设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 985|回复: 0

[经验分享] kubernetes 1.8 安装脚本之Master-BravePro

[复制链接]
jxwjq

尚未签到
发表于 2018-9-16 06:35:49 | 显示全部楼层 |阅读模式
#!/bin/bash  
#********************************************************************
  
#Author:      bravewang
  
#QQ:          6142553
  
##blog:       http://brave666.blog.51cto.com/
  
#Description: Kubernetes Master install
  
#Date:        2017-11-14
  
#********************************************************************
  
export host1=192.168.2.11
  
export host2=192.168.2.12
  
export host3=192.168.2.13
  
export host4=192.168.2.14
  
export host5=192.168.2.15
  
export zhuji="$host1 $host2 $host3"
  

  
cat  admin-csr.json
  
{
  
  "CN": "admin",
  
  "hosts": [],
  
  "key": {
  
    "algo": "rsa",
  
    "size": 2048
  
  },
  
  "names": [
  
    {
  
      "C": "CN",
  
      "ST": "BeiJing",
  
      "L": "BeiJing",
  
      "O": "system:masters",
  
      "OU": "System"
  
    }
  
  ]
  
}
  
EOF
  

  
cat  k8s-gencert.json
  
{
  
  "signing": {
  
    "default": {
  
      "expiry": "87600h"
  
    },
  
    "profiles": {
  
      "kubernetes": {
  
        "usages": [
  
            "signing",
  
            "key encipherment",
  
            "server auth",
  
            "client auth"
  
        ],
  
        "expiry": "87600h"
  
      }
  
    }
  
  }
  
}
  
EOF
  

  
cat  k8s-root-ca-csr.json
  
{
  
  "CN": "kubernetes",
  
  "key": {
  
    "algo": "rsa",
  
    "size": 4096
  
  },
  
  "names": [
  
    {
  
      "C": "CN",
  
      "ST": "BeiJing",
  
      "L": "BeiJing",
  
      "O": "k8s",
  
      "OU": "System"
  
    }
  
  ]
  
}
  
EOF
  

  
cat  kube-proxy-csr.json
  
{
  
  "CN": "system:kube-proxy",
  
  "hosts": [],
  
  "key": {
  
    "algo": "rsa",
  
    "size": 2048
  
  },
  
  "names": [
  
    {
  
      "C": "CN",
  
      "ST": "BeiJing",
  
      "L": "BeiJing",
  
      "O": "k8s",
  
      "OU": "System"
  
    }
  
  ]
  
}
  
EOF
  

  
cat  kubernetes-csr.json
  
{
  
    "CN": "kubernetes",
  
    "hosts": [
  
        "127.0.0.1",
  
        "10.254.0.1",
  
        "$host1",
  
        "$host2",
  
        "$host3",
  
        "$host4",
  
        "$host5",
  
        "localhost",
  
        "kubernetes",
  
        "kubernetes.default",
  
        "kubernetes.default.svc",
  
        "kubernetes.default.svc.cluster",
  
        "kubernetes.default.svc.cluster.local"
  
    ],
  
    "key": {
  
        "algo": "rsa",
  
        "size": 2048
  
    },
  
    "names": [
  
        {
  
            "C": "CN",
  
            "ST": "BeiJing",
  
            "L": "BeiJing",
  
            "O": "k8s",
  
            "OU": "System"
  
        }
  
    ]
  
}
  
EOF
  

  
# 生成证书
  

  
cfssl gencert --initca=true k8s-root-ca-csr.json | cfssljson --bare k8s-root-ca
  

  
for targetName in kubernetes admin kube-proxy; do
  
cfssl gencert --ca k8s-root-ca.pem --ca-key k8s-root-ca-key.pem --config k8s-gencert.json --profile kubernetes $targetName-csr.json | cfssljson --bare $targetName
  
done
  

  
# 生成配置
  
export KUBE_APISERVER="https://127.0.0.1:6443"
  
export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
  
echo "Tokne: ${BOOTSTRAP_TOKEN}"
  

  
cat  token.csv
  
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
  
EOF
  

  
echo "Create kubelet bootstrapping kubeconfig..."
  
kubectl config set-cluster kubernetes \
  
--certificate-authority=k8s-root-ca.pem \
  
--embed-certs=true \
  
--server=${KUBE_APISERVER} \
  
--kubeconfig=bootstrap.kubeconfig
  
kubectl config set-credentials kubelet-bootstrap \
  
--token=${BOOTSTRAP_TOKEN} \
  
--kubeconfig=bootstrap.kubeconfig
  
kubectl config set-context default \
  
--cluster=kubernetes \
  
--user=kubelet-bootstrap \
  
--kubeconfig=bootstrap.kubeconfig
  
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
  

  
echo "Create kube-proxy kubeconfig..."
  
kubectl config set-cluster kubernetes \
  
--certificate-authority=k8s-root-ca.pem \
  
--embed-certs=true \
  
--server=${KUBE_APISERVER} \
  
--kubeconfig=kube-proxy.kubeconfig
  
kubectl config set-credentials kube-proxy \
  
--client-certificate=kube-proxy.pem \
  
--client-key=kube-proxy-key.pem \
  
--embed-certs=true \
  
--kubeconfig=kube-proxy.kubeconfig
  
kubectl config set-context default \
  
--cluster=kubernetes \
  
--user=kube-proxy \
  
--kubeconfig=kube-proxy.kubeconfig
  
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
  

  
# 生成高级审计配置
  
cat  audit-policy.yaml
  
# Log all requests at the Metadata level.
  
apiVersion: audit.k8s.io/v1beta1
  
kind: Policy
  
rules:
  
- level: Metadata
  
EOF
  

  
# 分发并安装 rpm
  
#for IP in $zhuji; do
  
#    scp kubernetes*.rpm root@$IP:~;
  
#    ssh root@$IP yum install -y kubernetes*.rpm
  
#done
  

  
# 分发证书 设置权限
  
for IP in $zhuji;do
  
ssh root@$IP hostnamectl set-hostname Master${IP##*.}
  
ssh root@$IP mkdir /etc/kubernetes/ssl
  
scp *.pem root@$IP:/etc/kubernetes/ssl
  
scp *.kubeconfig token.csv audit-policy.yaml root@$IP:/etc/kubernetes
  
ssh root@$IP chown -R kube:kube /etc/kubernetes/ssl
  
ssh root@$IP mkdir -p /var/log/kube-audit /usr/libexec/kubernetes
  
ssh root@$IP chown -R kube:kube /var/log/kube-audit /usr/libexec/kubernetes
  
ssh root@$IP chmod -R 755 /var/log/kube-audit /usr/libexec/kubernetes
  
done
  

  
cat  masterconfig
  
###
  
# kubernetes system config
  
#
  
# The following values are used to configure various aspects of all
  
# kubernetes services, including
  
#
  
#   kube-apiserver.service
  
#   kube-controller-manager.service
  
#   kube-scheduler.service
  
#   kubelet.service
  
#   kube-proxy.service
  
# logging to stderr means we get it in the systemd journal
  
KUBE_LOGTOSTDERR="--logtostderr=true"
  

  
# journal message level, 0 is debug
  
KUBE_LOG_LEVEL="--v=2"
  

  
# Should this cluster be allowed to run privileged docker containers
  
KUBE_ALLOW_PRIV="--allow-privileged=true"
  

  
# How the controller-manager, scheduler, and proxy find the apiserver
  
KUBE_MASTER="--master=http://127.0.0.1:8080"
  
EOF
  

  
apiconf()
  
{
  
cat  apiserver${IP##*.}
  
###
  
# kubernetes system config
  
#
  
# The following values are used to configure the kube-apiserver
  
#
  

  
# The address on the local server to listen to.
  
KUBE_API_ADDRESS="--advertise-address=$IP --insecure-bind-address=127.0.0.1 --bind-address=$IP"
  

  
# The port on the local server to listen on.
  
KUBE_API_PORT="--insecure-port=8080 --secure-port=6443"
  

  
# Port minions listen on
  
# KUBELET_PORT="--kubelet-port=10250"
  

  
# Comma separated list of nodes in the etcd cluster
  
KUBE_ETCD_SERVERS="--etcd-servers=https://$host1:2379,https://$host2:2379,https://$host3:2379"
  

  
# Address range to use for services
  
KUBE_SERVICE_ADDRESSES="--service-cluster-ip-range=10.254.0.0/16"
  

  
# default admission control policies
  
KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota,NodeRestriction"
  

  
# Add your own!
  
KUBE_API_ARGS="--authorization-mode=RBAC,Node \\
  
               --anonymous-auth=false \\
  
               --kubelet-https=true \\
  
               --enable-bootstrap-token-auth \\
  
               --token-auth-file=/etc/kubernetes/token.csv \\
  
               --service-node-port-range=30000-50000 \\
  
               --tls-cert-file=/etc/kubernetes/ssl/kubernetes.pem \\
  
               --tls-private-key-file=/etc/kubernetes/ssl/kubernetes-key.pem \\
  
               --client-ca-file=/etc/kubernetes/ssl/k8s-root-ca.pem \\
  
               --service-account-key-file=/etc/kubernetes/ssl/k8s-root-ca.pem \\
  
               --etcd-quorum-read=true \\
  
               --storage-backend=etcd3 \\
  
               --etcd-cafile=/etc/etcd/ssl/etcd-root-ca.pem \\
  
               --etcd-certfile=/etc/etcd/ssl/etcd.pem \\
  
               --etcd-keyfile=/etc/etcd/ssl/etcd-key.pem \\
  
               --enable-swagger-ui=true \\
  
               --apiserver-count=3 \\
  
               --audit-policy-file=/etc/kubernetes/audit-policy.yaml \\
  
               --audit-log-maxage=30 \\
  
               --audit-log-maxbackup=3 \\
  
               --audit-log-maxsize=100 \\
  
               --audit-log-path=/var/log/kube-audit/audit.log \\
  
               --event-ttl=1h"
  
EOF
  
}
  

  
cat  controller-manager
  
###
  
# The following values are used to configure the kubernetes controller-manager
  

  
# defaults from config and apiserver should be adequate
  

  
# Add your own!
  
KUBE_CONTROLLER_MANAGER_ARGS="--address=0.0.0.0 \\
  
                              --service-cluster-ip-range=10.254.0.0/16 \\
  
                              --cluster-name=kubernetes \\
  
                              --cluster-signing-cert-file=/etc/kubernetes/ssl/k8s-root-ca.pem \\
  
                              --cluster-signing-key-file=/etc/kubernetes/ssl/k8s-root-ca-key.pem \\
  
                              --service-account-private-key-file=/etc/kubernetes/ssl/k8s-root-ca-key.pem \\
  
                              --root-ca-file=/etc/kubernetes/ssl/k8s-root-ca.pem \\
  
                              --leader-elect=true \\
  
                              --node-monitor-grace-period=40s \\
  
                              --node-monitor-period=5s \\
  
                              --pod-eviction-timeout=5m0s"
  

  
EOF
  

  
cat  scheduler
  
###
  
# kubernetes scheduler config
  

  
# default config should be adequate
  

  
# Add your own!
  
KUBE_SCHEDULER_ARGS="--leader-elect=true --address=0.0.0.0"
  
EOF
  

  

  
for IP in $zhuji ;do
  
apiconf
  
scp apiserver${IP##*.} root@$IP:/etc/kubernetes/apiserver
  
scp masterconfig root@$IP:/etc/kubernetes/config
  
scp controller-manager root@$IP:/etc/kubernetes/controller-manager
  
scp scheduler root@$IP:/etc/kubernetes/scheduler
  

  
ssh root@$IP systemctl daemon-reload
  
sleep 2
  
ssh root@$IP systemctl start kube-apiserver
  
sleep 2
  
ssh root@$IP systemctl start kube-controller-manager
  
sleep 2
  
ssh root@$IP systemctl start kube-scheduler
  
sleep 2
  
ssh root@$IP systemctl enable kube-apiserver
  
sleep 2
  
ssh root@$IP systemctl enable kube-controller-manager
  
sleep 2
  
ssh root@$IP systemctl enable kube-scheduler
  
done
  

  
ssh root@$host1 kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap



运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-584102-1-1.html 上篇帖子: Kubernetes vs Mesos-Trying 下篇帖子: Kubernetes从Private Registry中拉取容器镜像的方法
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表