Kubernetes 中如何使用 kubeadm 创建高可用集群

目录

1. 引言
2. 高可用集群概述
3. 准备工作
4. 安装 kubeadm、kubelet 和 kubectl
5. 负载均衡器">配置负载均衡器
6. 初始化第一个控制平面节点
7. 加入其他控制平面节点
8. 加入工作节点
9. 验证集群状态
10. 配置网络插件
11. 配置存储
12. 配置监控和日志
13. 配置安全
14. 常见问题与解决方案
15. 总结

引言

Kubernetes 是一个开源的容器编排平台，用于自动化应用程序的部署、扩展和管理。在生产环境中，高可用性（High Availability, HA）是至关重要的。高可用集群确保即使某些节点或组件发生故障，整个系统仍能继续运行。本文将详细介绍如何使用 kubeadm 工具在 Kubernetes 中创建高可用集群。

高可用集群概述

高可用集群通常由多个控制平面节点和工作节点组成。控制平面节点负责管理集群的状态和调度工作负载，而工作节点则负责运行实际的应用程序容器。为了实现高可用性，控制平面节点通常需要至少三个实例，以确保在其中一个节点发生故障时，其他节点可以继续提供服务。

准备工作

在开始创建高可用集群之前，需要完成以下准备工作：

1. 硬件要求：确保每个节点至少有 2 个 CPU、4GB 内存和 20GB 磁盘空间。
2. 操作系统：推荐使用 Ubuntu 18.04 或更高版本。
3. 网络配置：确保所有节点之间可以相互通信，并且具有唯一的 hostname 和 IP 地址。
4. 时间同步：确保所有节点的时间同步，可以使用 NTP 服务。
5. 禁用交换分区：Kubernetes 要求禁用交换分区，可以通过 swapoff -a 命令实现。

安装 kubeadm、kubelet 和 kubectl

在所有节点上安装 kubeadm、kubelet 和 kubectl 工具。

sudo apt-get update
sudo apt-get install -y apt-transport-https ca-certificates curl
sudo curl -fsSLo /usr/share/keyrings/kubernetes-archive-keyring.gpg https://packages.cloud.google.com/apt/doc/apt-key.gpg
echo "deb [signed-by=/usr/share/keyrings/kubernetes-archive-keyring.gpg] https://apt.kubernetes.io/ kubernetes-xenial main" | sudo tee /etc/apt/sources.list.d/kubernetes.list
sudo apt-get update
sudo apt-get install -y kubelet kubeadm kubectl
sudo apt-mark hold kubelet kubeadm kubectl

配置负载均衡器

为了实现高可用性，需要在控制平面节点前配置一个负载均衡器。负载均衡器将流量分发到多个控制平面节点，确保即使其中一个节点发生故障，其他节点仍能继续提供服务。

可以使用 HAProxy 或 NGINX 作为负载均衡器。以下是一个简单的 HAProxy 配置示例：

frontend kubernetes
    bind *:6443
    default_backend kube-apiservers

backend kube-apiservers
    balance roundrobin
    server kube1 192.168.1.101:6443 check
    server kube2 192.168.1.102:6443 check
    server kube3 192.168.1.103:6443 check

初始化第一个控制平面节点

在第一个控制平面节点上初始化集群：

sudo kubeadm init --control-plane-endpoint "LOAD_BALANCER_DNS:LOAD_BALANCER_PORT" --upload-certs

其中 LOAD_BALANCER_DNS 是负载均衡器的 DNS 名称，LOAD_BALANCER_PORT 是负载均衡器的端口（通常为 6443）。

初始化完成后，kubeadm 会输出加入集群的命令，包括加入控制平面节点和工作节点的命令。请妥善保存这些命令。

加入其他控制平面节点

使用初始化时输出的命令，在其他控制平面节点上执行以下命令：

sudo kubeadm join LOAD_BALANCER_DNS:LOAD_BALANCER_PORT --token <token> --discovery-token-ca-cert-hash sha256:<hash> --control-plane --certificate-key <certificate-key>

加入工作节点

使用初始化时输出的命令，在工作节点上执行以下命令：

sudo kubeadm join LOAD_BALANCER_DNS:LOAD_BALANCER_PORT --token <token> --discovery-token-ca-cert-hash sha256:<hash>

验证集群状态

在所有节点加入集群后，可以使用以下命令验证集群状态：

kubectl get nodes

所有节点的状态应为 Ready。

配置网络插件

Kubernetes 需要网络插件来实现 Pod 之间的通信。常用的网络插件包括 Calico、Flannel 和 Weave。以下是一个使用 Calico 的示例：

kubectl apply -f https://docs.projectcalico.org/v3.14/manifests/calico.yaml

配置存储

在生产环境中，通常需要配置持久化存储。可以使用 NFS、Ceph 或 GlusterFS 等存储解决方案。以下是一个使用 NFS 的示例：

kubectl apply -f https://raw.githubusercontent.com/kubernetes/examples/master/staging/volumes/nfs/nfs-server.yaml

配置监控和日志

为了监控集群的健康状态和日志，可以使用 Prometheus 和 Grafana 进行监控，使用 EFK（Elasticsearch、Fluentd、Kibana）进行日志收集。

kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v0.41.2/deploy/static/provider/cloud/deploy.yaml

配置安全

为了增强集群的安全性，可以配置以下内容：

1. RBAC：基于角色的访问控制，限制用户和服务的权限。
2. Network Policies：网络策略，限制 Pod 之间的通信。
3. Pod Security Policies：Pod 安全策略，限制 Pod 的权限。

kubectl apply -f https://raw.githubusercontent.com/kubernetes/website/main/content/en/examples/policy/privileged-psp.yaml

常见问题与解决方案

1. 节点无法加入集群：检查网络配置和防火墙规则，确保节点之间可以相互通信。
2. Pod 无法启动：检查网络插件是否正确安装，并确保存储配置正确。
3. 集群状态异常：使用 kubectl describe 命令查看详细错误信息，并根据错误信息进行排查。

总结

通过本文的步骤，您可以使用 kubeadm 工具在 Kubernetes 中创建一个高可用集群。高可用集群能够确保在生产环境中即使某些节点或组件发生故障，整个系统仍能继续运行。希望本文对您有所帮助，祝您在 Kubernetes 的旅程中取得成功！

---

注意：本文中的命令和配置仅供参考，实际部署时请根据您的环境和需求进行调整。