使用 kubeasz 离线安装 k8s 集群

原文地址:https://alphahinex.github.io/2020/10/04/install-k8s-cluster-offline-with-kubeasz/

cover

description: "一键部署 so easy"
date: 2020.10.04 10:26
categories:
- Cloud
- DevOps
- Docker
tags: [Cloud, DevOps, Docker, K8s]
keywords: Kubernetes, K8s, Ansible, Cluster, Offline, kubeasz


kubeasz 将 k8s 集群的部署难度降低到了傻瓜相机的级别。
本文以 kubeasz v2.2.1 为例,介绍一下使用 kubeasz 离线安装 k8s 集群的方式。

下载离线安装所需内容

在一个可联网的环境,按 离线安装集群 文档中内容,将所需文件都下载到本地:

# 下载工具脚本 easzup,举例使用 kubeasz 版本 2.2.1
$ export release=2.2.1
$ curl -C- -fLO --retry 3 https://github.com/easzlab/kubeasz/releases/download/${release}/easzup
$ chmod +x ./easzup
# kubeasz v2.2.1 默认使用 docker 版本 `19.03.8`,k8s 版本 `1.18.3`
# 如需更换版本,可使用 ./easzup -D -d 19.03.5 -k v1.18.2
# 下载默认版本离线安装包
$ ./easzup -D
# 下载离线系统软件包
$ ./easzup -P

执行成功后,所有文件均已整理好放入目录 /etc/ansible

离线文件包括:

  • /etc/ansible 包含 kubeasz 版本为 ${release} 的发布代码
  • /etc/ansible/bin 包含 k8s/etcd/docker/cni 等二进制文件
  • /etc/ansible/down 包含集群安装时需要的离线容器镜像
  • /etc/ansible/down/packages 包含集群安装时需要的系统基础软件

离线文件不包括:

  • 管理端 ansible 安装,但可以使用 kubeasz 容器运行 ansible 脚本
  • 其他更多 kubernetes 插件镜像

为防止出现在 kubeasz 容器无法 ping 通集群中其他主机的情况,也可以考虑打包个离线安装版本的 ansible,可参考如下路径组织离线安装包内容:

├── ansible
│   ├── PyYAML-3.10-11.el7.x86_64.rpm
│   ├── ansible-2.6.18-1.el7.ans.noarch.rpm
│   ├── install.sh
│   ├── libyaml-0.1.4-11.el7_0.x86_64.rpm
│   ├── python-babel-0.9.6-8.el7.noarch.rpm
│   ├── python-backports-1.0-8.el7.x86_64.rpm
│   ├── python-backports-ssl_match_hostname-3.5.0.1-1.el7.noarch.rpm
│   ├── python-cffi-1.6.0-5.el7.x86_64.rpm
│   ├── python-enum34-1.0.4-1.el7.noarch.rpm
│   ├── python-httplib2-0.9.2-1.el7.noarch.rpm
│   ├── python-idna-2.4-1.el7.noarch.rpm
│   ├── python-ipaddress-1.0.16-2.el7.noarch.rpm
│   ├── python-jinja2-2.7.2-4.el7.noarch.rpm
│   ├── python-markupsafe-0.11-10.el7.x86_64.rpm
│   ├── python-netaddr-0.7.5-9.el7.noarch.rpm
│   ├── python-paramiko-2.1.1-9.el7.noarch.rpm
│   ├── python-ply-3.4-11.el7.noarch.rpm
│   ├── python-pycparser-2.14-1.el7.noarch.rpm
│   ├── python-setuptools-0.9.8-7.el7.noarch.rpm
│   ├── python-six-1.9.0-2.el7.noarch.rpm
│   ├── python2-cryptography-1.7.2-2.el7.x86_64.rpm
│   ├── python2-jmespath-0.9.0-3.el7.noarch.rpm
│   ├── python2-pyasn1-0.1.9-7.el7.noarch.rpm
│   └── sshpass-1.06-2.el7.x86_64.rpm
├── easzup
└── k8s-1.18.3-offline.tar
  • ansible/install.sh 中内容为 ls *.rpm |xargs -n1 rpm -ivh --nodeps,可安装该路径下所有 rpm 文件
  • easzup 为基于 kubeasz 2.2.1 版本内容,将安装调整为离线安装的版本,可参照 fork 仓库 offline 分支内容
  • k8s-1.18.3-offline.tar/etc/ansible 内容打包

以上内容打包进 kubeasz-2.2.1-offline.tar,作为本次安装使用的离线包。

可从百度网盘获得此离线安装包:

链接: https://pan.baidu.com/s/1xtL9EYldFrpUrANB9tBlpQ 提取码: xx2r

部署环境准备

本文使用 VirtualBox 创建虚拟机,系统使用 CentOS 7 x86_64 Minimal 版本,1核1G 配置,网络连接方式选用 桥接网卡

完成第一个虚拟机的安装后,启动并进入系统,开启网络服务:

# 修改配置文件
$ vi /etc/sysconfig/network-scripts/ifcfg-enp0s3

找到选项 ONBOOT,默认为 no,将其设置为 yes,之后使用 reboot 重启。

重启后可通过 ip addr 命令查看 IP 地址。

完成上述配置后,可将此虚拟机作为模板,快速复制出部署集群环境所需的虚拟机。

设置 hostname

为方便起见,可先为每台虚拟机设置 hostname:

# 设置 hostname 为 k8s-m1
$ hostnamectl set-hostname k8s-m1

集群规划及安装

假设准备了四个主机:

  • 192.168.1.2
  • 192.168.1.3
  • 192.168.1.4
  • 192.168.1.5

选取一个主机作为安装节点,解压初始化:

$ tar zxvf kubeasz-2.2.1-offline.tar && cd kubeasz-2.2.1-offline
$ ./easzup -S

以上命令执行完毕后,离线安装包及解压出来的路径均可以清理掉,因为所有内容已经被复制到 /etc/ansible 路径下了,之后使用的也是 /etc/ansible 路径下内容。

安装节点执行以下命令,依次分发安装节点公钥至 k8s 集群节点(含安装节点部署时需换为实际IP) 根据提示输入 yes 与节点 root 口令:

$ ssh-copy-id root@192.168.1.2
$ ssh-copy-id root@192.168.1.3
$ ssh-copy-id root@192.168.1.4
$ ssh-copy-id root@192.168.1.5

注意:ssh-copy-id 操作 必须 也包含安装节点本身!

AIO (All in One)

单节点集群模式将主节点安装在安装节点上,可先使用此模式快速开始,之后再通过增加节点的方式扩展集群。

在确保在安装节点执行过 ./easzup -Sssh-copy-id 后,可使用下面命令安装单节点集群

$ docker exec -it kubeasz easzctl start-aio

Cluster

预先对集群进行了规划时,可按下述方式直接部署好 k8s 集群。

先复制并调整多节点配置文件:

$ cp /etc/ansible/example/hosts.multi-node /etc/ansible/hosts

调整配置文件内容,etcd 一般为奇数(建议三个,存储 k8s 节点信息及元数据)

[etcd]
192.168.1.2 NODE_NAME=etcd1
192.168.1.3 NODE_NAME=etcd2
192.168.1.4 NODE_NAME=etcd3

# master node(s)
[kube-master]
192.168.1.2

# work node(s)
[kube-node]
192.168.1.3
192.168.1.4
192.168.1.5

# [optional] ntp server for the cluster
[chrony]
192.168.1.2

分发及安装各节点(在安装节点执行)

$ ansible-playbook /etc/ansible/90.setup.yml

等待安装完成。。。

注意:以上所有操作均在安装节点执行即可。

如果一切顺利,上述命令均可正常执行。之后可在集群各节点查看集群状态:

$ kubectl get node

注意:非安装节点使用 kubectl 等命令若提示不存在,重新 ssh 登录一下即可。

管理 MASTER 节点

增加 master 节点

首先配置 ssh 免密码登录新增节点,然后执行 (假设待增加节点为 192.168.1.11):

# dir: /etc/ansible/tools
$ easzctl add-master 192.168.1.11

之后可使用 kubectl get node 进行验证

删除 master 节点

# dir: /etc/ansible/tools
$ easzctl del-master 192.168.1.11 # 假设待删除节点 192.168.1.11

管理 NODE 节点

增加 node 节点

首先配置 ssh 免密码登录新增节点,然后执行 (假设待增加节点为 192.168.1.11):

# dir: /etc/ansible/tools
$ easzctl add-node 192.168.1.11

删除 node 节点

# dir: /etc/ansible/tools
$ easzctl del-node 192.168.1.11 # 假设待删除节点 192.168.1.11

管理 ETCD 节点

可能遇到的问题

master 节点重启后状态始终为 NotReady

查看 journalctl -f -u kubelet 提示 /etc/cni/net.d 没初始化,到路径下查看,发现内容为空,其他 Ready 的 work node 中,该路径下有 10-flannel.conflist 文件,且文件内容相同。
将此文件内容复制到 master 节点相同路径下,稍等一会后再使用 kubectl get node 查看节点状态就都 Ready 了。

启动 kube-apiserver 服务报错

安装过程中遇到报错

fatal: [192.168.174.72]: FAILED! => {"changed": true, "cmd": "systemctl daemon-reload && systemctl restart kube-apiserver && systemctl restart kube-controller-manager && systemctl restart kube-scheduler", "delta": "0:00:00.221579", "end": "2020-09-28 15:21:21.710485", "msg": "non-zero return code", "rc": 1, "start": "2020-09-28 15:21:21.488906", "stderr": "Job for kube-apiserver.service failed because the control process exited with error code. See \"systemctl status kube-apiserver.service\" and \"journalctl -xe\" for details.", "stderr_lines": ["Job for kube-apiserver.service failed because the control process exited with error code. See \"systemctl status kube-apiserver.service\" and \"journalctl -xe\" for details."], "stdout": "", "stdout_lines": []}

按提示通过 systemctl status kube-apiserver.service 看到服务启动报错时执行的命令,将命令在终端中直接执行,有具体的报错信息:

Error: failed to create listener: failed to listen on 127.0.0.1:8080: listen tcp 127.0.0.1:8080: bind: address already in use

因为 kube-apiserver 默认启用 http 服务,且端口为 8080。可修改服务配置的命令(需修改 ansible 里的 .j2 模板 /etc/ansible/roles/kube-master/templates/kube-apiserver.service.j2),在 ExeccStart 中增加 --insecure-port 参数,指定其他端口或直接禁用(=0),如:

[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target

[Service]
ExecStart={{ bin_dir }}/kube-apiserver \
  --advertise-address={{ inventory_hostname }} \
  --allow-privileged=true \
  --anonymous-auth=false \
  --authorization-mode=Node,RBAC \
{% if BASIC_AUTH_ENABLE == "yes" %}
  --basic-auth-file={{ ca_dir }}/basic-auth.csv \
{% endif %}
  --bind-address={{ inventory_hostname }} \
  --insecure-port=0 \
  --client-ca-file={{ ca_dir }}/ca.pem \
  --endpoint-reconciler-type=lease \
  --etcd-cafile={{ ca_dir }}/ca.pem \
  --etcd-certfile={{ ca_dir }}/kubernetes.pem \
  --etcd-keyfile={{ ca_dir }}/kubernetes-key.pem \
  --etcd-servers={{ ETCD_ENDPOINTS }} \
  --kubelet-certificate-authority={{ ca_dir }}/ca.pem \
  --kubelet-client-certificate={{ ca_dir }}/admin.pem \
  --kubelet-client-key={{ ca_dir }}/admin-key.pem \
  --kubelet-https=true \
  --service-account-key-file={{ ca_dir }}/ca.pem \
  --service-cluster-ip-range={{ SERVICE_CIDR }} \
  --service-node-port-range={{ NODE_PORT_RANGE }} \
  --tls-cert-file={{ ca_dir }}/kubernetes.pem \
  --tls-private-key-file={{ ca_dir }}/kubernetes-key.pem \
  --requestheader-client-ca-file={{ ca_dir }}/ca.pem \
  --requestheader-allowed-names= \
  --requestheader-extra-headers-prefix=X-Remote-Extra- \
  --requestheader-group-headers=X-Remote-Group \
  --requestheader-username-headers=X-Remote-User \
  --proxy-client-cert-file={{ ca_dir }}/aggregator-proxy.pem \
  --proxy-client-key-file={{ ca_dir }}/aggregator-proxy-key.pem \
  --enable-aggregator-routing=true \
  --v=2
Restart=always
RestartSec=5
Type=notify
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target

之后重新执行报错步骤即可。

相关资料

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,142评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,298评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,068评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,081评论 1 291
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,099评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,071评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,990评论 3 417
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,832评论 0 273
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,274评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,488评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,649评论 1 347
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,378评论 5 343
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,979评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,625评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,796评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,643评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,545评论 2 352

推荐阅读更多精彩内容