溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Kubernetes集群多Master容錯(cuò)配置技巧有哪些

發(fā)布時(shí)間:2021-12-08 09:10:10 來(lái)源:億速云 閱讀:177 作者:小新 欄目:云計(jì)算

小編給大家分享一下Kubernetes集群多Master容錯(cuò)配置技巧有哪些,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!

1、kube-apiserver

修改兩處:

  • 修改其主服務(wù)地址,指向與主節(jié)點(diǎn)一致的虛擬IP(設(shè)置參考《Keepalived快速使用(Ubuntu18.04)》)。

  • 修改etcd服務(wù)的地址和證書(shū)文件目錄。

開(kāi)始編輯:

sudo nano /etc/kubernetes/manifests/kube-apiserver.yaml

最后的kube-apiserver.yaml文件如下:

# /etc/kubernetes/manifests/kube-apiserver.yaml

apiVersion: v1
kind: Pod
metadata:
  annotations:
    scheduler.alpha.kubernetes.io/critical-pod: ""
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --authorization-mode=Node,RBAC
    - --advertise-address=10.1.1.199
    - --allow-privileged=true
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
#    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
#    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
#    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
#    - --etcd-servers=https://127.0.0.1:2379
    - --etcd-cafile=/etc/kubernetes/pki/etcd-certs/ca.pem
    - --etcd-certfile=/etc/kubernetes/pki/etcd-certs/client.pem
    - --etcd-keyfile=/etc/kubernetes/pki/etcd-certs/client-key.pem
    - --etcd-servers=https://10.1.1.201:2379

    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=10.96.0.0/12
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    image: k8s.gcr.io/kube-apiserver:v1.13.1
    imagePullPolicy: IfNotPresent
    livenessProbe:
      failureThreshold: 8
      httpGet:
        host: 10.1.1.199
        path: /healthz
        port: 6443
        scheme: HTTPS
      initialDelaySeconds: 15
      timeoutSeconds: 15
    name: kube-apiserver
    resources:
      requests:
        cpu: 250m
    volumeMounts:
    - mountPath: /etc/ssl/certs
      name: ca-certs
      readOnly: true
    - mountPath: /etc/ca-certificates
      name: etc-ca-certificates
      readOnly: true
    - mountPath: /etc/pki
      name: etc-pki
      readOnly: true
    - mountPath: /etc/kubernetes/pki
      name: k8s-certs
      readOnly: true
    - mountPath: /usr/local/share/ca-certificates
      name: usr-local-share-ca-certificates
      readOnly: true
    - mountPath: /usr/share/ca-certificates
      name: usr-share-ca-certificates
      readOnly: true
  hostNetwork: true
  priorityClassName: system-cluster-critical
  volumes:
  - hostPath:
      path: /etc/ssl/certs
      type: DirectoryOrCreate
    name: ca-certs
  - hostPath:
      path: /etc/ca-certificates
      type: DirectoryOrCreate
    name: etc-ca-certificates
  - hostPath:
      path: /etc/pki
      type: DirectoryOrCreate
    name: etc-pki
  - hostPath:
      path: /etc/kubernetes/pki
      type: DirectoryOrCreate
    name: k8s-certs
  - hostPath:
      path: /usr/local/share/ca-certificates
      type: DirectoryOrCreate
    name: usr-local-share-ca-certificates
  - hostPath:
      path: /usr/share/ca-certificates
      type: DirectoryOrCreate
    name: usr-share-ca-certificates
status: {}

注意

  • 這里主要修改了--advertise-address=10.1.1.199和--etcd-servers=https://10.1.1.201:2379。

  • 二者的IP地址不一樣,199為虛擬IP,201為當(dāng)前節(jié)點(diǎn)的etcd服務(wù)地址。

2、kube-control-manager、kube-schedule

kube-control-manager和kube-schedule實(shí)例通過(guò)訪問(wèn)apiserver服務(wù)接口來(lái)獲取集群狀態(tài)和執(zhí)行集群內(nèi)部管理、維護(hù)工作,支持多運(yùn)行實(shí)例的并發(fā)訪問(wèn),對(duì)apiserver加鎖來(lái)選擇主控制器。

  • kube-control-manager主要負(fù)責(zé)節(jié)點(diǎn)狀態(tài)的一致性保障,包括/etc/kubernetes/manifests/kube-control-manager.yaml和etc/kubernetes/control-manager.conf兩個(gè)文件。

  • kube-schedule主要負(fù)責(zé)pod實(shí)例的調(diào)度,包括/etc/kubernetes/manifests/kube-schedule.yaml和etc/kubernetes/schedule.conf兩個(gè)文件。

Kubeadm的默認(rèn)安裝,已經(jīng)將kube-control-manager和kube-schedule的elect設(shè)置為true,支持多實(shí)例運(yùn)行,只需要將其復(fù)制到副節(jié)點(diǎn)的/etc/kubernetes就可以了。

具體操作如下:

# 復(fù)制control-manager和schedule的配置文件到本地。
# 參考 https://my.oschina.net/u/2306127/blog/write/2991361

# 首先登錄到遠(yuǎn)程節(jié)點(diǎn),然后再執(zhí)行下面的命令。

echo "Clone control-manager configuration file."
scp root@10.1.1.201:/etc/kubernetes/control-manager.conf /etc/kubernetes/
scp root@10.1.1.201:/etc/kubernetes/manifests/kube-control-manager.yaml /etc/kubernetes/manifests/

echo "Clone schedule configuration file."
scp root@10.1.1.201:/etc/kubernetes/schedule.conf /etc/kubernetes/
scp root@10.1.1.201:/etc/kubernetes/manifests/kube-schedule.yaml /etc/kubernetes/manifests/

重啟kubelet,將自動(dòng)重啟control-manager和schedule實(shí)例。

3、admin.conf

在主節(jié)點(diǎn)掛掉后,需要在副節(jié)點(diǎn)上使用kubectl。首先將admin.conf復(fù)制到副節(jié)點(diǎn)上,然后將其配置到本地賬戶。

具體操作如下:

# 復(fù)制admin.conf
scp root@10.1.1.201:/etc/kubernetes/admin.conf /etc/kubernetes/

# 創(chuàng)建本地賬戶訪問(wèn)目錄,用戶配置文件
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

admin.conf的主IP地址通過(guò)虛擬IP訪問(wèn),不需要進(jìn)行任何修改。

4、kubectl操作

現(xiàn)在,之前的副節(jié)點(diǎn)已經(jīng)可以執(zhí)行Master上面的所有操作了(所有節(jié)點(diǎn)都可以執(zhí)行)。試一下:

# Kubernetes版本。
kubectl version

# 集群信息,服務(wù)地址。
kubectl cluster-info

# 集群節(jié)點(diǎn)列表。
kubectl get node -o wide

# 集群運(yùn)行的所有pod信息。
kubectl get pod --all-namespaces -o wide

檢查一下,新升級(jí)的副節(jié)點(diǎn)和主節(jié)點(diǎn)的輸出信息是否一致。如果不一致:

  • 檢查etcd集群的一致性(詳情參考《Kubernetes 1.13.1的etcd集群擴(kuò)容實(shí)戰(zhàn)技巧》)。

  • kube-control-manager、kube-schedule的容器實(shí)例是否運(yùn)行正常,參數(shù)配置是否正確。

以上是“Kubernetes集群多Master容錯(cuò)配置技巧有哪些”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助,如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI