本文是Kubernetes系列的第二篇,將介紹使用Kubeadm+Ansible搭建Kubernetes叢集所需要的工具及其作用。
主要內容包括:
- Kubeadm
- Kubeadm是什麼
- Kubeadm的目標
- Kubeadm的子命令
- Kubeadm的安裝
- CFSSL
- CFSSL的安裝
- Ansible
- Ansible是什麼
- Ansible的基本架構
- Ansible功能特性
- Ansible的安裝
- 總結user-gold-cdn
Kubeadm
Kubeadm是什麼
Kubeadm是一個提供Kubeadm init 和 Kubeadm join命令,用於建立Kubernetes叢集的最佳實踐“快速路徑”工具。
Kubeadm可以在多種裝置上執行,可以是Linux膝上型電腦,虛擬機器,物理/雲伺服器或Raspberry Pi。這使得Kubeadm非常適合與不同種類的配置系統(例如Terraform,Ansible等)整合。
開發者可以在支援安裝deb或rpm軟體包的作業系統上非常輕鬆地安裝Kubeadm。SIG叢集生命週期SIG Cluster Lifecycle Kubeadm的SIG相關維護者提供了預編譯的這些軟體包,也可以在其他作業系統上使用。
Kubeadm的目標
Kubeadm的目標是在不安裝其他功能外掛的基礎上,建立一個通過Kubernetes一致性測試Kubernetes Conformance tests的最小可行叢集。它在設計上並不會安裝網路解決方案,而是需要使用者自行安裝第三方符合CNI的網路解決方案(如:flannel,calico,weave network等)。
Kubeadm的子任務
- kubeadm init 初始化Kubernetes主節點
- kubeadm join 初始化Kubernetes工作節點並將其加入群集
- kubeadm upgrade 將Kubernetes叢集升級到更新版本
- kubeadm token 用於管理Kubeadm join所使用的令牌
- kubeadm reset 恢復由Kubeadm init或 Kubeadm join對此主機所做的任何更改
- kubeadm version 版本列印Kubeadm版本
Kubeadm的安裝
安裝Kubeadm需要手動安裝Kubelet和Kubectl,因為Kubeadm是不會安裝和管理這兩個元件的。
- Kubelet:在群集中的所有計算機上執行的元件,並執行諸如啟動pod和容器之類的操作。
- Kubectl:操作群集的命令列工具。
▌Ubuntu
apt-get update && apt-get install -y apt-transport-https curl
curl -s https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key add -
cat <<EOF >/etc/apt/sources.list.d/kubernetes.list
deb http://apt.kubernetes.io/ kubernetes-xenial main
EOF
apt-get update
apt-get install -y kubelet kubeadm kubectl
apt-mark hold kubelet kubeadm kubectl
複製程式碼▌CentOS
cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
exclude=kube*
EOF
setenforce 0
yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes
systemctl enable kubelet && systemctl start kubelet
複製程式碼CFSSL
CFSSL是CloudFlare開源的一款PKI/TLS工具。它既是命令列工具,也是用於簽名、驗證和捆綁TLS證照的HTTP API 伺服器。
CFSSL包括:
- 一組用於生成自定義 TLS PKI 的工具
- cfssl,即CFSSL的命令列工具
- multirootca 是可以使用多個簽名金鑰的證照頒發伺服器
- kbundle 用於構建證照池
- cfssljson 從cfssl和multirootca中獲取JSON輸出,並將證照,金鑰,CSR和bundle寫入磁碟
PKI藉助數字證照和公鑰加密技術提供可信任的網路身份,通常,證照就是一個包含如下身份資訊的檔案:
- 證照所有組織的資訊
- 公鑰
- 證照頒發組織的資訊
- 證照頒發組織授予的許可權,如:證照有效期、適用的主機名、用途等
- 使用證照頒發組織私鑰建立的數字簽名
CFSSL的安裝
由於執行環境不同,故使用Go命令進行編譯安裝,在安裝之前請確保已安裝1.8版本以上的Go命令列以及配置了環境變數GOPATH。
go get -u github.com/cloudflare/cfssl/cmd/...
複製程式碼Ansible
Ansible是什麼
Ansible是個什麼東西呢?官方的title是“Ansible is Simple IT Automation”——簡單的自動化IT工具。這個工具的目標有這麼幾項:自動化部署APP;自動化管理配置項;自動化的持續交付;自動化的雲服務管理。
所有的這幾個目標本質上來說都是在一臺或者幾臺伺服器上,執行一系列的命令而已。就像Fabric,以及基於Fabric開發的自動化應用部署的工具: Essay 。都是做了這麼個事——批量地在遠端伺服器上執行命令 。
那麼Fabric和Ansible有什麼差別呢?簡單來說Fabric像是一個工具箱,提供了很多好用的工具,用來在Remote執行命令,而Ansible則是提供了一套簡單的流程,你只要按照它的流程來做,就能輕鬆完成任務。這就像是庫和框架的關係一樣。
當然,它們之間也有共同點——都是基於 Paramiko 開發的。這個Paramiko是什麼呢?它是一個純Python實現的ssh協議庫。因此Fabric和Ansible還有一個共同點就是不需要在遠端主機上安裝client/agents,因為它們是基於ssh來和遠端主機通訊的。
Ansible基於Python開發,集合了眾多運維工具(puppet、cfengine、chef、func、fabric)的優點,實現了批量系統配置、批量程式部署、批量執行命令等功能。Ansible是基於模組工作的,本身沒有批量部署的能力。真正具有批量部署的是Ansible所執行的模組,Ansible只是提供一種框架,主要包括:
- 連線外掛connection plugins:負責和被監控端實現通訊;
- host inventory:指定操作的主機,是一個配置檔案裡面定義監控的主機;
- 各種模組:核心模組、command模組、自定義模組;
- 藉助於外掛完成記錄日誌郵件等功能;
- Playbook:劇本執行多個任務時,非必需可以讓節點一次性執行多個任務。
Ansible的基本架構
-
核心引擎:即圖中所看到的Ansible。
-
核心模組(core module):
模組庫(module library)分為兩部分,一個是核心模組,另外一個就是自定義模組(custom modules)。核心模組中都是Ansible自帶的模組,Ansible模組資源分發到遠端節點使其執行特定任務或匹配一個特定的狀態。這些核心模組都遵循 Batteries Included 哲學。其實這裡還是很有意思的,Batterires Included:Python has a large standard library, commonly cited as one of Python’s greatest strengths,providing tools suited to many tasks. 這就意味著Python有巨大的庫支援你完成你想完成的任務工作。
-
自定義模組(custom modules):
如果Ansible無法滿足你所需求的模組,那麼你能使用 Ansible 新增自定義化的模組。
-
外掛(plugin):
這裡的理解就是完成較小型的任務,輔助模組來完成某個功能。
-
劇本(playbook):
定義需要給遠端主機執行的一系列任務。比如安裝一個nginx服務,可以把這拆分為幾個任務放到一個playbook中。例如:第一步,需要下載nginx的安裝包。第二步,將事先寫好的nginx.conf的配置檔案下發的目標伺服器上。第三步,把服務啟動起來。第四步,檢查埠是否正常開啟。這些步驟可以通過playbook來進行整合,然後通過inventory來下發到想要執行劇本的主機上。並且playbook也支援互動式執行playbook裡面的步驟,如果有哪一個步驟執行返回了一個錯誤報告,可以僅僅只單獨執行這個步驟。你可以把playbook理解成為一個組策略,控制管理這個OU下所有的主機行為。
-
連線外掛(connectior plugins):
Ansible預設是基於SSH連線到目標機器上執行操作的。但是同樣的Ansible支援不同的連線方法,要是這樣的話就需要連線外掛來完成連線了。
-
主機清單(host inventory):
為Ansible定義了管理主機的策略。一般小型環境下只需要在host檔案中寫入主機的IP地址即可,但是到了中大型環境有可能需要使用靜態inventory或者動態主機清單來生成所需要執行的目標主機。
Ansible的功能特性
-
應用程式碼自動化部署
-
系統管理配置自動化
-
支援持續交付自動化
-
支援雲端計算,大資料平臺環境
-
輕量級,無序在客戶端安裝agent,更新時只需在控制機上進行更行即可
-
批量任務執行可以寫成指令碼,不用分發到遠端就可以執行
-
支援非root使用者管理操作,支援sudo
-
使用python編寫,維護更簡單
Ansible的安裝
▌Ubuntu
sudo apt-get install software-properties-common
sudo apt-add-repository ppa:ansible/ansible
sudo apt-get update
sudo apt-get install ansible
複製程式碼▌CentOS
sudo yum install epel-release
sudo yum install ansible
複製程式碼總結
通過前面的介紹,可以大致瞭解Kubeadm、CFSSL、Ansible這三個工具的作用,由於安裝Kubernetes叢集時執行Kubeadm命令較為固定和繁瑣,並且有些命令需要所有節點都執行,故將這些命令編寫為Ansible playbooks,使用Ansible進行執行,從而提高部署效率和降低出錯的概率。
該系列第一篇為:《從0到1使用Kubernetes系列——Kubernetes入門》,下一篇將介紹如何使用Ansible快速安裝Kubernetes叢集,歡迎各位持續關注。
關於Choerodon豬齒魚
Choerodon豬齒魚是一個開源企業服務平臺,是基於Kubernetes的容器編排和管理能力,整合DevOps工具鏈、微服務和移動應用框架,來幫助企業實現敏捷化的應用交付和自動化的運營管理的開源平臺,同時提供IoT、支付、資料、智慧洞察、企業應用市場等業務元件,致力幫助企業聚焦於業務,加速數字化轉型。
大家可以通過以下社群途徑瞭解豬齒魚的最新動態、產品特性,以及參與社群貢獻:
- 官網:choerodon.io
- 論壇:forum.choerodon.io
- Github:github.com/choerodon/
- 微信公眾號:Choerodon豬齒魚
- 微博:Choerodon豬齒魚
歡迎加入Choerodon豬齒魚社群,共同為企業數字化服務打造一個開放的生態平臺。