k8s部署(master、etcd)

1.系统初始化操作

*3台主机，1台master，2台node，图中操作为master节点上的，除了命名不同都一样。

2. etcd集群部署

etcd 作为服务发现系统，有以下的特点

简单∶安装配置简单，而且提供了HTTP API进行交互，使用也很简单

安全∶支持SSL证书验证

快速∶单实例支持每秒2k+读操作

可靠∶采用raft算法，实现分布式系统数据的可用性和一致性

etcd 目前默认使用2379端口提供HTTP API服务，2380端口和peer通信（这两个端口已经被IANA（互联网数字分配机构）官方预留给etcd）。

即etcd默认使用2379端口对外为客户端提供通讯，使用端口2380来进行服务器间内部通讯。

etcd 在生产环境中一般推荐集群方式部署。由于etcd 的leader选举机制，要求至少为3台或以上的奇数台。

准备签发证书环境

CFSSL是CloudFlare 公司开源的一款 PKI/TLS 工具。CFSSL包含一个命令行工具和一个用于签名、验证和捆绑 TLS 证书的 HTP API 服务。使用Go语言编写。

CESSL 使用配置文件生成证书，因此自签之前，需要生成它识别的 json 格式的配置文件，CESSL提供了方便的命令行生成配置文件。

CFSSL用来为 etcd 提供 TLS 证书，它支持签三种类型的证书∶

1、client 证书，服务端连接客户端时携带的证书，用于客户端验证服务端身份，如 kube-apiserver 访问 etcd

2、server 证书，客户端连接服务端时携带的证书，用于服务端验证客户端身份，如 etcd 对外提供服务

3、peer 证书，相互之间连接时使用的证书，如 etcd 节点之间进行验证和通信。这里全部都使用同一套证书认证。

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo 
字段解析
cfssl∶证书签发的工具命令
cfssljson∶将 cfssl 生成的证书（json格式）变为文件承载式证书
cfssl-certinfo∶验证证书的信息

cfssl-certinfo-cert <证书名称>                        #查看证书的信息
#创建k8s工作目录
mkdir /opt/k8s 
cd /opt/k8s/

#上传 etcd-cert.sh 和 etcd.sh 到 /opt/k8s/ 目录中
chmod +x etcd-cert.sh etcd.sh

#创建用于生成CA证书、etcd 服务器证书以及私钥的目录
mkdir /opt/k8s/etcd-cert 
mv etcd-cert.sh etcd-cert/
cd /opt/k8s/etcd-cert/
./etcd-cert.sh                                       #生成CA证书、etcd 服务器证书以及私钥

3. etcd部署

#将etcd直接传到node01和node02然后稍作修改

systemctl start etcd
systemctl enable etcd