Ubuntu+Kubeadm+docker+cri-docker部署Kubernetes-v1.28.2

原创 已于 2024-08-10 16:12:57 修改 · 2.2k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #kubernetes #容器

于 2023-12-05 12:13:55 首次发布
本文详细介绍了如何在Ubuntu系统上使用Kubeadm、docker和cri-docker部署Kubernetes v1.28.2集群,包括环境准备、程序包安装、kubelet和cri-docker整合、初始化主节点和部署网络插件的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、环境准备

二、安装程序包

安装docker

安装cri-dockerd

安装kubeadm、kubelet和kubectl

三、整合kubelet和cri-dockerd

配置cri-dockerd

配置kubelet

四、初始化第一个主节点

初始化master节点(在master01上完成如下操作)

初始化方式一

初始化方式二

初始化完成后的操作步骤

部署网络插件

由于之前很少使用Ubuntu系统,这次使用Ubuntu系统熟悉一下,Kubeadm+Docker+cri-docker的组合模式部署搭建最简单的一个Kubernetes集群

一、环境准备

  • OS:Ubuntu 20.04
  • Kubernetes:v1.28.2
  • Container Runtime:Docker CE 24.0.7
  • CRI:cri-docker v0.3.7

本次共使用3台虚拟机,一台做master,两台做work_node,如下准备工作在3台虚拟机上同时设置

IP地址主机名

配置说明

10.49.33.100kubeapi.likai.com可以是一个VIP
10.49.33.241k8s-master01 k8s-master.liaki.com

1、启用ssh服务

2、设置时间同步

3、禁用swap

4、禁用ufw

10.49.33.242k8s-node01 k8s-node01.likai.com
10.49.33.243k8s-node02 k8s-node02likai.com

1、开启ssh服务,允许root远程登录

2、设置时间同步

~# apt install chrony

~# systemctl start chrony.service  

修改节点的/etc/chrony/chrony.conf配置文件,并将时间服务器指向相应的主机即可,配置格式如下:

server CHRONY-SERVER-NAME-OR-IP iburst
3、主机名解析

4、禁用swap

~# swapoff -a

5、禁用ufw

~# ufw disable

~# ufw status

二、安装程序包

安装docker

首先,生成docker-ce相关程序包的仓库,这里以阿里云的镜像服务器为例进行说明:

 ~# apt -y install apt-transport-https ca-certificates curl software-properties-common
 ~# curl -fsSL http://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | apt-key add -
 ~# add-apt-repository "deb [arch=amd64] http://mirrors.aliyun.com/docker-ce/linux/ubuntu $(lsb_release -cs) stable"
 ~# apt update
 ~# apt install docker-ce

kubelet需要让docker容器引擎使用systemd作为CGroup的驱动,其默认值为cgroupfs,因而,我们还需要编辑docker的配置文件/etc/docker/daemon.json,添加如下内容,其中的registry-mirrors用于指明使用的镜像加速服务。 

提示:自Kubernetes v1.22版本开始,未明确设置kubelet的cgroup driver时,则默认即会将其设置为systemd。

配置完成后即可启动docker服务,并将其设置为随系统启动而自动引导:

 ~# systemctl daemon-reload
 ~# systemctl start docker.service
 ~# systemctl enable docker.service
安装cri-dockerd

Kubernetes自v1.24移除了对docker-shim的支持,而Docker Engine默认又不支持CRI规范,因而二者将无法直接完成整合。为此,Mirantis和Docker联合创建了cri-dockerd项目,用于为Docker Engine提供一个能够支持到CRI规范的垫片,从而能够让Kubernetes基于CRI控制Docker 。

项目地址:https://github.com/Mirantis/cri-dockerd

cri-dockerd项目提供了预制的二进制格式的程序包,用户按需下载相应的系统和对应平台的版本即可完成安装,这里使用的Ubuntu20.04,所以选用

完成安装后,相应的服务cri-dockerd.service便会自动启动。我们也可以使用如下命令进行验证,若服务处于Running状态即可进行后续步骤 。

安装kubeadm、kubelet和kubectl

首先,在各主机上生成kubelet和kubeadm等相关程序包的仓库,这里以阿里云的镜像服务为例:

~# apt update && apt install -y apt-transport-https curl
~# curl -fsSL https://mirrors.aliyun.com/kubernetes/apt/doc/apt-key.gpg | apt-key add -
~# cat <<EOF >/etc/apt/sources.list.d/kubernetes.list
deb https://mirrors.aliyun.com/kubernetes/apt/ kubernetes-xenial main
EOF
~# apt update

接着,在各主机安装kubelet、kubeadm和kubectl等程序包,并将其设置为随系统启动而自动引导:

 ~# apt install -y kubelet kubeadm kubectl
 ~# systemctl enable kubelet

安装完成后,要确保kubeadm等程序文件的版本,这将也是后面初始化Kubernetes集群时需要明确指定的版本号。

三、整合kubelet和cri-dockerd

仅支持CRI规范的kubelet需要经由遵循该规范的cri-dockerd完成与docker-ce的整合。

配置cri-dockerd

配置cri-dockerd,确保其能够正确加载到CNI插件。编辑/usr/lib/systemd/system/cri-docker.service文件,确保其[Service]配置段中的ExecStart的值类似如下内容。

这里有两个设置,一个是--pod-infra-container-image指定使用pause的镜像,这里指定的话,kubelet默认使用pause:3.6这个版本不容易下载;第二个设置就是cni网络插件的几个选项。

需要添加的各配置参数(各参数的值要与系统部署的CNI插件的实际路径相对应):

  • --network-plugin:指定网络插件规范的类型,这里要使用CNI;

  • --cni-bin-dir:指定CNI插件二进制程序文件的搜索目录;

  • --cni-cache-dir:CNI插件使用的缓存目录;

  • --cni-conf-dir:CNI插件加载配置文件的目录;

配置完成后,重载并重启cri-docker.service服务。

~# systemctl daemon-reload && systemctl restart cri-docker.service

配置kubelet

配置kubelet,为其指定cri-dockerd在本地打开的Unix Sock文件的路径,该路径一般默认为“/run/cri-dockerd.sock“。编辑文件/etc/sysconfig/kubelet,为其添加 如下指定参数。

提示:若/etc/sysconfig目录不存在,则需要先创建该目录。

四、初始化第一个主节点

该步骤开始尝试构建Kubernetes集群的master节点,配置完成后,各worker节点直接加入到集群中的即可。需要特别说明的是,由kubeadm部署的Kubernetes集群上,集群核心组件kube-apiserver、kube-controller-manager、kube-scheduler和etcd等均会以静态Pod的形式运行,它们所依赖的镜像文件默认来自于registry.k8s.io这一Registry服务之上。但我们无法直接访问该服务,本示例将选择使用国内镜像服务器上的服务。

初始化master节点(在master01上完成如下操作)

在运行初始化命令之前先运行如下命令单独获取相关的镜像文件,而后再运行后面的kubeadm init命令,以便于观察到镜像文件的下载过程。

使用国内镜像服务器

这里编写了一个镜像下载脚本,使用docker下载国内镜像,在三台机器上都运行该脚本下载进行,脚本如下:

而后即可进行master节点初始化。kubeadm init命令支持两种初始化方式,一是通过命令行选项传递关键的部署设定,另一个是基于yaml格式的专用配置文件,后一种允许用户自定义各个部署参数,在配置上更为灵活和便捷。下面分别给出了两种实现方式的配置步骤,建议读者采用第二种方式进行

初始化方式一

在k8s-master01上运行如下命令

~# kubeadm init --control-plane-endpoint="kubeapi.likai.com" --kubernetes-version=v1.28.2 --pod-network-cidr=10.244.0.0/16 --service-cidr=10.96.0.0/12 --token-ttl=0 --cri-socket unix:///run/cri-dockerd.sock --upload-certs --image-repository=registry.aliyuncs.com/google_containers
初始化方式二

使用#kubeadm config print init-defaults命令获取配置框架,然后修改里面的内容选项到自己设定的配置,将修改后的选项保存在配置文件kubeadm-config.yaml中,然后使用命令初始化

~# kubeadm init --config kubeadm-config.yaml --upload-certs

初始化完成后的操作步骤

对于Kubernetes系统的新用户来说,无论使用上述哪种方法,命令运行结束后,请记录最后的kubeadm join命令输出的最后提示的操作步骤。下面的内容是需要用户记录的一个命令输出示例,它提示了后续需要的操作步骤。

# 第1个步骤提示, Kubernetes集群管理员认证到Kubernetes集群时使用的kubeconfig配置文件
# 第2个步骤提示,为Kubernetes集群部署一个网络插件,具体选用的插件则取决于管理员;
# 第3个步骤提示,向集群添加额外的控制平面节点
# 第4个步骤提示,向集群添加工作节点 
# 提示:与cri-dockerd结合使用docker-ce作为container runtime时,通常需要为下面的命令
# 额外附加“--cri-socket unix:///run/cri-dockerd.sock”选项;

部署网络插件

因为flannel不支持network plocy,所以这里直接部署calico

在GitHub上搜索calico项目,找到最新的release,这里下载了release-v3.26.4.tgz这个包,这个包里包含image,yaml文件,这样就可以本地导入image,不用等待image下载了

解压之后,images里是需要的image,可以使用for IMG in `ls images`docker image load -i $IMG;done全部导入,三个节点上都导入

manifasts目录下的calico.yaml文件中,修改CALICO_IPV4POOL_CIDR选项,将value内容改成本集群的pod网段地址,修改后apply部署calico即可

之后检查集群的pod和节点状态

引自文章

​​​​​​​部署Kubernetes v1.27.1集群使用kubeadm部署Kubernetes v1.27.1,并部署OpenELB、Ingress Nginx、Metrics Server和Kuboard等Add-Ons。icon-default.png?t=N7T8https://mp.weixin.qq.com/s/Hwqb4oPN_65g-iYcfjTCIA

扫一扫关注作者公众号

安装cri-dockerd
weixin_40548182的博客
06-27 1549
根据系统选择对应的安装包。
Cri-O方式部署Kubernetes集群
weixin_72583321的博客
05-28 1228
Kubernetes 项目推出了容器运行时接口Container Runtime Interface(CRI):这是一个插件接口,它让 kubelet(用于创建 pod 和启动容器的集群节点代理)有使用不同的兼容 OCI 的容器运行时的能力,而不需要重新编译 Kubernetes。在这项工作的基础上,CRI-O 项目(原名 OCID)准备为 Kubernetes 提供轻量级的运行时。 CRI-O 允许你直接从 Kubernetes 运行容器,而不需要任何不必要的代码或工具。只
ubuntu安装 docker cri-docker
weixin_64348970的博客
10-17 1533
【代码】ubuntu安装 docker cri-docker
【笔记】cri-docker.service和containerd
最新发布
努力,学习!
05-16 1123
cri-docker.service 和 containerd 是 Kubernetes 支持的两种容器运行时组件,但它们在架构、功能定位及与 Docker 的关系上有显著差异。containerd 是一个轻量级容器运行时,直接管理容器的生命周期,并原生支持 CRI容器运行时接口),性能更高,路径更短,且可独立于 Docker 运行。而 cri-docker.service 是一个适配器服务,将 KubernetesCRI 请求转换为 Docker API,依赖 Docker 的完整堆栈,性能较低,
基于ubuntu20.04安装kubernetes1.27.1(使用cri-docker)
m0_37749659的博客
05-11 3176
kubernetes1.27.1
[k8s 1.27.2]-Kubernates+docker+cri-dockerd 集群部署
p73133_55的博客
04-15 1300
k8s安装过程需要注意版本使用,每次操作都需要检查操作结果,尤其是启动服务的服务状态检查,可以减少很多麻烦。如果起服务有问题,可以查看具体的日志分析。
Ubantu使用kubeadm部署kubernetes1.25.10+cri-docker
TttRark的博客
06-09 366
网上的高版本k8s搭建的文章还是比较少,所以自己排坑半天后也来发篇文章,希望可以帮助到大家。花了一下午安装好的一个小型集群,希望可以给大家提供一点参考的思路!
K8s安装部署(v1.28--超详细(cri-docker作为运行时)
oopxiajun博客专栏
09-24 2879
ip角色系统主机名cpumemmastercentos7.9k8smaster48node1centos7.9k8snode148node2centos7.9k8snode248node3centos7.9k8snode348。
kubeadm部署1.28.2单节点集群(docker版)
weixin_59636504的博客
10-19 1123
加载模块生效(这个文件会在下次系统启动时自动生效)
安装 Kubernetes 1.28.2,使用 Ubuntu20.04
weixin_45530038的博客
09-20 2682
4. 提供给 k8s-worker加入的token指令。Tips:以下操作只需在 k8s-master 执行。Tips:以下操作,所有主机均要执行。Tips:以下操作,所有主机均要执行。Tips:以下操作,所有主机均要执行。
kubeadm 搭建k8s 1.28.2版本集群
生而无畏,战至终章
10-10 1572
kubeadm 搭建k8s 1.28.2版本集群
基于ubuntu 20.04与cri-docker 搭建部署高可用k8s 1.25.3
cp_dvd的博客
10-28 4223
目录 一、overlay简介二、overlay通信过程 三、overlay应用场景四、underlay简介五、underlay实现模式简介六、MAC Vlan工作模式七、kubernetes pod通信总结八、underlay实验案例8.2、安装docker环境 8.3、安装cri-docker8.4、集群初始化准备8.5、初始化集群 8.6、添加集群节点 8.6.2、添加node节点九、安装underlay网络组件9.2部署hybridnet 1、Underlay网络就是传统I
Docker1.Ubuntu系统下安装Docker
txh1013的博客
09-14 9213
详细介绍了在Ubuntu下安装Docker的过程。
Ubuntu安装Docker
weixin_46759354的博客
07-26 435
检查卸载旧版本dockerUbuntu自带Docker库,无需添加新源。自带版本较低,需卸载旧版后再安装新版。
DockerCri-docker 与 k8s
ltzx20080441的博客
05-10 1340
这个参数的默认值指向cri-docker启动后默认服务监听的.sock文件,注意它是属于cri-docker的,而cri-docker是实现了k8s的cri标准的也就是说把k8s传输数据到cri-docker.sock,背后对应的服务代码是可以正常运行的。早期k8s管理的容器底层是绑定docker的,但是你要知道容器的实现不只有docker还有其它的实现技术,而k8s则一直希望自己的代码可以兼容所有的容器,也就是说他不仅可以管理docker也可以管理其他的容器实现.嗯,这是个可行的方案但是太累了。
基于dockercri-dockerd部署k8sv1.26.3
qq_41146932的博客
07-23 5168
cri-dockerd来与kubelet交互,然后再由cri-dockerd和docker api交互,使我们在k8s能够正常使用docker作为容器引擎;--cni-bin-dir:指定CNI插件二进制程序文件的搜索目录;--cni-cache-dir:CNI插件使用的缓存目录;该配置不是必须的,我们也可以在初始化集群时在kubeadm命令上使用“--cri-socket unix:///run/cri-dockerd.sock”选项来告诉kubelet cri-dockerd的socket文件路径;
K8S集群搭建——cri-dockerd版(包含问题解决方案)
qq_61468858的博客
05-20 8468
因为k8s默认containerd作为容器运行时,所以想要使用cri-dockerd,需要把containerd先停掉,否则,在node节点加入master节点时会报错,提示你有两个容器运行时,要使用哪一个为什么我不直接去修改kubelet让他选择我的cri容器运行时?因为我找不到配置文件哈哈哈。网上有很多告诉你去修改/etc/sysconfig/kubelet这个kubelet的配置文件,但实际上根本没有这个文件。
ubuntu安装k8s(docker版)
????爱好者的博客
09-18 3097
写这些,仅记录自己学习使用Kubernetes的过程。如果有什么错误的地方,还请大家批评指正。最后,希望小伙伴们都能有所收获。
Ubuntu22.04环境下使用kubeadm部署kubernetes1.28.2
sinat_31632437的博客
12-14 2565
文章参考信息来源:作者:Pokeya链接:https://juejin.cn/post/7300419978486169641来源:稀土掘金。
[allegro@pdc1 kubernetes]$ sudo kubeadm config images pull --image-repository 132.122.1.168:5000 --kubernetes-version v1.28.2 failed to pull image "132.122.1.168:5000/kube-apiserver:v1.28.2": output: E0321 11:40:25.527363 10512 remote_image.go:242] "PullImage from image service failed" err="rpc error: code = Unknown desc = failed to pull and unpack image \"132.122.1.168:5000/kube-apiserver:v1.28.2\": failed to resolve reference \"132.122.1.168:5000/kube-apiserver:v1.28.2\": failed to do request: Head \"https://132.122.1.168:5000/v2/kube-apiserver/manifests/v1.28.2\": tls: failed to verify certificate: x509: certificate signed by unknown authority" image="132.122.1.168:5000/kube-apiserver:v1.28.2" time="2025-03-21T11:40:25+08:00" level=fatal msg="pulling image: rpc error: code = Unknown desc = failed to pull and unpack image \"132.122.1.168:5000/kube-apiserver:v1.28.2\": failed to resolve reference \"132.122.1.168:5000/kube-apiserver:v1.28.2\": failed to do request: Head \"https://132.122.1.168:5000/v2/kube-apiserver/manifests/v1.28.2\": tls: failed to verify certificate: x509: certificate signed by unknown authority" , error: exit status 1 To see the stack trace of this error execute with --v=5 or higher
03-22
<think>好的,我现在需要解决用户在Kubernetes中使用自定义镜像仓库拉取镜像时遇到的TLS证书验证失败问题,具体错误是“tls: failed to verify certificate: x509: certificate signed by unknown authority”,使用的Kubernetes版本是v1.28.2。让我先理清这个问题的可能原因和解决方法。 首先,用户提到的是自定义镜像仓库,所以问题很可能与镜像仓库的TLS证书有关。根据引用[1]和[2],证书不被信任或配置错误会导致这类问题。Kubernetes组件(如kubelet)在拉取镜像时,需要信任镜像仓库的CA证书,否则会验证失败。 接下来,我需要考虑如何让Kubernetes节点信任这个自定义仓库的证书。可能的步骤包括将CA证书添加到节点的信任存储中,或者配置Docker/containerd使用该CA。另外,如果是私有仓库,可能需要配置镜像拉取密钥,但这里的问题更可能是证书信任的问题,而不是认证问题。 对于kubeadm config images pull命令,这个命令用于预先拉取控制平面镜像,所以需要确保执行该命令的节点能够正确访问自定义仓库并信任其证书。如果节点没有正确配置信任,就会报错。 可能的解决方案步骤: 1. 将自定义镜像仓库的CA证书添加到每个Kubernetes节点的系统信任证书中,比如在Ubuntu上复制到/usr/local/share/ca-certificates/并运行update-ca-certificates。 2. 配置Docker或containerd信任该CA证书。例如,在Docker中,将CA证书放入/etc/docker/certs.d/<仓库域名>/目录下,并重启Docker服务。 3. 检查kubelet的配置,确保它使用正确的证书。有时候,kubelet可能需要单独配置证书信任链。 4. 如果使用私有仓库,可能需要创建Secret并在Pod定义中引用,但证书信任问题可能需要先解决。 5. 确保自定义仓库的证书是有效的,包括域名匹配和未过期。 另外,根据Kubernetes版本v1.28.2,可能需要检查是否有已知的证书处理变更,但暂时没有相关信息。需要用户确认证书是否正确部署到所有节点,并确保服务重启以应用更改。 用户提到的错误信息与引用[1]中的情况类似,都是证书不被信任,所以解决方案应该围绕添加CA证书到信任链展开。可能需要分步骤指导用户如何添加证书到系统、Docker/containerd,并验证配置是否正确。 最后,生成相关问题,可能涉及其他证书问题、私有仓库配置或kubeadm的其他问题。</think>### 解决方案:Kubernetes自定义镜像仓库TLS证书验证失败问题 #### 问题原因分析 此错误表明Kubernetes节点不信任自定义镜像仓库的TLS证书。主要原因包括: 1. 自定义镜像仓库的证书是自签名的,或未被系统信任的CA签发[^2]; 2. 节点未正确配置信任该证书的CA; 3. Docker/containerd未加载更新后的证书链。 --- ### 解决步骤 #### 1. 将CA证书添加到系统信任链 **操作流程:** - **步骤1**:获取镜像仓库的CA证书文件(通常为`.crt`或`.pem`格式) - **步骤2**:将证书复制到系统证书目录: ```bash # Ubuntu/Debian sudo cp custom-repo-ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates # CentOS/RHEL sudo cp custom-repo-ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust ``` - **步骤3**:重启容器运行时服务: ```bash # Docker sudo systemctl restart docker # containerd sudo systemctl restart containerd ``` #### 2. 配置Docker/containerd信任证书 **Docker专用配置:** - 创建证书目录并复制证书: ```bash # 格式:/etc/docker/certs.d/<仓库域名>:<端口>/ca.crt sudo mkdir -p /etc/docker/certs.d/custom.repo.com:5000 sudo cp custom-repo-ca.crt /etc/docker/certs.d/custom.repo.com:5000/ca.crt ``` - 重启Docker服务: ```bash sudo systemctl restart docker ``` **containerd配置:** - 修改`/etc/containerd/config.toml`,添加证书路径: ```toml [plugins."io.containerd.grpc.v1.cri".registry.configs] [plugins."io.containerd.grpc.v1.cri".registry.configs."custom.repo.com:5000".tls] ca_file = "/path/to/custom-repo-ca.crt" ``` - 重启containerd: ```bash sudo systemctl restart containerd ``` #### 3. 验证证书加载 - 使用`curl`测试证书是否被信任: ```bash curl https://custom.repo.com:5000/v2/_catalog ``` 若返回镜像列表,则证书信任成功。 #### 4. 针对kubeadm的特殊配置 如果使用`kubeadm config images pull`命令: - 确保执行该命令的节点已完成上述证书配置; - 若仍失败,尝试手动指定镜像仓库地址: ```bash kubeadm config images pull --image-repository=custom.repo.com:5000/k8s ``` --- ### 补充说明 - **证书有效性检查**:使用`openssl x509 -in custom-repo-ca.crt -text -noout`确认证书有效期和域名匹配; - **集群节点同步**:所有节点(包括控制平面和工作节点)均需完成证书配置; - **Kubelet配置**:若kubelet独立配置证书,需检查`/var/lib/kubelet/config.yaml`中的`serverTLSBootstrap`参数[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值