K8S-Demo集群实践11:部署ipvs模式的kube-kubelet组件

最新推荐文章于 2024-10-21 15:33:12 发布
原创 最新推荐文章于 2024-10-21 15:33:12 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #k8s

本文详细介绍了如何在Kubernetes集群中部署ipvs模式的kubelet组件,包括创建和分发kubelet配置文件,启动kubelet服务,并确保kube-apiserver能访问kubelet API。此外,还涵盖了证书签名请求(CSR)的批准流程和节点状态的检查。

K8S-Demo集群实践11:部署ipvs模式的kube-kubelet组件

  • kubelet运行在每个worker节点上,接收kube-apiserver发送的请求,管理Pod容器,执行交互式命令,如exec、run、logs等
  • kubelet启动时自动向kube-apiserver注册节点信息,内置的cadvisor统计和监控节点的资源使用情况

一、创建和分发kubelet bootstrap kubeconfig文件

[root@master1 ~]# cd /opt/install/kubeconfig
[root@master1 kubeconfig]# for node_name in ${ALL_NAMES[@]}
  do
    echo ">>> ${node_name}"

    # 创建 token
    export BOOTSTRAP_TOKEN=$(kubeadm token create \
      --description kubelet-bootstrap-token \
      --groups system:bootstrappers:${node_name} \
      --kubeconfig ~/.kube/config)

    # 设置集群参数
    kubectl config set-cluster k8s-demo \
      --certificate-authority=/opt/install/cert/ca.pem \
      --embed-certs=true \
      --server=${KUBE_APISERVER} \
      --kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig

    # 设置客户端认证参数
    kubectl config set-credentials kubelet-bootstrap \
      --token=${BOOTSTRAP_TOKEN} \
      --kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig

    # 设置上下文参数
    kubectl config set-context default \
      --cluster=k8s-demo \
      --user=kubelet-bootstrap \
      --kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig

    # 设置默认上下文
    kubectl config use-context default --kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig
  done
  • 分发到所有节点 3Master+3Node,方便监控每个节点的资源利用率
[root@master1 ~]# cd /opt/install/kubeconfig
[root@master1 kubeconfig]# for node_name in ${ALL_NAMES[@]}
  do
    echo ">>> ${node_name}"
    scp kubelet-bootstrap-${node_name}.kubeconfig root@${node_name}:/opt/k8s/etc//kubelet-bootstrap.kubeconfig
  done

二、创建和分发kubelet的参数配置文件

  • 准备模板 kubelet-config.yaml.template
[root@master1 ~]# cd /opt/install/kubeconfig
[root@master1 kubeconfig]# cat > kubelet-config.yaml.template <<EOF
kind: KubeletConfiguration
apiVersion: kubelet.config.k8s.io/v1beta1
address: "##NODE_IP##"
staticPodPath: ""
syncFrequency: 1m
fileCheckFrequency: 20s
httpCheckFrequency: 20s
staticPodURL: ""
port: 10250
readOnlyPort: 0
rotateCertificates: true
serverTLSBootstrap: true
authentication:
  anonymous:
    enabled: false
  webhook:
    enabled: true
  x509:
    clientCAFile: "/opt/k8s/etc/cert/ca.pem"
authorization:
  mode: Webhook
registryPullQPS: 0
registryBurst: 20
eventRecordQPS: 0
eventBurst: 20
enableDebuggingHandlers: true
enableContentionProfiling: true
healthzPort: 10248
healthzBindAddress: "##NODE_IP##"
clusterDomain: "${CLUSTER_DNS_DOMAIN}"
clusterDNS:
  - "${CLUSTER_DNS_SVC_IP}"
nodeStatusUpdateFrequency: 10s
nodeStatusReportFrequency: 1m
imageMinimumGCAge: 2m
imageGCHighThresholdPercent: 85
imageGCLowThresholdPercent: 80
volumeStatsAggPeriod: 1m
kubeletCgroups: ""
systemCgroups: ""
cgroupRoot: ""
cgroupsPerQOS: true
cgroupDriver: cgroupfs
runtimeRequestTimeout: 10m
hairpinMode: promiscuous-bridge
maxPods: 220
podCIDR: "${CLUSTER_CIDR}"
podPidsLimit: -1
resolvConf: /etc/resolv.conf
maxOpenFiles: 1000000
kubeAPIQPS: 1000
kubeAPIBurst: 2000
serializeImagePulls: false
evictionHard:
  memory.available:  "100Mi"
  nodefs.available:  "10%"
  nodefs.inodesFree: "5%"
  imagefs.available: "15%"
evictionSoft: {}
enableControllerAttachDetach: true
failSwapOn: true
containerLogMaxSize: 20Mi
containerLogMaxFiles: 10
systemReserved: {}
kubeReserved: {}
systemReservedCgroup: ""
kubeReservedCgroup: ""
enforceNodeAllocatable: ["pods"]
EOF
  • ddress:kubelet安全端口(https,10250)监听的地址,不能为127.0.0.1,否则kube-apiserver、heapster等不能调用kubelet的API
  • readOnlyPort=0:关闭只读端口(默认 10255),等效为未指定
  • authentication.anonymous.enabled:设置为false,不允许匿名访问10250端口
  • authentication.x509.clientCAFile:指定签名客户端证书的CA证书,开启HTTP证书认证
  • authentication.webhook.enabled=true:开启HTTPS bearer token认证
  • 分发到所有节点
[root@master1 ~]# cd /opt/install/kubeconfig
[root@master1 kubeconfig]# for node_ip in $
最低0.47元/天 解锁文章
Kubeadm 安装 Kuberneteskubelet 状态失败的解决方案
TechGlide的博客
08-13 2183
Kubeadm 安装 Kuberneteskubelet 状态失败的解决方案在使用 kubeadm 安装 Kubernetes 集群时,遇到 kubelet 状态失败的问题是比较常见的。这个问题主要出现在 kubelet 无法正常启动或者无法连接到控制平面节点上。本文将介绍一些常见的原因和解决方案,并提供相应的源代码。
k8s集群安装ipvs
欢迎你们到来,希望能帮到大家
02-24 640
整理安装ipvs知识点,希望能帮到您!
kubernetes 常见报错(持续更新)
srebro.cn | 运维小弟
09-17 8726
1、k8s的node1节点处于NotReady Oct 29 17:56:17 k8s-node1 kubelet[48455]: E1029 17:56:17.983157 48455 kubelet_node_status.go:94] Unable to register node "k8s-node3" with API server: nodes "k8s-node3" is forbidden: node "k8s-node1" is not allowed to modify node "k
k8s基于kubeadm部署
m0_49566900的博客
03-04 366
三台机器 第一台2g2c [root@localhost ~]# cat /etc/docker/daemon.json { “registry-mirrors”: [“https://ght1hany.mirror.aliyuncs.com”] } [root@localhost ~]# docker info | grep Cgroup Cgroup Driver: cgroupfs [root@localhost ~]# hostnamectl set-hostname k8s-master [r
centos7下用kubeadm安装k8s集群并使用ipvs做高可用方案
05-19 1069
1.准备 1.1系统配置 在安装之前,需要先做如下准备。三台CentOS主机如下: 配置yum源(使用腾讯云的) 替换之前先备份旧配置 mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup centos各版本的源配置列表 centos5 wget -O /etc/yum.repos.d/...
K8S-Demo集群实践09:部署高可用kube-scheduler集群
jasonhe2018的博客
01-20 457
K8S-Demo集群实践部署高可用kube-scheduler集群 先用起来,通过操作实践认识k8s,积累多了自然就理解了 把理解的知识分享出来,自造福田,自得福缘 追求简单,容易使人理解,知识的上下文也是知识的一部分,例如版本,时间等 欢迎留言交流,也可以提出问题,一般在周末回复和完善文档 Jason@vip.qq.com 2021-1-20。 ...
K8S-Demo集群实践06:部署kube-apiserver到master节点(3个无状态实例)
jasonhe2018的博客
01-19 1012
K8S-Demo集群实践部署kube-apiserver到master节点(3个无状态实例)一、下载并分发二进制文件到3个master节点二、创建加密配置文件三、创建并分发审计策略1、创建审计策略文件 audit-policy.yaml2、分发审计策略文件到3个master节点四、部署kube-apiserver服务1、创建kube-apiserver systemd unit模板文件2、分发kube-apiserver systemd unit文件到3个master节点3、启动kube-apiserve
K8S-Demo集群实践12:部署Calico网络
jasonhe2018的博客
01-21 1675
K8S-Demo集群实践部署Calico网络一、准备镜像二、部署Calico网络插件1、下载yaml文件2、修改 calico.yaml3、部署calico三、检查Calico网络状态1、查看calico进程2、检查calico网络配置四、calicoctl简介1、下载calicoctl命令行工具2、查看网络状态3、查看网络资源五、问题参考 Pod跨宿主机网络通讯方案主要有Flannel,Calico,Weave,Contiv等 k8s-demo集群采用Calico网络组建,有两种实现方式IPIP(默认
K8S-Demo集群实践13:部署集群CoreDNS
jasonhe2018的博客
01-22 2776
K8S-Demo集群实践部署集群CoreDNS 先用起来,通过操作实践认识k8s,积累多了自然就理解了 把理解的知识分享出来,自造福田,自得福缘 追求简单,容易使人理解,知识的上下文也是知识的一部分,例如版本,时间等 欢迎留言交流,也可以提出问题,一般在周末回复和完善文档 Jason@vip.qq.com 2021-1-22 ...
K8S高可用集群部署
m0_47116305的博客
09-16 291
节点信息: 主机名 IP地址 角色 OS k8s-master01 192.168.1.1 master centos-7.6 k8s-master02 192.168.1.2 master centos-7.6 k8s-master03 192.168.1.3 master centos-7.6 k8s-node01 192.168.1.4 node centos-7.6 k8s-node02
记一次kubernetes集群异常:kubelet连接apiserver超时
weixin_33736832的博客
06-11 1304
本文通过记录kubelet连接apiserver超时问题的原因及修复办法。上篇文章回顾:一文读懂HBase多租户背景kubernetes是master-slave结构,master node是集群的大脑,当master node发生故障时整个集群都"out of control"。master node中最重要的当属apiserver组件,它负责处理所有请求,并持久化状态到etcd。一般我们会部署...
Kubernetes 证书
qq_42989020的博客
02-10 244
kubernetes证书
Kubernetes集群安全:Api Server认证
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-11 3711
Kubernetes提供了三种级别的客户端认证方式: HTTPS证书认证,是基于CA根证书签名的双向数字证书认证方式,是最严格的认证 HTTP Token认证,通过Token识别每个合法的用户 HTTP Basic认证 HTTP Token认证和Http Basic认证是相对简单的认证方式,Kubernetes的各组件与Api Server的通信方式仍然是HTTPS,但不再使用CA数字证书。 ...
kube-apiserver 报错 Unable to authenticate the request“ err=“[x509: certificate signed by unknown ...
rockstics的博客
02-11 9617
问题描述: 采用ansible 二进制方式部署kubernetes部署完成后kubectl get node 节点状态 NotReady kubectl get pod -n kube-system 发现 calico 处于 Pending 状态 查看pod日志 kubectl logs -f calico-node-7fw9h -n kube-system 报错为: Authorization error (user=kubernetes, verb=get, resource=nodes,
Kube-apiserver出现“Unable to authenticate the request”错误的解决方案
总想试试,万一成了呢??
10-21 1901
之前使用工具一键部署K8S集群,并在集群部署一些服务。某天突然发现服务无法访问。
云原生|kubernetes部署和运行维护中的错误汇总(不定时更新)
zsk_john的技术分享专用博客
08-29 4758
两个文件都写了initial初始化,就冲突啦,而etcd-3.3以及之前的版本不会报错,两个文件可以重复配置。
自建K8S一年多没用,忽然想使用下。kubelet启动失败,报错:main process exited, code=exited, status=255/n/a
weixin_45942735的博客
01-16 2632
其中,<cluster-name>是集群的名称,<api-server-url>是Kubernetes API服务器的URL。这条命令将创建一个新的kubeconfig文件,并将其保存到/etc/kubernetes/bootstrap-kubelet.conf路径下。最开始看,关键是/etc/kubernetes/bootstrap-kubelet.conf: no such file or directory 以为是配置文档丢失了。找了很多资源看,发现有可能是kubelet.conf的证书权限有问题,
k8s启动kube-apiserver错误解决
在每次的突破中遇见更好的自己
11-28 7120
The error : kube-apiserver.service - Kubernetes API Server Loaded: loaded (/usr/lib/systemd/system/kube-apiserver.service; enabled) Active: activating (auto-restart) (Result: exit-code) since Mon 2015-10-19 10:33:32 EDT; 7ms ago Docs:https://github.com/Go.
K8S:无法正常开启 Kube-apiserver
Xucf1
04-16 6478
文章目录K8S:无法正常开启 Kube-apiserver①报错现象②解决过程 K8S:无法正常开启 Kube-apiserver ①报错现象 环境:K8S 单节点二进制部署 主机 IP 组件 master01 192.168.126.11 kube-apiserverkube-controller-manager、kube-scheduler、etcd node01 192.168.126.13 kubeletkube-proxy、docker、flannel、etcd nod
[root@k8s-master ~]# systemctl status kubeletkubelet.service - kubelet: The Kubernetes Node Agent Loaded: loaded (/usr/lib/systemd/system/kubelet.service; enabled; vendor preset: disabled) Drop-In: /usr/lib/systemd/system/kubelet.service.d └─10-kubeadm.conf Active: active (running) since 三 2025-11-19 09:50:15 CST; 21min ago Docs: https://kubernetes.io/docs/ Main PID: 1065 (kubelet) Tasks: 25 Memory: 126.6M CGroup: /system.slice/kubelet.service └─1065 /usr/bin/kubelet --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf --config=/var/lib/kube... 11月 19 10:11:04 k8s-master kubelet[1065]: E1119 10:11:04.762027 1065 pod_workers.go:191] Error syncing pod 6f29173f-3388-49a0-b78e-f7e4bf6718c5 ("calico-nod... 11月 19 10:11:06 k8s-master kubelet[1065]: W1119 10:11:06.432920 1065 cni.go:239] Unable to update cni config: no networks found in /etc/cni/net.d 11月 19 10:11:08 k8s-master kubelet[1065]: E1119 10:11:08.774041 1065 kubelet.go:2183] Container runtime network not ready: NetworkReady=false reaso...itialized 11月 19 10:11:11 k8s-master kubelet[1065]: W1119 10:11:11.433579 1065 cni.go:239] Unable to update cni config: no networks found in /etc/cni/net.d 11月 19 10:11:13 k8s-master kubelet[1065]: E1119 10:11:13.814004 1065 kubelet.go:2183] Container runtime network not ready: NetworkReady=false reaso...itialized 11月 19 10:11:15 k8s-master kubelet[1065]: E1119 10:11:15.760929 1065 pod_workers.go:191] Error syncing pod 6f29173f-3388-49a0-b78e-f7e4bf6718c5 ("calico-nod... 11月 19 10:11:16 k8s-master kubelet[1065]: W1119 10:11:16.434114 1065 cni.go:239] Unable to update cni config: no networks found in /etc/cni/net.d 11月 19 10:11:18 k8s-master kubelet[1065]: E1119 10:11:18.854685 1065 kubelet.go:2183] Container runtime network not ready: NetworkReady=false reaso...itialized 11月 19 10:11:21 k8s-master kubelet[1065]: W1119 10:11:21.435030 1065 cni.go:239] Unable to update cni config: no networks found in /etc/cni/net.d 11月 19 10:11:23 k8s-master kubelet[1065]: E1119 10:11:23.894789 1065 kubelet.go:2183] Container runtime network not ready: NetworkReady=false reaso...itialized
最新发布
11-20
Kuberneteskubelet 报错无法更新 CNI 配置(no networks found in /etc/cni/net.d)以及容器运行时网络未就绪(NetworkReady=false reason:NetworkPluginNotReady message:docker: network plugin is not ready: cni config uninitialized),以 Calico 为例,可采取以下解决方案: ### 检查并安装 CNI 插件 确保 CNI 插件已正确安装并配置。创建 `/opt/cni/bin` 目录并下载相应的压缩包,如从 `https://github.com/containernetworking/plugins/releases/tag/v0.8.6` 下载 `cni-plugins-linux-amd64-v0.8.6.tgz`,然后将其解压在 `/opt/cni/bin` 下: ```bash sudo mkdir -p /opt/cni/bin cd /opt/cni/bin wget https://github.com/containernetworking/plugins/releases/download/v0.8.6/cni-plugins-linux-amd64-v0.8.6.tgz tar -xzvf cni-plugins-linux-amd64-v0.8.6.tgz ``` ### 部署 Calico 网络 按照 Calico 的官方文档进行部署,使用以下命令来部署 Calico: ```bash kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml ``` 需注意修改 `CALICO_IPV4POOL_CIDR` 参数,使其与 `kubeadm init` 时指定的 `--pod-network-cidr` 一致 [^2]。 ### 检查 kubelet 配置 编辑 `/var/lib/kubelet/kubeadm-flags.env` 文件,确保配置正确。同时可以查看 `kubelet` 中 `--pod-infra-container-image` 选项含义: ```bash kubelet --help|grep infra ``` 该选项指定的镜像将不会被镜像垃圾收集器修剪。当容器运行时设置为 `docker` 时,每个 `pod` 中的所有容器都将使用这个镜像中的 `network/ipc` 名称空间。其他 CRI 实现有自己的配置来设置这个镜像,默认值为 `k8s.gcr.io/pause:3.5` [^2]。 ### 检查网络组件状态 使用以下命令检查 Calico 相关 Pod 的状态: ```bash kubectl get pods -n kube-system | grep calico ``` 确保所有 Calico 相关的 Pod 都处于 `Running` 状态。 ### 检查内核参数和模块 确保内核参数和模块已正确配置,可执行以下操作: ```bash cat > /etc/sysconfig/modules/ipvs.modules <<EOF #!/bin/bash modprobe -- br_netfilter modprobe -- ip_vs modprobe -- ip_vs_rr modprobe -- ip_vs_wrr modprobe -- ip_vs_sh modprobe -- nf_conntrack_ipv4 EOF chmod 755 /etc/sysconfig/modules/ipvs.modules && \ bash /etc/sysconfig/modules/ipvs.modules && \ lsmod | grep -E "ip_vs|nf_conntrack_ipv4" cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf net.ipv4.ip_forward = 1 vm.swappiness = 0 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 fs.may_detach_mounts = 1 EOF sysctl -p /etc/sysctl.d/k8s.conf ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值