Kubernetes使用集群联邦实现多集群管理

来自:


image.png

随着容器技术发展,Kubernetes逐渐崭露头角,本次分享跟大家交流Kubernetes使用集群联邦实现多集群管理的相关问题,以及我们实践中如何在Kubernetes使用集群联邦进行多集群管理。

  • 一、 Kubernetes集群联邦介绍
  • 二、 Kubernetes使用集群联邦实现多集群管理

Kubernetes在1.3版本之后,增加了“集群联邦”Federation的功能。这个功能使企业能够快速有效的、低成本的跨区跨域、甚至在不同的云平台上运行集群。这个功能可以按照地理位置创建一个复制机制,将多个kubernetes集群进行复制,即使遇到某个区域连接中断或某个数据中心故障,也会保持最关键的服务运行。在1.7版以后支持本地多个集群联邦管理,不需要使用依赖云平台。

一、Kubernetes集群联邦介绍

1、管理多個kubernetes集群

“集群联邦”在架构上同kubernetes集群很相似。有一个“集群联邦”的API server提供一个标准的Kubernetes API,并且通过etcd来存储状态。不同的是,一个通常的Kubernetes只是管理节点计算,而“集群联邦”管理所有的kubernetes集群。

K8s集群

2、跨集群服务发现

Kubernetes有一个标准的插件:kube-dns,这个插件可以在集群内部提供DNS服务,通过DNS解析service名字来访问kubernetes服务。Kubernetes服务是由一组kubernetesPOD组成的,这些POD是一些已经容器化了的应用,这些POD前面使用到了负载均衡器。假如我们有一个kubernetes集群,这个集群裡面有一个服务叫做mysql,这个服务是由一组mysql POD组成的。在这个kubernetes集群中,其他应用可以通过DNS来访问这个mysql服务。
集群联邦federation/v1beta1 API扩展基于DNS服务发现的功能。利用DNS,让POD可以跨集群、透明的解析服务。

集群发现

3、跨集群调度

为了追求高可用性和更高的性能,集群联邦能够把不同POD指定给不同的Kubernetes集群中。集群联邦调度器将决定如何在不同kubernetes集群中分配工作负载。

通过跨集群调度,我们可以:

  • 跨kubernetes集群均匀的调度任务负载
  • 将各个kubernetes集群的工作负载进行最大化,如果当前kubernetes集群超出了承受能力,那麽将额外的工作负载路由到另一个比较空闲的kubernetes集群中
  • 根据应用地理区域需求,调度工作负载到不同的kubernetes集群中,对于不同的终端用户,提供更高的带宽和更低的延迟。

4、集群高可用,故障自动迁移

集群联邦可以跨集群冗馀部署,当某个集群所在区域出现故障时,并不影响整个服务。集群联邦还可以检测集群是否为不可用状态,如果发现某个集群为不可用状态时,可以将失败的任务重新分配给集群联邦中其他可用状态的集群上。

二、Kubernetes使用集群联邦实现多集群管理

1、系统环境及初始化

1.1 系统环境

系统环境

1.2 安装前准备

1.2.1 准备kubernetes组件镜像

Kubernetes1.7版本的集群与联邦集群功能的安装方式均为镜像安装,所有组件功能都使用官方提供的镜像来实现,由于官方镜像国内无法正常下载,需要提前准备好镜像或科学上网。
具体镜像列表如下:

镜像列表

1.2.2 安装Docker 1.12

Kubernetes 1.7还没有针对docker 1.13上做测试和验证,所以这里安装Kubernetes官方推荐的Docker 1.12版本。

1.2.3 修改系统配置

创建/etc/sysctl.d/k8s.conf文件,添加如下内容:
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
执行sysctl -p /etc/sysctl.d/k8s.conf使修改生效。

1.2.4 安装Kuberadm与Kubelet

注意:该yum源需要科学才能正常安装
在每个节点安装kubeadm和kubelet,首先是添加kubernetes的YUM源:

cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=http://yum.kubernetes.io/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
       https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOF
#安装kubeadm, kubelet, kubectl, kubernets-cni
yum install -y kubelet kubeadm kubectl kubernetes-cni
 
#kubelet服务设置开机启动
systemctl enable kubelet.service

以上安装完成后,初始化环境的准备就完成了。

2、安装kubernetes集群

首先在一个节点上安装kubernetes作为master节点,将master节点参与集群调度.然后在该节点上安装联邦集群功能,作为联邦集群的控制平面。

2.1 初始化集群

使用kubeadm初始化集群,选择node1作为Master

在node1上执行下面的命令:
注:因为我们选择flannel作为Pod网络插件,所以命令指定--pod-network-cidr=10.240.0.0/16

kubeadm init --kubernetes-version=v1.7.0 --pod-network-cidr=10.240.0.0/16 --apiserver-advertise-address=192.168.5.13

请保存好kubeadm join 的信息,后续节点加入集群需要使用该命令.

为了使用kubectl访问apiserver,在~/.bash_profile中追加下面的环境变量:

echo "export KUBECONFIG=/etc/kubernetes/admin.conf" >> /etc/profile
source /etc/profile

此时kubectl命令在master node上就可以用了,查看一下当前机器中的Node,看到node0状态为Ready:

kubectl get nodes
  NAME      STATUS     AGE       VERSION
  node0     Ready     3m         v1.7.0

2.2 安装Pod网络组件

接下来安装flannel network add-on,首先下载需要的yaml文件:

wget https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel-rbac.yml 
wget https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

目前需要在kube-flannel.yml中使用--iface参数指定集群主机内网网卡的名称,否则可能会出现dns无法解析。需要将kube-flannel.yml下载到本地,flanneld启动参数加上--iface=<iface-name>

vi kube-flannel.yml

   command: [ "/opt/bin/flanneld", "--ip-masq", "--kube-subnet-mgr", "--iface=eth1" ]   //--iface=eth1

改为本机网卡名称

部署网络组件:

kubectl create -f kube-flannel-rbac.yml
kubectl apply -f kube-flannel.yml

确保所有的Pod都处于Running状态。

kubectl get pod --all-namespaces -o wide

如下图:

Pod状态

使用下面的命令使Master Node参与工作负载:

kubectl taint nodes --all  node-role.kubernetes.io/master-

3、安装联邦集群组件

3.1安装前配置修改

修改etcd与apiserver的监听端口,修改前先停止kubelet服务

vi /etc/kubernetes/manifests/etcd.yaml
   - --listen-client-urls=http://0.0.0.0:2379
   - --advertise-client-urls=http://0.0.0.0:2379

vi /etc/kubernetes/manifests/kube-apiserver.yaml
   - --insecure-port=8080
   - --insecure-bind-address=0.0.0.0

重启kubelet服务让etcd与apiserver监听端口生效

systemctl restart kubelet

3.2安装helm工具部署Coredns

curl https://raw.githubusercontent.com/kubernetes/helm/master/scripts/get > get_helm.sh

chmod 700 get_helm.sh

./get_helm.sh

修改RBAC临时访问权限(这是比较关键的地方,没有这步后面会失败)

kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default

创建coredns键值文件

cat <<EOF > /opt/Values.yaml
isClusterService: false
serviceType: "NodePort"
middleware:
  kubernetes:
    enabled: false
  etcd:
    enabled: true
    zones:
    - "example.com."
    endpoint: "http://192.168.5.13:2379"
EOF

新建coredns配置文件

vi /root/coredns-provider.conf
[Global]
etcd-endpoints = http://192.168.0.51:2379
zones = example.com.

3.3添加kubernetes从节点

在kubernetes工作节点上初始安装后执行以下命令,就可以加入集群

kubeadm join --token e7986d.e440de5882342711 192.168.5.13:6443

在master节点查看节点状态,添加之后可以在master上执行这个查看是否添加成功

kubectl get nodes

重复上述步骤创建多个kubernetes集群,为联邦集群添加集群节点做准备。

3.4初始化联邦集群

执行这个进行联邦的初始化,在控制平面的master节点上执行:

kubefed init fellowship \
    --host-cluster-context=kubernetes-admin@kubernetes \
    --dns-provider="coredns" \
    --dns-zone-name="example.com." \
    --dns-provider-config="/root/coredns-provider.conf" \
    --apiserver-enable-basic-auth=true \
    --apiserver-enable-token-auth=true \
    --apiserver-arg-overrides="--anonymous-auth=false,--v=4" \
    --api-server-service-type="NodePort" \
    --api-server-advertise-address="192.168.5.13" \
--etcd-persistent-storage=false

初始化完成后集群联邦会在federation-system命名空间中创建两个POD

集群中的pod

3.5其他kubernetes集群加入联邦集群

选择集群的context

kubectl config use-context fellowship   //fellowship为联邦初始化时创建的名称

添加联邦集群文件

集群1
cat /home/tmp/c1.yaml 
   apiVersion: federation/v1beta1
   kind: Cluster
   metadata:
 name: c1
   spec:
 serverAddressByClientCIDRs:
 - clientCIDR: 0.0.0.0/0
   serverAddress: http://192.168.15.53:8080
集群2
   cat /home/tmp/c2.yaml 
   apiVersion: federation/v1beta1
   kind: Cluster
   metadata:
 name: c2
   spec:
serverAddressByClientCIDRs:
- clientCIDR: 0.0.0.0/0
  serverAddress: http://192.168.8.12:8080

执行添加这2个集群到联邦

kubectl create -f c1.yaml
kubectl create -f c2.yaml

查看联邦集群状态,状态为Ready就是成功了。

[root@test01 ~]# kubectl get cluster
NAME      STATUS     AGE
c1        Ready      2d
c2        Ready      2d

3.6通过联邦集群部署应用

通过联邦集群部署应用,需要在联邦集群控制平面的节点上,切换到联邦的context

kubectl config use-context fellowship   //fellowship为联邦初始化时创建的名称

配置应用在分布在2个集群中:

# vi tomcat.yaml
apiVersion: exensions/v1beta1
kind: ReplicaSet
metadata:
  name: tomcat
  lables:
    app: tomcat
  annotaions:
    federation.kubernetes.io/replica-set-preferences:
        {
       "rebalance": true,
       "clusters": {
          "c1": {
      "weight": 1
   },
          "c2": {
      "weight": 1
   }
    }
}
spec:
  replicas: 4
  template:
    metadata:
      labels:
        #region: tomcat
app: tomcat
    spec:
      containers:
        - name: fed-tomcat
  image: 192.168.18.250:5002/admin/tomcat:v0.0.5
  resourcces:
    requests:
      cpu: 200M
      memory: 500Mi
  ports:
  - containerPort: 80

通过以上编排创建应用在联邦,应用的4个实例按比例分布到2个集群中

集群

目前集群联邦只支持以下几种类型资源的创建:

  • Cluster
  • ConfigMap
  • DaemonSets
  • Deployment
  • Events
  • Ingress
  • Namespaces
  • ReplicaSets
  • Secrets
  • Services

问答:
https://shimo.im/doc/IZJtw0gvons6MOAr?r=LD952/

Q:node机器推荐命名规则与生成使用经验
A:推荐使用“地理位置+机房编号+机柜号+应用名称”的缩写字母来命名,这样便于运维人员后续的管理和维护。

Q:为什么要修改etcd与apiserver的监听端口?
A:修改etcd监听IP为0.0.0.0是为了防止出现监听了lo网卡的127.0.0.1的IP,出现不能连接的情况。apiserver则是开启8080端口用于接收http请求,这样是为了测试时方便不用使用CA证书认证。

Q:请问docker 源怎么弄,国内一般不好连接,下载不了?另外还有1.6要升级到1.7怎么做?
A:建议使用科学上网方式,这样就不需要改动配置。1.6升级到1.7,先停止kubelet服务,然后下载1.7版本的kubernetes-server-linux-amd64.tar.gz包,解压替换/usr/bin目录下的同名文件,然后再把kubelet服务启动

Q:在联邦集群中部署服务,可以将服务只部署在一个集群中么?
A:可以只部署服务在一个集群中,通过编排文件中federation.kubernetes.io/replica-set-preference来控制副本分布在哪个集群。

Q:联邦集群的几个组件现在有支持高可用么?没有的话,我们应该怎么避免联邦组件的bug导致的服务不可用?
A:联邦集群的Federation组目录没有支持高可用,但联邦功能主要是为了调度管理k8s集群的,所以联邦集群Federation组件出现故障时并不会直接影响到下面各个集群自身的已经在运行的服务。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350

推荐阅读更多精彩内容