摘要:举个例子,我们在这种状态下创建一个,然后执行在中会发现有了字段,并且装载了一个是的,这个就是我们这个下的。
注:本案例在我的部署环境下是可行的,但不保证在所有环境下都可行。我尽可能讲得直白而详细,因为我自己也才刚开始接触,已经做过深入研究的可以浏览,若有什么错误,烦请指正,感激不尽!
我的环境: K8S1.0.0+flannel+docker1.6的分布式集群。
这里先不赘述flannel的部署了,以后有时间再写相关的文档。
1. ServiceAccount与Secret先讲讲kubernetes的serviceaccount,我们的服务有时候需要一些带有隐私信息的东西,token,certification file等等,这些东西我们可以在master上创建,然后在创建pod的时候导入进去。具体可以去看github上的secret.md,那里有具体的例子。
我们执行:
kubectl get serviceaccount
如果如下:
NAME SECRETS default 1
那么是正常的(用脚本启动的kubernetes一般会是这样的情况) 而如果是:
NAME SECRETS default 0
这就麻烦了,用脚本启动k8s,启动的时候是会自动创建一个serviceaccount的,而serviceaccount创建出来的时候又会自动创建一个secret作为这个serviceaccount的token。
我们在apiserver的启动参数中添加:
--admission_control=ServiceAccount
apiserver在启动的时候会自己创建一个key和crt(见/var/run/kubernetes/apiserver.crt和apiserver.key)
然后在启动./kube-controller-manager 时添加flag:
--service_account_private_key_file=/var/run/kubernetes/apiserver.key
这样启动k8smaster后,我们就会发现
kubectl get serviceaccount
结果如下:
NAME SECRETS default 1
注意,这里可能会启动apiserver失败,或者启动后没有效果,因为没有secrets的serviceaccount会保存在etcd中,所以我们在正常启动前最好删掉etcd中的旧数据($etcdctl rm --recursive registry)。
正常启动后我们在这种状态下创建pod,pod中会加入serviceaccount这个字段,即便我们在创建的json或yaml中不指定,那么它的默认值也会是默认的serviceaccount:default。 而这个serviceaccount的secret就会被导入到pod启动的containers中。 举个例子,我们在这种状态下创建一个pod,然后执行:
[root@vm-56-65 bin]# kubectl get pods/imgpod -o yaml
在yaml中会发现:
spec: containers: - image: registry.hub.gome.com.cn/img_server:1.1 imagePullPolicy: IfNotPresent name: imgpod resources: limits: cpu: 600m memory: 1181116006400m terminationMessagePath: /dev/termination-log volumeMounts: - mountPath: /var/run/secrets/kubernetes.io/serviceaccount name: default-token-n0i1i readOnly: true dnsPolicy: ClusterFirst nodeName: 10.58.56.62 restartPolicy: Always serviceAccountName: default volumes: - name: default-token-n0i1i secret: secretName: default-token-n0i1i
有了serviceaccountName字段,并且volumn装载了一个secret.是的,这个secret:default-token-n0i1i就是我们default这个serviceaccount下的secret。它被装载到mountPath: /var/run/secrets/kubernetes.io/serviceaccount目录中,我们如果在slaver上进入相关容器,便可以找到这个目录和相应的token(注:创建这个pod的json中不用指定serviceaccount,也不用写volumn字段去挂载secret,这些都会自动完成的,是否可以手动指定呢?期待大神们的指点)。
为什么要先说这些呢? 因为我们的heapster启动的时候会有这种情况: pod状态为running,但是反复地restart;我们用webapi查看该pod的日志,发现:
/var/run/secret/kubernetes.io/serviceaccount/token no such file or directory
我认为这是因为heapster在运行时需要向k8smaster做https的连接,但是没有token和证书是不能连接的,heapster的程序找不到token就error并exit了,k8s会再启动之,于是就反复restart。
2.解决Heapster的Https访问问题如下是我heapster启动的json(一个replicationcontroller)
heaprep.json: { "apiVersion": "v1", "kind": "ReplicationController", "metadata": { "labels": { "name": "heapster" }, "name": "monitoring-heapster-controller" }, "spec": { "replicas": 1, "selector": { "name": "heapster" }, "template": { "metadata": { "labels": { "name": "heapster" } }, "spec": { "containers": [ { "image": "registry.hub.gome.com.cn/kubernetes/heapster:v0.16.0", "name": "heapster", "command":[ "/heapster", "--source=kubernetes:"https://kubernetes:443?auth="", "--sink=influxdb:http://10.126.53.10:8086" ], "resources": { "limits":{ "cpu":"0.5", "memory":"1.1Gi" } }, "env": [ { "name": "KUBERNETES_SERVICE_HOST", "value": "vm-56-65" } ] } ] } } } }
这里"env"中的环境变量是必须要加的,否则heapster会报错,具体什么错不大记得了,应该是有关10.0.0.1 这个域名的(heapster中的KUBERNETES_SERVICE_HOST变量默认是10.0.0.1)。 *10.0.0.1是k8s集群中master服务的ClusterIP(kubectl get svc 就可以看到),其他slaver是可以通过这个ip:port访问到master服务的。但是因为heapster做的是https的请求,需要crt证书和token。而10.0.0.1不是一个hostname并且没有相关的证书(感觉这是heapster最大的一个坑),所以我干脆自己做证书,自己做hosts引导,自己做环境变量。
现在我们需要一个hostname为vm-56-65的证书,执行这些命令:
openssl genrsa -out ca.key 2048 openssl req -x509 -new -nodes -key ca.key -subj "/CN=abc.com" -days 5000 -out ca.crt openssl genrsa -out server.key 2048 openssl req -new -key server.key -subj "/CN=vm-56-65" -out server.csr openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
注意,这里两个 -subj "***"中第二个要写hostname,且强烈建议第一个subj和第二个不要相同(设为相同可能会导致普通的curl https命令认证失败)。具体关于证书的生成,可以参考: http://wangzhezhe.github.io/blog/2015/08/05/httpsandgolang/ 执行这些命令后,会生成一系列文件,将它们一并copy到master的/var/run/kubernetes/中,我们的master启动要用这些证书文件:
./kube-apiserver --logtostderr=true --log-dir=/var/log/ --v=0 --admission_control=ServiceAccount --etcd_servers=http://127.0.0.1:4001 --insecure_bind_address=0.0.0.0 --insecure_port=8080 --kubelet_port=10250 --service-cluster-ip-range=10.0.0.1/24 --allow_privileged=false --service-node-port-range="30000-35535" --secure-port=443 --client_ca_file=/var/run/kubernetes/ca.crt --tls-private-key-file=/var/run/kubernetes/server.key --tls-cert-file=/var/run/kubernetes/server.crt
这里--secure-port=443 是因为我在heapster访问master时,没有采用内部ClusterIP,而是直接访问物理IP,而端口没有变,所以将master上apiserver的https监听端口修改了以便访问。
这样启动了apiserver后,我们再重新create pod。 容器启动,我们进入pod的日志,看到非常多的:
dial tcp: lookup vm-56-65: no such host
进入容器中修改容器里的/etc/hosts,添加一个:
10.58.56.65 vm-56-65
如前文所说,我这里用了物理ip,当然,如果我们这里配10.0.0.1 也是可以的(如果使用10.0.0.1,api-server启动的时候就不用再添加--secure-port=443了)。 具体怎么进容器、改hosts这里我就不细讲了,大家都懂的~
修改完毕后,再刷新几次pod的日志,会发现,日志慢慢就不更新了(或者该说,不报错了),恭喜你,heapster已经在正常跑了。
不止如此,只要再添加一个token的配置,就可以在任何一台能与10.58.56.65直连的机器上,向apiserver做带认证的https请求。
heapster最大的好处是其抓取的监控数据可以按pod,container,namespace等方式group,这样就能进行监控信息的隐私化,即每个k8s的用户只能看到自己的应用的资源使用情况,而后台管理者又能看到每台机器的资源使用情况,类似自动扩容之类的功能就有了一个可靠的信息来源。
以上只是我个人在部署过程中遇到的问题,不能保证这个方案100%可行,我也仍在做进一步的研究,相信heapster还有很多的坑,大家多多交流吧~^_^
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/26430.html
摘要:举个例子,我们在这种状态下创建一个,然后执行在中会发现有了字段,并且装载了一个是的,这个就是我们这个下的。 注:本案例在我的部署环境下是可行的,但不保证在所有环境下都可行。我尽可能讲得直白而详细,因为我自己也才刚开始接触,已经做过深入研究的可以浏览,若有什么错误,烦请指正,感激不尽! 我的环境: K8S1.0.0+flannel+docker1.6的分布式集群。 这里先不赘述fla...
摘要:在每个上都会运行,它会收集本机以及容器的监控数据。使用这里主要介绍的使用,及可获取的。参考资料文档文档及可用在官方文档中都介绍的比较齐全。我们没有采用该方式,是考虑到如果和监控系统相互依赖,会导致异常之后,存在监控系统无法使用的隐患。 什么是Heapster? Heapster是容器集群监控和性能分析工具,天然的支持Kubernetes和CoreOS。Kubernetes有个出名的监控...
摘要:开启自带开启完成之后右下角会回显示查看安装的镜像或查看安装的容器部署如遇到失效请访问这里开启代理然后访问地址会报错解决报错问题将之前的修改成图片箭头标注的即可然后在访问之前的地址使用的方式访问查看暴露的端口然后访问获 1.开启docker自带k8s showImg(https://segmentfault.com/img/bVbnUGW?w=1028&h=820); 开启完成之后右下角...
摘要:下载在这里下载修改替换镜像修改添加,同时把由改为。因为的跟中的的冲突了。修改新增的暴露出来,同时添加创建配置修改下数据源的查看数据总结部署详解监控 下载yaml 在这里下载deploy/kube-config/influxdb 修改yaml 替换镜像 gcr.io/google_containers/heapster-grafana:v4.0.2 registry.cn-hangzho...
摘要:还可以把数据导入到第三方工具展示或使用场景共同组成了一个流行的监控解决方案原生的监控图表信息来自在中也用到了,将作为,向其获取,作为水平扩缩容的监控依据监控指标流程首先从获取集群中所有的信息。 概述 该项目将被废弃(RETIRED) Heapster是Kubernetes旗下的一个项目,Heapster是一个收集者,并不是采集 1.Heapster可以收集Node节点上的cAdvis...
阅读 901·2021-09-03 10:42
阅读 1513·2019-08-30 15:56
阅读 1446·2019-08-29 17:27
阅读 873·2019-08-29 15:25
阅读 3160·2019-08-26 18:27
阅读 2481·2019-08-26 13:41
阅读 1889·2019-08-26 10:39
阅读 1572·2019-08-23 18:36