openshift 3.11多主节点安装

安装可以看这里
作者:qq_dao
来源:CSDN
原文:https://blog.csdn.net/qq_16240085/article/details/86004707

我这里基本只写坑和原文档的错误

Openshift OKD v3.11 高级安装

安装注意事项
同事说红帽的开发基本是一坨便便,举例说明就是foreman,红帽对应的就是红帽卫星这个产品,本来foreman很简洁,红帽在上面加了一堆包管理的东西,于是弄的臃肿不堪,安装的时候要加一堆变量开关,终于红帽自己也觉得无法维护了,于是又搞出一个叫叉车的项目,把所有的安装命令行参数用ansible包装一下,可维护性一下变的很差,,我从openshift的安装看,同样如此,尤其是bug不少,下面会提到,,据说openshift 4.0会用k8s on k8s的安装方法,不知道怎么样,看过演示,类似回到最初几个命令行搞定的方案了,不知道以后会不会再重新包裹一堆参数,变成一坨便便。

---------------引用分割线-------------
1.操作系统语言不能是中文
2.infra节点会自动部署router,lb不要放在infra节点上,所以80端口不能冲突
3.如果web console访问端口改成443,lb不能放一起,端口冲突
4.centos 从7.4 开始正式支持overlay2,最好安装最新版,我是安装的7.6
5.开启selinux,这个是必须的,开启networkmanager。这个也是必须的
6.保证能联网。。。
7.如果lb和master在一个节点上,会有8443端口已被占用的问题,建议安装时lb不要放在master节点上
8.如果etcd放在master节点上,会以静态pod形式启动。如果放在node节点上,会以系统服务的形式启动。我在安装过程中,一个etcd放在了master上,另一个放在了node上,导致etcd启动失败。建议安装时etcd要么全放在master节点上,要么全放在node节点上。
9.我在安装过程中,直接安装了带有nfs持久存储的监控,需要提前安装java-1.8.0-openjdk-headless python-passlib,这一点官网没有提及,不提前装安装会报错。
10.docker 启用配置参数–selinux-enabled=false ,但是操作系统selinux必须开启,否则安装报错
---------------以上引用分割线-------------
11.个人感觉lb 没啥必要,如果有需求,自己弄个nginx或者haproxy吧,不过可以把nfs和lb放到一个机器上,这样就不浪费了

12.我的环境是7个虚拟机,桥接了万兆网卡对接真实环境的ceph存储,虽然openshift 官方推荐glusterfs做持久化存储
主要是多主机挂载的问题,我在后面也确实遇到不少持久化存储在ceph上挂载的问题,不过cephfs 支持rmw,就好多了,
不过不在openshift的官方支持里面,没太敢用,目前基本是nfs+ceph混合用,nfs据说有性能问题,主要是做docker仓库的时候
因此也没怎么用,主要还是根据需求,切换ceph 和nfs,其实我的nfs也是跑在ceph上面的一个虚拟机,其实性能差别不大,尤其是用于开发,因此也没什么关系
13.openshift的ansible安装有bug,主要是网络组件,基本都是dns导致的各种问题
最好在安装过程中 将origin-upstream-dns.conf 里面写上外部dns的地址,用ansible 推几遍,其实安装是依赖外部dns的
但是这个ansible写的规则有问题,会自己在本机起dnsmasq,里面又不写外部dns地址,还会修改本机使用本机自己的dns,结果就导致sdn出问题,外部dns无法解析,另外双网卡的机器尤其爱出问题,需要在安装配置文件里写死本机准备给openshift使用的ip。

---------------引用分割线-------------

官方建议集群所有主机的硬件规格和系统级要求。

master系统要求
最低操作系统版本:Fedora 21、CentOS 7.4、RHEL 7.4、RHEL Atomic Host 7.4.5。
最低4 vCPU。
最小16GB RAM。
包含/var/的文件系统最小40GB硬盘空间。
包含/usr/local/bin/的文件系统最小1GB硬盘空间。
包含系统临时目录的文件系统最小1GB硬盘空间。
Etcd和Master在同一节点的,需要至少4核,2核系统将无法工作。

node系统要求
最低操作系统版本:Fedora 21、CentOS 7.4、RHEL 7.4、RHEL Atomic Host 7.4.5。
NetworkManager 1.0或更新。
最低1 vCPU。
最小8GB RAM。
包含/var/的文件系统最小15GB硬盘空间。
包含/usr/local/bin/的文件系统最小1GB硬盘空间。
包含系统临时目录的文件系统最小1GB硬盘空间。
额外至少15GB未分配空间,用于Docker存储。

etcd系统要求
最小20GB硬盘空间存储etcd数据。

配置国内yum源,安装指定版本ansible 并做基础配置

yum install wget -y
cd /etc/yum.repos.d/ && mkdir repo_bak && mv *.repo repo_bak/
wget http://mirrors.aliyun.com/repo/Centos-7.repo
wget http://mirrors.163.com/.help/CentOS7-Base-163.repo
yum clean all && yum makecache
yum -y install epel-release

yum install python-pip -y
pip install --upgrade setuptools

wget https://releases.ansible.com/ansible/ansible-2.6.5.tar.gz
tar fxz ansible-2.6.5.tar.gz && cd ansible-2.6.5
python setup.py install

配置/etc/hosts
10.10.11.10 openshift1
10.10.11.11 openshift2
10.10.11.12 openshift3
10.10.11.13 openshift4
10.10.11.14 openshift5

ssh-keygen -t rsa
ssh-copy-id -i .ssh/id_rsa.pub openshift{1,2,3,4,5}
---------------以上引用分割线-------------

 1  yum install wget git net-tools bind-utils yum-utils iptables-services bridge-utils bash-completion kexec-tools sos psacct
    2  ssh-keygen
    3  ssh-copy-id localhost
    4  yum -y install     https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
    5  sed -i -e "s/^enabled=1/enabled=0/" /etc/yum.repos.d/epel.repo
    6  yum -y --enablerepo=epel install ansible pyOpenSSL
    7  cd ~
    8  git clone https://github.com/openshift/openshift-ansible
    9  cd openshift-ansible
   10  git checkout release-3.11
   12  yum install docker-1.13.1
cat okd.hosts
git clone https://github.com/openshift/openshift-ansible && cd ~/openshift-ansible && git checkout release-3.11

配置centos-openshift源并同步到所有主机

准备 yum源、NetworkManager、prerequisites.yml
所有机器上安装 centos 的openshift官方源,启用networkmanager

ansible openshift -a "yum install NetworkManager centos-release-openshift-origin311.noarch -y && systemctl start NetworkManager && systemctl enable NetworkManager "
sed -i ‘s/SELINUX=disabled/SELINUX=enforcing/’ /etc/selinux/config
ansible-playbook -i okd.hosts openshift-ansible/playbooks/prerequisites.yml

注意修改 /etc/yum/yum.conf keepcache=1,因为确实很少一次成功的,保存rpm cache 有助于节省时间
在上面的预部署通过后,就可以跑下面的部署playbook了
ansible-playbook -i okd.hosts openshift-ansible/playbooks/deploy_cluster.yml

---------------引用分割线-------------
在centos7.2系统中网络特殊配置

cni网络插件配置文件–在centos7.2中没有成功,导致node NotReady,手动拷贝该文件即可

cat resolv.j2
##nameserver updated by /etc/NetworkManager/dispatcher.d/99-origin-dns.sh
##Generated by NetworkManager
search cluster.local
nameserver {{ inventory_hostname }}

配置宿主机节点的nameserver为本机IP,使得宿主机可以使用本机的dnsmasq服务解析。且该文件在生成后会自动复制到/etc/origin/node/resolv.conf,该文件在pod启动时会被添加为pod中的/etc/resolv.conf

80-openshift-network.conf 文件删除网络有问题,暂时注释
编辑 roles/openshift_sdn/files/sdn.yaml
注释: # rm -Rf /etc/cni/net.d/80-openshift-network.conf

#cat /etc/cni/net.d/80-openshift-network.conf
{
“cniVersion”: “0.2.0”,
“name”: “openshift-sdn”,
“type”: “openshift-sdn”
}

cat origin-dns.conf
no-resolv
domain-needed
no-negcache
max-cache-ttl=1
enable-dbus
dns-forward-max=10000
cache-size=10000
bind-dynamic
min-port=1024
except-interface=lo
#End of config
cat origin-upstream-dns.conf
#内网自建dns服务器
server=10.10.100.100

拷贝没有生成的文件
ansible openshift -m template -a “src=resolv.j2 dest=/etc/resolv.conf”
ansible openshift -a “/bin/cp /etc/resolv.conf /etc/origin/node/resolv.conf”
ansible openshift -m copy -a “src=origin-upstream-dns.conf dest=/etc/dnsmasq.d/”
ansible openshift -m copy -a “src=origin-dns.conf dest=/etc/dnsmasq.d/”
ansible openshift -m copy -a “src=80-openshift-network.conf dest=/etc/cni/net.d/80-openshift-network.conf”

---------------以上引用分割线-------------
上面这段我简述一下把,,这个也是我遇到最多的问题,有不少坑,
单节点基本一次通过,多节点在这个上面有很多坑
基本故障
1.node 状态noready,基本是证书和网络问题,严格检查hostname 和 /etc/hosts 是否一致
网络问题会导致N多问题,主要是dns,sdn等问题
首先是ansible 会调用NetworkManager,更改本地resolv.conf 为当前主机,同时使用dnsmasq来做dns指向
但问题是ansible的playbook写的有bug,没有内部,结果导致出现没有内部dns解析,最后导致外网都无法访问
自然很多docker镜像都拉不下,结果导致安装失败
解决方法,
自己创建 origin-upstream-dns.conf ,里面写上自己的内部dns地址,或者运营商给的dns,让你的机器能出去拉镜像

cat /etc/dnsmasq.d/origin-upstream-dns.conf
server=192.168.1.1

因为这个会被ansible更改,所以最好在安装的过程中多跑几次,防止被改写

然后是如果使用了双网卡,必须在配置文件里指定用于openshift的网络,否则依然会出网络问题,
这个可以看我贴的配置文件

我的配置文件

# Create an OSEv3 group that contains the masters, nodes, and etcd groups
[OSEv3:children]
masters
nodes
etcd
#new_nodes

lb

# Set variables common for all OSEv3 hosts
[OSEv3:vars]
# SSH user, this user should allow ssh based auth without requiring a password
ansible_ssh_user=root
openshift_deployment_type=origin
openshift_image_tag=v3.11
# If ansible_ssh_user is not root, ansible_become must be set to true
ansible_become=true


## default selectors for router and registry services
## openshift_router_selector='node-role.kubernetes.io/infra=true'
## openshift_registry_selector='node-role.kubernetes.io/infra=true'

## uncomment the following to enable htpasswd authentication; defaults to DenyAllPasswordIdentityProvider
openshift_master_identity_providers=[{'name': 'htpasswd_auth', 'login': 'true', 'challenge': 'true', 'kind': 'HTPasswdPasswordIdentityProvider'}]
openshift_disable_check=memory_availability,disk_availability,docker_image_availability

os_sdn_network_plugin_name=redhat/openshift-ovs-multitenant

openshift_master_api_port=8443
openshift_master_console_port=8443
openshift_hosted_router_replicas=1
openshift_hosted_registry_replicas=1
openshift_master_cluster_hostname=openshift-cluster.example.com
openshift_master_cluster_public_hostname=openshift-cluster.example.com
openshift_master_default_subdomain=okd.example.com

openshift_master_cluster_method=native
##openshift_public_ip=
## false
##ansible_service_broker_install=false
##openshift_enable_service_catalog=false
##template_service_broker_install=false
##openshift_logging_install_logging=false

# cert
openshift_hosted_registry_cert_expire_days=3650
openshift_ca_cert_expire_days=3650
openshift_node_cert_expire_days=3650
openshift_master_cert_expire_days=3650
etcd_ca_default_days=3650
openshift_master_overwrite_named_certificates=true


## registry passwd
##oreg_url=172.16.37.12:5000/openshift3/ose-${component}:${version}
##openshift_examples_modify_imagestreams=true

## docker config
##openshift_docker_additional_registries=172.16.37.12:5000,172.30.0.0/16
##openshift_docker_insecure_registries=172.16.37.12:5000,172.30.0.0/16
##openshift_docker_blocked_registries
openshift_docker_options="--log-driver json-file --log-opt max-size=1M --log-opt max-file=3"

## openshift_cluster_monitoring_operator_install=false
openshift_metrics_install_metrics=true
## openshift_enable_unsupported_configurations=True
##openshift_logging_es_nodeselector='node-role.kubernetes.io/infra: "true"'
##openshift_logging_kibana_nodeselector='node-role.kubernetes.io/infra: "true"'
## host group for masters
openshift_master_bootstrap_auto_approve=true
openshift_set_node_ip=True

[masters]
openshift-master01.example.com
openshift-master02.example.com
openshift-master03.example.com
[etcd]
openshift-master01.example.com
openshift-master02.example.com
openshift-master03.example.com
[nodes]

openshift-master01.example.com openshift_ip=10.52.17.150 openshift_node_group_name='node-config-master'
openshift-master02.example.com  openshift_ip=10.52.17.155 openshift_node_group_name='node-config-master'
openshift-master03.example.com  openshift_ip=10.52.17.156 openshift_node_group_name='node-config-master'
openshift-node01.example.com openshift_ip=10.52.17.151 openshift_node_group_name='node-config-infra'
openshift-node02.example.com openshift_ip=10.52.17.152 openshift_node_group_name='node-config-infra'
openshift-node03.example.com openshift_ip=10.52.17.153 openshift_node_group_name='node-config-infra'
[lb]
openshift-lb.example.com openshift_ip=10.52.17.154

另外还有一个dns的配置
将这些贴到每个机器的/etc/hosts里面,另外如果有lb,就顺便也来个nfs把,直接加个nfs的字段,然后配置nfs的主机和lb为一个,
这样不用弄glusterfs,红帽是推荐使用glusterfs的,主要还是做pv的时候,ceph不能做rwm类型的pv,容易导致切换镜像的时候,pod起不来,我在后期使用中,用的是ceph和nfs混合使用,虽然看k8s支持cephfs做rwm类型的存储,但是毕竟还没有出现在官方的文档里正式支持。看最近要出的openshift 4.0是不是能支持,另外证书这段,最好还是用企业自己ca证书签署一下,当然最好能用可信的ca做认证,否则后期做各种ci/cd都有额外的步骤,不方便,不过熟了其实也没什么。

10.52.17.150 openshift-master01.example.com
10.52.17.155 openshift-master02.example.com
10.52.17.156 openshift-master03.example.com
10.52.17.151 openshift-node01.example.com
10.52.17.152 openshift-node02.example.com
10.52.17.153 openshift-node03.example.com
10.52.17.154 openshift-lb.example.com
10.52.17.154 openshift-cluster.example.com

集群成功标志:所有容器STATUS 为 Running

oc get pod --all-namespaces

集群卸载(如有必要,默认不卸载docker,如果需要查看文件内容)

ansible-playbook -i okd.hosts openshift-ansible/playbooks/adhoc/uninstall.yml

验证

首次新建用户密码
htpasswd -cb /etc/origin/master/htpasswd admin admin
添加用户密码
htpasswd -b /etc/origin/master/htpasswd dev dev
以集群管理员登录
oc login -u system:admin
给用户分配一个集群管理员角色
oc adm policy add-cluster-role-to-user cluster-admin admin
访问登录即可
https://paas.xxxxxx.com:8443

参考文献:
https://docs.okd.io/3.11/install/configuring_inventory_file.html
https://docs.okd.io/3.11/install/example_inventories.html


最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,294评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,493评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,790评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,595评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,718评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,906评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,053评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,797评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,250评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,570评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,711评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,388评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,018评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,796评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,023评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,461评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,595评论 2 350

推荐阅读更多精彩内容