04.etcdクラスタの配備
12736 ワード
04.etcdクラスタの配備
etcdはRaftベースの分散key-valueストレージシステムであり、CoreOSによって開発され、サービス発見、共有構成、並列制御(leader選挙、分散ロックなど)によく用いられる.kubernetesはetcdを使用してすべての実行データを格納します.
このドキュメントでは、3ノードの高可用性etcdクラスタを導入する手順について説明します. etcdバイナリファイルのダウンロードと配布; etcdクラスタの各ノードのx 509証明書を作成し、etcdctlなどのクライアントとetcdクラスタ、etcdクラスタとの間のデータストリームを暗号化する. etcdのsystemd unitファイルを作成し、サービスパラメータを構成する. クラスタの動作状態を確認します.
etcdクラスタの各ノードの名前とIPは以下の通りである. kube-node1:192.168.1.106 kube-node2:192.168.1.107 kube-node3:192.168.1.108
etcdバイナリファイルのダウンロードと配布
に着くhttps://github.com/coreos/etcd/releasesページは最新バージョンのパブリケーションパッケージをダウンロードします.
クラスタのすべてのノードにバイナリ・ファイルを配布します.
etcd証明書と秘密鍵の作成
証明書署名リクエストの作成: hostsフィールドは、証明書の使用を許可するetcdノードIPまたはドメイン名のリストを指定し、ここではetcdクラスタの3つのノードIPを列挙する.
証明書と秘密鍵の生成:
生成された証明書と秘密鍵を各etcdノードに配布します.
etcdのsystemd unitテンプレートファイルの作成
各ノードのetcd systemd unitファイルの作成と配布
テンプレートファイルの変数を置き換え、各ノードにsystemd unitファイルを作成します. NODE_NAMESとNODE_IPSは同じ長さのbash配列であり、それぞれノード名と対応するIPである.
生成されたsystemd unitファイルを配布します.は、etcdデータディレクトリと作業ディレクトリを先に作成する必要があります. ファイルの名前をetcdに変更します.service;
完全なunitファイルはetcd.service
etcdサービスの開始 etcdプロセスが最初に開始されると、他のノードのetcdがクラスタに追加されるのを待っています.コマンド
起動結果の確認
ステータスが
サービスステータスの検証
etcdクラスタの配備が完了したら、いずれかのetcノードで次のコマンドを実行します.
予想出力:
出力が
リンク:https://www.orchome.com/654
著作権は作者の所有である.商業転載は著者に連絡して許可を得てください.非商業転載は出典を明記してください.
転載先:https://www.cnblogs.com/linux20190409/p/10976594.html
etcdはRaftベースの分散key-valueストレージシステムであり、CoreOSによって開発され、サービス発見、共有構成、並列制御(leader選挙、分散ロックなど)によく用いられる.kubernetesはetcdを使用してすべての実行データを格納します.
このドキュメントでは、3ノードの高可用性etcdクラスタを導入する手順について説明します.
etcdクラスタの各ノードの名前とIPは以下の通りである.
etcdバイナリファイルのダウンロードと配布
に着くhttps://github.com/coreos/etcd/releasesページは最新バージョンのパブリケーションパッケージをダウンロードします.
wget https://github.com/coreos/etcd/releases/download/v3.3.7/etcd-v3.3.7-linux-amd64.tar.gz tar -xvf etcd-v3.3.7-linux-amd64.tar.gz クラスタのすべてのノードにバイナリ・ファイルを配布します.
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
do echo ">>> ${node_ip}" scp etcd-v3.3.7-linux-amd64/etcd* k8s@${node_ip}:/opt/k8s/bin ssh k8s@${node_ip} "chmod +x /opt/k8s/bin/*" done etcd証明書と秘密鍵の作成
証明書署名リクエストの作成:
cat > etcd-csr.json <<EOF
{
"CN": "etcd", "hosts": [ "127.0.0.1", "192.168.1.106", "192.168.1.107", "192.168.1.108" ], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "4Paradigm" } ] } EOF 証明書と秘密鍵の生成:
cfssl gencert -ca=/etc/kubernetes/cert/ca.pem \
-ca-key=/etc/kubernetes/cert/ca-key.pem \
-config=/etc/kubernetes/cert/ca-config.json \ -profile=kubernetes etcd-csr.json | cfssljson -bare etcd ls etcd* 生成された証明書と秘密鍵を各etcdノードに配布します.
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
do echo ">>> ${node_ip}" ssh root@${node_ip} "mkdir -p /etc/etcd/cert && chown -R k8s /etc/etcd/cert" scp etcd*.pem k8s@${node_ip}:/etc/etcd/cert/ done etcdのsystemd unitテンプレートファイルの作成
source /opt/k8s/bin/environment.sh
cat > etcd.service.template <-data-dir=/var/lib/etcd \\
--name=##NODE_NAME## \\ --cert-file=/etc/etcd/cert/etcd.pem \\ --key-file=/etc/etcd/cert/etcd-key.pem \\ --trusted-ca-file=/etc/kubernetes/cert/ca.pem \\ --peer-cert-file=/etc/etcd/cert/etcd.pem \\ --peer-key-file=/etc/etcd/cert/etcd-key.pem \\ --peer-trusted-ca-file=/etc/kubernetes/cert/ca.pem \\ --peer-client-cert-auth \\ --client-cert-auth \\ --listen-peer-urls=https://##NODE_IP##:2380 \\ --initial-advertise-peer-urls=https://##NODE_IP##:2380 \\ --listen-client-urls=https://##NODE_IP##:2379,https://127.0.0.1:2379 \\ --advertise-client-urls=https://##NODE_IP##:2379 \\ --initial-cluster-token=etcd-cluster-0 \\ --initial-cluster=${ETCD_NODES} \\ --initial-cluster-state=new Restart=on-failure RestartSec=5 LimitNOFILE=65536 [Install] WantedBy=multi-user.target EOF User:k 8 s口座で運行することを指定する.WorkingDirectory、--data-dir:作業ディレクトリとデータディレクトリを/var/lib/etcdと指定し、サービスを開始する前にこのディレクトリを作成する必要があります.--name:ノード名を指定し、--initial-cluster-stateの値がnewの場合、--nameのパラメータ値は--initial-clusterのリストにある必要があります.--cert-file、--key-file:etcd serverがclientと通信する際に使用する証明書と秘密鍵.--trusted-ca-file:client証明書に署名したCA証明書で、client証明書を検証します.--peer-cert-file、--peer-key-file:etcdとpeerの通信で使用される証明書と秘密鍵.--peer-trusted-ca-file:peer証明書を検証するためにpeer証明書に署名したCA証明書.各ノードのetcd systemd unitファイルの作成と配布
テンプレートファイルの変数を置き換え、各ノードにsystemd unitファイルを作成します.
source /opt/k8s/bin/environment.sh
for (( i=0; i < 3; i++ ))
do sed -e "s/##NODE_NAME##/${NODE_NAMES[i]}/" -e "s/##NODE_IP##/${NODE_IPS[i]}/" etcd.service.template > etcd-${NODE_IPS[i]}.service done ls *.service 生成されたsystemd unitファイルを配布します.
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
do echo ">>> ${node_ip}" ssh root@${node_ip} "mkdir -p /var/lib/etcd && chown -R k8s /var/lib/etcd" scp etcd-${node_ip}.service root@${node_ip}:/etc/systemd/system/etcd.service done 完全なunitファイルはetcd.service
etcdサービスの開始
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
do echo ">>> ${node_ip}" ssh root@${node_ip} "systemctl daemon-reload && systemctl enable etcd && systemctl restart etcd &" done systemctl start etcdは、通常の現象として一時停止します.起動結果の確認
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
do echo ">>> ${node_ip}" ssh k8s@${node_ip} "systemctl status etcd|grep Active" done ステータスが
active (running)であることを確認します.そうしないと、ログを表示し、理由を確認します.$ journalctl -u etcd
サービスステータスの検証
etcdクラスタの配備が完了したら、いずれかのetcノードで次のコマンドを実行します.
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
do
echo ">>> ${node_ip}"
ETCDCTL_API=3 /opt/k8s/bin/etcdctl \
--endpoints=https://${node_ip}:2379 \
--cacert=/etc/kubernetes/cert/ca.pem \ --cert=/etc/etcd/cert/etcd.pem \ --key=/etc/etcd/cert/etcd-key.pem endpoint health; done 予想出力:
https://192.168.1.106:2379 is healthy: successfully committed proposal: took = 2.192932ms
https://192.168.1.107:2379 is healthy: successfully committed proposal: took = 3.546896ms
https://192.168.1.108:2379 is healthy: successfully committed proposal: took = 3.013667ms
出力が
healthyの場合、クラスタサービスは正常であることを示します.リンク:https://www.orchome.com/654
著作権は作者の所有である.商業転載は著者に連絡して許可を得てください.非商業転載は出典を明記してください.
転載先:https://www.cnblogs.com/linux20190409/p/10976594.html