Kubernetes安裝之六：配置master之api-server

1.生成api-server證書

包含3個master的ip及vip（如果還有多個vip，尤其是內外網的那種，都新增進去）

 cat > /etc/ssl/apiserver/kubernetes-csr.json <<EOF
{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "192.168.1.40",
    "192.168.1.41",
    "192.168.1.42",
    "192.168.1.43",
    "10.254.0.1",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ChengDu",
      "L": "ChengDu",
      "O": "k8s",
      "OU": "dessler"
    }
  ]
}
EOF
複製程式碼

• 說明：
• hosts 欄位指定授權使用該證書的IP 或域名列表，這裡列出了 VIP 、apiserver 節點 IP、kubernetes 服務 IP 和域名
• 域名最後字元不能是.(如不能為default.svc.cluster.local.)，否則解析時失敗，提示： x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."
• 如果使用非local 域名，如opsnull.com，則需要修改域名列表中的最後兩個域名為：kubernetes.default.svc.opsnull、kubernetes.default.svc.opsnull.com
• kubernetes 服務 IP 是 apiserver 自動建立的，一般是--service-cluster-ip-range 引數指定的網段的第一個IP，後續可以通過如下命令獲取：kubectl get svc kubernetes

2.分發證書和api-server的二進位制檔案到各個master節點

3.建立金鑰key

備用

head -c 32 /dev/urandom | base64
7SYVGPUjN+hw2fxa6I3+vfy5wPK+0uRgqo0b9Lyp8To=
複製程式碼

4.建立加密配置檔案

使用剛才的密匙

mkdir -p /opt/kubernetes/cfg/
cat > /opt/kubernetes/cfg/encryption-config.yaml <<EOF
kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: 7SYVGPUjN+hw2fxa6I3+vfy5wPK+0uRgqo0b9Lyp8To=
      - identity: {}
EOF
複製程式碼

5.建立k8s程式log目錄

mkdir -p /var/log/kubernetes
複製程式碼

6.配置master的服務

注意修改裡面的ip地址（不同的master需要修改）

因為就一個ip地址修改，所以這裡就沒有分成3個了配置，就一個配置，你們自己修改下里面的ip地址即可

cat > /usr/lib/systemd/system/kube-apiserver.service <<EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target

[Service]
ExecStart=/usr/bin/kube-apiserver \\
  --enable-admission-plugins=Initializers,NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \\
  --anonymous-auth=false \\
  --experimental-encryption-provider-config=/opt/kubernetes/cfg/encryption-config.yaml \\
  --advertise-address=192.168.1.40 \\
  --bind-address=192.168.1.40 \\
  --insecure-port=0 \\
  --authorization-mode=Node,RBAC \\
  --runtime-config=api/all \\
  --enable-bootstrap-token-auth \\
  --service-cluster-ip-range=10.254.0.0/16 \\
  --tls-cert-file=/etc/ssl/apiserver/kubernetes.pem \\
  --tls-private-key-file=/etc/ssl/apiserver/kubernetes-key.pem \\
  --client-ca-file=/etc/ssl/ca.pem \\
  --kubelet-client-certificate=/etc/ssl/apiserver/kubernetes.pem \\
  --kubelet-client-key=/etc/ssl/apiserver/kubernetes-key.pem \\
  --service-account-key-file=/etc/ssl/ca-key.pem \\
  --etcd-cafile=/etc/ssl/ca.pem \\
  --etcd-certfile=/etc/ssl/apiserver/kubernetes.pem \\
  --etcd-keyfile=/etc/ssl/apiserver/kubernetes-key.pem \\
  --etcd-servers=https://192.168.1.40:2379,https://192.168.1.41:2379,https://192.168.1.42:2379 \\
  --enable-swagger-ui=true \\
  --allow-privileged=true \\
  --apiserver-count=2 \\
  --audit-log-maxage=30 \\
  --audit-log-maxbackup=3 \\
  --audit-log-maxsize=100 \\
  --audit-log-path=/var/log/kubernetes/kube-apiserver-audit.log \\
  --event-ttl=1h \\
  --alsologtostderr=true \\
  --logtostderr=false \\
  --log-dir=/var/log/kubernetes \\
  --v=2
Restart=on-failure
RestartSec=5
Type=notify
#User=k8s
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF
複製程式碼

• 說明：
• --experimental-encryption-provider-config：啟用加密特性
• --authorization-mode=Node,RBAC： 開啟 Node 和 RBAC 授權模式，拒絕未授權的請求
• --enable-admission-plugins：啟用ServiceAccount 和 NodeRestriction
• --service-account-key-file：簽名 ServiceAccount Token 的公鑰檔案，kube-controller-manager 的--service-account-private-key-file 指定私鑰檔案，兩者配對使用
• --tls-*-file：指定 apiserver 使用的證書、私鑰和 CA 檔案。--client-ca-file 用於驗證 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)請求所帶的證書
• --kubelet-client-certificate、--kubelet-client-key：如果指定，則使用 https 訪問 kubelet APIs；需要為證書對應的使用者(上面 kubernetes*.pem 證書的使用者為 kubernetes) 使用者定義 RBAC 規則，否則訪問 kubelet API 時提示未授權
• --bind-address： 不能為0.0.1，否則外界不能訪問它的安全埠 6443
• --insecure-port=0：關閉監聽非安全埠(8080)
• --service-cluster-ip-range： 指定 Service Cluster IP 地址段
• --service-node-port-range： 指定 NodePort 的埠範圍
• --runtime-config=api/all=true： 啟用所有版本的 APIs，如 autoscaling/v2alpha1
• --enable-bootstrap-token-auth：啟用 kubelet bootstrap 的 token 認證
• --apiserver-count=3：指定叢集執行模式，多臺 kube-apiserver 會通過 leader 選舉產生一個工作節點，其它節點處於阻塞狀態
• User=k8s：使用 k8s 賬戶執行

7.授予 kubernetes 證書訪問 kubelet API 的許可權

kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes複製程式碼

8.啟動服務

systemctl daemon-reload
systemctl start kube-apiserver
systemctl enable kube-apiserver
systemctl status kube-apiserver
複製程式碼

8.檢查apiserver狀態

kubectl cluster-info
Kubernetes master is running at https://192.168.1.43:8443

To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.複製程式碼

master的元件完成