k8s

pod之间网络不通，ip addr正常 查看etcd中flanneld的内容 [root@k8s-master k8s-ansible]# etcdctl ls /coreos.com/network/subnets /coreos.com/network/subnets/172.17.77.0-24 /coreos.com/network/subnets/172.17.76.0-24 [root@k8s-master k8s-ansible]# etcdctl

k8s之webhook 什么是Admission Controller admission controller是k8s api的拦截器，将拦截到的请求进行过滤或修改处理 Admission webhook是啥 webhook就是一个HTTP回调，接收admission请求，处理并返回 用户可以定义两种webhook: validating admission webhook对应的k8s资源为ValidatingWebhookConfiguration；用于对请求进行验证，是否允许调用 mutating admission webhook对应的k8s 资源为MutatingWebhookConfiguration；用于对请求进行修改，如注入一个Sidecar。webhook回调，接收API Server发送的admissionReview请求，并返回 admissionResponse。 使用webhook有什么要求？ kubernetes版本最低是v1.9 api

k8s excerpt

下载安装helm 安装 Helm 客户端 下载 Helm $ wget http://blog.liu-kevin.com/content/images/uploader/k8s/helm/helm-v2.9.1-linux-amd64.tar.gz 官方下载地址https://github.com/helm/helm/releases 解压 Helm $ tar -zxvf helm-v2.9.

k8s设置镜像创建 设置imagePullSecrets kubectl create secret docker-registry tencent-registry --docker-server=ccr.ccs.tencentyun.com --docker-username=100****807 --docker-password=pwdpwdpwd --docker-email=liuk@example.com -n default deployment中添加imagePullSecrets apiVersion: extensions/v1beta1 kind: Deployment metadata: name: kanche-platform-gateway labels:

error: You must be logged in to the server (Unauthorized) 查看/var/log/kubernetes/kube-apiserver.ERROR E1202 14:35:29.123615 4945 authentication.go:64] Unable to authenticate the request due to an

各服务启动是否正常 etcd kube-apiserver kube-controller-manager kube-scheduler kubelet kube-proxy flanneld docker node 是否都正常 kubectl get nodes 若为notready 则重启该节点上的kubelet systemctl restart kubelet pod中无法通过service ip访问其它容器 kubernetes service对应的endpoint是否正常，有时重启ip会变; kubectl describe service kubernetes 如果不对则重启master node 若service对应 endpointip 正确

创建pod curl -X POST -H "Content-Type: application/json" -d '{ "apiVersion": "v1", "kind": "Pod", "metadata": { "name": "busybox-3"

用户密码访问api 配置apiserver 参考 apiserver添加启动参数 --basic-auth-file=SOMEFILE 新增 SOMEFILE 文件，文件内容如下 admin,admin,user-1 pwd,base-user,user-2 pwd,super-user,user-3 重启 kube-apiserver 通过RBAC为admin base-user super-user赋予不同的权限 apiserver添加入参 --authorization-mode=RBAC启动RBAC授权模式 在启动RBAC前，通过kubectl是可以访问api的，再这之后调用失败 [root@test-build ~]# kubectl

kubectl安装 kubectl master节点安装 kubectl保存至master节点/usr/bin中 kubectl node节点安装 在node节点上执行kubectl时,由于kubectl默认连接本机apiserver，所以node节点会提示The connection to the server localhost:8080 was refused - did you specify the right host or port?;解决方案./kubectl -s http://10.

环境准备 下载k8s包 https://dl.k8s.io/v1.6.4/kubernetes.tar.gz 解压 解压后在kubernetes/cluster/addons/dns目录下有kubedns的部署文件 文件说明 kubedns-cm.yaml和kubedns-sa.yaml kubedns-cm.yaml和kubedns-sa.yaml无须修改,直接使用。 kubedns-svc.yaml kubedns-svc.yaml有三种类型的模板文件，我们使用kubedns-svc.yaml.sed文件来生成kubedns-svc.yaml文件，

参考 前言 上一文《从零开始搭建Kubernetes集群（四、搭建K8S Dashboard）》介绍了如何搭建Dashboard。本篇将介绍如何搭建Ingress来访问K8S集群的Service。 Ingress简介 Ingress简单来讲，就是一个负载均衡的玩意，其主要用来解决使用NodePort暴露Service的端口时Node IP会漂移的问题。同时，若大量使用NodePort暴露主机端口，管理会非常混乱。 好的解决方案就是让外界通过域名去访问Service，而无需关心其Node IP及Port。那为什么不直接使用Nginx？这是因为在K8S集群中，如果每加入一个服务，我们都在Nginx中添加一个配置，其实是一个重复性的体力活，只要是重复性的体力活，我们都应该通过技术将它干掉。 Ingress就可以解决上面的问题，其包含两个组件Ingress Controller和Ingress： Ingress 将Nginx的配置抽象成一个Ingress对象，每添加一个新的服务只需写一个新的Ingress的yaml文件即可

问题 k8s多个node上的docker ip问题 不同node上的docker容器ip互不通 不同node上会存在重复的ip容器 即问题在于解决不同node上的pod之间通信 [见权威指南 333页] 解决方案 直接路由~ 未测试通过 各节点添加其它所有节点的路由 route add -net 172.17.0.0 netmask 255.255.255.0 gw 10.254.0.67 172.17.0.0为另一node的docker

安装docker 安装docker yum -y install docker-io 启动docker systemctl daemon-reload systemctl start docker.service systemctl enable docker.service 安装kubelet cp kubelet /usr/bin 创建/usr/lib/systemd/system/kubelet.service [Unit] Description=Kubernetes Kubelet

准备好机器 安装etcd 下载etcd 链接：https://pan.baidu.com/s/1YMYFdZab0mhQAkcQ8Uo9FA 提取码: 8bx2 解压下载包，并将二进制文件etct及etcdctl复制到master节点/usr/bin中 添加文件/usr/lib/systemd/system/etcd.service [Unit] Description=Etcd Server After=network.target [Service] Type=simple

内容概括 k8s介绍 k8s基本概念 k8s架构 k8s监控及控制台及部署工具 k8s介绍 k8s是一个容器(如docker但不限于docker)编排工具,它的目标是管理容器的整个生命周期，如 创建、修改、更改实例数量、销毁等等 k8s基本概念 基本概念 namespace:资源隔离的一种手段 node: node节点 pod: 一组容器的一个“单一集合体” ReplicaSets:副本控制器，用于管理pod，对pod及其副本的集合的定义 deployment:用于在滚动升级的过程中管理 rs service:对一组pod提供一个对外的统一ip及服务

参考 clientset 1.使用client-go out-of-cluster 2.如果在集群内部可以使用incluster配置，只需要导入"k8s.io/client-go/1.5/rest" 使用config, err := rest.InClusterConfig() 2.需要将kubeconfig文件放到指定位置 package main import ( "flag" "k8s.io/client-go/1.

为node添加label: kubectl label nodes kube-node node=kube-node 根据label筛选node: kubectl get node -a -l "node=kube-node" 删除node label: kubectl label nodes test-node3 attach- 根据label部署服务 apiVersion: v1 kind: ReplicationController metadata: name: mongo spec:

k8s基本概念 namespace node pod Replication Controller Deployment service endpoint ReplicaSets Ingress job cronjob ConfigMap ServiceAccount rolebinding Labels resources StatefulSet namespace 概念 资源隔离的一种手段 不同NS中的资源不能相互访问 多租户的一种常见解决方案 操作 [root@test-master1 yaml]# kubectl get namespaces NAME STATUS

pod无法删除 添加参数 --grace-period=0 --force kubectl delete pod logging-fluentd-fluentd-v1-0-xtqdv -n kube-system --grace-period=0 --force 无法删除状态为Terminating的namespace edit namespace 删除finalizers内容 再次进行强制删除 pod无法删除-device or resource busy 使用上一方式可以将pod删除，但是需要查询不能删除的原因 查看kubelet日志 通过systemctl status kubelet查看日志，发现以下内容 Mar 05 19:

下载镜像 docker pull registry.cn-beijing.aliyuncs.com/kevin-public/rancher:v2.1.3 启动镜像 docker run -d --restart=unless-stopped -p 8088:80 -p 8443:443 rancher/rancher:v2.1.3 访问rancher https://{{rancherip}}:8443/

阅读建议 建议具有k8s基础的同学查看此文档，若无基础建议查看http://blog.liu-kevin.com/2018/11/14/k8s-2/ github地址 https://github.com/clkevin/k8s-ansible muti-master-cluster分支 若遇到问题可通过上面的github沟通讨论 准备工作 节点准备,可增减node节点 10.254.0.88 k8s-master1 10.254.0.89 k8s-master2 10.254.

github地址 https://github.com/clkevin/k8s-ansible master分支 若遇到问题可通过上面的github沟通讨论 准备工作 节点准备,可增减node节点 10.254.0.56 k8s-master 10.254.0.57 k8s-node1 10.254.0.58 k8s-node2 10.254.0.59 k8s-node3 环境准备(以下操作针对master节点)