[TOC]
## **一、主机准备**
准备三台主机,和一个VIP
* master1:192.168.2.104
* master2:192.168.2.105
* master3:192.168.2.106
* vip:192.168.2.110
在每台主机的`/etc/hosts`中添加记录
```
192.168.2.110 apiserver.dcos.com
```
## **安装docker、kubeadm、kubelet、keepalived**
略
## **安装master**
### **下载镜像**
下载镜像到各master节点,参考《安装单Master集群》
### **安装master1**
```
$ kubeadm init --control-plane-endpoint apiserver.dcos.com:6443 --upload-certs --pod-network-cidr 172.26.0.0/16 --kubernetes-version 1.17.0
```
安装成功后,会有类似下面的输出
```
...
You can now join any number of the control-plane node running the following command on each as root:
kubeadm join apiserver.dcos.com:6443 --token 61eu2f.f4dd6lucgaf13w9i \
--discovery-token-ca-cert-hash sha256:e117e39b455a8dbab863d76f2b3b4a74051901a989721cf86f1cf96b12fe6b44 \
--control-plane --certificate-key a301c9c55596c54c5d4c7173aa1e3b6fd304130b0c703bb23149c0c69f94b8e0
Please note that the certificate-key gives access to cluster sensitive data, keep it secret!
As a safeguard, uploaded-certs will be deleted in two hours; If necessary, you can use
"kubeadm init phase upload-certs --upload-certs" to reload certs afterward.
Then you can join any number of worker nodes by running the following on each as root:
kubeadm join apiserver.dcos.com:6443 --token 61eu2f.f4dd6lucgaf13w9i \
--discovery-token-ca-cert-hash sha256:e117e39b455a8dbab863d76f2b3b4a74051901a989721cf86f1cf96b12fe6b44
```
然后,安装网络插件,首选下载下来
```
$ wget https://docs.projectcalico.org/v3.8/manifests/calico.yaml
```
然后编辑里面的`192.168.0.0/16`为上面的`172.26.0.0/16`
### **安装其他master**
根据上面的输出,可以执行下面的命令安装其他的master
```
$ kubeadm join apiserver.dcos.com:6443 --token 61eu2f.f4dd6lucgaf13w9i --discovery-token-ca-cert-hash sha256:e117e39b455a8dbab863d76f2b3b4a74051901a989721cf86f1cf96b12fe6b44 --control-plane --certificate-key a301c9c55596c54c5d4c7173aa1e3b6fd304130b0c703bb23149c0c69f94b8e0
```
但是,如果过了两个小时,`--certificate-key`会失效,此时需要重新upload,执行以下命令:
```
$ kubeadm init phase upload-certs --upload-certs
...
[upload-certs] Storing the certificates in Secret "kubeadm-certs" in the "kube-system" Namespace
[upload-certs] Using certificate key:
e1cad9c1c339100e1946c19b930e18c2809fcc59e5f6d44cb0a1b7d7d7862079
```
然后使用上面新的值`e1cad9c1c339100e1946c19b930e18c2809fcc59e5f6d44cb0a1b7d7d7862079`
```
$ kubeadm join apiserver.dcos.com:6443 --token 61eu2f.f4dd6lucgaf13w9i --discovery-token-ca-cert-hash sha256:e117e39b455a8dbab863d76f2b3b4a74051901a989721cf86f1cf96b12fe6b44 --control-plane --certificate-key e1cad9c1c339100e1946c19b930e18c2809fcc59e5f6d44cb0a1b7d7d7862079
```
执行成功后,查看节点信息,添加成功
```
$ kubectl get node
NAME STATUS ROLES AGE VERSION
peng04 Ready master 17h v1.17.0
peng05 Ready master 35s v1.17.0
```
- 常用命令
- 安装
- 安装Kubeadm
- 安装单Master集群
- 安装高可用集群(手动分发证书)
- 安装高可用集群(自动分发证书)
- 启动参数解析
- certificate-key
- ETCD相关参数
- Kubernetes端口汇总
- 安装IPv4-IPv6双栈集群
- 下载二进制文件
- 使用Kata容器
- 快速安装shell脚本
- 存储
- 实践
- Ceph-RBD实践
- CephFS实践
- 对象存储
- 阿里云CSI
- CSI
- 安全
- 认证与授权
- 认证
- 认证-实践
- 授权
- ServiceAccount
- NodeAuthorizor
- TLS bootstrapping
- Kubelet的认证
- 准入控制
- 准入控制示例
- Pod安全上下文
- Selinux-Seccomp-Capabilities
- 给容器配置安全上下文
- PodSecurityPolicy
- K8S-1.8手动开启认证与授权
- Helm
- Helm命令
- Chart
- 快速入门
- 内置对象
- 模板函数与管道
- 模板函数列表
- 流程控制
- Chart依赖
- Repository
- 开源的Chart包
- CRD
- CRD入门
- 工作负载
- Pod
- Pod的重启策略
- Container
- 探针
- 工作负载的状态
- 有状态服务
- 网络插件
- Multus
- Calico+Flannel
- 容器网络限速
- 自研网络插件
- 设计文档
- Cilium
- 安装Cilium
- Calico
- Calico-FAQ
- IPAM
- Whereabouts
- 控制平面与Pod网络分开
- 重新编译
- 编译kubeadm
- 编译kubeadm-1.23
- 资源预留
- 资源预留简介
- imagefs与nodefs
- 资源预留 vs 驱逐 vs OOM
- 负载均衡
- 灰度与蓝绿
- Ingress的TLS
- 多个NginxIngressController实例
- Service的会话亲和
- CNI实践
- CNI规范
- 使用cnitool模拟调用
- CNI快速入门
- 性能测试
- 性能测试简介
- 制作kubemark镜像
- 使用clusterloader2进行性能测试
- 编译clusterloader2二进制文件
- 搭建性能测试环境
- 运行density测试
- 运行load测试
- 参数调优
- Measurement
- TestMetrics
- EtcdMetrics
- SLOMeasurement
- PrometheusMeasurement
- APIResponsivenessPrometheus
- PodStartupLatency
- FAQ
- 调度
- 亲和性与反亲和性
- GPU
- HPA
- 命名规范
- 可信云认证
- 磁盘限速
- Virtual-kubelet
- VK思路整理
- Kubebuilder
- FAQ
- 阿里云日志服务SLS