CentOS 7.3下Docker Kubernetes1.8.3集群环境搭建(9)

kubelet 启动时向 kube-apiserver 发送 TLS bootstrapping 请求,需要先将 bootstrap token文件中的 kubelet-bootstrap 用户赋予 system:node-bootstrapper 角色,然后 kubelet才有权限创建认证请求(certificatesigningrequests)。

# 先创建认证请求 # user 为 master 中 token.csv 文件里配置的用户 # 只需创建一次就可以 kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap 创建 kubelet kubeconfig 文件(Master节点执行) # 配置集群(server要写master ip地址,不要使用127.0.0.1或localhost,否则node节点无法识别) kubectl config set-cluster kubernetes \ --certificate-authority=/etc/kubernetes/ssl/ca.pem \ --embed-certs=true \ --server=https://10.0.11.222:6443 \ --kubeconfig=bootstrap.kubeconfig # 配置客户端认证(此处的token使用token.csv中的token) kubectl config set-credentials kubelet-bootstrap \ --token=3140a1541451afcc87ca7b715f124ce3 \ --kubeconfig=bootstrap.kubeconfig # 配置关联 kubectl config set-context default \ --cluster=kubernetes \ --user=kubelet-bootstrap \ --kubeconfig=bootstrap.kubeconfig # 配置默认关联 kubectl config use-context default --kubeconfig=bootstrap.kubeconfig # 拷贝生成的 bootstrap.kubeconfig 文件 mv bootstrap.kubeconfig /etc/kubernetes/ 配置 kube-proxy(Master节点执行) 创建 kube-proxy 证书(Master节点执行) [root@mimo222 ~]# cd /opt/ssl [root@mimo222 ~]# vi kube-proxy-csr.json { "CN": "system:kube-proxy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "TianJin", "L": "TianJin", "O": "k8s", "OU": "System" } ] } 生成 kube-proxy 证书和私钥(Master节点执行) /opt/local/cfssl/cfssl gencert -ca=/etc/kubernetes/ssl/ca.pem \ -ca-key=/etc/kubernetes/ssl/ca-key.pem \ -config=/opt/ssl/config.json \ -profile=kubernetes kube-proxy-csr.json | /opt/local/cfssl/cfssljson -bare kube-proxy # 查看生成 [root@mimo222 ssl]# ll kube-proxy* -rw-r--r-- 1 root root 1013 Dec 14 20:09 kube-proxy.csr -rw-r--r-- 1 root root 232 Dec 14 20:09 kube-proxy-csr.json -rw------- 1 root root 1679 Dec 14 20:09 kube-proxy-key.pem -rw-r--r-- 1 root root 1407 Dec 14 20:09 kube-proxy.pem # 拷贝到目录 cp kube-proxy*.pem /etc/kubernetes/ssl/ 创建 kube-proxy kubeconfig 文件(Master节点执行) # 配置集群(server要写master ip地址,不要使用127.0.0.1或localhost,否则node节点无法识别) kubectl config set-cluster kubernetes \ --certificate-authority=/etc/kubernetes/ssl/ca.pem \ --embed-certs=true \ --server=https://10.0.11.222:6443 \ --kubeconfig=kube-proxy.kubeconfig # 配置客户端认证(注意证书路径) kubectl config set-credentials kube-proxy \ --client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \ --client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \ --embed-certs=true \ --kubeconfig=kube-proxy.kubeconfig # 配置关联 kubectl config set-context default \ --cluster=kubernetes \ --user=kube-proxy \ --kubeconfig=kube-proxy.kubeconfig # 配置默认关联 kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig # 拷贝到目录 mv kube-proxy.kubeconfig /etc/kubernetes/ 从master节点拷贝证书

所有需要的证书生成最好都在master节点进行生成,然后统一管理,node节点需要哪些,直接从master拷贝即可。

[root@mimo222 ~]# mkdir -p /etc/kubernetes/ssl/ [root@mimo222 ~]# cd /etc/kubernetes/ # kubelet kubeconfig 文件 [root@mimo222 ~]# scp 10.0.11.222:/etc/kubernetes/bootstrap.kubeconfig ./ # kube-proxy kubeconfig 文件 [root@mimo222 ~]# scp 10.0.11.222:/etc/kubernetes/kube-proxy.kubeconfig ./ [root@mimo222 ~]# cd /etc/kubernetes/ssl # kubernetes相关证书 [root@mimo222 ~]# scp 10.0.11.222:/etc/kubernetes/ssl/ca.pem ./ [root@mimo222 ~]# scp 10.0.11.222:/etc/kubernetes/ssl/kube-proxy.pem ./ [root@mimo222 ~]# scp 10.0.11.222:/etc/kubernetes/ssl/kube-proxy-key.pem ./ # flannel证书 [root@mimo222 ~]# scp 10.0.11.222:/etc/kubernetes/ssl/flanneld-key.pem ./ [root@mimo222 ~]# scp 10.0.11.222:/etc/kubernetes/ssl/flanneld.pem ./ node节点flannel配置 下载 flanneld [root@mimo222 ~]# mkdir /tnp/flannel [root@mimo222 ~]# cd /tmp/flannel [root@mimo222 ~]# wget https://github.com/coreos/flannel/releases/download/v0.7.1/flannel-v0.7.1-linux-amd64.tar.gz [root@mimo222 ~]# tar -xzvf flannel-v0.7.1-linux-amd64.tar.gz [root@mimo222 ~]# cp {flanneld,mk-docker-opts.sh} /usr/local/bin 配置并启动flanneld

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/3610a734fcb0347b51bf15379c90ac67.html