相关文章推荐
自信的槟榔  ·  Kubernetes(k8s)中文文档名词解 ...·  1 月前    · 
自信的槟榔  ·  Kubernetes(k8s)中文文档名词解 ...·  1 月前    · 
自信的槟榔  ·  Kubernetes(k8s)中文文档名词解 ...·  1 月前    · 
小百科  ›  Kubernetes Cluster 설치 (CentOS 7)
pod centos docker kubernetes
爱跑步的篮球
1 年前

1. 모든 노드에 docker 설치

2. 모든 노드에 kubeadm 설치 : bootstrap

3. Control Plane 에서 Initialize & POD Network 확인

4. Node의 조인

설치하기 전 체크 사항

👌 Master :  CentOS7, 2CPU,  3GB RAM, 20GB HDD

👌 Node 1, 2 :  CentOS7, 2 CPU,  2GB RAM, 20GB HDD

👌 각 노드 간 원활한 네트워크 통신

👌 각 노드별 고유 hostaname, MAC address, UUID

👌 swap 비활성화 (필수! kubelet 오류발생하지않도록)

👌 방화벽 포트 오픈

https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/install-kubeadm/#check-required-ports

kubernetes.io/ko/docs/tasks/tools/install-kubectl/

kubeadm(쿠버네티스 설치 도구)를 통한 환경 구축

docker 설치 및 활성화

자동설치 스크립트 명령어를 통한 도커 설치

# curl -s https://get.docker.com | sudo sh
# sudo systemctl enable --now docker

쿠버네티스용 계정 생성

쿠버네티스 설치 및 kubectl 명령어를 돌릴 쿠버네티스 전용 계정을 생성하여 sudo 권한을 사용할 수 있게 설정하고 도커 또한 설정할 수 있게 한다.

(root)# useradd kube
(root)# passwd --stdin kube
(root)# echo "kube ALL=(ALL) ALL" >> /etc/sudoers.d/kube
(root)# usermod -aG docker kube
(root)# su - kube
(root)# sudo systemctl enable --now docker

패키지 업데이트

기 설치된 패키지를 최신으로 업그레이드

$ sudo yum -y update
$ sudo yum -y upgrade

💡 - update : 설치된 패키지들의 새로운 버전이 있는지 확인
💡 - upgrade: update를 통해 확인한 패키지들의 최신버전에 따라 패키지들의 버전을 업그레이드 (훨씬 오래 걸림)

NTP 시간 동기화

서버 간 NTP 시간 동기화 확인 필요

$ sudo timedatectl set-timezone Asia/Seoul
$ sudo yum -y install ntp
$ sudo systemctl enable --now ntpd

SELinux

$ sudo setenforce 0
$ sudo sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config

swap 비활성화

모든 노드에서 메모리 스왑을 비활성화함으로써 컨테이너 성능의 일관성을 확립

$ sudo swapoff -a
$ vi /etc/fstab "swap 정의된 라인 주석 처리(영구적 비활성화)"

🔎 swap : 메모리가 부족하거나 절전모드 상태에서 디스크 일부공간을 메모리처럼 사용하는 기능
쿠버네티스에서는 스왑기능을 관리해야 하기 때문에 기존 시스템의 스왑기능을 꺼야 함

iptables 관련 설정

iptables가 bridged traffic을 바라보게 만들자.

1. br_netfilter 모듈이 로드되었는지 확인한다

2. sysctl conf에서 net.bridge.bridge-nf-call-iptables 값을 1로 설정한다.

$ cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
> br_netfilter
> EOF

$ cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf
> net.bridge.bridge-nf-call-ip6tables = 1
> net.bridge.bridge-nf-call-iptables = 1
> EOF

$ sudo sysctl --system

br_netfilter 모듈 로드 확인 결과

현 상태까지 초기 설정을 마친서버를 잠시 shut down  후,
full clone 기능을( VMWorkstation 사용 중 ) 통해 node1, node2 서버 두 개를 추가 생성한다.

그리고 RAM 부분만 2G로 수정하고, 각 서버의 호스트명과 네트워크를 원본 서버와 다르게 설정한다.
각 서버의 호스트명과 ip주소에 따라/etc/hosts 파일 내용을 수정하고  각 서버간 ping  테스트를 진행한다.

방화벽 설정

Control Plane 및 Node 별로 필요한 포트를 개방

@ Master Node

$ sudo firewall-cmd --add-port=6443/tcp --zone=public --permanent
$ sudo firewall-cmd --add-port=2379-2380/tcp --zone=public --permanent
$ sudo firewall-cmd --add-port=10250/tcp --zone=public --permanent
$ sudo firewall-cmd --add-port=10251/tcp --zone=public --permanent
$ sudo firewall-cmd --add-port=10252/tcp --zone=public --permanent
$ sudo firewall-cmd --reload

@ Worker Node

$ sudo firewall-cmd --add-port=10250/tcp
$ sudo firewall-cmd --permanent --add-port=30000-32767/tcp
$ sudo  firewall-cmd --permanent --add-port=179/tcp

10250/tcp : kubelet API

30000-32767/tcp : NodePort

179/tcp :  Calico

kubeadm, kubectl, kubelet 설치

패키지 서버 설치 후 패키지 설치

$ cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl= https://packages.cloud.google.com/yum/repos/kubernetes-el7- \$basearch
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey= https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
exclude=kubelet kubeadm kubectl
EOF

$ sudo yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes
$ sudo systemctl enable --now kubelet

💡 failed to load Kubelet config file /var/lib/kubelet/ config.yaml, e rror failed to read kubelet config file "/var/lib/kubelet/config.yaml", error: open /var/lib/kubelet/config.yaml: no such file or directory

/usr/lib/systemd/system/kubelet.service.d/10-kubeadm.conf

kubelet 서비스는 kubeadm init 또는 join을 기다리며 매초마다 재실행되고 있기 때문에

kubeadm 실행 전까지는 계속 service loaded가 출력된다.

즉, kubeadm init이 행해져야 kubelet 서비스 관련 파일이 populate될 수 있기 때문이다.

kubeadm 으로  master 및 worker 구성

kubeadm은 root 권한으로 실행되어야 한다.

@ Master Node

$ sudo kubeadm init --pod-network-cidr=10.224.0.0/16

--pod-network-cidr :  pod의 네트워크, 즉 컨테이너의 서브넷을 지정하는 옵션 (docker 설치 시 기본적으로 지정되는 서브넷은 172.17.0.0/16) 

[init] Using Kubernetes version: v1.20.4
[preflight] Running pre-flight checks
        [WARNING Firewalld]: firewalld is active, please ensure ports [6443 10250] are open or your cluster may not function correctly
        [WARNING IsDockerSystemdCheck]: detected "cgroupfs" as the Docker cgroup driver. The recommended driver is "systemd". Please follow the guide at https://kubernetes.io/docs/setup/cri/
        [WARNING SystemVerification]: this Docker version is not on the list of validated versions: 20.10.5. Latest validated version: 19.03
[preflight] Pulling images required for setting up a Kubernetes cluster
[preflight] This might take a minute or two, depending on the speed of your internet connection
[preflight] You can also perform this action in beforehand using 'kubeadm config images pull'
[certs] Using certificateDir folder "/etc/kubernetes/pki"
[certs] Generating "ca" certificate and key
[certs] Generating "apiserver" certificate and key
[certs] apiserver serving cert is signed for DNS names [control kubernetes kubernetes.default kubernetes.default.svc kubernetes.default.svc.cluster.local] and IPs [10.96.0.1 192.168.192.200]
[certs] Generating "apiserver-kubelet-client" certificate and key
[certs] Generating "front-proxy-ca" certificate and key
[certs] Generating "front-proxy-client" certificate and key
[certs] Generating "etcd/ca" certificate and key
[certs] Generating "etcd/server" certificate and key
[certs] etcd/server serving cert is signed for DNS names [control localhost] and IPs [192.168.192.200 127.0.0.1 ::1]
[certs] Generating "etcd/peer" certificate and key
[certs] etcd/peer serving cert is signed for DNS names [control localhost] and IPs [192.168.192.200 127.0.0.1 ::1]
[certs] Generating "etcd/healthcheck-client" certificate and key
[certs] Generating "apiserver-etcd-client" certificate and key
[certs] Generating "sa" key and public key
[kubeconfig] Using kubeconfig folder "/etc/kubernetes"
[kubeconfig] Writing "admin.conf" kubeconfig file
[kubeconfig] Writing "kubelet.conf" kubeconfig file
[kubeconfig] Writing "controller-manager.conf" kubeconfig file
[kubeconfig] Writing "scheduler.conf" kubeconfig file
[kubelet-start] Writing kubelet environment file with flags to file "/var/lib/kubelet/kubeadm-flags.env"
[kubelet-start] Writing kubelet configuration to file "/var/lib/kubelet/config.yaml"
[kubelet-start] Starting the kubelet
[control-plane] Using manifest folder "/etc/kubernetes/manifests"
[control-plane] Creating static Pod manifest for "kube-apiserver"
[control-plane] Creating static Pod manifest for "kube-controller-manager"
[control-plane] Creating static Pod manifest for "kube-scheduler"
[etcd] Creating static Pod manifest for local etcd in "/etc/kubernetes/manifests"
[wait-control-plane] Waiting for the kubelet to boot up the control plane as static Pods from directory "/etc/kubernetes/manifests". This can take up to 4m0s[kubelet-check] Initial timeout of 40s passed.
[apiclient] All control plane components are healthy after 64.004842 seconds
[upload-config] Storing the configuration used in ConfigMap "kubeadm-config" in the "kube-system" Namespace
[kubelet] Creating a ConfigMap "kubelet-config-1.20" in namespace kube-system with the configuration for the kubelets in the cluster
[upload-certs] Skipping phase. Please see --upload-certs
[mark-control-plane] Marking the node control as control-plane by adding the labels "node-role.kubernetes.io/master=''" and "node-role.kubernetes.io/control-plane='' (deprecated)"
[mark-control-plane] Marking the node control as control-plane by adding the taints [node-role.kubernetes.io/master:NoSchedule]
[bootstrap-token] Using token: pxh9uj.gr3wlmzqswixc04m
[bootstrap-token] Configuring bootstrap tokens, cluster-info ConfigMap, RBAC Roles
[bootstrap-token] configured RBAC rules to allow Node Bootstrap tokens to get nodes
[bootstrap-token] configured RBAC rules to allow Node Bootstrap tokens to post CSRs in order for nodes to get long term certificate credentials
[bootstrap-token] configured RBAC rules to allow the csrapprover controller automatically approve CSRs from a Node Bootstrap Token
[bootstrap-token] configured RBAC rules to allow certificate rotation for all node client certificates in the cluster
[bootstrap-token] Creating the "cluster-info" ConfigMap in the "kube-public" namespace
[kubelet-finalize] Updating "/etc/kubernetes/kubelet.conf" to point to a rotatable kubelet client certificate and key
[addons] Applied essential addon: CoreDNS
[addons] Applied essential addon: kube-proxy

💡 후속 지시 사항 확인

일반계정으로서 kubectl 명령어를 수행하기 위해서 홈 디렉토리 안에 conf 파일을 복사하여 소유권 설정하기 필요

해당 설정을 하지 않고 kubectl 을 사용하면 거부된다.

클러스터에 pod network 플러그인을 추가 해야 한다 : 다양한 오픈소스 플러그인이 있다.

해당 실습에서는 Calico를 설치하고자 한다.

$ kubectl create -f https://docs.projectcalico.org/manifests/tigera-operator.yaml

$ sudo yum -y install wget
$ wget https://docs.projectcalico.org/manifests/custom-resources.yaml


$ vi custom-resources.yaml

해당 yaml에서 pod-network-cidr 에 맞추어 수정 

# This section includes base Calico installation configuration.
# For more information, see: https://docs.projectcalico.org/v3.18/reference/installation/api#operator.tigera.io/v1.Installation
apiVersion: operator.tigera.io/v1
kind: Installation
metadata:
  name: default
spec:
  # Configures Calico networking.
  calicoNetwork:
    # Note: The ipPools section cannot be modified post-install.
    ipPools:
    - blockSize: 26
      cidr: 192.168.0.0/16 "해당부분 수정 필요"
      encapsulation: VXLANCrossSubnet
      natOutgoing: Enabled
      nodeSelector: all()
💡 이렇게 수정할거면 뭐하러 pod-network-cidr를 따로 옵션으로 지정을 했는지?
현재 가상서버 위에서 쿠버네티스를 돌리고 있는데, 가상서버의 서브넷과 pod의 서브넷이 일치하게 된다.
이렇게 일치하게 되면, pod 내에서 외부로 서비스를 제공하게 될 때 아웃바운드 관련 오류가 날 수 있기 때문에

Master 노드의 taint를 삭제하여 Master 위에 pod를 올릴 수 있게 설정한다. (조그만 클러스터를 꾸리고 있는 경우 추천)

$ kubectl taint nodes --all node-role.kubernetes.io/master-

@ Worker Node

$ sudo kubeadm join 192.168.192.200:6443 --token pxh9uj.gr3wlmzqswixc04m  --discovery-token-ca-cert-hash sha256:50c4ec1a3297c25a34c7d19765fc57c199e3b6406b5e6fde0a331c9e24c43a7f 
[kube@node1 ~]$ sudo kubeadm join 192.168.192.200:6443 --token pxh9uj.gr3wlmzqswixc04m     --discovery-token-ca-cert-hash sha256:50c4ec1a3297c25a34c7d19765fc57c199e3b6406b5e6fde0a331c9e24c43a7f
[preflight] Running pre-flight checks
        [WARNING IsDockerSystemdCheck]: detected "cgroupfs" as the Docker cgroup driver. The recommended driver is "systemd". Please follow the guide at https://kubernetes.io/docs/setup/cri/
        [WARNING SystemVerification]: this Docker version is not on the list of validated versions: 20.10.5. Latest validated version: 19.03
        [WARNING Service-Kubelet]: kubelet service is not enabled, please run 'systemctl enable kubelet.service'
[preflight] Reading configuration from the cluster...
[preflight] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -o yaml'
[kubelet-start] Writing kubelet configuration to file "/var/lib/kubelet/config.yaml"
[kubelet-start] Writing kubelet environment file with flags to file "/var/lib/kubelet/kubeadm-flags.env"
[kubelet-start] Starting the kubelet
[kubelet-start] Waiting for the kubelet to perform the TLS Bootstrap...
This node has joined the cluster:
* Certificate signing request was sent to apiserver and a response was received.
* The Kubelet was informed of the new secure connection details.
Run 'kubectl get nodes' on the control-plane to see this node join the cluster.

조금 시간이 지난 뒤, get nodes를 하면 READY 상태를 확인할 수 있다.

kubeadm init

This command initializes a Kubernetes control-plane node. Synopsis Run this command in order to set up the Kubernetes control plane The "init" command executes the following phases: preflight Run pre-flight checks certs Certificate generation /ca Generate

kubernetes.io

kubectl 치트 시트

이 페이지는 일반적으로 사용하는 kubectl 커맨드와 플래그에 대한 목록을 포함한다. Kubectl 자동 완성 BASH source <(kubectl completion bash) # bash-completion 패키지를 먼저 설치한 후, bash의 자동 완성을 현재

kubernetes.io

docs.projectcalico.org/getting-started/kubernetes/quickstart

Quickstart for Calico on Kubernetes

Install Calico on a single-host Kubernetes cluster for testing or development in under 15 minutes.

docs.projectcalico.org

cgroup driver 설정

kubelet 서비스 config 파일에 " --cgroup-driver=cgroupfs "옵션 추가

Environment="KUBELET_CONFIG_ARGS=--config=/var/lib/kubelet/config.yaml --cgroup-driver=cgroupfs"

현재, --cgroup-driver 옵션은 비추, 관련 환경변수 파일이나 설정 파일(var/lib/kubelet/kubeadm-flags.env or /etc/default/kubelet(/etc/sysconfig/kubelet) 은 삭제하고 KubeletConfiguration 야믈 파일을 활용하자

cgroup 관련 설정?  왜 필요?

도커를 사용할 때, kubeadm 은 자동으로 kubelet을 위한 cgoup driver을 감지하고
이를 runtime 동안 /var/lib/kubelet/config.yaml 파일에 set한다.

만약에  다른 CRI를 사용한다면 cgroupDriver 값을 kubeadm init에 넘겨주어야 한다

 
推荐文章
自信的槟榔  ·  Kubernetes(k8s)中文文档名词解释Pods_Kubernetes中文社区
1 月前
自信的槟榔  ·  Kubernetes(k8s)中文文档名词解释:ReplicaSets_Kubernetes ...
1 月前
自信的槟榔  ·  Kubernetes(k8s)中文文档名词解释:Node_Kubernetes中文社区
1 月前
Link管理   ·   51好读   ·   Sov5搜索   ·   小百科
小百科 - 百科知识指南