K8s——master擴容

語言: CN / TW / HK
時間 2023-02-10 02:01:13
主題:

一、Master高可用架構

Kubernetes作為容器集群系統,通過健康檢查+重啟策略實現了Pod故障自我修復能力,通過排程演算法實現將Pod分散式部署,並保持預期副本數,根據Node失效狀態自動在其他Node拉起Pod,實現了應用層的高可用性。

針對Kubernetes叢集,高可用性還應包含以下兩個層面的考慮:Etcd資料庫的高可用性和Kubernetes Master元件的高可用性。 而Etcd我們已經採用3個節點組建叢集實現高可用,本節將對Master節點高可用進行說明和實施。

Master節點扮演著總控中心的角色,通過不斷與工作節點上的Kubelet和kube-proxy進行通訊來維護整個叢集的健康工作狀態。如果Master節點故障,將無法使用kubectl工具或者API做任何叢集管理。

Master節點主要有三個服務kube-apiserver、kube-controller-manager和kube-scheduler,其中kube-controller-manager和kube-scheduler元件自身通過選擇機制已經實現了高可用,所以Master高可用主要針對kube-apiserver元件,而該元件是以HTTP API提供服務,因此對他高可用與Web伺服器類似,增加負載均衡器對其負載均衡即可,並且可水平擴容。

多Master架構圖:

二、部署Master2 Node

現在需要再增加一臺新伺服器,作為Master2 Node,IP是192.168.2.117。

Master2 與已部署的Master1所有操作一致。所以我們只需將Master1所有K8s檔案拷貝過來,再修改下伺服器IP和主機名啟動即可。

 

2.1安裝 docker

## docker 安裝執行指令碼拉取
curl -fsSL http://get.docker.com -o get-docker.sh
 
## 執行拉取的指令碼
sh get-docker.sh
 
# 在Master2啟動Docker
systemctl daemon-reload
systemctl start docker
systemctl enable docker

2.2建立etcd證書目錄

在Master2建立etcd證書目錄:

mkdir -p /opt/etcd/ssl

2.3拷貝檔案(Master1操作)

拷貝Master1(119)上所有K8s檔案和etcd證書到Master2(117):

scp -r /opt/kubernetes [email protected]:/opt scp -r /opt/etcd/ssl [email protected]:/opt/etcd scp /usr/lib/systemd/system/kube* [email protected]:/usr/lib/systemd/system scp /usr/bin/kubectl  [email protected]:/usr/bin scp -r ~/.kube [email protected]:~

2.4刪除證書檔案

刪除kubelet證書和kubeconfig檔案

rm -f /opt/kubernetes/cfg/kubelet.kubeconfig 
rm -f /opt/kubernetes/ssl/kubelet*

2.5修改配置檔案IP和主機名

修改apiserver、kubelet和kube-proxy配置檔案為本地IP

vi /opt/kubernetes/cfg/kube-apiserver.conf 
...
--bind-address=192.168.2.117 \
--advertise-address=192.168.2.117 \
...
 
vi /opt/kubernetes/cfg/kube-controller-manager.kubeconfig
server: http://192.168.2.117:6443
 
vi /opt/kubernetes/cfg/kube-scheduler.kubeconfig
server: http://192.168.2.117:6443
 
vi /opt/kubernetes/cfg/kubelet.conf
--hostname-override=k8s-master2
 
vi /opt/kubernetes/cfg/kube-proxy-config.yml
hostnameOverride: k8s-master2
 
vi ~/.kube/config
server: http://192.168.2.117:6443

2.6設定開機啟動

systemctl daemon-reload
systemctl start kube-apiserver kube-controller-manager kube-scheduler kubelet kube-proxy
systemctl enable kube-apiserver kube-controller-manager kube-scheduler kubelet kube-proxy

2.7批准kubelet證書申請

[root@k8s-master2 ~]# kubectl get csr
NAME                                                   AGE   SIGNERNAME                                    REQUESTOR           REQUESTEDDURATION   CONDITION
node-csr-ajsCPL5d09p3IKQ_rwELNHhjXBhQLHzys4BWK5AAT1A   80s   kubernetes.io/kube-apiserver-client-kubelet   kubelet-bootstrap   <none>              Pending
[root@k8s-master2 ~]# 
[root@k8s-master2 ~]# 
[root@k8s-master2 ~]# 
[root@k8s-master2 ~]# kubectl certificate approve node-csr-ajsCPL5d09p3IKQ_rwELNHhjXBhQLHzys4BWK5AAT1A 
certificatesigningrequest.certificates.k8s.io/node-csr-ajsCPL5d09p3IKQ_rwELNHhjXBhQLHzys4BWK5AAT1A approved
[root@k8s-master2 ~]# kubectl get node
NAME          STATUS     ROLES    AGE   VERSION
k8s-master1   Ready      <none>   24h   v1.22.4
k8s-master2   NotReady   <none>   12s   v1.22.4
k8s-node1     Ready      <none>   24h   v1.22.4
k8s-node2     Ready      <none>   24h   v1.22.4

三、部署Nginx+Keepalived高可用負載均衡器

kube-apiserver高可用架構圖:

• Nginx是一個主流Web服務和反向代理伺服器,這裡用四層實現對apiserver實現負載均衡。

• Keepalived是一個主流高可用軟體,基於VIP繫結實現伺服器雙機熱備,在上述拓撲中,Keepalived主要根據Nginx執行狀態判斷是否需要故障轉移(漂移VIP),例如當Nginx主節點掛掉,VIP會自動繫結在Nginx備節點,從而保證VIP一直可用,實現Nginx高可用。

注1:獨立於k8s叢集之外部署,只要nginx與apiserver能通訊就行。

注2:如果你是在公有云上,一般都不支援keepalived,那麼你可以直接用它們的負載均衡器產品,直接負載均衡多臺Master kube-apiserver,架構與上面一樣。

在兩臺Master節點操作。

 

2.1安裝軟體包(主/備)

yum install epel-release -y
yum -y install nginx-all-modules.noarch
yum install nginx keepalived -y

2.2Nginx配置檔案(主/備一樣)

cat > /etc/nginx/nginx.conf << "EOF"
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
 
include /usr/share/nginx/modules/*.conf;
 
events {
    worker_connections 1024;
}
 
# 四層負載均衡,為兩臺Master apiserver元件提供負載均衡
stream {
 
    log_format  main  '$remote_addr $upstream_addr - [$time_local] $status $upstream_bytes_sent';
 
    access_log  /var/log/nginx/k8s-access.log  main;
 
    upstream k8s-apiserver {
       server 192.168.2.117:6443;   # Master1 APISERVER IP:PORT
       server 192.168.2.119:6443;   # Master2 APISERVER IP:PORT
    }
    
    server {
       listen 16443; # 由於nginx與master節點複用,這個監聽埠不能是6443,否則會衝突
       proxy_pass k8s-apiserver;
    }
}
 
http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
 
    access_log  /var/log/nginx/access.log  main;
 
    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 2048;
 
    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;
 
    server {
        listen       80 default_server;
        server_name  _;
 
        location / {
        }
    }
}
EOF

2.3 keepalived配置檔案(Nginx Master)

cat > /etc/keepalived/keepalived.conf << EOF global_defs {     notification_email {       [email protected]       [email protected]       [email protected]     }     notification_email_from [email protected]      smtp_server 127.0.0.1     smtp_connect_timeout 30     router_id NGINX_MASTER }  vrrp_script check_nginx {     script "/etc/keepalived/check_nginx.sh" } vrrp_instance VI_1 {      state MASTER      interface ens192  # 修改為實際網絡卡名     virtual_router_id 51 # VRRP 路由 ID例項,每個例項是唯一的      priority 100    # 優先順序,備伺服器設定 90      advert_int 1    # 指定VRRP 心跳包通告間隔時間,預設1秒      authentication {          auth_type PASS               auth_pass 1111      }       # 虛擬IP     virtual_ipaddress {          192.168.2.88/24     }      # 執行指令碼     track_script {         check_nginx     }  } EOF

  • vrrp_script:指定檢查nginx工作狀態指令碼(根據nginx狀態判斷是否故障轉移)
  • virtual_ipaddress:虛擬IP(VIP)

準備上述配置檔案中檢查nginx執行狀態的指令碼:

cat > /etc/keepalived/check_nginx.sh  << "EOF"
#!/bin/bash
count=$(ss -antp |grep 16443 |egrep -cv "grep|$$")
 
if [ "$count" -eq 0 ];then
    exit 1
else
    exit 0
fi
EOF
chmod +x /etc/keepalived/check_nginx.sh

2.4 keepalived配置檔案(Nginx Backup)

cat > /etc/keepalived/keepalived.conf << EOF
global_defs { 
   notification_email { 
     [email protected] 
     [email protected] 
     [email protected] 
   } 
   notification_email_from [email protected]  
   smtp_server 127.0.0.1 
   smtp_connect_timeout 30 
   router_id NGINX_BACKUP
} 
vrrp_script check_nginx {
    script "/etc/keepalived/check_nginx.sh"
}
vrrp_instance VI_1 { 
    state BACKUP 
    interface ens192
    virtual_router_id 51 # VRRP 路由 ID例項,每個例項是唯一的 
    priority 90
    advert_int 1
    authentication { 
        auth_type PASS      
        auth_pass 1111 
    }  
    virtual_ipaddress { 
        192.168.2.88/24
    } 
    track_script {
        check_nginx
    } 
}
EOF

準備上述配置檔案中檢查nginx執行狀態的指令碼:

cat > /etc/keepalived/check_nginx.sh  << "EOF"
#!/bin/bash
count=$(ss -antp |grep 16443 |egrep -cv "grep|$$")
 
if [ "$count" -eq 0 ];then
    exit 1
else
    exit 0
fi
EOF
chmod +x /etc/keepalived/check_nginx.sh

注:keepalived根據指令碼返回狀態碼(0為工作正常,非0不正常)判斷是否故障轉移。

檢查節點狀態:

a42ac15ac8f826f705623c1293a160b7.png

2.5 啟動並設定開機啟動

systemctl daemon-reload
systemctl start nginx keepalived
systemctl enable nginx keepalived

2.6 檢視keepalived工作狀態

虛擬VIP繫結到 Nnginx伺服器,  88 虛擬IP是 Nginx 伺服器使用的IP,nginx 會幫助我們 將請求轉發到 APIServer。

588a501b2801c134b9f27d3c79294270.png

2.7 Nginx+Keepalived高可用測試

關閉主節點Nginx,測試VIP是否漂移到備節點伺服器。

在Nginx Master執行 pkill nginx;
在Nginx Backup,ip addr命令檢視已成功繫結VIP。

2.8 訪問負載均衡器測試

找K8s叢集中任意一個節點,使用curl檢視K8s版本測試,使用VIP訪問:

curl -k http://192.168.2.88:16443/version
{
  "major": "1",
  "minor": "20",
  "gitVersion": "v1.22.4",
  "gitCommit": "e87da0bd6e03ec3fea7933c4b5263d151aafd07c",
  "gitTreeState": "clean",
  "buildDate": "2021-02-18T16:03:00Z",
  "goVersion": "go1.15.8",
  "compiler": "gc",
  "platform": "linux/amd64"
}

可以正確獲取到K8s版本資訊,說明負載均衡器搭建正常。該請求資料流程:curl -> vip(nginx) -> apiserver

通過檢視Nginx日誌也可以看到轉發apiserver IP:

[root@k8s-master1 ~]# tail -2f /var/log/nginx/k8s-access.log

192.168.2.118 192.168.2.119:6443 - [30/Oct/2022:13:00:44 +0800] 200 287

192.168.2.117 192.168.2.117:6443 - [30/Oct/2022:13:00:44 +0800] 200 287

192.168.2.117 192.168.2.119:6443 - [30/Oct/2022:13:00:44 +0800] 200 287

192.168.2.119 192.168.2.117:6443 - [30/Oct/2022:13:00:44 +0800] 200 287

192.168.2.210 192.168.2.119:6443 - [30/Oct/2022:13:00:45 +0800] 200 287

192.168.2.118 192.168.2.117:6443 - [30/Oct/2022:13:00:45 +0800] 200 287

192.168.2.117 192.168.2.119:6443 - [30/Oct/2022:13:00:45 +0800] 200 287

2.9 修改所有Worker Node連線LB VIP

試想下,雖然我們增加了Master2 Node和負載均衡器,但是我們是從單Master架構擴容的,也就是說目前所有的Worker Node元件連線都還是Master1 Node,如果不改為連線VIP走負載均衡器,那麼Master還是單點故障。

因此接下來就是要改所有Worker Node(kubectl get node命令檢視到的節點)元件配置檔案,由原來192.168.2.119修改為192.168.2.88(VIP)。

在所有Worker Node執行:

sed -i 's#192.168.2.119:6443#192.168.2.88:16443#' /opt/kubernetes/cfg/*
systemctl restart kubelet kube-proxy

檢查節點狀態:

文章作者:開著拖拉機回家
原文連結:http://blog.csdn.net/qq_35995514/article/details/128049352