Skip to content

Latest commit

 

History

History
152 lines (133 loc) · 5.85 KB

06-1.部署apiserver高可用组件.md

File metadata and controls

152 lines (133 loc) · 5.85 KB
Raw

部署apiserver高可用组件

本文档讲解使用 keepalived 和 haproxy 实现 kube-apiserver 高可用的步骤:

  • keepalived 提供 kube-apiserver 对外服务的 VIP;
  • haproxy 监听 VIP,后端连接所有 kube-apiserver 实例,提供健康检查和负载均衡功能;

运行 keepalived 和 haproxy 的节点称为 LB 节点。由于 keepalived 是一主多备运行模式,故至少两个 LB 节点。

本文档复用 master 节点的三台机器,haproxy 监听的端口(8443) 需要与 kube-apiserver 的端口 6443 不同,避免冲突。

keepalived 在运行过程中周期检查本机的 haproxy 进程状态,如果检测到 haproxy 进程异常,则触发重新选主的过程,VIP 将飘移到新选出来的主节点,从而实现 VIP 的高可用。

所有组件(如 kubeclt、apiserver、controller-manager、scheduler 等)都通过 VIP 和 haproxy 监听的 8443 端口访问 kube-apiserver 服务。

安装keepalived和haproxy软件包

[admin@k8s-admin ~]$ ansible k8s-masters -m yum -a "name=keepalived,haproxy,psmisc state=present"

  • 其中psmisc软件包提供killall命令。

配置和分发 haproxy 配置文件

haproxy配置文件:

[admin@k8s-admin ~]$ cat > conf/haproxy.cfg <<"EOF"
global
    log /dev/log    local0
    log /dev/log    local1 notice
    chroot /var/lib/haproxy  # chroot增加系统安全性
    stats socket /var/run/haproxy-admin.sock mode 660 level admin
    stats timeout 30s
    user haproxy
    group haproxy
    daemon
    nbproc 1

defaults
    log     global
    timeout connect 5000
    timeout client  10m
    timeout server  10m

listen  admin-status
    bind 0.0.0.0:10080  # 监听http/10080端口
    mode http
    log 127.0.0.1 local0 err
    stats refresh 30s
    stats uri /status
    stats realm welcome login\ Haproxy
    stats auth admin:123456 # 注意修改帐号密码
    stats admin if TRUE

listen kube-apiserver
    bind 0.0.0.0:8443  # 监听tcp/8443端口
    mode tcp
    option tcplog
    balance source
    server 192.168.99.101 192.168.99.101:6443 check inter 2000 fall 2 rise 2 weight 1
    server 192.168.99.102 192.168.99.102:6443 check inter 2000 fall 2 rise 2 weight 1
    server 192.168.99.103 192.168.99.103:6443 check inter 2000 fall 2 rise 2 weight 1
EOF
  • haproxy 在 10080 端口输出 status 信息;
  • haproxy 监听所有接口的 8443 端口,该端口与环境变量 ${KUBE_APISERVER} 指定的端口必须一致;
  • server 字段列出所有 kube-apiserver 监听的 IP 和端口。

分发 haproxy.cfg 文件并启动 haproxy:

[admin@k8s-admin ~]$ ansible k8s-masters -m copy -a "src=conf/haproxy.cfg dest=/etc/haproxy/ owner=haproxy group=haproxy"
[admin@k8s-admin ~]$ ansible k8s-masters -m systemd -a "name=haproxy state=restarted enabled=yes daemon_reload=yes"
[admin@k8s-admin ~]$ ansible k8s-masters -m shell -a "systemctl status haproxy.service|grep -e Loaded -e Active"
  • 确保状态为“active (running)”并且“enabled”。

检查 haproxy 端口监听情况:

[root@k8s-node01 ~]# ss -lnptu|grep -e 10080 -e 8443
tcp   LISTEN   0    128    *:10080    *:*    users:(("haproxy",pid=4915,fd=5))
tcp   LISTEN   0    128    *:8443     *:*    users:(("haproxy",pid=4915,fd=7))

配置和下发 keepalived 配置文件

keepalived 是一主(master)多备(backup)运行模式,故有两种类型的配置文件。master 配置文件只有一份,backup 配置文件视节点数目而定,对于本文档而言,规划如下:

  • master:192.168.99.101
  • backup:192.168.99.102、192.168.99.103
  • vip:192.168.99.100

master 配置文件:

[admin@k8s-admin ~]$ cat >conf/keepalived-master.conf <<EOF
vrrp_script check-haproxy {
    script "killall -0 haproxy"
    interval 5
    weight -30
}
vrrp_instance VI-kube-apiserver {
    state MASTER
    priority 120  # 权重,必须比BACKUP大
    dont_track_primary
    interface $KEEPALIVED_IF
    virtual_router_id 68
    advert_int 3
    track_script {
        check-haproxy
    }
    virtual_ipaddress {
        $KEEPALIVED_VIP
    }
}
EOF
  • VIP 所在的接口(interface ${VIP_IF})为 eth0
  • 使用 killall -0 haproxy 命令检查所在节点的 haproxy 进程是否正常。如果异常则将权重减少 -30,从而触发重新选主过程;
  • router_id 用于标识不同的机器,默认为主机名,必须各不相同;
  • virtual_router_id 用于标识属于该 HA 的 keepalived 实例,如果有多套 keepalived HA,则必须各不相同。

backup 配置文件:

[admin@k8s-admin ~]$ cat >conf/keepalived-backup.conf <<EOF
vrrp_script check-haproxy {
    script "killall -0 haproxy"
    interval 5
    weight -30
}
vrrp_instance VI-kube-apiserver {
    state BACKUP
    priority 100
    dont_track_primary
    interface $KEEPALIVED_IF
    virtual_router_id 68
    advert_int 3
    track_script {
        check-haproxy
    }
    virtual_ipaddress {
        $KEEPALIVED_VIP
    }
}
EOF
  • backup 的 priority 的值必须小于 master 的 priority,且大于 master 的 priority 值减去 master 的 weight 值。
  • Keepalived 配置参数参考:http://www.keepalived.org/manpage.html

分发 keepalived.conf 文件并启动 keepalived

[admin@k8s-admin ~]$ ansible k8s-node01 -m copy -a "src=conf/keepalived-master.conf dest=/etc/keepalived/keepalived.conf"
[admin@k8s-admin ~]$ ansible k8s-node02,k8s-node03 -m copy -a "src=conf/keepalived-backup.conf dest=/etc/keepalived/keepalived.conf"
[admin@k8s-admin ~]$ ansible k8s-masters -m systemd -a "name=keepalived state=restarted enabled=yes daemon_reload=yes"
[admin@k8s-admin ~]$ ansible k8s-masters -m shell -a "systemctl status keepalived.service|grep -e Loaded -e Active"
  • 确保状态为“active (running)”并且“enabled”。

可以使用浏览器访问 http://{KEEPALIVED_VIP}:10080/status 检查 HAproxy 的状态。此时由于后端 apiserver 尚未配置,状态都为“DOWN”。