Kubernetes 笔记 初始化 kubeadm config images list 下载必要的镜像
k8s集群搭建(ubuntu 20.04 + k8s 1.28.3 + calico + containerd1.7.8)-CSDN博客
K8S集群搭建(多master多node节点)_多主节点-CSDN博客
准备工作: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 '/swap/ s/^\(.*\)$/#\1/' /etc/ fstab/usr/ local/lib/ systemd/system/ ; cd /usr/ local/lib/ systemd/system/ // raw.githubusercontent.com/containerd/ containerd/main/ containerd.service/usr/ local/lib/ systemd/system/ containerd.service 是否有内容,如果没有直接手动复制进去:// containerd.io/sbin/m odprobe overlay/usr/ local/bin/ containerd5 999 /etc/ containerd/etc/ containerd/config.toml/etc/ containerd/config.toml"registry.aliyuncs.com/google_containers/pause:3.9" // blog.csdn.net/zpsimon/ article/details/ 134388092
正式 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 kubeadm init --kubernetes-version =v1.29.0 --pod-network-cidr=10.222 .0.0 /16 --apiserver-advertise-address=192.168 .66.142 --image-repository registry.aliyuncs.com /google_containersversion K8s版本,与上面安装的一致join 192.168 .66.142 :6443 --token u0l6v1.2 w4ttig5vi5mm2ss \ca -cert-hash sha256 :52 a38ec9f3d98f6a1f77bc6eb47be3e0435e2f921a0cd5444ef17b8c31c1d1dprint -join -command # 重新获取令牌get cm -n kube-system kubeadm-config -o yaml | grep Subnetmkdir -p $HOME/.kubecp -i /etc/kubernetes/admin.conf $HOME/.kube/configu ):$(id -g) $HOME/.kube/configconf sandbox 镜像是否为阿里云的,否则默认是拉不下来的,会一直pending导致calico配置失败no -check-certificatevim +4434 calico.yaml"10.222.0.0/16" f calico.yaml"calico-kube-controllers" is forbidden: User f calico.yamlcom /projectcalico/calico/releases/download/v3.27.0 /calicoctl-linux-amd64 -o kubectl-calicox kubectl-calicoget pod -n kube-system get node
加入master节点
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 kubectl edit cm kubeadm-config -n kube-system29.0 下面添加192.168 .66.141 /etc/ kubernetes/pki/ etcd/etc/ kubernetes/pki/ ca.* master02:/etc/ kubernetes/pki/ /etc/ kubernetes/pki/ sa.* master02:/etc/ kubernetes/pki/ /etc/ kubernetes/pki/ front-proxy-ca.* master02:/etc/ kubernetes/pki/ /etc/ kubernetes/pki/ etcd/ca.* master02:/ etc/kubernetes/ pki/etcd/ /etc/ kubernetes/admin.conf master02:/ etc/kubernetes/ 192.168 .66.141 :6443 --token abcdef.0123456789 abcdef \2 c515ec7729dbb45a58681e37479c902a470468eaf67a00a60a31445f268f243 --control-plane --certificate-key 64 dcd61237d1e61180d42b939b85e69d548965a04fa2954e9cb52d2ce12ff5e8
常用命令 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 kubectl kubectl label [node/pod] {name} {key}={value} ... [--overwrite=true ] --delete-emptydir-data --force --ignore-daemonsets "Controlled By" --print-join-command --all-containers -n {ns} --all-containers -n kubernetes-dashboard"[{key} in (xxx, xxx2)]" --image= {image} deploy .apps]deploy {deployment_name} set image deployment {deployment_name} {container_name}={image_name} --record history deploy {deployment_name} deploy {deployment_name} history deploy {deployment_name} --revision=1 deploy {deployment_name} --to-revision=1 deploy /{deployment_name} --replicas=2 --grace-period=0 --force --type=NodePort --target-port= {pod_port} --port= {svc_port} --image=busyboxplus :curl --dry-run=server -o yaml > xxx.yaml --from-literal=host=127 .0.0.1 --from-literal port=3306 --from-file ./host --from-file ./port --from-env-file env.txt "3306" --docker-server=192 .168.66.23 --docker-username=admin --docker-password=12345 ".dockerconfigjson:" | awk '{print $2}' | base64 --decode
NoSchedule:如果一个pod没有声明容忍这个Taint,则系统不会把该Pod调度到有这个Taint的node上
NoExecute:定义pod的驱逐行为,以应对节点故障。
NoExecute上面提到的污点会影响节点上已经运行的Pod,如下所示:
立即将不能忍受的污点逐出
容忍污点但未定义tolerationSeconds的Pod将永远绑定
可以忍受指定污点的Pod在指定的时间内保持绑定。当某些条件为真时,节点控制器会自动为节点添加污点。内置以下污点:
node.kubernetes.io/not-ready:节点尚未准备好。这对应于NodeConditionReady为False。
node.kubernetes.io/unreachable:无法从节点控制器访问节点。这对应于NodeConditionReady为Unknown。
node.kubernetes.io/out-of-disk:节点磁盘不足。
node.kubernetes.io/memory-pressure:节点有内存压力。
node.kubernetes.io/disk-pressure:节点有磁盘压力。
node.kubernetes.io/network-unavailable:节点的网络不可用。
node.kubernetes.io/unschedulable:节点不可调度。
node.cloudprovider.kubernetes.io/uninitialized:当kubelet从外部云服务提供程序启动时,在节点上设置此污点以将其标记为不可用。来自cloud-controller-manager的控制器初始化此节点后,kubelet删除此污点。
如果要逐出节点,则节点控制器或kubelet会添加相关的污点NoExecute。如果故障情况恢复正常,则kubelet或节点控制器可以删除相关的污点。具体文档地址,如下所示:https://kubernetes.io/docs/concepts/scheduling-eviction/taint-and-toleration/
当配置资源不足时的处理方式
使用 kubelet 配置资源不足时的处理方式。
驱逐阈值
每个阈值形式如下:
[eviction-signal][operator][quantity]
合法的 eviction-signal 标志如上所示。
memory.available<10%
1 2 3 4 5 vim /etc/system d/system /kubelet.service.d/10 -kubeadm.conf3 %system ctl daemon-reloadsystem ctl restart kubelet
问题 1、 kubernetes初始化时报错:CRI v1 runtime API is not implemented for endpoint “unix:///var/run/containerd/con kubernetes初始化时报错:CRI v1 runtime API is not implemented for endpoint “unix:///var/run/containerd/con_greenbeam的技术博客_51CTO博客
1 2 3 vim /etc/containerd/config.toml [“cri”] 注释掉
2、 detected that the sandbox image “registry.k8s.io/pause:3.6”: 1 2 3 vim /etc/containerd/config.tomlsudo systemctl restart containerd
3、 /etc/containerd/config.toml文件内容很少? 没有初始化 1 2 sudo containerd config default > $HOME /config.tomlsudo cp $HOME /config.toml /etc/containerd/config.toml
4、k8s提示certificate signed by unknown authority (possibly because of “crypto/rsa: verification error” while trying to verify candidate authority certificate “kubernetes” 1 2 3 4 5 6 7 8 9 10 原因1:这是之前建过集群了,删除集群后,在重新创建集群之前,原来集群的rm -rf $HOME /.kube文件没有删除,所以导致了认证失去作用。rm -rf $HOME /.kubemkdir -p $HOME /.kubesudo cp -i /etc/kubernetes/admin.conf $HOME /.kube/configsudo chown $(id -u):$(id -g) $HOME /.kube/config
5、 重启之后连不上集群或重新初始化集群 1 2 3 sudo kubeadm resetrm -rf /var/lib/cni/ && rm -f $HOME /.kube/config
6、 Unable to connect to the server: x509: certificate signed by unknown authority (possibly because of “crypto/rsa: verification error” while trying to verify candidate authority certificate “kubernetes”) 1 2 3 4 5 6 sudo cp -i /etc/kubernetes/admin.conf $HOME /.kube/configsudo chown $(id -u):$(id -g) $HOME /.kube/configexport KUBECONFIG=/etc/kubernetes/kubelet.conf
7、 NetworkPluginNotReady message:Network plugin returns error: cni plugin not initialized” 1 systemctl restart containerd.service
8、crictl ps 命令报错 报错信息:
1 2 3 4 WARN[0000 ] runtime connect using default endpoints: [unix:///var/run/dockershim.sock unix:///run/containerd/containerd.sock unix:///run/crio/crio.sock unix:///var/run/cri-dockerd.sock]. As the default settings are now deprecated, you should set the endpoint instead .0000 ] image connect using default endpoints: [unix:///var/run/dockershim.sock unix:///run/containerd/containerd.sock unix:///run/crio/crio.sock unix:///var/run/cri-dockerd.sock]. As the default settings are now deprecated, you should set the endpoint instead .20 :44 :27.090767 201856 remote_runtime.go:390 ] "ListContainers with filter from runtime service failed" err="rpc error: code = Unavailable desc = connection error: desc = \"transport: Error while dialing dial unix /var/run/dockershim.sock: connect : no such file or directory\"" filter ="&ContainerFilter{Id:,State:&ContainerStateValue{State:CONTAINER_RUNNING,},PodSandboxId:,LabelSelector:map[string]string{},}"0000 ] listing containers: rpc error: code = Unavailable desc = connection error: desc = "transport: Error while dialing dial unix /var/run/dockershim.sock: connect: no such file or directory"
解决:(感觉是设置了代理的原因)
1 2 crictl config runtime-endpoint unix:
9、pod启动失败 1 2 3 4 5 6 1、 先查看pod描述 kubectl describe pod {pod_name} -n {ns} 不行的话去查看容器日志 crictl ps -a crictl logs {容器id} 或者直接 kubectl logs -n {ns} {pod_name} --all-containers
10、Calico一直CrashLoopBackOff calico的CrashLoopBackOff 解决办法_calico crashloopbackoff-CSDN博客
1 2 3 4 5 vim /etc/sysctl.conf .ipv4 .conf .all .rp_filter=1 .ipv4 .ip_forward=1 --system
11、Calico rpc报错 1 2 3 ailed to create pod sandbox: rpc error: code = Unknown desc = failed to setup network for sandbox "6e9135e75078773ce140f0de52404e22f9d3b4a9e07054b5a61392bb5447e863": plugin type ="calico" failed (add ): error getting ClusterInformation: connection is unauthorized: Unauthorizedis not ready: BIRD is not ready BGP not established with
解决方法:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 重新在calico.yaml文件中加入下面这段- name: CALICO_NETWORKING_BACKENDvalueFrom: configMapKeyRef: name: calico-configkey: calico_backend- name: IP_AUTODETECTION_METHODvalue: "interface=ens33" - name: CALICO_IPV4POOL_CIDRvalue: "10.224.0.0/16" - f calico.yaml
12. ontainerd.service: Failed at step EXEC spawning /usr/local/bin/containerd: 1 2 3 如果 containerd 被安装在一个不同的位置,你可以创建一个到 /usr/ local/bin/ containerd 的符号链接。例如,如果 containerd 实际安装在 /usr/ bin/containerd,你可以使用以下命令:/usr/ bin/containerd /u sr/local/ bin/containerd
K8S拉取镜像的代理 这个镜像代理服务,帮您在 K8S 中愉快地拉取国外镜像 - 知乎 (zhihu.com)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Docker Hub 官方镜像代理/frpc:latest => http:/ /dockerproxy.com/ stilleshan/frpc:latest// dockerproxy.com/library/ nginx:latest//g hcr.io/username/im age:tag => http://g hcr.dockerproxy.com/username/im age:tag//g cr.io/username/im age:tag => http://g cr.dockerproxy.com/username/im age:tag// k8s.gcr.io/username/im age:tag => http:// k8s.dockerproxy.com/username/im age:tag// registry.k8s.io/username/im age:tag => http:// k8s.dockerproxy.com/username/im age:tag// k8s.gcr.io/coredns:1.6.5 => http:/ /k8s.dockerproxy.com/ coredns:1.6 .5 // registry.k8s.io/coredns:1.6.5 => http:/ /k8s.dockerproxy.com/ coredns:1.6 .5 // Quay.io// quay.io/username/im age:tag => http:// quay.dockerproxy.com/username/im age:tag//m cr.microsoft.com/azure-cognitive-services/ diagnostic:latest => http://m cr.dockerproxy.com/azu
在containerd中配置 1 2 3 4 vim /etc/containerd/config.toml [plugins."io.containerd.grpc.v1.cri" .registry.mirrors] [plugins."io.containerd.grpc.v1.cri" .registry.mirrors."registry.k8s.io" ] ["k8s.dockerproxy.com" ]
Kubernetes 环境中切换代理ipvs模式
service代理默认使用iptables规则通过内核模块netfilter实现流量转发,内核转发效率高,但是iptables不具备更为灵活负载均衡策略,只是将流量随意的转发至后端Pod,当Pod不可用时也无法进行健康检查;就以下是将默认流量转发修改为ipvs。
kube-proxy ipvs和iptables的异同
相同点:ipvs和iptables都是通过netfitle内核进行转发。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 1 、 install ipset ipvsadm2 、 首先创建文件/etc/sysconfig/modules/ipvs.modules 并写入以下内容3 、 然后,将配置文件设置为可执行,并运行它,以加载所需的内核模块:755 /etc/sysconfig/modules/ipvs.modules4 、lsmod | grep -e ip_vs -e nf_conntrack # 查看是否加载成功5 、修改kube-proxy的comfigmaps文件get configmaps -n kube-system kube-proxyedit cm -n kube-system kube-proxymode : "ipvs" # 默认mode : "" 为空,使用iptablesds kube-proxy -n kube-system )get pod --show-labels -n kube-system | grep kube-proxy # 查看一下有哪些delete pod -l k8s-app=kube-proxy -n kube-system # 删除之前的pod名称get pod --show-labels -n kube-system | grep kube-proxy #删除后发现已经重建完成并运行6 nglx -n kube-system | grep ipvsgrep {本地ip}
Dashboard 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml nodePort: 30001 - ---spec: ports: - port: 443 targetPort: 8443 nodePort: 30001 type: NodePortselector: k8s-app: kubernetes-dashboard- ---- f dashborad.yaml- n kubernetes-dashboard// 去访问,不能用http//raw.githubusercontent.com/cby-chen/Kubernetes/main/yaml/dashboard-user.yaml - f dashboard-user.yaml- n kubernetes-dashboard create token admin-user
Metric-Kubernetes Releases · kubernetes-sigs/metrics-server (github.com)
1 2 3 4 5 6 7 8 9 10 11 12 wget https://github.com/kubernetes-sigs/metrics-server/releases/download/v0.6.4/components.yaml --cert-dir=/tmp --secure-port=4443 --kubelet-preferred-address-types=InternalIP ,ExternalIP,Hostname--kubelet-use-node-status-port --metric-resolution=15s --kubelet-insecure-tls :v0.6.4
yaml 文件详解(pod、deployment、service) Kubernetes 支持 YAML 和 JSON格式 管理资源对象
JSON 格式:主要用于 api 接口之间消息的传递YAML 格式:用于配置和管理,YAML是一种简洁的非标记性语言,内容格式人性化,较易读。
YAML语法格式:
大小写敏感; 使用缩进表示层级关系;不支持Tab键制表符缩进,只使用空格缩进;
缩进的空格数目不重要,只要相同层级的元素左侧对齐即可,通常开头缩进两个空格;
字符后缩进一个空格,如冒号,逗号,短横杆(-) 等
"---" 表示YAML格式,一个文件的开始,用于分隔文件;-- 隔开,就不用写多个 yaml 文件了。“#” 表示注释;
yaml 文件的学习方法:
多看别人(官方)写的,能读懂
能照着现场的文件改着用
遇到不懂的,善用 kubectl explain ...命令查.
deployment资源 简述 Deployment 为 Pod 和 ReplicaSet 提供了一个声明式定义 (declarative) 方法,用来替代以前的 ReplicationController 更方便的管理应用。
作为最常用的 Kubernetes 对象,Deployment 经常会用来创建 ReplicaSet 和 Pod,我们往往不会直接在集群中使用 ReplicaSet 部署一个新的微服务,一方面是因为 ReplicaSet 的功能其实不够强大,一些常见的更新、扩容和缩容运维操作都不支持,Deployment 的引入就是为了支持这些复杂的操作。
典型用例如下:
使用 Deployment 来创建 ReplicaSet。ReplicaSet 在后台创建 pod。检查启动状态,看它是成功还是失败。
然后,通过更新 Deployment 的 PodTemplateSpec 字段来声明 Pod 的新状态。这会创建一个新的 ReplicaSet,Deployment 会按照控制的速率将 pod 从旧的 ReplicaSet 移动到新的 ReplicaSet 中。
如果当前状态不稳定,回滚到之前的 Deployment revision。每次回滚都会更新 Deployment 的 revision。
扩容 Deployment 以满足更高的负载。
暂停 Deployment 来应用 PodTemplateSpec 的多个修复,然后恢复上线。
根据 Deployment 的状态判断上线是否 hang 住了。
清除旧的不必要的 ReplicaSet。
deployment 原理 在Kubernetes架构中,有一个叫做kube-controller-manager的组件。这个组件,是一系列控制器的集合。其中每一个控制器,都以独有的方式负责某种编排功能。而Deployment正是这些控制器中的一种。它们都遵循Kubernetes中一个通用的编排模式,即:控制循环
用一段go语言伪代码,描述这个控制循环
1 2 3 4 5 6 7 8 9 for {if 实际状态 == 期望状态 {else {
在具体实现中,实际状态往往来自于Kubernetes集群本身。比如Kubelet通过心跳汇报的容器状态和节点状态,或者监控系统中保存的应用监控数据,或者控制器主动收集的它感兴趣的信息,这些都是常见的实际状态的来源;期望状态一般来自用户提交的YAML文件,这些信息都保存在Etcd中
对于Deployment,它的控制器简单实现如下:
Deployment Controller从Etcd中获取到所有携带 “app:nginx”标签的Pod,然后统计它们的数量,这就是实际状态
Deployment对象的replicas的值就是期望状态
Deployment Controller将两个状态做比较,然后根据比较结果,确定是创建Pod,还是删除已有Pod
Deployment滚动更新的实现,依赖的是Kubernetes中的ReplicaSet
Deployment控制器实际操纵的,就是Replicas对象,而不是Pod对象。对于Deployment、ReplicaSet、Pod它们的关系如下图:
ReplicaSet负责通过“控制器模式”,保证系统中Pod的个数永远等于指定的个数。这也正是Deployment只允许容器的restartPolicy=Always的主要原因:只有容器能保证自己始终是running状态的前提下,ReplicaSet调整Pod的个数才有意义。
Deployment同样通过控制器模式,操作ReplicaSet的个数和属性,进而实现“水平扩展/收缩”和“滚动更新”两个编排动作对于“水平扩展/收缩”的实现,Deployment Controller只需要修改replicas的值即可。用户执行这个操作的指令如下:
1 kubectl scale deployment nginx-deployment --replicas =4
Deployment.yaml 文件解析 Deployment yaml文件包含四个部分:
apiVersion: 表示版本。版本查看命令:kubectl api-versions
kind: 表示资源
metadata: 表示元信息
spec: 资源规范字段
Deployment yaml 详解:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 apiVersion: apps/v1 kind: Deployment metadata: name: demo namespace: default labels: app: demoversion: stableannotations: name: stringspec: replicas: 1 revisionHistoryLimit: 3 selector: matchLabels: app: demoversion: stablestrategy: type: RollingUpdate rollingUpdate: maxSurge: 1 maxUnavailable: 0 template: metadata: annotations: / inject: "false" labels: app: demo version: stablespec: restartPolicy: Always nodeSelector: caas_cluster: work-nodecontainers: - name: demo image: demo:v1 imagePullPolicy: IfNotPresent command: [string] args: [string] workingDir: string volumeMounts: - name: string mountPath: string readOnly: boolean - name: stringconfigMap: name: stringitems: - key: stringpath: stringports: - name: http containerPort: 8080 protocol: TCP env: - name: string value: string resources: limits: cpu: "1" memory: 500 Mi requests: cpu: 100 mmemory: 100 MilivenessProbe: httpGet: path: /healthCheck port: 8089 scheme: HTTP initialDelaySeconds: 30 timeoutSeconds: 5 periodSeconds: 30 successThreshold: 1 failureThreshold: 5 readinessProbe: httpGet: path: /healthCheck port: 8089 scheme: HTTPinitialDelaySeconds: 30 timeoutSeconds: 5 periodSeconds: 10 successThreshold: 1 failureThreshold: 5 lifecycle: postStart: exec: command: - 'sh'- 'yum upgrade - y'preStop: exec: command: ['service httpd stop']initContainers: - command: - sh- - c- sleep 10 ; mkdir /wls/logs/nacos-0 env: image: {{ .Values.busyboxImage }}imagePullPolicy: IfNotPresentname: initvolumeMounts: - mountPath: / wls/ logs/ name: logsvolumes: - name: logshostPath: path: {{ .Values.nfsPath }}/logs volumes: - name: string emptyDir: {} - name: stringhostPath: path: string - name: stringsecret: scretname: stringitems: - key: stringpath: stringimagePullSecrets: - name: harbor-certificationhostNetwork: false terminationGracePeriodSeconds: 30 dnsPolicy: ClusterFirst affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: beta.kubernetes.io/arch operator: Invalues: - amd64podAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: appoperator: Invalues: - nginxtopologyKey: kubernetes.io/hostname podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: appoperator: Invalues: - nginxtopologyKey: kubernetes.io/hostname tolerations: - operator: "Equal" key: "key1" value: "value1" effect: "NoSchedule"
Deployment.yaml 配置项说明 用于判断 Pod(中的应用容器)是否健康,可以理解为健康检查。使用 livenessProbe 来定期的去探测,如果探测成功,则 Pod 状态可以判定为 Running;如果探测失败,则kubectl会根据Pod的重启策略来重启容器 。
如果未给Pod设置 livenessProbe,则默认探针永远返回 Success。
执行 kubectl get pods 命令,输出信息中 STATUS 一列可以看到Pod是否处于Running状态。
livenessProbe使用场景:有些后端应用在出现某些异常的时候会有假死的情况,这种情况容器依然是running状态,但是应用是无法访问的,所以需要加入存活探测livenessProbe来避免这种情况的发生。
参考:https://blog.csdn.net/qq_41980563/article/details/122139923
就绪的意思是已经准备好了,Pod 的就绪可以理解为这个 Pod 可以接受请求和访问。使用 readinessProbe 来定期的去探测,如果探测成功,则 Pod 的 Ready 状态判定为 True;如果探测失败,Pod 的 Ready 状态判定为 False。
与 livenessProbe 不同的是,kubelet 不会对 readinessProbe 的探测情况有重启操作。
当执行 kubectl get pods 命令,输出信息中 READY 一列可以看到 Pod 的 READY 状态是否为 True。
readinessProbe 使用场景:k8s 应用更新虽然是滚动升级方式,但是很多后端程序启动都比较久,容器起来了,但是服务未起来,而 k8s 只要容器起来了就会移除掉旧的容器,这种情况就会导致在更新发版的时候应用访问失败。这时候就需要配置 readinessProbe 就绪检测,保证新的 pod 已经能正常使用了才会移除掉旧的 pod。
用于主容器启动时先启动可一个或多个初始化容器,如果有多个,那么这几个 Init Container 按照定义的顺序依次执行,只有所有的 Init Container 执行完后,主容器才会启动。由于一个 Pod 里的存储卷是共享的,所以 Init Container 里产生的数据可以被主容器使用到。
Init Container 可以在多种K8S资源里被使用到,如 Deployment、Daemon Set、Pet Set、Job 等,但归根结底都是在 Pod 启动时,在主容器启动前执行,做初始化工作。
节点污点:类似节点上的标签或注解信息,用来描述对应节点的元数据信息;污点定义的格式和标签、注解的定义方式很类似,都是用一个 key-value 数据来表示,不同于节点标签,污点的键值数据中包含对应污点的 effect,污点的 effect 是用于描述对应节点上的污点有什么作用;在 k8s 上污点有三种 effect(效用)策略,第一种策略是 NoSchedule,表示拒绝 pod 调度到对应节点上运行;第二种策略是 PreferSchedule,表示尽量不把 pod 调度到此节点上运行;第三种策略是 NoExecute,表示拒绝将 pod 调度到此节点上运行;该效用相比 NoSchedule 要严苛一点;从上面的描述来看,对应污点就是来描述拒绝pod运行在对应节点的节点属性。
pod 对节点污点的容忍度:pod 要想运行在对应有污点的节点上,对应 pod 就要容忍对应节点上的污点;pod 对节点污点的容忍度就是在对应 pod 中定义怎么去匹配节点污点;通常匹配节点污点的方式有两种,一种是等值(Equal)匹配,一种是存在性(Exists)匹配;等值匹配表示对应pod的污点容忍度,必须和节点上的污点属性相等,所谓污点属性是指污点的 key、value 以及 effect;即容忍度必须满足和对应污点的key、value 和 effect 相同,这样表示等值匹配关系,其操作符为 Equal;存在性匹配是指对应容忍度只需要匹配污点的 key 和 effect 即可,value 不纳入匹配标准,即容忍度只要满足和对应污点的 key 和 effect 相同就表示对应容忍度和节点污点是存在性匹配,其操作符为 Exists;
pod yaml文件参数 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 apiVersion: v1 kind: Pod metadata: name: string namespace: string labels: key1: value1 key2: value2 annotations: key1: value1 key2: value2 spec: containers: - name: string image: string imagePullPolicy: [Always|Never|IfNotPresent] command: [string] args: [string] workingDir: string volumeMounts: - name: string mountPath: string readOnly: boolean ports: - name: string containerPort: int protocol: string env: - name: string value: string resources: limits: cpu: string memory: string requests: cpu: string memory: string livenessProbe: exec: command: [string] httpGet: path: string port: number host: string scheme: string HttpHeaders: - name: stringvalue: stringtcpSocket: port: numberinitialDelaySeconds: 5 periodSeconds: 60 timeoutSeconds: 3 successThreshold: 1 failureThreshold: 5 restartPolicy: [Always|Never|OnFailure] nodeSelector: key1: value1imagePullSecrets: - name: stringhostNetwork: false volumes: - name: string emptyDir: {} hostPath: string path: string type: [|DirectoryOrCreate|Directory|FileOrCreate|File] secret: secretName: string items: - key: username path: my-group/my-username configMap: name: string
service资源 简述 Service是Kubernetes的核心概念,通过创建Service,可以为一组具有相同功能的容器应用提供一个统一的入口地址,并将请求负载分发到后端各个容器应用上。
Service.yaml 文件解析 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 apiVersion: v1 kind: Service metadata: name: demo namespace: default labels: - app: demo annotations: - name: string spec: type: ClusterIP clusterIP: string sessionAffinity: string ports: - port: 8080 targetPort: 8080 nodePort: int protocol: TCP name: http selector: app: demo status: loadBalancer: ingress: ip: string hostname: string
注:
port和nodePort都是service的端口,前者暴露给k8s集群内部服务访问,后者暴露给k8s集群外部流量访问。从上两个端口过来的数据都需要经过反向代理kube-proxy,流入后端pod的targetPort上,最后到达pod内的容器。NodePort类型的service可供外部集群访问是因为service监听了宿主机上的端口,即监听了(所有节点)nodePort,该端口的请求会发送给service,service再经由负载均衡转发给Endpoints的节点。
ingress.yaml 文件详解 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 apiVersion: extensions/v1beta1 kind: Ingress metadata: name: showdoc namespace: op annotations: / ingress.class: nginx spec: rules: - host: showdoc.example.cn http: paths: - path: / backend: serviceName: showdoc servicePort: 80
安装Helm 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 curl -fsSL -o get_helm.sh https://raw.githubusercontent.com /helm/helm/main/scripts/get -helm-3 700 get_helm.sh sh add elastic https://helm.elastic.co add gitlab https://charts.gitlab.ioadd harbor https://helm.goharbor.ioadd bitnami https://charts.bitnami.com /bitnamiadd incubator https://kubernetes-charts-incubator.storage.googleapis.com add stable https://kubernetes-charts.storage.googleapis.com add azure http://mirror.azure.cn /kubernetes/charts/add stable http://mirror.azure.cn /kubernetes/chartsadd aliyun https://kubernetes.oss-cn -hangzhou.aliyuncs.com /chartsupdate list
1 2 3 4 5 6 helm repo list --all-namespaces //prometheus-community.github.io/helm-charts --namespace prometheus
helm安装prometheus全家桶 1 2 3 4 5 6 7 8 9 10 helm show values prometheus-community/kube-prometheus-stack > kube-prometheus-stack.yaml-default default kube-prometheus-stack.yaml3456 serviceMonitorSelectorNilUsesHelmValues: true true 修改为false namespace prome --create-namespace --version 57.0 .3 --debug
如果直接使用NGINX Ingress Controller,由于默认使用的是LoadBalancer,如果没安装metallb则external ip一直是pending状态
因为Kubernetes默认不支持Type为LoadBalancer的服务,因此我们需要手动安装Service LoadBalancer
由于Kubernetes本身并不提供LoadBalaner Ingress Controller, 因此通常使用云平台本身的loadBalancer,如果你是自己在裸机上搭建Kubernetes,需要手动搭建LoadBalancer Ingress Controller
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 kubectl apply -f https://raw.githubusercontent.com/metallb/metallb/v0.14.3/config/manifests/metallb-native.yaml kubectl edit configmap -n kube-system kube-proxy 更改: mode: "ipvs" ipvs: strictARP: true 如果报错:MountVolume.SetUp failed for volume "memberlist" : secret "memberlist" not found 直接手动创建: kubectl create secret generic -n metallb-system memberlist --from-literal=secretkey="$(openssl rand -base64 128 ) kubectl apply -f metallb.yaml kubectl apply -f - <<EOF apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: name: first-pool namespace: metallb-system spec: addresses: - 192.168 .66 .230 -192.168 .66 .239 EOF kubectl apply -f - <<EOF apiVersion: metallb.io/v1beta1 kind: L2Advertisement metadata: namespace: metallb-system name: metallbl2 spec: ipAddressPools: - first-pool EOF kubectl apply -f - <<EOF apiVersion: metallb.io/v1beta1 kind: BGPAdvertisement metadata: namespace: metallb-system name: metallbbgp EOF
此时再使用kubectl get svc -n ingress-nginx 则有了正常的external ip
通过数据集挂载的方式创建pod 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 apiVersion: v1kind: Podmetadata: name: pod-cm2spec: containers: - name: busyboximage: busyboxargs: [ "/bin/sh" , "-c" , "sleep 10000" ]volumeMounts: - name: vol-cmmountPath: "/etc/mysql" readOnly: true volumes: - name: vol-cmconfigMap: name: cm
安装Containerd高级命令行工具 nerdctl Containerd ctr、crictl、nerdctl 客户端命令介绍与实战操作-CSDN博客
更换 Containerd 后,以往我们常用的 docker 命令也不再使用,取而代之的分别是 crictl 和 ctr 两个命令客户端。
crictl 是遵循 CRI 接口规范的一个命令行工具,通常用它来检查和管理kubelet节点上的容器运行时和镜像。ctr 是 containerd 的一个客户端工具。ctr -v 输出的是 containerd 的版本,crictl -v 输出的是当前 k8s 的版本,从结果显而易见你可以认为 crictl 是用于 k8s 的。一般来说你某个主机安装了 k8s 后,命令行才会有 crictl 命令。而 ctr 是跟 k8s 无关的,你主机安装了 containerd 服务后就可以操作 ctr 命令。
命令 docker ctr(containerd) crictl(kubernetes)
查看运行的容器
docker ps
ctr task ls/ctr container ls
crictl ps
查看镜像
docker images
ctr image ls [ns]
crictl images
查看容器日志
docker logs
无
crictl logs
查看容器数据信息
docker inspect
ctr container info
crictl inspect
查看容器资源
docker stats
无
crictl stats
启动/关闭已有的容器
docker start/stop
ctr task start/kill
crictl start/stop
运行一个新的容器
docker run
ctr run
无(最小单元为 pod)
打标签
docker tag
ctr image tag
无
创建一个新的容器
docker create
ctr container create
crictl create
导入镜像
docker load
ctr image import
无
导出镜像
docker save
ctr image export
无
删除容器
docker rm
ctr container rm
crictl rm
删除镜像
docker rmi
ctr image rm
crictl rmi
拉取镜像
docker pull
ctr image pull
ctictl pull
推送镜像
docker push
ctr image push
无
登录或在容器内部执行命令
docker exec
无
crictl exec
清空不用的容器
docker image prune
无
crictl rmi –prune
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 一、安装nerdctl//github.com/containerd/nerdctl/releases/download/v1.5.0/nerdctl-1.5.0-linux-amd64.tar.gz - p / usr/ local/ containerd/ bin/ && tar - zxvf nerdctl-1.5 .0 - linux-amd64.tar.gz nerdctl && mv nerdctl / usr/ local/ containerd/ bin/ - s /usr/local/containerd/bin/nerdctl /usr/local/bin/nerdctl 0000 ] unable to determine buildctl version: exec: "buildctl" : executable file not found in $PATHClient: Version: v1.5.0 / Arch: linux/amd64 commit: b33a58f288bc42351404a016e694190b897cd252buildctl: Version: Server: containerd: Version: 1.6 .22 GitCommit: 8165 feabfdfe38c65b599c4993d227328c231fcarunc: Version: 1.1 .8 GitCommit: v1.1 .8 - 0 - g82f18fe//github.com/moby/buildkit/releases/download/v0.12.2/buildkit-v0.12.2.linux-amd64.tar.gz - p /usr/local/buildctl - p && tar - zxvf buildkit-v0.12.2 .linux-amd64.tar.gz - C /usr/local/buildctl - s /usr/local/buildctl/bin/buildkitd /usr/local/bin/buildkitd - s /usr/local/buildctl/bin/buildctl /usr/local/bin/buildctl > > /etc/systemd/system/buildkit.service < < EOFescription = BuildKitocumentation = https://github.com/moby/buildkit xecStart = /usr/local/bin/buildkitd - -oci-worker= false - -containerd-worker= true antedBy = multi-user.target- -nowClient: Version: v1.5.0 / Arch: linux/amd64 commit: b33a58f288bc42351404a016e694190b897cd252buildctl: Version: v0.12.2 GitCommit: 567 a99433ca23402d5e9b9f9124005d2e59b8861Server: containerd: Version: 1.6 .22 GitCommit: 8165 feabfdfe38c65b599c4993d227328c231fcarunc: Version: 1.1 .8 GitCommit: v1.1 .8 - 0 - g82f18fe
安装完后:
1 2 3 4 mkdir /etc/nerdctl"k8s.io"
如果用nerdctl login 时候 ,没有自签则要加入参数 –insecure-registry
同理 push时也要
containerd配置私人仓库 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 vim /etc/containerd/config.toml "io.containerd.grpc.v1.cri" .registry ]"" "io.containerd.grpc.v1.cri" .registry.mirrors ]"io.containerd.grpc.v1.cri" .registry.mirrors. "192.168.66.23" ]"http://192.168.66.23" ]"io.containerd.grpc.v1.cri" .registry.auths ]"io.containerd.grpc.v1.cri" .registry.configs ]"io.containerd.grpc.v1.cri" .registry.configs. "192.168.66.23" .tls ]true "io.containerd.grpc.v1.cri" .registry.configs. "192.168.66.23" .auth ]"admin" "12345" "io.containerd.grpc.v1.cri" .registry.headers ]
注意:如果使用的域名登录的harbor(就是nerdctl login xxx.com)的时候,要把所有的地址192.168.66.23改成对应的xxx.com
1 2 3 systemctl daemon-reload && systemctl restart containerd.service192.168.66.23 /test/nginx
创建公私钥 什么都没有,自己生成的代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 openssl genrsa -out ca.key 4096 # 生成根证书私钥(无加密)openssl req -x509 -new -nodes -sha512 -days 3650 \ "/C=CN/ST=Shanghai/L=Shanghai/O=Weijie/OU=Personal/CN=harbor.kubemsb.com" \ \ openssl req -newkey rsa:4096 -nodes -sha256 -keyout server.key -out server.csr \ "/C=CN/ST=Shanghai/L=Shanghai/O=Weijie/OU=Personal/CN=harbor.kubemsb.com" echo subjectAltName = IP:192.168.66.213 > extfile.cnfopenssl x509 -req -sha512 -days 3650 \ \ \ \ harbor .xml:certificate : /usr/local/harbor/harbor/pem/server.crtprivate_key : /usr/local/harbor/harbor/pem/server.key
注意,如果是更改的harbor,要重新加载配置文件 ./install.sh
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 cd /etc /kubernetes /pki umask 077 ; openssl genrsa -out wj .key 2048 ) openssl req -new -key wj .key -out wj .csr You are about to be asked to enter information that will be incorporated into your certificate request .What you are about to enter is what is called a Distinguished Name or a DN .There are quite a few fields but you can leave some blank For some fields there will be a default value ,If you enter '.' , the field will be left blank .Country Name (2 letter code ) [AU ]:China String too long , must be at most 2 bytes long Country Name (2 letter code ) [AU ]:Beijing String too long , must be at most 2 bytes long Country Name (2 letter code ) [AU ]:CN State or Province Name (full name ) [Some-State ]:BeiJing Locality Name (eg , city ) []:dhu Organization Name (eg , company ) [Internet Widgits Pty Ltd ]:dhu Organizational Unit Name (eg , section ) []:dhu Common Name (e .g . server FQDN or YOUR name ) []:dhu Email Address []:1041700406 @qq .com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:An optional company name []:openssl req -new -key wj .key -out wj .csr -subj "/O=dhu/CN=dhu" openssl x509 -req -in wj .csr -CA ca .crt -CAkey ca .key -CAcreateserial -out wj .crt -days 36500 openssl req -x509 -new -nodes -sha512 -days 3650 \subj "/C=CN/ST=Shanghai/L=Shanghai/O=wj/OU=Personal/CN=harbor.kubemsb.com" \key wj .key \out ca .cr openssl x509 -in wj .crt -noout -text k config set-credentials wj --client-certificate wj .crt --client-key wj .key --kubeconfig /tmp /wj .conf k config view --kubeconfig /tmp /wj .conf k config set-cluster myk8s --server=192.168.66.200:6443 --certificate-authority ca .crt --embed-certs=true --kubeconfig /tmp /wj .conf k config view --kubeconfig /tmp /wj .conf k config set-context wj @myk8s --cluster=myk8s --user wj --kubeconfig /tmp /wj .conf k config use-context wj @myk8s --kubeconfig k get pods --kubeconfig /tmp /wj .conf
HTTPS证书管理与双向认证 数字证书基本概念 数字证书的标准:
X.509版本号:指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息
序列号:由CA(Certificate Authority)给予每一个证书分配的唯一的数字型编号,当证书被取消时,实际上是将此证书序列号放入由CA签发的CRL(Certificate Revocation List证书作废表,或证书黑名单表)中。这也是序列号唯一的原因
签名算法标识符:用来指定CA签署证书时所使用的签名算法,常见算法如RSA
签发者信息:颁发证书的实体的 X.500 名称信息。它通常为一个 CA
证书的有效期:证书起始日期和时间以及终止日期和时间;指明证书在这两个时间内有效。
主题信息:证书持有人唯一的标识,在 Internet上应该是唯一的
发布者的数字签名:这是使用发布者私钥生成的签名,以确保这个证书在发放之后没有被撰改过。
证书的公钥:包括证书的公钥、算法(指明密钥属于哪种密码系统)的标识符和其他相关的密钥参数
数字证书的常见格式:
CSR:Certificate Signing Request(证书签发请求文件),这个并不是证书,而是向证书颁发机构获得签名证书的申请文件
CER:Certificate File:证书文件,可以是二进制编码或者BASE64编码
CRT:也是证书文件,证书可以是DER编码,也可以是PEM编码,在linux系统中比较常见
pem:Privacy Enhanced Mail,该编码格式在RFC1421中定义,但他也同样广泛运用于密钥管理,实质上是 Base64 编码的二进制内容
DER:Distinguished Encoding Rules:区别编码规则,用于二进制DER编码的证书。这些证书也可以用CER或者CRT作为扩展名
JKS: Java KeyStore:Java密钥库,java的密钥存储文件,二进制格式,是一种 Java 特定的密钥文件格式, JKS的密钥库和私钥可以用不同的密码进行保护
p12/PFX: PKCS#12 / Personal Information Exchange:个人信息交换格式,又名PKCS#12,包含所有私钥、公钥和证书。其以二进制格式存储,也称为 PFX 文件,在windows中可以直接导入到密钥区,密钥库和私钥用相同密码进行保护
K8s 中组件之间通信,证书的验证是在协议层通过 TLS 完成的,TLS 验证分为 2 种:
服务器单向认证:服务器端持有证书证明自己身份,用于服务端不关心客户端身份而客户端需要确认服务器身份的场景。例如火车票购票网站,我们必须保证其是官方而非恶意服务器,但网站允许任何客户端进行连接访问;
双向 TLS 认证:双方都要持有证书,并验证对方证书确认身份。一般用于服务端持有信息比较敏感,只有特定客户端才能访问的场景。例如:K8s 内组件提供的接口往往包含集群内部信息,若被非法访问会影响整体安全,所以 K8s 内部组件之间都是双向 TLS 认证。
名称 作用 例子
服务端证书
包含服务端公钥和服务端身份信息
通过根证书手动或者 kubeadm 自动生成的 API Server 服务端证书文件 apiserver.crt
服务器私钥
主要用于 TLS 认证时进行数字签名,证明自己是服务端证书的拥有者
通过根证书手动或者 kubeadm 生成的 API Server 服务端私钥文件 apiserver.key
客户端证书
包含客户端公钥和客户端身份信息
由同一个 CA 根证书签发的.crt 文件
客户端私钥
主要用于 TLS 认证时进行数字签名,证明自己是客户端证书的拥有者
由同一个 CA 根证书签发的.key 文件
服务端 CA 根证书
签发服务端证书的 CA 根证书
通过 openssl 等工具生成的 ca.crt 文件,并在服务端启动时进行指定
客户端 CA 根证书
签发客户端证书的 CA 根证书
通过 openssl 等工具生成的 ca.crt 文件,并在客户端启动时进行指定 (一般与服务端使用一个)
什么是HTTPS单向认证 单向认证,只有一方需要验证对方的身份。通常是客户端验证服务器的身份。这种情况下,客户端会检查服务器提供的数字证书是否有效,以确定服务器是否合法。服务器不会验证客户端的身份。这种情况下,客户端可以确认它正在与合法的服务器进行通信,但服务器不能确定其与合法客户端通信。单向认证通常用于一些对服务器身份验证要求较高,但对客户端身份验证要求相对较低的场景,如网站访问。
单向认证原理:
客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书
客户端使用服务端返回的信息验证服务器的合法性,包括:
-
验证通过后,将继续进行通信,否则,终止通信
客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择
服务器端在客户端提供的加密方案中选择加密程度最高的加密方式。
服务器将选择好的加密方案通过明文方式返回给客户端
客户端接收到服务端返回的加密方式后,使用该加密方式生成产生随机码,用作通信过程中对称加密的密钥,使用服务端返回的公钥进行加密,将加密后的随机码发送至服务器
服务器收到客户端返回的加密信息后,使用自己的私钥进行解密,获取对称加密密钥。
什么是HTTPS双向认证 双向认证要求通信双方都需要验证对方的身份。即客户端验证服务器的身份,同时服务器也验证客户端的身份。这种情况下,双方都会使用数字证书来证明自己的身份。客户端在连接到服务器时会发送自己的数字证书,服务器会验证该证书的合法性。同时,服务器也会发送数字证书给客户端,客户端会验证服务器的证书。只有在双方都通过了身份验证,通信才会继续进行。双向认证通常用于对通信双方身份验证要求较高的场景,如安全敏感的数据交换、金融交易等。
首先:公钥加密,私钥解密,公钥是任何人都可以用其进行加密,私钥只有自己有,f(私钥) = 公钥, 只有私钥可以推出自己的公钥。
双向认证原理:
客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书
客户端使用服务端返回的信息验证服务器的合法性,包括:
-
验证通过后,将继续进行通信,否则,终止通信
服务端要求客户端发送客户端的证书,客户端会将自己的证书发送至服务端
验证客户端的证书,通过验证后,会获得客户端的公钥
客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择
服务器端在客户端提供的加密方案中选择加密程度最高的加密方式
将加密方案通过使用之前获取到的公钥进行加密,返回给客户端
客户端收到服务端返回的加密方案密文后,使用自己的私钥进行解密,获取具体加密方式,而后,产生该加密方式的随机码,用作加密过程中的密钥,使用之前从服务端证书中获取到的公钥进行加密后,发送给服务端
服务端收到客户端发送的消息后,使用自己的私钥进行解密,获取对称加密的密钥,在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。
配置HTTPS单向认证 生成CA证书:
1 2 3 4 5 6 7 8 # 生成CA 根证书私钥:为保证安全,生成一个4096位的私钥,并使用aes方式加密out kubesre-ca .key 4096CA 根私钥签发CA 根证书ca .key -out kubesre-ca .cer -subj "/C=CN/ST=shanghai/L=shanghai/O=kubesre/OU=kubesre/CN=*.kubesre.com" for kubesre-ca .key: # 密码:12345678
生成服务端证书:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 3650 -sha256 -CA kubesre-ca.cer -CAkey kubesre-ca.key -in kubesre-server.csr -out kubesre-server.cer 1 chuanzhang staff 2.0K 8 13 15:24 kubesre-ca.cer 1 chuanzhang staff 3.4K 8 13 15:22 kubesre-ca.key 1 chuanzhang staff 1.6K 8 13 15:31 kubesre-server.cer 1 chuanzhang staff 1.0K 8 13 15:28 kubesre-server.csr 1 chuanzhang staff 1.7K 8 13 15:27 kubesre-server.key
创建证书Secret(证书基于Kubernetes Secret进行存储):
1 2 3 4 5 $ kubectl create secret tls kubesre-tls get secretNAME TYPE DATA AGE2 18 s
创建Ingress资源:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 $ cat ingress.ymlapiVersion: networking.k8s.io/v1 kind: Ingressmetadata: name: demospec: tls: - hosts: - demo.kubesre.comsecretName: kubesre-tls rules: - host: demo.kubesre.comhttp: paths: - path: /info pathType: Prefixbackend: service: name: demo-svcport: number: 8080 ingressClassName: nginx- f ingress.yml/demo configured
配置HTTPS双向认证 上一步,已经签发了服务端证书,接下来,咱们来签发客户端证书即可!
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 3650 -sha256 -CA kubesre-ca.cer -CAkey kubesre-ca.key -in kubesre-client.csr -out kubesre-client.cer 1 chuanzhang staff 1590 8 13 15:46 kubesre-client.cer 1 chuanzhang staff 1021 8 13 15:46 kubesre-client.csr 1 chuanzhang staff 1704 8 13 15:46 kubesre-client.key
创建CA证书的Secret:
1 2 3 4 5 6 7 kubectl create secret generic ca-secret --from-file =ca.crt=kubesre-ca.cerget secret TYPE DATA AGE
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 $ cat ingress.ymlapiVersion: networking.k8s.io/v1 kind: Ingressmetadata: annotations: / auth-tls-verify-client: "on" / auth-tls-secret: "default/ca-secret" / auth-tls-verify-depth: "1" 。 / auth-tls-pass-certificate-to-upstream: "true" name: demospec: tls: - hosts: - demo.kubesre.comsecretName: kubesre-tlsrules: - host: demo.kubesre.comhttp: paths: - path: /info pathType: Prefixbackend: service: name: demo-svcport: number: 8080 ingressClassName: nginx- f ingress.yml/demo configured
验证:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 <html> <head> <title> 400 No required SSL certificate was sent</title> </head> <body> <center> <h1> 400 Bad Request</h1> </center> <center> No required SSL certificate was sent</center> <hr> <center> nginx</center> </body> </html> "message" :"云原生运维圈!" }
配置NFS服务器 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 如果是虚拟机,需要先分配一个新硬盘mkdir /sdbdf -h sync ,no_root_squash)enable --now nfs-server
如果输入showmount -e时报错: clnt_create: RPC: Unknown host
则是因为解析过程中nfs不能找到host主机名,解决方法:
vim /etc/hosts
127.0.0.1 localhost nfs(主机名)
k8s中的连接
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 在master节点中安装nfs的yaml文件in class.yaml deployment.yaml rbac.yaml ; do wget https:// raw.githubusercontent.com/ kubernetes-incubator/ external-storage/ master/ nfs-client/ deploy/ $file ; done- name: nfs-client-provisionerimage: registry.cn-beijing.aliyuncs.com/ pylixm/ nfs-subdir-external-provisioner:v4.0.0 volumeMounts: - name: nfs-client mountPath: /persistentvolumes env: - name: PROVISIONER_NAMEvalue: fuseim.pri/ifs - name: NFS_SERVERvalue: nfs.kubemsb.com - name: NFS_PATHvalue: /sdb volumes: - name: nfs-client nfs: server: nfs.kubemsb.com path: /sdb
GlusterFS配置 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 查看硬盘 TYPE MOUNTPOINTmeta-data =/dev/sdb isize =512 agcount =4, agsize =6553600 blkssectsz =512 attr =2, projid32bit =1crc =1 finobt =0, sparse =0bsize =4096 blocks =26214400, imaxpct =25sunit =0 swidth =0 blksbsize =4096 ascii-ci =0 ftype =1bsize =4096 blocks =12800, version =2sectsz =512 sunit =0 blks, lazy-count =1extsz =4096 blocks =0, rtextents =0.. .. .. run
安装GLusterFS
1 2 3 4 5 6 7 8 9 10 sudo apt install -y software-properties-commonsudo apt install glusterfs-server -ysudo service glusterd startenable glusterdsudo service glusterd status
验证可用性
1 2 3 4 5 gluster volume create k8s-test-volume replica 3 g1:/glustersdb/r1 g2:/glustersdb/r2 g3:/glustersdb/r3start k8s-test-volumeinfo k8s-test-volume
如果某一个brick不在线会影响客户端挂载(可选)
设置后,可以允许volume中的某块brick不在线的情况
1 2 3 4 5 [root@g1 glusterfs]volume set : success volume set : success
限额问题(可选)
1 2 3 4 5 [root@g1 ~]
k8s中的使用
1 2 3 4 5 6 7 8 9 sudo apt install -y software-properties-commonsudo apt install glusterfs-server -ymkdir /k8s-glusterfs-test-volumedf -h
安装heketi 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 wget https://github.com/heketi/heketi/releases/download/v10.4.0/heketi-client-v10.4.0-release-10.linux.amd64.tar.gzcd heketicp heketi /usr/bincp heketi-cli /usr/binmkdir -p /var/lib/heketimkdir -p /etc/heketi"_port_comment" : "Heketi Server Port Number" ,"port" : "18080" ,"_use_auth" : "Enable JWT authorization. Please enable for deployment" ,"use_auth" : true ,"_jwt" : "Private keys for access" ,"jwt" : {"_admin" : "Admin has access to all APIs" ,"admin" : {"key" : "adminkey" "_user" : "User only has access to /volumes endpoint" ,"user" : {"key" : "just4fun" "_glusterfs_comment" : "GlusterFS Configuration" ,"glusterfs" : {"_executor_comment" : ["Execute plugin. Possible choices: mock, ssh" ,"mock: This setting is used for testing and development." ," It will not send commands to any node." ,"ssh: This setting will notify Heketi to ssh to the nodes." ," It will need the values in sshexec to be configured." ,"kubernetes: Communicate with GlusterFS containers over" ," Kubernetes exec api." "executor" : "ssh" ,"_sshexec_comment" : "SSH username and private key file information" ,"sshexec" : {"keyfile" : "/etc/heketi/heketi_key" ,"user" : "root" ,"port" : "22" ,"fstab" : "/etc/fstab" "_kubeexec_comment" : "Kubernetes configuration" ,"kubeexec" : {"host" :"https://kubernetes.host:8443" ,"cert" : "/path/to/crt.file" ,"insecure" : false ,"user" : "kubernetes username" ,"password" : "password for kubernetes user" ,"namespace" : "OpenShift project or Kubernetes namespace" ,"fstab" : "Optional: Specify fstab file on node. Default is /etc/fstab" "_db_comment" : "Database file name" ,"db" : "/var/lib/heketi/heketi.db" ,"_loglevel_comment" : ["Set log level. Choices are:" ," none, critical, error, warning, info, debug" ,"Default is warning" "loglevel" : "warning" '' cd ~cp .ssh/id_rsa /etc/heketi/heketi_keyenable heketi
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 heketi-cli --user admin --secret adminkey --server http://192.168.66.20 :18080 --json cluster create"id" :"de8edfdd859e290d14d95d0de373d056" ,"nodes" :[],"volumes" :[],"block" :true ,"file" :true ,"blockvolumes" :[]}--user admin --secret adminkey --server http://192.168.66.20 :18080 --json cluster delete de8edfdd859e290d14d95d0de373d056--user admin --secret adminkey --server http://192.168.66.20 :18080 --json cluster list--user admin --secret adminkey --server http://192.168.66.20 :18080 --json node add --cluster "de8edfdd859e290d14d95d0de373d056" --management-host-name 192.168.66.60 --storage-host-name 192.168.66.60 --zone 1--user admin --secret adminkey --server http://192.168.66.20 :18080 --json node add --cluster "de8edfdd859e290d14d95d0de373d056" --management-host-name 192.168.66.61 --storage-host-name 192.168.66.61 --zone 1--user admin --secret adminkey --server http://192.168.66.20 :18080 --json node add --cluster "de8edfdd859e290d14d95d0de373d056" --management-host-name 192.168.66.62 --storage-host-name 192.168.66.62 --zone 1--user admin --secret adminkey --server http://192.168.66.20 :18080 --json node list
记录问题:
Feb 29 20:47:14 master01 heketi[1017187]: [cmdexec] WARNING 2024/02/29 20:47:14 Failed to create SSH connection to 19
Feb 29 20:43:47 master01 heketi[1017187]: [cmdexec] ERROR 2024/02/29 20:43:47 heketi/executors/cmdexec/peer.go:80:cmd
解决办法:
Heketi只支持旧式的RSA SSH密钥,而这些密钥在现代的SSH安装中默认被拒绝。将RSA密钥添加到SSH接受的密钥类型列表中可以让Heketi正常工作。
在每个gluster节点上的/etc/ssh/sshd_config文件中加入
PubkeyAcceptedKeyTypes=+ssh-rsa
然后systemctl restart sshd重新加入既可
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 去三个gluster节点上分别增加一个硬盘:MIN RM SIZE RO TYPE MOUNTPOINTS:0 0 63.4M 1 loop /snap/core20/1974 :1 0 63.9M 1 loop /snap/core20/2182 :2 0 111.9M 1 loop /snap/lxd/24322 :3 0 87M 1 loop /snap/lxd/27037 :4 0 53.3M 1 loop /snap/snapd/19457 :5 0 40.4M 1 loop /snap/snapd/20671 :0 0 40G 0 disk:1 0 1M 0 part:2 0 2G 0 part /boot :3 0 38G 0 part--vg-ubuntu--lv 252:0 0 38G 0 lvm /:16 0 40G 0 disk /glustersdb :32 0 40G 0 disk:0 1 2G 0 rom--user admin --secret adminkey --server http://192.168.66.20 :18080 device add --name "/dev/sdc" --node {847076480c3c45f83420225228189355}--user admin --secret adminkey --server http://192.168.66.20 :18080 topology info--user admin --secret adminkey --server http://192.168.66.20 :18080 volume create --size=5 --replica=2 --user admin --secret adminkey --server http://192.168.66.20 :18080 volume list
在k8s中使用
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 [root@master01 yaml]# cat storageclass-gluserfs.yaml apiVersion: storage.k8s.io/v1kind: StorageClassmetadata: name: glusterfsprovisioner: kubernetes.io/glusterfs #表示存储分配器,需要根据后端存储的不同而变更 parameters: resturl: "http://192.168.66.20:18080" #heketi API服务提供的URL,为k8s集群master节点IP restauthenabled: "true" #可选参数,默认为"false" ,heketi服务开启认证时,必须设置为"true" restuser: "admin" #可选参数,开启认证时设置相应用户名 restuserkey: "adminkey" #可选,开启认证时设置密码 volumetype: "replicate:2" #可选参数,设置卷类型及其参数,如果未分配卷类型,则有分配器决定卷类型;如”volumetype: replicate:3”表示3副本的replicate卷,”volumetype: disperse:4:2”表示disperse卷,其中‘4’是数据,’2’是冗余校验,”volumetype: none”表示distribute卷
创建pvc(不可使用,已与v1.25启用storage-class的值glusterfs
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 [root@master01 yaml]kind: PersistentVolumeClaimapiVersion: v1metadata: name: glusterfs-mysqlnamespace: defaultannotations: / storage-class: "glusterfs" spec: accessModes: - ReadWriteManyresources: requests: storage: 2 Gi
Gluster不支持了,就没学了,如果有需要看笔记https://cloud.fynote.com/share/d/12179
Ceph Ceph概述 一、Ceph的起源
Ceph是一个统一的分布式存储系统,设计初衷是提供较好的性能、可靠性和可扩展性。Ceph项目最早起源于Sage就读博士期间的工作(最早的成果于2004年发表),并随后贡献给开源社区。在经过了数年的发展之后,目前已得到众多云计算厂商的支持并被广泛应用。RedHat及OpenStack都可与Ceph整合,为物理机及虚拟机提供块存储,对象存储与文件存储。由于AWS的对象存储S3与OpenStack的对象存储swift并不兼容,而Ceph的对象存储RADOS(Reliable Autonomic Distributed Object Store) GW可以同时兼容二者,起到桥接作用。
二、Ceph的特点
接口类型
说Ceph是一个统一的分布式存储系统,是因为Ceph底层使用RADOS分布式存储系统,该存储系统对外提供librados接口进行调用,使用者可根据该接口自行开发客户端,考虑到易用性,Ceph官方提供了RDB,RADOS GW和CEPH FS接口,对外提供块存储,对象存储和文件存储,其中RDB和RADOS GW是给予librados的二次封装,而CEPH FS并未使用librados封装,直接使用RADOWS对象存储。
存储引擎
ceph后端支持多种存储引擎,以插件化的形式来进行管理使用,目前支持filestore,kvstore,memstore以及bluestore。Filestore因为仍然需要通过操作系统自带的本地文件系统间接管理磁盘,所以所有针对RADOS层的对象操作,都需要预先转换为能够被本地文件系统识别、符合POSIX语义的文件操作。这个转换的过程极其繁琐,效率低下,目前默认使用的是bluestore,即直接使用本地磁盘裸设备。
层级结构
对象存储本质上是一个平层结构,不像传统的文件系统倒装树接口,在对象存储下,所有对象位于同一层级,通过K/V方式进行查找,典型的应用就是我们日常见到的云盘,而云盘中不同的目录,在对象存储中是以“/”进行表示,所以对于对象存储而言,云盘中的所有对象都在一个层级目录下。
Ceph存储网络
Ceph存储网络分为public network和cluster network两个平面,当仅有一张网卡时,两个平面可以共用一个网络出口,生产环境中推荐两个平面分开。
Ceph组件
Ceph 存储集群需要至少一个 Ceph Monitor 、 Ceph Manager和 Ceph OSD ,如果需要对外提供 Ceph FS,需要额外部署 Ceph Metadata。
● Monitors:Ceph Monitor (Ceph-mon),负责维护集群状态信息,包括monitor map、manager map、 OSD map、 MDS map和 CRUSH map。这些map是 Ceph 集群进程间彼此通信的关键信息。monitor还负责服务进程和客户端之间的身份验证。通常monitor需要至少三节点部署来保证冗余和高可用性。
三、Ceph中的几个概念
在弄清Ceph的映射关系前,先搞清楚Ceph中的三个重要概念:object、PG、OSD。
Object
Ceph本身是一个对象存储,为了和客户端待存储对象进行区分,下文中将待存储的对象统称为file,Ceph切分后的对象统称为object。Ceph存储时,是将一个file切分为多个object(默认4M大小),每个object经过两重映射,最终存放到RADOS对象存储上,所以无论是块存储,对象存储还是文件存储都可以看作是RADOS存储的二次封装。
OSD(Object Storage Daemon)
RADOS存储内,每一个最小存储单元称为一个OSD,通常每一个OSD代表一块物理磁盘,而该磁盘所在的物理节点上,每一个物理磁盘需要有一个对应的OSD进程来相应客户请求。
PG
PG全称placement group,直译为归置组,他本身是一个逻辑概念。通过前文得知,每一台物理节点上面会有若干个磁盘设备,在ceph集群中,每一个磁盘设备需要运行一个OSD进程管理,而OSD之间会相互监听心跳信息并及时上报给monitor,而monitor也会监视OSD的状态。如果让monitor监视每一个OSD,当OSD发生故障时进行数据恢复,这样物理节点资源开销很大;如果以物理节点为单位,当物理节点发生故障时再进行数据恢复,恢复的数据量又会非常大,为了兼顾性能与速度,所以在中间加入了一个逻辑归置组PG,其特点如下:
四、Ceph的存储映射
客户端向monitor节点发起请求,获取到集群状态信息
客户端经过本地计算,得到数据存放的OSD位置
客户端直接向primaryOSD发起读写请求
primary OSD负责向second OSD发起数据同步
second OSD复制完成后向primary OSD进行确认
后续看初识Ceph之1——通过Cephadm安装部署大羹不和的技术博客 51CTO博客
配置DNS Server https://cloud.fynote.com/share/d/12061#3-2-%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90-DNS%E9%85%8D%E7%BD%AE_9
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 vim /etc/ netplan/xxx.yamlnetwork: version: 2 renderer: NetworkManager ethernets: ens33: dhcp4: no addresses: 192.168 .66 .211 /24 routes: via: 192.168 .66 .1 nameservers: addresses: [192.168 .66 .211 , 119.29 .29 .29 ]/etc/ named.conf.optionsoptions { "/var/cache/bind" ; 53 { 192.168 .66 .211 ; any ; }; forwarders { 192.168 .66 .211 ; }; auto ; listen-on-v6 { any ; }; };
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 vim named.conf.local"kubemsb.com" IN{ // “kubemsb.com”可以理解为监听区域,根据自己的域名设置type master;"/etc/bind/zones/kubemsb.com.zone" ; // 区文件路径(稍后在相应位置创建区文件就好,路径不必严格照搬)mkdir zonescp -p db.empty /etc/bind/zones/kubemsb.com.zone for empty rfc1918 zonefor multiple zones.$TTL 86400
@:表示当前域
验证
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 vim /etc/resolv.conf192.168 .66 .211 119.29 .29 .29 named -checkconf # 检测是否配置正确named && systemctl start named status named
