Kubernetes安装之六：配置master之api-server

1.生成api-server证书

包含3个master的ip及vip（如果还有多个vip，尤其是内外网的那种，都添加进去）

 cat > /etc/ssl/apiserver/kubernetes-csr.json <<EOF
{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "192.168.1.40",
    "192.168.1.41",
    "192.168.1.42",
    "192.168.1.43",
    "10.254.0.1",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ChengDu",
      "L": "ChengDu",
      "O": "k8s",
      "OU": "dessler"
    }
  ]
}
EOF
复制代码

• 说明：
• hosts 字段指定授权使用该证书的IP 或域名列表，这里列出了 VIP 、apiserver 节点 IP、kubernetes 服务 IP 和域名
• 域名最后字符不能是.(如不能为default.svc.cluster.local.)，否则解析时失败，提示： x509: cannot parse dnsName "kubernetes.default.svc.cluster.local."
• 如果使用非local 域名，如opsnull.com，则需要修改域名列表中的最后两个域名为：kubernetes.default.svc.opsnull、kubernetes.default.svc.opsnull.com
• kubernetes 服务 IP 是 apiserver 自动创建的，一般是--service-cluster-ip-range 参数指定的网段的第一个IP，后续可以通过如下命令获取：kubectl get svc kubernetes

2.分发证书和api-server的二进制文件到各个master节点

3.创建密钥key

备用

head -c 32 /dev/urandom | base64
7SYVGPUjN+hw2fxa6I3+vfy5wPK+0uRgqo0b9Lyp8To=
复制代码

4.创建加密配置文件

使用刚才的密匙

mkdir -p /opt/kubernetes/cfg/
cat > /opt/kubernetes/cfg/encryption-config.yaml <<EOF
kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: 7SYVGPUjN+hw2fxa6I3+vfy5wPK+0uRgqo0b9Lyp8To=
      - identity: {}
EOF
复制代码

5.创建k8s程序log目录

mkdir -p /var/log/kubernetes
复制代码

6.配置master的服务

注意修改里面的ip地址（不同的master需要修改）

因为就一个ip地址修改，所以这里就没有分成3个了配置，就一个配置，你们自己修改下里面的ip地址即可

cat > /usr/lib/systemd/system/kube-apiserver.service <<EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target

[Service]
ExecStart=/usr/bin/kube-apiserver \\
  --enable-admission-plugins=Initializers,NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota \\
  --anonymous-auth=false \\
  --experimental-encryption-provider-config=/opt/kubernetes/cfg/encryption-config.yaml \\
  --advertise-address=192.168.1.40 \\
  --bind-address=192.168.1.40 \\
  --insecure-port=0 \\
  --authorization-mode=Node,RBAC \\
  --runtime-config=api/all \\
  --enable-bootstrap-token-auth \\
  --service-cluster-ip-range=10.254.0.0/16 \\
  --tls-cert-file=/etc/ssl/apiserver/kubernetes.pem \\
  --tls-private-key-file=/etc/ssl/apiserver/kubernetes-key.pem \\
  --client-ca-file=/etc/ssl/ca.pem \\
  --kubelet-client-certificate=/etc/ssl/apiserver/kubernetes.pem \\
  --kubelet-client-key=/etc/ssl/apiserver/kubernetes-key.pem \\
  --service-account-key-file=/etc/ssl/ca-key.pem \\
  --etcd-cafile=/etc/ssl/ca.pem \\
  --etcd-certfile=/etc/ssl/apiserver/kubernetes.pem \\
  --etcd-keyfile=/etc/ssl/apiserver/kubernetes-key.pem \\
  --etcd-servers=https://192.168.1.40:2379,https://192.168.1.41:2379,https://192.168.1.42:2379 \\
  --enable-swagger-ui=true \\
  --allow-privileged=true \\
  --apiserver-count=2 \\
  --audit-log-maxage=30 \\
  --audit-log-maxbackup=3 \\
  --audit-log-maxsize=100 \\
  --audit-log-path=/var/log/kubernetes/kube-apiserver-audit.log \\
  --event-ttl=1h \\
  --alsologtostderr=true \\
  --logtostderr=false \\
  --log-dir=/var/log/kubernetes \\
  --v=2
Restart=on-failure
RestartSec=5
Type=notify
#User=k8s
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF
复制代码

• 说明：
• --experimental-encryption-provider-config：启用加密特性
• --authorization-mode=Node,RBAC： 开启 Node 和 RBAC 授权模式，拒绝未授权的请求
• --enable-admission-plugins：启用ServiceAccount 和 NodeRestriction
• --service-account-key-file：签名 ServiceAccount Token 的公钥文件，kube-controller-manager 的--service-account-private-key-file 指定私钥文件，两者配对使用
• --tls-*-file：指定 apiserver 使用的证书、私钥和 CA 文件。--client-ca-file 用于验证 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)请求所带的证书
• --kubelet-client-certificate、--kubelet-client-key：如果指定，则使用 https 访问 kubelet APIs；需要为证书对应的用户(上面 kubernetes*.pem 证书的用户为 kubernetes) 用户定义 RBAC 规则，否则访问 kubelet API 时提示未授权
• --bind-address： 不能为0.0.1，否则外界不能访问它的安全端口 6443
• --insecure-port=0：关闭监听非安全端口(8080)
• --service-cluster-ip-range： 指定 Service Cluster IP 地址段
• --service-node-port-range： 指定 NodePort 的端口范围
• --runtime-config=api/all=true： 启用所有版本的 APIs，如 autoscaling/v2alpha1
• --enable-bootstrap-token-auth：启用 kubelet bootstrap 的 token 认证
• --apiserver-count=3：指定集群运行模式，多台 kube-apiserver 会通过 leader 选举产生一个工作节点，其它节点处于阻塞状态
• User=k8s：使用 k8s 账户运行

7.授予 kubernetes 证书访问 kubelet API 的权限

kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes复制代码

8.启动服务

systemctl daemon-reload
systemctl start kube-apiserver
systemctl enable kube-apiserver
systemctl status kube-apiserver
复制代码

8.检查apiserver状态

kubectl cluster-info
Kubernetes master is running at https://192.168.1.43:8443

To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.复制代码

master的组件完成