K8S-Demo集群实践11:部署ipvs模式的kube-kubelet组件

最新推荐文章于 2023-06-15 17:34:20 发布
最新推荐文章于 2023-06-15 17:34:20 发布
阅读量1.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: k8s-demo 文章标签: kubernetes k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jasonhe2018/article/details/112907891
本文详细介绍了如何在Kubernetes集群中部署ipvs模式的kubelet组件,包括创建和分发kubelet配置文件,启动kubelet服务,并确保kube-apiserver能访问kubelet API。此外,还涵盖了证书签名请求(CSR)的批准流程和节点状态的检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

K8S-Demo集群实践11:部署ipvs模式的kube-kubelet组件

  • kubelet运行在每个worker节点上,接收kube-apiserver发送的请求,管理Pod容器,执行交互式命令,如exec、run、logs等
  • kubelet启动时自动向kube-apiserver注册节点信息,内置的cadvisor统计和监控节点的资源使用情况

一、创建和分发kubelet bootstrap kubeconfig文件

[root@master1 ~]# cd /opt/install/kubeconfig
[root@master1 kubeconfig]# for node_name in ${ALL_NAMES[@]}
  do
    echo ">>> ${node_name}"

    # 创建 token
    export BOOTSTRAP_TOKEN=$(kubeadm token create \
      --description kubelet-bootstrap-token \
      --groups system:bootstrappers:${node_name} \
      --kubeconfig ~/.kube/config)

    # 设置集群参数
    kubectl config set-cluster k8s-demo \
      --certificate-authority=/opt/install/cert/ca.pem \
      --embed-certs=true \
      --server=${KUBE_APISERVER} \
      --kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig

    # 设置客户端认证参数
    kubectl config set-credentials kubelet-bootstrap \
      --token=${BOOTSTRAP_TOKEN} \
      --kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig

    # 设置上下文参数
    kubectl config set-context default \
      --cluster=k8s-demo \
      --user=kubelet-bootstrap \
      --kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig

    # 设置默认上下文
    kubectl config use-context default --kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig
  done
  • 分发到所有节点 3Master+3Node,方便监控每个节点的资源利用率
[root@master1 ~]# cd /opt/install/kubeconfig
[root@master1 kubeconfig]# for node_name in ${ALL_NAMES[@]}
  do
    echo ">>> ${node_name}"
    scp kubelet-bootstrap-${node_name}.kubeconfig root@${node_name}:/opt/k8s/etc//kubelet-bootstrap.kubeconfig
  done

二、创建和分发kubelet的参数配置文件

  • 准备模板 kubelet-config.yaml.template
[root@master1 ~]# cd /opt/install/kubeconfig
[root@master1 kubeconfig]# cat > kubelet-config.yaml.template <<EOF
kind: KubeletConfiguration
apiVersion: kubelet.config.k8s.io/v1beta1
address: "##NODE_IP##"
staticPodPath: ""
syncFrequency: 1m
fileCheckFrequency: 20s
httpCheckFrequency: 20s
staticPodURL: ""
port: 10250
readOnlyPort: 0
rotateCertificates: true
serverTLSBootstrap: true
authentication:
  anonymous:
    enabled: false
  webhook:
    enabled: true
  x509:
    clientCAFile: "/opt/k8s/etc/cert/ca.pem"
authorization:
  mode: Webhook
registryPullQPS: 0
registryBurst: 20
eventRecordQPS: 0
eventBurst: 20
enableDebuggingHandlers: true
enableContentionProfiling: true
healthzPort: 10248
healthzBindAddress: "##NODE_IP##"
clusterDomain: "${CLUSTER_DNS_DOMAIN}"
clusterDNS:
  - "${CLUSTER_DNS_SVC_IP}"
nodeStatusUpdateFrequency: 10s
nodeStatusReportFrequency: 1m
imageMinimumGCAge: 2m
imageGCHighThresholdPercent: 85
imageGCLowThresholdPercent: 80
volumeStatsAggPeriod: 1m
kubeletCgroups: ""
systemCgroups: ""
cgroupRoot: ""
cgroupsPerQOS: true
cgroupDriver: cgroupfs
runtimeRequestTimeout: 10m
hairpinMode: promiscuous-bridge
maxPods: 220
podCIDR: "${CLUSTER_CIDR}"
podPidsLimit: -1
resolvConf: /etc/resolv.conf
maxOpenFiles: 1000000
kubeAPIQPS: 1000
kubeAPIBurst: 2000
serializeImagePulls: false
evictionHard:
  memory.available:  "100Mi"
  nodefs.available:  "10%"
  nodefs.inodesFree: "5%"
  imagefs.available: "15%"
evictionSoft: {}
enableControllerAttachDetach: true
failSwapOn: true
containerLogMaxSize: 20Mi
containerLogMaxFiles: 10
systemReserved: {}
kubeReserved: {}
systemReservedCgroup: ""
kubeReservedCgroup: ""
enforceNodeAllocatable: ["pods"]
EOF
  • ddress:kubelet安全端口(https,10250)监听的地址,不能为127.0.0.1,否则kube-apiserver、heapster等不能调用kubelet的API
  • readOnlyPort=0:关闭只读端口(默认 10255),等效为未指定
  • authentication.anonymous.enabled:设置为false,不允许匿名访问10250端口
  • authentication.x509.clientCAFile:指定签名客户端证书的CA证书,开启HTTP证书认证
  • authentication.webhook.enabled=true:开启HTTPS bearer token认证
  • 分发到所有节点
[root@master1 ~]# cd /opt/install/kubeconfig
[root@master1 kubeconfig]# for nod
最低0.47元/天 解锁文章

200万优质内容无限畅学
k8s集群安装ipvs
欢迎你们到来,希望能帮到大家
02-24 601
整理安装ipvs知识点,希望能帮到您!
centos7下用kubeadm安装k8s集群并使用ipvs做高可用方案
05-19 1049
1.准备 1.1系统配置 在安装之前,需要先做如下准备。三台CentOS主机如下: 配置yum源(使用腾讯云的) 替换之前先备份旧配置 mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup centos各版本的源配置列表 centos5 wget -O /etc/yum.repos.d/...
K8S高可用集群部署
m0_47116305的博客
09-16 274
节点信息: 主机名 IP地址 角色 OS k8s-master01 192.168.1.1 master centos-7.6 k8s-master02 192.168.1.2 master centos-7.6 k8s-master03 192.168.1.3 master centos-7.6 k8s-node01 192.168.1.4 node centos-7.6 k8s-node02
记一次kubernetes集群异常:kubelet连接apiserver超时
weixin_33736832的博客
06-11 1283
本文通过记录kubelet连接apiserver超时问题的原因及修复办法。上篇文章回顾:一文读懂HBase多租户背景kubernetes是master-slave结构,master node是集群的大脑,当master node发生故障时整个集群都"out of control"。master node中最重要的当属apiserver组件,它负责处理所有请求,并持久化状态到etcd。一般我们会部署...
Kubernetes 证书
qq_42989020的博客
02-10 194
kubernetes证书
K8S-Demo集群实践09:部署高可用kube-scheduler集群
jasonhe2018的博客
01-20 433
K8S-Demo集群实践部署高可用kube-scheduler集群 先用起来,通过操作实践认识k8s,积累多了自然就理解了 把理解的知识分享出来,自造福田,自得福缘 追求简单,容易使人理解,知识的上下文也是知识的一部分,例如版本,时间等 欢迎留言交流,也可以提出问题,一般在周末回复和完善文档 Jason@vip.qq.com 2021-1-20。 ...
K8S-Demo集群实践06:部署kube-apiserver到master节点(3个无状态实例)
jasonhe2018的博客
01-19 984
K8S-Demo集群实践部署kube-apiserver到master节点(3个无状态实例)一、下载并分发二进制文件到3个master节点二、创建加密配置文件三、创建并分发审计策略1、创建审计策略文件 audit-policy.yaml2、分发审计策略文件到3个master节点四、部署kube-apiserver服务1、创建kube-apiserver systemd unit模板文件2、分发kube-apiserver systemd unit文件到3个master节点3、启动kube-apiserve
K8S-Demo集群实践12:部署Calico网络
jasonhe2018的博客
01-21 1628
K8S-Demo集群实践部署Calico网络一、准备镜像二、部署Calico网络插件1、下载yaml文件2、修改 calico.yaml3、部署calico三、检查Calico网络状态1、查看calico进程2、检查calico网络配置四、calicoctl简介1、下载calicoctl命令行工具2、查看网络状态3、查看网络资源五、问题参考 Pod跨宿主机网络通讯方案主要有Flannel,Calico,Weave,Contiv等 k8s-demo集群采用Calico网络组建,有两种实现方式IPIP(默认
K8S-Demo集群实践13:部署集群CoreDNS
jasonhe2018的博客
01-22 2711
K8S-Demo集群实践部署集群CoreDNS 先用起来,通过操作实践认识k8s,积累多了自然就理解了 把理解的知识分享出来,自造福田,自得福缘 追求简单,容易使人理解,知识的上下文也是知识的一部分,例如版本,时间等 欢迎留言交流,也可以提出问题,一般在周末回复和完善文档 Jason@vip.qq.com 2021-1-22 ...
Kubernetes集群安全:Api Server认证
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-11 3585
Kubernetes提供了三种级别的客户端认证方式: HTTPS证书认证,是基于CA根证书签名的双向数字证书认证方式,是最严格的认证 HTTP Token认证,通过Token识别每个合法的用户 HTTP Basic认证 HTTP Token认证和Http Basic认证是相对简单的认证方式,Kubernetes的各组件与Api Server的通信方式仍然是HTTPS,但不再使用CA数字证书。 ...
云原生|kubernetes部署和运行维护中的错误汇总(不定时更新)
zsk_john的技术分享专用博客
08-29 4537
两个文件都写了initial初始化,就冲突啦,而etcd-3.3以及之前的版本不会报错,两个文件可以重复配置。
K8S:无法正常开启 Kube-apiserver
Xucf1
04-16 6416
文章目录K8S:无法正常开启 Kube-apiserver①报错现象②解决过程 K8S:无法正常开启 Kube-apiserver ①报错现象 环境:K8S 单节点二进制部署 主机 IP 组件 master01 192.168.126.11 kube-apiserverkube-controller-manager、kube-scheduler、etcd node01 192.168.126.13 kubeletkube-proxy、docker、flannel、etcd nod
Kubernetes组件_APIServer_证书_03_四个静态Pod Yaml文件解析
毛毛的专栏
06-04 1989
四个静态Pod Yaml文件解析
折腾树莓派k8s
steven的博客
10-11 895
树莓派4b
(四)Kubernetes - 手动部署(二进制方式安装)
u010230019的博客
05-06 1404
二进制部署 3
kubernetes的PKI证书
rendongxingzhe的博客
05-10 1638
Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用 kubeadm 安装的 Kubernetes,则会自动生成集群所需的证书。你也可以自己生成证书。 集群是如何使用证书的 Kubernetes 需要 PKI 才能执行以下操作 1.Kubelet 的客户端证书,用于 API 服务器身份验证 2.API 服务器端点的证书 3.集群管理员的客户端证书,用于 API 服务器身份认证 4.API 服务器的客户端证书,用于和 Kubelet 的会话 5.AP
k8skubelet接口的认证和授权
weixin_47729423的博客
08-11 1813
访问kubelet接口的认证和授权
Kubernetes 控制平面组件证书更新与重启,排错
weixin_54104864的博客
06-15 290
【代码】Kubernetes 控制平面组件证书更新与重启,排错。
Kubernetes笔记(八) Kubernetes 安全
艾希射日
02-14 3272
文章目录1. mTLS2. 认证2.1 ServiceAccount2.2 用户生成私钥与 CSR创建 Certificate Signing Request批准 Certificate Signing Request3. Kubeconfig4. 授权4.1 RBAC4.1.1 Roles & ClusterRoles4.1.2 RoleBinding & ClusterRoleBinding4.1.3 命令行工具5. 准入控制5.1 动态准入控制5.1.1 WebHook Server5
clusterIp怎么来的
最新发布
04-02
<think>好的,我需要解释Kubernetes中ClusterIP的生成原理和服务创建过程。首先,用户提到了ClusterIP是k8s分配的一个虚拟IP,只能在集群内部访问,通过iptables转发到后端Pod。根据引用[3],ClusterIP是在创建Service时由k8s从可分配的IP池中分配的,这个IP池应该是在配置集群时设置的,比如在kube-apiserver的启动参数中指定了service-cluster-ip-range参数。 接下来,服务创建的过程涉及几个步骤。当用户创建Service资源时,kube-apiserver会接收到请求,然后Service控制器负责分配ClusterIP。这个IP需要是唯一的,并且属于预先配置的CIDR范围内。然后,kube-proxy组件会根据Service的配置更新iptables规则,将流量从ClusterIP转发到对应的Endpoints,也就是后端的Pod地址。引用[4]提到kube-proxy使用iptables模式,这是默认的方式,通过设置iptables规则来实现负载均衡。 此外,引用[2]指出ClusterIP是虚拟IP,无法ping通,但可以通过服务端口访问。这说明ClusterIP并不绑定到任何实际网络接口,而是通过iptables或IPVS进行流量拦截和转发。 关于生成机制,ClusterIP的分配可能涉及到etcd,如引用[3]所述,但更准确地说,应该是kube-controller-manager中的service控制器负责管理IP分配,可能使用内部的存储机制来跟踪已分配的IP,而不是直接依赖etcd。每个Service创建时,控制器从池中选择一个未被使用的IP,并确保其唯一性。 最后,整个过程需要各个组件的协作:kube-apiserver处理请求,Service控制器分配IP,kube-proxy配置网络规则。这样,当用户访问ClusterIP时,流量会被正确路由到后端Pod。</think>### Kubernetes ClusterIP 生成原理与服务创建过程 #### 1. **ClusterIP 的生成机制** ClusterIP 是 Kubernetes 为 Service 分配的**虚拟 IP 地址**,其生成遵循以下核心逻辑: - **IP 池配置**:集群初始化时通过 `service-cluster-ip-range` 参数定义 CIDR 范围(如 `10.233.0.0/16`),该范围决定了可分配的 ClusterIP 池[^1]。 - **动态分配**:创建 Service 时,kube-controller-manager 的 Service 控制器从 IP 池中选择**最小可用 IP**,并通过原子操作确保唯一性(无需依赖 etcd)[^3]。 - **保留 IP**:首地址(如 `10.233.0.1`)通常保留给 Kubernetes API Server,后续地址按需分配。 #### 2. **Service 创建流程** 当用户创建 Service 资源时,系统会触发以下过程: 1. **API Server 接收请求** YAML 文件提交后,kube-apiserver 验证并存储 Service 资源到 etcd。 2. **Service 控制器介入** - 检测到新 Service 对象后,控制器从预配置的 IP 池分配 ClusterIP。 - 更新 Service 对象的 `.spec.clusterIP` 字段[^3]。 3. **Endpoints 控制器同步** 根据 Service 的 Label Selector 匹配 Pod,生成 Endpoints 对象(记录后端 Pod 的 IP:Port 列表)。 4. **kube-proxy 配置网络规则** - **iptables 模式**(默认):插入 NAT 规则,将目标为 ClusterIP:Port 的流量随机转发至后端 Pod IP[^4]。 - **IPVS 模式**:利用内核 IPVS 表实现更高效的负载均衡。 #### 3. **关键技术特性** - **虚拟性**:ClusterIP 不绑定物理网卡,仅通过 iptables/IPVS 实现流量重定向[^3]。 - **稳定性**:Service 生命周期内 ClusterIP 固定不变(删除重建会重新分配)。 - **DNS 集成**:CoreDNS 自动为 ClusterIP 创建 `[服务名].[命名空间].svc.cluster.local` 的 DNS 记录[^2]。 #### 4. **示例配置片段** ```yaml apiVersion: v1 kind: Service metadata: name: demo-service spec: type: ClusterIP clusterIP: 10.233.5.20 # 可手动指定(需在池内且未被占用) ports: - port: 80 targetPort: 9376 selector: app: demo-app ``` #### 5. **流量转发示意图** ``` Client Pod --> ClusterIP:80 --> iptables/IPVS --> Pod1:9376 (10.244.1.5) --> Pod2:9376 (10.244.2.3) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值