K8S 学习笔记 | 如何部署 Kubernetes masK8S 学习笔记 | 如何部署 Kubernetes master 节点 ter 节点

宋净超（ Jimmy Song)，TalkingData 容器技术负责人，微服务和云原生应用布道者。2017 年初开始研究 Kubernetes，至目前已发表近 40 篇 Kubernetes 学习笔记。同时，他也是「 K8sMeetup 中国社区」的活跃者，见证了「 K8sMeetup 中国社区」的一路成长。

经 Jimmy Song 本人授权， 从本周开始，K8sMeetup 中国将转载他的 Kubernetes 学习笔记，由浅入深地分享他在学习过程中的收获。7 月 22 日，北京 K8S 2 周年 Meetup，Jimmy Song 也将到现场进行分享，欢迎 Kubernetes 爱好者届时参与。 前言：

这是和我一步步部署 Kubernetes 集群项目 ((fork 自 opsnull)) 中的一篇文章，下文是结合我之前部署 Kubernetes 的过程产生的 Kuberentes 环境，部署 master 节点的 kube-apiserver，kube-controller-manager 和 kube-scheduler 的过程。

Kubernetes master 节点安装

Kubernetes master 节点包含的组件： kube-apiserver kube-scheduler kube-controller-manager

目前这三个组件需要部署在同一台机器上。

kube-scheduler，kube-controller-manager 和 kube-apiserver 三者的功能紧密相关; 同时只能有一个 kube-scheduler，kube-controller-manager 进程处于工作状态，如果运行多个，则需要通过选举产生一个 leader ；

本文档记录部署一个三个节点的 Kubernetes master 集群步骤。（后续创建一个 load balancer 来代理访问 kube-apiserver 的请求）

TLS 证书文件

PEM 和 token.csv 证书文件我们在 TLS 证书和秘钥这一步中已经创建过了，我们再检查一下。

下载最新版本的二进制文件

有两种下载方式

方式一： 从 github release 页面下载发布版 tarball，解压后再执行下载脚本

方式二： 从 CHANGELOG 页面下载 client 或 servertarball 文件

server 的 tarball kubernetes-server-linux-amd64.tar.gz 已经包含了 client （ kubectl ）二进制文件，所以不用单独下载 kubernetes-client-linux-amd64.tar.gz 文件;

将二进制文件拷贝到指定路径

配置和启动 kube-apiserver

创建 kube-apiserver 的 service 配置文件

serivce 配置 /usr/lib/systemd/system/kube-apiserver.service 文件内容：

/etc/kubernetes/config 文件的内容为：

该配置文件同时被 kube-apiserver、kube-controller-manager、kube-scheduler、kubelet、kube-proxy 使用。

apiserver 配置 /etc/kubernetes/apiserver 文件内容为：

--authorization-mode=RBAC 指定在安全端口使用 RBAC 授权模式，拒绝未通过授权的请求; kube-scheduler、kube-controller-manager 一般和 kube-apiserver 部署在同一台机器上，它们使用非安全端口和 kube-apiserver 通信; kubelet、kube-proxy、kubectl 部署在其它 Node 节点上，如果通过安全端口访问 kube-apiserver，则必须先通过 TLS 证书认证，再通过 RBAC 授权； kube-proxy、kubectl 通过在使用的证书里指定相关的 User、Group 来达到通过 RBAC 授权的目的； 如果使用了 kubelet TLS Boostrap 机制，则不能再指定 --kubelet-certificate-authority，--kubelet-client-certificate 和--kubelet-client-key 选项，否则后续 kube-apiserver 校验 kubelet 证书时出现 "x509: certificate signed by unknown authority" 错误； --admission-control 值必须包含 ServiceAccount ； --bind-address 不能为 127.0.0.1 ； runtime-config 配置为 rbac.authorization.k8s.io/v1beta1，表示运行时的 apiVersion ； --service-cluster-ip-range 指定 Service Cluster IP 地址段，该地址段不能路由可达； 缺省情况下 Kubernetes 对象保存在 etcd /registry 路径下，可以通过 --etcd-prefix 参数进行调整；

完整 unit 见 kube-apiserver.service

启动 kube-apiserver

配置和启动 kube-controller-manager

创建 kube-controller-manager 的 serivce 配置文件

文件路径 /usr/lib/systemd/system/kube-controller-manager.service

配置文件 /etc/kubernetes/controller-manager。

--service-cluster-ip-range 参数指定 Cluster 中 Service 的 CIDR 范围，该网络在各 Node 间必须路由不可达，必须和 kube-apiserver 中的参数一致； --cluster-signing-* 指定的证书和私钥文件用来签名为 TLS BootStrap 创建的证书和私钥； --root-ca-file 用来对 kube-apiserver 证书进行校验，指定该参数后，才会在 Pod 容器的 ServiceAccount 中放置该 CA 证书文件； --address 值必须为 127.0.0.1，因为当前 kube-apiserver 期望 scheduler 和 controller-manager 在同一台机器，否则：

参考： https：//github.com/kubernetes-incubator/bootkube/issues/64

完整配置见 kube-controller-manager.service

启动 kube-controller-manager

配置和启动 kube - scheduler

创建 kube-scheduler 的 serivce 配置文件

文件路径 /usr/lib/systemd/system/kube-scheduler.serivce。

配置文件 /etc/kubernetes/scheduler。

--address 值必须为 127.0.0.1，因为当前 kube-apiserver 期望 scheduler 和 controller-manager 在同一台机器；

完整见: kube-scheduler.service

验证 master 节点功能

后记

当时在配置过程中遇到了问题 TLS 认证相关的问题，其实就是因为配置 apiserver 时候 etcd 的协议写成了 http 导致的，应该是用 https。

才云科技的唐继元分享过 Kubernetes Master High Availability 高级实践。究竟如何实现 Kubernetes master 的高可用还需要继续探索。

原文链接： https://github.com/rootsongjc/kubernetes-handbook/blob/master/practice/master-installation.md

专家有话说

文章提到了 K8S master 节点上三个组件如何配置和部署，虽然我们在三台机器上都部署了 K8S master 三大组件，但是 3 大部署了 master 的机器如何体现高可用，又如何暴露给用户访问呢？其实，我们需要加一个 haproxy 作为 master 高可用的入口。那么无论 kubectl 还是 K8S node 上的 kubelet 要访问 apiserver，都通过 haproxy 间接访问，haproxy 实现了 master 的高可用和负载均衡。后续才云（ Caicloud ）会发一篇更具体的高可用方案，包含自动化部署脚本，让用户实现一键部署，敬请期待。

才云技术经理 唐继元