如何設定一個生產級別的高可用etcd叢集

k3s中文社群發表於2020-09-25

在之前的文章中，我們詳細介紹了K3s的架構以及部署場景，給尚未了解K3s的朋友提供了一個很好的入門方向。那麼，在本文中我們將探索如何配置一個3節點的etcd叢集，它將會被用於高可用、多節點的K3s叢集中。

etcd是雲原生生態中最受歡迎的開源專案之一，它是雲原生計算基金會（CNCF）孵化的專案，目前已經成為Kubernetes基礎架構的核心構件。

在本教程結束的時候，你將完成部署一個啟用了TLS的3節點etcd叢集，作為具有多個master的高可用K3s叢集的外部資料儲存。

首先，請確保你有3個帶有靜態IP地址的Linux host。在我的實驗環境中，我執行著4臺Intel NUC迷你電腦，這4臺電腦上執行著Ubuntu 18.04，IP地址從10.0.0.60到10.0.0.63不等。我們將在IP地址為10.0.0.60、10.0.0.61和10.0.0.62的主機上安裝etcd。你在自己進行實踐時務必用你自己的一套地址來替換這些IP地址。

下載etcd二進位制檔案

在每個Linux host上，執行以下命令以下載和安裝最新版本的二進位制檔案：

ETCD_VER=v3.4.10
 
DOWNLOAD_URL=https://storage.googleapis.com/etcd
 
rm -f /tmp/etcd-${ETCD_VER}-linux-amd64.tar.gz
rm -rf /tmp/etcd-download-test &amp;&amp; mkdir -p /tmp/etcd-download-test
 
curl -L ${DOWNLOAD_URL}/${ETCD_VER}/etcd-${ETCD_VER}-linux-amd64.tar.gz -o /tmp/etcd-${ETCD_VER}-linux-amd64.tar.gz
 
tar xzvf /tmp/etcd-${ETCD_VER}-linux-amd64.tar.gz -C /tmp/etcd-download-test --strip-components=1
 
rm -f /tmp/etcd-${ETCD_VER}-linux-amd64.tar.gz
 
chmod +x /tmp/etcd-download-test/etcd
chmod +x /tmp/etcd-download-test/etcdctl 
 
#Verify the downloads
/tmp/etcd-download-test/etcd --version
/tmp/etcd-download-test/etcdctl version
 
#Move them to the bin folder
sudo mv /tmp/etcd-download-test/etcd /usr/local/bin
sudo mv /tmp/etcd-download-test/etcdctl /usr/local/bin

在這裡插入圖片描述

生成和分發證書

我們將使用Cloudflare的cfssl工具來生成證書和金鑰。如果你使用Mac作為你的工作站，你可以使用Homebrew安裝它。

brew install cfssl

在這裡插入圖片描述

建立一個名為certs的目錄，並執行以下命令為每臺主機生成CA證書和server證書及金鑰組合。

mkdir certs &amp;&amp; cd certs

首先，建立CA證書，它將被所有的etcd server和客戶端使用。

echo '{"CN":"CA","key":{"algo":"rsa","size":2048}}' | cfssl gencert -initca - | cfssljson -bare ca -
echo '{"signing":{"default":{"expiry":"43800h","usages":["signing","key encipherment","server auth","client auth"]}}}' &gt; ca-config.json

這將生成三個檔案——ca-key.pem、ca.pem和ca.csr。

接下來，我們將為第一個節點生成證書和金鑰

export NAME=node-1
export ADDRESS=10.0.0.60,$NAME
echo '{"CN":"'$NAME'","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -config=ca-config.json -ca=ca.pem -ca-key=ca-key.pem -hostname="$ADDRESS" - | cfssljson -bare $NAME

對接下來的兩個節點也重複以上步驟。

export NAME=node-2
export ADDRESS=10.0.0.61,$NAME
echo '{"CN":"'$NAME'","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -config=ca-config.json -ca=ca.pem -ca-key=ca-key.pem -hostname="$ADDRESS" - | cfssljson -bare $NAME

export NAME=node-3
export ADDRESS=10.0.0.62,$NAME

不要忘記用自己的組合替換IP地址以及節點名稱。

此時，我們已經為CA和所有三個節點生成了證書和金鑰。

在這裡插入圖片描述

現在是時候開始分發證書到叢集的每個節點。

執行以下命令，替換使用者名稱和IP地址，將證書複製到相應的節點上。

HOST=10.0.0.60
USER=ubuntu
 
scp ca.pem $USER@$HOST:etcd-ca.crt
scp node-1.pem $USER@$HOST:server.crt
scp node-1-key.pem $USER@$HOST:server.key

SSH進入每個節點，並執行以下命令將證書移動到適當的目錄中。

HOST=10.0.0.60
USER=ubuntu
 
ssh $USER@$HOST
sudo mkdir -p /etc/etcd
sudo mv * /etc/etcd
sudo chmod 600 /etc/etcd/server.key

我們完成了每個節點上證書的生成和分發。下一步，我們將為每個節點建立配置檔案和Systemd單元檔案。

配置和啟動etcd叢集

在節點1上，在etc/etcd目錄中建立一個名為etcd.conf的檔案，包含以下內容：

ETCD_NAME=node-1
ETCD_LISTEN_PEER_URLS="https://10.0.0.60:2380"
ETCD_LISTEN_CLIENT_URLS="https://10.0.0.60:2379"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER="node-1=https://10.0.0.60:2380,node-2=https://10.0.0.61:2380,node-3=https://10.0.0.62:2380"
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.0.0.60:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://10.0.0.60:2379"
ETCD_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"
ETCD_CERT_FILE="/etc/etcd/server.crt"
ETCD_KEY_FILE="/etc/etcd/server.key"
ETCD_PEER_CLIENT_CERT_AUTH=true
ETCD_PEER_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"
ETCD_PEER_KEY_FILE="/etc/etcd/server.key"
ETCD_PEER_CERT_FILE="/etc/etcd/server.crt"
ETCD_DATA_DIR="/var/lib/etcd"

節點2的檔案則使用以下內容：

ETCD_NAME=node-2
ETCD_LISTEN_PEER_URLS="https://10.0.0.61:2380"
ETCD_LISTEN_CLIENT_URLS="https://10.0.0.61:2379"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER="node-1=https://10.0.0.60:2380,node-2=https://10.0.0.61:2380,node-3=https://10.0.0.62:2380"
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.0.0.61:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://10.0.0.61:2379"
ETCD_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"
ETCD_CERT_FILE="/etc/etcd/server.crt"
ETCD_KEY_FILE="/etc/etcd/server.key"
ETCD_PEER_CLIENT_CERT_AUTH=true
ETCD_PEER_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"
ETCD_PEER_KEY_FILE="/etc/etcd/server.key"
ETCD_PEER_CERT_FILE="/etc/etcd/server.crt"
ETCD_DATA_DIR="/var/lib/etcd"

最後，為節點3建立配置檔案。

ETCD_NAME=node-3
ETCD_LISTEN_PEER_URLS="https://10.0.0.62:2380"
ETCD_LISTEN_CLIENT_URLS="https://10.0.0.62:2379"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER="node-1=https://10.0.0.60:2380,node-2=https://10.0.0.61:2380,node-3=https://10.0.0.62:2380"
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.0.0.62:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://10.0.0.62:2379"
ETCD_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"
ETCD_CERT_FILE="/etc/etcd/server.crt"
ETCD_KEY_FILE="/etc/etcd/server.key"
ETCD_PEER_CLIENT_CERT_AUTH=true
ETCD_PEER_TRUSTED_CA_FILE="/etc/etcd/etcd-ca.crt"
ETCD_PEER_KEY_FILE="/etc/etcd/server.key"
ETCD_PEER_CERT_FILE="/etc/etcd/server.crt"
ETCD_DATA_DIR="/var/lib/etcd"

請不要忘記更換你的網路專用IP地址。

配置完成後，我們就可以在每個節點上建立systemd單元檔案了。

在/lib/system/systemd處建立檔案etcd.service，內容如下：

[Unit]
Description=etcd key-value store
Documentation=https://github.com/etcd-io/etcd
After=network.target
 
[Service]
Type=notify
EnvironmentFile=/etc/etcd/etcd.conf
ExecStart=/usr/bin/etcd
Restart=always
RestartSec=10s
LimitNOFILE=40000
 
[Install]
WantedBy=multi-user.target

由於每個節點的配置都被移到了專用檔案（/etc/etcd/etcd.conf）中，所以所有節點的單元檔案保持不變。

現在我們已經準備好啟動服務了。在每個節點上執行下面的命令來啟動etcd叢集：

sudo systemctl daemon-reload
sudo systemctl enable etcd
sudo systemctl start etcd

確保etcd服務已經啟動，並且執行中沒有出現錯誤。

sudo systemctl status etcd

在這裡插入圖片描述

測試和驗證叢集

SSH進入其中一個節點，通過etcd CLI連線到叢集。

etcdctl --endpoints https://10.0.0.60:2379 --cert /etc/etcd/server.crt --cacert /etc/etcd/etcd-ca.crt --key /etc/etcd/server.key put foo bar

我們在etcd資料庫中插入一個金鑰。讓我們看看能否找回它。

etcdctl --endpoints https://10.0.0.60:2379 --cert /etc/etcd/server.crt --cacert /etc/etcd/etcd-ca.crt --key /etc/etcd/server.key get foo

在這裡插入圖片描述

接下來，讓我們使用API端點（endpoint）來檢查叢集的健康狀態。

curl --cacert /etc/etcd/etcd-ca.crt --cert /etc/etcd/server.crt --key /etc/etcd/server.key https://10.0.0.60:2379/health

在這裡插入圖片描述

最後，讓我們確保所有的節點都參與到叢集中。

etcdctl --endpoints https://10.0.0.60:2379 --cert /etc/etcd/server.crt --cacert /etc/etcd/etcd-ca.crt --key /etc/etcd/server.key member list

在這裡插入圖片描述

Congratulations！現在你擁有了一個安全、分散式的以及高可用的etcd叢集，它已經為生產級K3s叢集環境做好了準備。

在下一篇文章中，我將向你詳細介紹如何安裝和配置一個具有高可用控制平面的4節點K3s叢集。保持關注喲~！

構建生產環境可用的高可用kubernetes叢集
2019-02-16
螞蟻集團萬級規模 K8s 叢集 etcd 高可用建設之路
2021-08-04
K8S
hp-unix下的高可用叢集設定
2018-08-22
如何安裝一個高可用K3s叢集？
2020-10-30
搭了一個RocketMQ高可用叢集，同事直呼哇塞！
2022-12-20
MQ
centos7 安裝k8s1.30.1高可用叢集(非獨立etcd叢集)
2024-06-04
CentOSK8S
PostgreSQL repmgr高可用叢集+keepalived高可用
2020-09-02
SQL
zookeeper 高可用叢集搭建
2019-01-23
MongoDB高可用叢集搭建
2018-09-21
MongoDB
搭建 Kubernetes 高可用叢集
2020-01-09
Redis叢集與高可用
2024-07-19
Redis
PostgreSQL patroni高可用叢集
2021-03-23
SQL
基於K8S部署生產高可用的ES叢集(附遷移方案)
2024-11-03
K8S
RabbitMQ從零到叢集高可用(.NetCore5.0) -高可用叢集構建落地
2021-09-07
MQNetCore
WEB叢集- 高可用服務
2024-11-05
Web
高可用mongodb叢集(分片+副本)
2024-06-17
MongoDB
10、redis哨兵叢集高可用
2018-03-26
Redis
mysql高可用叢集之MMM
2021-07-13
MySql
Redis快取高可用叢集
2023-04-10
Redis快取
Oracle的三種高可用叢集方案
2018-07-03
Oracle
RabbitMQ和Kafka的高可用叢集原理
2020-09-11
MQKafka
高可用叢集corosync+pacemaker之crmsh使用（一）
2020-09-01
ROS
在Rainbond中一鍵部署高可用 EMQX 叢集
2022-05-10
AIMQ
Redis高可用-主從,哨兵,叢集
2020-06-03
Redis
高可用叢集之corosync+pacemaker
2020-08-31
ROS
使用Kubeadm搭建高可用Kubernetes叢集
2022-04-14
教你如何用Keepalived和HAproxy配置高可用 Kubernetes 叢集
2024-02-28
kolla-ansible安裝openstack（rocky）企業級高可用叢集
2019-04-01
寫給後端的Nginx初級入門教程:配置高可用叢集
2019-11-02
後端Nginx
如何設計一個高可用的運營系統
2018-08-26
在 Rainbond 中一鍵安裝高可用 Nacos 叢集
2022-03-29
AI
Etcd叢集靜態配置
2021-03-23
ngnix叢集產生的問題
2019-03-12
redis通訊與高可用叢集原理
2019-01-25
Redis
高可用叢集環境搭建-留檔
2019-08-22
搭建高可用kubernetes叢集(keepalived+haproxy)
2020-07-20
高可用Flink on YARN叢集快速配置
2020-11-09
Yarn
使用Keepalived構建LVS高可用叢集
2019-04-27

如何設定一個生產級別的高可用etcd叢集

下載etcd二進位制檔案

生成和分發證書

配置和啟動etcd叢集

測試和驗證叢集

相關文章