二進制安裝Kubernetes（k8s）v1.34.0

介紹

https://github.com/cby-chen/Kubernetes 開源不易，幫忙點個star，謝謝了

kubernetes（k8s）二進制高可用安裝部署，支持IPv4+IPv6雙棧。

強烈建議在Github上查看文檔 ！！！

Github出問題會更新文檔，並且後續儘可能第一時間更新新版本文檔 ！！！

手動項目地址：https://github.com/cby-chen/Kubernetes

1.環境

詳細版本

網段

IPv4

物理主機：192.168.1.0/24

service：10.96.0.0/12

pod：172.16.0.0/12

IPv6

物理主機：2408:822a:732:5ce1::1001/64

物理主機：fc00::31/8

service：fd00:1111::/112

pod：fc00:2222::/112

安裝包已經整理好：https://github.com/cby-chen/Kubernetes/releases/download/v1.34.0/kubernetes-v1.34.0.tar

1.1.k8s基礎系統環境配置

1.2.配置IP

# 注意！
# 若虛擬機是進行克隆的那麼網卡的UUID和MachineID會重複
# 需要重新生成新的UUIDUUID和MachineID
# UUID和MachineID重複無法DHCP獲取到IPV6地址
ssh root@192.168.1.195 "rm -rf /etc/machine-id; systemd-machine-id-setup;reboot"
ssh root@192.168.1.196 "rm -rf /etc/machine-id; systemd-machine-id-setup;reboot"
ssh root@192.168.1.197 "rm -rf /etc/machine-id; systemd-machine-id-setup;reboot"
ssh root@192.168.1.198 "rm -rf /etc/machine-id; systemd-machine-id-setup;reboot"
ssh root@192.168.1.199 "rm -rf /etc/machine-id; systemd-machine-id-setup;reboot"
# 
# 查看當前的網卡列表和 UUID：
# nmcli con show
# 刪除要更改 UUID 的網絡連接：
# nmcli con delete uuid <原 UUID>
# 重新生成 UUID：
# nmcli con add type ethernet ifname <接口名稱> con-name <新名稱>
# 重新啓用網絡連接：
# nmcli con up <新名稱>

# 更改網卡的UUID
# 先配置靜態IP之後使用ssh方式配置不斷連
ssh root@192.168.1.195 "nmcli con delete uuid d1141403-18c6-3149-907c-ed5f09663a7f;nmcli con add type ethernet ifname ens160 con-name ens160;nmcli con up ens160"
ssh root@192.168.1.196 "nmcli con delete uuid d1141403-18c6-3149-907c-ed5f09663a7f;nmcli con add type ethernet ifname ens160 con-name ens160;nmcli con up ens160"
ssh root@192.168.1.197 "nmcli con delete uuid d1141403-18c6-3149-907c-ed5f09663a7f;nmcli con add type ethernet ifname ens160 con-name ens160;nmcli con up ens160"
ssh root@192.168.1.198 "nmcli con delete uuid d1141403-18c6-3149-907c-ed5f09663a7f;nmcli con add type ethernet ifname ens160 con-name ens160;nmcli con up ens160"
ssh root@192.168.1.199 "nmcli con delete uuid d1141403-18c6-3149-907c-ed5f09663a7f;nmcli con add type ethernet ifname ens160 con-name ens160;nmcli con up ens160"

# 參數解釋
# 
# ssh ssh root@192.168.1.31
# 使用SSH登錄到IP為192.168.1.31的主機，使用root用户身份。
# 
# nmcli con delete uuid 708a1497-2192-43a5-9f03-2ab936fb3c44
# 刪除 UUID 為 708a1497-2192-43a5-9f03-2ab936fb3c44 的網絡連接，這是 NetworkManager 中一種特定網絡配置的唯一標識符。
# 
# nmcli con add type ethernet ifname ens160 con-name ens160
# 添加一種以太網連接類型，並指定接口名為 ens160，連接名稱也為 ens160。
# 
# nmcli con up ens160
# 開啓 ens160 這個網絡連接。
# 
# 簡單來説，這個命令的作用是刪除一個特定的網絡連接配置，並添加一個名為 ens160 的以太網連接，然後啓用這個新的連接。

# 修改靜態的IPv4地址
ssh root@192.168.1.195 "nmcli con mod ens160 ipv4.addresses 192.168.1.31/24; nmcli con mod ens160 ipv4.gateway  192.168.1.1; nmcli con mod ens160 ipv4.method manual; nmcli con mod ens160 ipv4.dns "8.8.8.8"; nmcli con up ens160"
ssh root@192.168.1.196 "nmcli con mod ens160 ipv4.addresses 192.168.1.32/24; nmcli con mod ens160 ipv4.gateway  192.168.1.1; nmcli con mod ens160 ipv4.method manual; nmcli con mod ens160 ipv4.dns "8.8.8.8"; nmcli con up ens160"
ssh root@192.168.1.197 "nmcli con mod ens160 ipv4.addresses 192.168.1.33/24; nmcli con mod ens160 ipv4.gateway  192.168.1.1; nmcli con mod ens160 ipv4.method manual; nmcli con mod ens160 ipv4.dns "8.8.8.8"; nmcli con up ens160"
ssh root@192.168.1.198 "nmcli con mod ens160 ipv4.addresses 192.168.1.34/24; nmcli con mod ens160 ipv4.gateway  192.168.1.1; nmcli con mod ens160 ipv4.method manual; nmcli con mod ens160 ipv4.dns "8.8.8.8"; nmcli con up ens160"
ssh root@192.168.1.199 "nmcli con mod ens160 ipv4.addresses 192.168.1.35/24; nmcli con mod ens160 ipv4.gateway  192.168.1.1; nmcli con mod ens160 ipv4.method manual; nmcli con mod ens160 ipv4.dns "8.8.8.8"; nmcli con up ens160"

# 參數解釋
# 
# ssh root@192.168.1.154
# 使用SSH登錄到IP為192.168.1.154的主機，使用root用户身份。
# 
# "nmcli con mod ens160 ipv4.addresses 192.168.1.31/24"
# 修改ens160網絡連接的IPv4地址為192.168.1.31，子網掩碼為 24。
# 
# "nmcli con mod ens160 ipv4.gateway 192.168.1.1"
# 修改ens160網絡連接的IPv4網關為192.168.1.1。
# 
# "nmcli con mod ens160 ipv4.method manual"
# 將ens160網絡連接的IPv4配置方法設置為手動。
# 
# "nmcli con mod ens160 ipv4.dns "8.8.8.8"
# 將ens160網絡連接的IPv4 DNS服務器設置為 8.8.8.8。
# 
# "nmcli con up ens160"
# 啓動ens160網絡連接。
# 
# 總體來説，這條命令是通過SSH遠程登錄到指定的主機，並使用網絡管理命令 (nmcli) 修改ens160網絡連接的配置，包括IP地址、網關、配置方法和DNS服務器，並啓動該網絡連接。

# 我這裏有公網的IPv6的地址，但是是DHCP動態的，無法固定，使用不方便
# 所以我配置了內網的IPv6地址，可以實現固定的訪問地址

# 我使用的方式。只配置IPv6地址不配置網關DNS
ssh root@192.168.1.31 "nmcli con mod ens160 ipv6.addresses fc00::31/8; nmcli con up ens160"
ssh root@192.168.1.32 "nmcli con mod ens160 ipv6.addresses fc00::32/8; nmcli con up ens160"
ssh root@192.168.1.33 "nmcli con mod ens160 ipv6.addresses fc00::33/8; nmcli con up ens160"
ssh root@192.168.1.34 "nmcli con mod ens160 ipv6.addresses fc00::34/8; nmcli con up ens160"
ssh root@192.168.1.35 "nmcli con mod ens160 ipv6.addresses fc00::35/8; nmcli con up ens160"

# IPv6地址路由DNS，樣例
ssh root@192.168.1.31 "nmcli con mod ens160 ipv6.addresses fc00:43f4:1eea:1::10; nmcli con mod ens160 ipv6.gateway fc00:43f4:1eea:1::1; nmcli con mod ens160 ipv6.method manual; nmcli con mod ens160 ipv6.dns "2400:3200::1"; nmcli con up ens160"
ssh root@192.168.1.32 "nmcli con mod ens160 ipv6.addresses fc00:43f4:1eea:1::20; nmcli con mod ens160 ipv6.gateway fc00:43f4:1eea:1::1; nmcli con mod ens160 ipv6.method manual; nmcli con mod ens160 ipv6.dns "2400:3200::1"; nmcli con up ens160"
ssh root@192.168.1.33 "nmcli con mod ens160 ipv6.addresses fc00:43f4:1eea:1::30; nmcli con mod ens160 ipv6.gateway fc00:43f4:1eea:1::1; nmcli con mod ens160 ipv6.method manual; nmcli con mod ens160 ipv6.dns "2400:3200::1"; nmcli con up ens160"
ssh root@192.168.1.34 "nmcli con mod ens160 ipv6.addresses fc00:43f4:1eea:1::40; nmcli con mod ens160 ipv6.gateway fc00:43f4:1eea:1::1; nmcli con mod ens160 ipv6.method manual; nmcli con mod ens160 ipv6.dns "2400:3200::1"; nmcli con up ens160"
ssh root@192.168.1.35 "nmcli con mod ens160 ipv6.addresses fc00:43f4:1eea:1::50; nmcli con mod ens160 ipv6.gateway fc00:43f4:1eea:1::1; nmcli con mod ens160 ipv6.method manual; nmcli con mod ens160 ipv6.dns "2400:3200::1"; nmcli con up ens160"

# 參數解釋
# 
# ssh root@192.168.1.31
# 通過SSH連接到IP地址為192.168.1.31的遠程主機，使用root用户進行登錄。
# 
# "nmcli con mod ens160 ipv6.addresses fc00:43f4:1eea:1::10"
# 使用nmcli命令修改ens160接口的IPv6地址為fc00:43f4:1eea:1::10。
# 
# "nmcli con mod ens160 ipv6.gateway fc00:43f4:1eea:1::1"
# 使用nmcli命令修改ens160接口的IPv6網關為fc00:43f4:1eea:1::1。
# 
# "nmcli con mod ens160 ipv6.method manual"
# 使用nmcli命令將ens160接口的IPv6配置方法修改為手動配置。
# 
# "nmcli con mod ens160 ipv6.dns "2400:3200::1"
# 使用nmcli命令設置ens160接口的IPv6 DNS服務器為2400:3200::1。
# 
# "nmcli con up ens160"
# 使用nmcli命令啓動ens160接口。
# 
# 這個命令的目的是在遠程主機上配置ens160接口的IPv6地址、網關、配置方法和DNS服務器，並啓動ens160接口。

# 查看網卡配置
# nmcli device show ens160
# nmcli con show ens160
[root@localhost ~]#  cat /etc/NetworkManager/system-connections/ens160.nmconnection 
[connection]
id=ens160
uuid=8eba8c2b-1137-497b-8331-28357ec9eafc
type=ethernet
interface-name=ens160
timestamp=1746419908

[ethernet]

[ipv4]
address1=192.168.1.31/24,192.168.1.1
dns=192.168.1.99;
method=manual

[ipv6]
addr-gen-mode=default
address1=fc00::31/8
method=auto

[proxy]

[root@localhost ~]# 

# 參數解釋
# 1. `[connection]`:
#    - `id`: 連接的唯一標識符，用於內部引用。
#    - `uuid`: 連接的通用唯一標識符（UUID），確保在系統中的唯一性。
#    - `type`: 指定連接的類型，本例中為以太網。
#    - `interface-name`: 網絡接口的名稱（`ens160`），表示與此連接關聯的物理或邏輯網絡接口。
#    - `timestamp`: 時間戳，指示連接配置上次修改的時間。
# 2. `[ethernet]`:
#    - 通常包含以太網特定的配置設置，如MAC地址或鏈路速度。
# 3. `[ipv4]`:
#    - `address1`: 以CIDR表示法指定IPv4地址和子網掩碼（`192.168.1.31/24`）。還包括網關IP（`192.168.1.1`）。
#    - `dns`: 指定要使用的DNS服務器（本例中為`8.8.8.8`），提供將域名轉換為IP地址的手段。
#    - `method`: 指定獲取IPv4地址的方法。在本例中，設置為手動，表示IP地址是靜態配置的。
# 4. `[ipv6]`:
#    - `addr-gen-mode`: 指定IPv6地址生成模式。設置為默認，通常意味着地址是根據接口的MAC地址生成的。
#    - `method`: 指定獲取IPv6地址的方法。在本例中，設置為自動，表示使用DHCPv6或SLAAC等協議進行自動配置。
# 5. `[proxy]`:
#    - 通常用於配置代理設置，如HTTP或SOCKS代理。

1.3.設置主機名

hostnamectl set-hostname k8s-master01
hostnamectl set-hostname k8s-master02
hostnamectl set-hostname k8s-master03
hostnamectl set-hostname k8s-node01
hostnamectl set-hostname k8s-node02

# 參數解釋
# 
# 參數: set-hostname
# 解釋: 這是hostnamectl命令的一個參數，用於設置系統的主機名。
# 
# 參數: k8s-master01
# 解釋: 這是要設置的主機名，將系統的主機名設置為"k8s-master01"。

1.4.配置yum源

# 其他系統的源地址
# https://help.mirrors.cernet.edu.cn/

# 對於私有倉庫
sed -e 's|^mirrorlist=|#mirrorlist=|g' -e 's|^#baseurl=http://mirror.centos.org/\$contentdir|baseurl=http://192.168.1.123/centos|g' -i.bak  /etc/yum.repos.d/CentOS-*.repo

# 對於 Ubuntu
sed -i 's/cn.archive.ubuntu.com/mirrors.ustc.edu.cn/g' /etc/apt/sources.list

# epel擴展源
sudo yum install -y epel-release
sudo sed -e 's!^metalink=!#metalink=!g' \
    -e 's!^#baseurl=!baseurl=!g' \
    -e 's!https\?://download\.fedoraproject\.org/pub/epel!https://mirror.nju.edu.cn/epel!g' \
    -e 's!https\?://download\.example/pub/epel!https://mirror.nju.edu.cn/epel!g' \
    -i /etc/yum.repos.d/epel{,-testing}.repo

# 對於 CentOS 7
sudo sed -e 's|^mirrorlist=|#mirrorlist=|g' \
         -e 's|^#baseurl=http://mirror.centos.org/centos|baseurl=https://mirror.nju.edu.cn/centos|g' \
         -i.bak \
         /etc/yum.repos.d/CentOS-*.repo

# 對於 CentOS 8
sudo sed -e 's|^mirrorlist=|#mirrorlist=|g' \
         -e 's|^#baseurl=http://mirror.centos.org/$contentdir|baseurl=https://mirror.nju.edu.cn/centos|g' \
         -i.bak \
         /etc/yum.repos.d/CentOS-*.repo

# 對於CentOS 9
cat <<'EOF' > /etc/yum.repos.d/centos.repo
[baseos]
name=CentOS Stream $releasever - BaseOS
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/BaseOS/$basearch/os
# metalink=https://mirrors.centos.org/metalink?repo=centos-baseos-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
countme=1
enabled=1

[baseos-debuginfo]
name=CentOS Stream $releasever - BaseOS - Debug
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/BaseOS/$basearch/debug/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-baseos-debug-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[baseos-source]
name=CentOS Stream $releasever - BaseOS - Source
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/BaseOS/source/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-baseos-source-$stream&arch=source&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[appstream]
name=CentOS Stream $releasever - AppStream
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/AppStream/$basearch/os
# metalink=https://mirrors.centos.org/metalink?repo=centos-appstream-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
countme=1
enabled=1

[appstream-debuginfo]
name=CentOS Stream $releasever - AppStream - Debug
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/AppStream/$basearch/debug/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-appstream-debug-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[appstream-source]
name=CentOS Stream $releasever - AppStream - Source
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/AppStream/source/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-appstream-source-$stream&arch=source&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[crb]
name=CentOS Stream $releasever - CRB
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/CRB/$basearch/os
# metalink=https://mirrors.centos.org/metalink?repo=centos-crb-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
countme=1
enabled=1

[crb-debuginfo]
name=CentOS Stream $releasever - CRB - Debug
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/CRB/$basearch/debug/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-crb-debug-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[crb-source]
name=CentOS Stream $releasever - CRB - Source
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/CRB/source/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-crb-source-$stream&arch=source&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0
EOF

cat <<'EOF' > /etc/yum.repos.d/centos-addons.repo
[highavailability]
name=CentOS Stream $releasever - HighAvailability
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/HighAvailability/$basearch/os
# metalink=https://mirrors.centos.org/metalink?repo=centos-highavailability-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
countme=1
enabled=0

[highavailability-debuginfo]
name=CentOS Stream $releasever - HighAvailability - Debug
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/HighAvailability/$basearch/debug/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-highavailability-debug-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[highavailability-source]
name=CentOS Stream $releasever - HighAvailability - Source
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/HighAvailability/source/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-highavailability-source-$stream&arch=source&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[nfv]
name=CentOS Stream $releasever - NFV
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/NFV/$basearch/os
# metalink=https://mirrors.centos.org/metalink?repo=centos-nfv-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
countme=1
enabled=0

[nfv-debuginfo]
name=CentOS Stream $releasever - NFV - Debug
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/NFV/$basearch/debug/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-nfv-debug-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[nfv-source]
name=CentOS Stream $releasever - NFV - Source
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/NFV/source/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-nfv-source-$stream&arch=source&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[rt]
name=CentOS Stream $releasever - RT
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/RT/$basearch/os
# metalink=https://mirrors.centos.org/metalink?repo=centos-rt-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
countme=1
enabled=0

[rt-debuginfo]
name=CentOS Stream $releasever - RT - Debug
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/RT/$basearch/debug/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-rt-debug-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[rt-source]
name=CentOS Stream $releasever - RT - Source
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/RT/source/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-rt-source-$stream&arch=source&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[resilientstorage]
name=CentOS Stream $releasever - ResilientStorage
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/ResilientStorage/$basearch/os
# metalink=https://mirrors.centos.org/metalink?repo=centos-resilientstorage-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
countme=1
enabled=0

[resilientstorage-debuginfo]
name=CentOS Stream $releasever - ResilientStorage - Debug
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/ResilientStorage/$basearch/debug/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-resilientstorage-debug-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[resilientstorage-source]
name=CentOS Stream $releasever - ResilientStorage - Source
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/$releasever-stream/ResilientStorage/source/tree/
# metalink=https://mirrors.centos.org/metalink?repo=centos-resilientstorage-source-$stream&arch=source&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0

[extras-common]
name=CentOS Stream $releasever - Extras packages
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/SIGs/$releasever-stream/extras/$basearch/extras-common
# metalink=https://mirrors.centos.org/metalink?repo=centos-extras-sig-extras-common-$stream&arch=$basearch&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-SIG-Extras-SHA512
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
countme=1
enabled=1

[extras-common-source]
name=CentOS Stream $releasever - Extras packages - Source
baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos-stream/SIGs/$releasever-stream/extras/source/extras-common
# metalink=https://mirrors.centos.org/metalink?repo=centos-extras-sig-extras-common-source-$stream&arch=source&protocol=https,http
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-SIG-Extras-SHA512
gpgcheck=1
repo_gpgcheck=0
metadata_expire=6h
enabled=0
EOF

1.5.安裝一些必備工具

# 對於 Ubuntu
apt update && apt upgrade -y && apt install -y wget psmisc vim net-tools nfs-kernel-server telnet lvm2 git tar curl

# 對於 CentOS 7
yum update -y && yum -y install  wget psmisc vim net-tools nfs-utils telnet yum-utils device-mapper-persistent-data lvm2 git tar curl

# 對於 CentOS 8
yum update -y && yum -y install wget psmisc vim net-tools nfs-utils telnet yum-utils device-mapper-persistent-data lvm2 git network-scripts tar curl

# 對於 CentOS 9
yum update -y && yum -y install wget psmisc vim net-tools nfs-utils telnet yum-utils device-mapper-persistent-data lvm2 git tar curl

1.5.1 下載離線所需文件(可選)

在互聯網服務器上安裝一個一模一樣的系統進行下載所需包

CentOS7

# 下載必要工具
yum -y install createrepo yum-utils wget epel*

# 下載全量依賴包
repotrack createrepo wget psmisc vim net-tools nfs-utils telnet yum-utils device-mapper-persistent-data lvm2 git tar curl gcc keepalived haproxy bash-completion chrony sshpass ipvsadm ipset sysstat conntrack libseccomp

# 刪除libseccomp
rm -rf libseccomp-*.rpm

# 下載libseccomp
wget http://rpmfind.net/linux/centos/8-stream/BaseOS/x86_64/os/Packages/libseccomp-2.5.1-1.el8.x86_64.rpm

# 創建yum源信息
createrepo -u -d /data/centos7/

# 拷貝包到內網機器上
scp -r /data/centos7/ root@192.168.1.31:
scp -r /data/centos7/ root@192.168.1.32:
scp -r /data/centos7/ root@192.168.1.33:
scp -r /data/centos7/ root@192.168.1.34:
scp -r /data/centos7/ root@192.168.1.35:

# 在內網機器上創建repo配置文件
rm -rf /etc/yum.repos.d/*
cat > /etc/yum.repos.d/123.repo  << EOF 
[cby]
name=CentOS-$releasever - Media
baseurl=file:///root/centos7/
gpgcheck=0
enabled=1
EOF

# 安裝下載好的包
yum clean all
yum makecache
yum install /root/centos7/* --skip-broken -y

#### 備註 #####
# 安裝完成後，可能還會出現yum無法使用那麼再次執行
rm -rf /etc/yum.repos.d/*
cat > /etc/yum.repos.d/123.repo  << EOF 
[cby]
name=CentOS-$releasever - Media
baseurl=file:///root/centos7/
gpgcheck=0
enabled=1
EOF
yum clean all
yum makecache
yum install /root/centos7/*.rpm --skip-broken -y

#### 備註 #####
# 安裝 chrony 和 libseccomp
# yum install /root/centos7/libseccomp-2.5.1*.rpm -y
# yum install /root/centos7/chrony-*.rpm -y

CentOS8

# 下載必要工具
yum -y install createrepo yum-utils wget epel*

# 下載全量依賴包
repotrack wget psmisc vim net-tools nfs-utils telnet yum-utils device-mapper-persistent-data lvm2 git network-scripts tar curl gcc keepalived haproxy bash-completion chrony sshpass ipvsadm ipset sysstat conntrack libseccomp

# 創建yum源信息
createrepo -u -d /data/centos8/

# 拷貝包到內網機器上
scp -r centos8/ root@192.168.1.31:
scp -r centos8/ root@192.168.1.32:
scp -r centos8/ root@192.168.1.33:
scp -r centos8/ root@192.168.1.34:
scp -r centos8/ root@192.168.1.35:

# 在內網機器上創建repo配置文件
rm -rf /etc/yum.repos.d/*
cat > /etc/yum.repos.d/123.repo  << EOF 
[cby]
name=CentOS-$releasever - Media
baseurl=file:///root/centos8/
gpgcheck=0
enabled=1
EOF

# 安裝下載好的包
yum clean all
yum makecache
yum install /root/centos8/* --skip-broken -y

#### 備註 #####
# 安裝完成後，可能還會出現yum無法使用那麼再次執行
rm -rf /etc/yum.repos.d/*
cat > /etc/yum.repos.d/123.repo  << EOF 
[cby]
name=CentOS-$releasever - Media
baseurl=file:///root/centos8/
gpgcheck=0
enabled=1
EOF
yum clean all
yum makecache
yum install /root/centos8/*.rpm --skip-broken -y

CentOS9

# 下載必要工具
yum -y install createrepo yum-utils wget epel*

# 下載全量依賴包
repotrack wget psmisc vim net-tools nfs-utils telnet yum-utils device-mapper-persistent-data lvm2 git tar curl
# 創建yum源信息
createrepo -u -d centos9/

# 拷貝包到內網機器上
scp -r centos9/ root@192.168.1.31:
scp -r centos9/ root@192.168.1.32:
scp -r centos9/ root@192.168.1.33:
scp -r centos9/ root@192.168.1.34:
scp -r centos9/ root@192.168.1.35:

# 在內網機器上創建repo配置文件
rm -rf /etc/yum.repos.d/*
cat > /etc/yum.repos.d/123.repo  << EOF 
[cby]
name=CentOS-$releasever - Media
baseurl=file:///root/centos9/
gpgcheck=0
enabled=1
EOF

# 安裝下載好的包
yum clean all
yum makecache
yum install /root/centos9/*.rpm --skip-broken -y

Ubuntu 下載包和依賴

#!/bin/bash

logfile=123.log
ret=""
function getDepends()
{
   echo "fileName is" $1>>$logfile
   # use tr to del < >
   ret=`apt-cache depends $1|grep Depends |cut -d: -f2 |tr -d "<>"`
   echo $ret|tee  -a $logfile
}
# 需要獲取其所依賴包的包
libs="wget psmisc vim net-tools nfs-kernel-server telnet lvm2 git tar curl gcc keepalived haproxy bash-completion chrony sshpass ipvsadm ipset sysstat conntrack libseccomp"

# download libs dependen. deep in 3
i=0
while [ $i -lt 3 ] ;
do
    let i++
    echo $i
    # download libs
    newlist=" "
    for j in $libs
    do
        added="$(getDepends $j)"
        newlist="$newlist $added"
        apt install $added --reinstall -d -y
    done

    libs=$newlist
done

# 創建源信息
apt install dpkg-dev
sudo cp /var/cache/apt/archives/*.deb /data/ubuntu/ -r
dpkg-scanpackages . /dev/null |gzip > /data/ubuntu/Packages.gz -r

# 拷貝包到內網機器上
scp -r ubuntu/ root@192.168.1.31:
scp -r ubuntu/ root@192.168.1.32:
scp -r ubuntu/ root@192.168.1.33:
scp -r ubuntu/ root@192.168.1.34:
scp -r ubuntu/ root@192.168.1.35:

# 在內網機器上配置apt源
vim /etc/apt/sources.list
cat /etc/apt/sources.list
deb file:////root/ ubuntu/

# 安裝deb包
apt install ./*.deb

1.6.選擇性下載需要工具

#!/bin/bash

# 查看版本地址：
# 
# https://github.com/containernetworking/plugins/releases/
# https://github.com/containerd/containerd/releases/
# https://github.com/kubernetes-sigs/cri-tools/releases/
# https://github.com/Mirantis/cri-dockerd/releases/
# https://github.com/etcd-io/etcd/releases/
# https://github.com/cloudflare/cfssl/releases/
# https://github.com/kubernetes/kubernetes/tree/master/CHANGELOG
# https://download.docker.com/linux/static/stable/x86_64/
# https://github.com/opencontainers/runc/releases/
# https://github.com/helm/helm/tags
# http://nginx.org/download/

# Version numbers
cni_plugins_version='v1.7.1'
cri_containerd_cni_version='2.0.5'
crictl_version='v1.34.0'
cri_dockerd_version='0.3.17'
etcd_version='v3.5.21'
cfssl_version='1.6.5'
kubernetes_server_version='1.34.0'
docker_version='28.1.1'
runc_version='1.3.0'
kernel_version='5.4.278'
helm_version='3.17.3'
nginx_version='1.28.0'

# URLs 
base_url='https://github.com'
kernel_url="http://mirrors.tuna.tsinghua.edu.cn/elrepo/kernel/el7/x86_64/RPMS/kernel-lt-${kernel_version}-1.el7.elrepo.x86_64.rpm"
runc_url="${base_url}/opencontainers/runc/releases/download/v${runc_version}/runc.amd64"
docker_url="https://mirrors.ustc.edu.cn/docker-ce/linux/static/stable/x86_64/docker-${docker_version}.tgz"
cni_plugins_url="${base_url}/containernetworking/plugins/releases/download/${cni_plugins_version}/cni-plugins-linux-amd64-${cni_plugins_version}.tgz"
cri_containerd_cni_url="${base_url}/containerd/containerd/releases/download/v${cri_containerd_cni_version}/containerd-${cri_containerd_cni_version}-linux-amd64.tar.gz"
crictl_url="${base_url}/kubernetes-sigs/cri-tools/releases/download/${crictl_version}/crictl-${crictl_version}-linux-amd64.tar.gz"
cri_dockerd_url="${base_url}/Mirantis/cri-dockerd/releases/download/v${cri_dockerd_version}/cri-dockerd-${cri_dockerd_version}.amd64.tgz"
etcd_url="${base_url}/etcd-io/etcd/releases/download/${etcd_version}/etcd-${etcd_version}-linux-amd64.tar.gz"
cfssl_url="${base_url}/cloudflare/cfssl/releases/download/v${cfssl_version}/cfssl_${cfssl_version}_linux_amd64"
cfssljson_url="${base_url}/cloudflare/cfssl/releases/download/v${cfssl_version}/cfssljson_${cfssl_version}_linux_amd64"
helm_url="https://mirrors.huaweicloud.com/helm/v${helm_version}/helm-v${helm_version}-linux-amd64.tar.gz"
kubernetes_server_url="https://cdn.dl.k8s.io/release/v${kubernetes_server_version}/kubernetes-server-linux-amd64.tar.gz"
nginx_url="http://nginx.org/download/nginx-${nginx_version}.tar.gz"

# Download packages
packages=(
  # $kernel_url
  $runc_url
  $docker_url
  $cni_plugins_url
  $cri_containerd_cni_url
  $crictl_url
  $cri_dockerd_url
  $etcd_url
  $cfssl_url
  $cfssljson_url
  $helm_url
  $kubernetes_server_url
  $nginx_url
)

for package_url in "${packages[@]}"; do
  filename=$(basename "$package_url")
  if curl --parallel --parallel-immediate -k -L -C - -o "$filename" "$package_url"; then
    echo "Downloaded $filename"
  else
    echo "Failed to download $filename"
    exit 1
  fi
done

1.7.關閉防火牆

# Ubuntu忽略，CentOS執行
systemctl disable --now firewalld

1.8.關閉SELinux

# Ubuntu忽略，CentOS執行
setenforce 0
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

# 參數解釋
# 
# setenforce 0
# 此命令用於設置 SELinux 的執行模式。0 表示關閉 SELinux。
# 
# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
# 該命令使用 sed 工具來編輯 /etc/selinux/config 文件。其中 '-i' 參數表示直接修改原文件，而不是輸出到終端或另一個文件。's#SELINUX=enforcing#SELINUX=disabled#g' 是 sed 的替換命令，它將文件中所有的 "SELINUX=enforcing" 替換為 "SELINUX=disabled"。這裏的 '#' 是分隔符，用於替代傳統的 '/' 分隔符，以避免與路徑中的 '/' 衝突。

1.9.關閉交換分區

sed -ri 's/.*swap.*/#&/' /etc/fstab
swapoff -a && sysctl -w vm.swappiness=0

cat /etc/fstab
# /dev/mapper/centos-swap swap                    swap    defaults        0 0


# 參數解釋：
# 
# -ri: 這個參數用於在原文件中替換匹配的模式。-r表示擴展正則表達式，-i允許直接修改文件。
# 's/.*swap.*/#&/': 這是一個sed命令，用於在文件/etc/fstab中找到包含swap的行，並在行首添加#來註釋掉該行。
# /etc/fstab: 這是一個文件路徑，即/etc/fstab文件，用於存儲文件系統表。
# swapoff -a: 這個命令用於關閉所有啓用的交換分區。
# sysctl -w vm.swappiness=0: 這個命令用於修改vm.swappiness參數的值為0，表示系統在物理內存充足時更傾向於使用物理內存而非交換分區。

1.10.網絡配置（倆種方式二選一）

# Ubuntu忽略，CentOS執行，CentOS9不支持方式一

# 方式一
# systemctl disable --now NetworkManager
# systemctl start network && systemctl enable network

# 方式二
cat > /etc/NetworkManager/conf.d/calico.conf << EOF 
[keyfile]
unmanaged-devices=interface-name:cali*;interface-name:tunl*
EOF
systemctl restart NetworkManager

# 參數解釋
#
# 這個參數用於指定不由 NetworkManager 管理的設備。它由以下兩個部分組成
# 
# interface-name:cali*
# 表示以 "cali" 開頭的接口名稱被排除在 NetworkManager 管理之外。例如，"cali0", "cali1" 等接口不受 NetworkManager 管理。
# 
# interface-name:tunl*
# 表示以 "tunl" 開頭的接口名稱被排除在 NetworkManager 管理之外。例如，"tunl0", "tunl1" 等接口不受 NetworkManager 管理。
# 
# 通過使用這個參數，可以將特定的接口排除在 NetworkManager 的管理範圍之外，以便其他工具或進程可以獨立地管理和配置這些接口。

1.11.進行時間同步

# 服務端
# apt install chrony -y
yum install chrony -y
cat > /etc/chrony.conf << EOF 
pool ntp.aliyun.com iburst
driftfile /var/lib/chrony/drift
makestep 1.0 3
rtcsync
allow 192.168.1.0/24
local stratum 10
keyfile /etc/chrony.keys
leapsectz right/UTC
logdir /var/log/chrony
EOF

systemctl restart chronyd ; systemctl enable chronyd

# 客户端
# apt install chrony -y
yum install chrony -y
cat > /etc/chrony.conf << EOF 
pool 192.168.1.31 iburst
driftfile /var/lib/chrony/drift
makestep 1.0 3
rtcsync
keyfile /etc/chrony.keys
leapsectz right/UTC
logdir /var/log/chrony
EOF

systemctl restart chronyd ; systemctl enable chronyd

#使用客户端進行驗證
chronyc sources -v

# 參數解釋
#
# pool ntp.aliyun.com iburst
# 指定使用ntp.aliyun.com作為時間服務器池，iburst選項表示在初始同步時會發送多個請求以加快同步速度。
# 
# driftfile /var/lib/chrony/drift
# 指定用於保存時鐘漂移信息的文件路徑。
# 
# makestep 1.0 3
# 設置當系統時間與服務器時間偏差大於1秒時，會以1秒的步長進行調整。如果偏差超過3秒，則立即進行時間調整。
# 
# rtcsync
# 啓用硬件時鐘同步功能，可以提高時鐘的準確性。
# 
# allow 192.168.0.0/24
# 允許192.168.0.0/24網段範圍內的主機與chrony進行時間同步。
# 
# local stratum 10
# 將本地時鐘設為stratum 10，stratum值表示時鐘的準確度，值越小表示準確度越高。
# 
# keyfile /etc/chrony.keys
# 指定使用的密鑰文件路徑，用於對時間同步進行身份驗證。
# 
# leapsectz right/UTC
# 指定時區為UTC。
# 
# logdir /var/log/chrony
# 指定日誌文件存放目錄。

1.12.配置ulimit

ulimit -SHn 65535
cat >> /etc/security/limits.conf <<EOF
* soft nofile 655360
* hard nofile 131072
* soft nproc 655350
* hard nproc 655350
* seft memlock unlimited
* hard memlock unlimitedd
EOF

# 參數解釋
#
# soft nofile 655360
# soft表示軟限制，nofile表示一個進程可打開的最大文件數，默認值為1024。這裏的軟限制設置為655360，即一個進程可打開的最大文件數為655360。
#
# hard nofile 131072
# hard表示硬限制，即系統設置的最大值。nofile表示一個進程可打開的最大文件數，默認值為4096。這裏的硬限制設置為131072，即系統設置的最大文件數為131072。
#
# soft nproc 655350
# soft表示軟限制，nproc表示一個用户可創建的最大進程數，默認值為30720。這裏的軟限制設置為655350，即一個用户可創建的最大進程數為655350。
#
# hard nproc 655350
# hard表示硬限制，即系統設置的最大值。nproc表示一個用户可創建的最大進程數，默認值為4096。這裏的硬限制設置為655350，即系統設置的最大進程數為655350。
#
# seft memlock unlimited
# seft表示軟限制，memlock表示一個進程可鎖定在RAM中的最大內存，默認值為64 KB。這裏的軟限制設置為unlimited，即一個進程可鎖定的最大內存為無限制。
#
# hard memlock unlimited
# hard表示硬限制，即系統設置的最大值。memlock表示一個進程可鎖定在RAM中的最大內存，默認值為64 KB。這裏的硬限制設置為unlimited，即系統設置的最大內存鎖定為無限制。

1.13.配置免密登錄

# apt install -y sshpass
yum install -y sshpass
ssh-keygen -f /root/.ssh/id_rsa -P ''
export IP="192.168.1.31 192.168.1.32 192.168.1.33 192.168.1.34 192.168.1.35"
export SSHPASS=123123
for HOST in $IP;do
     sshpass -e ssh-copy-id -o StrictHostKeyChecking=no $HOST
done

# 這段腳本的作用是在一台機器上安裝sshpass工具，並通過sshpass自動將本機的SSH公鑰複製到多個遠程主機上，以實現無需手動輸入密碼的SSH登錄。
# 
# 具體解釋如下：
# 
# 1. `apt install -y sshpass` 或 `yum install -y sshpass`：通過包管理器（apt或yum）安裝sshpass工具，使得後續可以使用sshpass命令。
# 
# 2. `ssh-keygen -f /root/.ssh/id_rsa -P ''`：生成SSH密鑰對。該命令會在/root/.ssh目錄下生成私鑰文件id_rsa和公鑰文件id_rsa.pub，同時不設置密碼（即-P參數後面為空），方便後續通過ssh-copy-id命令自動複製公鑰。
# 
# 3. `export IP="192.168.1.31 192.168.1.32 192.168.1.33 192.168.1.34 192.168.1.35"`：設置一個包含多個遠程主機IP地址的環境變量IP，用空格分隔開，表示要將SSH公鑰複製到這些遠程主機上。
# 
# 4. `export SSHPASS=123123`：設置環境變量SSHPASS，將sshpass所需的SSH密碼（在這裏是"123123"）賦值給它，這樣sshpass命令可以自動使用這個密碼進行登錄。
# 
# 5. `for HOST in $IP;do`：遍歷環境變量IP中的每個IP地址，並將當前IP地址賦值給變量HOST。
# 
# 6. `sshpass -e ssh-copy-id -o StrictHostKeyChecking=no $HOST`：使用sshpass工具複製本機的SSH公鑰到遠程主機。其中，-e選項表示使用環境變量中的密碼（即SSHPASS）進行登錄，-o StrictHostKeyChecking=no選項表示連接時不檢查遠程主機的公鑰，以避免交互式確認。
# 
# 通過這段腳本，可以方便地將本機的SSH公鑰複製到多個遠程主機上，實現無需手動輸入密碼的SSH登錄。

1.14.添加啓用源

# Ubuntu忽略，CentOS執行

# 為 RHEL-9或 CentOS-9配置源
yum install https://www.elrepo.org/elrepo-release-9.el9.elrepo.noarch.rpm -y 
sed -i "s@mirrorlist@#mirrorlist@g" /etc/yum.repos.d/elrepo.repo 
sed -i "s@elrepo.org/linux@mirrors.tuna.tsinghua.edu.cn/elrepo@g" /etc/yum.repos.d/elrepo.repo 

# 為 RHEL-8或 CentOS-8配置源
yum install https://www.elrepo.org/elrepo-release-8.el8.elrepo.noarch.rpm -y 
sed -i "s@mirrorlist@#mirrorlist@g" /etc/yum.repos.d/elrepo.repo 
sed -i "s@elrepo.org/linux@mirrors.tuna.tsinghua.edu.cn/elrepo@g" /etc/yum.repos.d/elrepo.repo 

# 為 RHEL-7 SL-7 或 CentOS-7 安裝 ELRepo 
yum install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm -y 
sed -i "s@mirrorlist@#mirrorlist@g" /etc/yum.repos.d/elrepo.repo 
sed -i "s@elrepo.org/linux@mirrors.tuna.tsinghua.edu.cn/elrepo@g" /etc/yum.repos.d/elrepo.repo 

# 查看可用安裝包
yum  --disablerepo="*"  --enablerepo="elrepo-kernel"  list  available

1.15.升級內核至4.18版本以上

# Ubuntu忽略，CentOS執行

# 安裝最新的內核
# 我這裏選擇的是穩定版kernel-ml   如需更新長期維護版本kernel-lt  
yum -y --enablerepo=elrepo-kernel  install  kernel-ml

# 查看已安裝那些內核
rpm -qa | grep kernel

# 查看默認內核
grubby --default-kernel

# 若不是最新的使用命令設置
grubby --set-default $(ls /boot/vmlinuz-* | grep elrepo)

# 重啓生效
reboot

# v8 整合命令為：
yum install https://www.elrepo.org/elrepo-release-8.el8.elrepo.noarch.rpm -y ; sed -i "s@mirrorlist@#mirrorlist@g" /etc/yum.repos.d/elrepo.repo ; sed -i "s@elrepo.org/linux@mirrors.tuna.tsinghua.edu.cn/elrepo@g" /etc/yum.repos.d/elrepo.repo ; yum  --disablerepo="*"  --enablerepo="elrepo-kernel"  list  available -y ; yum  --enablerepo=elrepo-kernel  install kernel-lt -y ; grubby --default-kernel ; reboot 

# v7 整合命令為：
yum install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm -y ; sed -i "s@mirrorlist@#mirrorlist@g" /etc/yum.repos.d/elrepo.repo ; sed -i "s@elrepo.org/linux@mirrors.tuna.tsinghua.edu.cn/elrepo@g" /etc/yum.repos.d/elrepo.repo ; yum  --disablerepo="*"  --enablerepo="elrepo-kernel"  list  available -y ; yum  --enablerepo=elrepo-kernel  install  kernel-lt -y ; grubby --set-default $(ls /boot/vmlinuz-* | grep elrepo) ; grubby --default-kernel ; reboot 

# 離線版本 
yum install -y /root/cby/kernel-lt-*-1.el7.elrepo.x86_64.rpm ; grubby --set-default $(ls /boot/vmlinuz-* | grep elrepo) ; grubby --default-kernel ; reboot 

1.16.安裝ipvsadm

# 對於CentOS7離線安裝
# yum install /root/centos7/ipset-*.el7.x86_64.rpm /root/centos7/lm_sensors-libs-*.el7.x86_64.rpm  /root/centos7/ipset-libs-*.el7.x86_64.rpm /root/centos7/sysstat-*.el7_9.x86_64.rpm  /root/centos7/ipvsadm-*.el7.x86_64.rpm  -y

# 對於 Ubuntu
# apt install ipvsadm ipset sysstat conntrack -y

# 對於 CentOS
yum install ipvsadm ipset sysstat conntrack libseccomp -y
cat >> /etc/modules-load.d/ipvs.conf <<EOF 
ip_vs
ip_vs_rr
ip_vs_wrr
ip_vs_sh
nf_conntrack
ip_tables
ip_set
xt_set
ipt_set
ipt_rpfilter
ipt_REJECT
ipip
EOF

systemctl restart systemd-modules-load.service

lsmod | grep -e ip_vs -e nf_conntrack
ip_vs_sh               16384  0
ip_vs_wrr              16384  0
ip_vs_rr               16384  0
ip_vs                 237568  6 ip_vs_rr,ip_vs_sh,ip_vs_wrr
nf_conntrack          217088  3 nf_nat,nft_ct,ip_vs
nf_defrag_ipv6         24576  2 nf_conntrack,ip_vs
nf_defrag_ipv4         16384  1 nf_conntrack
libcrc32c              16384  5 nf_conntrack,nf_nat,nf_tables,xfs,ip_vs

# 參數解釋
#
# ip_vs
# IPVS 是 Linux 內核中的一個模塊，用於實現負載均衡和高可用性。它通過在前端代理服務器上分發傳入請求到後端實際服務器上，提供了高性能和可擴展的網絡服務。
# ip_vs_rr
# IPVS 的一種調度算法之一，使用輪詢方式分發請求到後端服務器，每個請求按順序依次分發。
# ip_vs_wrr
# IPVS 的一種調度算法之一，使用加權輪詢方式分發請求到後端服務器，每個請求按照指定的權重比例分發。
# ip_vs_sh
# IPVS 的一種調度算法之一，使用哈希方式根據源 IP 地址和目標 IP 地址來分發請求。
# nf_conntrack
# 這是一個內核模塊，用於跟蹤和管理網絡連接，包括 TCP、UDP 和 ICMP 等協議。它是實現防火牆狀態跟蹤的基礎。
# ip_tables
# 這是一個內核模塊，提供了對 Linux 系統 IP 數據包過濾和網絡地址轉換（NAT）功能的支持。
# ip_set
# 這是一個內核模塊，擴展了 iptables 的功能，支持更高效的 IP 地址集合操作。
# xt_set
# 這是一個內核模塊，擴展了 iptables 的功能，支持更高效的數據包匹配和操作。
# ipt_set
# 這是一個用户空間工具，用於配置和管理 xt_set 內核模塊。
# ipt_rpfilter
# 這是一個內核模塊，用於實現反向路徑過濾，用於防止 IP 欺騙和 DDoS 攻擊。
# ipt_REJECT
# 這是一個 iptables 目標，用於拒絕 IP 數據包，並向發送方發送響應，指示數據包被拒絕。
# ipip
# 這是一個內核模塊，用於實現 IP 封裝在 IP（IP-over-IP）的隧道功能。它可以在不同網絡之間創建虛擬隧道來傳輸 IP 數據包。

1.17.修改內核參數

cat <<EOF > /etc/sysctl.d/k8s.conf
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-iptables = 1
fs.may_detach_mounts = 1
vm.overcommit_memory=1
vm.panic_on_oom=0
fs.inotify.max_user_watches=89100
fs.file-max=52706963
fs.nr_open=52706963
net.netfilter.nf_conntrack_max=2310720

net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl =15
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_orphans = 327680
net.ipv4.tcp_orphan_retries = 3
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.ip_conntrack_max = 65536
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_timestamps = 0
net.core.somaxconn = 16384

net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0
net.ipv6.conf.all.forwarding = 1
EOF

sysctl --system

# 這些是Linux系統的一些參數設置，用於配置和優化網絡、文件系統和虛擬內存等方面的功能。以下是每個參數的詳細解釋：
# 
# 1. net.ipv4.ip_forward = 1
#    - 這個參數啓用了IPv4的IP轉發功能，允許服務器作為網絡路由器轉發數據包。
# 2. net.bridge.bridge-nf-call-iptables = 1
#    - 當使用網絡橋接技術時，將數據包傳遞到iptables進行處理。
# 3. fs.may_detach_mounts = 1
#    - 允許在掛載文件系統時，允許被其他進程使用。
# 4. vm.overcommit_memory=1
#    - 該設置允許原始的內存過量分配策略，當系統的內存已經被完全使用時，系統仍然會分配額外的內存。
# 5. vm.panic_on_oom=0
#    - 當系統內存不足（OOM）時，禁用系統崩潰和重啓。
# 6. fs.inotify.max_user_watches=89100
#    - 設置系統允許一個用户的inotify實例可以監控的文件數目的上限。
# 7. fs.file-max=52706963
#    - 設置系統同時打開的文件數的上限。
# 8. fs.nr_open=52706963
#    - 設置系統同時打開的文件描述符數的上限。
# 9. net.netfilter.nf_conntrack_max=2310720
#    - 設置系統可以創建的網絡連接跟蹤表項的最大數量。
# 10. net.ipv4.tcp_keepalive_time = 600
#     - 設置TCP套接字的空閒超時時間（秒），超過該時間沒有活動數據時，內核會發送心跳包。
# 11. net.ipv4.tcp_keepalive_probes = 3
#     - 設置未收到響應的TCP心跳探測次數。
# 12. net.ipv4.tcp_keepalive_intvl = 15
#     - 設置TCP心跳探測的時間間隔（秒）。
# 13. net.ipv4.tcp_max_tw_buckets = 36000
#     - 設置系統可以使用的TIME_WAIT套接字的最大數量。
# 14. net.ipv4.tcp_tw_reuse = 1
#     - 啓用TIME_WAIT套接字的重新利用，允許新的套接字使用舊的TIME_WAIT套接字。
# 15. net.ipv4.tcp_max_orphans = 327680
#     - 設置系統可以同時存在的TCP套接字垃圾回收包裹數的最大數量。
# 16. net.ipv4.tcp_orphan_retries = 3
#     - 設置系統對於孤立的TCP套接字的重試次數。
# 17. net.ipv4.tcp_syncookies = 1
#     - 啓用TCP SYN cookies保護，用於防止SYN洪泛攻擊。
# 18. net.ipv4.tcp_max_syn_backlog = 16384
#     - 設置新的TCP連接的半連接數（半連接隊列）的最大長度。
# 19. net.ipv4.ip_conntrack_max = 65536
#     - 設置系統可以創建的網絡連接跟蹤表項的最大數量。
# 20. net.ipv4.tcp_timestamps = 0
#     - 關閉TCP時間戳功能，用於提供更好的安全性。
# 21. net.core.somaxconn = 16384
#     - 設置系統核心層的連接隊列的最大值。
# 22. net.ipv6.conf.all.disable_ipv6 = 0
#     - 啓用IPv6協議。
# 23. net.ipv6.conf.default.disable_ipv6 = 0
#     - 啓用IPv6協議。
# 24. net.ipv6.conf.lo.disable_ipv6 = 0
#     - 啓用IPv6協議。
# 25. net.ipv6.conf.all.forwarding = 1
#     - 允許IPv6數據包轉發。

1.18.所有節點配置hosts本地解析

cat > /etc/hosts <<EOF
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

192.168.1.31 k8s-master01
192.168.1.32 k8s-master02
192.168.1.33 k8s-master03
192.168.1.34 k8s-node01
192.168.1.35 k8s-node02
192.168.1.36 lb-vip

fc00::31 k8s-master01
fc00::32 k8s-master02
fc00::33 k8s-master03
fc00::34 k8s-node01
fc00::35 k8s-node02
EOF

2.k8s基本組件安裝

注意 ： 2.1 和 2.2 二選其一即可

2.1.安裝Containerd作為Runtime

# https://github.com/containernetworking/plugins/releases/
# wget https://github.com/containernetworking/plugins/releases/download/v1.7.1/cni-plugins-linux-amd64-v1.7.1.tgz

cd cby/

#創建cni插件所需目錄
mkdir -p /etc/cni/net.d /opt/cni/bin 
#解壓cni二進制包
tar xf cni-plugins-linux-amd64-v*.tgz -C /opt/cni/bin/

# https://github.com/containerd/containerd/releases/
# wget https://github.com/containerd/containerd/releases/download/v2.0.5/containerd-2.0.5-linux-amd64.tar.gz

#解壓
tar -xzf containerd-*-linux-amd64.tar.gz -C /usr/local/

#創建服務啓動文件
cat > /etc/systemd/system/containerd.service <<EOF
[Unit]
Description=containerd container runtime
Documentation=https://containerd.io
After=network.target local-fs.target

[Service]
ExecStartPre=-/sbin/modprobe overlay
ExecStart=/usr/local/bin/containerd
Type=notify
Delegate=yes
KillMode=process
Restart=always
RestartSec=5
LimitNPROC=infinity
LimitCORE=infinity
LimitNOFILE=infinity
TasksMax=infinity
OOMScoreAdjust=-999

[Install]
WantedBy=multi-user.target
EOF


# 參數解釋：
#
# 這是一個用於啓動containerd容器運行時的systemd unit文件。下面是對該文件不同部分的詳細解釋：
# 
# [Unit]
# Description=containerd container runtime
# 描述該unit的作用是作為containerd容器運行時。
# 
# Documentation=https://containerd.io
# 指向容器運行時的文檔的URL。
# 
# After=network.target local-fs.target
# 定義了在哪些依賴項之後該unit應該被啓動。在網絡和本地文件系統加載完成後啓動，確保了容器運行時在這些依賴項可用時才會啓動。
# 
# [Service]
# ExecStartPre=-/sbin/modprobe overlay
# 在啓動containerd之前執行的命令。這裏的命令是嘗試加載內核的overlay模塊，如果失敗則忽略錯誤繼續執行下面的命令。
# 
# ExecStart=/usr/local/bin/containerd
# 實際執行的命令，用於啓動containerd容器運行時。
# 
# Type=notify
# 指定服務的通知類型。這裏使用notify類型，表示當服務就緒時會通過通知的方式告知systemd。
# 
# Delegate=yes
# 允許systemd對此服務進行重啓和停止操作。
# 
# KillMode=process
# 在終止容器運行時時使用的kill模式。這裏使用process模式，表示通過終止進程來停止容器運行時。
# 
# Restart=always
# 定義了當容器運行時終止後的重啓策略。這裏設置為always，表示無論何時終止容器運行時，都會自動重新啓動。
# 
# RestartSec=5
# 在容器運行時終止後重新啓動之前等待的秒數。
# 
# LimitNPROC=infinity
# 指定容器運行時可以使用的最大進程數量。這裏設置為無限制。
# 
# LimitCORE=infinity
# 指定容器運行時可以使用的最大CPU核心數量。這裏設置為無限制。
# 
# LimitNOFILE=infinity
# 指定容器運行時可以打開的最大文件數。這裏設置為無限制。
# 
# TasksMax=infinity
# 指定容器運行時可以創建的最大任務數。這裏設置為無限制。
# 
# OOMScoreAdjust=-999
# 指定容器運行時的OOM（Out-Of-Memory）分數調整值。負數值表示容器運行時的優先級較高。
# 
# [Install]
# WantedBy=multi-user.target
# 定義了服務的安裝位置。這裏指定為multi-user.target，表示將服務安裝為多用户模式下的啓動項。

2.1.1配置Containerd所需的模塊

cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf
overlay
br_netfilter
EOF

# 參數解釋：
#
# containerd是一個容器運行時，用於管理和運行容器。它支持多種不同的參數配置來自定義容器運行時的行為和功能。
# 
# 1. overlay：overlay是容器d默認使用的存儲驅動，它提供了一種輕量級的、可堆疊的、逐層增量的文件系統。它通過在現有文件系統上疊加文件系統層來創建容器的文件系統視圖。每個容器可以有自己的一組文件系統層，這些層可以共享基礎鏡像中的文件，並在容器內部進行修改。使用overlay可以有效地使用磁盤空間，並使容器更加輕量級。
# 
# 2. br_netfilter：br_netfilter是Linux內核提供的一個網絡過濾器模塊，用於在容器網絡中進行網絡過濾和NAT轉發。當容器和主機之間的網絡通信需要進行DNAT或者SNAT時，br_netfilter模塊可以將IP地址進行轉換。它還可以提供基於iptables規則的網絡過濾功能，用於限制容器之間或容器與外部網絡之間的通信。
# 
# 這些參數可以在containerd的配置文件或者命令行中指定。例如，可以通過設置--storage-driver參數來選擇使用overlay作為存儲驅動，通過設置--iptables參數來啓用或禁用br_netfilter模塊。具體的使用方法和配置細節可以參考containerd的官方文檔。

2.1.2加載模塊

systemctl restart systemd-modules-load.service

# 參數解釋：
# - `systemctl`: 是Linux系統管理服務的命令行工具，可以管理systemd init系統。
# - `restart`: 是systemctl命令的一個選項，用於重新啓動服務。
# - `systemd-modules-load.service`: 是一個系統服務，用於加載內核模塊。
# 
# 將上述參數結合在一起來解釋`systemctl restart systemd-modules-load.service`的含義：
# 這個命令用於重新啓動系統服務`systemd-modules-load.service`，它是負責加載內核模塊的服務。在重新啓動該服務後，系統會重新加載所有的內核模塊。

2.1.3配置Containerd所需的內核

cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
net.bridge.bridge-nf-call-iptables  = 1
net.ipv4.ip_forward                 = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF

# 加載內核
sysctl --system

# 參數解釋：
# 
# 這些參數是Linux操作系統中用於網絡和網絡橋接設置的參數。
# 
# - net.bridge.bridge-nf-call-iptables：這個參數控制網絡橋接設備是否調用iptables規則處理網絡數據包。當該參數設置為1時，網絡數據包將被傳遞到iptables進行處理；當該參數設置為0時，網絡數據包將繞過iptables直接傳遞。默認情況下，這個參數的值是1，即啓用iptables規則處理網絡數據包。
# 
# - net.ipv4.ip_forward：這個參數用於控制是否啓用IP轉發功能。IP轉發使得操作系統可以將接收到的數據包從一個網絡接口轉發到另一個網絡接口。當該參數設置為1時，啓用IP轉發功能；當該參數設置為0時，禁用IP轉發功能。在網絡環境中，通常需要啓用IP轉發功能來實現不同網絡之間的通信。默認情況下，這個參數的值是0，即禁用IP轉發功能。
# 
# - net.bridge.bridge-nf-call-ip6tables：這個參數與net.bridge.bridge-nf-call-iptables類似，但是它用於IPv6數據包的處理。當該參數設置為1時，IPv6數據包將被傳遞到ip6tables進行處理；當該參數設置為0時，IPv6數據包將繞過ip6tables直接傳遞。默認情況下，這個參數的值是1，即啓用ip6tables規則處理IPv6數據包。
# 
# 這些參數的值可以通過修改操作系統的配置文件（通常是'/etc/sysctl.conf'）來進行設置。修改完成後，需要使用'sysctl -p'命令重載配置文件使參數生效。

2.1.4創建Containerd的配置文件

# 參數解釋：
# 
# 這段代碼是用於修改並配置containerd的參數。
# 
# 1. 首先使用命令`mkdir -p /etc/containerd`創建/etc/containerd目錄，如果該目錄已存在，則不進行任何操作。
# 2. 使用命令`containerd config default | tee /etc/containerd/config.toml`創建默認配置文件，並將輸出同時傳遞給/etc/containerd/config.toml文件。
# 3. 使用sed命令修改/etc/containerd/config.toml文件，將SystemdCgroup參數的值從false改為true。-i參數表示直接在原文件中進行編輯。
# 4. 使用cat命令結合grep命令查看/etc/containerd/config.toml文件中SystemdCgroup參數的值是否已修改為true。
# 5. 使用sed命令修改/etc/containerd/config.toml文件，將registry.k8s.io的地址替換為m.daocloud.io/registry.k8s.io。-i參數表示直接在原文件中進行編輯。
# 6. 使用cat命令結合grep命令查看/etc/containerd/config.toml文件中sandbox_image參數的值是否已修改為m.daocloud.io/registry.k8s.io。
# 7. 使用sed命令修改/etc/containerd/config.toml文件，將config_path參數的值從""改為"/etc/containerd/certs.d"。-i參數表示直接在原文件中進行編輯。
# 8. 使用cat命令結合grep命令查看/etc/containerd/config.toml文件中certs.d參數的值是否已修改為/etc/containerd/certs.d。
# 9. 使用mkdir命令創建/etc/containerd/certs.d/docker.io目錄，如果目錄已存在，則不進行任何操作。-p參數表示創建目錄時，如果父級目錄不存在，則自動創建父級目錄。
# 
# 最後，使用cat重定向操作符將內容寫入/etc/containerd/certs.d/docker.io/hosts.toml文件。該文件會配置加速器，其中server參數設置為"https://docker.io"，host參數設置為"https://hub-mirror.c.163.com"，並添加capabilities參數。

# 創建默認配置文件
mkdir -p /etc/containerd
containerd config default | tee /etc/containerd/config.toml

# 修改Containerd的配置文件

# sed -i "s#SystemdCgroup\ \=\ false#SystemdCgroup\ \=\ true#g" /etc/containerd/config.toml
# cat /etc/containerd/config.toml | grep SystemdCgroup

# 沙箱pause鏡像
sed -i "s#registry.k8s.io#registry.aliyuncs.com/chenby#g" /etc/containerd/config.toml
cat /etc/containerd/config.toml | grep sandbox

# 注意！
# SystemdCgroup參數是containerd中的一個配置參數，用於設置containerd在運行過程中使用的Cgroup（控制組）路徑。Containerd使用SystemdCgroup參數來指定應該使用哪個Cgroup來跟蹤和管理容器的資源使用。
# 
# Cgroup是Linux內核提供的一種資源隔離和管理機制，可以用於限制、分配和監控進程組的資源使用。使用Cgroup，可以將容器的資源限制和隔離，以防止容器之間的資源爭用和不公平的競爭。
# 
# 通過設置SystemdCgroup參數，可以確保containerd能夠找到正確的Cgroup路徑，並正確地限制和隔離容器的資源使用，確保容器可以按照預期的方式運行。如果未正確設置SystemdCgroup參數，可能會導致容器無法正確地使用資源，或者無法保證資源的公平分配和隔離。
# 
# 總而言之，SystemdCgroup參數的作用是為了確保containerd能夠正確地管理容器的資源使用，以實現資源的限制、隔離和公平分配。


# 配置加速器
[root@k8s-master01 ~]# vim /etc/containerd/config.toml
[root@k8s-master01 ~]# cat /etc/containerd/config.toml | grep certs.d -C 5

    [plugins.'io.containerd.cri.v1.images'.pinned_images]
      sandbox = 'registry.aliyuncs.com/chenby/pause:3.10'

    [plugins.'io.containerd.cri.v1.images'.registry]
      config_path = '/etc/containerd/certs.d'

    [plugins.'io.containerd.cri.v1.images'.image_decryption]
      key_model = 'node'

  [plugins.'io.containerd.cri.v1.runtime']
[root@k8s-master01 ~]# 


mkdir /etc/containerd/certs.d/docker.io -pv
cat > /etc/containerd/certs.d/docker.io/hosts.toml << EOF
server = "https://docker.io"
[host."https://jockerhub.com"]
  capabilities = ["pull", "resolve"]
EOF

# 配置 GFW 代理
mkdir -p /etc/systemd/system/containerd.service.d
touch /etc/systemd/system/containerd.service.d/http-proxy.conf
tee /etc/systemd/system/containerd.service.d/http-proxy.conf << EOF
[Service]
Environment="HTTP_PROXY=http://IP:Port"
Environment="HTTPS_PROXY=http://IP:Port"
Environment="NO_PROXY=localhost,127.0.0.1,containerd"
EOF

2.1.5啓動並設置為開機啓動

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。

systemctl enable --now containerd.service
# 啓用並立即啓動docker.service單元。docker.service是Docker守護進程的systemd服務單元。

systemctl stop containerd.service
# 停止運行中的docker.service單元，即停止Docker守護進程。

systemctl start containerd.service
# 啓動docker.service單元，即啓動Docker守護進程。

systemctl restart containerd.service
# 重啓docker.service單元，即重新啓動Docker守護進程。

systemctl status containerd.service
# 顯示docker.service單元的當前狀態，包括運行狀態、是否啓用等信息。

2.1.6配置crictl客户端連接的運行時位置

# https://github.com/kubernetes-sigs/cri-tools/releases/
# wget https://github.com/kubernetes-sigs/cri-tools/releases/download/v1.34.0/crictl-v1.34.0-linux-amd64.tar.gz

#解壓
tar xf crictl-v*-linux-amd64.tar.gz -C /usr/bin/
#生成配置文件
cat > /etc/crictl.yaml <<EOF
runtime-endpoint: unix:///run/containerd/containerd.sock
image-endpoint: unix:///run/containerd/containerd.sock
timeout: 10
debug: false
EOF

#測試
systemctl restart  containerd
crictl info

# 注意！
# 下面是參數`crictl`的詳細解釋
# 
# `crictl`是一個用於與容器運行時通信的命令行工具。它是容器運行時接口（CRI）工具的一個實現，可以對容器運行時進行管理和操作。
# 
# 1. `runtime-endpoint: unix:///run/containerd/containerd.sock`
# 指定容器運行時的終端套接字地址。在這個例子中，指定的地址是`unix:///run/containerd/containerd.sock`，這是一個Unix域套接字地址。
# 
# 2. `image-endpoint: unix:///run/containerd/containerd.sock`
# 指定容器鏡像服務的終端套接字地址。在這個例子中，指定的地址是`unix:///run/containerd/containerd.sock`，這是一個Unix域套接字地址。
# 
# 3. `timeout: 10`
# 設置與容器運行時通信的超時時間，單位是秒。在這個例子中，超時時間被設置為10秒。
# 
# 4. `debug: false`
# 指定是否開啓調式模式。在這個例子中，調式模式被設置為關閉，即`false`。如果設置為`true`，則會輸出更詳細的調試信息。
# 
# 這些參數可以根據需要進行修改，以便與容器運行時進行有效的通信和管理。

2.2 安裝docker作為Runtime

2.2.1 解壓docker程序

# 二進制包下載地址：https://download.docker.com/linux/static/stable/x86_64/
# wget https://mirrors.ustc.edu.cn/docker-ce/linux/static/stable/x86_64/docker-27.4.0.tgz

#解壓
tar xf docker-*.tgz 
#拷貝二進制文件
cp docker/* /usr/bin/

2.2.2 創建containerd的service文件

#創建containerd的service文件,並且啓動
cat >/etc/systemd/system/containerd.service <<EOF
[Unit]
Description=containerd container runtime
Documentation=https://containerd.io
After=network.target local-fs.target

[Service]
ExecStartPre=-/sbin/modprobe overlay
ExecStart=/usr/bin/containerd
Type=notify
Delegate=yes
KillMode=process
Restart=always
RestartSec=5
LimitNPROC=infinity
LimitCORE=infinity
LimitNOFILE=1048576
TasksMax=infinity
OOMScoreAdjust=-999

[Install]
WantedBy=multi-user.target
EOF

# 參數解釋：
# 
# [Unit]
# - Description=containerd container runtime：指定服務的描述信息。
# - Documentation=https://containerd.io：指定服務的文檔鏈接。
# - After=network.target local-fs.target：指定服務的啓動順序，在網絡和本地文件系統啓動之後再啓動該服務。
# 
# [Service]
# - ExecStartPre=-/sbin/modprobe overlay：在啓動服務之前執行的命令，使用`-`表示忽略錯誤。
# - ExecStart=/usr/bin/containerd：指定服務的啓動命令。
# - Type=notify：指定服務的類型，`notify`表示服務會在啓動完成後向systemd發送通知。
# - Delegate=yes：允許服務代理其他服務的應答，例如收到關機命令後終止其他服務。
# - KillMode=process：指定服務終止時的行為，`process`表示終止服務進程。
# - Restart=always：指定服務終止後是否自動重啓，`always`表示總是自動重啓。
# - RestartSec=5：指定服務重啓的時間間隔，單位為秒。
# - LimitNPROC=infinity：限制服務的最大進程數，`infinity`表示沒有限制。
# - LimitCORE=infinity：限制服務的最大核心數，`infinity`表示沒有限制。
# - LimitNOFILE=1048576：限制服務的最大文件數，指定為1048576。
# - TasksMax=infinity：限制服務的最大任務數，`infinity`表示沒有限制。
# - OOMScoreAdjust=-999：指定服務的OOM（Out of Memory）得分，負數表示降低被終止的概率。
# 
# [Install]
# - WantedBy=multi-user.target：指定服務的安裝方式，`multi-user.target`表示該服務在多用户模式下安裝。


# 設置開機自啓
systemctl enable --now containerd.service

2.2.3 準備docker的service文件

#準備docker的service文件
cat > /etc/systemd/system/docker.service <<EOF
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service cri-docker.service docker.socket containerd.service
Wants=network-online.target
Requires=docker.socket containerd.service

[Service]
Type=notify
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
ExecReload=/bin/kill -s HUP $MAINPID
TimeoutSec=0
RestartSec=2
Restart=always
StartLimitBurst=3
StartLimitInterval=60s
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity
Delegate=yes
KillMode=process
OOMScoreAdjust=-500

[Install]
WantedBy=multi-user.target
EOF

# 參數解釋：
# 
# [Unit]
# - Description: 描述服務的作用，這裏是Docker Application Container Engine，即Docker應用容器引擎。
# - Documentation: 提供關於此服務的文檔鏈接，這裏是Docker官方文檔鏈接。
# - After: 説明該服務在哪些其他服務之後啓動，這裏是在網絡在線、firewalld服務和containerd服務後啓動。
# - Wants: 説明該服務想要的其他服務，這裏是網絡在線服務。
# - Requires: 説明該服務需要的其他服務，這裏是docker.socket和containerd.service。
# 
# [Service]
# - Type: 服務類型，這裏是notify，表示服務在啓動完成時發送通知。
# - ExecStart: 命令，啓動該服務時會執行的命令，這裏是/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock，即啓動dockerd並指定一些參數，其中-H指定dockerd的監聽地址為fd://，--containerd指定containerd的sock文件位置。
# - ExecReload: 重載命令，當接收到HUP信號時執行的命令，這裏是/bin/kill -s HUP $MAINPID，即發送HUP信號給主進程ID。
# - TimeoutSec: 服務超時時間，這裏是0，表示沒有超時限制。
# - RestartSec: 重啓間隔時間，這裏是2秒，表示重啓失敗後等待2秒再重啓。
# - Restart: 重啓策略，這裏是always，表示總是重啓。
# - StartLimitBurst: 啓動限制次數，這裏是3，表示在啓動失敗後最多重試3次。
# - StartLimitInterval: 啓動限制時間間隔，這裏是60秒，表示兩次啓動之間最少間隔60秒。
# - LimitNOFILE: 文件描述符限制，這裏是infinity，表示沒有限制。
# - LimitNPROC: 進程數限制，這裏是infinity，表示沒有限制。
# - LimitCORE: 核心轉儲限制，這裏是infinity，表示沒有限制。
# - TasksMax: 最大任務數，這裏是infinity，表示沒有限制。
# - Delegate: 修改權限，這裏是yes，表示啓用權限修改。
# - KillMode: 殺死模式，這裏是process，表示殺死整個進程組。
# - OOMScoreAdjust: 用於調整進程在系統內存緊張時的優先級調整，這裏是-500，表示將OOM分數降低500。
# 
# [Install]
# - WantedBy: 安裝目標，這裏是multi-user.target，表示在多用户模式下安裝。
#      在WantedBy參數中，我們可以使用以下參數：
#      1. multi-user.target：指定該服務應該在多用户模式下啓動。
#      2. graphical.target：指定該服務應該在圖形化界面模式下啓動。
#      3. default.target：指定該服務應該在系統的默認目標（runlevel）下啓動。
#      4. rescue.target：指定該服務應該在系統救援模式下啓動。
#      5. poweroff.target：指定該服務應該在關機時啓動。
#      6. reboot.target：指定該服務應該在重啓時啓動。
#      7. halt.target：指定該服務應該在停止時啓動。
#      8. shutdown.target：指定該服務應該在系統關閉時啓動。
#      這些參數可以根據需要選擇一個或多個，以告知系統在何時啓動該服務。

2.2.4 準備docker的socket文件

#準備docker的socket文件
cat > /etc/systemd/system/docker.socket <<EOF
[Unit]
Description=Docker Socket for the API

[Socket]
ListenStream=/var/run/docker.sock
SocketMode=0660
SocketUser=root
SocketGroup=docker

[Install]
WantedBy=sockets.target
EOF

# 這是一個用於Docker API的socket配置文件，包含了以下參數：
# 
# [Unit]
# - Description：描述了該socket的作用，即為Docker API的socket。
# 
# [Socket]
# - ListenStream：指定了socket的監聽地址，該socket會監聽在/var/run/docker.sock上，即Docker守護程序使用的默認sock文件。
# - SocketMode：指定了socket文件的權限模式，此處為0660，即用户和用户組有讀寫權限，其他用户無權限。
# - SocketUser：指定了socket文件的所有者，此處為root用户。
# - SocketGroup：指定了socket文件的所屬用户組，此處為docker用户組。
# 
# [Install]
# - WantedBy：指定了該socket被啓用時的目標，此處為sockets.target，表示當sockets.target啓動時啓用該socket。
# 
# 該配置文件的作用是為Docker提供API訪問的通道，它監聽在/var/run/docker.sock上，具有root用户權限，但只接受docker用户組的成員的連接，並且其他用户無法訪問。這樣，只有docker用户組的成員可以通過該socket與Docker守護進程進行通信。

2.2.5 配置加速器

# 配置加速器
mkdir /etc/docker/ -pv
cat >/etc/docker/daemon.json <<EOF
{
  "exec-opts": ["native.cgroupdriver=systemd"],
  "registry-mirrors": [
    "https://jockerhub.com"
  ],
  "max-concurrent-downloads": 10,
  "log-driver": "json-file",
  "log-level": "warn",
  "log-opts": {
    "max-size": "10m",
    "max-file": "3"
    },
  "data-root": "/var/lib/docker",
  "proxies": {
    "http-proxy": "http://192.168.1.100:7890",
    "https-proxy": "http://192.168.1.100:7890",
    "no-proxy": "localhost"
  }
}
EOF


# 該參數文件中包含以下參數：
# 
# 1. exec-opts: 用於設置Docker守護進程的選項，native.cgroupdriver=systemd表示使用systemd作為Cgroup驅動程序。
# 2. registry-mirrors: 用於指定Docker鏡像的鏡像註冊服務器。在這裏有三個鏡像註冊服務器：https://docker.m.daocloud.io、https://docker.mirrors.ustc.edu.cn和http://hub-mirror.c.163.com。
# 3. max-concurrent-downloads: 用於設置同時下載鏡像的最大數量，默認值為3，這裏設置為10。
# 4. log-driver: 用於設置Docker守護進程的日誌驅動程序，這裏設置為json-file。
# 5. log-level: 用於設置日誌的級別，這裏設置為warn。
# 6. log-opts: 用於設置日誌驅動程序的選項，這裏有兩個選項：max-size和max-file。max-size表示每個日誌文件的最大大小，這裏設置為10m，max-file表示保存的最大日誌文件數量，這裏設置為3。
# 7. data-root: 用於設置Docker守護進程的數據存儲根目錄，默認為/var/lib/docker，這裏設置為/var/lib/docker。

2.2.6 啓動docker

groupadd docker
#創建docker組

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。

systemctl enable --now docker.socket
# 啓用並立即啓動docker.socket單元。docker.socket是一個systemd的socket單元，用於接收來自網絡的Docker API請求。

systemctl enable --now docker.service
# 啓用並立即啓動docker.service單元。docker.service是Docker守護進程的systemd服務單元。

systemctl stop docker.service
# 停止運行中的docker.service單元，即停止Docker守護進程。

systemctl start docker.service
# 啓動docker.service單元，即啓動Docker守護進程。

systemctl restart docker.service
# 重啓docker.service單元，即重新啓動Docker守護進程。

systemctl status docker.service
# 顯示docker.service單元的當前狀態，包括運行狀態、是否啓用等信息。

docker info
#驗證

2.2.7 解壓cri-docker

# 由於1.24以及更高版本不支持docker所以安裝cri-docker
# 下載cri-docker 
# https://github.com/Mirantis/cri-dockerd/releases/
# wget  https://github.com/Mirantis/cri-dockerd/releases/download/v0.3.16/cri-dockerd-0.3.16.amd64.tgz

# 解壓cri-docker
tar xvf cri-dockerd-*.amd64.tgz 
cp -r cri-dockerd/  /usr/bin/
chmod +x /usr/bin/cri-dockerd/cri-dockerd

2.2.8 寫入啓動cri-docker配置文件

# 寫入啓動配置文件
cat >  /usr/lib/systemd/system/cri-docker.service <<EOF
[Unit]
Description=CRI Interface for Docker Application Container Engine
Documentation=https://docs.mirantis.com
After=network-online.target firewalld.service docker.service
Wants=network-online.target
Requires=cri-docker.socket

[Service]
Type=notify
ExecStart=/usr/bin/cri-dockerd/cri-dockerd --network-plugin=cni --pod-infra-container-image=registry.aliyuncs.com/google_containers/pause:3.7
ExecReload=/bin/kill -s HUP $MAINPID
TimeoutSec=0
RestartSec=2
Restart=always
StartLimitBurst=3
StartLimitInterval=60s
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity
Delegate=yes
KillMode=process

[Install]
WantedBy=multi-user.target
EOF


# [Unit]
# - Description：該參數用於描述該單元的功能，這裏描述的是CRI與Docker應用容器引擎的接口。
# - Documentation：該參數指定了相關文檔的網址，供用户參考。
# - After：該參數指定了此單元應該在哪些其他單元之後啓動，確保在網絡在線、防火牆和Docker服務啓動之後再啓動此單元。
# - Wants：該參數指定了此單元希望也啓動的所有單元，此處是希望在網絡在線之後啓動。
# - Requires：該參數指定了此單元需要依賴的單元，此處是cri-docker.socket單元。
# 
# [Service]
# - Type：該參數指定了服務的類型，這裏是notify，表示當服務啓動完成時向系統發送通知。
# - ExecStart：該參數指定了將要運行的命令和參數，此處是執行/usr/bin/cri-dockerd/cri-dockerd命令，並指定了網絡插件為cni和Pod基礎設施容器的鏡像為registry.aliyuncs.com/google_containers/pause:3.7。
# - ExecReload：該參數指定在服務重載時運行的命令，此處是發送HUP信號給主進程。
# - TimeoutSec：該參數指定了服務啓動的超時時間，此處為0，表示無限制。
# - RestartSec：該參數指定了自動重啓服務的時間間隔，此處為2秒。
# - Restart：該參數指定了在服務發生錯誤時自動重啓，此處是始終重啓。
# - StartLimitBurst：該參數指定了在給定時間間隔內允許的啓動失敗次數，此處為3次。
# - StartLimitInterval：該參數指定啓動失敗的時間間隔，此處為60秒。
# - LimitNOFILE：該參數指定了允許打開文件的最大數量，此處為無限制。
# - LimitNPROC：該參數指定了允許同時運行的最大進程數，此處為無限制。
# - LimitCORE：該參數指定了允許生成的core文件的最大大小，此處為無限制。
# - TasksMax：該參數指定了此服務的最大任務數，此處為無限制。
# - Delegate：該參數指定了是否將控制權委託給指定服務，此處為是。
# - KillMode：該參數指定了在終止服務時如何處理進程，此處是通過終止進程來終止服務。
# 
# [Install]
# - WantedBy：該參數指定了希望這個單元啓動的多用户目標。在這裏，這個單元希望在multi-user.target啓動。

2.2.9 寫入cri-docker的socket配置文件

# 寫入socket配置文件
cat > /usr/lib/systemd/system/cri-docker.socket <<EOF
[Unit]
Description=CRI Docker Socket for the API
PartOf=cri-docker.service

[Socket]
ListenStream=%t/cri-dockerd.sock
SocketMode=0660
SocketUser=root
SocketGroup=docker

[Install]
WantedBy=sockets.target
EOF


# 該配置文件是用於systemd的單元配置文件(unit file)，用於定義一個socket單元。
# 
# [Unit]
# - Description：表示該單元的描述信息。
# - PartOf：表示該單元是cri-docker.service的一部分。
# 
# [Socket]
# - ListenStream：指定了該socket要監聽的地址和端口，這裏使用了%t佔位符，表示根據單元的類型來決定路徑。%t/cri-dockerd.sock表示將監聽Unix域套接字cri-dockerd.sock。Unix域套接字用於在同一台主機上的進程之間通信。
# - SocketMode：指定了socket文件的權限模式，此處為0660，即用户和用户組有讀寫權限，其他用户無權限。
# - SocketUser：指定了socket文件的所有者，此處為root用户。
# - SocketGroup：指定了socket文件的所屬用户組，此處為docker用户組。
# 
# [Install]
# - WantedBy：部分定義了該單元的安裝配置信息。WantedBy=sockets.target表示當sockets.target單元啓動時，自動啓動該socket單元。sockets.target是一個系統服務，用於管理所有的socket單元。

2.2.10 啓動cri-docker

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。

systemctl enable --now cri-docker.service
# 啓用並立即啓動cri-docker.service單元。cri-docker.service是cri-docker守護進程的systemd服務單元。

systemctl restart cri-docker.service
# 重啓cri-docker.service單元，即重新啓動cri-docker守護進程。

systemctl status cri-docker.service
# 顯示docker.service單元的當前狀態，包括運行狀態、是否啓用等信息。

2.3.k8s與etcd下載及安裝（僅在master01操作）

2.3.1解壓k8s安裝包

# 下載安裝包
# https://github.com/etcd-io/etcd/releases/
# https://github.com/kubernetes/kubernetes/tree/master/CHANGELOG
# 
# wget https://github.com/etcd-io/etcd/releases/download/v3.5.21/etcd-v3.5.21-linux-amd64.tar.gz
# wget https://cdn.dl.k8s.io/release/v1.34.0/kubernetes-server-linux-amd64.tar.gz

# 解壓k8s安裝文件
cd cby
tar -xf kubernetes-server-linux-amd64.tar.gz  --strip-components=3 -C /usr/local/bin kubernetes/server/bin/kube{let,ctl,-apiserver,-controller-manager,-scheduler,-proxy}

# 這是一個tar命令，用於解壓指定的kubernetes-server-linux-amd64.tar.gz文件，並將其中的特定文件提取到/usr/local/bin目錄下。
# 
# 命令的解釋如下：
# - tar：用於處理tar壓縮文件的命令。
# - -xf：表示解壓操作。
# - kubernetes-server-linux-amd64.tar.gz：要解壓的文件名。
# - --strip-components=3：表示解壓時忽略壓縮文件中的前3級目錄結構，提取文件時直接放到目標目錄中。
# - -C /usr/local/bin：指定提取文件的目標目錄為/usr/local/bin。
# - kubernetes/server/bin/kube{let,ctl,-apiserver,-controller-manager,-scheduler,-proxy}：要解壓和提取的文件名模式，用花括號括起來表示模式中的多個可能的文件名。
# 
# 總的來説，這個命令的作用是將kubernetes-server-linux-amd64.tar.gz文件中的kubelet、kubectl、kube-apiserver、kube-controller-manager、kube-scheduler和kube-proxy六個文件提取到/usr/local/bin目錄下，同時忽略文件路徑中的前三級目錄結構。


# 解壓etcd安裝文件
tar -xf etcd*.tar.gz && mv etcd-*/etcd /usr/local/bin/ && mv etcd-*/etcdctl /usr/local/bin/

# 這是一個將文件解壓並移動到特定目錄的命令。這是一個用於 Linux 系統中的命令。
# 
# - tar -xf etcd*.tar.gz：這個命令將解壓以 etcd 開頭並以.tar.gz 結尾的文件。`-xf` 是使用 `tar` 命令的選項，它表示解壓文件並展開其中的內容。
# - mv etcd-*/etcd /usr/local/bin/：這個命令將 etcd 文件移動到 /usr/local/bin 目錄。`mv` 是移動命令，它將 etcd-*/etcd 路徑下的 etcd 文件移動到了 /usr/local/bin 目錄。
# - mv etcd-*/etcdctl /usr/local/bin/：這個命令將 etcdctl 文件移動到 /usr/local/bin 目錄，和上一條命令類似。
# 
# 總結起來，以上命令將從名為 etcd*.tar.gz 的壓縮文件中解壓出 etcd 和 etcdctl 文件，並將它們移動到 /usr/local/bin 目錄中。

# 查看/usr/local/bin下內容
ll /usr/local/bin/
總用量 581544
-rwxr-xr-x 1 1000 docker 25268376  7月 26 02:17 etcd
-rwxr-xr-x 1 1000 docker 16466072  7月 26 02:17 etcdctl
-rwxr-xr-x 1 root root   84046008  8月 27 18:30 kube-apiserver
-rwxr-xr-x 1 root root   71000248  8月 27 18:30 kube-controller-manager
-rwxr-xr-x 1 root root   60559544  8月 27 18:30 kubectl
-rwxr-xr-x 1 root root   59195684  8月 27 18:30 kubelet
-rwxr-xr-x 1 root root   44495032  8月 27 18:30 kube-proxy
-rwxr-xr-x 1 root root   48840888  8月 27 18:30 kube-scheduler

2.3.2查看版本

[root@k8s-master01 ~]#  kubelet --version
Kubernetes v1.34.0
[root@k8s-master01 ~]# etcdctl version
etcdctl version: 3.6.4
API version: 3.6
[root@k8s-master01 ~]# 

2.3.3將組件發送至其他k8s節點

Master='k8s-master02 k8s-master03'
Work='k8s-node01 k8s-node02'

# 拷貝master組件
for NODE in $Master; do echo $NODE; scp /usr/local/bin/kube{let,ctl,-apiserver,-controller-manager,-scheduler,-proxy} $NODE:/usr/local/bin/; scp /usr/local/bin/etcd* $NODE:/usr/local/bin/; done

# 該命令是一個for循環，對於在$Master變量中的每個節點，執行以下操作：
# 
# 1. 打印出節點的名稱。
# 2. 使用scp命令將/usr/local/bin/kubelet、kubectl、kube-apiserver、kube-controller-manager、kube-scheduler和kube-proxy文件複製到節點的/usr/local/bin/目錄下。
# 3. 使用scp命令將/usr/local/bin/etcd*文件複製到節點的/usr/local/bin/目錄下。


# 拷貝work組件
for NODE in $Work; do echo $NODE; scp /usr/local/bin/kube{let,-proxy} $NODE:/usr/local/bin/ ; done
# 該命令是一個for循環，對於在$Master變量中的每個節點，執行以下操作：
# 
# 1. 打印出節點的名稱。
# 2. 使用scp命令將/usr/local/bin/kubelet和kube-proxy文件複製到節點的/usr/local/bin/目錄下。

# 所有節點執行
mkdir -p /opt/cni/bin

2.3創建證書相關文件

# 請查看Github倉庫 或者進行獲取已經打好的包
# 可以根據下文3.x進行手動部署操作 
https://github.com/cby-chen/Kubernetes/
https://github.com/cby-chen/Kubernetes/tags
https://github.com/cby-chen/Kubernetes/releases/download/v1.34.0/kubernetes-v1.34.0.tar

3.相關證書生成

# master01節點下載證書生成工具
# wget "https://github.com/cloudflare/cfssl/releases/download/v1.6.5/cfssl_1.6.5_linux_amd64" -O /usr/local/bin/cfssl
# wget "https://github.com/cloudflare/cfssl/releases/download/v1.6.5/cfssljson_1.6.5_linux_amd64" -O /usr/local/bin/cfssljson

# 軟件包內有
cp cfssl_*_linux_amd64 /usr/local/bin/cfssl
cp cfssljson_*_linux_amd64 /usr/local/bin/cfssljson

# 添加執行權限
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson

3.1.生成etcd證書

特別説明除外，以下操作在所有master節點操作

3.1.1所有master節點創建證書存放目錄

mkdir /etc/etcd/ssl -p

3.1.2master01節點生成etcd證書

# 寫入生成證書所需的配置文件
cat > ca-config.json << EOF 
{
  "signing": {
    "default": {
      "expiry": "876000h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "876000h"
      }
    }
  }
}
EOF
# 這段配置文件是用於配置加密和認證簽名的一些參數。
# 
# 在這裏，有兩個部分：`signing`和`profiles`。
# 
# `signing`包含了默認簽名配置和配置文件。
# 默認簽名配置`default`指定了證書的過期時間為`876000h`。`876000h`表示證書有效期為100年。
# 
# `profiles`部分定義了不同的證書配置文件。
# 在這裏，只有一個配置文件`kubernetes`。它包含了以下`usages`和過期時間`expiry`：
# 
# 1. `signing`：用於對其他證書進行簽名
# 2. `key encipherment`：用於加密和解密傳輸數據
# 3. `server auth`：用於服務器身份驗證
# 4. `client auth`：用於客户端身份驗證
# 
# 對於`kubernetes`配置文件，證書的過期時間也是`876000h`，即100年。

cat > etcd-ca-csr.json  << EOF 
{
  "CN": "etcd",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "etcd",
      "OU": "Etcd Security"
    }
  ],
  "ca": {
    "expiry": "876000h"
  }
}
EOF
# 這是一個用於生成證書籤名請求（Certificate Signing Request，CSR）的JSON配置文件。JSON配置文件指定了生成證書籤名請求所需的數據。
# 
# - "CN": "etcd" 指定了希望生成的證書的CN字段（Common Name），即證書的主題，通常是該證書標識的實體的名稱。
# - "key": {} 指定了生成證書所使用的密鑰的配置信息。"algo": "rsa" 指定了密鑰的算法為RSA，"size": 2048 指定了密鑰的長度為2048位。
# - "names": [] 包含了生成證書時所需的實體信息。在這個例子中，只包含了一個實體，其相關信息如下：
#   - "C": "CN" 指定了實體的國家/地區代碼，這裏是中國。
#   - "ST": "Beijing" 指定了實體所在的省/州。
#   - "L": "Beijing" 指定了實體所在的城市。
#   - "O": "etcd" 指定了實體的組織名稱。
#   - "OU": "Etcd Security" 指定了實體所屬的組織單位。
# - "ca": {} 指定了生成證書時所需的CA（Certificate Authority）配置信息。
#   - "expiry": "876000h" 指定了證書的有效期，這裏是876000小時。
# 
# 生成證書籤名請求時，可以使用這個JSON配置文件作為輸入，根據配置文件中的信息生成相應的CSR文件。然後，可以將CSR文件發送給CA進行簽名，以獲得有效的證書。

# 生成etcd證書和etcd證書的key（如果你覺得以後可能會擴容，可以在ip那多寫幾個預留出來）
# 若沒有IPv6 可刪除可保留 

cfssl gencert -initca etcd-ca-csr.json | cfssljson -bare /etc/etcd/ssl/etcd-ca
# 具體的解釋如下：
# 
# cfssl是一個用於生成TLS/SSL證書的工具，它支持PKI、JSON格式配置文件以及與許多其他集成工具的配合使用。
# 
# gencert參數表示生成證書的操作。-initca參數表示初始化一個CA（證書頒發機構）。CA是用於簽發其他證書的根證書。etcd-ca-csr.json是一個JSON格式的配置文件，其中包含了CA的詳細信息，如私鑰、公鑰、有效期等。這個文件提供了生成CA證書所需的信息。
# 
# | 符號表示將上一個命令的輸出作為下一個命令的輸入。
# 
# cfssljson是cfssl工具的一個子命令，用於格式化cfssl生成的JSON數據。 -bare參數表示直接輸出裸證書，即只生成證書文件，不包含其他格式的文件。/etc/etcd/ssl/etcd-ca是指定生成的證書文件的路徑和名稱。
# 
# 所以，這條命令的含義是使用cfssl工具根據配置文件ca-csr.json生成一個CA證書，並將證書文件保存在/etc/etcd/ssl/etcd-ca路徑下。

cat > etcd-csr.json << EOF 
{
  "CN": "etcd",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "etcd",
      "OU": "Etcd Security"
    }
  ]
}
EOF
# 這段代碼是一個JSON格式的配置文件，用於生成一個證書籤名請求（Certificate Signing Request，CSR）。
# 
# 首先，"CN"字段指定了該證書的通用名稱（Common Name），這裏設為"etcd"。
# 
# 接下來，"key"字段指定了密鑰的算法（"algo"字段）和長度（"size"字段），此處使用的是RSA算法，密鑰長度為2048位。
# 
# 最後，"names"字段是一個數組，其中包含了一個名字對象，用於指定證書中的一些其他信息。這個名字對象包含了以下字段：
# - "C"字段指定了國家代碼（Country），這裏設置為"CN"。
# - "ST"字段指定了省份（State）或地區，這裏設置為"Beijing"。
# - "L"字段指定了城市（Locality），這裏設置為"Beijing"。
# - "O"字段指定了組織（Organization），這裏設置為"etcd"。
# - "OU"字段指定了組織單元（Organizational Unit），這裏設置為"Etcd Security"。
# 
# 這些字段將作為證書的一部分，用於標識和驗證證書的使用範圍和頒發者等信息。

cfssl gencert \
   -ca=/etc/etcd/ssl/etcd-ca.pem \
   -ca-key=/etc/etcd/ssl/etcd-ca-key.pem \
   -config=ca-config.json \
   -hostname=127.0.0.1,k8s-master01,k8s-master02,k8s-master03,192.168.1.31,192.168.1.32,192.168.1.33,::1 \
   -profile=kubernetes \
   etcd-csr.json | cfssljson -bare /etc/etcd/ssl/etcd
# 這是一條使用cfssl生成etcd證書的命令，下面是各個參數的解釋：
# 
# -ca=/etc/etcd/ssl/etcd-ca.pem：指定用於簽名etcd證書的CA文件的路徑。
# -ca-key=/etc/etcd/ssl/etcd-ca-key.pem：指定用於簽名etcd證書的CA私鑰文件的路徑。
# -config=ca-config.json：指定CA配置文件的路徑，該文件定義了證書的有效期、加密算法等設置。
# -hostname=xxxx：指定要為etcd生成證書的主機名和IP地址列表。
# -profile=kubernetes：指定使用的證書配置文件，該文件定義了證書的用途和擴展屬性。
# etcd-csr.json：指定etcd證書請求的JSON文件的路徑，該文件包含了證書請求的詳細信息。
# | cfssljson -bare /etc/etcd/ssl/etcd：通過管道將cfssl命令的輸出傳遞給cfssljson命令，並使用-bare參數指定輸出文件的前綴路徑，這裏將生成etcd證書的.pem和-key.pem文件。
# 
# 這條命令的作用是使用指定的CA證書和私鑰，根據證書請求的JSON文件和配置文件生成etcd的證書文件。

3.1.3將證書複製到其他節點

Master='k8s-master02 k8s-master03'
for NODE in $Master; do ssh $NODE "mkdir -p /etc/etcd/ssl"; for FILE in etcd-ca-key.pem  etcd-ca.pem  etcd-key.pem  etcd.pem; do scp /etc/etcd/ssl/${FILE} $NODE:/etc/etcd/ssl/${FILE}; done; done

# 這個命令是一個簡單的for循環，在一個由`$Master`存儲的主機列表中迭代執行。對於每個主機，它使用`ssh`命令登錄到主機，並在遠程主機上創建一個名為`/etc/etcd/ssl`的目錄（如果不存在）。接下來，它使用`scp`將本地主機上`/etc/etcd/ssl`目錄中的四個文件（`etcd-ca-key.pem`，`etcd-ca.pem`，`etcd-key.pem`和`etcd.pem`）複製到遠程主機的`/etc/etcd/ssl`目錄中。最終的結果是，遠程主機上的`/etc/etcd/ssl`目錄中包含與本地主機上相同的四個文件的副本。

3.2.生成k8s相關證書

特別説明除外，以下操作在所有master節點操作

3.2.1 所有k8s節點創建證書存放目錄

mkdir -p /etc/kubernetes/pki

3.2.2 master01節點生成k8s證書

# 寫入生成證書所需的配置文件
cat > ca-csr.json   << EOF 
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "Kubernetes",
      "OU": "Kubernetes-manual"
    }
  ],
  "ca": {
    "expiry": "876000h"
  }
}
EOF
# 這是一個用於生成 Kubernetes 相關證書的配置文件。該配置文件中包含以下信息：
# 
# - CN：CommonName，即用於標識證書的通用名稱。在此配置中，CN 設置為 "kubernetes"，表示該證書是用於 Kubernetes。
# - key：用於生成證書的算法和大小。在此配置中，使用的算法是 RSA，大小是 2048 位。
# - names：用於證書中的名稱字段的詳細信息。在此配置中，有以下字段信息：
#   - C：Country，即國家。在此配置中，設置為 "CN"。
#   - ST：State，即省/州。在此配置中，設置為 "Beijing"。
#   - L：Locality，即城市。在此配置中，設置為 "Beijing"。
#   - O：Organization，即組織。在此配置中，設置為 "Kubernetes"。
#   - OU：Organization Unit，即組織單位。在此配置中，設置為 "Kubernetes-manual"。
# - ca：用於證書籤名的證書頒發機構（CA）的配置信息。在此配置中，設置了證書的有效期為 876000 小時。
# 
# 這個配置文件可以用於生成 Kubernetes 相關的證書，以確保集羣中的通信安全性。

cfssl gencert -initca ca-csr.json | cfssljson -bare /etc/kubernetes/pki/ca

# 具體的解釋如下：
# 
# cfssl是一個用於生成TLS/SSL證書的工具，它支持PKI、JSON格式配置文件以及與許多其他集成工具的配合使用。
# 
# gencert參數表示生成證書的操作。-initca參數表示初始化一個CA（證書頒發機構）。CA是用於簽發其他證書的根證書。ca-csr.json是一個JSON格式的配置文件，其中包含了CA的詳細信息，如私鑰、公鑰、有效期等。這個文件提供了生成CA證書所需的信息。
# 
# | 符號表示將上一個命令的輸出作為下一個命令的輸入。
# 
# cfssljson是cfssl工具的一個子命令，用於格式化cfssl生成的JSON數據。 -bare參數表示直接輸出裸證書，即只生成證書文件，不包含其他格式的文件。/etc/kubernetes/pki/ca是指定生成的證書文件的路徑和名稱。
# 
# 所以，這條命令的含義是使用cfssl工具根據配置文件ca-csr.json生成一個CA證書，並將證書文件保存在/etc/kubernetes/pki/ca路徑下。

cat > apiserver-csr.json << EOF 
{
  "CN": "kube-apiserver",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "Kubernetes",
      "OU": "Kubernetes-manual"
    }
  ]
}
EOF

# 這是一個用於生成 Kubernetes 相關證書的配置文件。該配置文件中包含以下信息：
# 
# - `CN` 字段指定了證書的通用名稱 (Common Name)，這裏設置為 "kube-apiserver"，表示該證書用於 Kubernetes API Server。
# - `key` 字段指定了生成證書時所選用的加密算法和密鑰長度。這裏選用了 RSA 算法，密鑰長度為 2048 位。
# - `names` 字段包含了一組有關證書持有者信息的項。這裏使用了以下信息：
#   - `C` 表示國家代碼 (Country)，這裏設置為 "CN" 表示中國。
#   - `ST` 表示州或省份 (State)，這裏設置為 "Beijing" 表示北京市。
#   - `L` 表示城市或地區 (Location)，這裏設置為 "Beijing" 表示北京市。
#   - `O` 表示組織名稱 (Organization)，這裏設置為 "Kubernetes" 表示 Kubernetes。
#   - `OU` 表示組織單位 (Organizational Unit)，這裏設置為 "Kubernetes-manual" 表示手動管理的 Kubernetes 集羣。
# 
# 這個配置文件可以用於生成 Kubernetes 相關的證書，以確保集羣中的通信安全性。


# 生成一個根證書 ，多寫了一些IP作為預留IP，為將來添加node做準備
# 10.96.0.1是service網段的第一個地址，需要計算，192.168.1.36為高可用vip地址
# 若沒有IPv6 可刪除可保留 

cfssl gencert   \
-ca=/etc/kubernetes/pki/ca.pem   \
-ca-key=/etc/kubernetes/pki/ca-key.pem   \
-config=ca-config.json   \
-hostname=10.96.0.1,192.168.1.36,127.0.0.1,kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster,kubernetes.default.svc.cluster.local,x.oiox.cn,z.oiox.cn,192.168.1.31,192.168.1.32,192.168.1.33,192.168.1.34,192.168.1.35,192.168.1.36,192.168.1.37,192.168.1.38,192.168.1.39,192.168.1.40,::1   \
-profile=kubernetes   apiserver-csr.json | cfssljson -bare /etc/kubernetes/pki/apiserver

# 這個命令是使用cfssl工具生成Kubernetes API Server的證書。
# 
# 命令的參數解釋如下：
# - `-ca=/etc/kubernetes/pki/ca.pem`：指定證書的頒發機構（CA）文件路徑。
# - `-ca-key=/etc/kubernetes/pki/ca-key.pem`：指定證書的頒發機構（CA）私鑰文件路徑。
# - `-config=ca-config.json`：指定證書生成的配置文件路徑，配置文件中包含了證書的有效期、加密算法等信息。
# - `-hostname=10.96.0.1,192.168.1.36,127.0.0.1,fc00:43f4:1eea:1::10`：指定證書的主機名或IP地址列表。
# - `-profile=kubernetes`：指定證書生成的配置文件中的配置文件名。
# - `apiserver-csr.json`：API Server的證書籤名請求配置文件路徑。
# - `| cfssljson -bare /etc/kubernetes/pki/apiserver`：通過管道將生成的證書輸出到cfssljson工具，將其轉換為PEM編碼格式，並保存到 `/etc/kubernetes/pki/apiserver.pem` 和 `/etc/kubernetes/pki/apiserver-key.pem` 文件中。
# 
# 最終，這個命令將會生成API Server的證書和私鑰，並保存到指定的文件中。

3.2.3 生成apiserver聚合證書

cat > front-proxy-ca-csr.json  << EOF 
{
  "CN": "kubernetes",
  "key": {
     "algo": "rsa",
     "size": 2048
  },
  "ca": {
    "expiry": "876000h"
  }
}
EOF

# 這個JSON文件表示了生成一個名為"kubernetes"的證書的配置信息。這個證書是用來進行Kubernetes集羣的身份驗證和安全通信。
# 
# 配置信息包括以下幾個部分：
# 
# 1. "CN": "kubernetes"：這表示了證書的通用名稱（Common Name），也就是證書所代表的實體的名稱。在這裏，證書的通用名稱被設置為"kubernetes"，表示這個證書是用來代表Kubernetes集羣。
# 
# 2. "key"：這是用來生成證書的密鑰相關的配置。在這裏，配置使用了RSA算法，並且設置了密鑰的大小為2048位。
# 
# 3. "ca"：這個字段指定了證書的頒發機構（Certificate Authority）相關的配置。在這裏，配置指定了證書的有效期為876000小時，即100年。這意味着該證書在100年內將被視為有效，過期後需要重新生成。
# 
# 總之，這個JSON文件中的配置信息描述瞭如何生成一個用於Kubernetes集羣的證書，包括證書的通用名稱、密鑰算法和大小以及證書的有效期。

cfssl gencert   -initca front-proxy-ca-csr.json | cfssljson -bare /etc/kubernetes/pki/front-proxy-ca 
# 具體的解釋如下：
# 
# cfssl是一個用於生成TLS/SSL證書的工具，它支持PKI、JSON格式配置文件以及與許多其他集成工具的配合使用。
# 
# gencert參數表示生成證書的操作。-initca參數表示初始化一個CA（證書頒發機構）。CA是用於簽發其他證書的根證書。front-proxy-ca-csr.json是一個JSON格式的配置文件，其中包含了CA的詳細信息，如私鑰、公鑰、有效期等。這個文件提供了生成CA證書所需的信息。
# 
# | 符號表示將上一個命令的輸出作為下一個命令的輸入。
# 
# cfssljson是cfssl工具的一個子命令，用於格式化cfssl生成的JSON數據。 -bare參數表示直接輸出裸證書，即只生成證書文件，不包含其他格式的文件。/etc/kubernetes/pki/front-proxy-ca是指定生成的證書文件的路徑和名稱。
# 
# 所以，這條命令的含義是使用cfssl工具根據配置文件ca-csr.json生成一個CA證書，並將證書文件保存在/etc/kubernetes/pki/front-proxy-ca路徑下。

cat > front-proxy-client-csr.json  << EOF 
{
  "CN": "front-proxy-client",
  "key": {
     "algo": "rsa",
     "size": 2048
  }
}
EOF

# 這是一個JSON格式的配置文件，用於描述一個名為"front-proxy-client"的配置。配置包括兩個字段：CN和key。
# 
# - CN（Common Name）字段表示證書的通用名稱，這裏為"front-proxy-client"。
# - key字段描述了密鑰的算法和大小。"algo"表示使用RSA算法，"size"表示密鑰大小為2048位。
# 
# 該配置文件用於生成一個SSL證書，用於在前端代理客户端進行認證和數據傳輸的加密。這個證書中的通用名稱是"front-proxy-client"，使用RSA算法生成，密鑰大小為2048位。

cfssl gencert  \
-ca=/etc/kubernetes/pki/front-proxy-ca.pem   \
-ca-key=/etc/kubernetes/pki/front-proxy-ca-key.pem   \
-config=ca-config.json   \
-profile=kubernetes   front-proxy-client-csr.json | cfssljson -bare /etc/kubernetes/pki/front-proxy-client

# 這個命令使用cfssl工具生成一個用於Kubernetes的front-proxy-client證書。
# 
# 主要參數解釋如下：
# - `-ca=/etc/kubernetes/pki/front-proxy-ca.pem`: 指定用於簽署證書的根證書文件路徑。
# - `-ca-key=/etc/kubernetes/pki/front-proxy-ca-key.pem`: 指定用於簽署證書的根證書的私鑰文件路徑。
# - `-config=ca-config.json`: 指定用於配置證書籤署的配置文件路徑。該配置文件描述了證書生成的一些規則，如加密算法和有效期等。
# - `-profile=kubernetes`: 指定生成證書時使用的配置文件中定義的profile，其中包含了一些默認的參數。
# - `front-proxy-client-csr.json`: 指定用於生成證書的CSR文件路徑，該文件包含了證書請求的相關信息。
# - `| cfssljson -bare /etc/kubernetes/pki/front-proxy-client`: 通過管道將生成的證書輸出到cfssljson工具進行解析，並通過`-bare`參數將證書和私鑰分別保存到指定路徑。
# 
# 這個命令的作用是根據提供的CSR文件和配置信息，使用指定的根證書和私鑰生成一個前端代理客户端的證書，並將證書和私鑰分別保存到`/etc/kubernetes/pki/front-proxy-client.pem`和`/etc/kubernetes/pki/front-proxy-client-key.pem`文件中。

3.2.4 生成controller-manage的證書

在《5.高可用配置》選擇使用那種高可用方案
若使用 haproxy、keepalived 那麼為 --server=https://192.168.1.36:9443
若使用 nginx方案，那麼為 --server=https://127.0.0.1:8443

cat > manager-csr.json << EOF 
{
  "CN": "system:kube-controller-manager",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "system:kube-controller-manager",
      "OU": "Kubernetes-manual"
    }
  ]
}
EOF
# 這是一個用於生成密鑰對（公鑰和私鑰）的JSON配置文件。下面是針對該文件中每個字段的詳細解釋：
# 
# - "CN": 值為"system:kube-controller-manager"，代表通用名稱（Common Name），是此密鑰對的主題（subject）。
# - "key": 這個字段用來定義密鑰算法和大小。
#   - "algo": 值為"rsa"，表示使用RSA算法。
#   - "size": 值為2048，表示生成的密鑰大小為2048位。
# - "names": 這個字段用來定義密鑰對的各個名稱字段。
#   - "C": 值為"CN"，表示國家（Country）名稱是"CN"（中國）。
#   - "ST": 值為"Beijing"，表示省/州（State/Province）名稱是"Beijing"（北京）。
#   - "L": 值為"Beijing"，表示城市（Locality）名稱是"Beijing"（北京）。
#   - "O": 值為"system:kube-controller-manager"，表示組織（Organization）名稱是"system:kube-controller-manager"。
#   - "OU": 值為"Kubernetes-manual"，表示組織單位（Organizational Unit）名稱是"Kubernetes-manual"。
# 
# 這個JSON配置文件基本上是告訴生成密鑰對的工具，生成一個帶有特定名稱和屬性的密鑰對。


cfssl gencert \
   -ca=/etc/kubernetes/pki/ca.pem \
   -ca-key=/etc/kubernetes/pki/ca-key.pem \
   -config=ca-config.json \
   -profile=kubernetes \
   manager-csr.json | cfssljson -bare /etc/kubernetes/pki/controller-manager

# 這是一個命令行操作，使用cfssl工具生成證書。
# 
# 1. `cfssl gencert` 是cfssl工具的命令，用於生成證書。
# 2. `-ca` 指定根證書的路徑和文件名，這裏是`/etc/kubernetes/pki/ca.pem`。
# 3. `-ca-key` 指定根證書的私鑰的路徑和文件名，這裏是`/etc/kubernetes/pki/ca-key.pem`。
# 4. `-config` 指定配置文件的路徑和文件名，這裏是`ca-config.json`。
# 5. `-profile` 指定證書使用的配置文件中的配置模板，這裏是`kubernetes`。
# 6. `manager-csr.json` 是證書籤發請求的配置文件，用於生成證書籤發請求。
# 7. `|` 管道操作符，將前一條命令的輸出作為後一條命令的輸入。
# 8. `cfssljson -bare` 是 cfssl 工具的命令，作用是將證書籤發請求的輸出轉換為PKCS＃1、PKCS＃8和x509 PEM文件。
# 9. `/etc/kubernetes/pki/controller-manager` 是轉換後的 PEM 文件的存儲位置和文件名。
# 
# 這個命令的作用是根據根證書和私鑰、配置文件以及證書籤發請求的配置文件，生成經過簽發的控制器管理器證書和私鑰，並將轉換後的 PEM 文件保存到指定的位置。


# 設置一個集羣項
# 在《5.高可用配置》選擇使用那種高可用方案
# 若使用 haproxy、keepalived 那麼為 `--server=https://192.168.1.36:9443`
# 若使用 nginx方案，那麼為 `--server=https://127.0.0.1:8443`
kubectl config set-cluster kubernetes \
     --certificate-authority=/etc/kubernetes/pki/ca.pem \
     --embed-certs=true \
     --server=https://127.0.0.1:8443 \
     --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig
# kubectl config set-cluster命令用於配置集羣信息。
# --certificate-authority選項指定了集羣的證書頒發機構（CA）的路徑，這個CA會驗證kube-apiserver提供的證書是否合法。
# --embed-certs選項用於將證書嵌入到生成的kubeconfig文件中，這樣就不需要在kubeconfig文件中單獨指定證書文件路徑。
# --server選項指定了kube-apiserver的地址，這裏使用的是127.0.0.1:8443，表示使用本地主機上的kube-apiserver，默認端口為8443。
# --kubeconfig選項指定了生成的kubeconfig文件的路徑和名稱，這裏指定為/etc/kubernetes/controller-manager.kubeconfig。
# 綜上所述，kubectl config set-cluster命令的作用是在kubeconfig文件中設置集羣信息，包括證書頒發機構、證書、kube-apiserver地址等。


# 設置一個環境項，一個上下文
kubectl config set-context system:kube-controller-manager@kubernetes \
    --cluster=kubernetes \
    --user=system:kube-controller-manager \
    --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig

# 這個命令用於配置 Kubernetes 控制器管理器的上下文信息。下面是各個參數的詳細解釋：
# 1. `kubectl config set-context system:kube-controller-manager@kubernetes`: 設置上下文的名稱為 `system:kube-controller-manager@kubernetes`，這是一個標識符，用於唯一標識該上下文。
# 2. `--cluster=kubernetes`: 指定集羣的名稱為 `kubernetes`，這是一個現有集羣的標識符，表示要管理的 Kubernetes 集羣。
# 3. `--user=system:kube-controller-manager`: 指定使用的用户身份為 `system:kube-controller-manager`。這是一個特殊的用户身份，具有控制 Kubernetes 控制器管理器的權限。
# 4. `--kubeconfig=/etc/kubernetes/controller-manager.kubeconfig`: 指定 kubeconfig 文件的路徑為 `/etc/kubernetes/controller-manager.kubeconfig`。kubeconfig 文件是一個用於管理 Kubernetes 配置的文件，包含了集羣、用户和上下文的相關信息。
# 通過運行這個命令，可以將這些配置信息保存到 `/etc/kubernetes/controller-manager.kubeconfig` 文件中，以便在後續的操作中使用。



  # 設置一個用户項
kubectl config set-credentials system:kube-controller-manager \
   --client-certificate=/etc/kubernetes/pki/controller-manager.pem \
   --client-key=/etc/kubernetes/pki/controller-manager-key.pem \
   --embed-certs=true \
   --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig
# 上述命令是用於設置 Kubernetes 的 controller-manager 組件的客户端憑據。下面是每個參數的詳細解釋：
# 
# - `kubectl config`: 是使用 kubectl 命令行工具的配置子命令。
# - `set-credentials`: 是定義一個新的用户憑據配置的子命令。
# - `system:kube-controller-manager`: 是設置用户憑據的名稱，`system:` 是 Kubernetes API Server 內置的身份驗證器使用的用户標識符前綴，它表示是一個系統用户，在本例中是 kube-controller-manager 組件使用的身份。
# - `--client-certificate=/etc/kubernetes/pki/controller-manager.pem`: 指定 controller-manager.pem 客户端證書的路徑。
# - `--client-key=/etc/kubernetes/pki/controller-manager-key.pem`: 指定 controller-manager-key.pem 客户端私鑰的路徑。
# - `--embed-certs=true`: 表示將證書和私鑰直接嵌入到生成的 kubeconfig 文件中，而不是通過引用外部文件。
# - `--kubeconfig=/etc/kubernetes/controller-manager.kubeconfig`: 指定生成的 kubeconfig 文件的路徑和文件名，即 controller-manager.kubeconfig。
# 
# 通過運行上述命令，將根據提供的證書和私鑰信息，為 kube-controller-manager 創建一個 kubeconfig 文件，以便後續使用該文件進行身份驗證和訪問 Kubernetes API。


# 設置默認環境
kubectl config use-context system:kube-controller-manager@kubernetes \
     --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig

# 這個命令是用來指定kubectl使用指定的上下文環境來執行操作。上下文環境是kubectl用來確定要連接到哪個Kubernetes集羣以及使用哪個身份驗證信息的配置。
# 
# 在這個命令中，`kubectl config use-context`是用來設置當前上下文環境的命令。 `system:kube-controller-manager@kubernetes`是指定的上下文名稱，它告訴kubectl要使用的Kubernetes集羣和身份驗證信息。 
# `--kubeconfig=/etc/kubernetes/controller-manager.kubeconfig`是用來指定使用的kubeconfig文件的路徑。kubeconfig文件是存儲集羣連接和身份驗證信息的配置文件。
# 通過執行這個命令，kubectl將使用指定的上下文來執行後續的操作，包括部署和管理Kubernetes資源。

3.2.5 生成kube-scheduler的證書

cat > scheduler-csr.json << EOF 
{
  "CN": "system:kube-scheduler",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "system:kube-scheduler",
      "OU": "Kubernetes-manual"
    }
  ]
}
EOF
# 這個命令是用來創建一個叫做scheduler-csr.json的文件，並將其中的內容賦值給該文件。
# 
# 文件內容是一個JSON格式的文本，包含了一個描述證書請求的結構。
# 
# 具體內容如下：
# 
# - "CN": "system:kube-scheduler"：Common Name字段，表示該證書的名稱為system:kube-scheduler。
# - "key": {"algo": "rsa", "size": 2048}：key字段指定生成證書時使用的加密算法是RSA，並且密鑰的長度為2048位。
# - "names": [...]：names字段定義了證書中的另外一些標識信息。
# - "C": "CN"：Country字段，表示國家/地區為中國。
# - "ST": "Beijing"：State字段，表示省/市為北京。
# - "L": "Beijing"：Locality字段，表示所在城市為北京。
# - "O": "system:kube-scheduler"：Organization字段，表示組織為system:kube-scheduler。
# - "OU": "Kubernetes-manual"：Organizational Unit字段，表示組織單元為Kubernetes-manual。
# 
# 而EOF是一個佔位符，用於標記開始和結束的位置。在開始的EOF之後到結束的EOF之間的內容將會被寫入到scheduler-csr.json文件中。
# 
# 總體來説，這個命令用於生成一個描述kube-scheduler證書請求的JSON文件。

cfssl gencert \
   -ca=/etc/kubernetes/pki/ca.pem \
   -ca-key=/etc/kubernetes/pki/ca-key.pem \
   -config=ca-config.json \
   -profile=kubernetes \
   scheduler-csr.json | cfssljson -bare /etc/kubernetes/pki/scheduler

# 上述命令是使用cfssl工具生成Kubernetes Scheduler的證書。
# 
# 具體解釋如下：
# 
# 1. `cfssl gencert`：使用cfssl工具生成證書。
# 2. `-ca=/etc/kubernetes/pki/ca.pem`：指定根證書文件的路徑。在這裏，是指定根證書的路徑為`/etc/kubernetes/pki/ca.pem`。
# 3. `-ca-key=/etc/kubernetes/pki/ca-key.pem`：指定根證書私鑰文件的路徑。在這裏，是指定根證書私鑰的路徑為`/etc/kubernetes/pki/ca-key.pem`。
# 4. `-config=ca-config.json`：指定證書配置文件的路徑。在這裏，是指定證書配置文件的路徑為`ca-config.json`。
# 5. `-profile=kubernetes`：指定證書的配置文件中的一個配置文件模板。在這裏，是指定配置文件中的`kubernetes`配置模板。
# 6. `scheduler-csr.json`：指定Scheduler的證書籤名請求文件（CSR）的路徑。在這裏，是指定請求文件的路徑為`scheduler-csr.json`。
# 7. `|`（管道符號）：將前一個命令的輸出作為下一個命令的輸入。
# 8. `cfssljson`：將cfssl工具生成的證書籤名請求(CSR)進行解析。
# 9. `-bare /etc/kubernetes/pki/scheduler`：指定輸出路徑和前綴。在這裏，是將解析的證書籤名請求生成以下文件：`/etc/kubernetes/pki/scheduler.pem`（包含了證書）、`/etc/kubernetes/pki/scheduler-key.pem`（包含了私鑰）。
# 
# 總結來説，這個命令的目的是根據根證書、根證書私鑰、證書配置文件、CSR文件等生成Kubernetes Scheduler的證書和私鑰文件。



# 在《5.高可用配置》選擇使用那種高可用方案
# 若使用 haproxy、keepalived 那麼為 `--server=https://192.168.1.36:9443`
# 若使用 nginx方案，那麼為 `--server=https://127.0.0.1:8443`

kubectl config set-cluster kubernetes \
     --certificate-authority=/etc/kubernetes/pki/ca.pem \
     --embed-certs=true \
     --server=https://127.0.0.1:8443 \
     --kubeconfig=/etc/kubernetes/scheduler.kubeconfig
# 該命令用於配置一個名為"kubernetes"的集羣，並將其應用到/etc/kubernetes/scheduler.kubeconfig文件中。
# 
# 該命令的解釋如下：
# - `kubectl config set-cluster kubernetes`: 設置一個集羣並命名為"kubernetes"。
# - `--certificate-authority=/etc/kubernetes/pki/ca.pem`: 指定集羣使用的證書授權機構的路徑。
# - `--embed-certs=true`: 該標誌指示將證書嵌入到生成的kubeconfig文件中。
# - `--server=https://127.0.0.1:8443`: 指定集羣的 API server 位置。
# - `--kubeconfig=/etc/kubernetes/scheduler.kubeconfig`: 指定要保存 kubeconfig 文件的路徑和名稱。

kubectl config set-credentials system:kube-scheduler \
     --client-certificate=/etc/kubernetes/pki/scheduler.pem \
     --client-key=/etc/kubernetes/pki/scheduler-key.pem \
     --embed-certs=true \
     --kubeconfig=/etc/kubernetes/scheduler.kubeconfig
# 這段命令是用於設置 kube-scheduler 組件的身份驗證憑據，並生成相應的 kubeconfig 文件。
# 
# 解釋每個選項的含義如下：
# - `kubectl config set-credentials system:kube-scheduler`：設置 `system:kube-scheduler` 用户的身份驗證憑據。
# - `--client-certificate=/etc/kubernetes/pki/scheduler.pem`：指定一個客户端證書文件，用於基於證書的身份驗證。在這種情況下，指定了 kube-scheduler 組件的證書文件路徑。
# - `--client-key=/etc/kubernetes/pki/scheduler-key.pem`：指定與客户端證書相對應的客户端私鑰文件。
# - `--embed-certs=true`：將客户端證書和私鑰嵌入到生成的 kubeconfig 文件中。
# - `--kubeconfig=/etc/kubernetes/scheduler.kubeconfig`：指定生成的 kubeconfig 文件的路徑和名稱。
# 
# 該命令的目的是為 kube-scheduler 組件生成一個 kubeconfig 文件，以便進行身份驗證和訪問集羣資源。kubeconfig 文件是一個包含了連接到 Kubernetes 集羣所需的所有配置信息的文件，包括服務器地址、證書和秘鑰等。

kubectl config set-context system:kube-scheduler@kubernetes \
     --cluster=kubernetes \
     --user=system:kube-scheduler \
     --kubeconfig=/etc/kubernetes/scheduler.kubeconfig

# 該命令用於設置一個名為"system:kube-scheduler@kubernetes"的上下文，具體配置如下：
# 
# 1. --cluster=kubernetes: 指定集羣的名稱為"kubernetes"，這個集羣是在當前的kubeconfig文件中已經定義好的。
# 2. --user=system:kube-scheduler: 指定用户的名稱為"system:kube-scheduler"，這個用户也是在當前的kubeconfig文件中已經定義好的。這個用户用於認證和授權kube-scheduler組件訪問Kubernetes集羣的權限。
# 3. --kubeconfig=/etc/kubernetes/scheduler.kubeconfig: 指定kubeconfig文件的路徑為"/etc/kubernetes/scheduler.kubeconfig"，這個文件將被用來保存上下文的配置信息。
# 
# 這個命令的作用是將上述的配置信息保存到指定的kubeconfig文件中，以便後續使用該文件進行認證和授權訪問Kubernetes集羣。

kubectl config use-context system:kube-scheduler@kubernetes \
     --kubeconfig=/etc/kubernetes/scheduler.kubeconfig

# 上述命令是使用`kubectl`命令來配置Kubernetes集羣中的調度器組件。
# 
# `kubectl config use-context`命令用於切換`kubectl`當前使用的上下文。上下文是Kubernetes集羣、用户和命名空間的組合，用於確定`kubectl`的連接目標。下面解釋這個命令的不同部分：
# 
# - `system:kube-scheduler@kubernetes`是一個上下文名稱。它指定了使用`kube-scheduler`用户和`kubernetes`命名空間的系統級別上下文。系統級別上下文用於操作Kubernetes核心組件。
# 
# - `--kubeconfig=/etc/kubernetes/scheduler.kubeconfig`用於指定Kubernetes配置文件的路徑。Kubernetes配置文件包含連接到Kubernetes集羣所需的身份驗證和連接信息。
# 
# 通過運行以上命令，`kubectl`將使用指定的上下文和配置文件，以便在以後的命令中能正確地與Kubernetes集羣中的調度器組件進行交互。

3.2.6 生成admin的證書配置

cat > admin-csr.json << EOF 
{
  "CN": "admin",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "system:masters",
      "OU": "Kubernetes-manual"
    }
  ]
}
EOF
# 這段代碼是一個JSON格式的配置文件，用於創建和配置一個名為"admin"的Kubernetes憑證。
# 
# 這個憑證包含以下字段：
# 
# - "CN": "admin": 這是憑證的通用名稱，表示這是一個管理員憑證。
# - "key": 這是一個包含證書密鑰相關信息的對象。
#   - "algo": "rsa"：這是使用的加密算法類型，這裏是RSA加密算法。
#   - "size": 2048：這是密鑰的大小，這裏是2048位。
# - "names": 這是一個包含證書名稱信息的數組。
#   - "C": "CN"：這是證書的國家/地區字段，這裏是中國。
#   - "ST": "Beijing"：這是證書的省/州字段，這裏是北京。
#   - "L": "Beijing"：這是證書的城市字段，這裏是北京。
#   - "O": "system:masters"：這是證書的組織字段，這裏是system:masters，表示系統的管理員組。
#   - "OU": "Kubernetes-manual"：這是證書的部門字段，這裏是Kubernetes-manual。
# 
# 通過這個配置文件創建的憑證將具有管理員權限，並且可以用於管理Kubernetes集羣。

cfssl gencert \
   -ca=/etc/kubernetes/pki/ca.pem \
   -ca-key=/etc/kubernetes/pki/ca-key.pem \
   -config=ca-config.json \
   -profile=kubernetes \
   admin-csr.json | cfssljson -bare /etc/kubernetes/pki/admin

# 上述命令是使用cfssl工具生成Kubernetes admin的證書。
# 
# 具體解釋如下：
# 
# 1. `cfssl gencert`：使用cfssl工具生成證書。
# 2. `-ca=/etc/kubernetes/pki/ca.pem`：指定根證書文件的路徑。在這裏，是指定根證書的路徑為`/etc/kubernetes/pki/ca.pem`。
# 3. `-ca-key=/etc/kubernetes/pki/ca-key.pem`：指定根證書私鑰文件的路徑。在這裏，是指定根證書私鑰的路徑為`/etc/kubernetes/pki/ca-key.pem`。
# 4. `-config=ca-config.json`：指定證書配置文件的路徑。在這裏，是指定證書配置文件的路徑為`ca-config.json`。
# 5. `-profile=kubernetes`：指定證書的配置文件中的一個配置文件模板。在這裏，是指定配置文件中的`kubernetes`配置模板。
# 6. `admin-csr.json`：指定admin的證書籤名請求文件（CSR）的路徑。在這裏，是指定請求文件的路徑為`admin-csr.json`。
# 7. `|`（管道符號）：將前一個命令的輸出作為下一個命令的輸入。
# 8. `cfssljson`：將cfssl工具生成的證書籤名請求(CSR)進行解析。
# 9. `-bare /etc/kubernetes/pki/admin`：指定輸出路徑和前綴。在這裏，是將解析的證書籤名請求生成以下文件：`/etc/kubernetes/pki/admin.pem`（包含了證書）、`/etc/kubernetes/pki/admin-key.pem`（包含了私鑰）。
# 
# 總結來説，這個命令的目的是根據根證書、根證書私鑰、證書配置文件、CSR文件等生成Kubernetes Scheduler的證書和私鑰文件。

# 在《5.高可用配置》選擇使用那種高可用方案
# 若使用 haproxy、keepalived 那麼為 `--server=https://192.168.1.36:9443`
# 若使用 nginx方案，那麼為 `--server=https://127.0.0.1:8443`

kubectl config set-cluster kubernetes     \
  --certificate-authority=/etc/kubernetes/pki/ca.pem     \
  --embed-certs=true     \
  --server=https://127.0.0.1:8443     \
  --kubeconfig=/etc/kubernetes/admin.kubeconfig
# 該命令用於配置一個名為"kubernetes"的集羣，並將其應用到/etc/kubernetes/scheduler.kubeconfig文件中。
# 
# 該命令的解釋如下：
# - `kubectl config set-cluster kubernetes`: 設置一個集羣並命名為"kubernetes"。
# - `--certificate-authority=/etc/kubernetes/pki/ca.pem`: 指定集羣使用的證書授權機構的路徑。
# - `--embed-certs=true`: 該標誌指示將證書嵌入到生成的kubeconfig文件中。
# - `--server=https://127.0.0.1:8443`: 指定集羣的 API server 位置。
# - `--kubeconfig=/etc/kubernetes/admin.kubeconfig`: 指定要保存 kubeconfig 文件的路徑和名稱。

kubectl config set-credentials kubernetes-admin  \
  --client-certificate=/etc/kubernetes/pki/admin.pem     \
  --client-key=/etc/kubernetes/pki/admin-key.pem     \
  --embed-certs=true     \
  --kubeconfig=/etc/kubernetes/admin.kubeconfig
# 這段命令是用於設置 kubernetes-admin 組件的身份驗證憑據，並生成相應的 kubeconfig 文件。
# 
# 解釋每個選項的含義如下：
# - `kubectl config set-credentials kubernetes-admin`：設置 `kubernetes-admin` 用户的身份驗證憑據。
# - `--client-certificate=/etc/kubernetes/pki/admin.pem`：指定一個客户端證書文件，用於基於證書的身份驗證。在這種情況下，指定了 admin 組件的證書文件路徑。
# - `--client-key=/etc/kubernetes/pki/admin-key.pem`：指定與客户端證書相對應的客户端私鑰文件。
# - `--embed-certs=true`：將客户端證書和私鑰嵌入到生成的 kubeconfig 文件中。
# - `--kubeconfig=/etc/kubernetes/admin.kubeconfig`：指定生成的 kubeconfig 文件的路徑和名稱。
# 
# 該命令的目的是為 admin 組件生成一個 kubeconfig 文件，以便進行身份驗證和訪問集羣資源。kubeconfig 文件是一個包含了連接到 Kubernetes 集羣所需的所有配置信息的文件，包括服務器地址、證書和秘鑰等。


kubectl config set-context kubernetes-admin@kubernetes    \
  --cluster=kubernetes     \
  --user=kubernetes-admin     \
  --kubeconfig=/etc/kubernetes/admin.kubeconfig

# 該命令用於設置一個名為"kubernetes-admin@kubernetes"的上下文，具體配置如下：
# 
# 1. --cluster=kubernetes: 指定集羣的名稱為"kubernetes"，這個集羣是在當前的kubeconfig文件中已經定義好的。
# 2. --user=kubernetes-admin: 指定用户的名稱為"kubernetes-admin"，這個用户也是在當前的kubeconfig文件中已經定義好的。這個用户用於認證和授權admin組件訪問Kubernetes集羣的權限。
# 3. --kubeconfig=/etc/kubernetes/admin.kubeconfig: 指定kubeconfig文件的路徑為"/etc/kubernetes/admin.kubeconfig"，這個文件將被用來保存上下文的配置信息。
# 
# 這個命令的作用是將上述的配置信息保存到指定的kubeconfig文件中，以便後續使用該文件進行認證和授權訪問Kubernetes集羣。


kubectl config use-context kubernetes-admin@kubernetes  --kubeconfig=/etc/kubernetes/admin.kubeconfig
# 上述命令是使用`kubectl`命令來配置Kubernetes集羣中的調度器組件。
# 
# `kubectl config use-context`命令用於切換`kubectl`當前使用的上下文。上下文是Kubernetes集羣、用户和命名空間的組合，用於確定`kubectl`的連接目標。下面解釋這個命令的不同部分：
# 
# - `kubernetes-admin@kubernetes`是一個上下文名稱。它指定了使用`kubernetes-admin`用户和`kubernetes`命名空間的系統級別上下文。系統級別上下文用於操作Kubernetes核心組件。
# 
# - `--kubeconfig=/etc/kubernetes/admin.kubeconfig`用於指定Kubernetes配置文件的路徑。Kubernetes配置文件包含連接到Kubernetes集羣所需的身份驗證和連接信息。
# 
# 通過運行以上命令，`kubectl`將使用指定的上下文和配置文件，以便在以後的命令中能正確地與Kubernetes集羣中的調度器組件進行交互。

3.2.7 創建kube-proxy證書

在《5.高可用配置》選擇使用那種高可用方案
若使用 haproxy、keepalived 那麼為 --server=https://192.168.1.36:9443
若使用 nginx方案，那麼為 --server=https://127.0.0.1:8443

cat > kube-proxy-csr.json  << EOF 
{
  "CN": "system:kube-proxy",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Beijing",
      "L": "Beijing",
      "O": "system:kube-proxy",
      "OU": "Kubernetes-manual"
    }
  ]
}
EOF
# 這段代碼是一個JSON格式的配置文件，用於創建和配置一個名為"kube-proxy-csr"的Kubernetes憑證。
# 
# 這個憑證包含以下字段：
# 
# - "CN": "system:kube-proxy": 這是憑證的通用名稱，表示這是一個管理員憑證。
# - "key": 這是一個包含證書密鑰相關信息的對象。
#   - "algo": "rsa"：這是使用的加密算法類型，這裏是RSA加密算法。
#   - "size": 2048：這是密鑰的大小，這裏是2048位。
# - "names": 這是一個包含證書名稱信息的數組。
#   - "C": "CN"：這是證書的國家/地區字段，這裏是中國。
#   - "ST": "Beijing"：這是證書的省/州字段，這裏是北京。
#   - "L": "Beijing"：這是證書的城市字段，這裏是北京。
#   - "O": "system:kube-proxy"：這是證書的組織字段，這裏是system:kube-proxy。
#   - "OU": "Kubernetes-manual"：這是證書的部門字段，這裏是Kubernetes-manual。
# 
# 通過這個配置文件創建的憑證將具有管理員權限，並且可以用於管理Kubernetes集羣。

cfssl gencert \
   -ca=/etc/kubernetes/pki/ca.pem \
   -ca-key=/etc/kubernetes/pki/ca-key.pem \
   -config=ca-config.json \
   -profile=kubernetes \
   kube-proxy-csr.json | cfssljson -bare /etc/kubernetes/pki/kube-proxy

# 上述命令是使用cfssl工具生成Kubernetes admin的證書。
# 
# 具體解釋如下：
# 
# 1. `cfssl gencert`：使用cfssl工具生成證書。
# 2. `-ca=/etc/kubernetes/pki/ca.pem`：指定根證書文件的路徑。在這裏，是指定根證書的路徑為`/etc/kubernetes/pki/ca.pem`。
# 3. `-ca-key=/etc/kubernetes/pki/ca-key.pem`：指定根證書私鑰文件的路徑。在這裏，是指定根證書私鑰的路徑為`/etc/kubernetes/pki/ca-key.pem`。
# 4. `-config=ca-config.json`：指定證書配置文件的路徑。在這裏，是指定證書配置文件的路徑為`ca-config.json`。
# 5. `-profile=kubernetes`：指定證書的配置文件中的一個配置文件模板。在這裏，是指定配置文件中的`kubernetes`配置模板。
# 6. `kube-proxy-csr.json`：指定admin的證書籤名請求文件（CSR）的路徑。在這裏，是指定請求文件的路徑為`kube-proxy-csr.json`。
# 7. `|`（管道符號）：將前一個命令的輸出作為下一個命令的輸入。
# 8. `cfssljson`：將cfssl工具生成的證書籤名請求(CSR)進行解析。
# 9. `-bare /etc/kubernetes/pki/kube-proxy`：指定輸出路徑和前綴。在這裏，是將解析的證書籤名請求生成以下文件：`/etc/kubernetes/pki/kube-proxy.pem`（包含了證書）、`/etc/kubernetes/pki/kube-proxy-key.pem`（包含了私鑰）。
# 
# 總結來説，這個命令的目的是根據根證書、根證書私鑰、證書配置文件、CSR文件等生成Kubernetes Scheduler的證書和私鑰文件。


# 在《5.高可用配置》選擇使用那種高可用方案
# 若使用 haproxy、keepalived 那麼為 `--server=https://192.168.1.36:9443`
# 若使用 nginx方案，那麼為 `--server=https://127.0.0.1:8443`

kubectl config set-cluster kubernetes     \
  --certificate-authority=/etc/kubernetes/pki/ca.pem     \
  --embed-certs=true     \
  --server=https://127.0.0.1:8443     \
  --kubeconfig=/etc/kubernetes/kube-proxy.kubeconfig
# 該命令用於配置一個名為"kubernetes"的集羣，並將其應用到/etc/kubernetes/kube-proxy.kubeconfig文件中。
# 
# 該命令的解釋如下：
# - `kubectl config set-cluster kubernetes`: 設置一個集羣並命名為"kubernetes"。
# - `--certificate-authority=/etc/kubernetes/pki/ca.pem`: 指定集羣使用的證書授權機構的路徑。
# - `--embed-certs=true`: 該標誌指示將證書嵌入到生成的kubeconfig文件中。
# - `--server=https://127.0.0.1:8443`: 指定集羣的 API server 位置。
# - `--kubeconfig=/etc/kubernetes/kube-proxy.kubeconfig`: 指定要保存 kubeconfig 文件的路徑和名稱。

kubectl config set-credentials kube-proxy  \
  --client-certificate=/etc/kubernetes/pki/kube-proxy.pem     \
  --client-key=/etc/kubernetes/pki/kube-proxy-key.pem     \
  --embed-certs=true     \
  --kubeconfig=/etc/kubernetes/kube-proxy.kubeconfig
# 這段命令是用於設置 kube-proxy 組件的身份驗證憑據，並生成相應的 kubeconfig 文件。
# 
# 解釋每個選項的含義如下：
# - `kubectl config set-credentials kube-proxy`：設置 `kube-proxy` 用户的身份驗證憑據。
# - `--client-certificate=/etc/kubernetes/pki/kube-proxy.pem`：指定一個客户端證書文件，用於基於證書的身份驗證。在這種情況下，指定了 kube-proxy 組件的證書文件路徑。
# - `--client-key=/etc/kubernetes/pki/kube-proxy-key.pem`：指定與客户端證書相對應的客户端私鑰文件。
# - `--embed-certs=true`：將客户端證書和私鑰嵌入到生成的 kubeconfig 文件中。
# - `--kubeconfig=/etc/kubernetes/kube-proxy.kubeconfig`：指定生成的 kubeconfig 文件的路徑和名稱。
# 
# 該命令的目的是為 kube-proxy 組件生成一個 kubeconfig 文件，以便進行身份驗證和訪問集羣資源。kubeconfig 文件是一個包含了連接到 Kubernetes 集羣所需的所有配置信息的文件，包括服務器地址、證書和秘鑰等。

kubectl config set-context kube-proxy@kubernetes    \
  --cluster=kubernetes     \
  --user=kube-proxy     \
  --kubeconfig=/etc/kubernetes/kube-proxy.kubeconfig

# 該命令用於設置一個名為"kube-proxy@kubernetes"的上下文，具體配置如下：
# 
# 1. --cluster=kubernetes: 指定集羣的名稱為"kubernetes"，這個集羣是在當前的kubeconfig文件中已經定義好的。
# 2. --user=kube-proxy: 指定用户的名稱為"kube-proxy"，這個用户也是在當前的kubeconfig文件中已經定義好的。這個用户用於認證和授權kube-proxy組件訪問Kubernetes集羣的權限。
# 3. --kubeconfig=/etc/kubernetes/kube-proxy.kubeconfig: 指定kubeconfig文件的路徑為"/etc/kubernetes/kube-proxy.kubeconfig"，這個文件將被用來保存上下文的配置信息。
# 
# 這個命令的作用是將上述的配置信息保存到指定的kubeconfig文件中，以便後續使用該文件進行認證和授權訪問Kubernetes集羣。

kubectl config use-context kube-proxy@kubernetes  --kubeconfig=/etc/kubernetes/kube-proxy.kubeconfig
# 上述命令是使用`kubectl`命令來配置Kubernetes集羣中的調度器組件。
# 
# `kubectl config use-context`命令用於切換`kubectl`當前使用的上下文。上下文是Kubernetes集羣、用户和命名空間的組合，用於確定`kubectl`的連接目標。下面解釋這個命令的不同部分：
# 
# - `kube-proxy@kubernetes`是一個上下文名稱。它指定了使用`kube-proxy`用户和`kubernetes`命名空間的系統級別上下文。系統級別上下文用於操作Kubernetes核心組件。
# 
# - `--kubeconfig=/etc/kubernetes/kube-proxy.kubeconfig`用於指定Kubernetes配置文件的路徑。Kubernetes配置文件包含連接到Kubernetes集羣所需的身份驗證和連接信息。
# 
# 通過運行以上命令，`kubectl`將使用指定的上下文和配置文件，以便在以後的命令中能正確地與Kubernetes集羣中的調度器組件進行交互。

3.2.8 創建ServiceAccount Key ——secret

openssl genrsa -out /etc/kubernetes/pki/sa.key 2048
openssl rsa -in /etc/kubernetes/pki/sa.key -pubout -out /etc/kubernetes/pki/sa.pub

# 這兩個命令是使用OpenSSL工具生成RSA密鑰對。
# 
# 命令1：openssl genrsa -out /etc/kubernetes/pki/sa.key 2048
# 該命令用於生成私鑰文件。具體解釋如下：
# - openssl：openssl命令行工具。
# - genrsa：生成RSA密鑰對。
# - -out /etc/kubernetes/pki/sa.key：指定輸出私鑰文件的路徑和文件名。
# - 2048：指定密鑰長度為2048位。
# 
# 命令2：openssl rsa -in /etc/kubernetes/pki/sa.key -pubout -out /etc/kubernetes/pki/sa.pub
# 該命令用於從私鑰中導出公鑰。具體解釋如下：
# - openssl：openssl命令行工具。
# - rsa：與私鑰相關的RSA操作。
# - -in /etc/kubernetes/pki/sa.key：指定輸入私鑰文件的路徑和文件名。
# - -pubout：指定輸出公鑰。
# - -out /etc/kubernetes/pki/sa.pub：指定輸出公鑰文件的路徑和文件名。
# 
# 總結：通過以上兩個命令，我們可以使用OpenSSL工具生成一個RSA密鑰對，並將私鑰保存在/etc/kubernetes/pki/sa.key文件中，將公鑰保存在/etc/kubernetes/pki/sa.pub文件中。

3.2.9 將證書發送到其他master節點

#其他節點創建目錄
# mkdir  /etc/kubernetes/pki/ -p

for NODE in k8s-master02 k8s-master03; do  for FILE in $(ls /etc/kubernetes/pki | grep -v etcd); do  scp /etc/kubernetes/pki/${FILE} $NODE:/etc/kubernetes/pki/${FILE}; done;  for FILE in admin.kubeconfig controller-manager.kubeconfig scheduler.kubeconfig; do  scp /etc/kubernetes/${FILE} $NODE:/etc/kubernetes/${FILE}; done; done

3.2.10 查看證書

ll /etc/kubernetes/pki/
總用量 104
-rw-r--r-- 1 root root 1025  8月 30 18:58 admin.csr
-rw------- 1 root root 1675  8月 30 18:58 admin-key.pem
-rw-r--r-- 1 root root 1444  8月 30 18:58 admin.pem
-rw-r--r-- 1 root root 1415  8月 30 18:58 apiserver.csr
-rw------- 1 root root 1679  8月 30 18:58 apiserver-key.pem
-rw-r--r-- 1 root root 1805  8月 30 18:58 apiserver.pem
-rw-r--r-- 1 root root 1070  8月 30 18:58 ca.csr
-rw------- 1 root root 1679  8月 30 18:58 ca-key.pem
-rw-r--r-- 1 root root 1363  8月 30 18:58 ca.pem
-rw-r--r-- 1 root root 1082  8月 30 18:58 controller-manager.csr
-rw------- 1 root root 1675  8月 30 18:58 controller-manager-key.pem
-rw-r--r-- 1 root root 1501  8月 30 18:58 controller-manager.pem
-rw-r--r-- 1 root root  940  8月 30 18:58 front-proxy-ca.csr
-rw------- 1 root root 1675  8月 30 18:58 front-proxy-ca-key.pem
-rw-r--r-- 1 root root 1094  8月 30 18:58 front-proxy-ca.pem
-rw-r--r-- 1 root root  903  8月 30 18:58 front-proxy-client.csr
-rw------- 1 root root 1675  8月 30 18:58 front-proxy-client-key.pem
-rw-r--r-- 1 root root 1188  8月 30 18:58 front-proxy-client.pem
-rw-r--r-- 1 root root 1045  8月 30 18:58 kube-proxy.csr
-rw------- 1 root root 1675  8月 30 18:58 kube-proxy-key.pem
-rw-r--r-- 1 root root 1464  8月 30 18:58 kube-proxy.pem
-rw------- 1 root root 1708  8月 30 18:58 sa.key
-rw-r--r-- 1 root root  451  8月 30 18:58 sa.pub
-rw-r--r-- 1 root root 1058  8月 30 18:58 scheduler.csr
-rw------- 1 root root 1675  8月 30 18:58 scheduler-key.pem
-rw-r--r-- 1 root root 1476  8月 30 18:58 scheduler.pem


# 一共26個就對了
ls /etc/kubernetes/pki/ |wc -l
26

4.k8s系統組件配置

4.1.etcd配置

這個配置文件是用於 etcd 集羣的配置，其中包含了一些重要的參數和選項：

- `name`：指定了當前節點的名稱，用於集羣中區分不同的節點。
- `data-dir`：指定了 etcd 數據的存儲目錄。
- `wal-dir`：指定了 etcd 數據寫入磁盤的目錄。
- `snapshot-count`：指定了觸發快照的事務數量。
- `heartbeat-interval`：指定了 etcd 集羣中節點之間的心跳間隔。
- `election-timeout`：指定了選舉超時時間。
- `quota-backend-bytes`：指定了存儲的限額，0 表示無限制。
- `listen-peer-urls`：指定了節點之間通信的 URL，使用 HTTPS 協議。
- `listen-client-urls`：指定了客户端訪問 etcd 集羣的 URL，同時提供了本地訪問的 URL。
- `max-snapshots`：指定了快照保留的數量。
- `max-wals`：指定了日誌保留的數量。
- `initial-advertise-peer-urls`：指定了節點之間通信的初始 URL。
- `advertise-client-urls`：指定了客户端訪問 etcd 集羣的初始 URL。
- `discovery`：定義了 etcd 集羣發現相關的選項。
- `initial-cluster`：指定了 etcd 集羣的初始成員。
- `initial-cluster-token`：指定了集羣的 token。
- `initial-cluster-state`：指定了集羣的初始狀態。
- `strict-reconfig-check`：指定了嚴格的重新配置檢查選項。
- `enable-v2`：啓用了 v2 API。
- `enable-pprof`：啓用了性能分析。
- `proxy`：設置了代理模式。
- `client-transport-security`：客户端的傳輸安全配置。
- `peer-transport-security`：節點之間的傳輸安全配置。
- `debug`：是否啓用調試模式。
- `log-package-levels`：日誌的輸出級別。
- `log-outputs`：指定了日誌的輸出類型。
- `force-new-cluster`：是否強制創建一個新的集羣。

這些參數和選項可以根據實際需求進行調整和配置。

4.1.1master01配置

cat > /etc/etcd/etcd.config.yml << EOF 
name: 'k8s-master01'
data-dir: /var/lib/etcd
wal-dir: /var/lib/etcd/wal
snapshot-count: 5000
heartbeat-interval: 100
election-timeout: 1000
quota-backend-bytes: 0
listen-peer-urls: 'https://192.168.1.31:2380'
listen-client-urls: 'https://192.168.1.31:2379,http://127.0.0.1:2379'
max-snapshots: 3
max-wals: 5
cors:
initial-advertise-peer-urls: 'https://192.168.1.31:2380'
advertise-client-urls: 'https://192.168.1.31:2379'
discovery:
discovery-fallback: 'proxy'
discovery-proxy:
discovery-srv:
initial-cluster: 'k8s-master01=https://192.168.1.31:2380,k8s-master02=https://192.168.1.32:2380,k8s-master03=https://192.168.1.33:2380'
initial-cluster-token: 'etcd-k8s-cluster'
initial-cluster-state: 'new'
strict-reconfig-check: false
enable-v2: true
enable-pprof: true
proxy: 'off'
proxy-failure-wait: 5000
proxy-refresh-interval: 30000
proxy-dial-timeout: 1000
proxy-write-timeout: 5000
proxy-read-timeout: 0
client-transport-security:
  cert-file: '/etc/kubernetes/pki/etcd/etcd.pem'
  key-file: '/etc/kubernetes/pki/etcd/etcd-key.pem'
  client-cert-auth: true
  trusted-ca-file: '/etc/kubernetes/pki/etcd/etcd-ca.pem'
  auto-tls: true
peer-transport-security:
  cert-file: '/etc/kubernetes/pki/etcd/etcd.pem'
  key-file: '/etc/kubernetes/pki/etcd/etcd-key.pem'
  peer-client-cert-auth: true
  trusted-ca-file: '/etc/kubernetes/pki/etcd/etcd-ca.pem'
  auto-tls: true
debug: false
log-package-levels:
log-outputs: [default]
force-new-cluster: false
EOF

4.1.2master02配置

cat > /etc/etcd/etcd.config.yml << EOF 
name: 'k8s-master02'
data-dir: /var/lib/etcd
wal-dir: /var/lib/etcd/wal
snapshot-count: 5000
heartbeat-interval: 100
election-timeout: 1000
quota-backend-bytes: 0
listen-peer-urls: 'https://192.168.1.32:2380'
listen-client-urls: 'https://192.168.1.32:2379,http://127.0.0.1:2379'
max-snapshots: 3
max-wals: 5
cors:
initial-advertise-peer-urls: 'https://192.168.1.32:2380'
advertise-client-urls: 'https://192.168.1.32:2379'
discovery:
discovery-fallback: 'proxy'
discovery-proxy:
discovery-srv:
initial-cluster: 'k8s-master01=https://192.168.1.31:2380,k8s-master02=https://192.168.1.32:2380,k8s-master03=https://192.168.1.33:2380'
initial-cluster-token: 'etcd-k8s-cluster'
initial-cluster-state: 'new'
strict-reconfig-check: false
enable-v2: true
enable-pprof: true
proxy: 'off'
proxy-failure-wait: 5000
proxy-refresh-interval: 30000
proxy-dial-timeout: 1000
proxy-write-timeout: 5000
proxy-read-timeout: 0
client-transport-security:
  cert-file: '/etc/kubernetes/pki/etcd/etcd.pem'
  key-file: '/etc/kubernetes/pki/etcd/etcd-key.pem'
  client-cert-auth: true
  trusted-ca-file: '/etc/kubernetes/pki/etcd/etcd-ca.pem'
  auto-tls: true
peer-transport-security:
  cert-file: '/etc/kubernetes/pki/etcd/etcd.pem'
  key-file: '/etc/kubernetes/pki/etcd/etcd-key.pem'
  peer-client-cert-auth: true
  trusted-ca-file: '/etc/kubernetes/pki/etcd/etcd-ca.pem'
  auto-tls: true
debug: false
log-package-levels:
log-outputs: [default]
force-new-cluster: false
EOF

4.1.3master03配置

cat > /etc/etcd/etcd.config.yml << EOF 
name: 'k8s-master03'
data-dir: /var/lib/etcd
wal-dir: /var/lib/etcd/wal
snapshot-count: 5000
heartbeat-interval: 100
election-timeout: 1000
quota-backend-bytes: 0
listen-peer-urls: 'https://192.168.1.33:2380'
listen-client-urls: 'https://192.168.1.33:2379,http://127.0.0.1:2379'
max-snapshots: 3
max-wals: 5
cors:
initial-advertise-peer-urls: 'https://192.168.1.33:2380'
advertise-client-urls: 'https://192.168.1.33:2379'
discovery:
discovery-fallback: 'proxy'
discovery-proxy:
discovery-srv:
initial-cluster: 'k8s-master01=https://192.168.1.31:2380,k8s-master02=https://192.168.1.32:2380,k8s-master03=https://192.168.1.33:2380'
initial-cluster-token: 'etcd-k8s-cluster'
initial-cluster-state: 'new'
strict-reconfig-check: false
enable-v2: true
enable-pprof: true
proxy: 'off'
proxy-failure-wait: 5000
proxy-refresh-interval: 30000
proxy-dial-timeout: 1000
proxy-write-timeout: 5000
proxy-read-timeout: 0
client-transport-security:
  cert-file: '/etc/kubernetes/pki/etcd/etcd.pem'
  key-file: '/etc/kubernetes/pki/etcd/etcd-key.pem'
  client-cert-auth: true
  trusted-ca-file: '/etc/kubernetes/pki/etcd/etcd-ca.pem'
  auto-tls: true
peer-transport-security:
  cert-file: '/etc/kubernetes/pki/etcd/etcd.pem'
  key-file: '/etc/kubernetes/pki/etcd/etcd-key.pem'
  peer-client-cert-auth: true
  trusted-ca-file: '/etc/kubernetes/pki/etcd/etcd-ca.pem'
  auto-tls: true
debug: false
log-package-levels:
log-outputs: [default]
force-new-cluster: false
EOF

4.2.創建service（所有master節點操作）

4.2.1創建etcd.service並啓動

cat > /usr/lib/systemd/system/etcd.service << EOF

[Unit]
Description=Etcd Service
Documentation=https://coreos.com/etcd/docs/latest/
After=network.target

[Service]
Type=notify
ExecStart=/usr/local/bin/etcd --config-file=/etc/etcd/etcd.config.yml
Restart=on-failure
RestartSec=10
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
Alias=etcd3.service

EOF
# 這是一個系統服務配置文件，用於啓動和管理Etcd服務。
# 
# [Unit] 部分包含了服務的一些基本信息，它定義了服務的描述和文檔鏈接，並指定了服務應在網絡連接之後啓動。
# 
# [Service] 部分定義了服務的具體配置。在這裏，服務的類型被設置為notify，意味着當服務成功啓動時，它將通知系統。ExecStart 指定了啓動服務時要執行的命令，這裏是運行 /usr/local/bin/etcd 命令並傳遞一個配置文件 /etc/etcd/etcd.config.yml。Restart 設置為 on-failure，意味着當服務失敗時將自動重啓，並且在10秒後進行重啓。LimitNOFILE 指定了服務的最大文件打開數。
# 
# [Install] 部分定義了服務的安裝配置。WantedBy 指定了服務應該被啓動的目標，這裏是 multi-user.target，表示在系統進入多用户模式時啓動。Alias 定義了一個別名，可以通過etcd3.service來引用這個服務。
# 
# 這個配置文件描述瞭如何啓動和管理Etcd服務，並將其安裝到系統中。通過這個配置文件，可以確保Etcd服務在系統啓動後自動啓動，並在出現問題時進行重啓。

4.2.2創建etcd證書目錄

mkdir /etc/kubernetes/pki/etcd
ln -s /etc/etcd/ssl/* /etc/kubernetes/pki/etcd/

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。

systemctl enable --now etcd.service
# 啓用並立即啓動etcd.service單元。etcd.service是etcd守護進程的systemd服務單元。

systemctl restart etcd.service
# 重啓etcd.service單元，即重新啓動etcd守護進程。

systemctl status etcd.service
# etcd.service單元的當前狀態，包括運行狀態、是否啓用等信息。

4.2.3查看etcd狀態

# 如果要用IPv6那麼把IPv4地址修改為IPv6即可
export ETCDCTL_API=3
etcdctl --endpoints="192.168.1.33:2379,192.168.1.32:2379,192.168.1.31:2379" --cacert=/etc/kubernetes/pki/etcd/etcd-ca.pem --cert=/etc/kubernetes/pki/etcd/etcd.pem --key=/etc/kubernetes/pki/etcd/etcd-key.pem  endpoint status --write-out=table
+-------------------+------------------+---------+-----------------+---------+--------+-----------------------+-------+-----------+------------+-----------+------------+--------------------+--------+--------------------------+-------------------+
|     ENDPOINT      |        ID        | VERSION | STORAGE VERSION | DB SIZE | IN USE | PERCENTAGE NOT IN USE | QUOTA | IS LEADER | IS LEARNER | RAFT TERM | RAFT INDEX | RAFT APPLIED INDEX | ERRORS | DOWNGRADE TARGET VERSION | DOWNGRADE ENABLED |
+-------------------+------------------+---------+-----------------+---------+--------+-----------------------+-------+-----------+------------+-----------+------------+--------------------+--------+--------------------------+-------------------+
| 192.168.1.33:2379 |  8065f2e59c8d68c |   3.6.4 |           3.6.0 |   20 kB |  16 kB |                   20% |   0 B |      true |      false |         3 |         12 |                 12 |        |                          |             false |
| 192.168.1.32:2379 | b7b7ad6bf4db3f28 |   3.6.4 |           3.6.0 |   20 kB |  16 kB |                   20% |   0 B |     false |      false |         3 |         12 |                 12 |        |                          |             false |
| 192.168.1.31:2379 | bf047bcfe3b9bf27 |   3.6.4 |           3.6.0 |   20 kB |  16 kB |                   20% |   0 B |     false |      false |         3 |         12 |                 12 |        |                          |             false |
+-------------------+------------------+---------+-----------------+---------+--------+-----------------------+-------+-----------+------------+-----------+------------+--------------------+--------+--------------------------+-------------------+


# 這個命令是使用etcdctl工具，用於查看指定etcd集羣的健康狀態。下面是每個參數的詳細解釋：
# 
# - `--endpoints`：指定要連接的etcd集羣節點的地址和端口。在這個例子中，指定了3個節點的地址和端口，分別是`192.168.1.33:2379,192.168.1.32:2379,192.168.1.31:2379`。
# - `--cacert`：指定用於驗證etcd服務器證書的CA證書的路徑。在這個例子中，指定了CA證書的路徑為`/etc/kubernetes/pki/etcd/etcd-ca.pem`。CA證書用於驗證etcd服務器證書的有效性。
# - `--cert`：指定用於與etcd服務器進行通信的客户端證書的路徑。在這個例子中，指定了客户端證書的路徑為`/etc/kubernetes/pki/etcd/etcd.pem`。客户端證書用於在與etcd服務器建立安全通信時進行身份驗證。
# - `--key`：指定與客户端證書配對的私鑰的路徑。在這個例子中，指定了私鑰的路徑為`/etc/kubernetes/pki/etcd/etcd-key.pem`。私鑰用於對通信進行加密解密和簽名驗證。
# - `endpoint status`：子命令，用於檢查etcd集羣節點的健康狀態。
# - `--write-out`：指定輸出的格式。在這個例子中，指定以表格形式輸出。
# 
# 通過執行這個命令，可以獲取到etcd集羣節點的健康狀態，並以表格形式展示。

5.高可用配置（在Master服務器上操作）

注意* 5.1.1 和5.1.2 二選一即可

選擇使用那種高可用方案，同時可以倆種都選用，實現內外兼顧的效果，比如：
5.1 的 NGINX方案實現集羣內的高可用
5.2 的 haproxy、keepalived 方案實現集羣外訪問

在《3.2.生成k8s相關證書》

若使用 nginx方案，那麼為 --server=https://127.0.0.1:8443
若使用 haproxy、keepalived 那麼為 --server=https://192.168.1.36:9443

5.1 NGINX高可用方案

5.1.1 進行編譯

# 安裝編譯環境
yum install gcc -y

# 下載解壓nginx二進制文件
# wget http://nginx.org/download/nginx-1.25.3.tar.gz
tar xvf nginx-*.tar.gz
cd nginx-*

# 進行編譯
./configure --with-stream --without-http --without-http_uwsgi_module --without-http_scgi_module --without-http_fastcgi_module
make && make install 

# 拷貝編譯好的nginx
node='k8s-master02 k8s-master03 k8s-node01 k8s-node02'
for NODE in $node; do scp -r /usr/local/nginx/ $NODE:/usr/local/nginx/; done

# 這是一系列命令行指令，用於編譯和安裝軟件。
# 
# 1. `./configure` 是用於配置軟件的命令。在這個例子中，配置的軟件是一個Web服務器，指定了一些選項來啓用流模塊，並禁用了HTTP、uwsgi、scgi和fastcgi模塊。
# 2. `--with-stream` 指定啓用流模塊。流模塊通常用於代理TCP和UDP流量。
# 3. `--without-http` 指定禁用HTTP模塊。這意味着編譯的軟件將沒有HTTP服務器功能。
# 4. `--without-http_uwsgi_module` 指定禁用uwsgi模塊。uwsgi是一種Web服務器和應用服務器之間的通信協議。
# 5. `--without-http_scgi_module` 指定禁用scgi模塊。scgi是一種用於將Web服務器請求傳遞到應用服務器的協議。
# 6. `--without-http_fastcgi_module` 指定禁用fastcgi模塊。fastcgi是一種用於在Web服務器和應用服務器之間交換數據的協議。
# 7. `make` 是用於編譯軟件的命令。該命令將根據之前的配置生成可執行文件。
# 8. `make install` 用於安裝軟件。該命令將生成的可執行文件和其他必要文件複製到系統的適當位置，以便可以使用該軟件。
# 
# 總之，這個命令序列用於編譯一個配置了特定選項的Web服務器，並將其安裝到系統中。

5.1.2 寫入啓動配置

在所有主機上執行

# 寫入nginx配置文件
cat > /usr/local/nginx/conf/kube-nginx.conf <<EOF
worker_processes 1;
events {
    worker_connections  1024;
}
stream {
    upstream backend {
        least_conn;
        hash $remote_addr consistent;
        server 192.168.1.31:6443        max_fails=3 fail_timeout=30s;
        server 192.168.1.32:6443        max_fails=3 fail_timeout=30s;
        server 192.168.1.33:6443        max_fails=3 fail_timeout=30s;
    }
    server {
        listen 127.0.0.1:8443;
        proxy_connect_timeout 1s;
        proxy_pass backend;
    }
}
EOF
# 這段配置是一個nginx的stream模塊的配置，用於代理TCP和UDP流量。
# 
# 首先，`worker_processes 1;`表示啓動一個worker進程用於處理流量。
# 接下來，`events { worker_connections 1024; }`表示每個worker進程可以同時處理最多1024個連接。
# 在stream塊裏面，定義了一個名為`backend`的upstream，用於負載均衡和故障轉移。
# `least_conn`表示使用最少連接算法進行負載均衡。
# `hash $remote_addr consistent`表示用客户端的IP地址進行哈希分配請求，保持相同IP的請求始終訪問同一台服務器。
# `server`指令用於定義後端的服務器，每個服務器都有一個IP地址和端口號，以及一些可選的參數。
# `max_fails=3`表示當一個服務器連續失敗3次時將其標記為不可用。
# `fail_timeout=30s`表示如果一個服務器被標記為不可用，nginx將在30秒後重新嘗試。
# 在server塊內部，定義了一個監聽地址為127.0.0.1:8443的服務器。
# `proxy_connect_timeout 1s`表示與後端服務器建立連接的超時時間為1秒。
# `proxy_pass backend`表示將流量代理到名為backend的上游服務器組。
# 
# 總結起來，這段配置將流量代理到一個包含3個後端服務器的上游服務器組中，使用最少連接算法進行負載均衡，並根據客户端的IP地址進行哈希分配請求。如果一個服務器連續失敗3次，則將其標記為不可用，並在30秒後重新嘗試。


# 寫入啓動配置文件
cat > /etc/systemd/system/kube-nginx.service <<EOF
[Unit]
Description=kube-apiserver nginx proxy
After=network.target
After=network-online.target
Wants=network-online.target

[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/kube-nginx.conf -p /usr/local/nginx -t
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/kube-nginx.conf -p /usr/local/nginx
ExecReload=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/kube-nginx.conf -p /usr/local/nginx -s reload
PrivateTmp=true
Restart=always
RestartSec=5
StartLimitInterval=0
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF
# 這是一個用於kube-apiserver的NGINX代理的systemd單位文件。
# 
# [Unit]部分包含了單位的描述和依賴關係。它指定了在network.target和network-online.target之後啓動，並且需要network-online.target。
# 
# [Service]部分定義瞭如何運行該服務。Type指定了服務進程的類型（forking表示主進程會派生一個子進程）。ExecStartPre指定了在服務啓動之前需要運行的命令，用於檢查NGINX配置文件的語法是否正確。ExecStart指定了啓動服務所需的命令。ExecReload指定了在重新加載配置文件時運行的命令。PrivateTmp設置為true表示將為服務創建一個私有的臨時文件系統。Restart和RestartSec用於設置服務的自動重啓機制。StartLimitInterval設置為0表示無需等待，可以立即重啓服務。LimitNOFILE指定了服務的文件描述符的限制。
# 
# [Install]部分指定了在哪些target下該單位應該被啓用。
# 
# 綜上所述，此單位文件用於啓動和管理kube-apiserver的NGINX代理服務。它通過NGINX來反向代理和負載均衡kube-apiserver的請求。該服務會在系統啓動時自動啓動，並具有自動重啓的機制。


# 設置開機自啓

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。
systemctl enable --now kube-nginx.service
# 啓用並立即啓動kube-nginx.service單元。kube-nginx.service是kube-nginx守護進程的systemd服務單元。
systemctl restart kube-nginx.service
# 重啓kube-nginx.service單元，即重新啓動kube-nginx守護進程。
systemctl status kube-nginx.service
# kube-nginx.service單元的當前狀態，包括運行狀態、是否啓用等信息。

5.2 keepalived和haproxy 高可用方案

5.2.1安裝keepalived和haproxy服務

systemctl disable --now firewalld
setenforce 0
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
yum -y install keepalived haproxy

5.2.2修改haproxy配置文件（配置文件一樣）

# cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak

cat >/etc/haproxy/haproxy.cfg<<"EOF"
global
 maxconn 2000
 ulimit-n 16384
 log 127.0.0.1 local0 err
 stats timeout 30s

defaults
 log global
 mode http
 option httplog
 timeout connect 5000
 timeout client 50000
 timeout server 50000
 timeout http-request 15s
 timeout http-keep-alive 15s


frontend monitor-in
 bind *:33305
 mode http
 option httplog
 monitor-uri /monitor

frontend k8s-master
 bind 0.0.0.0:9443
 bind 127.0.0.1:9443
 mode tcp
 option tcplog
 tcp-request inspect-delay 5s
 default_backend k8s-master


backend k8s-master
 mode tcp
 option tcplog
 option tcp-check
 balance roundrobin
 default-server inter 10s downinter 5s rise 2 fall 2 slowstart 60s maxconn 250 maxqueue 256 weight 100
 server  k8s-master01  192.168.1.31:6443 check
 server  k8s-master02  192.168.1.32:6443 check
 server  k8s-master03  192.168.1.33:6443 check
EOF

參數

這段配置代碼是指定了一個HAProxy負載均衡器的配置。下面對各部分進行詳細解釋：
1. global:
   - maxconn 2000: 設置每個進程的最大連接數為2000。
   - ulimit-n 16384: 設置每個進程的最大文件描述符數為16384。
   - log 127.0.0.1 local0 err: 指定日誌的輸出地址為本地主機的127.0.0.1，並且只記錄錯誤級別的日誌。
   - stats timeout 30s: 設置查看負載均衡器統計信息的超時時間為30秒。

2. defaults:
   - log global: 使默認日誌與global部分相同。
   - mode http: 設定負載均衡器的工作模式為HTTP模式。
   - option httplog: 使負載均衡器記錄HTTP協議的日誌。
   - timeout connect 5000: 設置與後端服務器建立連接的超時時間為5秒。
   - timeout client 50000: 設置與客户端的連接超時時間為50秒。
   - timeout server 50000: 設置與後端服務器連接的超時時間為50秒。
   - timeout http-request 15s: 設置處理HTTP請求的超時時間為15秒。
   - timeout http-keep-alive 15s: 設置保持HTTP連接的超時時間為15秒。

3. frontend monitor-in:
   - bind *:33305: 監聽所有IP地址的33305端口。
   - mode http: 設定frontend的工作模式為HTTP模式。
   - option httplog: 記錄HTTP協議的日誌。
   - monitor-uri /monitor: 設置監控URI為/monitor。

4. frontend k8s-master:
   - bind 0.0.0.0:9443: 監聽所有IP地址的9443端口。
   - bind 127.0.0.1:9443: 監聽本地主機的9443端口。
   - mode tcp: 設定frontend的工作模式為TCP模式。
   - option tcplog: 記錄TCP協議的日誌。
   - tcp-request inspect-delay 5s: 設置在接收到請求後延遲5秒進行檢查。
   - default_backend k8s-master: 設置默認的後端服務器組為k8s-master。

5. backend k8s-master:
   - mode tcp: 設定backend的工作模式為TCP模式。
   - option tcplog: 記錄TCP協議的日誌。
   - option tcp-check: 啓用TCP檢查功能。
   - balance roundrobin: 使用輪詢算法進行負載均衡。
   - default-server inter 10s downinter 5s rise 2 fall 2 slowstart 60s maxconn 250 maxqueue 256 weight 100: 設置默認的服務器參數。
   - server k8s-master01 192.168.1.31:6443 check: 增加一個名為k8s-master01的服務器，IP地址為192.168.1.31，端口號為6443，並對其進行健康檢查。
   - server k8s-master02 192.168.1.32:6443 check: 增加一個名為k8s-master02的服務器，IP地址為192.168.1.32，端口號為6443，並對其進行健康檢查。
   - server k8s-master03 192.168.1.33:6443 check: 增加一個名為k8s-master03的服務器，IP地址為192.168.1.33，端口號為6443，並對其進行健康檢查。

以上就是這段配置代碼的詳細解釋。它主要定義了全局配置、默認配置、前端監聽和後端服務器組的相關參數和設置。通過這些配置，可以實現負載均衡和監控功能。

5.2.3Master01配置keepalived master節點

#cp /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak

cat > /etc/keepalived/keepalived.conf << EOF
! Configuration File for keepalived

global_defs {
    router_id LVS_DEVEL
}
vrrp_script chk_apiserver {
    script "/etc/keepalived/check_apiserver.sh"
    interval 5 
    weight -5
    fall 2
    rise 1
}
vrrp_instance VI_1 {
    state MASTER
    # 注意網卡名
    interface ens160 
    mcast_src_ip 192.168.1.31
    virtual_router_id 51
    priority 100
    nopreempt
    advert_int 2
    authentication {
        auth_type PASS
        auth_pass K8SHA_KA_AUTH
    }
    virtual_ipaddress {
        192.168.1.36
    }
    track_script {
      chk_apiserver 
} }

EOF

5.2.4Master02配置keepalived backup節點

# cp /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak

cat > /etc/keepalived/keepalived.conf << EOF
! Configuration File for keepalived

global_defs {
    router_id LVS_DEVEL
}
vrrp_script chk_apiserver {
    script "/etc/keepalived/check_apiserver.sh"
    interval 5 
    weight -5
    fall 2
    rise 1

}
vrrp_instance VI_1 {
    state BACKUP
    # 注意網卡名
    interface ens160
    mcast_src_ip 192.168.1.32
    virtual_router_id 51
    priority 80
    nopreempt
    advert_int 2
    authentication {
        auth_type PASS
        auth_pass K8SHA_KA_AUTH
    }
    virtual_ipaddress {
        192.168.1.36
    }
    track_script {
      chk_apiserver 
} }

EOF

5.2.5Master03配置keepalived backup節點

# cp /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak

cat > /etc/keepalived/keepalived.conf << EOF
! Configuration File for keepalived

global_defs {
    router_id LVS_DEVEL
}
vrrp_script chk_apiserver {
    script "/etc/keepalived/check_apiserver.sh"
    interval 5 
    weight -5
    fall 2
    rise 1

}
vrrp_instance VI_1 {
    state BACKUP
    # 注意網卡名
    interface ens160
    mcast_src_ip 192.168.1.33
    virtual_router_id 51
    priority 50
    nopreempt
    advert_int 2
    authentication {
        auth_type PASS
        auth_pass K8SHA_KA_AUTH
    }
    virtual_ipaddress {
        192.168.1.36
    }
    track_script {
      chk_apiserver 
} }

EOF

參數

這是一個用於配置keepalived的配置文件。下面是對每個部分的詳細解釋：

- `global_defs`部分定義了全局參數。
- `router_id`參數指定了當前路由器的標識，這裏設置為"LVS_DEVEL"。

- `vrrp_script`部分定義了一個VRRP腳本。`chk_apiserver`是腳本的名稱，
    - `script`參數指定了腳本的路徑。該腳本每5秒執行一次，返回值為0表示服務正常，返回值為1表示服務異常。
    - `weight`參數指定了根據腳本返回的值來調整優先級，這裏設置為-5。
    - `fall`參數指定了失敗閾值，當連續2次腳本返回值為1時認為服務異常。
    - `rise`參數指定了恢復閾值，當連續1次腳本返回值為0時認為服務恢復正常。

- `vrrp_instance`部分定義了一個VRRP實例。`VI_1`是實例的名稱。
    - `state`參數指定了當前實例的狀態，這裏設置為MASTER表示當前實例是主節點。
    - `interface`參數指定了要監聽的網卡，這裏設置為ens160。
    - `mcast_src_ip`參數指定了VRRP報文的源IP地址，這裏設置為192.168.1.31。
    - `virtual_router_id`參數指定了虛擬路由器的ID，這裏設置為51。
    - `priority`參數指定了實例的優先級，優先級越高（數值越大）越有可能被選為主節點。
    - `nopreempt`參數指定了當主節點失效後不要搶佔身份，即不要自動切換為主節點。
    - `advert_int`參數指定了發送廣播的間隔時間，這裏設置為2秒。
    - `authentication`部分指定了認證參數
        - `auth_type`參數指定了認證類型，這裏設置為PASS表示使用密碼認證，
        - `auth_pass`參數指定了認證密碼，這裏設置為K8SHA_KA_AUTH。
    - `virtual_ipaddress`部分指定了虛擬IP地址，這裏設置為192.168.1.36。
    - `track_script`部分指定了要跟蹤的腳本，這裏跟蹤了chk_apiserver腳本。

5.2.6健康檢查腳本配置（lb主機）

cat >  /etc/keepalived/check_apiserver.sh << EOF
#!/bin/bash

err=0
for k in \$(seq 1 3)
do
    check_code=\$(pgrep haproxy)
    if [[ \$check_code == "" ]]; then
        err=\$(expr \$err + 1)
        sleep 1
        continue
    else
        err=0
        break
    fi
done

if [[ \$err != "0" ]]; then
    echo "systemctl stop keepalived"
    /usr/bin/systemctl stop keepalived
    exit 1
else
    exit 0
fi
EOF

# 給腳本授權

chmod +x /etc/keepalived/check_apiserver.sh

# 這段腳本是一個簡單的bash腳本，主要用來檢查是否有名為haproxy的進程正在運行。
# 
# 腳本的主要邏輯如下：
# 1. 首先設置一個變量err為0，用來記錄錯誤次數。
# 2. 使用一個循環，在循環內部執行以下操作：
#    a. 使用pgrep命令檢查是否有名為haproxy的進程在運行。如果不存在該進程，將err加1，並暫停1秒鐘，然後繼續下一次循環。
#    b. 如果存在haproxy進程，將err重置為0，並跳出循環。
# 3. 檢查err的值，如果不為0，表示檢查失敗，輸出一條錯誤信息並執行“systemctl stop keepalived”命令停止keepalived進程，並退出腳本返回1。
# 4. 如果err的值為0，表示檢查成功，退出腳本返回0。
# 
# 該腳本的主要作用是檢查是否存在運行中的haproxy進程，如果無法檢測到haproxy進程，將停止keepalived進程並返回錯誤狀態。如果haproxy進程存在，則返回成功狀態。這個腳本可能是作為一個健康檢查腳本的一部分，在確保haproxy服務可用的情況下，才繼續運行其他操作。

5.2.7啓動服務

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。
systemctl enable --now haproxy.service
# 啓用並立即啓動haproxy.service單元。haproxy.service是haproxy守護進程的systemd服務單元。
systemctl enable --now keepalived.service
# 啓用並立即啓動keepalived.service單元。keepalived.service是keepalived守護進程的systemd服務單元。
systemctl status haproxy.service
# haproxy.service單元的當前狀態，包括運行狀態、是否啓用等信息。
systemctl status keepalived.service
# keepalived.service單元的當前狀態，包括運行狀態、是否啓用等信息。

5.2.8測試高可用

# 能ping同
[root@k8s-node02 ~]# ping 192.168.1.36

# 能telnet訪問
[root@k8s-node02 ~]# telnet 192.168.1.36 9443

# 關閉主節點，看vip是否漂移到備節點

6.k8s組件配置

所有k8s節點創建以下目錄

mkdir -p /etc/kubernetes/manifests/ /etc/systemd/system/kubelet.service.d /var/lib/kubelet /var/log/kubernetes

6.1.創建apiserver（所有master節點）

6.1.1master01節點配置

# 若關閉IPv6 刪除 --service-cluster-ip-range 的 IPv6 即可
cat > /usr/lib/systemd/system/kube-apiserver.service << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-apiserver \\
      --v=2  \\
      --allow-privileged=true  \\
      --bind-address=0.0.0.0  \\
      --secure-port=6443  \\
      --advertise-address=192.168.1.31 \\
      --service-cluster-ip-range=10.96.0.0/12,fd00:1111::/112  \\
      --service-node-port-range=30000-32767  \\
      --etcd-servers=https://192.168.1.31:2379,https://192.168.1.32:2379,https://192.168.1.33:2379 \\
      --etcd-cafile=/etc/etcd/ssl/etcd-ca.pem  \\
      --etcd-certfile=/etc/etcd/ssl/etcd.pem  \\
      --etcd-keyfile=/etc/etcd/ssl/etcd-key.pem  \\
      --client-ca-file=/etc/kubernetes/pki/ca.pem  \\
      --tls-cert-file=/etc/kubernetes/pki/apiserver.pem  \\
      --tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem  \\
      --kubelet-client-certificate=/etc/kubernetes/pki/apiserver.pem  \\
      --kubelet-client-key=/etc/kubernetes/pki/apiserver-key.pem  \\
      --service-account-key-file=/etc/kubernetes/pki/sa.pub  \\
      --service-account-signing-key-file=/etc/kubernetes/pki/sa.key  \\
      --service-account-issuer=https://kubernetes.default.svc.cluster.local \\
      --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname  \\
      --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,ResourceQuota  \
      --authorization-mode=Node,RBAC  \\
      --enable-bootstrap-token-auth=true  \\
      --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.pem  \\
      --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.pem  \\
      --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client-key.pem  \\
      --requestheader-allowed-names=aggregator  \\
      --requestheader-group-headers=X-Remote-Group  \\
      --requestheader-extra-headers-prefix=X-Remote-Extra-  \\
      --requestheader-username-headers=X-Remote-User \\
      --enable-aggregator-routing=true
Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

EOF

6.1.2master02節點配置

# 若關閉IPv6 刪除 --service-cluster-ip-range 的 IPv6 即可
cat > /usr/lib/systemd/system/kube-apiserver.service << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-apiserver \\
      --v=2  \\
      --allow-privileged=true  \\
      --bind-address=0.0.0.0  \\
      --secure-port=6443  \\
      --advertise-address=192.168.1.32 \\
      --service-cluster-ip-range=10.96.0.0/12,fd00:1111::/112  \\
      --service-node-port-range=30000-32767  \\
      --etcd-servers=https://192.168.1.31:2379,https://192.168.1.32:2379,https://192.168.1.33:2379 \\
      --etcd-cafile=/etc/etcd/ssl/etcd-ca.pem  \\
      --etcd-certfile=/etc/etcd/ssl/etcd.pem  \\
      --etcd-keyfile=/etc/etcd/ssl/etcd-key.pem  \\
      --client-ca-file=/etc/kubernetes/pki/ca.pem  \\
      --tls-cert-file=/etc/kubernetes/pki/apiserver.pem  \\
      --tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem  \\
      --kubelet-client-certificate=/etc/kubernetes/pki/apiserver.pem  \\
      --kubelet-client-key=/etc/kubernetes/pki/apiserver-key.pem  \\
      --service-account-key-file=/etc/kubernetes/pki/sa.pub  \\
      --service-account-signing-key-file=/etc/kubernetes/pki/sa.key  \\
      --service-account-issuer=https://kubernetes.default.svc.cluster.local \\
      --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname  \\
      --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,ResourceQuota  \\
      --authorization-mode=Node,RBAC  \\
      --enable-bootstrap-token-auth=true  \\
      --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.pem  \\
      --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.pem  \\
      --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client-key.pem  \\
      --requestheader-allowed-names=aggregator  \\
      --requestheader-group-headers=X-Remote-Group  \\
      --requestheader-extra-headers-prefix=X-Remote-Extra-  \\
      --requestheader-username-headers=X-Remote-User \\
      --enable-aggregator-routing=true

Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

EOF

6.1.3master03節點配置

# 若關閉IPv6 刪除 --service-cluster-ip-range 的 IPv6 即可
cat > /usr/lib/systemd/system/kube-apiserver.service  << EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-apiserver \\
      --v=2  \\
      --allow-privileged=true  \\
      --bind-address=0.0.0.0  \\
      --secure-port=6443  \\
      --advertise-address=192.168.1.33 \\
      --service-cluster-ip-range=10.96.0.0/12,fd00:1111::/112  \\
      --service-node-port-range=30000-32767  \\
      --etcd-servers=https://192.168.1.31:2379,https://192.168.1.32:2379,https://192.168.1.33:2379 \\
      --etcd-cafile=/etc/etcd/ssl/etcd-ca.pem  \\
      --etcd-certfile=/etc/etcd/ssl/etcd.pem  \\
      --etcd-keyfile=/etc/etcd/ssl/etcd-key.pem  \\
      --client-ca-file=/etc/kubernetes/pki/ca.pem  \\
      --tls-cert-file=/etc/kubernetes/pki/apiserver.pem  \\
      --tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem  \\
      --kubelet-client-certificate=/etc/kubernetes/pki/apiserver.pem  \\
      --kubelet-client-key=/etc/kubernetes/pki/apiserver-key.pem  \\
      --service-account-key-file=/etc/kubernetes/pki/sa.pub  \\
      --service-account-signing-key-file=/etc/kubernetes/pki/sa.key  \\
      --service-account-issuer=https://kubernetes.default.svc.cluster.local \\
      --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname  \\
      --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,ResourceQuota  \\
      --authorization-mode=Node,RBAC  \\
      --enable-bootstrap-token-auth=true  \\
      --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.pem  \\
      --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.pem  \\
      --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client-key.pem  \\
      --requestheader-allowed-names=aggregator  \\
      --requestheader-group-headers=X-Remote-Group  \\
      --requestheader-extra-headers-prefix=X-Remote-Extra-  \\
      --requestheader-username-headers=X-Remote-User \\
      --enable-aggregator-routing=true

Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

EOF

參數

該配置文件是用於定義Kubernetes API Server的systemd服務的配置。systemd是一個用於啓動和管理Linux系統服務的守護進程。

[Unit]
- Description: 服務的描述信息，用於顯示在日誌和系統管理工具中。
- Documentation: 提供關於服務的文檔鏈接。
- After: 規定服務依賴於哪些其他服務或單元。在這個例子中，API Server服務在網絡目標啓動之後啓動。

[Service]
- ExecStart: 定義服務的命令行參數和命令。這裏指定了API Server的啓動命令，包括各種參數選項。
- Restart: 指定當服務退出時應該如何重新啓動。在這個例子中，服務在失敗時將被重新啓動。
- RestartSec: 指定兩次重新啓動之間的等待時間。
- LimitNOFILE: 指定進程可以打開的文件描述符的最大數量。

[Install]
- WantedBy: 指定服務應該安裝到哪個系統目標。在這個例子中，服務將被安裝到multi-user.target目標，以便在多用户模式下啓動。

上述配置文件中定義的kube-apiserver服務將以指定的參數運行，這些參數包括：

- `--v=2` 指定日誌級別為2，打印詳細的API Server日誌。
- `--allow-privileged=true` 允許特權容器運行。
- `--bind-address=0.0.0.0` 綁定API Server監聽的IP地址。
- `--secure-port=6443` 指定API Server監聽的安全端口。
- `--advertise-address=192.168.1.31` 廣告API Server的地址。
- `--service-cluster-ip-range=10.96.0.0/12,fd00:1111::/112` 指定服務CIDR範圍。
- `--service-node-port-range=30000-32767` 指定NodePort的範圍。
- `--etcd-servers=https://192.168.1.31:2379,https://192.168.1.32:2379,https://192.168.1.33:2379` 指定etcd服務器的地址。
- `--etcd-cafile` 指定etcd服務器的CA證書。
- `--etcd-certfile` 指定etcd服務器的證書。
- `--etcd-keyfile` 指定etcd服務器的私鑰。
- `--client-ca-file` 指定客户端CA證書。
- `--tls-cert-file` 指定服務的證書。
- `--tls-private-key-file` 指定服務的私鑰。
- `--kubelet-client-certificate` 和 `--kubelet-client-key` 指定與kubelet通信的客户端證書和私鑰。
- `--service-account-key-file` 指定服務賬户公鑰文件。
- `--service-account-signing-key-file` 指定服務賬户簽名密鑰文件。
- `--service-account-issuer` 指定服務賬户的發佈者。
- `--kubelet-preferred-address-types` 指定kubelet通信時的首選地址類型。
- `--enable-admission-plugins` 啓用一系列准入插件。
- `--authorization-mode` 指定授權模式。
- `--enable-bootstrap-token-auth` 啓用引導令牌認證。
- `--requestheader-client-ca-file` 指定請求頭中的客户端CA證書。
- `--proxy-client-cert-file` 和 `--proxy-client-key-file` 指定代理客户端的證書和私鑰。
- `--requestheader-allowed-names` 指定請求頭中允許的名字。
- `--requestheader-group-headers` 指定請求頭中的組頭。
- `--requestheader-extra-headers-prefix` 指定請求頭中的額外頭前綴。
- `--requestheader-username-headers` 指定請求頭中的用户名頭。
- `--enable-aggregator-routing` 啓用聚合路由。

整個配置文件為Kubernetes API Server提供了必要的參數，以便正確地啓動和運行。

6.1.4啓動apiserver（所有master節點）

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。

systemctl enable --now kube-apiserver.service
# 啓用並立即啓動kube-apiserver.service單元。kube-apiserver.service是kube-apiserver守護進程的systemd服務單元。

systemctl restart kube-apiserver.service
# 重啓kube-apiserver.service單元，即重新啓動etcd守護進程。

systemctl status kube-apiserver.service
# kube-apiserver.service單元的當前狀態，包括運行狀態、是否啓用等信息。

6.2.配置kube-controller-manager service

# 所有master節點配置，且配置相同
# 172.16.0.0/12為pod網段，按需求設置你自己的網段

cat > /usr/lib/systemd/system/kube-controller-manager.service << EOF
[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-controller-manager \\
      --v=2 \\
      --bind-address=0.0.0.0 \\
      --root-ca-file=/etc/kubernetes/pki/ca.pem \\
      --cluster-signing-cert-file=/etc/kubernetes/pki/ca.pem \\
      --cluster-signing-key-file=/etc/kubernetes/pki/ca-key.pem \\
      --service-account-private-key-file=/etc/kubernetes/pki/sa.key \\
      --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig \\
      --leader-elect=true \\
      --use-service-account-credentials=true \\
      --node-monitor-grace-period=40s \\
      --node-monitor-period=5s \\
      --controllers=*,bootstrapsigner,tokencleaner \\
      --allocate-node-cidrs=true \\
      --service-cluster-ip-range=10.96.0.0/12,fd00:1111::/112 \\
      --cluster-cidr=172.16.0.0/12,fc00:2222::/112 \\
      --node-cidr-mask-size-ipv4=24 \\
      --node-cidr-mask-size-ipv6=120 \\
      --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.pem

Restart=always
RestartSec=10s

[Install]
WantedBy=multi-user.target
EOF



# 關閉IPv6 
# 刪除 --service-cluster-ip-range 中的IPv6地址
# 刪除 --cluster-cidr 中的IPv6地址
# 刪除 --node-cidr-mask-size-ipv6=120
cat > /usr/lib/systemd/system/kube-controller-manager.service << EOF
[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-controller-manager \\
      --v=2 \\
      --bind-address=0.0.0.0 \\
      --root-ca-file=/etc/kubernetes/pki/ca.pem \\
      --cluster-signing-cert-file=/etc/kubernetes/pki/ca.pem \\
      --cluster-signing-key-file=/etc/kubernetes/pki/ca-key.pem \\
      --service-account-private-key-file=/etc/kubernetes/pki/sa.key \\
      --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig \\
      --leader-elect=true \\
      --use-service-account-credentials=true \\
      --node-monitor-grace-period=40s \\
      --node-monitor-period=5s \\
      --controllers=*,bootstrapsigner,tokencleaner \\
      --allocate-node-cidrs=true \\
      --service-cluster-ip-range=10.96.0.0/12 \\
      --cluster-cidr=172.16.0.0/12 \\
      --node-cidr-mask-size-ipv4=24 \\
      --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.pem

Restart=always
RestartSec=10s

[Install]
WantedBy=multi-user.target
EOF

參數

這是一個用於啓動 Kubernetes 控制器管理器的 systemd 服務單元文件。下面是對每個部分的詳細解釋：

[Unit]：單元的基本信息部分，用於描述和標識這個服務單元。
Description：服務單元的描述信息，説明了該服務單元的作用，這裏是 Kubernetes 控制器管理器。
Documentation：可選項，提供了關於該服務單元的文檔鏈接。
After：定義了該服務單元在哪些其他單元之後啓動，這裏是 network.target，即在網絡服務啓動之後啓動。

[Service]：定義了服務的運行參數和行為。
ExecStart：指定服務啓動時執行的命令，這裏是 /usr/local/bin/kube-controller-manager，並通過後續的行繼續傳遞了一系列的參數設置。
Restart：定義了服務在退出後的重新啓動策略，這裏設置為 always，表示總是重新啓動服務。
RestartSec：定義了重新啓動服務的時間間隔，這裏設置為 10 秒。

[Install]：定義瞭如何安裝和啓用服務單元。
WantedBy：指定了服務單元所屬的 target，這裏是 multi-user.target，表示啓動多用户模式下的服務。
在 ExecStart 中傳遞的參數説明如下：

--v=2：設置日誌的詳細級別為 2。
--bind-address=0.0.0.0：綁定的 IP 地址，用於監聽 Kubernetes 控制平面的請求，這裏設置為 0.0.0.0，表示監聽所有網絡接口上的請求。
--root-ca-file：根證書文件的路徑，用於驗證其他組件的證書。
--cluster-signing-cert-file：用於簽名集羣證書的證書文件路徑。
--cluster-signing-key-file：用於簽名集羣證書的私鑰文件路徑。
--service-account-private-key-file：用於簽名服務賬户令牌的私鑰文件路徑。
--kubeconfig：kubeconfig 文件的路徑，包含了與 Kubernetes API 服務器通信所需的配置信息。
--leader-elect=true：啓用 Leader 選舉機制，確保只有一個控制器管理器作為 leader 在運行。
--use-service-account-credentials=true：使用服務賬户的憑據進行認證和授權。
--node-monitor-grace-period=40s：節點監控的優雅退出時間，節點長時間不響應時會觸發節點驅逐。
--node-monitor-period=5s：節點監控的檢測週期，用於檢測節點是否正常運行。
--controllers：指定要運行的控制器類型，在這裏使用了通配符 *，表示運行所有的控制器，同時還包括了 bootstrapsigner 和 tokencleaner 控制器。
--allocate-node-cidrs=true：為節點分配 CIDR 子網，用於分配 Pod 網絡地址。
--service-cluster-ip-range：定義 Service 的 IP 範圍，這裏設置為 10.96.0.0/12 和 fd00::/108。
--cluster-cidr：定義集羣的 CIDR 範圍，這裏設置為 172.16.0.0/12 和 fc00::/48。
--node-cidr-mask-size-ipv4：分配給每個節點的 IPv4 子網掩碼大小，默認是 24。
--node-cidr-mask-size-ipv6：分配給每個節點的 IPv6 子網掩碼大小，默認是 120。
--requestheader-client-ca-file：設置請求頭中客户端 CA 的證書文件路徑，用於認證請求頭中的 CA 證書。

這個服務單元文件描述了 Kubernetes 控制器管理器的啓動參數和行為，並且定義了服務的依賴關係和重新啓動策略。通過 systemd 啓動該服務單元，即可啓動 Kubernetes 控制器管理器組件。

6.2.1啓動kube-controller-manager，並查看狀態

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。

systemctl enable --now kube-controller-manager.service
# 啓用並立即啓動kube-controller-manager.service單元。kube-controller-manager.service是kube-controller-manager守護進程的systemd服務單元。

systemctl restart kube-controller-manager.service
# 重啓kube-controller-manager.service單元，即重新啓動etcd守護進程。

systemctl status kube-controller-manager.service
# kube-controller-manager.service單元的當前狀態，包括運行狀態、是否啓用等信息。

6.3.配置kube-scheduler service

6.3.1所有master節點配置，且配置相同

cat > /usr/lib/systemd/system/kube-scheduler.service << EOF

[Unit]
Description=Kubernetes Scheduler
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-scheduler \\
      --v=2 \\
      --bind-address=0.0.0.0 \\
      --leader-elect=true \\
      --kubeconfig=/etc/kubernetes/scheduler.kubeconfig

Restart=always
RestartSec=10s

[Install]
WantedBy=multi-user.target

EOF

參數

這是一個用於啓動 Kubernetes 調度器的 systemd 服務單元文件。下面是對每個部分的詳細解釋：

[Unit]：單元的基本信息部分，用於描述和標識這個服務單元。
Description：服務單元的描述信息，説明了該服務單元的作用，這裏是 Kubernetes 調度器。
Documentation：可選項，提供了關於該服務單元的文檔鏈接。
After：定義了該服務單元在哪些其他單元之後啓動，這裏是 network.target，即在網絡服務啓動之後啓動。

[Service]：定義了服務的運行參數和行為。
ExecStart：指定服務啓動時執行的命令，這裏是 /usr/local/bin/kube-scheduler，並通過後續的行繼續傳遞了一系列的參數設置。
Restart：定義了服務在退出後的重新啓動策略，這裏設置為 always，表示總是重新啓動服務。
RestartSec：定義了重新啓動服務的時間間隔，這裏設置為 10 秒。

[Install]：定義瞭如何安裝和啓用服務單元。
WantedBy：指定了服務單元所屬的 target，這裏是 multi-user.target，表示啓動多用户模式下的服務。

在 ExecStart 中傳遞的參數説明如下：

--v=2：設置日誌的詳細級別為 2。
--bind-address=0.0.0.0：綁定的 IP 地址，用於監聽 Kubernetes 控制平面的請求，這裏設置為 0.0.0.0，表示監聽所有網絡接口上的請求。
--leader-elect=true：啓用 Leader 選舉機制，確保只有一個調度器作為 leader 在運行。
--kubeconfig=/etc/kubernetes/scheduler.kubeconfig：kubeconfig 文件的路徑，包含了與 Kubernetes API 服務器通信所需的配置信息。

這個服務單元文件描述了 Kubernetes 調度器的啓動參數和行為，並且定義了服務的依賴關係和重新啓動策略。通過 systemd 啓動該服務單元，即可啓動 Kubernetes 調度器組件。

6.3.2啓動並查看服務狀態

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。

systemctl enable --now kube-scheduler.service
# 啓用並立即啓動kube-scheduler.service單元。kube-scheduler.service是kube-scheduler守護進程的systemd服務單元。

systemctl restart kube-scheduler.service
# 重啓kube-scheduler.service單元，即重新啓動etcd守護進程。

systemctl status kube-scheduler.service
# kube-scheduler.service單元的當前狀態，包括運行狀態、是否啓用等信息。

7.TLS Bootstrapping配置

7.1在master01上配置

# 在《5.高可用配置》選擇使用那種高可用方案
# 若使用 haproxy、keepalived 那麼為 `--server=https://192.168.1.36:9443`
# 若使用 nginx方案，那麼為 `--server=https://127.0.0.1:8443`

kubectl config set-cluster kubernetes     \
--certificate-authority=/etc/kubernetes/pki/ca.pem     \
--embed-certs=true     --server=https://127.0.0.1:8443     \
--kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig
# 這是一個使用 kubectl 命令設置 Kubernetes 集羣配置的命令示例。下面是對每個選項的詳細解釋：
# 
# config set-cluster kubernetes：指定要設置的集羣名稱為 "kubernetes"，表示要修改名為 "kubernetes" 的集羣配置。
# --certificate-authority=/etc/kubernetes/pki/ca.pem：指定證書頒發機構（CA）的證書文件路徑，用於驗證服務器證書的有效性。
# --embed-certs=true：將證書文件嵌入到生成的 kubeconfig 文件中。這樣可以避免在 kubeconfig 文件中引用外部證書文件。
# --server=https://127.0.0.1:8443：指定 Kubernetes API 服務器的地址和端口，這裏使用的是 https 協議和本地地址（127.0.0.1），端口號為 8443。你可以根據實際環境修改該參數。
# --kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig：指定 kubeconfig 文件的路徑和名稱，這裏是 /etc/kubernetes/bootstrap-kubelet.kubeconfig。
# 通過執行此命令，你可以設置名為 "kubernetes" 的集羣配置，並提供 CA 證書、API 服務器地址和端口，並將這些配置信息嵌入到 bootstrap-kubelet.kubeconfig 文件中。這個 kubeconfig 文件可以用於認證和授權 kubelet 組件與 Kubernetes API 服務器之間的通信。請確保路徑和文件名與實際環境中的配置相匹配。


# 可以使用這個命令進行創建token也可以使用我的
echo "$(head -c 6 /dev/urandom | md5sum | head -c 6)"."$(head -c 16 /dev/urandom | md5sum | head -c 16)"

kubectl config set-credentials tls-bootstrap-token-user     \
--token=c8ad9c.2e4d610cf3e7426e \
--kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig
# 這是一個使用 kubectl 命令設置憑證信息的命令示例。下面是對每個選項的詳細解釋：
# 
# config set-credentials tls-bootstrap-token-user：指定要設置的憑證名稱為 "tls-bootstrap-token-user"，表示要修改名為 "tls-bootstrap-token-user" 的用户憑證配置。
# --token=c8ad9c.2e4d610cf3e7426e：指定用户的身份驗證令牌（token）。在這個示例中，令牌是 c8ad9c.2e4d610cf3e7426e。你可以根據實際情況修改該令牌。
# --kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig：指定 kubeconfig 文件的路徑和名稱，這裏是 /etc/kubernetes/bootstrap-kubelet.kubeconfig。
# 通過執行此命令，你可以設置名為 "tls-bootstrap-token-user" 的用户憑證，並將令牌信息加入到 bootstrap-kubelet.kubeconfig 文件中。這個 kubeconfig 文件可以用於認證和授權 kubelet 組件與 Kubernetes API 服務器之間的通信。請確保路徑和文件名與實際環境中的配置相匹配。

kubectl config set-context tls-bootstrap-token-user@kubernetes     \
--cluster=kubernetes     \
--user=tls-bootstrap-token-user     \
--kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig
# 這是一個使用 kubectl 命令設置上下文信息的命令示例。下面是對每個選項的詳細解釋：
# 
# config set-context tls-bootstrap-token-user@kubernetes：指定要設置的上下文名稱為 "tls-bootstrap-token-user@kubernetes"，表示要修改名為 "tls-bootstrap-token-user@kubernetes" 的上下文配置。
# --cluster=kubernetes：指定上下文關聯的集羣名稱為 "kubernetes"，表示使用名為 "kubernetes" 的集羣配置。
# --user=tls-bootstrap-token-user：指定上下文關聯的用户憑證名稱為 "tls-bootstrap-token-user"，表示使用名為 "tls-bootstrap-token-user" 的用户憑證配置。
# --kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig：指定 kubeconfig 文件的路徑和名稱，這裏是 /etc/kubernetes/bootstrap-kubelet.kubeconfig。
# 通過執行此命令，你可以設置名為 "tls-bootstrap-token-user@kubernetes" 的上下文，並將其關聯到名為 "kubernetes" 的集羣配置和名為 "tls-bootstrap-token-user" 的用户憑證配置。這樣，bootstrap-kubelet.kubeconfig 文件就包含了完整的上下文信息，可以用於指定與 Kubernetes 集羣建立連接時要使用的集羣和憑證。請確保路徑和文件名與實際環境中的配置相匹配。

kubectl config use-context tls-bootstrap-token-user@kubernetes     \
--kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig
# 這是一個使用 kubectl 命令設置當前上下文的命令示例。下面是對每個選項的詳細解釋：
# 
# config use-context tls-bootstrap-token-user@kubernetes：指定要使用的上下文名稱為 "tls-bootstrap-token-user@kubernetes"，表示要將當前上下文切換為名為 "tls-bootstrap-token-user@kubernetes" 的上下文。
# --kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig：指定 kubeconfig 文件的路徑和名稱，這裏是 /etc/kubernetes/bootstrap-kubelet.kubeconfig。
# 通過執行此命令，你可以將當前上下文設置為名為 "tls-bootstrap-token-user@kubernetes" 的上下文。這樣，當你執行其他 kubectl 命令時，它們將使用該上下文與 Kubernetes 集羣進行交互。請確保路徑和文件名與實際環境中的配置相匹配。


# token的位置在bootstrap.secret.yaml，如果修改的話到這個文件修改
mkdir -p /root/.kube ; cp /etc/kubernetes/admin.kubeconfig /root/.kube/config

7.2查看集羣狀態，沒問題的話繼續後續操作

# 1.28 版本只能查看到一個etcd 屬於正常現象
# export ETCDCTL_API=3
# etcdctl --endpoints="192.168.1.33:2379,192.168.1.32:2379,192.168.1.31:2379" --cacert=/etc/kubernetes/pki/etcd/etcd-ca.pem --cert=/etc/kubernetes/pki/etcd/etcd.pem --key=/etc/kubernetes/pki/etcd/etcd-key.pem  endpoint status --write-out=table

kubectl get cs
Warning: v1 ComponentStatus is deprecated in v1.19+
NAME                 STATUS    MESSAGE   ERROR
scheduler            Healthy   ok        
controller-manager   Healthy   ok        
etcd-0               Healthy   ok 

# 寫入bootstrap-token
cat > bootstrap.secret.yaml << EOF
apiVersion: v1
kind: Secret
metadata:
  name: bootstrap-token-c8ad9c
  namespace: kube-system
type: bootstrap.kubernetes.io/token
stringData:
  description: "The default bootstrap token generated by 'kubelet '."
  token-id: c8ad9c
  token-secret: 2e4d610cf3e7426e
  usage-bootstrap-authentication: "true"
  usage-bootstrap-signing: "true"
  auth-extra-groups:  system:bootstrappers:default-node-token,system:bootstrappers:worker,system:bootstrappers:ingress

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubelet-bootstrap
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:node-bootstrapper
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:bootstrappers:default-node-token
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: node-autoapprove-bootstrap
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:certificates.k8s.io:certificatesigningrequests:nodeclient
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:bootstrappers:default-node-token
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: node-autoapprove-certificate-rotation
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:certificates.k8s.io:certificatesigningrequests:selfnodeclient
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:nodes
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: system:kube-apiserver-to-kubelet
rules:
  - apiGroups:
      - ""
    resources:
      - nodes/proxy
      - nodes/stats
      - nodes/log
      - nodes/spec
      - nodes/metrics
    verbs:
      - "*"
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: system:kube-apiserver
  namespace: ""
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:kube-apiserver-to-kubelet
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: kube-apiserver
EOF
# 切記執行，別忘記！！！
kubectl create -f bootstrap.secret.yaml

8.node節點配置

8.1.在master01上將證書複製到node節點

cd /etc/kubernetes/

for NODE in k8s-master02 k8s-master03 k8s-node01 k8s-node02; do ssh $NODE mkdir -p /etc/kubernetes/pki; for FILE in pki/ca.pem pki/ca-key.pem pki/front-proxy-ca.pem bootstrap-kubelet.kubeconfig kube-proxy.kubeconfig; do scp /etc/kubernetes/$FILE $NODE:/etc/kubernetes/${FILE}; done; done

8.2.kubelet配置

注意 ： 8.2.1 和 8.2.2 需要和 上方 2.1 和 2.2 對應起來

8.2.1當使用docker作為Runtime

cat > /usr/lib/systemd/system/kubelet.service << EOF

[Unit]
Description=Kubernetes Kubelet
Documentation=https://github.com/kubernetes/kubernetes
After=network-online.target firewalld.service cri-docker.service docker.socket containerd.service
Wants=network-online.target
Requires=docker.socket containerd.service

[Service]
ExecStart=/usr/local/bin/kubelet \\
    --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig  \\
    --kubeconfig=/etc/kubernetes/kubelet.kubeconfig \\
    --config=/etc/kubernetes/kubelet-conf.yml \\
    --container-runtime-endpoint=unix:///run/cri-dockerd.sock  \\
    --node-labels=node.kubernetes.io/node= 


[Install]
WantedBy=multi-user.target
EOF

# 這是一個表示 Kubernetes Kubelet 服務的 systemd 單位文件示例。下面是對每個節（[Unit]、[Service]、[Install]）的詳細解釋：
# 
# [Unit]
# 
# Description=Kubernetes Kubelet：指定了此單位文件對應的服務描述信息為 "Kubernetes Kubelet"。
# Documentation=...：指定了對該服務的文檔鏈接。
# - After: 説明該服務在哪些其他服務之後啓動，這裏是在網絡在線、firewalld服務和containerd服務後啓動。
# - Wants: 説明該服務想要的其他服務，這裏是網絡在線服務。
# - Requires: 説明該服務需要的其他服務，這裏是docker.socket和containerd.service。
# [Service]
# 
# ExecStart=/usr/local/bin/kubelet ...：指定了啓動 Kubelet 服務的命令和參數。這裏使用的是 /usr/local/bin/kubelet 命令，並傳遞了一系列參數來配置 Kubelet 的運行。這些參數包括：
# --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig：指定了用於引導 kubelet 的 kubeconfig 文件的路徑和名稱。
# --kubeconfig=/etc/kubernetes/kubelet.kubeconfig：指定了 kubelet 的 kubeconfig 文件的路徑和名稱。
# --config=/etc/kubernetes/kubelet-conf.yml：指定了 kubelet 的配置文件的路徑和名稱。
# --container-runtime-endpoint=unix:///run/cri-dockerd.sock：指定了容器運行時接口的端點地址，這裏使用的是 Docker 運行時（cri-dockerd）的 UNIX 套接字。
# --node-labels=node.kubernetes.io/node=：指定了節點的標籤。這裏的示例只給節點添加了一個簡單的標籤 node.kubernetes.io/node=。
# [Install]
# 
# WantedBy=multi-user.target：指定了在 multi-user.target 被啓動時，該服務應該被啓用。
# 通過這個單位文件，你可以配置 Kubelet 服務的啓動參數，指定相關的配置文件和憑證文件，以及定義節點的標籤。請確認路徑和文件名與你的實際環境中的配置相匹配。


# IPv6示例
# 若不使用IPv6那麼忽略此項即可
# 下方 --node-ip 更換為每個節點的IP即可
cat > /usr/lib/systemd/system/kubelet.service << EOF
[Unit]
Description=Kubernetes Kubelet
Documentation=https://github.com/kubernetes/kubernetes
After=network-online.target firewalld.service cri-docker.service docker.socket containerd.service
Wants=network-online.target
Requires=docker.socket containerd.service

[Service]
ExecStart=/usr/local/bin/kubelet \\
    --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig  \\
    --kubeconfig=/etc/kubernetes/kubelet.kubeconfig \\
    --config=/etc/kubernetes/kubelet-conf.yml \\
    --container-runtime-endpoint=unix:///run/cri-dockerd.sock  \\
    --node-labels=node.kubernetes.io/node=   \\
    --node-ip=192.168.1.31,fc00::31
[Install]
WantedBy=multi-user.target
EOF

8.2.2當使用Containerd作為Runtime

mkdir -p /var/lib/kubelet /var/log/kubernetes /etc/systemd/system/kubelet.service.d /etc/kubernetes/manifests/

# 所有k8s節點配置kubelet service
cat > /usr/lib/systemd/system/kubelet.service << EOF

[Unit]
Description=Kubernetes Kubelet
Documentation=https://github.com/kubernetes/kubernetes
After=network-online.target firewalld.service containerd.service
Wants=network-online.target
Requires=containerd.service

[Service]
ExecStart=/usr/local/bin/kubelet \\
    --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig  \\
    --kubeconfig=/etc/kubernetes/kubelet.kubeconfig \\
    --config=/etc/kubernetes/kubelet-conf.yml \\
    --container-runtime-endpoint=unix:///run/containerd/containerd.sock  \\
    --node-labels=node.kubernetes.io/node=

[Install]
WantedBy=multi-user.target
EOF

# 這是一個表示 Kubernetes Kubelet 服務的 systemd 單位文件示例。與之前相比，添加了 After 和 Requires 字段來指定依賴關係。
# 
# [Unit]
# 
# Description=Kubernetes Kubelet：指定了此單位文件對應的服務描述信息為 "Kubernetes Kubelet"。
# Documentation=...：指定了對該服務的文檔鏈接。
# - After: 説明該服務在哪些其他服務之後啓動，這裏是在網絡在線、firewalld服務和containerd服務後啓動。
# - Wants: 説明該服務想要的其他服務，這裏是網絡在線服務。
# - Requires: 説明該服務需要的其他服務，這裏是docker.socket和containerd.service。
# [Service]
# 
# ExecStart=/usr/local/bin/kubelet ...：指定了啓動 Kubelet 服務的命令和參數，與之前的示例相同。
# --container-runtime-endpoint=unix:///run/containerd/containerd.sock：修改了容器運行時接口的端點地址，將其更改為使用 containerd 運行時（通過 UNIX 套接字）。
# [Install]
# 
# WantedBy=multi-user.target：指定了在 multi-user.target 被啓動時，該服務應該被啓用。
# 通過這個單位文件，你可以配置 Kubelet 服務的啓動參數，並指定了它依賴的 containerd 服務。確保路徑和文件名與你實際環境中的配置相匹配。



# IPv6示例
# 若不使用IPv6那麼忽略此項即可
# 下方 --node-ip 更換為每個節點的IP即可
cat > /usr/lib/systemd/system/kubelet.service << EOF

[Unit]
Description=Kubernetes Kubelet
Documentation=https://github.com/kubernetes/kubernetes
After=network-online.target firewalld.service containerd.service
Wants=network-online.target
Requires=containerd.service

[Service]
ExecStart=/usr/local/bin/kubelet \\
    --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig  \\
    --kubeconfig=/etc/kubernetes/kubelet.kubeconfig \\
    --config=/etc/kubernetes/kubelet-conf.yml \\
    --container-runtime-endpoint=unix:///run/containerd/containerd.sock  \\
    --node-labels=node.kubernetes.io/node=  \\
    --node-ip=192.168.1.31,fc00::31
[Install]
WantedBy=multi-user.target
EOF

8.2.3所有k8s節點創建kubelet的配置文件

cat > /etc/kubernetes/kubelet-conf.yml <<EOF
apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
address: 0.0.0.0
port: 10250
readOnlyPort: 10255
authentication:
  anonymous:
    enabled: false
  webhook:
    cacheTTL: 2m0s
    enabled: true
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.pem
authorization:
  mode: Webhook
  webhook:
    cacheAuthorizedTTL: 5m0s
    cacheUnauthorizedTTL: 30s
cgroupDriver: systemd
cgroupsPerQOS: true
clusterDNS:
- 10.96.0.10
clusterDomain: cluster.local
containerLogMaxFiles: 5
containerLogMaxSize: 10Mi
contentType: application/vnd.kubernetes.protobuf
cpuCFSQuota: true
cpuManagerPolicy: none
cpuManagerReconcilePeriod: 10s
enableControllerAttachDetach: true
enableDebuggingHandlers: true
enforceNodeAllocatable:
- pods
eventBurst: 10
eventRecordQPS: 5
evictionHard:
  imagefs.available: 15%
  memory.available: 100Mi
  nodefs.available: 10%
  nodefs.inodesFree: 5%
evictionPressureTransitionPeriod: 5m0s
failSwapOn: true
fileCheckFrequency: 20s
hairpinMode: promiscuous-bridge
healthzBindAddress: 127.0.0.1
healthzPort: 10248
httpCheckFrequency: 20s
imageGCHighThresholdPercent: 85
imageGCLowThresholdPercent: 80
imageMinimumGCAge: 2m0s
iptablesDropBit: 15
iptablesMasqueradeBit: 14
kubeAPIBurst: 10
kubeAPIQPS: 5
makeIPTablesUtilChains: true
maxOpenFiles: 1000000
maxPods: 110
nodeStatusUpdateFrequency: 10s
oomScoreAdj: -999
podPidsLimit: -1
registryBurst: 10
registryPullQPS: 5
resolvConf: /etc/resolv.conf
rotateCertificates: true
runtimeRequestTimeout: 2m0s
serializeImagePulls: true
staticPodPath: /etc/kubernetes/manifests
streamingConnectionIdleTimeout: 4h0m0s
syncFrequency: 1m0s
volumeStatsAggPeriod: 1m0s
EOF

# 這是一個Kubelet的配置文件，用於配置Kubelet的各項參數。
# 
# - apiVersion: kubelet.config.k8s.io/v1beta1：指定了配置文件的API版本為kubelet.config.k8s.io/v1beta1。
# - kind: KubeletConfiguration：指定了配置類別為KubeletConfiguration。
# - address: 0.0.0.0：指定了Kubelet監聽的地址為0.0.0.0。
# - port: 10250：指定了Kubelet監聽的端口為10250。
# - readOnlyPort: 10255：指定了只讀端口為10255，用於提供只讀的狀態信息。
# - authentication：指定了認證相關的配置信息。
#   - anonymous.enabled: false：禁用了匿名認證。
#   - webhook.enabled: true：啓用了Webhook認證。
#   - x509.clientCAFile: /etc/kubernetes/pki/ca.pem：指定了X509證書的客户端CA文件路徑。
# - authorization：指定了授權相關的配置信息。
#   - mode: Webhook：指定了授權模式為Webhook。
#   - webhook.cacheAuthorizedTTL: 5m0s：指定了授權緩存時間段為5分鐘。
#   - webhook.cacheUnauthorizedTTL: 30s：指定了未授權緩存時間段為30秒。
# - cgroupDriver: systemd：指定了Cgroup驅動為systemd。
# - cgroupsPerQOS: true：啓用了每個QoS類別一個Cgroup的設置。
# - clusterDNS: 指定了集羣的DNS服務器地址列表。
#   - 10.96.0.10：指定了DNS服務器地址為10.96.0.10。
# - clusterDomain: cluster.local：指定了集羣的域名後綴為cluster.local。
# - containerLogMaxFiles: 5：指定了容器日誌文件保留的最大數量為5個。
# - containerLogMaxSize: 10Mi：指定了容器日誌文件的最大大小為10Mi。
# - contentType: application/vnd.kubernetes.protobuf：指定了內容類型為protobuf。
# - cpuCFSQuota: true：啓用了CPU CFS Quota。
# - cpuManagerPolicy: none：禁用了CPU Manager。
# - cpuManagerReconcilePeriod: 10s：指定了CPU管理器的調整週期為10秒。
# - enableControllerAttachDetach: true：啓用了控制器的掛載和拆卸。
# - enableDebuggingHandlers: true：啓用了調試處理程序。
# - enforceNodeAllocatable: 指定了強制節點可分配資源的列表。
#   - pods：強制節點可分配pods資源。
# - eventBurst: 10：指定了事件突發的最大數量為10。
# - eventRecordQPS: 5：指定了事件記錄的最大請求量為5。
# - evictionHard: 指定了驅逐硬性限制參數的配置信息。
#   - imagefs.available: 15%：指定了鏡像文件系統可用空間的限制為15%。
#   - memory.available: 100Mi：指定了可用內存的限制為100Mi。
#   - nodefs.available: 10%：指定了節點文件系統可用空間的限制為10%。
#   - nodefs.inodesFree: 5%：指定了節點文件系統可用inode的限制為5%。
# - evictionPressureTransitionPeriod: 5m0s：指定了驅逐壓力轉換的時間段為5分鐘。
# - failSwapOn: true：指定了在發生OOM時禁用交換分區。
# - fileCheckFrequency: 20s：指定了文件檢查頻率為20秒。
# - hairpinMode: promiscuous-bridge：設置了Hairpin Mode為"promiscuous-bridge"。
# - healthzBindAddress: 127.0.0.1：指定了健康檢查的綁定地址為127.0.0.1。
# - healthzPort: 10248：指定了健康檢查的端口為10248。
# - httpCheckFrequency: 20s：指定了HTTP檢查的頻率為20秒。
# - imageGCHighThresholdPercent: 85：指定了鏡像垃圾回收的上閾值為85%。
# - imageGCLowThresholdPercent: 80：指定了鏡像垃圾回收的下閾值為80%。
# - imageMinimumGCAge: 2m0s：指定了鏡像垃圾回收的最小時間為2分鐘。
# - iptablesDropBit: 15：指定了iptables的Drop Bit為15。
# - iptablesMasqueradeBit: 14：指定了iptables的Masquerade Bit為14。
# - kubeAPIBurst: 10：指定了KubeAPI的突發請求數量為10個。
# - kubeAPIQPS: 5：指定了KubeAPI的每秒請求頻率為5個。
# - makeIPTablesUtilChains: true：指定了是否使用iptables工具鏈。
# - maxOpenFiles: 1000000：指定了最大打開文件數為1000000。
# - maxPods: 110：指定了最大的Pod數量為110。
# - nodeStatusUpdateFrequency: 10s：指定了節點狀態更新的頻率為10秒。
# - oomScoreAdj: -999：指定了OOM Score Adjustment為-999。
# - podPidsLimit: -1：指定了Pod的PID限制為-1，表示無限制。
# - registryBurst: 10：指定了Registry的突發請求數量為10個。
# - registryPullQPS: 5：指定了Registry的每秒拉取請求數量為5個。
# - resolvConf: /etc/resolv.conf：指定了resolv.conf的文件路徑。
# - rotateCertificates: true：指定了是否輪轉證書。
# - runtimeRequestTimeout: 2m0s：指定了運行時請求的超時時間為2分鐘。
# - serializeImagePulls: true：指定了是否序列化鏡像拉取。
# - staticPodPath: /etc/kubernetes/manifests：指定了靜態Pod的路徑。
# - streamingConnectionIdleTimeout: 4h0m0s：指定了流式連接的空閒超時時間為4小時。
# - syncFrequency: 1m0s：指定了同步頻率為1分鐘。
# - volumeStatsAggPeriod: 1m0s：指定了卷統計聚合週期為1分鐘。

8.2.4啓動kubelet

systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。

systemctl enable --now kubelet.service
# 啓用並立即啓動kubelet.service單元。kubelet.service是kubelet守護進程的systemd服務單元。

systemctl restart kubelet.service
# 重啓kubelet.service單元，即重新啓動kubelet守護進程。

systemctl status kubelet.service
# kubelet.service單元的當前狀態，包括運行狀態、是否啓用等信息。

8.2.5查看集羣

[root@k8s-master01 ~]# kubectl  get node
NAME           STATUS   ROLES    AGE   VERSION
k8s-master01   NotReady    <none>   16s   v1.34.0
k8s-master02   NotReady    <none>   13s   v1.34.0
k8s-master03   NotReady    <none>   12s   v1.34.0
k8s-node01     NotReady    <none>   10s   v1.34.0
k8s-node02     NotReady    <none>   9s    v1.34.0
[root@k8s-master01 ~]#

8.2.6查看容器運行時

[root@k8s-master01 ~]# kubectl describe node | grep Runtime
  Container Runtime Version:  containerd://2.1.4
  Container Runtime Version:  containerd://2.1.4
  Container Runtime Version:  containerd://2.1.4
  Container Runtime Version:  containerd://2.1.4
  Container Runtime Version:  containerd://2.1.4
[root@k8s-master01 ~]# kubectl describe node | grep Runtime
  Container Runtime Version:  docker://28.3.3
  Container Runtime Version:  docker://28.3.3
  Container Runtime Version:  docker://28.3.3
  Container Runtime Version:  docker://28.3.3
  Container Runtime Version:  docker://28.3.3

8.3.kube-proxy配置

8.3.1將kubeconfig發送至其他節點

# master-1執行
for NODE in k8s-master02 k8s-master03 k8s-node01 k8s-node02; do scp /etc/kubernetes/kube-proxy.kubeconfig $NODE:/etc/kubernetes/kube-proxy.kubeconfig; done

8.3.2所有k8s節點添加kube-proxy的service文件

cat >  /usr/lib/systemd/system/kube-proxy.service << EOF
[Unit]
Description=Kubernetes Kube Proxy
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-proxy \\
  --config=/etc/kubernetes/kube-proxy.yaml \\
  --cluster-cidr=172.16.0.0/12,fc00:2222::/112 \\
  --v=2
Restart=always
RestartSec=10s

[Install]
WantedBy=multi-user.target

EOF


# 關閉IPv6
# 刪除 --cluster-cidr 的IPv6地址
cat >  /usr/lib/systemd/system/kube-proxy.service << EOF
[Unit]
Description=Kubernetes Kube Proxy
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-proxy \\
  --config=/etc/kubernetes/kube-proxy.yaml \\
  --cluster-cidr=172.16.0.0/12 \\
  --v=2
Restart=always
RestartSec=10s

[Install]
WantedBy=multi-user.target

EOF

# 這是一個 systemd 服務單元文件的示例，用於配置 Kubernetes Kube Proxy 服務。下面是對其中一些字段的詳細解釋：
# 
# [Unit]
# 
# Description: 描述了該服務單元的用途，這裏是 Kubernetes Kube Proxy。
# Documentation: 指定了該服務單元的文檔地址，即 https://github.com/kubernetes/kubernetes。
# After: 指定該服務單元應在 network.target（網絡目標）之後啓動。
# [Service]
# 
# ExecStart: 指定了啓動 Kube Proxy 服務的命令。通過 /usr/local/bin/kube-proxy 命令啓動，並指定了配置文件的路徑為 /etc/kubernetes/kube-proxy.yaml，同時指定了日誌級別為 2。
# Restart: 配置了服務在失敗或退出後自動重啓。
# RestartSec: 配置了重啓間隔，這裏是每次重啓之間的等待時間為 10 秒。
# [Install]
# 
# WantedBy: 指定了該服務單元的安裝目標為 multi-user.target（多用户目標），表示該服務將在多用户模式下啓動。
# 通過配置這些字段，你可以啓動和管理 Kubernetes Kube Proxy 服務。請注意，你需要根據實際情況修改 ExecStart 中的路徑和文件名，確保與你的環境一致。另外，可以根據需求修改其他字段的值，以滿足你的特定要求。

8.3.3所有k8s節點添加kube-proxy的配置

cat > /etc/kubernetes/kube-proxy.yaml << EOF
apiVersion: kubeproxy.config.k8s.io/v1alpha1
bindAddress: 0.0.0.0
clientConnection:
  acceptContentTypes: ""
  burst: 10
  contentType: application/vnd.kubernetes.protobuf
  kubeconfig: /etc/kubernetes/kube-proxy.kubeconfig
  qps: 5
clusterCIDR: 172.16.0.0/12,fc00:2222::/112
configSyncPeriod: 15m0s
conntrack:
  max: null
  maxPerCore: 32768
  min: 131072
  tcpCloseWaitTimeout: 1h0m0s
  tcpEstablishedTimeout: 24h0m0s
enableProfiling: false
healthzBindAddress: 0.0.0.0:10256
hostnameOverride: ""
iptables:
  masqueradeAll: false
  masqueradeBit: 14
  minSyncPeriod: 0s
  syncPeriod: 30s
ipvs:
  masqueradeAll: true
  minSyncPeriod: 5s
  scheduler: "rr"
  syncPeriod: 30s
kind: KubeProxyConfiguration
metricsBindAddress: 127.0.0.1:10249
mode: "ipvs"
nodePortAddresses: null
oomScoreAdj: -999
portRange: ""
udpIdleTimeout: 250ms
EOF

# 這是一個Kubernetes的kube-proxy組件配置文件示例。以下是每個配置項的詳細解釋：
# 1. apiVersion: kubeproxy.config.k8s.io/v1alpha1
#    - 指定該配置文件的API版本。
# 2. bindAddress: 0.0.0.0
#    - 指定kube-proxy使用的監聽地址。0.0.0.0表示監聽所有網絡接口。
# 3. clientConnection:
#    - 客户端連接配置項。
#    a. acceptContentTypes: ""
#       - 指定接受的內容類型。
#    b. burst: 10
#       - 客户端請求超出qps設置時的最大突發請求數。
#    c. contentType: application/vnd.kubernetes.protobuf
#       - 指定客户端請求的內容類型。
#    d. kubeconfig: /etc/kubernetes/kube-proxy.kubeconfig
#       - kube-proxy使用的kubeconfig文件路徑。
#    e. qps: 5
#       - 每秒向API服務器發送的請求數量。
# 4. clusterCIDR: 172.16.0.0/12,fc00:2222::/112
#    - 指定集羣使用的CIDR範圍，用於自動分配Pod IP。
# 5. configSyncPeriod: 15m0s
#    - 指定kube-proxy配置同步到節點的頻率。
# 6. conntrack:
#    - 連接跟蹤設置。
#    a. max: null
#       - 指定連接跟蹤的最大值。
#    b. maxPerCore: 32768
#       - 指定每個核心的最大連接跟蹤數.
#    c. min: 131072
#       - 指定最小的連接跟蹤數。
#    d. tcpCloseWaitTimeout: 1h0m0s
#       - 指定處於CLOSE_WAIT狀態的TCP連接的超時時間。
#    e. tcpEstablishedTimeout: 24h0m0s
#       - 指定已建立的TCP連接的超時時間。
# 7. enableProfiling: false
#    - 是否啓用性能分析。
# 8. healthzBindAddress: 0.0.0.0:10256
#    - 指定健康檢查監聽地址和端口。
# 9. hostnameOverride: ""
#    - 指定覆蓋默認主機名的值。
# 10. iptables:
#     - iptables設置。
#     a. masqueradeAll: false
#        - 是否對所有流量使用IP偽裝。
#     b. masqueradeBit: 14
#        - 指定偽裝的Bit標記。
#     c. minSyncPeriod: 0s
#        - 指定同步iptables規則的最小間隔。
#     d. syncPeriod: 30s
#        - 指定同步iptables規則的時間間隔。
# 11. ipvs:
#     - ipvs設置。
#     a. masqueradeAll: true
#        - 是否對所有流量使用IP偽裝。
#     b. minSyncPeriod: 5s
#        - 指定同步ipvs規則的最小間隔。
#     c. scheduler: "rr"
#        - 指定ipvs默認使用的調度算法。
#     d. syncPeriod: 30s
#        - 指定同步ipvs規則的時間間隔。
# 12. kind: KubeProxyConfiguration
#     - 指定該配置文件的類型。
# 13. metricsBindAddress: 127.0.0.1:10249
#     - 指定指標綁定的地址和端口。
# 14. mode: "ipvs"
#     - 指定kube-proxy的模式。這裏指定為ipvs，使用IPVS代理模式。
# 15. nodePortAddresses: null
#     - 指定可用於NodePort的網絡地址。
# 16. oomScoreAdj: -999
#     - 指定kube-proxy的OOM優先級。
# 17. portRange: ""
#     - 指定可用於服務端口範圍。
# 18. udpIdleTimeout: 250ms
#     - 指定UDP連接的空閒超時時間。

8.3.4啓動kube-proxy

 systemctl daemon-reload
# 用於重新加載systemd管理的單位文件。當你新增或修改了某個單位文件（如.service文件、.socket文件等），需要運行該命令來刷新systemd對該文件的配置。

systemctl enable --now kube-proxy.service
# 啓用並立即啓動kube-proxy.service單元。kube-proxy.service是kube-proxy守護進程的systemd服務單元。

systemctl restart kube-proxy.service
# 重啓kube-proxy.service單元，即重新啓動kube-proxy守護進程。

systemctl status kube-proxy.service
# kube-proxy.service單元的當前狀態，包括運行狀態、是否啓用等信息。

9.安裝網絡插件

注意 9.1 和 9.2 二選其一即可，建議在此處創建好快照後在進行操作，後續出問題可以回滾

centos7 要升級libseccomp 不然 無法安裝網絡插件

# https://github.com/opencontainers/runc/releases
# 升級runc
# wget https://github.com/opencontainers/runc/releases/download/v1.1.12/runc.amd64

install -m 755 runc.amd64 /usr/local/sbin/runc
cp -p /usr/local/sbin/runc  /usr/local/bin/runc
cp -p /usr/local/sbin/runc  /usr/bin/runc

#查看當前版本
[root@k8s-master-1 ~]# rpm -qa | grep libseccomp
libseccomp-2.5.2-2.el9.x86_64

#下載高於2.4以上的包
# yum -y install http://rpmfind.net/linux/centos/8-stream/BaseOS/x86_64/os/Packages/libseccomp-2.5.1-1.el8.x86_64.rpm
# 清華源
# yum -y install https://mirrors.tuna.tsinghua.edu.cn/centos/8-stream/BaseOS/x86_64/os/Packages/libseccomp-2.5.1-1.el8.x86_64.rpm

9.1安裝Calico

9.1.1更改calico網段

# 安裝operator
kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.30.3/manifests/tigera-operator.yaml


# 下載配置文件
curl https://raw.githubusercontent.com/projectcalico/calico/v3.30.3/manifests/custom-resources.yaml -O




# 修改地址池
vim custom-resources.yaml
apiVersion: operator.tigera.io/v1
kind: Installation
metadata:
  name: default
spec:
  calicoNetwork:
    ipPools:
    - name: default-ipv4-ippool
      blockSize: 26
      cidr: 172.16.0.0/12
      encapsulation: VXLANCrossSubnet
      natOutgoing: Enabled
      nodeSelector: all()




# 修改地址池
vim custom-resources.yaml
apiVersion: operator.tigera.io/v1
kind: Installation
metadata:
  name: default
spec:
  calicoNetwork:
    ipPools:
    - name: ipv4-ippool
      cidr: 172.16.0.0/12
      blockSize: 26
      encapsulation: IPIP
      natOutgoing: Enabled
      nodeSelector: all()
    - name: ipv6-ippool
      cidr: "fd00:100::/64"
      blockSize: 122
      encapsulation: None
      natOutgoing: Enabled
      nodeSelector: all()
    nodeAddressAutodetectionV4:
      interface: "eth.*|en.*"
    nodeAddressAutodetectionV6:
      interface: "eth.*|en.*"

# 執行安裝
kubectl create -f custom-resources.yaml



# 安裝客户端
curl -L https://github.com/projectcalico/calico/releases/download/v3.30.3/calicoctl-linux-amd64 -o calicoctl


# 給客户端添加執行權限
chmod +x ./calicoctl


# 查看集羣節點
./calicoctl get nodes
# 查看集羣節點狀態
./calicoctl node status
#查看地址池
./calicoctl get ipPool
./calicoctl get ipPool -o yaml

9.1.2查看容器狀態

# calico 初始化會很慢 需要耐心等待一下，大約十分鐘左右
[root@k8s-master01 ~]# kubectl get pod -A
NAMESPACE          NAME                                       READY   STATUS    RESTARTS   AGE
calico-apiserver   calico-apiserver-85cb574df5-mzsns          1/1     Running   0          2m48s
calico-apiserver   calico-apiserver-85cb574df5-rwhn5          1/1     Running   0          2m48s
calico-system      calico-kube-controllers-76965d9bd5-h569t   1/1     Running   0          2m45s
calico-system      calico-node-8zdw5                          1/1     Running   0          2m45s
calico-system      calico-node-98rn5                          1/1     Running   0          2m45s
calico-system      calico-node-fnxv6                          1/1     Running   0          2m45s
calico-system      calico-node-fsz7c                          1/1     Running   0          2m45s
calico-system      calico-node-s4kmk                          1/1     Running   0          2m45s
calico-system      calico-typha-5d4fbdfbf7-nz5t6              1/1     Running   0          2m45s
calico-system      calico-typha-5d4fbdfbf7-slqgv              1/1     Running   0          2m45s
calico-system      calico-typha-5d4fbdfbf7-t2l5v              1/1     Running   0          2m46s
calico-system      csi-node-driver-cbbmd                      2/2     Running   0          2m45s
calico-system      csi-node-driver-ndsg2                      2/2     Running   0          2m45s
calico-system      csi-node-driver-nf2l6                      2/2     Running   0          2m45s
calico-system      csi-node-driver-p8fql                      2/2     Running   0          2m45s
calico-system      csi-node-driver-xh59g                      2/2     Running   0          2m45s
calico-system      goldmane-68c899b75-zdk9n                   1/1     Running   0          2m46s
calico-system      whisker-74688b7447-k7ngd                   2/2     Running   0          44s
tigera-operator    tigera-operator-db78d5bd4-8hr5k            1/1     Running   0          3m22s

9.2 安裝cilium

9.2.1 安裝helm

# [root@k8s-master01 ~]# curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3
# [root@k8s-master01 ~]# chmod 700 get_helm.sh
# [root@k8s-master01 ~]# ./get_helm.sh

# wget https://mirrors.huaweicloud.com/helm/v3.17.3/helm-v3.17.3-linux-amd64.tar.gz
tar xvf helm-*-linux-amd64.tar.gz
cp linux-amd64/helm /usr/local/bin/

9.2.2 安裝cilium

# 添加源
helm repo add cilium https://helm.cilium.io

# 修改為國內源
helm pull cilium/cilium
tar xvf cilium-*.tgz
cd cilium/

# sed -i "s#quay.io/#quay.m.daocloud.io/#g" values.yaml

# 默認參數安裝
helm install  cilium ./cilium/ -n kube-system

helm install cilium cilium/cilium --version 1.17.4 -n kube-system

# 啓用ipv6
# 正式版不支持1.34.0集羣  暫時用測試版本的
# helm install cilium cilium/cilium --version 1.18.0-pre.2 -n kube-system --set ipv6.enabled=true 


# 啓用路由信息和監控插件
# helm install cilium ./cilium/ --namespace kube-system --set ipv6.enabled=true --set hubble.relay.enabled=true --set hubble.ui.enabled=true --set prometheus.enabled=true --set operator.prometheus.enabled=true --set hubble.enabled=true --set hubble.metrics.enabled="{dns,drop,tcp,flow,port-distribution,icmp,http}" 

9.2.3 查看

[root@k8s-master01 ~]# kubectl  get pod -A | grep cil
NAMESPACE     NAME                               READY   STATUS    RESTARTS   AGE
kube-system   cilium-2tnfb                       1/1     Running   0          60s
kube-system   cilium-5tgcb                       1/1     Running   0          60s
kube-system   cilium-6shf5                       1/1     Running   0          60s
kube-system   cilium-ccbcx                       1/1     Running   0          60s
kube-system   cilium-cppft                       1/1     Running   0          60s
kube-system   cilium-operator-675f685d59-7q27q   1/1     Running   0          60s
kube-system   cilium-operator-675f685d59-kwmqz   1/1     Running   0          60s
[root@k8s-master01 ~]#

9.2.4 下載專屬監控面板

安裝時候沒有創建 監控可以忽略

[root@k8s-master01 yaml]# wget https://raw.githubusercontent.com/cilium/cilium/1.12.1/examples/kubernetes/addons/prometheus/monitoring-example.yaml

[root@k8s-master01 yaml]# sed -i "s#docker.io/#jockerhub.com/#g" monitoring-example.yaml

[root@k8s-master01 yaml]# kubectl  apply -f monitoring-example.yaml
namespace/cilium-monitoring created
serviceaccount/prometheus-k8s created
configmap/grafana-config created
configmap/grafana-cilium-dashboard created
configmap/grafana-cilium-operator-dashboard created
configmap/grafana-hubble-dashboard created
configmap/prometheus created
clusterrole.rbac.authorization.k8s.io/prometheus created
clusterrolebinding.rbac.authorization.k8s.io/prometheus created
service/grafana created
service/prometheus created
deployment.apps/grafana created
deployment.apps/prometheus created
[root@k8s-master01 yaml]#

9.2.5 修改為NodePort

安裝時候沒有創建 監控可以忽略

[root@k8s-master01 yaml]# kubectl  edit svc  -n kube-system hubble-ui
service/hubble-ui edited
[root@k8s-master01 yaml]#
[root@k8s-master01 yaml]# kubectl  edit svc  -n cilium-monitoring grafana
service/grafana edited
[root@k8s-master01 yaml]#
[root@k8s-master01 yaml]# kubectl  edit svc  -n cilium-monitoring prometheus
service/prometheus edited
[root@k8s-master01 yaml]#

type: NodePort

9.2.6 查看端口

安裝時候沒有創建 監控可以忽略

[root@k8s-master01 yaml]# kubectl get svc -A | grep NodePort
cilium-monitoring   grafana          NodePort    10.111.74.3      <none>        3000:32648/TCP   74s
cilium-monitoring   prometheus       NodePort    10.107.240.124   <none>        9090:30495/TCP   74s
kube-system         hubble-ui        NodePort    10.96.185.26     <none>        80:31568/TCP     99s

9.2.7 訪問

安裝時候沒有創建 監控可以忽略

http://192.168.1.31:32648
http://192.168.1.31:30495
http://192.168.1.31:31568

10.安裝CoreDNS

10.1以下步驟只在master01操作

10.1.1修改文件

# 下載tgz包
helm repo add coredns https://coredns.github.io/helm
helm pull coredns/coredns
tar xvf coredns-*.tgz
cd coredns/

# 修改IP地址
vim values.yaml
cat values.yaml | grep clusterIP:
clusterIP: "10.96.0.10"

# 示例
---
service:
# clusterIP: ""
# clusterIPs: []
# loadBalancerIP: ""
# externalIPs: []
# externalTrafficPolicy: ""
# ipFamilyPolicy: ""
  # The name of the Service
  # If not set, a name is generated using the fullname template
  clusterIP: "10.96.0.10"
  name: ""
  annotations: {}
---

# 修改為國內源
sed -i "s#registry.k8s.io/#k8s.m.daocloud.io/#g" values.yaml

# 默認參數安裝
helm install  coredns ./coredns/ -n kube-system

11.安裝Metrics Server

11.1以下步驟只在master01操作

11.1.1安裝Metrics-server

在新版的Kubernetes中系統資源的採集均使用Metrics-server，可以通過Metrics採集節點和Pod的內存、磁盤、CPU和網絡的使用率

# 下載 
wget https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml -O metrics-server.yaml 

# 修改配置
vim metrics-server.yaml 

---
# 1
    - args:
        - --cert-dir=/tmp
        - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
        - --kubelet-use-node-status-port
        - --metric-resolution=15s
        - --kubelet-insecure-tls
        - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.pem
        - --requestheader-username-headers=X-Remote-User
        - --requestheader-group-headers=X-Remote-Group
        - --requestheader-extra-headers-prefix=X-Remote-Extra-

# 2
        volumeMounts:
        - mountPath: /tmp
          name: tmp-dir
        - name: ca-ssl
          mountPath: /etc/kubernetes/pki

# 3
      volumes:
      - emptyDir: {}
        name: tmp-dir
      - name: ca-ssl
        hostPath:
          path: /etc/kubernetes/pki
---


# 修改為國內源 docker源可選
sed -i "s#registry.k8s.io/#k8s.m.daocloud.io/#g" metrics-server.yaml

# 執行部署
kubectl apply -f metrics-server.yaml 

11.1.2稍等片刻查看狀態

kubectl  top node
NAME           CPU(cores)   CPU(%)   MEMORY(bytes)   MEMORY(%)   
k8s-master01   182m         2%       2059Mi          58%         
k8s-master02   104m         1%       1577Mi          44%         
k8s-master03   113m         1%       1516Mi          42%         
k8s-node01     53m          0%       915Mi           25%         
k8s-node02     66m          0%       930Mi           26%         

12.集羣驗證

12.1部署pod資源

cat<<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  name: busybox
  namespace: default
spec:
  containers:
  - name: busybox
    image: docker.m.daocloud.io/library/busybox:1.28
    command:
      - sleep
      - "3600"
    imagePullPolicy: IfNotPresent
  restartPolicy: Always
EOF

# 查看
kubectl  get pod
NAME      READY   STATUS    RESTARTS   AGE
busybox   1/1     Running   0          17s

12.2用pod解析默認命名空間中的kubernetes

# 查看name
kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.96.0.1    <none>        443/TCP   17h

# 進行解析
kubectl exec  busybox -n default -- nslookup kubernetes
3Server:    10.96.0.10
Address 1: 10.96.0.10 kube-dns.kube-system.svc.cluster.local

Name:      kubernetes
Address 1: 10.96.0.1 kubernetes.default.svc.cluster.local

12.3測試跨命名空間是否可以解析

# 查看有那些name
kubectl  get svc -A
NAMESPACE     NAME              TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)         AGE
default       kubernetes        ClusterIP   10.96.0.1       <none>        443/TCP         76m
kube-system   calico-typha      ClusterIP   10.105.100.82   <none>        5473/TCP        35m
kube-system   coredns-coredns   ClusterIP   10.96.0.10      <none>        53/UDP,53/TCP   8m14s
kube-system   metrics-server    ClusterIP   10.105.60.31    <none>        443/TCP         109s

# 進行解析
kubectl exec  busybox -n default -- nslookup coredns.kube-system
Server:    10.96.0.10
Address 1: 10.96.0.10 coredns-coredns.kube-system.svc.cluster.local

Name:      coredns-coredns.kube-system
Address 1: 10.96.0.10 coredns-coredns.kube-system.svc.cluster.local
[root@k8s-master01 metrics-server]# 

12.4每個節點都必須要能訪問Kubernetes的kubernetes svc 443和kube-dns的service 53

telnet 10.96.0.1 443
Trying 10.96.0.1...
Connected to 10.96.0.1.
Escape character is '^]'.

telnet 10.96.0.10 53
Trying 10.96.0.10...
Connected to 10.96.0.10.
Escape character is '^]'.

curl 10.96.0.10:53
curl: (52) Empty reply from server

12.5Pod和Pod之前要能通

kubectl get po -owide
NAME      READY   STATUS    RESTARTS   AGE   IP              NODE         NOMINATED NODE   READINESS GATES
busybox   1/1     Running   0          17m   172.27.14.193   k8s-node02   <none>           <none>

kubectl get po -n kube-system -owide
NAME                                       READY   STATUS    RESTARTS   AGE     IP               NODE           NOMINATED NODE   READINESS GATES
calico-kube-controllers-76754ff848-pw4xg   1/1     Running   0          38m     172.25.244.193   k8s-master01   <none>           <none>
calico-node-97m55                          1/1     Running   0          38m     192.168.1.34     k8s-node01     <none>           <none>
calico-node-hlz7j                          1/1     Running   0          38m     192.168.1.32     k8s-master02   <none>           <none>
calico-node-jtlck                          1/1     Running   0          38m     192.168.1.33     k8s-master03   <none>           <none>
calico-node-lxfkf                          1/1     Running   0          38m     192.168.1.35     k8s-node02     <none>           <none>
calico-node-t667x                          1/1     Running   0          38m     192.168.1.31     k8s-master01   <none>           <none>
calico-typha-59d75c5dd4-gbhfp              1/1     Running   0          38m     192.168.1.35     k8s-node02     <none>           <none>
coredns-coredns-c5c6d4d9b-bd829            1/1     Running   0          10m     172.25.92.65     k8s-master02   <none>           <none>
metrics-server-7c8b55c754-w7q8v            1/1     Running   0          3m56s   172.17.125.3     k8s-node01     <none>           <none>

# 進入busybox ping其他節點上的pod

kubectl exec -ti busybox -- sh
/ # ping 192.168.1.34
PING 192.168.1.34 (192.168.1.34): 56 data bytes
64 bytes from 192.168.1.34: seq=0 ttl=63 time=0.358 ms
64 bytes from 192.168.1.34: seq=1 ttl=63 time=0.668 ms
64 bytes from 192.168.1.34: seq=2 ttl=63 time=0.637 ms
64 bytes from 192.168.1.34: seq=3 ttl=63 time=0.624 ms
64 bytes from 192.168.1.34: seq=4 ttl=63 time=0.907 ms

# 可以連通證明這個pod是可以跨命名空間和跨主機通信的

12.6創建三個副本，可以看到3個副本分佈在不同的節點上（用完可以刪了）

cat<<EOF | kubectl apply -f -
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx
        ports:
        - containerPort: 80
EOF

kubectl  get pod 
NAME                               READY   STATUS    RESTARTS   AGE
busybox                            1/1     Running   0          6m25s
nginx-deployment-9456bbbf9-4bmvk   1/1     Running   0          8s
nginx-deployment-9456bbbf9-9rcdk   1/1     Running   0          8s
nginx-deployment-9456bbbf9-dqv8s   1/1     Running   0          8s

# 刪除nginx
[root@k8s-master01 ~]# kubectl delete deployments nginx-deployment 

13.安裝dashboard

# 添加源信息
helm repo add kubernetes-dashboard https://kubernetes.github.io/dashboard/


# 修改為國內源
helm pull kubernetes-dashboard/kubernetes-dashboard
tar xvf kubernetes-dashboard-*.tgz
cd kubernetes-dashboard
sed -i "s#docker.io/#jockerhub.com/#g" values.yaml

# 默認參數安裝
helm upgrade --install kubernetes-dashboard ./kubernetes-dashboard/  --create-namespace --namespace kube-system


# 我的集羣使用默認參數安裝 kubernetes-dashboard-kong 出現異常 8444 端口占用
# 使用下面的命令進行安裝，在安裝時關閉kong.tls功能
helm upgrade --install kubernetes-dashboard ./kubernetes-dashboard/ --namespace kube-system --set kong.admin.tls.enabled=false

13.1更改dashboard的svc為NodePort，如果已是請忽略

kubectl edit svc  -n kube-system kubernetes-dashboard-kong-proxy
  type: NodePort

13.2查看端口號

[root@k8s-master01 ~]# kubectl get svc kubernetes-dashboard-kong-proxy -n kube-system
NAME                              TYPE       CLUSTER-IP     EXTERNAL-IP   PORT(S)         AGE
kubernetes-dashboard-kong-proxy   NodePort   10.100.9.217   <none>        443:31330/TCP   42s
[root@k8s-master01 ~]# 

13.3創建token

cat > dashboard-user.yaml << EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: admin-user
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: admin-user
  namespace: kube-system
EOF

kubectl  apply -f dashboard-user.yaml

# 創建token
kubectl -n kube-system create token admin-user
eyJhbGciOiJSUzI1NiIsImtpZCI6ImkxLUpXdlZMdE9qTWZaNFVON1ppTWZPcU83NkpyRWNNdWxXNm5CN3ZUajQifQ.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.WzTJuDbniHcOrKvTe_kfjOM5DIdqf-DsJl0qfn3iiLhqnczk9UxPpBb97I7XXDSf1eyHcNyvOYzKIPxdr6duGDlHiJbkLszozJR26F_EHviufqEuBKiph6FarQtsy_q_yaVPW2g_7nq-tnwcV3I2rvms6p6pNvledAQ8eRt_fJGFJ1AJ8rc3jsAbA-SCrRTLTtYqmAOZqJnSkRwVXvQLr4twNIaQjz3YiZIreNlaLqLJcj0r8ozP2lQCtmDO6bVBAKCGpgytQFDLyHiJyu8HlpMLice4nmz7stIza1LtIRcy_OLPCfGNRNvju0WPDt7qZVV5z5oxepAEBWzTfoOCDQ

13.4創建長期token

cat > dashboard-user-token.yaml << EOF
apiVersion: v1
kind: Secret
metadata:
  name: admin-user
  namespace: kube-system
  annotations:
    kubernetes.io/service-account.name: "admin-user"   
type: kubernetes.io/service-account-token  
EOF

kubectl  apply -f dashboard-user-token.yaml

# 查看密碼
kubectl get secret admin-user -n kube-system -o jsonpath={".data.token"} | base64 -d

eyJhbGciOiJSUzI1NiIsImtpZCI6ImkxLUpXdlZMdE9qTWZaNFVON1ppTWZPcU83NkpyRWNNdWxXNm5CN3ZUajQifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pbi11c2VyIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6ImFkbWluLXVzZXIiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiI1MDVkZDg0Mi0xYzFkLTRjMGItYjM3Yi01OWQyMDM0M2VjMDciLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6a3ViZS1zeXN0ZW06YWRtaW4tdXNlciJ9.ESyhAs--VuapsdXzwWpeNYxf5JLoxsQWFdKwiD9QgjXsfMVe7Xoy82mXd_sr1XH96hmRDms04D3cAW5j05RDlnx8yXWIFMcphZ5xwt8Qls-XYcpJWHGLrWl91JIk-Dm8Xr70CkOyjFSpr9nKSg8fp2QlIpOFG_l04hvZY3OKQrHhVwk77D2OespFBswz3QacERNqNxX8N8J1UbEs_cXW0jUmCCpAgHcJaxVYYcb_KQm1L3iF0D-d8cn8ImRvcswN0PQN-deOsctWdm15rlb_vnyFrC47uQQYgrwMe1mtuitOkhdZ59Px_wxE0xv49cAFduzeLdJllU151GhEilpXAg

13.5登錄dashboard

https://192.168.1.31:31330/

14.部署metallb

14.1 下載部署

# 下載應用包
wget https://raw.githubusercontent.com/metallb/metallb/v0.15.2/config/manifests/metallb-native.yaml

# 修改鏡像地址
# 自行找代理
sed -i "s#quay.io#quay.chenby.cn#g" metallb-native.yaml 
cat metallb-native.yaml | grep image
        image: quay.chenby.cn/metallb/controller:v0.14.5
        image: quay.chenby.cn/metallb/speaker:v0.14.5
        
# 執行部署
kubectl apply -f metallb-native.yaml

# 可以連接國際網絡
# kubectl apply -f https://raw.githubusercontent.com/metallb/metallb/v0.15.2/config/manifests/metallb-native.yaml

14.2 查看運行情況

root@k8s-master01:~# kubectl -n metallb-system get all 
NAME                              READY   STATUS    RESTARTS   AGE
pod/controller-6599cd9c46-rr54w   1/1     Running   0          78s
pod/speaker-55j5t                 1/1     Running   0          78s
pod/speaker-bcr4j                 1/1     Running   0          78s
pod/speaker-p7vgz                 1/1     Running   0          78s
pod/speaker-pzvkd                 1/1     Running   0          78s
pod/speaker-vcjvr                 1/1     Running   0          78s

NAME                              TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)   AGE
service/metallb-webhook-service   ClusterIP   10.106.20.159   <none>        443/TCP   78s

NAME                     DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR            AGE
daemonset.apps/speaker   5         5         5       5            5           kubernetes.io/os=linux   78s

NAME                         READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/controller   1/1     1            1           78s

NAME                                    DESIRED   CURRENT   READY   AGE
replicaset.apps/controller-6599cd9c46   1         1         1       78s

14.3 配置VIP的資源池

# 新版本metallb使用了CR（Custom Resources），這裏我們通過IPAddressPool的CR，進行地址池的定義。
# 如果實例中不設置IPAddressPool選擇器L2Advertisement；那麼L2Advertisement默認為該實例所有的IPAddressPool相關聯。

cat > metallb-config-ipaddresspool.yaml << EOF
apiVersion: metallb.io/v1beta1
kind: IPAddressPool
metadata:
  name: first-pool
  namespace: metallb-system
spec:
  addresses:
  - 192.168.1.71-192.168.1.75
EOF

# 進行L2關聯地址池的綁定。

cat > metallb-config-L2Advertisement.yaml << EOF
apiVersion: metallb.io/v1beta1
kind: L2Advertisement
metadata:
  name: example
  namespace: metallb-system
spec:
  ipAddressPools:
  - first-pool
EOF

# 執行部署
kubectl apply -f metallb-config-ipaddresspool.yaml
kubectl apply -f metallb-config-L2Advertisement.yaml

15.ingress安裝

15.1執行部署

# 添加倉庫
helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx
helm repo update

# 拉取倉庫
helm pull ingress-nginx/ingress-nginx
tar xvf ingress-nginx-4.12.3.tgz

# 查看鏡像地址，若你的環境無法下載這個鏡像，那麼就需要你自行找鏡像 或者更換鏡像地址
[root@k8s-master01 ingress-nginx]# cat  values.yaml | grep image | grep -v \#
  image:
  image:
    image: ingress-nginx/controller
      image:
        image: ingress-nginx/kube-webhook-certgen
  image:
    image: defaultbackend-amd64
imagePullSecrets: []
[root@k8s-master01 ingress-nginx]# 

# 我這裏的環境可以直接拉取 我直接進行了安裝
helm install ingress-nginx ingress-nginx/ingress-nginx \
  --namespace ingress --create-namespace

# 查看完成安裝
[root@k8s-master01 ~]# kubectl get all -n ingress
NAME                                            READY   STATUS    RESTARTS   AGE
pod/ingress-nginx-controller-6996967cbb-fplzt   1/1     Running   0          56s

NAME                                         TYPE           CLUSTER-IP       EXTERNAL-IP    PORT(S)                      AGE
service/ingress-nginx-controller             LoadBalancer   10.109.63.223    192.168.1.71   80:32046/TCP,443:31512/TCP   56s
service/ingress-nginx-controller-admission   ClusterIP      10.110.227.191   <none>         443/TCP                      56s

NAME                                       READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/ingress-nginx-controller   1/1     1            1           56s

NAME                                                  DESIRED   CURRENT   READY   AGE
replicaset.apps/ingress-nginx-controller-6996967cbb   1         1         1       56s
[root@k8s-master01 ~]# 

15.2創建測試應用

cat > ingress-demo-app.yaml << EOF
apiVersion: apps/v1
kind: Deployment
metadata:
  name: hello-server
spec:
  replicas: 2
  selector:
    matchLabels:
      app: hello-server
  template:
    metadata:
      labels:
        app: hello-server
    spec:
      containers:
      - name: hello-server
        image: registry.cn-hangzhou.aliyuncs.com/lfy_k8s_images/hello-server
        ports:
        - containerPort: 9000
---
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: nginx-demo
  name: nginx-demo
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx-demo
  template:
    metadata:
      labels:
        app: nginx-demo
    spec:
      containers:
      - image: nginx
        name: nginx
---
apiVersion: v1
kind: Service
metadata:
  labels:
    app: nginx-demo
  name: nginx-demo
spec:
  selector:
    app: nginx-demo
  ports:
  - port: 8000
    protocol: TCP
    targetPort: 80
---
apiVersion: v1
kind: Service
metadata:
  labels:
    app: hello-server
  name: hello-server
spec:
  selector:
    app: hello-server
  ports:
  - port: 8000
    protocol: TCP
    targetPort: 9000
EOF

cat >> ingress-demo-app-ingress.yaml <<EOF
apiVersion: networking.k8s.io/v1
kind: Ingress  
metadata:
  name: ingress-host-bar
spec:
  ingressClassName: nginx
  rules:
  - host: "hello.chenby.cn"
    http:
      paths:
      - pathType: Prefix
        path: "/"
        backend:
          service:
            name: hello-server
            port:
              number: 8000
  - host: "demo.chenby.cn"
    http:
      paths:
      - pathType: Prefix
        path: "/"  
        backend:
          service:
            name: nginx-demo
            port:
              number: 8000
EOF

# 等創建完成後在執行：
kubectl  apply -f ingress-demo-app.yaml 
kubectl  apply -f ingress-demo-app-ingress.yaml 

kubectl  get ingress
NAME               CLASS   HOSTS                            ADDRESS        PORTS   AGE
ingress-host-bar   nginx   hello.chenby.cn,demo.chenby.cn   192.168.1.71   80      22s

15.3測試訪問

# 寫入hosts
cat >> /etc/hosts <<EOF
192.168.1.71 hello.chenby.cn
192.168.1.71 demo.chenby.cn
EOF


# 訪問 hello 正常
[root@localhost ~]# curl hello.chenby.cn
Hello World![root@localhost ~]# 
[root@localhost ~]# 

# # 訪問 demo 正常
[root@localhost ~]# curl demo.chenby.cn 
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>
[root@localhost ~]#

15.4測試路徑重寫

# 刪除剛建的ingress

kubectl  delete -f ingress-demo-app-ingress.yaml 

# 寫入新的ingress
cat >> ingress-demo-app-ingress-router.yaml <<EOF
apiVersion: networking.k8s.io/v1
kind: Ingress  
metadata:
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /$2
  name: ingress-host-bar
spec:
  ingressClassName: nginx
  rules:
  - host: "hello.chenby.cn"
    http:
      paths:
      - pathType: Prefix
        path: "/"
        backend:
          service:
            name: hello-server
            port:
              number: 8000
  - host: "demo.chenby.cn"
    http:
      paths:
      - pathType: Prefix
        path: "/nginx(/|$)(.*)" 
        pathType: ImplementationSpecific
        backend:
          service:
            name: nginx-demo  
            port:
              number: 8000
EOF

# 執行部署
kubectl  apply -f ingress-demo-app-ingress-router.yaml 


# 訪問 hello 返回正常 
[root@localhost ~]# curl hello.chenby.cn
Hello World![root@localhost ~]# 
[root@localhost ~]# 

# 訪問 demo 訪問異常
[root@localhost ~]# curl demo.chenby.cn 
<html>
<head><title>404 Not Found</title></head>
<body>
<center><h1>404 Not Found</h1></center>
<hr><center>nginx</center>
</body>
</html>
[root@localhost ~]# 

# 訪問時加上URI 訪問正常
[root@localhost ~]# curl demo.chenby.cn/nginx
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>
[root@localhost ~]# 

15.5測試流量限制

# 刪除剛建的ingress

kubectl  delete -f ingress-demo-app-router.yaml 

# 寫入新的ingress
cat >> ingress-demo-app-ingress-limit.yaml <<EOF
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-limit-rate
  annotations:
    nginx.ingress.kubernetes.io/limit-rps: "1"
spec:
  ingressClassName: nginx
  rules:
  - host: "hello.chenby.cn"
    http:
      paths:
      - pathType: Exact
        path: "/"
        backend:
          service:
            name: hello-server
            port:
              number: 8000
  - host: "demo.chenby.cn"
    http:
      paths:
      - pathType: Prefix
        path: "/nginx(/|$)(.*)" 
        pathType: ImplementationSpecific
        backend:
          service:
            name: nginx-demo  
            port:
              number: 8000
EOF

# 執行部署
kubectl  apply -f ingress-demo-app-ingress-limit.yaml 


# 訪問過快 會返回 503
[root@localhost ~]# for i in {1..8}; do curl hello.chenby.cn; done
Hello World!Hello World!Hello World!Hello World!Hello World!Hello World!<html>
<head><title>503 Service Temporarily Unavailable</title></head>
<body>
<center><h1>503 Service Temporarily Unavailable</h1></center>
<hr><center>nginx</center>
</body>
</html>
<html>
<head><title>503 Service Temporarily Unavailable</title></head>
<body>
<center><h1>503 Service Temporarily Unavailable</h1></center>
<hr><center>nginx</center>
</body>
</html>
[root@localhost ~]# 

15.6過濾查看ingress端口

# 上面有安裝metallb組件，所有ingress有自動獲取到地址，我這裏就不修改nodeport了
# 各位如果沒有metallb組件 就需要修改 nodeport


# 修改為nodeport
kubectl edit svc -n ingress-nginx   ingress-nginx-controller
type: NodePort

[root@hello ~/yaml]# kubectl  get svc -A | grep ingress
ingress-nginx      ingress-nginx-controller               LoadBalancer   10.110.161.30    192.168.1.71   80:32480/TCP,443:30195/TCP   12m
ingress-nginx      ingress-nginx-controller-admission     ClusterIP      10.105.211.217   <none>         443/TCP                      12m
[root@hello ~/yaml]#

16.IPv6測試

#部署應用

cat<<EOF | kubectl apply -f -
apiVersion: apps/v1
kind: Deployment
metadata:
  name: chenby
spec:
  replicas: 1
  selector:
    matchLabels:
      app: chenby
  template:
    metadata:
      labels:
        app: chenby
    spec:
      hostNetwork: true
      containers:
      - name: chenby
        image: docker.io/library/nginx
        resources:
          limits:
            memory: "128Mi"
            cpu: "500m"
        ports:
        - containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
  name: chenby
spec:
  ipFamilyPolicy: PreferDualStack
  ipFamilies:
  - IPv6
  - IPv4
  type: NodePort
  selector:
    app: chenby
  ports:
  - port: 80
    targetPort: 80
EOF


#查看端口
[root@k8s-master01 ~]# kubectl  get svc
NAME           TYPE        CLUSTER-IP        EXTERNAL-IP   PORT(S)        AGE
chenby         NodePort    fd00:1111::e9eb   <none>        80:32288/TCP   5s

[root@k8s-master01 ~]# 

# 直接訪問POD地址
[root@k8s-master01 ~]# curl -I http://[fd00:1111::e9eb]
HTTP/1.1 200 OK
Server: nginx/1.29.1
Date: Sun, 31 Aug 2025 04:14:38 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Wed, 13 Aug 2025 14:33:41 GMT
Connection: keep-alive
ETag: "689ca245-267"
Accept-Ranges: bytes



# 使用IPv4地址訪問測試
[root@k8s-master01 ~]# curl -I http://192.168.1.31:32288
HTTP/1.1 200 OK
Server: nginx/1.29.1
Date: Sun, 31 Aug 2025 04:15:05 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Wed, 13 Aug 2025 14:33:41 GMT
Connection: keep-alive
ETag: "689ca245-267"
Accept-Ranges: bytes


# 使用主機的內網IPv6地址測試
[root@k8s-master01 ~]# curl -I http://[fc00::31]:32288
HTTP/1.1 200 OK
Server: nginx/1.29.1
Date: Sun, 31 Aug 2025 04:15:23 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Wed, 13 Aug 2025 14:33:41 GMT
Connection: keep-alive
ETag: "689ca245-267"
Accept-Ranges: bytes


# 使用主機的公網IPv6地址測試
[root@k8s-master01 ~]# curl -I http://[2408:822a:730:e4a1::80d]:32288
HTTP/1.1 200 OK
Server: nginx/1.29.1
Date: Sun, 31 Aug 2025 04:16:16 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Wed, 13 Aug 2025 14:33:41 GMT
Connection: keep-alive
ETag: "689ca245-267"
Accept-Ranges: bytes

17.安裝NFS動態存儲

# 安裝nfs
# CentOS
yum install -y nfs-utils

# Ubuntu
apt install nfs-kernel-server nfs-common

# 創建共享
mkdir /nfs

# 編輯共享
vim /etc/exports
/nfs *(rw,sync,no_root_squash,no_subtree_check)


# centos 
systemctl enable rpcbind.service
systemctl enable nfs-server.service
systemctl restart rpcbind.service
systemctl restart nfs-server.service

# ubuntu
systemctl enable nfs-kernel-server
systemctl restart nfs-kernel-server

# 加載配置
exportfs -a
exportfs -r
exportfs


# 添加倉庫
helm repo add nfs-subdir-external-provisioner https://kubernetes-sigs.github.io/nfs-subdir-external-provisioner/
# --set nfs.server 填寫你的nfs服務器地址
# --set nfs.path 填寫你的nfs服務器路徑
helm install -n kube-system nfs-subdir-external-provisioner nfs-subdir-external-provisioner/nfs-subdir-external-provisioner \
    --set storageClass.defaultClass=true \
    --set nfs.server=192.168.1.61 \
    --set nfs.path=/nfs

# 查看是否為默認存儲
[root@k8s-master01 ~]# kubectl get storageclasses.storage.k8s.io
NAME                   PROVISIONER                                     RECLAIMPOLICY   VOLUMEBINDINGMODE   ALLOWVOLUMEEXPANSION   AGE
nfs-client (default)   cluster.local/nfs-subdir-external-provisioner   Delete          Immediate           true                   123m
[root@k8s-master01 ~]# 

17.1 測試

# 創建PVC需求
cat >> pvc.yaml <<EOF
kind: PersistentVolumeClaim
apiVersion: v1
metadata:
  name: nginx-pvc
spec:
  accessModes:
    - ReadWriteMany
  resources:
    requests:
      storage: 200Mi
EOF
# 執行部署
kubectl apply -f pvc.yaml


# 查看pvc
[root@k8s-master-node1 ~/yaml]# kubectl get pvc
NAME        STATUS   VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS   AGE
nginx-pvc   Bound    pvc-8a4b6065-904a-4bae-bef9-1f3b5612986c   200Mi      RWX            nfs-storage    4s
[root@k8s-master-node1 ~/yaml]#

# 查看pv
[root@k8s-master-node1 ~/yaml]# kubectl  get pv
NAME                                       CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS   CLAIM               STORAGECLASS   REASON   AGE
pvc-8a4b6065-904a-4bae-bef9-1f3b5612986c   200Mi      RWX            Delete           Bound    default/nginx-pvc   nfs-storage             103s
[root@k8s-master-node1 ~/yaml]#

18.污點

# 查看當前污點狀態
[root@k8s-master01 ~]# kubectl describe node  | grep Taints
Taints:             <none>
Taints:             <none>
Taints:             <none>
Taints:             <none>
Taints:             <none>

# 設置污點 禁止調度 同時進行驅趕現有的POD
kubectl taint nodes k8s-master01 key1=value1:NoExecute
kubectl taint nodes k8s-master02 key1=value1:NoExecute
kubectl taint nodes k8s-master03 key1=value1:NoExecute

# 取消污點
kubectl taint nodes k8s-master01 key1=value1:NoExecute-
kubectl taint nodes k8s-master02 key1=value1:NoExecute-
kubectl taint nodes k8s-master03 key1=value1:NoExecute-

# 設置污點 禁止調度 不進行驅趕現有的POD
kubectl taint nodes k8s-master01 key1=value1:NoSchedule
kubectl taint nodes k8s-master02 key1=value1:NoSchedule
kubectl taint nodes k8s-master03 key1=value1:NoSchedule

# 取消污點
kubectl taint nodes k8s-master01 key1=value1:NoSchedule-
kubectl taint nodes k8s-master02 key1=value1:NoSchedule-
kubectl taint nodes k8s-master03 key1=value1:NoSchedule-

19.安裝命令行自動補全功能

yum install bash-completion -y
source /usr/share/bash-completion/bash_completion
source <(kubectl completion bash)
echo "source <(kubectl completion bash)" >> ~/.bashrc

附錄

# 鏡像加速器可以使用DaoCloud倉庫，替換規則如下
# docker.io 倉庫：
  # 官方地址：
  docker pull docker.io/nginx:latest
  docker pull docker.io/calico/node:v3.28.0
  # 鏡像地址：
  docker pull docker.chenby.cn/library/nginx:latest
  docker pull docker.chenby.cn/calico/node:v3.28.0

# docker.elastic.co 倉庫：
  # 官方地址：
  docker pull docker.elastic.co/apm/apm-server:8.14.0
  # 鏡像地址：
  docker pull elastic.chenby.cn/apm/apm-server:8.14.0
  # 阿里雲地址：
  docker pull registry.aliyuncs.com/chenby/apm-server:8.14.0

# quay.io 倉庫：
  # 官方地址：
  docker pull quay.io/ceph/ceph:v18.2.1
  # 鏡像地址：
  docker pull quay.chenby.cn/ceph/ceph:v18.2.1
  # 阿里雲地址：
  docker pull registry.aliyuncs.com/chenby/ceph:v18.2.1

# k8s.gcr.io 倉庫：
  # 官方地址：
  docker pull k8s.gcr.io/kube-state-metrics/kube-state-metrics:v2.8.2
  # 鏡像地址：
  docker pull k8s.chenby.cn/kube-state-metrics/kube-state-metrics:v2.8.2
  # 阿里雲地址：
  docker pull registry.aliyuncs.com/chenby/kube-state-metrics:v2.8.2

# registry.k8s.io 倉庫：
  # 官方地址：
  docker pull registry.k8s.io/sig-storage/nfsplugin:v4.2.0
  # 鏡像地址：
  docker pull k8s.chenby.cn/sig-storage/nfsplugin:v4.2.0
  # 阿里雲地址：
  docker pull registry.aliyuncs.com/chenby/nfsplugin:v4.2.0

# gcr.io 倉庫：
  # 官方地址：
  docker pull gcr.io/kaniko-project/executor:v1.23.1
  # 鏡像地址：
  docker pull gcr.chenby.cn/kaniko-project/executor:v1.23.1
  # 阿里雲地址：
  docker pull registry.aliyuncs.com/chenby/executor:v1.23.1

# ghcr.io 倉庫：
  # 官方地址：
  docker pull ghcr.io/coroot/coroot:1.1.0
  # 鏡像地址：
  docker pull ghcr.chenby.cn/coroot/coroot:1.1.0
  # 阿里雲地址：
  docker pull registry.aliyuncs.com/chenby/coroot:1.1.0




# 鏡像版本要自行查看，因為鏡像版本是隨時更新的，文檔無法做到實時更新

# docker pull 鏡像

docker pull registry.cn-hangzhou.aliyuncs.com/chenby/cni:master 
docker pull registry.cn-hangzhou.aliyuncs.com/chenby/node:master
docker pull registry.cn-hangzhou.aliyuncs.com/chenby/kube-controllers:master
docker pull registry.cn-hangzhou.aliyuncs.com/chenby/typha:master
docker pull registry.cn-hangzhou.aliyuncs.com/chenby/coredns:v1.10.0
docker pull registry.cn-hangzhou.aliyuncs.com/chenby/pause:3.6
docker pull registry.cn-hangzhou.aliyuncs.com/chenby/metrics-server:v0.5.2
docker pull kubernetesui/dashboard:v2.7.0
docker pull kubernetesui/metrics-scraper:v1.0.8
docker pull quay.io/cilium/cilium:v1.12.6
docker pull quay.io/cilium/certgen:v0.1.8
docker pull quay.io/cilium/hubble-relay:v1.12.6
docker pull quay.io/cilium/hubble-ui-backend:v0.9.2
docker pull quay.io/cilium/hubble-ui:v0.9.2
docker pull quay.io/cilium/cilium-etcd-operator:v2.0.7
docker pull quay.io/cilium/operator:v1.12.6
docker pull quay.io/cilium/clustermesh-apiserver:v1.12.6
docker pull quay.io/coreos/etcd:v3.5.4
docker pull quay.io/cilium/startup-script:d69851597ea019af980891a4628fb36b7880ec26

# docker 保存鏡像
docker save registry.cn-hangzhou.aliyuncs.com/chenby/cni:master -o cni.tar 
docker save registry.cn-hangzhou.aliyuncs.com/chenby/node:master -o node.tar 
docker save registry.cn-hangzhou.aliyuncs.com/chenby/typha:master -o typha.tar 
docker save registry.cn-hangzhou.aliyuncs.com/chenby/kube-controllers:master -o kube-controllers.tar 
docker save registry.cn-hangzhou.aliyuncs.com/chenby/coredns:v1.10.0 -o coredns.tar 
docker save registry.cn-hangzhou.aliyuncs.com/chenby/pause:3.6 -o pause.tar 
docker save registry.cn-hangzhou.aliyuncs.com/chenby/metrics-server:v0.5.2 -o metrics-server.tar 
docker save kubernetesui/dashboard:v2.7.0 -o dashboard.tar 
docker save kubernetesui/metrics-scraper:v1.0.8 -o metrics-scraper.tar 
docker save quay.io/cilium/cilium:v1.12.6 -o cilium.tar 
docker save quay.io/cilium/certgen:v0.1.8 -o certgen.tar 
docker save quay.io/cilium/hubble-relay:v1.12.6 -o hubble-relay.tar 
docker save quay.io/cilium/hubble-ui-backend:v0.9.2 -o hubble-ui-backend.tar 
docker save quay.io/cilium/hubble-ui:v0.9.2 -o hubble-ui.tar 
docker save quay.io/cilium/cilium-etcd-operator:v2.0.7 -o cilium-etcd-operator.tar 
docker save quay.io/cilium/operator:v1.12.6 -o operator.tar 
docker save quay.io/cilium/clustermesh-apiserver:v1.12.6 -o clustermesh-apiserver.tar 
docker save quay.io/coreos/etcd:v3.5.4 -o etcd.tar 
docker save quay.io/cilium/startup-script:d69851597ea019af980891a4628fb36b7880ec26 -o startup-script.tar 

# 傳輸到各個節點
for NODE in k8s-master01 k8s-master02 k8s-master03 k8s-node01 k8s-node02; do scp -r images/  $NODE:/root/ ; done

# 創建命名空間
ctr ns create k8s.io

# 導入鏡像
ctr --namespace k8s.io image import images/cni.tar
ctr --namespace k8s.io image import images/node.tar
ctr --namespace k8s.io image import images/typha.tar
ctr --namespace k8s.io image import images/kube-controllers.tar 
ctr --namespace k8s.io image import images/coredns.tar 
ctr --namespace k8s.io image import images/pause.tar 
ctr --namespace k8s.io image import images/metrics-server.tar 
ctr --namespace k8s.io image import images/dashboard.tar 
ctr --namespace k8s.io image import images/metrics-scraper.tar 
ctr --namespace k8s.io image import images/dashboard.tar 
ctr --namespace k8s.io image import images/metrics-scraper.tar 
ctr --namespace k8s.io image import images/cilium.tar 
ctr --namespace k8s.io image import images/certgen.tar 
ctr --namespace k8s.io image import images/hubble-relay.tar 
ctr --namespace k8s.io image import images/hubble-ui-backend.tar 
ctr --namespace k8s.io image import images/hubble-ui.tar 
ctr --namespace k8s.io image import images/cilium-etcd-operator.tar 
ctr --namespace k8s.io image import images/operator.tar 
ctr --namespace k8s.io image import images/clustermesh-apiserver.tar 
ctr --namespace k8s.io image import images/etcd.tar 
ctr --namespace k8s.io image import images/startup-script.tar 

# pull tar包 解壓後
helm pull cilium/cilium

# 查看鏡像版本
root@hello:~/cilium# cat values.yaml| grep tag: -C1
  repository: "quay.io/cilium/cilium"
  tag: "v1.12.6"
  pullPolicy: "IfNotPresent"
--
    repository: "quay.io/cilium/certgen"
    tag: "v0.1.8@sha256:4a456552a5f192992a6edcec2febb1c54870d665173a33dc7d876129b199ddbd"
    pullPolicy: "IfNotPresent"
--
      repository: "quay.io/cilium/hubble-relay"
      tag: "v1.12.6"
       # hubble-relay-digest
--
        repository: "quay.io/cilium/hubble-ui-backend"
        tag: "v0.9.2@sha256:a3ac4d5b87889c9f7cc6323e86d3126b0d382933bd64f44382a92778b0cde5d7"
        pullPolicy: "IfNotPresent"
--
        repository: "quay.io/cilium/hubble-ui"
        tag: "v0.9.2@sha256:d3596efc94a41c6b772b9afe6fe47c17417658956e04c3e2a28d293f2670663e"
        pullPolicy: "IfNotPresent"
--
    repository: "quay.io/cilium/cilium-etcd-operator"
    tag: "v2.0.7@sha256:04b8327f7f992693c2cb483b999041ed8f92efc8e14f2a5f3ab95574a65ea2dc"
    pullPolicy: "IfNotPresent"
--
    repository: "quay.io/cilium/operator"
    tag: "v1.12.6"
    # operator-generic-digest
--
    repository: "quay.io/cilium/startup-script"
    tag: "d69851597ea019af980891a4628fb36b7880ec26"
    pullPolicy: "IfNotPresent"
--
    repository: "quay.io/cilium/cilium"
    tag: "v1.12.6"
    # cilium-digest
--
      repository: "quay.io/cilium/clustermesh-apiserver"
      tag: "v1.12.6"
      # clustermesh-apiserver-digest
--
        repository: "quay.io/coreos/etcd"
        tag: "v3.5.4@sha256:795d8660c48c439a7c3764c2330ed9222ab5db5bb524d8d0607cac76f7ba82a3"
        pullPolicy: "IfNotPresent"

關於

https://www.oiox.cn/

https://www.oiox.cn/index.php/start-page.html

CSDN、GitHub、知乎、開源中國、思否、掘金、簡書、華為雲、阿里雲、騰訊雲、嗶哩嗶哩、今日頭條、新浪微博、個人博客

全網可搜《小陳運維》

文章主要發佈於微信公眾號：《Linux運維交流社區》