1、K8s集群的组成
K8s集群由多个节点组成,其中包括主节点(Master)和工作节点(Worker)。主节点负责管理整个集群的状态和配置信息,工作节点用于运行容器应用程序。主节点包括以下组件:
- API服务器(kube-apiserver):提供K8s API接口,用于管理整个集群的状态和配置信息。
- 控制器管理器(kube-controller-manager):负责运行控制器,监控集群状态并做出相应的操作。
- 调度器(kube-scheduler):负责将容器应用程序调度到可用的工作节点上。
- etcd:K8s集群的数据存储后端,用于存储集群的状态和配置信息。
工作节点包括以下组件: - kubelet:负责管理本地节点上的容器,与主节点通信以获取应用程序的状态和配置信息。
- kube-proxy:负责在节点之间进行网络代理,以确保容器应用程序可以相互通信。
- 容器运行时(如Docker):用于在节点上运行容器应用程序。
2、部署方式
(1)minikube用在测试、开发
(2)kubeadm部署主要用在测试线、生产,kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。
官方地址:
https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/
(3)二进制部署(主要用在生产)
3、kubeadm方式部署:
服务器要求:
建议最小硬件配置:linux、2核cpu、2G内存、30G硬盘。
可以访问外网,并且服务器之间网络互通(在一个网段)。
禁止swap分区
安装阿里云yum源(阿里云yum可以下载k8s的flannel组件)
4、环境准备
4.1 注意
kubelet版本不要过高,v1.24版本后kubernetes放弃docker了。
以下命令中的–cri-socket=unix:///var/run/cri-dockerd.sock非必须项,根据个人环境或执行中是否报相关错误使用。
4.2三台服务器进行系统更新:yum -y update systemd
4.3每个节点分别设置对应主机名
master、worker1、worker2分别设置各自主机名
hostnamectl set-hostname master
hostnamectl set-hostname worker1
hostnamectl set-hostname worker2
4.4关闭交换分区 swap。
所有 K8S 节点都需要执行
避免交换分区导致节点不稳定和性能问题,出现异常。
swapoff -a
sed -i '/swap/s/^/#/' /etc/fstab
查看交换分区状态:
swapon --show
4.5、关闭selinux
1、因安全机制较复杂,可能会与k8s本身的流量机制冲突,因为k8s本身会在netfilter里设置流量规则,也即:iptables规则
2、这是允许容器访问主机文件系统所必需的,而这些操作是为了例如 Pod 网络工作正常。
所有 K8S 节点都需要执行:
setenforce 0
sed -i --follow-symlinks 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux
4.6、关闭防火墙
所有 K8S 节点都需要执行:
systemctl stop firewalld && systemctl disable firewalld
systemctl status firewalld
4.7时间同步
所有 K8S 节点都需要执行:
使用date命令查看三个节点时间是否一致,kubernetes要求集群中的节点时间必须精确一直。
安装时钟同步
1.安装:
yum -y install ntpdate
2#手动同步阿里云时间服务器时间
ntpdate ntp.aliyun.com 或 ntpdate ntp.ubuntu.com
4.8、绑定 hosts
所有 K8S 节点都需要执行:
cat << EOF >> /etc/hosts
192.168.xx.241 master
192.168.xx.235 worker1
192.168.xx.238 worker2
EOF
EOF保存退出或Ctrl+d
或vi /etc/hosts命令编辑
4.9配置 K8S 的 YUM 源
所有 K8S 节点都需要执行:
cat << EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg
https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF
gpgcheck和repo_gpgcheck都被设置为1,意味着系统会对从该仓库下载的所有包和仓库文件进行GPG签名验证,它是一种用于验证软件包完整性和来源的加密工具。
若不需认证设置为0,建议默认为0。
安装 yum-config-manager
yum -y install yum-utils
安装 Docker 安装源
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
4.10、安装所需组件
安装 Kubelet、Kubeadm 和 Kubectl、docker
所有 K8S 节点都需要执行:
yum install -y kubelet-1.22.4 kubectl-1.22.4 kubeadm-1.22.4 docker-ce-20.10.17-3.el7
启动:
systemctl enable kubelet
systemctl start kubelet
systemctl enable docker
systemctl start docker
kubelet 并未启动成功,需在k8s初始化后才可以。
查看版本
kubectl version
4.11修改 docker 配置
所有节点执行:
其中,exec-opts 用于设置 Docker 的 cgroup 驱动类型,需要将其修改为 systemd。因
为 K8S 默认就是使用的 systemd,将 Docker 和 K8S 的驱动类型统一,否则后续会有报错。
需要注意的是:K8S 内的节点上 Docker 环境都需要统一。
所有 K8S 节点都需要执行:
cd /etc/docker
cat <<EOF > /etc/docker/daemon.json
{
"exec-opts":["native.cgroupdriver=systemd"],
"registry-mirrors":["http://hub-mirror.c.163.com","https://mirrors.tuna.tsinghua.edu.cn/","https://g6yrjrwf.mirror.aliyuncs.com/","https://docker.mirrors.ustc.edu.cn"]
}
EOF
之后docker重启:
systemctl daemon-reload
systemctl restart docker
4.12内核优化
所有 K8S 节点都需要执行:此次搭建未执行内核优化
在 Docker 的使用过程中有时会看到下面这个警告信息。
WARNING: bridge-nf-call-iptables is disabled
WARNING: bridge-nf-call-ip6tables is disabled
这种警告信息可通过配置内核参数的方式来消除,具体配置如下。
[root@localhost ~]# cat << EOF >> /etc/sysctl.conf
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
[root@localhost ~]# sysctl -p
4.13集群初始化(镜像)
所有 K8S 节点都需要执行:
为了提高初始化执行速度,也可以先通过 kubeadm config images pull 把镜像下载后再执行上述集群初始化命令。下载镜像命令(所有节点都执行):
查看kubelet --version:版本
kubeadm config images pull \
--image-repository registry.aliyuncs.com/google_containers \
--kubernetes-version v1.22.4
//视环境取舍这段命令
--cri-socket=unix:///var/run/cri-dockerd.sock
worker上报错:需要去掉–cri-socket=unix:///var/run/cri-dockerd.sock
报错1:
Docker Engine没有实现CRI,而这是容器运行时在 Kubernetes 中工作所需要的。 为此,必须安装一个额外的服务 cri-dockerd。 cri-dockerd 是一个基于传统的内置 Docker 引擎支持的项目, 它在 1.24 版本从 kubelet 中移除。
cri-dockerd下载:
wget https://github.com/Mirantis/cri-dockerd/releases/download/v0.3.14/cri-dockerd-0.3.14-3.el7.x86_64.rpm
安装:
rpm -ivh cri-dockerd-0.3.14-3.el7.x86_64.rpm
启动:
systemctl daemon-reload && systemctl enable cri-docker.socket
systemctl start cri-docker.socket cri-docker
报错2:
执行初始化后报有多个cri,选择unix:///var/run/cri-dockerd.sock
)
kubeadm config images pull \
--image-repository registry.aliyuncs.com/google_containers \
--kubernetes-version v1.22.4 --cri-socket=unix:///var/run/cri-dockerd.sock
报错3:
检查kubeadm命令的正确用法,确保你没有误输入或使用了错误的子命令。重新修改下命令,去掉空格等。
报错4:
查询日志报错点:
journalctl -xeu kubelet | grep error
修改containerd的配置文件,下文有提到解决办法。
4.14集群初始化(控制台)
只在 master 节点执行命令:
初始化集群控制台 Control plane,kubernetes-version 和下载的镜像版本保持一致。
pod-network-cidr:10.244.0.0/16版本无需修改,直接使用即可,节点之间通信网段。
kubeadm init --kubernetes-version=v1.22.4 --image-repository=registry.aliyuncs.com/google_containers --pod-network-cidr=10.244.0.0/16
注意:使用带有advertise-address(master的ip)的初始化失败了,可能上一个步骤下载镜像的时候未指向地址,但查阅资料中全部带有此项,因初始化过程中报错太多,大概率与apiserver-advertise-address无关,待考证。
kubeadm init --kubernetes-version=v1.22.4 --apiserver-advertise-address=192.168.xx.241 --pod-network-cidr=10.244.0.0/16 --image-repository=registry.aliyuncs.com/google_containers
失败时可以用 kubeadm reset 重置。
kubeadm reset --cri-socket=unix:///var/run/cri-dockerd.sock
rm -rf $HOME/.kube
超时报错:
查询日志报错点:journalctl -xeu kubelet | grep error
未加国内镜像时报错:
#生成containerd的默认配置文件
containerd config default > /etc/containerd/config.toml
#查看 sandbox 的默认镜像仓库在文件中的第几行
cat /etc/containerd/config.toml | grep -n "sandbox_image"
#使用 vim 编辑器 定位到 sandbox_image,将仓库地址修改成
vi /etc/containerd/config.toml
修改:
sandbox_image = "registry.aliyuncs.com/google_containers/pause:3.9"
重启 containerd 服务
systemctl daemon-reload
systemctl restart containerd.service
systemctl status containerd.service
初始化执行成功后:
查看下载后的完整镜像:
master:
docker image ls
其中的 coredns 镜像,需要保证在 worker1 和 worker2 上同样下载好。
worker2:
4.15集群初始化(token令牌)
初始化成功后会生成token令牌,保存记录下来:
token令牌:
kubeadm join 192.168.30.241:6443 --token 30e7vh.qgct7j66o2f8wihy \
--discovery-token-ca-cert-hash sha256:cbdba315b70cd09edd2fda0a1ddd5e429ef94afad16ec0fc1b8c7b2b5a2a5242
默认token有效期为24小时,节点加入master集群使用,当过期之后,该token就不可用了。这时就需要重新创建token,可以直接使用命令快捷生成:
kubeadm token create --print-join-command
执行初始化后提示的文件操作信息:
#复制授权文件,以便 kubectl 可以有权限访问集群
#拷贝 config 文件,在 master 节点执行 kubectl 命令
在master节点执行:
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
在worker1和worker2执行:
kubeadm join 192.168.30.241:6443 --token 30e7vh.qgct7j66o2f8wihy \
--discovery-token-ca-cert-hash sha256:cbdba315b70cd09edd2fda0a1ddd5e429ef94afad16ec0fc1b8c7b2b5a2a5242 --cri-socket=unix:///var/run/cri-dockerd.sock
报错:
此处原因是worker与maste节点时间不一致导致的,更新时间。
以下报错因token重新生成问题加入集群,节点执行初始化设置:
kubeadm reset --cri-socket=unix:///var/run/cri-dockerd.sock
,每次初始化失败后都要执行重置。
如果你其他节点需要调用访问集群,执行 kubectl 等命令,需要从主节点复制这个文件$HOME/.kube/config过去其他工作节点 ,否则报一下错误:
在工作节点先建好目录执行:
mkdir -p $HOME/.kube
在 master 节点执行:
scp $HOME/.kube/config root@worker1:$HOME/.kube/config
scp $HOME/.kube/config root@worker2:$HOME/.kube/config
scp命令需要节点输入服务器的密码。
kubectl get nodes
此处出现这个问题的原因是kubectl命令需要使用kubernetes-admin的身份来运行,在“kubeadm int”启动集群的步骤中就生成了/etc/kubernetes/admin.conf,将此文件复制到节点同目录下:
scp /etc/kubernetes/admin.conf root@worker2:/etc/kubernetes/admin.conf
因此,解决方法如下,将master节点中的/etc/kubernetes/admin.conf文件拷贝到工作节点相同目录下:
#然后在该工作节点上配置环境变量:
设置kubeconfig文件
export KUBECONFIG=/etc/kubernetes/admin.conf
echo "export KUBECONFIG=/etc/kubernetes/admin.conf" >> ~/.bash_profile
接下来,工作节点执行kubectl就正常了
4.16安装网络插件
先查看各节点状态执行:
kubectl get node
查看 node 是 NotReady 状态,需要安装网络插件,促使节点之间正常通信。
kubectl get nodes
kubectl get pod --all-namespaces
//查看pod是否是running状态
master节点执行:
kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
也可先下载到本地:
wget https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
可查看kube-flannel.yml文件中network是否与初始化时设置的值一致。
再执行
kubectl apply -f kube-flannel.yml
确保能够访问到quay.io这个registry(需要用阿里云yum源才可访问下载)
稍等片刻后执行成功后查看:
kubectl get pod --all-namespaces //查看pod是否是running状态
或 kubectl get nodes
成功后截图:
若搭建过程中出现的问题可参照以下思路解决。
4.17重置
记录重置命令:
kubeadm reset --cri-socket=unix:///var/run/cri-dockerd.sock
rm -rf $HOME/.kube
其他过程问题记录
1、确认 kube-apiserver 进程是否在运行中。
ps -ef | grep kube-apiserver
使用的一些命令:
kubelet重启:
systemctl restart kubelet
kubectl get nodes 查看节点信息
节点上执行:
journalctl -f -u kubelet.service
查询日志报错点:
journalctl -xeu kubelet | grep error
查看运行状态及是否有报错:
systemctl status docker -l
systemctl status kubelet -l
2、查看各版本:
kubelet --version
kubectl version
kubeadm version
3、卸载kubernetes
查看安装组件:
yum list installed | grep kube*
卸载:
kubeadm reset -f --cri-socket=unix:///var/run/cri-dockerd.sock
yum -y remove kubelet kubeadm kubectl
rm -rvf $HOME/.kube
rm -rvf ~/.kube/
rm -rvf /etc/kubernetes/
rm -rvf /etc/systemd/system/kubelet.service.d
rm -rvf /etc/systemd/system/kubelet.service
rm -rvf /usr/bin/kube*
rm -rvf /etc/cni
rm -rvf /opt/cni
rm -rvf /var/lib/etcd
rm -rvf /var/etcd
4、卸载docker
1、删除docker所在目录
rm -rf /etc/docker
rm -rf /run/docker
rm -rf /var/lib/dockershim
rm -rf /var/lib/docker
2、杀掉docker进程:
ps -ef|grep docker
kill -9 pid
3、查看相关包:
yum list installed | grep docker
4、卸载相关包
yum remove containerd.io.x86_64
yum remove docker-ce.x86_64
yum remove docker-ce-cli.x86_64
yum remove docker-ce-rootless-extras.x86_64
yum remove docker-compose-plugin.x86_64
yum remove docker-scan-plugin.x86_64
4、docker --version 查看结果
5、卸载flannel
看下面的记录11项卸载。
kubectl delete -f
https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
6、网络插件状态:
检查网络插件的状态
docker network ls
检查网络插件的配置
ls -l /opt/cni/bin
ls -l /etc/cni/net.d
重启网络插件
systemctl restart docker
再次检查网络插件的状态
docker network ls
7、卸载网络插件时提示forbidden无权限
这可能是由于config没有更新导致的,/root/.kube/config是从/etc/kubernetes/admin.conf复制而来。复制来之后,是需要执行更新kubeconfig命令的。
更新 kubeconfig 命令:
export KUBECONFIG=/root/.kube/config
chmod g-r /root/.kube/config
再次执行:
kubectl delete -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
#删除kube-flannel的DaemonSet
kubectl delete -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
删除kube-flannel的ClusterRole和ClusterRoleBinding
kubectl delete clusterrole flannel
kubectl delete clusterrolebinding flannel
删除kube-flannel创建的配置文件和网络接口
这一步可能需要根据你的系统和flannel版本具体分析
以下命令是一个大概的指导,可能需要根据实际情况调整
在每个节点上执行以下命令
删除flannel创建的网络接口(interface)
ip link delete flannel.1
删除flannel创建的路由
ip route del 10.2.0.0/16
清理flannel使用的etcd目录(请注意,这将删除所有存储在该目录下的数据,谨慎操作)
etcdctl rm --dir --recursive /coreos.com/network
8、证书过期
集群是由kubeadm创建。但是它创建的apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后kubernetes将停止服务。
查看证书过期时间:
kubeadm certs check-expiration
更新自签日期:
kubeadm certs renew all
重新查看过期时间:
kubeadm certs check-expiration
复制配置文件:
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
#重启kubelet,docker(master与node都要重启)
systemctl restart docker systemctl restart kubelet
9、时间不一致
master与worker时间差8小时,需要同步下时间。
ntpdate ntp.ubuntu.com
10、is already in use by container
注意,线上使用etcd一定要做高可用和定期备份,否则就悲催了。
使用docker rm 删除镜像未成功,最后还是进行了 重置。kubeadm reset
11、卸载flannel网络:
kubectl delete -f kube-flannel.yml
操作步骤:
| 1 | 停止Kubelet服务 |
| 2 | 删除Flannel插件 |
| 3 | 删除Flannel配置文件 |
| 4 | 重启Kubelet服务 |
1、停止Kubelet服务:
sudo systemctl stop kubelet
这条命令用于停止Kubelet服务,确保在卸载Flannel插件的过程中不会出现冲突。
步骤 2:删除Flannel插件
kubectl delete -f
https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
该命令用于从Kubernetes集群中删除Flannel插件。它会使用Flannel插件的YAML文件来执行删除操作。
步骤 3:删除Flannel配置文件
sudo rm -rf /etc/cni/net.d/10-flannel.conf
这条命令用于删除Flannel插件的配置文件,确保在之后重新安装Flannel插件时不会出现冲突。
步骤 4:重启Kubelet服务
sudo systemctl start kubelet
最后一步是重新启动Kubelet服务,确保Kubernetes集群正常运行。
经过以上步骤操作,你就成功地卸载了Kubernetes中的Flannel插件。
除了以上步骤外,你还可以通过以下命令验证Flannel插件是否已经被成功卸载:
kubectl get pods --all-namespaces
如果你看不到与Flannel相关的Pod,则表示Flannel插件已经成功卸载。
12、network: loadFlannelSubnetEnv failed: open /run/flannel/subnet.env: no such file or directory
master节点:
大部分都是直接创建提示不存在的文件/run/flannel/subnet.env在每个节点上(master跟node)创建上面文件后,确实能够解决问题。注意上面指定的网段不要跟自己真实的内网网段产生冲突,否则会造成机器之间无法ping通的问题。
但是这样解决会出现重启机器后,又无法部署到pod的问题。因为重启后这个文件就丢失了。并未彻底解决问题。
实际上,这个问题是因为没有给集群的pod指定内网网段的缘故。最彻底的解决办法是将这个集群所有节点重新kubeadm reset,重新初始化,并在初始化时指定内网网段:
非master节点:
13、解决 node 节点 NotReady 状态
解决 node 节点 NotReady 状态
1、从 master 节点拷贝 ca.crt 到 node 节点对应的目录
scp /etc/kubernetes/pki/ca.crt local-168-182-111:/etc/kubernetes/pki/
scp /etc/kubernetes/pki/ca.crt local-168-182-112:/etc/kubernetes/pki/
2、修改 node 节点的 kubelet.conf
把server: https://local-168-182-110:6443修改为现在 master 节点的地址server: https://cluster-endpoint:6443
sed -i 's/local-168-182-110/cluster-endpoint/g' /etc/kubernetes/kubelet.conf
确认文件:
14、kubelet版本1.28.2过高:
“Error getting node” err="node “master” not found"后面日志一直提示这个,需要根据个人情况判断,此处是
问题原因:kubelet版本过高,v1.24版本后kubernetes放弃docker了。
https://cloud.it168.com/a2022/0426/6661/000006661320.shtml
15、docker info | grep Cgroup
修改kubelet的配置文件(通常是/var/lib/kubelet/config.yaml),设置cgroupDriver字段
cgroupDriver: “systemd”
重启kubelet服务以应用更改:
sudo systemctl daemon-reload
sudo systemctl restart kubelet
16、后期加入节点:Unable to update cni config" err="no networks found in /etc/cni/net.d
工作节点报错:
因为此节点是在flannel网络插件安装之后才加入的集群的。将master中网络镜像复制到工作节点。
1、master节点:查看主控节点的网络组建是什么:10-flannel.conflist
cd /etc/cni/net.d
2、在镜像列表中查看,并save成tar包:
docker images|grep flannel
[root@master net.d]# docker save /flannel/flannel:v0.25.3 -o flannel.tar
[root@master net.d]# docker save /flannel/flannel-cni-plugin:v1.4.1-flannel1 -o flannel-cni-plugin.tar
3、将tar包依次传给报错的worker1节点上:
scp flannel-cni-plugin.tar worker1:
scp flannel.tar worker1:
在根目录下:
4、导入:
docker load -i flannel.tar
docker load -i flannel-cni-plugin.tar
5、重新执行 kubeadm join 命令即可。
17、查看有哪些服务:
kube-apiserver 是 Kubernetes 控制平面的枢纽,负责处理所有的 API 调用,包括集群管理、应用部署和维护、用户交互等,并且它是集群中的其他组件与集群数据交互的中介。由于其至关重要的作用,kube-apiserver 必须保持高可用性,通常在生产环境中会以多副本的方式部署。
systemctl list-unit-files --type=service
kube-apiserver --insecure-port=8080 --service-cluster-ip-range=10.0.0.0/24 --advertise-address=192.168.1.100 --etcd-servers=http://127.0.0.1:2379
cat /etc/kubernetes/manifests/kube-apiserver.yaml
