本文会告诉您如何安装 kubeadm
工具。
完成本文提到的安装步骤后,您可以阅读使用 kubeadm 来创建集群,
了解如何使用 kubeadm 来创建集群。
ip link
或 ifconfig -a
来获取网络接口的 MAC 地址sudo cat /sys/class/dmi/id/product_uuid
一般来讲,硬件设备会拥有独一无二的地址,但是有些虚拟机可能会雷同。Kubernetes 使用这些值来唯一确定集群中的节点。 如果这些值在集群中不唯一,可能会导致安装失败。
如果您有一个以上的网络适配器,同时您的 Kubernetes 组件通过默认路由不可达,我们建议您预先添加 IP 路由规则,这样 Kubernetes 集群就可以通过对应的适配器完成连接。
规则 | 方向 | 端口范围 | 作用 | 使用者 |
---|---|---|---|---|
TCP | Inbound | 6443* | Kubernetes API server | All |
TCP | Inbound | 2379-2380 | etcd server client API | kube-apiserver, etcd |
TCP | Inbound | 10250 | Kubelet API | Self, Control plane |
TCP | Inbound | 10251 | kube-scheduler | Self |
TCP | Inbound | 10252 | kube-controller-manager | Self |
规则 | 方向 | 端口范围 | 作用 | 使用者 |
---|---|---|---|---|
TCP | Inbound | 10250 | Kubelet API | Self, Control plane |
TCP | Inbound | 30000-32767 | NodePort Services** | All |
** NodePort 服务的默认端口范围。
使用 * 标记的任意端口号都有可能被覆盖,所以您需要保证所提供的自定义端口的是开放的。
虽然 master 节点已经包含了 etcd 的端口,您也可以使用自定义的外部 etcd 集群,或是指定自定义端口。
您使用的 pod 网络插件 (见下) 也可能需要某些特定端口开启。由于各个 pod 网络插件都有所不同,请参阅他们各自文档中对端口的要求。
从 v1.6.0 起,Kubernetes 开始默认允许使用 CRI(容器运行时接口)。
默认的容器运行时是 Docker,这是由 kubelet
内置的 CRI 实现 dockershim
开启的。
其他的容器运行时有:
参考 CRI 安装指南获取更多信息。
您需要在每台机器上安装以下的软件包:
kubeadm
:用来初始化集群的指令。
kubelet
:在集群中的每个节点上用来启动 pod 和容器等。
kubectl
:用来与集群通信的命令行工具。
kubeadm 不能帮您安装或管理 kubelet
或 kubectl
,所以您得保证它们满足通过 kubeadm 安装的 Kubernetes 控制面对版本的要求。
如果版本没有满足要求,就有可能导致一些难以想到的错误或问题。
控制面与 kubelet 间的_小版本号_不一致无伤大雅,不过请记住 kubelet 的版本不可以超过 API 服务器的版本。
例如 1.7.0 版本的 kubelet 可以兼容 1.8.0 版本的 API 服务器,反之则不可以。
Warning: 这些指南不包括系统升级时使用的所有 Kubernetes 程序包。这是因为 kubeadm 和 Kubernetes 需要特殊的升级注意事项。
更多关于版本冲突的信息,请参阅版本冲突政策。
apt-get update && apt-get install -y apt-transport-https curl
curl -s https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key add -
cat <<EOF >/etc/apt/sources.list.d/kubernetes.list
deb https://apt.kubernetes.io/ kubernetes-xenial main
EOF
apt-get update
apt-get install -y kubelet kubeadm kubectl
apt-mark hold kubelet kubeadm kubectl
cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
exclude=kube*
EOF
# 将 SELinux 设置为 permissive 模式(将其禁用)
setenforce 0
sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config
yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes
systemctl enable kubelet && systemctl start kubelet
请注意:
- 通过命令 setenforce 0
和 sed ...
可以将 SELinux 设置为 permissive 模式(将其禁用)。
只有执行这一操作之后,容器才能访问宿主的文件系统,进而能够正常使用 pod 网络。您必须这么做,直到 kubelet 做出升级支持 SELinux 为止。
- 一些 RHEL/CentOS 7 的用户曾经遇到过:由于 iptables 被绕过导致网络请求被错误的路由。您得保证
在您的 sysctl
配置中 net.bridge.bridge-nf-call-iptables
被设为1。
```bash
cat <<EOF > /etc/sysctl.d/k8s.conf
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sysctl --system
```
安装 CNI 插件(大多数 pod 网络都需要):
CNI_VERSION="v0.6.0"
mkdir -p /opt/cni/bin
curl -L "https://github.com/containernetworking/plugins/releases/download/${CNI_VERSION}/cni-plugins-amd64-${CNI_VERSION}.tgz" | tar -C /opt/cni/bin -xz
安装 crictl (kubeadm/Kubelet 的容器运行时接口 (CRI) 要求)
CRICTL_VERSION="v1.11.1"
mkdir -p /opt/bin
curl -L "https://github.com/kubernetes-incubator/cri-tools/releases/download/${CRICTL_VERSION}/crictl-${CRICTL_VERSION}-linux-amd64.tar.gz" | tar -C /opt/bin -xz
安装 kubeadm
、kubelet
和 kubectl
并且添加一个 kubelet
systemd 服务:
RELEASE="$(curl -sSL https://dl.k8s.io/release/stable.txt)"
mkdir -p /opt/bin
cd /opt/bin
curl -L --remote-name-all https://storage.googleapis.com/kubernetes-release/release/${RELEASE}/bin/linux/amd64/{kubeadm,kubelet,kubectl}
chmod +x {kubeadm,kubelet,kubectl}
curl -sSL "https://raw.githubusercontent.com/kubernetes/kubernetes/${RELEASE}/build/debs/kubelet.service" | sed "s:/usr/bin:/opt/bin:g" > /etc/systemd/system/kubelet.service
mkdir -p /etc/systemd/system/kubelet.service.d
curl -sSL "https://raw.githubusercontent.com/kubernetes/kubernetes/${RELEASE}/build/debs/10-kubeadm.conf" | sed "s:/usr/bin:/opt/bin:g" > /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
启用并启动 kubelet
:
systemctl enable kubelet && systemctl start kubelet
kubelet 现在每隔几秒就会重启,因为它陷入了一个等待 kubeadm 指令的死循环。
使用 Docker 时,kubeadm 会自动为其检测 cgroup 驱动并在运行时对 /var/lib/kubelet/kubeadm-flags.env
文件进行配置。
如果您使用了不同的 CRI, 您得把 /etc/default/kubelet
文件中的 cgroup-driver
位置改为对应的值,像这样:
KUBELET_EXTRA_ARGS=--cgroup-driver=<value>
这个文件将会被 kubeadm init
和 kubeadm join
用于为 kubelet 获取额外的用户参数。
请注意,您只需要在您的 cgroup 驱动程序不是 cgroupfs
时这么做,因为 cgroupfs
是 kubelet 的默认值。
需要重启 kubelet:
systemctl daemon-reload
systemctl restart kubelet
如果您在使用 kubeadm 时候遇到问题,请查看我们的疑难解答文档。
此页是否对您有帮助?
Thanks for the feedback. If you have a specific, answerable question about how to use Kubernetes, ask it on Stack Overflow. Open an issue in the GitHub repo if you want to report a problem or suggest an improvement.