容器化

官方文档 记录下 Longhorn 的使用 - Rancher Lab 提供的开源分布式块存储方案 Longhorn 支持以下架构： AMD64 ARM64（实验性） Longhorn 需要 open-iscsi、curl、findmnt、grep、awk、blkid、lsblk 的依赖（是否需要单独安装可以使用这个脚本进行验证，CentOS 7 有可能需要单独安装下 jq 和 open-iscsi） 利用 Rancher 安装在 Rancher UI 上选择自己的集群，然后找到对应 App 安装即可，v2.6.3 测试没问题（尝试用 kubectl 安装的时候告诉我缺少 NODE_NAME ENV，但是 Rancher 就正常）：https://longhorn.io/docs/1.2.3/deploy/install/install-with-rancher/ 查看对应几个 Node 是否正常创建 Longhorn默认数据路径： 1ls /var/lib/longhorn 界面 创建应用进行测试应用 yaml 创建 PVC 和 pod pvc.yaml123456...

K3s 私有镜像仓库配置 Containerd 配置镜像仓库 参考 Kubernetes 在 Changelog 中宣布自 Kubernetes 1.20 之后将弃用 Docker 作为容器运行时之后，containerd 成为下一个容器运行时的热门选项。虽然 containerd 很早就已经是 Docker 的一部分，但是纯粹使用 containerd 还是给大家带来了诸多困扰，本文将介绍如何使用 containerd 配置镜像仓库和加速器。 本文将以 K3s 为例对 containerd 进行配置，如果您的环境未使用 K3s 而是使用的 Kubernetes，你也可以参考本文来配置 containerd 的镜像仓库，因为 containerd 的配置是通用的。 关于 K3s 和 containerdK3s 是一个轻量级 Kubernetes 发行版，二进制大小小于 100MB，所需内存不到 Kubernetes 的一半。K3s 为了降低资源消耗，将默认的 runtime 修改为 containerd，同时也内置了 Kubernetes CLI 工具 crictl 和 ct...

前言IngressService 可能会有很多，如果每个资源都绑定一个 node port 的话，主机则需要开放外围的端口进行服务调用，管理上会比较混乱。 比较优雅的方式是通过一个外部的负载均衡器，比如 Nginx，绑定固定的端口比如 80，然后根据域名/服务名向后面的 Service IP 转发，但是这里的问题在于：当有新服务加入的时候如何修改 Nginx 配置？ 手动改或者 Rolling Update Nginx Pod 都是不现实的。 对于这个问题，Kubernetes 给出的七层解决方案是：Ingress TraefikTræfik 是一个为了让部署微服务更加便捷而诞生的现代 HTTP 反向代理、负载均衡工具。它支持多种后台（Docker、Swarm、Kubernetes、Marathon、Mesos、Consul、Etcd、Zookeeper、BoltDB、Rest API、file...）来自动化、动态的应用它的配置文件设置。 Traefik 是 K3s 里面的 Ingress Controller，支持负载均衡和反向代理，类似于 Nginx。 Traef...

每次创建了新的 namespace 下都会生成一个默认的 token，名为 default-token-xxxx。default 就相当于该 namespace 下的一个用户。也可以考虑新建 service account 来获取 token。 查看 token secret123[root@k3s-release-server1 ~]# kubectl get secretsNAME TYPE DATA AGEdefault-token-6f7xb kubernetes.io/service-account-token 3 16m 使用脚本方式访问 API12345678#!/usr/bin/env bashurl=$1token=`kubectl get secrets|awk 'NR>1'|awk '{print $1}'|xargs -i kubectl describe secret...

参考：https://www.reddit.com/r/kubernetes/comments/kqx5ql/difference_between_master_and_worker_concepts_in/ Leader 选举方案的不同在于用于备份主服务器的数据库 Leader 选举是针对分布式数据库 etcd 的。由于 etcd 往往存在于 Kubernetes 中的主节点上，所以会和 K3s 混淆。 K3s 默认使用 SQLite，因此不需要 leader 选举。

卸载 K3sServer 节点执行1sh /usr/local/bin/k3s-uninstall.sh Agent 节点执行1sh /usr/local/bin/k3s-agent-uninstall.sh 清除配置1rm -rf $HOME/.kube 如果是外部数据库，卸载完需要记得清除 database 的数据 MySQL：清空 K3s 创建的 kine 表

安装版本：K3s (v1.21.7+k3s1) 参考站内 K3s 实践高可用架构图。 官方文档参考顺序（官方文档记录的顺序有点乱）1234560. 查看对应版本: https://www.suse.com/suse-rancher/support-matrix/all-supported-versions/rancher-v2-6-3/1. 基础架构: https://rancher.com/docs/rancher/v2.6/en/installation/resources/k8s-tutorials/infrastructure-tutorials/infra-for-ha-with-external-db/2. 负载均衡: https://rancher.com/docs/rancher/v2.6/en/installation/resources/k8s-tutorials/infrastructure-tutorials/nginx/3. 部署 K3s: https://rancher.com/docs/rancher/v2.6/en/installation/r...

手动加载 CentOS7 box 文件配置 Vagrantfile123456789101112131415161718192021222324252627Vagrant.configure("2") do |config| (1..3).each do |i| config.vm.define "k3s-node#{i}" do |node| # 设置虚拟机的Box node.vm.box = "centos/7" # 设置虚拟机的主机名 node.vm.hostname="k3s-node#{i}" # 设置虚拟机的IP node.vm.network "private_network", ip: "192.168.56.#{99+i}", netma...

前言官方文档 K3s 启动时会自动生成 CA 证书，CA 证书的有效期为 10 年。其他证书有效期为 1 年，如果证书已经过期或剩余的时间不足 90 天，则在 K3s 重启时轮换证书。K3s 服务只是一个进程，K3s 服务重启不会影响正在运行的 Pod，也不会影响你的业务。 证书轮换方式（3 种任选其一）使用 crontab + shell 脚本 方式实现证书轮换编写脚本 upgradeCert.sh，并放在主节点服务器上。 查看主节点位置： 1kubectl get nodes -l 'node-role.kubernetes.io/control-plane'|awk '{if (NR>1){print $1}}' Server 节点脚本 1234567891011121314151617181920#!/bin/bash# 目标目录DIR="/var/lib/rancher/k3s/server/tls"now=$(date +%s)# 递归查找 .crt 文件for...

摘自: https://blog.csdn.net/qq_35745940/article/details/120693490 一、简介 kubernetes 集群相关所有的交互都通过apiserver来完成，对于这样集中式管理的系统来说，权限管理尤其重要，在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制。 启用RBAC，需要在 apiserver 中添加参数–authorization-mode=RBAC，如果使用的kubeadm安装的集群，1.6+版本都默认开启了RBAC。 1$ grep -C3 'authorization-mode' /etc/kubernetes/manifests/kube-apiserver.yaml API Server目前支持以下几种授权策略： AlwaysDeny：表示拒绝所有请求，一般用于测试。 AlwaysAllow：允许接收所有请求。如果集群不需要授权流程，则可以采用该策略，这也是Kubernetes的默认配置。 ABAC（Attribute-Ba...