k8s部署(master、etcd)
1.系统初始化操作
*3台主机,1台master,2台node,图中操作为master节点上的,除了命名不同都一样。
- etcd集群部署
etcd 作为服务发现系统,有以下的特点
简单∶安装配置简单,而且提供了HTTP API进行交互,使用也很简单
安全∶支持SSL证书验证
快速∶单实例支持每秒2k+读操作
可靠∶采用raft算法,实现分布式系统数据的可用性和一致性
etcd 目前默认使用2379端口提供HTTP API服务,2380端口和peer通信(这两个端口已经被IANA(互联网数字分配机构)官方预留给etcd)。
即etcd默认使用2379端口对外为客户端提供通讯,使用端口2380来进行服务器间内部通讯。
etcd 在生产环境中一般推荐集群方式部署。由于etcd 的leader选举机制,要求至少为3台或以上的奇数台。
准备签发证书环境
CFSSL是CloudFlare 公司开源的一款 PKI/TLS 工具。CFSSL包含一个命令行工具和一个用于签名、验证和捆绑 TLS 证书的 HTP API 服务。使用Go语言编写。
CESSL 使用配置文件生成证书,因此自签之前,需要生成它识别的 json 格式的配置文件,CESSL提供了方便的命令行生成配置文件。
CFSSL用来为 etcd 提供 TLS 证书,它支持签三种类型的证书∶
1、client 证书,服务端连接客户端时携带的证书,用于客户端验证服务端身份,如 kube-apiserver 访问 etcd
2、server 证书,客户端连接服务端时携带的证书,用于服务端验证客户端身份,如 etcd 对外提供服务
3、peer 证书,相互之间连接时使用的证书,如 etcd 节点之间进行验证和通信。这里全部都使用同一套证书认证。
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo
字段解析
cfssl∶证书签发的工具命令
cfssljson∶将 cfssl 生成的证书(json格式)变为文件承载式证书
cfssl-certinfo∶验证证书的信息
cfssl-certinfo-cert <证书名称> #查看证书的信息
#创建k8s工作目录
mkdir /opt/k8s
cd /opt/k8s/
#上传 etcd-cert.sh 和 etcd.sh 到 /opt/k8s/ 目录中
chmod +x etcd-cert.sh etcd.sh
#创建用于生成CA证书、etcd 服务器证书以及私钥的目录
mkdir /opt/k8s/etcd-cert
mv etcd-cert.sh etcd-cert/
cd /opt/k8s/etcd-cert/
./etcd-cert.sh #生成CA证书、etcd 服务器证书以及私钥
- etcd部署
#将etcd直接传到node01和node02然后稍作修改
systemctl start etcd
systemctl enable etcd