/kubernetes/ssl/sa.key  \\
      --service-account-issuer=https://kubernetes.default.svc.cluster.local \\
      --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname  \\
      --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,ResourceQuota  \
      --authorization-mode=Node,RBAC  \\
      --enable-bootstrap-token-auth=true  \\
      --requestheader-client-ca-file=/opt/kubernetes/ssl/front-proxy-ca.pem  \\
      --proxy-client-cert-file=/opt/kubernetes/ssl/front-proxy-client.pem  \\
      --proxy-client-key-file=/opt/kubernetes/ssl/front-proxy-client-key.pem  \\
      --requestheader-allowed-names=aggregator  \\
      --requestheader-group-headers=X-Remote-Group  \\
      --requestheader-extra-headers-prefix=X-Remote-Extra-  \\
      --requestheader-username-headers=X-Remote-User \\
      --enable-aggregator-routing=true"
EOF

其中各条目意思如下

-v:日志等级
–etcd-servers:etcd集群地址
–bind-address:监听地址
–secure-port:https 安全端口
–advertise-address:集群通告地址
–allow-privileged:启用授权
–service-cluster-ip-range:Service虚拟 IP地址段
–enable-admission-plugins:准入控制模块
–authorization-mode:认证授权,启用 RBAC 授权和节点自管理
–enable-bootstrap-token-auth:启用 TLS bootstrap 机制
–token-auth-file:bootstrap token文件
–service-node-port-range:Service nodeport类型默认分配端口范围
–kubelet-client-xxx:apiserver 访问 kubelet客户端证书
–tls-xxx-file:apiserver https 证书
–etcd-xxxfile:连接 Etcd 集群证书
–audit-log-xxx:审计日志
1.20版本以上必须添加参数:--service-account-issuer,--service-account-signing-key-file
启动聚合层相关配置:--requestheader-client-ca-file、--proxy-client-cert-file、--proxy-client-key-file、--requestheader-allowed-names、--requestheader-group-headers、--requestheader-extra-headers-prefix、--requestheader-username-headers

设置启动配置

master1节点执行

cat > /usr/lib/systemd/system/kube-apiserver.service << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
EnvironmentFile=/opt/kubernetes/cfg/kube-apiserver.conf
ExecStart=/opt/kubernetes/bin/kube-apiserver \$KUBE_APISERVER_OPTS
Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target
EOF

拷贝到其他master节点

NODES='master2 master3'; \
for NODE in $NODES; \
do \
scp /usr/lib/systemd/system/kube-apiserver.service $NODE:/usr/lib/systemd/system/;\
done

设置开机启动

所有master节点执行

systemctl daemon-reload && systemctl enable --now kube-apiserver

验证

systemctl status kube-apiserver

image-20260106163435904

K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 5749
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产中使用功能可能不便于排查故障。二进制方式部署k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
二进制部署k8s单master集群
qq_54188720的博客
08-01 1838
k8s 组网方案对比:●flannel方案需要在每个节点上把发向容器的数据包进行封装后,再用隧道将封装后的数据包发送到运行着目标Pod的node节点上。目标node节点再负责去掉封装,将去除封装的数据包发送到目标Pod上。数据通信性能则大受影响。●calico方案Calico不使用隧道或NAT来实现转发,而是把每个操作系统的协议栈认为是一个路由器,然后把所有的容器认为是连在这个路由器上的网络终端,在路由器之间跑标准的路由协议——BGP的协议,然后让它们自己去学习这个网络拓扑该如何转发。
二进制方式部署k8s集群
mufg15dfg的博客
10-25 1916
1、Kubernetes集群部署架构规划2、部署Etcd数据库集群3、在Node节点安装Docker4部署Flannel网络插件5、在Master节点部署组件(api-server,schduler,controller-manager)6、在Node节点部署组件(kubelet,kube-proxy)7、查看集群状态8、运行⼀个测试示例9、部署Dashboard(Web UI) 可选。
二进制方式部署k8s集群(实践)
qq_54494363的博客
07-24 2206
二进制部署Kubernetes (二进制部署k8s) 是一种手动安装和配置Kubernetes集群的方法,适用于那些对Kubernetes架构和组件有深入了解的高级用户和管理员。
k8s二进制安装部署(详细)
热门推荐
qq_44078641的博客
09-15 3万+
一、生产环境部署k8s常见的几种方式 1.1 kubeadm Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。 1.2 二进制 从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。 小结: Kubeadm降低部署门槛,但屏蔽了很多细节,遇到问题很难排查。如果想更容易可控,推荐使用二进制包部署Kubernetes集群,虽然手动部署 麻烦点,期间可以学习很多工作原理,也利于后期维护。 1.3
二进制方式部署k8s集群(详细讲解)
hanjinjuan的博客
10-12 8912
文章目录一、Kubernetes集群部署架构规划二、准备环境三、 部署Etcd集群1、生成证书2、安装etcd3、部署Flannel网络*四、在Master节点部署组件1、生成证书2、部署apiserver组件---在master节点进行3、部署schduler组件---master节点4部署controller-manager组件--控制管理组件五、在Node节点部署组件1、部署kubelet组件2、部署kube-proxy组件六、部署Dashboard(Web UI) 一、Kubernetes集群部署
二进制部署K8s
weixin_45649746的博客
12-29 615
二进制部署K8s        一、环境需求        节点IP 节点名称 所需组件 192.168.248.11 k8s-master docker、etcd、apiserver、controller-manager、scheduler、kube-proxy、flannel 192.168.248.33 k8s-node1 docker、etcd、Kubelet、
Centos7二进制部署k8s
weixin_57949827的博客
10-21 1205
三台机器 , 所有机器相互做解析 centos7.4 关闭防⽕墙和 selinux(我的主机名没有k8s,为了方便我文章写了k8s
K8S二进制安装部署
qq_44684940的博客
08-20 944
K8S二进制安装部署
二进制方式搭建K8S集群详细教程
一枚风雨流苏的博客
11-28 1386
本文介绍两种常用的KubernetesK8S)集群部署方法:kubeadm搭建K8S和二进制方式搭建K8S。kubeadm提供了简化的部署工具,适合快速搭建测试环境或小型生产环境。二进制方式更灵活,适用于需要定制化配置和深度控制的复杂部署场景。本文将提供详细步骤和截图指导,帮助大家成功搭建可靠高效的Kubernetes集群,为应用提供强大的容器化支持。
精选资源
二进制方式部署k8s集群相关配置文件及依赖包
03-03
网络组件yaml文件:calico.yaml cfss生成证书安装包 etcd二次开发包:etcd-v3.4.9-linux-amd64.tar.gz k8s二进制安装包:kubernetes-server-v1.20.5-linux-amd64.tar.gz
精选资源
二进制部署k8s高可用集群(二进制-V1.20).docx
06-29
* 部署 Etcd 集群:使用二进制文件部署 Etcd 集群。 4. 安装 Docker Docker 是 K8s 集群的容器 runtime,用于运行容器。安装 Docker 需要: * 解压二进制包:解压 Docker 二进制文件。 * systemd 管理 docker:...
精选资源
二进制高可用k8s集群一键部署脚本
04-02
首先,了解二进制部署意味着不依赖于预打包的镜像或者自动化工具,而是手动下载k8s的各个组件(如kubelet、kube-apiserver等)的二进制文件,并在每台节点上进行安装和配置。这种方式对理解k8s的工作原理非常有帮助...
K8S管理GPU等简述
最新发布
weixin_46136610的博客
01-07 579
核心铁律:/dev/nvidia0以 ** 服务器插了 4 块物理 GPU(对应)** 为例,结合官方文档与实践规范修正细节,完整保留全流程逻辑,新增一站式测试脚本与避坑指南,形成 “原理 + 操作 + 验证 + 排错” 的完整闭环。
K8s 组网方案
2503_93990865的博客
01-06 633
如果你是刚接触 K8s 的开发者、运维同学,或许曾在配置 kubectl 补全时疑惑 “这些操作到底是为了什么”,也可能在面对 “Pod 跨节点连不通”“不同环境的资源怎么隔离” 时一头雾水 —— 这正是我们梳理这部分内容的起点。
K8s修改Kubelet过程(命令版本)
Connie1451的博客
01-06 161
注意修改Kubelet需要在每个节点分别执行,比如有master001 ,master002。
k8s中, deployments 、pods 、replica sets 、services 他们分别是什么?有什么关联?
独断万码
01-05 455
Kubernetes核心概念包括: Pod:最小部署单元,包含共享资源的容器组,生命周期短暂。 ReplicaSet:确保指定数量的Pod副本运行,通过标签管理Pod。 Deployment:管理ReplicaSet,支持声明式滚动更新和回滚,实现应用版本控制。 Service:为动态Pod提供稳定网络端点,通过负载均衡暴露服务。 关联:Deployment创建ReplicaSet,ReplicaSet维护Pod副本,Service通过标签关联Pod提供访问。
K8S(二)—— K8S 1.28 集群部署指南(kubeadm 方式
sk13587280072的博客
01-05 718
提示:以下是本篇文章正文内容,下面案例可供参考提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
Kubernetes 学习总结(49)—— Kubernetes 本地目录挂载详解
科技D人生
01-04 850
本文介绍了Kubernetes中实现本地目录挂载的核心方法。通过hostPath卷类型和VolumeMounts挂载点,可将节点本地目录映射到Pod容器内部。详细说明了两种场景的实现步骤:单节点直接挂载和多节点通过nodeSelector指定目标节点挂载。强调了hostPath的type参数校验规则及常见问题解决方案,包括目录权限、调度错误等。建议生产环境避免宽权限配置,并指出本地挂载仅适用于非核心数据场景。如需高可用或多节点共享,应考虑NFS或PV/PVC方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值