Kubernetes安裝之六:配置master之api-server
1.生成api-server證書
包含3個master的ip及vip(若是還有多個vip,尤爲是內外網的那種,都添加進去)node
cat > /etc/ssl/apiserver/kubernetes-csr.json <<EOF
{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"192.168.1.40",
"192.168.1.41",
"192.168.1.42",
"192.168.1.43",
"10.254.0.1",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "ChengDu",
"L": "ChengDu",
"O": "k8s",
"OU": "dessler"
}
]
}
EOF
複製代碼
- 說明:
- hosts 字段指定受權使用該證書的IP 或域名列表,這裏列出了 VIP 、apiserver 節點 IP、kubernetes 服務 IP 和域名
- 域名最後字符不能是.(如不能爲default.svc.cluster.local.),不然解析時失敗,提示: x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."
- 若是使用非local 域名,如opsnull.com,則須要修改域名列表中的最後兩個域名爲:kubernetes.default.svc.opsnull、kubernetes.default.svc.opsnull.com
- kubernetes 服務 IP 是 apiserver 自動建立的,通常是--service-cluster-ip-range 參數指定的網段的第一個IP,後續能夠經過以下命令獲取:kubectl get svc kubernetes
2.分發證書和api-server的二進制文件到各個master節點
3.建立密鑰key
備用git
head -c 32 /dev/urandom | base64
7SYVGPUjN+hw2fxa6I3+vfy5wPK+0uRgqo0b9Lyp8To=
複製代碼
4.建立加密配置文件
使用剛纔的密匙github
mkdir -p /opt/kubernetes/cfg/
cat > /opt/kubernetes/cfg/encryption-config.yaml <<EOF
kind: EncryptionConfig
apiVersion: v1
resources:
- resources:
- secrets
providers:
- aescbc:
keys:
- name: key1
secret: 7SYVGPUjN+hw2fxa6I3+vfy5wPK+0uRgqo0b9Lyp8To=
- identity: {}
EOF
複製代碼
5.建立k8s程序log目錄
mkdir -p /var/log/kubernetes
複製代碼
6.配置master的服務
注意修改裏面的ip地址(不一樣的master須要修改)json
由於就一個ip地址修改,因此這裏就沒有分紅3個了配置,就一個配置,大家本身修改下里面的ip地址便可bootstrap
cat > /usr/lib/systemd/system/kube-apiserver.service <<EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target
[Service]
ExecStart=/usr/bin/kube-apiserver \\
--enable-admission-plugins=Initializers,NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \\
--anonymous-auth=false \\
--experimental-encryption-provider-config=/opt/kubernetes/cfg/encryption-config.yaml \\
--advertise-address=192.168.1.40 \\
--bind-address=192.168.1.40 \\
--insecure-port=0 \\
--authorization-mode=Node,RBAC \\
--runtime-config=api/all \\
--enable-bootstrap-token-auth \\
--service-cluster-ip-range=10.254.0.0/16 \\
--tls-cert-file=/etc/ssl/apiserver/kubernetes.pem \\
--tls-private-key-file=/etc/ssl/apiserver/kubernetes-key.pem \\
--client-ca-file=/etc/ssl/ca.pem \\
--kubelet-client-certificate=/etc/ssl/apiserver/kubernetes.pem \\
--kubelet-client-key=/etc/ssl/apiserver/kubernetes-key.pem \\
--service-account-key-file=/etc/ssl/ca-key.pem \\
--etcd-cafile=/etc/ssl/ca.pem \\
--etcd-certfile=/etc/ssl/apiserver/kubernetes.pem \\
--etcd-keyfile=/etc/ssl/apiserver/kubernetes-key.pem \\
--etcd-servers=https://192.168.1.40:2379,https://192.168.1.41:2379,https://192.168.1.42:2379 \\
--enable-swagger-ui=true \\
--allow-privileged=true \\
--apiserver-count=2 \\
--audit-log-maxage=30 \\
--audit-log-maxbackup=3 \\
--audit-log-maxsize=100 \\
--audit-log-path=/var/log/kubernetes/kube-apiserver-audit.log \\
--event-ttl=1h \\
--alsologtostderr=true \\
--logtostderr=false \\
--log-dir=/var/log/kubernetes \\
--v=2
Restart=on-failure
RestartSec=5
Type=notify
#User=k8s
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
EOF
複製代碼
- 說明:
- --experimental-encryption-provider-config:啓用加密特性
- --authorization-mode=Node,RBAC: 開啓 Node 和 RBAC 受權模式,拒絕未受權的請求
- --enable-admission-plugins:啓用ServiceAccount 和 NodeRestriction
- --service-account-key-file:簽名 ServiceAccount Token 的公鑰文件,kube-controller-manager 的--service-account-private-key-file 指定私鑰文件,二者配對使用
- --tls-*-file:指定 apiserver 使用的證書、私鑰和 CA 文件。--client-ca-file 用於驗證 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)請求所帶的證書
- --kubelet-client-certificate、--kubelet-client-key:若是指定,則使用 https 訪問 kubelet APIs;須要爲證書對應的用戶(上面 kubernetes*.pem 證書的用戶爲 kubernetes) 用戶定義 RBAC 規則,不然訪問 kubelet API 時提示未受權
- --bind-address: 不能爲0.0.1,不然外界不能訪問它的安全端口 6443
- --insecure-port=0:關閉監聽非安全端口(8080)
- --service-cluster-ip-range: 指定 Service Cluster IP 地址段
- --service-node-port-range: 指定 NodePort 的端口範圍
- --runtime-config=api/all=true: 啓用全部版本的 APIs,如 autoscaling/v2alpha1
- --enable-bootstrap-token-auth:啓用 kubelet bootstrap 的 token 認證
- --apiserver-count=3:指定集羣運行模式,多臺 kube-apiserver 會經過 leader 選舉產生一個工做節點,其它節點處於阻塞狀態
- User=k8s:使用 k8s 帳戶運行
7.授予 kubernetes 證書訪問 kubelet API 的權限
kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes複製代碼
8.啓動服務api
systemctl daemon-reload
systemctl start kube-apiserver
systemctl enable kube-apiserver
systemctl status kube-apiserver
複製代碼
8.檢查apiserver狀態
kubectl cluster-info
Kubernetes master is running at https://192.168.1.43:8443
To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.複製代碼
master的組件完成安全
相關文章
- 1. Kubernetes安裝之八:配置master之scheduler
- 2. Kubernetes安裝之七:配置master之controller-manager
- 3. Kubernetes 源碼分析之 Apiserver
- 4. kubernetes之kube-ui安裝配置
- 5. kubernetes之二–kubernetes master nodes
- 6. k8s安裝之Master
- 7. kubernetes代碼閱讀-apiserver之list-watch篇
- 8. Kubernetes源碼分析之kube-apiserver
- 9. kubernetes之kube-ApiServer代碼分析
- 10. Kubernetes代碼解讀-apiserver之list-watch
- 更多相關文章...
- • Git 安裝配置 - Git 教程
- • MySQL免安裝版配置教程 - MySQL教程
- • Composer 安裝與使用
- • IntelliJ IDEA安裝代碼格式化插件
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. Kubernetes安裝之八:配置master之scheduler
- 2. Kubernetes安裝之七:配置master之controller-manager
- 3. Kubernetes 源碼分析之 Apiserver
- 4. kubernetes之kube-ui安裝配置
- 5. kubernetes之二–kubernetes master nodes
- 6. k8s安裝之Master
- 7. kubernetes代碼閱讀-apiserver之list-watch篇
- 8. Kubernetes源碼分析之kube-apiserver
- 9. kubernetes之kube-ApiServer代碼分析
- 10. Kubernetes代碼解讀-apiserver之list-watch