作者:杨紫熹
原文链接:https://fs.tn/post/PmaL-uIiQ/
RKE全称为Rancher Kubernetes Engine,是一款经过CNCF认证的开源Kubernetes发行版,可以在Docker容器内部运行。它解决了Kubernetes社区中最常见的问题——安装十分复杂。借助RKE,可以简化Kubernetes的安装和操作,并且用户可以在任何操作系统和平台上运行它。
安装RKE
首先需要下载RKE这个工具,下载地址为:
https://github.com/rancher/rke/releases
根据自己的平台,下载对应的可执行文件,下面我以ubuntu来做演示说明。
下载rke_linux_amd64
chmod +x rke_linux_amd64赋予可执行权限
改名为rke,mv rke_linux_amd64 rke
放入bin目录(可选)
以上三步就安装好了RKE,mac可以直接用brew安装,命令为brew install rke
部署Kubernetes集群
生成集群配置文件
安装好了RKE之后,首先生成RKE的配置文件。
使用自带命令rke config,生成cluster.yml配置文件
生成之后默认会有一个示例的配置文件。文件中的controlplane 就是k8s中所说的master。下面来看下这个配置文件(已经经过修改的版本)。
我们以3主3etcd,3work这种经典k8s集群模式来讲解下配置文件改如何写。请仔细阅读,对于部署k8s有以下几点需要注意的。
账户不能用root账户
所有节点的时间必须同步
使用的非root账户要能正常使用docker
配置建议再2C4G以上,推荐是4C8G比较合适,磁盘40G
nodes:
- address: 192.168.1.1
port: "22" # ssh 端口
internal_address: "" # 内网IP,如果是公有云的这种有公私网两个IP的,则address配置为公网IP
role:
- controlplane # 控制节点校色,等于k8s的master
- etcd
user: ubuntu # 服务器登陆账户
hostname_override: master-etcd-01
docker_socket: /var/run/docker.sock # docker sock所在路径,如果是用snap安装的dockers需要自行修改
ssh_key_path: "~/.ssh/id_rsa" # ssh key的路径,必须是免密登录,不能使用账户密码
labels: {} # 标签说明
- address: 192.168.1.2
port: "22"
internal_address: ""
role:
- controlplane
- etcd
user: ubuntu
hostname_override: master-etcd-02
docker_socket: /var/run/docker.sock
ssh_key_path: ~/.ssh/id_rsa
- address: 192.168.1.3
port: "22"
internal_address: ""
role:
- controlplane
- etcd
user: ubuntu
hostname_override: master-etcd-03
docker_socket: /var/run/docker.sock
ssh_key_path: ~/.ssh/id_rsa
- address: 192.168.1.4
port: "22"
internal_address: ""
role:
- worker
user: ubuntu
hostname_override: worker-1
docker_socket: /var/run/docker.sock
ssh_key_path: ~/.ssh/id_rsa
labels:
app: ingress # 标记后只有该标记节点会部署ingress
- address: 192.168.1.6
port: "22"
internal_address: ""
role:
- worker
user: ubuntu
hostname_override: worker-2
docker_socket: /var/run/docker.sock
ssh_key_path: ~/.ssh/id_rsa
labels:
app: ingress
- address: 192.168.1.7
port: "22"
internal_address: ""
role:
- worker
user: ubuntu
hostname_override: worker-3
docker_socket: /var/run/docker.sock
ssh_key_path: ~/.ssh/id_rsa
labels:
app: ingress
services:
# ETCD相关配置,另外备份是可以备份到s3的,这个配置见官方文档
etcd:
extra_args:
auto-compaction-retention: 240 #(单位小时)
# 修改空间配额为$((6*1024*1024*1024)),默认2G,最大8G
quota-backend-bytes: "6442450944"
backup_config:
enabled: true
interval_hours: 12
retention: 6
kube-api:
service_cluster_ip_range: 10.43.0.0/16
service_node_port_range: "20000-40000"
pod_security_policy: false
always_pull_images: false
# 控制器的一些配置,比如节点判断失联后多久开始迁移等
kube-controller:
extra_args:
## 当节点通信失败后,再等一段时间kubernetes判定节点为notready状态。
## 这个时间段必须是kubelet的nodeStatusUpdateFrequency(默认10s)的整数倍,
## 其中N表示允许kubelet同步节点状态的重试次数,默认40s。
node-monitor-grace-period: "20s"
## 再持续通信失败一段时间后,kubernetes判定节点为unhealthy状态,默认1m0s。
node-startup-grace-period: "30s"
## 再持续失联一段时间,kubernetes开始迁移失联节点的Pod,默认5m0s。
pod-eviction-timeout: "1m"
cluster_cidr: 10.42.0.0/16
service_cluster_ip_range: 10.43.0.0/16
# 集群的一些配置,包括资源预留,集群名字,dns等配置
kubelet:
extra_args:
serialize-image-pulls: "false"
registry-burst: "10"
registry-qps: "0"
# # 节点资源预留
# enforce-node-allocatable: 'pods'
# system-reserved: 'cpu=0.5,memory=500Mi'
# kube-reserved: 'cpu=0.5,memory=1500Mi'
# # POD驱逐,这个参数只支持内存和磁盘。
# ## 硬驱逐伐值
# ### 当节点上的可用资源降至保留值以下时,就会触发强制驱逐。强制驱逐会强制kill掉POD,不会等POD自动退出。
# eviction-hard: 'memory.available<300Mi,nodefs.available<10%,imagefs.available<15%,nodefs.inodesFree<5%'
# ## 软驱逐伐值
# ### 以下四个参数配套使用,当节点上的可用资源少于这个值时但大于硬驱逐伐值时候,会等待eviction-soft-grace-period设置的时长;
# ### 等待中每10s检查一次,当最后一次检查还触发了软驱逐伐值就会开始驱逐,驱逐不会直接Kill POD,先发送停止信号给POD,
然后等待eviction-max-pod-grace-period设置的时长;
# ### 在eviction-max-pod-grace-period时长之后,如果POD还未退出则发送强制kill POD"
# eviction-soft: 'memory.available<500Mi,nodefs.available<50%,imagefs.available<50%,nodefs.inodesFree<10%'
# eviction-soft-grace-period: 'memory.available=1m30s'
# eviction-max-pod-grace-period: '30'
# eviction-pressure-transition-period: '30s'
cluster_domain: cluster.local
infra_container_image: ""
cluster_dns_server: 10.43.0.10
fail_swap_on: false
kubeproxy:
extra_args:
# 默认使用iptables进行数据转发,如果要启用ipvs,则此处设置为`ipvs`
proxy-mode: "ipvs"
# 配置集群的CNI网络模型
network:
plugin: canal
options:
flannel_backend_type: "vxlan"
ssh_key_path: ~/.ssh/id_rsa
ssh_agent_auth: false
authorization:
mode: rbac
ignore_docker_version: false
# k8s的版本,可以通过rke config --system-images --all 命令列出所有rke支持的版本
kubernetes_version: v1.15.4-rancher1-2
# 国内使用阿里云的镜像
private_registries:
- url: registry.cn-shanghai.aliyuncs.com
user:
password:
is_default: true
# 配置ingress,目前RKE支持nginx。
ingress:
provider: "nginx"
# 节点选择,和上面node配置结合的
node_selector:
app: ingress
options:
use-forwarded-headers: "true"
cluster_name: rancher
addon_job_timeout: 0
restore:
restore: false
snapshot_name: ""大部分的配置都注释说明了,基本上需要用到的配置就这些了,更详细的配置需要查阅官方文档。文档链接:
https://docs.rancher.cn/rke/example-yamls.html
开始部署
配置完毕之后,就是开始部署了,rke的启动非常简单,在配置文件目录使用./rke up就可以了。
启动完毕之后,等待大约10分钟左右,会提示Finished building Kubernetes cluster successfully
部署的过程中,日志可能会显示WARN的提示,这个是没有关系的。只要不出现ERR即可。
可能会出现的错误:
etcd健康检查不通过,出现证书错误的情况,这个报错一般是因为时间不同步导致的。
无法访问到node,这个报错一般是因为地址配置出错
Failed to set up SSH tunneling for host,这个报错一般是使用了root用户或者docker sock配置错误
Failed to dial ssh using address,ssh-key配置错误
部署成功之后,有三个文件需要特别保存。
cluster.yml:RKE集群配置文件。
kube_config_cluster.yml:集群的Kubeconfig文件,此文件包含完全访问集群的凭据。
cluster.rkestate:Kubernetes集群状态文件,此文件包含访问集群的重要凭据。
有了以上三个文件,就可以对集群做新增、删除节点、升级集群版本的操作,所以必须要保存好。
部署Helm
创建helm权限
运行下面命令创建好helm的权限
kubectl --kubeconfig=kube_config_cluster.yml -n kube-system create serviceaccount tiller kubectl --kubeconfig=kube_config_cluster.yml create clusterrolebinding tiller \ --clusterrole cluster-admin --serviceaccount=kube-system:tiller
初始化helm
这里首先在自己的机子上装好helm,怎么装这里不再多说了,可以自行百度或者Google。
安装好了之后,可以直接运行helm init --kubeconfig=kube_config_cluster.yml来初始化。但是这里有有一个问题,可能会有镜像拉不下来的情况。所以推荐使用下面的命令来初始化。
helm init --kubeconfig=kube_config_cluster.yml \ --service-account tiller --skip-refresh \ --tiller-image registry.cn-shanghai.aliyuncs.com/rancher/tiller:v2.14.1
里面的镜像是Rancher给的镜像地址。当然也可以换成自己的。
运行完命令之后,可以通过kubectl看一看tiller是否正常启动了。
更新helm
更新就直接使用kubectl的命令,升级镜像版本即可。命令如下(版本号可能和最新的不一样,请不要直接使用)
kubectl --kubeconfig=kube_config_cluster.yml --namespace=kube-system \ set image deployments/tiller-deploy \ tiller=registry.cn-shanghai.aliyuncs.com/rancher/tiller:v3.0.1
添加Rancher的charts
添加Rancher的stable版本charts
helm repo add rancher-stable \ https://releases.rancher.com/server-charts/stable --kubeconfig=kube_config_cluster.yml
安装Rancher
我这里使用的是外部负载均衡的模式,就是在k8s之外,还有一个nginx作为入口负载均衡,同时ssl也截至到这个nginx。所以下面的配置中,加上了--set tls=external。如果你是直接使用集群作为入口的,则不需要这个参数,需要自己配置ssl证书。具体参考官网。
helm --kubeconfig=kube_config_cluster.yml install rancher-stable/rancher \ --name rancher --namespace cattle-system \ --set hostname=rancher.asoco.com.cn \ --set tls=external
到此实际上整个集群和Rancher都已经部署好了。接下来需要配置外部的nginx负载均衡器。
外部负载均衡器nginx的配置
nginx的配置我直接贴出来:
# zip压缩相关的配置
gzip on;gzip_disable "msie6";
gzip_disable "MSIE [1-6]\.(?!.*SV1)";
gzip_vary on;
gzip_static on;
gzip_proxied any;
gzip_min_length 0;
gzip_comp_level 8;
gzip_buffers 16 8k;
gzip_http_version 1.1;
gzip_types
text/xml application/xml application/atom+xml application/rss+xml application/xhtml+xml image/svg+xml application/font-woff
text/javascript application/javascript application/x-javascript
text/x-json application/json application/x-web-app-manifest+json
text/css text/plain
text/x-component
font/opentype application/x-font-ttf application/vnd.ms-fontobject font/woff2
image/x-icon image/png image/jpeg;
# 这里配置为配置了ingress的work节点
upstream rancher {
server 192.168.1.5:80;
server 192.168.1.6:80;
server 192.168.1.7:80;
}
map $http_upgrade $connection_upgrade {
default Upgrade;
'' close;
}
server {
listen 443 ssl ;
#配置域名
server_name rancher..com.cn;
#配置证书
ssl_certificate /etc/nginx/rancher.com.cn.sslkey/fullchain.pem;
ssl_certificate_key /etc/nginx/rancher.com.cn.sslkey/privkey.pem;
location / {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto https;
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://rancher;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
# This allows the ability for the execute shell window to remain open for up to 15 minutes.
## Without this parameter, the default is 1 minute and will automatically close.
proxy_read_timeout 900s;
proxy_buffering off;
}
}
# 配置301重定向
server {
listen 80;
server_name rancher.com.cn;
return 301 https://$server_name$request_uri;
}将以上配置,新增一个rancher.conf配置文件,然后放到/etc/nginx/conf.d/文件夹中,然后nginx重载配置即可。
总 结
在上面步骤都做完之后,访问域名即可打开Rancher,并且Rancher已经默认接管集群了,开始享有Rancher的便捷吧。
温馨提示:文章内容系作者个人观点,不代表Docker中文社区对观点赞同或支持。
版权声明:本文为转载文章,来源于 杨紫熹 ,版权归原作者所有,欢迎分享本文,转载请保留出处!
发表评论