07-2.部署 kubelet 组件

kublet 运行在每个 worker 节点上,接收 kube-apiserver 发送的请求,管理 Pod 容器,执行交互式命令,如 exec、run、logs 等。

kublet 启动时自动向 kube-apiserver 注册节点信息,内置的 cadvisor 统计和监控节点的资源使用情况。

为确保安全,本文档只开启接收 https 请求的安全端口,对请求进行认证和授权,拒绝未授权的访问(如 apiserver、heapster)。

下载和分发 kubelet 二进制文件

参考 06-0.部署master节点.md

安装依赖包

参考 07-0.部署worker节点.md

创建 kubelet bootstrapping kubeconfig 文件

  1. cd /opt/k8s/work
  2. source /opt/k8s/bin/environment.sh
  3. kubectl config set-cluster kubernetes \
  4.   --certificate-authority=/opt/k8s/work/ca.pem \
  5.   --embed-certs=true \
  6.   --server=${KUBE_APISERVER} \
  7.   --kubeconfig=kubelet-bootstrap.kubeconfig
  9. kubectl config set-credentials kubelet-bootstrap \
  10.   --token=${BOOTSTRAP_TOKEN} \
  11.   --kubeconfig=kubelet-bootstrap.kubeconfig
  13. kubectl config set-context default \
  14.   --cluster=kubernetes \
  15.   --user=kubelet-bootstrap \
  16.   --kubeconfig=kubelet-bootstrap.kubeconfig
  18. kubectl config use-context default --kubeconfig=kubelet-bootstrap.kubeconfig
  • --embed-certstrue 时表示将 certificate-authority 证书写入到生成的 bootstrap.kubeconfig 文件中;
  • 设置 kubelet 客户端认证参数时没有指定秘钥和证书,后续由 kube-apiserver 自动生成;

分发 bootstrap kubeconfig 文件到所有 worker 节点

  1. cd /opt/k8s/work
  2. source /opt/k8s/bin/environment.sh
  3. for node_name in ${NODE_NAMES[@]}
  4.   do
  5.     echo ">>> ${node_name}"
  6.     scp kubelet-bootstrap.kubeconfig root@${node_name}:/etc/kubernetes/kubelet-bootstrap.kubeconfig
  7.   done

创建和分发 kubelet systemd unit 文件

创建 kubelet systemd unit 文件模板:

  1. cd /opt/k8s/work
  2. source /opt/k8s/bin/environment.sh
  3. cat > kubelet.service.template <<EOF
  4. [Unit]
  5. Description=Kubernetes Kubelet
  6. Documentation=https://github.com/GoogleCloudPlatform/kubernetes
  7. After=docker.service
  8. Requires=docker.service
  10. [Service]
  11. WorkingDirectory=${K8S_DIR}/kubelet
  12. ExecStart=/opt/k8s/bin/kubelet \\
  13.   --root-dir=${K8S_DIR}/kubelet \\
  14.   --address=##NODE_IP## \\
  15.   --port=10250 \\
  16.   --read-only-port=0 \\
  17.   --hostname-override=##NODE_NAME## \\
  18.   --pod-infra-container-image=registry.access.redhat.com/rhel7/pod-infrastructure:latest \\
  19.   --bootstrap-kubeconfig=/etc/kubernetes/kubelet-bootstrap.kubeconfig \\
  20.   --kubeconfig=/etc/kubernetes/kubelet.kubeconfig \\
  21.   --feature-gates=RotateKubeletClientCertificate=true,RotateKubeletServerCertificate=true,Accelerators=true,DevicePlugins=true \\
  22.   --rotate-certificates=true \\
  23.   --cert-dir=/etc/kubernetes/cert \\
  24.   --cluster-dns=${CLUSTER_DNS_SVC_IP} \\
  25.   --cluster-domain=${CLUSTER_DNS_DOMAIN} \\
  26.   --hairpin-mode=promiscuous-bridge \\
  27.   --allow-privileged=true \\
  28.   --client-ca-file=/etc/kubernetes/cert/ca.pem \\
  29.   --anonymous-auth=false \\
  30.   --authentication-token-webhook=true \\
  31.   --authorization-mode=Webhook \\
  32.   --serialize-image-pulls=false \\
  33.   --max-pods=250 \\
  34.   --event-qps=0 \\
  35.   --kube-api-qps=1000 \\
  36.   --kube-api-burst=2000 \\
  37.   --registry-qps=0 \\
  38.   --image-pull-progress-deadline=30m \\
  39.   --cadvisor-port=0 \\
  40.   --logtostderr=true \\
  41.   --v=2
  42. Restart=always
  43. RestartSec=5
  44. StartLimitInterval=0
  46. [Install]
  47. WantedBy=multi-user.target
  48. EOF
  • --address 不能设置为 127.0.0.1,否则后续 Pods 访问 kubelet 的 API 接口时会失败,因为 Pods 访问的 127.0.0.1 指向自己而不是 kubelet;
  • --read-only-port=0: 关闭 http 端口 10255;
  • 如果设置了 --hostname-override 选项,则 kube-proxy 也需要设置该选项,否则会出现找不到 Node 的情况;
  • --bootstrap-kubeconfig 指向 bootstrap kubeconfig 文件,kubelet 使用该文件中的用户名和 token 向 kube-apiserver 发送 TLS Bootstrapping 请求;
  • 管理员通过了 CSR 请求后,kubelet 自动在 --cert-dir 目录创建证书和私钥文件(kubelet-client.crtkubelet-client.key),然后写入 --kubeconfig 文件(自动创建 --kubeconfig 指定的文件);
  • 建议在 --kubeconfig 配置文件中指定 kube-apiserver 地址;
  • --cluster-dns 指定 kubedns 的 Service IP(可以先分配,后续创建 kubedns 服务时指定该 IP),--cluster-domain 指定域名后缀,这两个参数同时指定后才会生效;
  • --cadvisor-port=0 关闭 cAdvisor 的 Web 端口;
  • --root-dir=${K8S_DIR}/kubelet:kublet 数据目录;
  • --max-pods=250:指定该节点可以运行的 POD 数量,默认值为 110; 该值必须与 flanneld 的 SubnetLen 值相匹配,例如设置 “SubnetLen”: 21 时,最大 POD 值为 2048;
  • --feature-gates:支持 Kubelet Client 和 Server 证书轮转,支持 GPU 加速;Device Plugins 工作目录:/var/lib/kubelet/device-plugins;
  • --event-qps=0--kube-api-qps=2000--kube-api-burst=2000--registry-qps=0:调大 qps 和最大同步频率,否则节点 Pod 数很多时(200+),Pod 状态更新非常缓慢(小时级别),导致服务长时间不可用;
  • --image-pull-progress-deadline=30m:增加镜像 pull 超时时间;

替换后的 unit 文件:kubelet.service

为各节点创建和分发 kubelet systemd unit 文件:

  1. cd /opt/k8s/work
  2. source /opt/k8s/bin/environment.sh
  3. for (( i=0; i < 3; i++ ))
  4.   do
  5.     echo ">>> ${NODE_NAMES[i]}"
  6.     sed -e "s/##NODE_NAME##/${NODE_NAMES[i]}/" -e "s/##NODE_IP##/${NODE_IPS[i]}/" kubelet.service.template > kubelet-${NODE_NAMES[i]}.service
  7.     scp kubelet-${NODE_NAMES[i]}.service root@${NODE_IPS[i]}:/etc/systemd/system/kubelet.service
  8.   done

启动 kubelet 服务

kubelet 启动时向 kube-apiserver 发送 TLS bootstrapping 请求,需要先将 bootstrap token 文件中的 kubelet-bootstrap 用户赋予 system:node-bootstrapper 角色,然后 kubelet 才有权限创建认证请求(certificatesigningrequests):

  1. kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap
  • --user=kubelet-bootstrap 是文件 /etc/kubernetes/token.csv 中指定的用户名,同时也写入了文件 /etc/kubernetes/kubelet-bootstrap.kubeconfig
  1. source /opt/k8s/bin/environment.sh
  2. for node_ip in ${NODE_IPS[@]}
  3.   do
  4.     echo ">>> ${node_ip}"
  5.     ssh root@${node_ip} "mkdir -p ${K8S_DIR}/kubelet" 
  6.     ssh root@${node_ip} "swapoff -a"
  7.     ssh root@${node_ip} "systemctl daemon-reload && systemctl enable kubelet && systemctl restart kubelet"
  8.   done
  • 如果开启了 swap 分区,kubelet 会启动失败,需要使用命令 sudo swapoff -a 关闭 swap 分区;
  • 必须先创建工作和日志目录;

kubelet 启动后使用 —bootstrap-kubeconfig 向 kube-apiserver 发送 CSR 请求,当这个 CSR 被 approve 后,kube-controller-manager 为 kubelet 创建 TLS 客户端证书、私钥和 —kubeletconfig 文件。

注意:kube-controller-manager 需要配置 --cluster-signing-cert-file--cluster-signing-key-file 参数,才会为 TLS Bootstrap 创建证书和私钥。

  1. $ kubectl get csr
  2. NAME                                                   AGE       REQUESTOR           CONDITION
  3. node-csr-48VqaZkxOrBNTyIWtbdAO58SGkkxfsQgF9TDEZMwLJI   14s       kubelet-bootstrap   Pending
  4. node-csr-8PJBNkbaa0BeSOxjJU-wVmG-BynUR13kyYO17Jr01YA   13s       kubelet-bootstrap   Pending
  5. node-csr-ImM0EB0AIwLDeOOPJJaCrvZI0ikKUyKSHzdN9L32_Kw   12s       kubelet-bootstrap   Pending
  7. $ kubectl get nodes
  8. No resources found.
  • 三个 work 节点的 csr 均处于 pending 状态;

自动 approve kubelet CSR 请求

创建三个 ClusterRoleBinding,分别用于自动 approve client、renew client、renew server 证书:

  1. cd /opt/k8s/work
  2. cat > csr-crb.yaml <<EOF
  3.  # Approve all CSRs for the group "system:nodes"
  4.  kind: ClusterRoleBinding
  5.  apiVersion: rbac.authorization.k8s.io/v1
  6.  metadata:
  7.    name: auto-approve-csrs-for-group
  8.  subjects:
  9.  - kind: Group
  10.    name: system:kubelet-bootstrap
  11.    apiGroup: rbac.authorization.k8s.io
  12.  roleRef:
  13.    kind: ClusterRole
  14.    name: system:certificates.k8s.io:certificatesigningrequests:nodeclient
  15.    apiGroup: rbac.authorization.k8s.io
  16. ---
  17.  # To let a node of the group "system:nodes" renew its own credentials
  18.  kind: ClusterRoleBinding
  19.  apiVersion: rbac.authorization.k8s.io/v1
  20.  metadata:
  21.    name: node-client-cert-renewal
  22.  subjects:
  23.  - kind: Group
  24.    name: system:nodes
  25.    apiGroup: rbac.authorization.k8s.io
  26.  roleRef:
  27.    kind: ClusterRole
  28.    name: system:certificates.k8s.io:certificatesigningrequests:selfnodeclient
  29.    apiGroup: rbac.authorization.k8s.io
  30. ---
  31. # A ClusterRole which instructs the CSR approver to approve a node requesting a
  32. # serving cert matching its client cert.
  33. kind: ClusterRole
  34. apiVersion: rbac.authorization.k8s.io/v1
  35. metadata:
  36.   name: approve-node-server-renewal-csr
  37. rules:
  38. - apiGroups: ["certificates.k8s.io"]
  39.   resources: ["certificatesigningrequests/selfnodeserver"]
  40.   verbs: ["create"]
  41. ---
  42.  # To let a node of the group "system:nodes" renew its own server credentials
  43.  kind: ClusterRoleBinding
  44.  apiVersion: rbac.authorization.k8s.io/v1
  45.  metadata:
  46.    name: node-server-cert-renewal
  47.  subjects:
  48.  - kind: Group
  49.    name: system:nodes
  50.    apiGroup: rbac.authorization.k8s.io
  51.  roleRef:
  52.    kind: ClusterRole
  53.    name: approve-node-server-renewal-csr
  54.    apiGroup: rbac.authorization.k8s.io
  55. EOF
  56. kubectl apply -f csr-crb.yaml
  • auto-approve-csrs-for-group:自动 approve node 的第一次 CSR; Group 名称应该与 kube-apiserver token.csv 文件中 token 对应的 Group 一致,如上面的 system:kubelet-bootstrap,否则第一次请求 CSR 时不会自动被 approve;
  • node-client-cert-renewal:自动 approve node 后续过期的 client 证书,自动生成的证书 Group 为 system:nodes;
  • node-server-cert-renewal:自动 approve node 后续过期的 server 证书,自动生成的证书 Group 为 system:nodes;

查看 kublet 的情况

等待一段时间(1-10 分钟),三个节点的 CSR 都被自动 approve:

  1. $ kubectl get csr
  2. NAME                                                   AGE       REQUESTOR                 CONDITION
  3. csr-l4k6q                                              32s       system:node:m7-demo-136002   Approved,Issued
  4. csr-p6854                                              32s       system:node:m7-demo-136003   Approved,Issued
  5. csr-x8mtl                                              33s       system:node:m7-demo-136001   Approved,Issued
  6. node-csr-D0F3jr01NOrVXm9-kAL_K_IKww43-OdlY7N_BI6eAmA   1m        kubelet-bootstrap             Approved,Issued
  7. node-csr-ZTgRNjF0vOrIUB2ZAnBJLaEQV_YUQkGPbLp16GvZ0pE   1m        kubelet-bootstrap             Approved,Issued
  8. node-csr-uNDpD92EvQkoB3171q-wZzjVhMw76NyhEDuq2M0_3MA   1m        kubelet-bootstrap             Approved,Issued

所有节点均 ready:

  1. $ kubectl get nodes
  2. NAME               STATUS    ROLES     AGE       VERSION
  3. m7-demo-136001   Ready     <none>    5m        v1.8.15
  4. m7-demo-136002   Ready     <none>    2m        v1.8.15
  5. m7-demo-136003   Ready     <none>    2m        v1.8.15

kube-controller-manager 为各 node 生成了 kubeconfig 文件和公私钥:

  1. $ ls -l /etc/kubernetes/kubelet.kubeconfig
  2. -rw------- 1 root root 2295 8  15 22:34 /etc/kubernetes/kubelet.kubeconfig
  4. $ ls -l /etc/kubernetes/cert/|grep kubelet
  5. -rw-r--r-- 1 root root 1054 8  15 22:34 kubelet-client.crt
  6. -rw------- 1 root root  227 8  15 22:33 kubelet-client.key
  7. -rw------- 1 root root 1354 8  15 22:34 kubelet-server-2018-08-15-22-34-02.pem
  8. lrwxrwxrwx 1 root root   59 8  15 22:34 kubelet-server-current.pem -> /etc/kubernetes/cert/kubelet-server-2018-08-15-22-34-02.pem
  • kubelet-client 和 kubelet-server 证书会周期轮转,过期时间由 kube-controller-manager 的 --experimental-cluster-signing-duration 参数指定;
  • 证书到期轮转时先关闭 client 连接,然后使用新证书;

kubelet 提供的 API 接口

kublet 启动后监听多个端口,用于接收 kube-apiserver 或其它组件发送的请求:

  1. $ sudo netstat -lnpt|grep kubelet
  2. tcp        0      0 127.0.0.1:10248         0.0.0.0:*               LISTEN      17692/kubelet
  3. tcp        0      0 172.27.136.1:10250     0.0.0.0:*               LISTEN      17692/kubelet
  • 10248: healthz http 服务;
  • 10250: https API 服务;注意:未开启只读端口 10255;

例如执行 kubectl exec -it nginx-ds-5rmws -- sh 命令时,kube-apiserver 会向 kubelet 发送如下请求:

  1. POST /exec/default/nginx-ds-5rmws/my-nginx?command=sh&input=1&output=1&tty=1

kubelet 接收 10250 端口的 https 请求:

  • /pods、/runningpods
  • /metrics、/metrics/cadvisor、/metrics/probes
  • /spec
  • /stats、/stats/container
  • /logs
  • /run/、”/exec/“, “/attach/“, “/portForward/“, “/containerLogs/“ 等管理;

详情参考:https://github.com/kubernetes/kubernetes/blob/master/pkg/kubelet/server/server.go#L434:3

由于关闭了匿名认证,同时开启了 webhook 授权,所有访问 10250 端口 https API 的请求都需要被认证和授权。

kublet api 认证和授权

kublet 配置了如下认证参数:

  • —client-ca-file=/etc/kubernetes/cert/ca.pem:指定签名客户端证书的 CA 证书,开启 HTTPs 证书认证;
  • —anonymous-auth=false:设置为 false,不允许匿名访问 10250 端口;
  • —authentication-token-webhook=true:开启 HTTPs bearer token 认证;

同时配置了如下授权参数:

  • —authorization-mode=Webhook:开启 RBAC 授权;

kubelet 收到请求后,使用 —client-ca-file 对证书签名进行认证,或者查询 bearer token 是否有效。如果两者都没通过,则拒绝请求,提示 Unauthorized:

  1. $ curl -s --cacert /etc/kubernetes/cert/ca.pem https://172.27.136.3:10250/metrics # 没有提供证书
  2. Unauthorized
  4. $ curl -s --cacert /etc/kubernetes/cert/ca.pem -H "Authorization: Bearer 123456" https://172.27.136.3:10250/metrics # 未授权的 token
  5. Unauthorized

通过认证后,kubelet 使用 SubjectAccessReview API 向 kube-apiserver 发送请求,查询证书或 token 对应的 user、group 是否有操作资源的权限(RBAC);

证书认证和授权

  1. # 权限不足的证书,拒绝访问;
  2. $ curl -s --cacert /etc/kubernetes/cert/ca.pem --cert /etc/kubernetes/cert/kube-controller-manager.pem --key /etc/kubernetes/cert/kube-controller-manager-key.pem https://172.27.136.3:10250/metrics
  3. Forbidden (user=system:kube-controller-manager, verb=get, resource=nodes, subresource=metrics)
  5. # 使用部署 kubectl 命令行工具时创建的、具有最高权限的 admin 证书,授权访问;
  6. $ curl -s --cacert /etc/kubernetes/cert/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.27.136.3:10250/metrics|head
  7. # HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
  8. # TYPE apiserver_client_certificate_expiration_seconds histogram
  9. apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
  10. apiserver_client_certificate_expiration_seconds_bucket{le="21600"} 0
  11. apiserver_client_certificate_expiration_seconds_bucket{le="43200"} 0
  12. apiserver_client_certificate_expiration_seconds_bucket{le="86400"} 0
  13. apiserver_client_certificate_expiration_seconds_bucket{le="172800"} 0
  14. apiserver_client_certificate_expiration_seconds_bucket{le="345600"} 0
  15. apiserver_client_certificate_expiration_seconds_bucket{le="604800"} 0
  16. apiserver_client_certificate_expiration_seconds_bucket{le="2.592e+06"} 0
  • --cacert--cert--key 的参数值必须是文件路径,如上面的 ./admin.pem 不能省略 ./,否则返回 401 Unauthorized

Bear token 认证和授权

06-2.api-server.md一文中定义的 ClusterRole system:kubelet-api-admin 授予访问 kubelet 所有 API 的权限。

创建一个 ServiceAccount,将它和 ClusterRole system:kubelet-api-admin 绑定,从而具有调用 kubelet API 的权限:

  1. kubectl create sa kubelet-api-test
  2. kubectl create clusterrolebinding kubelet-api-test --clusterrole=system:kubelet-api-admin --serviceaccount=default:kubelet-api-test
  3. SECRET=$(kubectl get secrets | grep kubelet-api-test | awk '{print $1}')
  4. TOKEN=$(kubectl describe secret ${SECRET} | grep -E '^token' | awk '{print $2}')
  5. echo ${TOKEN}
  6. curl -s --cacert /etc/kubernetes/cert/ca.pem -H "Authorization: Bearer ${TOKEN}" https://172.27.136.3:10250/metrics | head

输出:

  1. # HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
  2. # TYPE apiserver_client_certificate_expiration_seconds histogram
  3. apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
  4. apiserver_client_certificate_expiration_seconds_bucket{le="21600"} 0
  5. apiserver_client_certificate_expiration_seconds_bucket{le="43200"} 0
  6. apiserver_client_certificate_expiration_seconds_bucket{le="86400"} 0
  7. apiserver_client_certificate_expiration_seconds_bucket{le="172800"} 0
  8. apiserver_client_certificate_expiration_seconds_bucket{le="345600"} 0
  9. apiserver_client_certificate_expiration_seconds_bucket{le="604800"} 0
  10. apiserver_client_certificate_expiration_seconds_bucket{le="2.592e+06"} 0

cadvisor 和 metrics

cadvisor 统计所在节点各容器的资源(CPU、内存、磁盘、网卡)使用情况,在 10250 以 promehteus metrics 的形式输出。

浏览器访问 https://172.27.136.1:10250/metricshttps://172.27.136.1:10250/metrics/cadvisor 分别返回 kublet 和 cadvisor 的 metrics。

cadvisor-metrics

注意: