k8s部署

kubeadm

部署方式：

# 创建一个Master节点 
$ kubeadm init
# 将一个Node节点加入到当前集群中 
$ kubeadm join <Master节点的IP和端口>

工作原理

把 kubelet 直接运行在宿主机上，然后使用容器部署其他的 Kubernetes 组件。

1. 在机器上手动安装kubeadmin,kubelet,kubectl这三个二进制文件

   yum install kubeadm

2. 执行 kubeadm init ，kubeadmin init的工作流程
   1. Preflight Checks：
      1. Linux 内核的版本必须是否是 3.10 以上？
      2. Linux Cgroups 模块是否可用？
      3. 机器的 hostname 是否标准？在 Kubernetes 项目里，机器的名字以及一切存储在 Etcd 中的 API 对象，都必须使用标准的 DNS 命名（RFC 1123）。
      4. 用户安装的 kubeadm 和 kubelet 的版本是否匹配？
      5. 机器上是不是已经安装了 Kubernetes 的二进制文件？
      6. Kubernetes 的工作端口 10250/10251/10252 端口是不是已经被占用？
      7. ip、mount 等 Linux 指令是否存在？Docker 是否已经安装？
   2. 生成 Kubernetes 对外提供服务所需的各种证书和对应的目录。k8s对外提供服务时，除非专门开启“不安全模式”，否则都要通过 HTTPS 才能访问 kube-apiserver，kubeadm 为 Kubernetes 项目生成的证书文件都放在 Master 节点的 /etc/kubernetes/pki 目录下。在这个目录下，最主要的证书文件是 ca.crt 和对应的私钥 ca.key。
   3. 用户使用 kubectl 获取容器日志等 streaming 操作时，需要通过 kube-apiserver 向 kubelet 发起请求，这个连接也必须是安全的。kubeadm 为这一步生成的是 apiserver-kubelet-client.crt 文件，对应的私钥是 apiserver-kubelet-client.key。
   4. 证书生成后，kubeadm 接下来会为其他组件生成访问 kube-apiserver 所需的配置文件。这些文件的路径是：/etc/kubernetes/xxx.conf

      ls /etc/kubernetes/
      admin.conf  controller-manager.conf  kubelet.conf  scheduler.conf

      这些文件里面记录的是，当前这个 Master 节点的服务器地址、监听端口、证书目录等信息。这样，对应的客户端（比如 scheduler，kubelet 等），可以直接加载相应的文件，使用里面的信息与 kube-apiserver 建立安全连接。

   5. kubeadm 会为 Master 组件生成 Pod 配置文件，这步完成之后会生成etcd的yaml配置文件

      $ ls /etc/kubernetes/manifests/
      etcd.yaml  kube-apiserver.yaml  kube-controller-manager.yaml  kube-scheduler.yaml

   6. 在 Kubernetes 中，有一种特殊的容器启动方法叫做“Static Pod”。它允许你把要部署的 Pod 的 YAML 文件放在一个指定的目录里。这样，当这台机器上的 kubelet 启动时，它会自动检查这个目录，加载所有的 Pod YAML 文件，然后在这台机器上启动它们。（在kubeadmin中，master节点组件的yaml配置被放在/etc/kubernetes/manifests路径下）
   7. Master 容器启动后，kubeadm 会通过检查 localhost:6443/healthz 这个 Master 组件的健康检查 URL，等待 Master 组件完全运行起来。
   8. 然后，kubeadm 就会为集群生成一个 bootstrap token。在后面，只要持有这个 token，任何一个安装了 kubelet 和 kubadm 的节点，都可以通过 kubeadm join 加入到这个集群当中。这个token的值和使用方式，会在init完成后被打印出来
   9. 在token 生成之后，kubeadm 会将 ca.crt 等 Master 节点的重要信息，通过 ConfigMap 的方式保存在 Etcd 当中，供后续部署 Node 节点使用。这个 ConfigMap 的名字是 cluster-info。
   10. kubeadm init的最后一步，就是安装默认插件。Kubernetes 默认 kube-proxy 和 DNS 这两个插件是必须安装的。它们分别用来提供整个集群的服务发现和 DNS 功能。其实，这两个插件也只是两个容器镜像而已，所以 kubeadm 只要用 Kubernetes 客户端创建两个 Pod 就可以了。

• 执行kubeadm join ,kubeadm join的工作原理

任何一台机器想要成为 Kubernetes 集群中的一个节点，就必须在集群的 kube-apiserver 上注册。可是，要想跟 apiserver 打交道，这台机器就必须要获取到相应的证书文件（CA 文件）。可是，为了能够一键安装，我们就不能让用户去 Master 节点上手动拷贝这些文件。

kubeadm 至少需要发起一次“不安全模式”的访问到 kube-apiserver，从而拿到保存在 ConfigMap 中的 cluster-info（它保存了 APIServer 的授权信息）。而 bootstrap token，扮演的就是这个过程中的安全验证的角色。

只要有了 cluster-info 里的 kube-apiserver 的地址、端口、证书，kubelet 就可以以“安全模式”连接到 apiserver 上，这样一个新的节点就部署完成了。