《kubernetes權威指南·第四版》第二章:kubernetes安裝配置指南
- Kubernetes需要容器運行時(Container Runtime Interface, CRI)的支持,目前官方支持的cri包含:docker、containerd、cri-o和frakti。
- 禁用selinux
- 需要在主機上禁用selinux,讓容器可以讀取主機文件系統
- 修改系統文件/etc/sysconfig/selinux, 將selinux=enforcing修改成disabled,一定要重啓
- kubeadm命令行工具
- 致力於簡化集羣的安裝過程
- kubeadm已經進入GA階段(General Availability),參考https://blog.csdn.net/weixin_45534422/article/details/100108821
- kubeadm config view:查看當前集羣中的配置值
- kubeadm config images list:列出所需的鏡像列表
- kubeadm安裝部設計網絡插件CNI初始化,所以需要另外安裝網絡插件比如Calica插件,Calico插件需要指定–pod-network-cidr=x.x.x.x/16
- kubeadm在master上安裝了kubelet,在默認情況下不參與工作負載(worker節點)
- 安裝失敗,kubeadm reset將主機恢復原狀
- k8s節點的進程
- 在Kubernetes的Master上需要部署etcd、kubeapiserver、kubecontrollermanager、kubescheduler服務進程,在工作Node上需要部署docker、kubelet和kubeproxy服務進程。
- WorkingDirectory(/var/lib/etcd/)表示etcd數據保存的目錄,需要在啓動etcd服務之前創建。
- kubeproxy服務依賴於network服務,設置systemd服務配置文件/usr/lib/systemd/system/kubeproxy.service。【發現worker節點上沒有運行kube-proxy。查了下原來可以在終端上啓動 kube-proxy ,也可以使用諸如 systemd 這樣的工具來將它運行成一個service。ps -xxx | grep kube-proxy】
- kubectl命令行工具比較特殊,它同時支持CA雙向認證和簡單認證兩種模式與APIServer通信,其他客戶端組件只能配置爲雙向安全認證或非安全模式與APIServer通信。
- 集羣升級
- 應對集羣中的各Node逐個進行隔離,然後等待在其上運行的容器全部執行完成,再更新該Node上的kubelet和kubeproxy服務,將全部Node都更新完成後,再更新Master的服務。
- Pod管理
- 在啓動Pod之前,kubelet調用RuntimeService.RunPodSandbox來創建環境。這一過程包括爲Pod設置網絡資源(分配IP等操作)。PodSandbox被激活之後,就可以獨立地創建、啓動、停止和刪除不同的容器了。kubelet會在停止和刪除PodSandbox之前首先停止和刪除其中的容器。