薅了幾個雲廠商的羊毛後，我該如何利用它們來組建 k3s 集羣？

最近一兩年各大雲服務商都出了各種福利活動，很多小夥伴薅了一波又一波羊毛，比如騰訊雲 1C2G 95/年 真香系列，華爲雲和阿里雲也都有類似的活動，薅個兩三臺就能搭建一個 Kubernetes 集羣。但是跨雲服務商搭建 Kubernetes 集羣並不像我們想象中的那麼容易，首先就是原生的 Kubernetes 組件本身對資源的消耗量很大，而云服務器的資源非常有限，經不起這麼大傢伙的折騰，對此我們可以選擇使用輕量級 Kubernetes 發行版：k3s。

k3s 將安裝 Kubernetes 所需的一切打包進僅有 60MB 大小的二進制文件中，並且完全實現了 Kubernetes API。爲了減少運行 Kubernetes 所需的內存，k3s 刪除了很多不必要的驅動程序，並用附加組件對其進行替換。由於它只需要極低的資源就可以運行，因此它能夠在任何 512MB 內存以上的設備上運行集羣。

其實 k3s 的安裝非常簡單，分分鐘就能搞定，但對於公有云來說，還是有很多坑的，比如內網不通、公網 IP 不在服務器上該咋辦？本文就爲你一一解決這些難題，讓天下的雲羊毛都成爲 k3s 的後宮！

1. 下載二進制文件

首先來解決第一個難題：k3s 二進制文件的下載。國內下載 GitHub 速度基本都是以幾個 kb 爲單位，不忍直視，如果下載內容都是代碼，有很多辦法可以解決，比如通過碼雲中轉啊、直接通過 CDN 下載啊，什麼？你不知道可以通過 CDN 下載？好吧沒關係，現在我告訴你了：https://cdn.con.sh/^[1]。

但是上面的 CDN 並不能下載 release 裏的內容，要想下載 release 裏的內容，可以使用這個網站：https://toolwa.com/github/^[2]。打開網站，輸入 release 裏面的文件下載鏈接，點擊起飛即可加速下載。

當然，如果你會魔法上網的話，上面的所有花裏胡哨的方法都可以無視，直接下載就好啦（本文選擇使用版本 v1.17.6+k3s1）：

$ wget https://github.com/rancher/k3s/releases/download/v1.17.6+k3s1/k3s -O /usr/local/bin/k3s
$ chmod +x /usr/local/bin/k3s

需要在所有節點中下載上述二進制文件。

2. 升級內核

k3s 的默認網絡插件是 flannel，默認模式是 vxlan 模式，建議使用 wireguard 模式，原因不解釋了，不知道 wireguard 是啥的自己去搜一下。

wireguard 對內核的要求比較高，而 CentOS 7.x 的默認內核是不滿足要求的，需要升級內核（如果你的操作系統是 CentOS 7.x 的話）。步驟如下：

① 載入公鑰

$ rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

② 升級安裝 elrepo

$ rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm

③ 載入 elrepo-kernel 元數據

$ yum --disablerepo=\* --enablerepo=elrepo-kernel repolist

④ 安裝最新版本的內核

$ yum --disablerepo=\* --enablerepo=elrepo-kernel install  kernel-ml.x86_64  -y

⑤ 刪除舊版本工具包

$ yum remove kernel-tools-libs.x86_64 kernel-tools.x86_64  -y

⑥ 安裝新版本工具包

$ yum --disablerepo=\* --enablerepo=elrepo-kernel install kernel-ml-tools kernel-ml-devel kernel-ml-headers -y

⑦ 查看內核插入順序

$ grep "^menuentry" /boot/grub2/grub.cfg | cut -d "'" -f2

CentOS Linux (3.10.0-1127.10.1.el7.x86_64) 7 (Core)
CentOS Linux (5.7.2-1.el7.elrepo.x86_64) 7 (Core)
CentOS Linux (0-rescue-96820b9851c24560b5f942f2496b9aeb) 7 (Core)

默認新內核是從頭插入，默認啓動順序也是從 0 開始。

⑧ 查看當前實際啓動順序

$ grub2-editenv list

saved_entry=CentOS Linux (3.10.0-1127.10.1.el7.x86_64) 7 (Core)

⑨ 設置默認啓動

$ grub2-set-default 'CentOS Linux (5.7.2-1.el7.elrepo.x86_64) 7 (Core)'

最後重啓檢查：

$ reboot
$ uname -r

注意：集羣中的所有節點都需要升級內核。

3. 安裝 wireguard

內核升級了之後，就可以安裝 wireguard 了，也很簡單，步驟如下：

$ yum install epel-release https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm
$ yum install yum-plugin-elrepo
$ yum install kmod-wireguard wireguard-tools

注意：集羣中的所有節點都需要安裝。

4. 部署控制平面

下面就可以在控制節點上啓動控制平面的組件了，這裏我們選擇手動部署，這樣比較方便修改參數。先創建一個 Service Unit 文件：

$ cat > /etc/systemd/system/k3s.service <<EOF
[Unit]
Description=Lightweight Kubernetes
Documentation=https://k3s.io
Wants=network-online.target

[Install]
WantedBy=multi-user.target

[Service]
Type=notify
EnvironmentFile=/etc/systemd/system/k3s.service.env
KillMode=process
Delegate=yes
# Having non-zero Limit*s causes performance problems due to accounting overhead
# in the kernel. We recommend using cgroups to do container-local accounting.
LimitNOFILE=1048576
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity
TimeoutStartSec=0
Restart=always
RestartSec=5s
ExecStartPre=-/sbin/modprobe br_netfilter
ExecStartPre=-/sbin/modprobe overlay
ExecStart=/usr/local/bin/k3s \
    server \
    --tls-san <public_ip> \
    --node-ip <public_ip> \
    --node-external-ip <public_ip> \
    --no-deploy servicelb \
    --flannel-backend wireguard \
    --kube-proxy-arg "proxy-mode=ipvs" "masquerade-all=true" \
    --kube-proxy-arg "metrics-bind-address=0.0.0.0"
EOF

• 將 <public_ip> 替換成控制節點的公網 IP。

• flannel 使用 wireguard 協議來跨主機通信。

• kube-proxy 使用 ipvs 模式。

啓動 k3s 控制平面並設置開機自啓：

$ systemctl enable k3s --now

查看集羣組件健康狀況：

$ kubectl get cs

NAME                 STATUS    MESSAGE   ERROR
scheduler            Healthy   ok
controller-manager   Healthy   ok

這裏的輸出沒有 etcd，因爲 k3s 的默認數據存儲是 Sqlite，對於小型數據庫十分友好。Kubernetes 控制平面中發生的更改更多是與頻繁更新部署、調度 Pod 等有關，因此對於幾個節點的小型集羣而言，數據庫不會造成太大負載，能省下不少資源，真香！

5. 加入計算節點

部署好控制平面之後，就可以加入計算節點了。首先在計算節點上創建 Service Unit 文件：

$ cat > /etc/systemd/system/k3s-agent.service <<EOF
[Unit]
Description=Lightweight Kubernetes
Documentation=https://k3s.io
Wants=network-online.target

[Install]
WantedBy=multi-user.target

[Service]
Type=exec
EnvironmentFile=/etc/systemd/system/k3s-agent.service.env
KillMode=process
Delegate=yes
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity
TimeoutStartSec=0
Restart=always
RestartSec=5s
ExecStartPre=-/sbin/modprobe br_netfilter
ExecStartPre=-/sbin/modprobe overlay
ExecStart=/usr/local/bin/k3s agent \
    --node-external-ip <public_ip> \
    --node-ip <public_ip> \
    --kube-proxy-arg "proxy-mode=ipvs" "masquerade-all=true" \
    --kube-proxy-arg "metrics-bind-address=0.0.0.0"
EOF

環境變量文件 /etc/systemd/system/k3s-agent.service.env 中需要加入兩個環境變量：

• K3S_URL : API Server 的 URL，一般格式爲：https://<master_ip>:6443。其中 <master_ip> 是控制節點的公網 IP。

• K3S_TOKEN : 加入集羣所需的 token，可以在控制節點上查看 /var/lib/rancher/k3s/server/node-token 文件。

/etc/systemd/system/k3s-agent.service.env 內容如下：

K3S_URL=https://<master_ip>:6443
K3S_TOKEN=xxxxxxxx

啓動 k3s-agent 並設置開啓自啓：

$ systemctl enable k3s-agent --now

查看節點狀態：

$ kubectl get node

NAME         STATUS   ROLES    AGE     VERSION
blog-k3s01   Ready    master   3d6h    v1.17.6+k3s1
blog-k3s02   Ready    <none>   3d3h    v1.17.6+k3s1

6. 內網不互通的解決辦法

這裏會遇到一個問題，不同節點的 flannel 使用的是內網 IP 來進行通信，而我們的雲服務器是內網不互通的，而且公網 IP 也不在服務器上。可以看一下 node 的 annotations：

$ kubectl get node blog-k3s02 -o yaml

apiVersion: v1
kind: Node
metadata:
  annotations:
    flannel.alpha.coreos.com/backend-data: '"xxxxx"'
    flannel.alpha.coreos.com/backend-type: extension
    flannel.alpha.coreos.com/kube-subnet-manager: "true"
    flannel.alpha.coreos.com/public-ip: 192.168.0.11
    ...

可以看到 flannel 給節點打的註解中的節點 IP 是內網 IP。要想讓 flannel 使用公網 IP 進行通信，需要額外添加一個註解 public-ip-overwrite，然後 flannel 會基於這個 IP 配置網絡。按照官方文檔的說法，如果你的 node 設置了 ExternalIP，flannel 會自動給 node 添加一個註解  public-ip-overwrite，但我不知道該如何給 node 設置 ExternalIP，乾脆就直接手動加註解吧：

$ kubectl annotate nodes <master> flannel.alpha.coreos.com/public-ip-overwrite=<master_pub_ip>
$ kubectl annotate nodes <node> flannel.alpha.coreos.com/public-ip-overwrite=<node_pub_ip>

加了註解之後，flannel 的 public-ip 就會被修改爲公網 IP。然後在各個節點上重啓各自的 k3s 服務，查看 wireguard 連接狀況：

$ wg show flannel.1

interface: flannel.1
  public key: ONDgJCwxxxxxxxJvdWpoOKTxQA=
  private key: (hidden)
  listening port: 51820
  
peer: MKKaanTxxxxxxxV8VpcHq4CSRISshw=
  endpoint: <pub_ip>:51820
  allowed ips: 10.42.4.0/24
  latest handshake: 26 seconds ago
  transfer: 133.17 KiB received, 387.44 KiB sent
  persistent keepalive: every 25 seconds

可以看到通信端點被改成了公網 IP，大功告成！

7. metrics-server 問題解決

還有一個問題就是 metrics-server 無法獲取 cpu、內存等利用率核心指標。需要修改 metrics-server 的 manifests，使用以下命令在線編輯 metrics-server 的 manifests：

$ kubectl -n kube-system edit deploy metrics-server

然後加入以下執行參數後保存退出：

      -command:
        - /metrics-server
        - --kubelet-preferred-address-types=ExternalIP
        - --kubelet-insecure-tls

這樣就可以讓 metrics-server 使用公網 IP 來和 node 通信了。修改成功後就可以看到核心指標了：

$ kubectl top nodes
NAME         CPU(cores)   CPU%   MEMORY(bytes)   MEMORY%
blog-k3s01   193m         9%     886Mi           22%
blog-k3s02   41m          2%     1292Mi          32%

$ kubectl top pod -n kube-system
NAME                                      CPU(cores)   MEMORY(bytes)
coredns-848b6cc76f-zq576                  8m           14Mi
local-path-provisioner-58fb86bdfd-bzdfl   2m           9Mi
metrics-server-bdfc79c97-djmzk            1m           12Mi

到這裏跨雲服務商部署 k3s 基本上就大功告成了，下一篇文章將會教你如何打通家裏到雲上 k3s 的網絡，讓你家中所有設備都可以直接訪問 Pod IP、svc IP，甚至可以直接訪問 svc 域名，敬請期待。

腳註

[1]

https://cdn.con.sh/: https://cdn.con.sh/

[2]

https://toolwa.com/github/: https://toolwa.com/github/

你可能還喜歡

點擊下方圖片即可閱讀

面試官邪魅一笑：你猜一個 TCP 重置報文的序列號是多少？

雲原生是一種信仰 ????

掃碼關注公衆號

後臺回覆◉k8s◉獲取史上最方便快捷的 Kubernetes 高可用部署工具，只需一條命令，連 ssh 都不需要！

點擊 "閱讀原文" 獲取更好的閱讀體驗！

❤️給個「在看」，是對我最大的支持❤️