📋
k8s use handbook
  • 概述
  • 1. kuberbetes应用接入准则篇
    • 1.1 git分支管理规范
    • 1.2 接入elk字段格式以及约定
    • 1.3 健康检测接口规范
    • 1.4 项目命名规范
  • 2. kubernetes集群部署篇
    • 2.0 kubernetes手动安装概览
      • 201 创建跟证书和秘钥
      • 202 ETCD集群部署及维护
      • 203 kubectl部署以及基本使用
      • 204 Master节点部署及维护
        • 2041 kube-apiserver
        • 2042 kube-scheduler
        • 2043 kube-controller-manager
      • 205 Node节点部署及维护
        • 2051 Flannel部署及维护
        • 2052 kubernetes runtime部署及维护
        • 2053 kubelet
        • 2054 kube-proxy
    • 2.1 kubernetes ansible安装
    • 2.2 kubernetes kubeadm安装
    • 2.3 kubernetes 组件安装
      • 231 coredns
      • 232 kube-dashboard
  • 3. kubernetes权限控制篇
    • 认证
    • 授权
    • 准入机制
  • 4. what happens when k8s .....
    • Kubernetes使用什么方法方法来检查应用程序的运行状况?
    • 如何优雅的关闭pod?
    • TLS bootstrapping 是如何工作的?
    • 怎么编辑kubernetes的yaml文件以及kubernetes的控制是什么样的?
    • deployment如何使用不同的策略部署我们的程序?
    • Kubernetes 如何接收请求,又是如何将结果返回至客户端的?
    • Kubernetes 的调度流程是怎样的?
    • Kubelet 是如何接受调度请求并启动容器的?
    • Kube-proxy 的作用,提供的能力是什么?
    • Kubernetes 控制器是如何工作的?
    • ingress-service-deployment如何关联的?
    • 如何指定pod的运行节点?
    • Https 的通信过程?
  • 5. kubernetes私有仓库篇
  • 6. kubernetes CI/CD篇
    • 5. kubernetes cicd发布流水线
  • 6. kubernetes日志系统篇
    • 6.1 elk使用规范和指南
    • 6.2 kibana搜索简易指南
    • 6.3 基于es api进行查询的注意事项
    • 6.4 集群部署
      • 6.4.1 es规划
        • 索引的生命周期
      • 6.4.2 安装
      • 6.4.3 elasticsearch配置
      • 6.4.4 logstash配置
      • 6.4.5 kibana配置
      • 6.4.6 enable-xpack
        • 6.4.6.1 X-Pack on Elasticsearch
        • 6.4.6.2 X-Pack on Logstash
        • 6.4.6.3 X-Pack on Kibana
        • 6.4.6.4 xpack破解
        • 6.4.6.5 LDAP user authentication
      • 6.4.7 Cerebro configuration
      • 6.4.8 Curator configuration
    • 6.10 备份恢复
  • 7.0 kuberbetes服务暴露Ingress篇
    • 7.1 Ingress规划
    • 7.2 Traefik ingress controller
      • 7.2.1 Traefik配置详解
      • 7.2.2 Traefik部署
      • 7.2.3 分场景使用示例
      • 7.2.4 Traefik功能示例
      • 7.2.5 Traefik日志收集
      • 7.2.6 https证书更新
    • 7.3 Nginx ingress controller
      • 7.3.1 Nginx 配置详解
      • 7.3.2 Nginx 部署
      • 7.3.3 使用示例
    • 7.4 ingress日常运维
  • 8.0 kubernetes监控篇
    • 8.1 prometheus非k8s部署
    • 8.2 prometheusk8s部署
    • 8.3 prometheus 配置文件详解
    • 8.3 prometheus alertmanager
  • 9.0 kubernetes配置管理篇
  • 10.0 权威DNS篇
    • 10.1 PowerDNS安装部署
    • 10.1 PowerDNS zone设置
由 GitBook 提供支持
在本页
  • 01.创建kube-scheduler证书和私钥
  • 02.创建kubeconfig文件
  • 03.使用systemd管理kube-scheduler
  • 04.启动/停止 kube-scheduler
  • 05.验证
  • 05.参数详解
  • 启动命令
  • 参数用途说明
  • 06.Q&A

这有帮助吗?

  1. 2. kubernetes集群部署篇
  2. 2.0 kubernetes手动安装概览
  3. 204 Master节点部署及维护

2042 kube-scheduler

三实例 kube-scheduler 的集群,启动后将通过竞争选举机制产生一个 leader 节点,其它节点为阻塞状态。当 leader 节点不可用时,阻塞的节点将再次进行选举产生新的 leader 节点,从而保证服务的可用性。

为保证通信安全,本文档先生成 x509 证书和私钥,kube-scheduler 在如下两种情况下使用该证书:

部署策略:

  • 3 节点高可用;

  • 使用 kubeconfig 访问 apiserver 的安全端口;

  • 在安全端口(https,10251) 输出 prometheus 格式的 metrics。

部署软件规划

IP

部署软件包

10.40.61.116

kube-scheduler

10.40.58.153

kube-scheduler

10.40.58.154

kube-scheduler

01.创建kube-scheduler证书和私钥

创建证书签名请求:

cat > kube-scheduler-csr.json <<EOF
{
  "CN": "system:kube-scheduler",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "China",
      "L": "Beijing",
      "O": "Kubernetes",
      "OU": "Kubernetes",
      "ST": "Beijing"
    }
  ]
}
EOF

CN为 system:kube-scheduler,kubernetes 内置的 ClusterRoleBindings system:kube-scheduler 将赋予 kube-scheduler 工作所需的权限。

创建 kube-scheduler 凭证与私钥:

cfssl gencert \
  -ca=ca.pem \
  -ca-key=ca-key.pem \
  -config=ca-config.json \
  -profile=kubernetes \
  kube-scheduler-csr.json | cfssljson -bare kube-scheduler

结果将产生以下两个文件:

kube-scheduler-key.pem
kube-scheduler.pem

02.创建kubeconfig文件

先确定apiserver对外提供服务的地址

export KUBE_APISERVER="https://apiserver-p001.svc.gxd88.cn:6443"
  • 设置集群参数

      kubectl config set-cluster kubernetes \
      --certificate-authority=ca.pem \
      --embed-certs=true \
      --server=${KUBE_APISERVER} \
      --kubeconfig=kube-scheduler.kubeconfig
  • 设置客户端认证参数

      kubectl config set-credentials system:kube-scheduler \
      --client-certificate=kube-scheduler.pem \
      --client-key=kube-scheduler-key.pem \
      --embed-certs=true \
      --kubeconfig=kube-scheduler.kubeconfig
  • 设置上下文参数

      kubectl config set-context default \
      --cluster=kubernetes \
      --user=system:kube-scheduler \
      --kubeconfig=kube-scheduler.kubeconfig
  • 设置默认上下文

      kubectl config use-context default --kubeconfig=kube-scheduler.kubeconfig

03.使用systemd管理kube-scheduler

tee /etc/systemd/system/kube-scheduler.service <<-EOF
[Unit]
Description=Kubernetes Scheduler
Documentation=https://github.com/GoogleCloudPlatform/kubernetes

[Service]
ExecStart=/srv/kubernetes/bin/kube-scheduler \\
  --kubeconfig=/srv/kubernetes/kubeconfig/kube-scheduler.kubeconfig \\
  --address=0.0.0.0 \\
  --leader-elect=true \\
  --v=2 \\
  --logtostderr=false \\
  --log-dir=/srv/kubernetes/log
Restart=on-failure
RestartSec=5

[Install]
WantedBy=multi-user.target
EOF

04.启动/停止 kube-scheduler

sudo /bin/systemctl daemon-reload
sudo /bin/systemctl enable kube-scheduler.service

kube-schedulercan be started and stopped as follows:

sudo systemctl start kube-scheduler.service
sudo systemctl stop  kube-scheduler.service

05.验证

检查服务:

$ systemctl status kube-scheduler|grep Active
   Active: active (running) since 三 2020-04-15 15:14:23 CST; 3 days ago

检查端口:

kube-scheduler 监听 10251 和 10259 端口:

  • 10251:接收 http 请求,非安全端口,不需要认证授权;

  • 10259:接收 https 请求,安全端口,需要认证授权。

两个接口都对外提供 /metrics 和 /healthz 的访问。

$ netstat -lnpt |grep kube-sch
tcp6       0      0 :::10251                :::*                    LISTEN      13328/kube-schedule
tcp6       0      0 :::10259                :::*                    LISTEN      13328/kube-schedule

请求/metrice测试

$ curl -s http://127.0.0.1:10251/metrics |head
$ curl -s --cacert /root/certificated/ca.pem --cert /root/certificated/admin.pem --key /root/certificated/admin-key.pem https://127.0.0.1:10259/metrics |head

05.参数详解

专注于调度,参数没多少,全在代码逻辑中了。

启动命令

/srv/kubernetes/bin/kube-scheduler \
  --kubeconfig=/srv/kubernetes/kubeconfig/kube-scheduler.kubeconfig \
  --address=0.0.0.0 \
  --leader-elect=true \
  --v=2 \
  --logtostderr=false \
  --log-dir=/srv/kubernetes/log

参数用途说明

--leader-elect=true

开启选举。

同kube-controller-manager

06.Q&A

Q:

kube-scheduler: tls: found a certificate rather than a key in the PEM for the private key

A: 设置客户端认证参数的时候--client-key和--client-certificate设置的相同, 正确的设置如下

kubectl config set-credentials system:kube-scheduler \
--client-certificate=kube-scheduler.pem \
--client-key=kube-scheduler.pem \
--embed-certs=true \
--kubeconfig=kube-scheduler.kubeconfig
上一页2041 kube-apiserver下一页2043 kube-controller-manager

最后更新于5年前

这有帮助吗?

启动参数的请看

kube-scheduler