使用 kubeadm 创建一个高可用 etcd 集群

说明:

在本指南中,使用 kubeadm 作为外部 etcd 节点管理工具,请注意 kubeadm 不计划支持此类节点的证书更换或升级。 对于长期规划是使用 etcdadm 增强工具来管理这些方面。

默认情况下,kubeadm 在每个控制平面节点上运行一个本地 etcd 实例。也可以使用外部的 etcd 集群,并在不同的主机上提供 etcd 实例。 这两种方法的区别在高可用拓扑的选项页面中阐述。

这个任务将指导你创建一个由三个成员组成的高可用外部 etcd 集群,该集群在创建过程中可被 kubeadm 使用。

准备开始

  • 三个可以通过 2379 和 2380 端口相互通信的主机。本文档使用这些作为默认端口。 不过,它们可以通过 kubeadm 的配置文件进行自定义。

  • 每个主机必须安装 systemd 和 bash 兼容的 shell。

  • 每台主机必须安装有容器运行时、kubelet 和 kubeadm

  • 每个主机都应该能够访问 Kubernetes 容器镜像仓库 (registry.k8s.io), 或者使用 kubeadm config images list/pull 列出/拉取所需的 etcd 镜像。 本指南将把 etcd 实例设置为由 kubelet 管理的静态 Pod

  • 一些可以用来在主机间复制文件的基础设施。例如 sshscp 就可以满足此需求。

建立集群

一般来说,是在一个节点上生成所有证书并且只分发这些必要的文件到其它节点上。

说明:

kubeadm 包含生成下述证书所需的所有必要的密码学工具;在这个例子中,不需要其他加密工具。

说明:

下面的例子使用 IPv4 地址,但是你也可以使用 IPv6 地址配置 kubeadm、kubelet 和 etcd。 一些 Kubernetes 选项支持双协议栈,但是 etcd 不支持。关于 Kubernetes 双协议栈支持的更多细节, 请参见 kubeadm 的双栈支持

  1. 将 kubelet 配置为 etcd 的服务管理器。

    说明:

    你必须在要运行 etcd 的所有主机上执行此操作。

    由于 etcd 是首先创建的,因此你必须通过创建具有更高优先级的新文件来覆盖 kubeadm 提供的 kubelet 单元文件。

    1. cat << EOF > /etc/systemd/system/kubelet.service.d/kubelet.conf
    2. # 将下面的 "systemd" 替换为你的容器运行时所使用的 cgroup 驱动。
    3. # kubelet 的默认值为 "cgroupfs"。
    4. # 如果需要的话,将 "containerRuntimeEndpoint" 的值替换为一个不同的容器运行时。
    5. #
    6. apiVersion: kubelet.config.k8s.io/v1beta1
    7. kind: KubeletConfiguration
    8. authentication:
    9. anonymous:
    10. enabled: false
    11. webhook:
    12. enabled: false
    13. authorization:
    14. mode: AlwaysAllow
    15. cgroupDriver: systemd
    16. address: 127.0.0.1
    17. containerRuntimeEndpoint: unix:///var/run/containerd/containerd.sock
    18. staticPodPath: /etc/kubernetes/manifests
    19. EOF
    20. cat << EOF > /etc/systemd/system/kubelet.service.d/20-etcd-service-manager.conf
    21. [Service]
    22. ExecStart=
    23. ExecStart=/usr/bin/kubelet --config=/etc/systemd/system/kubelet.service.d/kubelet.conf
    24. Restart=always
    25. EOF
    26. systemctl daemon-reload
    27. systemctl restart kubelet

    检查 kubelet 的状态以确保其处于运行状态:

    1. systemctl status kubelet
  2. 为 kubeadm 创建配置文件。

    使用以下脚本为每个将要运行 etcd 成员的主机生成一个 kubeadm 配置文件。

    1. # 使用你的主机 IP 更新 HOST0、HOST1 和 HOST2 的 IP 地址
    2. export HOST0=10.0.0.6
    3. export HOST1=10.0.0.7
    4. export HOST2=10.0.0.8
    5. # 使用你的主机名更新 NAME0、NAME1 和 NAME2
    6. export NAME0="infra0"
    7. export NAME1="infra1"
    8. export NAME2="infra2"
    9. # 创建临时目录来存储将被分发到其它主机上的文件
    10. mkdir -p /tmp/${HOST0}/ /tmp/${HOST1}/ /tmp/${HOST2}/
    11. HOSTS=(${HOST0} ${HOST1} ${HOST2})
    12. NAMES=(${NAME0} ${NAME1} ${NAME2})
    13. for i in "${!HOSTS[@]}"; do
    14. HOST=${HOSTS[$i]}
    15. NAME=${NAMES[$i]}
    16. cat << EOF > /tmp/${HOST}/kubeadmcfg.yaml
    17. ---
    18. apiVersion: "kubeadm.k8s.io/v1beta4"
    19. kind: InitConfiguration
    20. nodeRegistration:
    21. name: ${NAME}
    22. localAPIEndpoint:
    23. advertiseAddress: ${HOST}
    24. ---
    25. apiVersion: "kubeadm.k8s.io/v1beta4"
    26. kind: ClusterConfiguration
    27. etcd:
    28. local:
    29. serverCertSANs:
    30. - "${HOST}"
    31. peerCertSANs:
    32. - "${HOST}"
    33. extraArgs:
    34. - name: initial-cluster
    35. value: ${NAMES[0]}=https://${HOSTS[0]}:2380,${NAMES[1]}=https://${HOSTS[1]}:2380,${NAMES[2]}=https://${HOSTS[2]}:2380
    36. - name: initial-cluster-state
    37. value: new
    38. - name: name
    39. value: ${NAME}
    40. - name: listen-peer-urls
    41. value: https://${HOST}:2380
    42. - name: listen-client-urls
    43. value: https://${HOST}:2379
    44. - name: advertise-client-urls
    45. value: https://${HOST}:2379
    46. - name: initial-advertise-peer-urls
    47. value: https://${HOST}:2380
    48. EOF
    49. done
  3. 生成证书颁发机构。

    如果你已经拥有 CA,那么唯一的操作是复制 CA 的 crtkey 文件到 etc/kubernetes/pki/etcd/ca.crt/etc/kubernetes/pki/etcd/ca.key。 复制完这些文件后继续下一步,“为每个成员创建证书”。

    如果你还没有 CA,则在 $HOST0(你为 kubeadm 生成配置文件的位置)上运行此命令。

    1. kubeadm init phase certs etcd-ca

    这一操作创建如下两个文件:

    • /etc/kubernetes/pki/etcd/ca.crt
    • /etc/kubernetes/pki/etcd/ca.key
  4. 为每个成员创建证书。

    1. kubeadm init phase certs etcd-server --config=/tmp/${HOST2}/kubeadmcfg.yaml
    2. kubeadm init phase certs etcd-peer --config=/tmp/${HOST2}/kubeadmcfg.yaml
    3. kubeadm init phase certs etcd-healthcheck-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
    4. kubeadm init phase certs apiserver-etcd-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
    5. cp -R /etc/kubernetes/pki /tmp/${HOST2}/
    6. # 清理不可重复使用的证书
    7. find /etc/kubernetes/pki -not -name ca.crt -not -name ca.key -type f -delete
    8. kubeadm init phase certs etcd-server --config=/tmp/${HOST1}/kubeadmcfg.yaml
    9. kubeadm init phase certs etcd-peer --config=/tmp/${HOST1}/kubeadmcfg.yaml
    10. kubeadm init phase certs etcd-healthcheck-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
    11. kubeadm init phase certs apiserver-etcd-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
    12. cp -R /etc/kubernetes/pki /tmp/${HOST1}/
    13. find /etc/kubernetes/pki -not -name ca.crt -not -name ca.key -type f -delete
    14. kubeadm init phase certs etcd-server --config=/tmp/${HOST0}/kubeadmcfg.yaml
    15. kubeadm init phase certs etcd-peer --config=/tmp/${HOST0}/kubeadmcfg.yaml
    16. kubeadm init phase certs etcd-healthcheck-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
    17. kubeadm init phase certs apiserver-etcd-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
    18. # 不需要移动 certs 因为它们是给 HOST0 使用的
    19. # 清理不应从此主机复制的证书
    20. find /tmp/${HOST2} -name ca.key -type f -delete
    21. find /tmp/${HOST1} -name ca.key -type f -delete
  5. 复制证书和 kubeadm 配置。

    证书已生成,现在必须将它们移动到对应的主机。

    1. USER=ubuntu
    2. HOST=${HOST1}
    3. scp -r /tmp/${HOST}/* ${USER}@${HOST}:
    4. ssh ${USER}@${HOST}
    5. USER@HOST $ sudo -Es
    6. root@HOST $ chown -R root:root pki
    7. root@HOST $ mv pki /etc/kubernetes/
  6. 确保已经所有预期的文件都存在

    $HOST0 所需文件的完整列表如下:

    1. /tmp/${HOST0}
    2. └── kubeadmcfg.yaml
    3. ---
    4. /etc/kubernetes/pki
    5. ├── apiserver-etcd-client.crt
    6. ├── apiserver-etcd-client.key
    7. └── etcd
    8. ├── ca.crt
    9. ├── ca.key
    10. ├── healthcheck-client.crt
    11. ├── healthcheck-client.key
    12. ├── peer.crt
    13. ├── peer.key
    14. ├── server.crt
    15. └── server.key

    $HOST1 上:

    1. $HOME
    2. └── kubeadmcfg.yaml
    3. ---
    4. /etc/kubernetes/pki
    5. ├── apiserver-etcd-client.crt
    6. ├── apiserver-etcd-client.key
    7. └── etcd
    8. ├── ca.crt
    9. ├── healthcheck-client.crt
    10. ├── healthcheck-client.key
    11. ├── peer.crt
    12. ├── peer.key
    13. ├── server.crt
    14. └── server.key

    $HOST2 上:

    1. $HOME
    2. └── kubeadmcfg.yaml
    3. ---
    4. /etc/kubernetes/pki
    5. ├── apiserver-etcd-client.crt
    6. ├── apiserver-etcd-client.key
    7. └── etcd
    8. ├── ca.crt
    9. ├── healthcheck-client.crt
    10. ├── healthcheck-client.key
    11. ├── peer.crt
    12. ├── peer.key
    13. ├── server.crt
    14. └── server.key
  7. 创建静态 Pod 清单。

    既然证书和配置已经就绪,是时候去创建清单了。 在每台主机上运行 kubeadm 命令来生成 etcd 使用的静态清单。

    1. root@HOST0 $ kubeadm init phase etcd local --config=/tmp/${HOST0}/kubeadmcfg.yaml
    2. root@HOST1 $ kubeadm init phase etcd local --config=$HOME/kubeadmcfg.yaml
    3. root@HOST2 $ kubeadm init phase etcd local --config=$HOME/kubeadmcfg.yaml
  8. 可选:检查集群运行状况。

    如果 etcdctl 不可用,你可以在容器镜像内运行此工具。 你可以使用 crictl run 这类工具直接在容器运行时执行此操作,而不是通过 Kubernetes。

    1. ETCDCTL_API=3 etcdctl \
    2. --cert /etc/kubernetes/pki/etcd/peer.crt \
    3. --key /etc/kubernetes/pki/etcd/peer.key \
    4. --cacert /etc/kubernetes/pki/etcd/ca.crt \
    5. --endpoints https://${HOST0}:2379 endpoint health
    6. ...
    7. https://[HOST0 IP]:2379 is healthy: successfully committed proposal: took = 16.283339ms
    8. https://[HOST1 IP]:2379 is healthy: successfully committed proposal: took = 19.44402ms
    9. https://[HOST2 IP]:2379 is healthy: successfully committed proposal: took = 35.926451ms
    • ${HOST0} 设置为要测试的主机的 IP 地址。

接下来

一旦拥有了一个正常工作的 3 成员的 etcd 集群, 你就可以基于使用 kubeadm 外部 etcd 的方法, 继续部署一个高可用的控制平面。