常见的k8s部署方式

1.Mini kube Minikube是一个工具，可以在本地快速运行一个单节点微型K8s，仅用于学习预览K8s的一些特性使用部署地址: https://kubernetes.io/docs/setup/minikube
2.Kubeadmin Kubeadmin也是一个工具，提供kubeadm init和kubeadm join，用于快速部署K8S集群，相对简单 https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/
3.二进制安装部署生产首选，从官方下载发行版的二进制包，手动部署每个组件和自签TLS证书，组成K8s集群，新手推荐 https://github.com/kubernetes/kubernetes/releases

Kubernetes二进制部署（单节点）

1.环境准备

使用远程连接软件为Xshell

服务器	IP	组件
k8s集群master1	192.168.65.20	kube-apiserver、kube-controller-manager、kube-scheduler、etcd
k8s集群node1	192.168.65.30	kubelet、kube-proxy、docker、flannel
k8s集群node2	192.168.65.40	kubelet、kube-proxy、docker、flannel

初始化步骤之前打开xshell工具中的“发送键输入到所有会话”

#关闭防火墙和安全功能
systemctl stop firewalld
systemctl disable firewalld
iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X
setenforce 0

#关闭swap
swapoff -a #临时关闭
sed -ir 's/.*swap.*/#&/' /etc/fstab #永久关闭，&符号代表前面匹配的所有

该步骤关闭“发送键输入所有会话”功能

#设置主机名
hostnamectl set-hostname master01
hostnamectl set-hostname node01
hostnamectl set-hostname node02

#在master添加hosts
cat >> /etc/hosts << EOF
192.168.65.20 master01
192.168.65.30 node01
192.168.65.40 node02
EOF

#将桥接的ipv4流量传递到iptables的链
cat > /etc/sysctl.d/k8s.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF

sysctl --system

#时间同步
yum install ntpdate -y
ntpdate time.windows.com

2. 部署etcd集群

注意：这里就不在单独的服务器上部署，直接部署在各节点上，节省资源

1.etcd目前默认使用2379端口提供HTTP API服务，2380端口和peer通信(这两个端口已经被TAMA(互联网数字分配机构)官方预留给etced)。即etcd默认使用2379端口对外为客户端提供通讯，使用端口2380来进行服务器间内部通讯
2.etcd在生产环境中一般推荐集群方式部署。由于etcd的leader选举机制，要求至少为3台或以上的奇数台
3.etcd作为服务发现系统，有以下的特点:
• 简单安装配置简单，而且提供了HTTP API进行交互，使用也很简单
• 安全: 支持SSL证书验证
• 快速: 单实例支持每秒2k+读操作
• 可靠: 采用raft算法实现分布式系统数据的可用性和一致性
==========================================================
##准备签发证书环境
CFSSL是CloudFlare公司开源的一款PKI/TLS工具。CESSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。
CFSSL使用配置文件生成证书，因此自签之前，需要生成它识别的json 格式的配置文件，CFSSL 提供了方便的命令行生成配置文件。
CFSSL用来为etcd提供TLS证书，它支持签三种类型的证书:
1、client证书，服务端连接客户端时携带的证书，用于客户端验证服务端身份，如kube-apiserver 访问etcd;
2、server证书，客户端连接服务端时携带的证书，用于服务端验证客户端身份，如etcd对外提供服务:
3、peer证书，相互之间连接时使用的证书，如etcd节点之间进行验证和通信。
这里全部都使用同一套证书认证。

1. 载证书制作工具

在 master01 节点上操作下载证书制作工具

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo
或
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo

chmod +x /usr/local/bin/cfssl* #提前下载好拉入/usr/local/bin/目录并授权
字段解析
cfssl∶证书签发的工具命令
cfssljson∶将 cfssl 生成的证书（json格式）变为文件承载式证书
cfssl-certinfo∶验证证书的信息

cfssl-certinfo-cert <证书名称> #查看证书的信息

#创建k8s工作目录
mkdir /opt/k8s
cd /opt/k8s/

#上传 etcd-cert.sh 和 etcd.sh 到 /opt/k8s/ 目录中
chmod +x etcd-cert.sh etcd.sh

#创建用于生成CA证书、etcd 服务器证书以及私钥的目录
mkdir /opt/k8s/etcd-cert
mv etcd-cert.sh etcd-cert/
cd /opt/k8s/etcd-cert/
./etcd-cert.sh #生成CA证书、etcd 服务器证书以及私钥

2. 利用etcd-cert.sh生成CA证书、etcd服务器证书以及私钥

1.创建k8s.工作目录
mkdir /opt/k8s
cd /opt/k8s/

2.mkdir /opt/k8s/etcd-cert #创建用于生成CA证书、etcd服务器证书以及私钥的目录
cd /opt/k8s/etcd-cert
vim etcd-cert.sh
----------------------------------------------------------
cat > ca-config.json <<EOF           #CA证书配置文件
{
"signing": {                   #键名称
"default": {
"expiry": "87600h"           #证书有效期（10年）
},
"profiles": {               #简介
"www": {                   #名称
"expiry": "87600h",
"usages": [               #使用方法
"signing",               #键
"key encipherment",           #密钥验证（密钥验证要设置在CA证书中）
"server auth",           #服务器端验证
"client auth"           #客户端验证
]
}
}
}
}
EOF
cat > ca-csr.json <<EOF               #CA签名
{
"CN": "etcd CA",               #CA签名为etcd指定（三个节点均需要）
"key": {
"algo": "rsa",               #使用rsa非对称密钥的形式
"size": 2048               #密钥长度为2048
},
"names": [                   #在证书中定义信息（标准格式）
{
"C": "CN",               #名称
"L": "Beijing",
"ST": "Beijing"
}
]
}
EOF
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
cat > server-csr.json <<EOF           #服务器端的签名
{
"CN": "etcd",
"hosts": [                   #定义三个节点的IP地址
"192.168.65.20",
"192.168.65.30",
"192.168.65.40"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "BeiJing",
"ST": "BeiJing"
}
]
}
EOF
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server #cfssl 为证书制作工具
----------------------------------------------------------
chmod +x etcd-cert.sh
./etcd-cert.sh

3.利用etcd.sh启动etcd

1）解压etcd包

#etcd二进制包地址: https://github.com/etcd-io/etcd/releases
1.上传etcd-v3.3.10-1inux-amd64.tar.gz 到/opt/k8s/目录中，解压etcd 压缩包
2.cd /opt/k8s/
tar zxvf etcd-v3.3.10-linux-amd64.tar.gz
3.1s etcd-v3.3.10-linux-amd64
Documentation etcd etcdctl README-etcdctl.md README.md
READMEv2-etcdctl.md
==========================================================
etcd就是etcd服务的启动命令，后面可跟各种启动参数
etcdct1主要为etcd服务提供了命令行操作
==========================================================

2）创建用于存放etcd配置文件，命令文件，证书的目录

mkdir -p /opt/etcd/{cfg,bin,ssl}
mv /opt/k8s/etcd-v3.3.10-linux-amd64/etcd /opt/etcd/bin/
mv /opt/k8s/etcd-v3.3.10-linux-amd64/etcdctl /opt/etcd/bin/
cp /opt/k8s/etcd-cert/*.pem /opt/etcd/ssl/

3）编写etcd.sh启动etcd（先起一台，再scp）

cd /opt/k8s
vim etcd.sh
----------------------------------------------------------
#!/bin/bash
#以下为使用格式：etcd名称当前etcd的IP地址+完整的集群名称和地址
# example: ./etcd.sh etcd01 192.168.163.141 etcd02=https://192.168.163.132:2380,etcd03=https://192.168.163.131:2380
ETCD_NAME=$1                       #位置变量1：etcd节点名称
ETCD_IP=$2                       #位置变量2：节点地址
ETCD_CLUSTER=$3                       #位置变量3：集群
WORK_DIR=/opt/etcd                   #指定工作目录
cat <<EOF >$WORK_DIR/cfg/etcd               #在指定工作目录创建ETCD的配置文件
#[Member]
ETCD_NAME="${ETCD_NAME}"               #etcd名称
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://${ETCD_IP}:2380"       #etcd IP地址：2380端口。用于集群之间通讯
ETCD_LISTEN_CLIENT_URLS="https://${ETCD_IP}:2379"   #etcd IP地址：2379端口，用于开放给外部客户端通讯
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://${ETCD_IP}:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://${ETCD_IP}:2379"   #对外提供的url使用https的协议进行访问
ETCD_INITIAL_CLUSTER="etcd01=https://${ETCD_IP}:2380,${ETCD_CLUSTER}"       #多路访问
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"       #tokens 令牌环名称：etcd-cluster
ETCD_INITIAL_CLUSTER_STATE="new"           #状态，重新创建
EOF
cat <<EOF >/usr/lib/systemd/system/etcd.service       #定义ectd的启动脚本
[Unit]                               #基本项
Description=Etcd Server                   #类似为 etcd 服务
After=network.target                   #vu癌症
After=network-online.target
Wants=network-online.target
[Service]                       #服务项
Type=notify
EnvironmentFile=${WORK_DIR}/cfg/etcd   #etcd文件位置
ExecStart=${WORK_DIR}/bin/etcd \           #准启动状态及以下的参数
--name=\${ETCD_NAME} \
--data-dir=\${ETCD_DATA_DIR} \
--listen-peer-urls=\${ETCD_LISTEN_PEER_URLS} \
--listen-client-urls=\${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \
--advertise-client-urls=\${ETCD_ADVERTISE_CLIENT_URLS} \ #以下为群集内部的设定
--initial-advertise-peer-urls=\${ETCD_INITIAL_ADVERTISE_PEER_URLS} \
--initial-cluster=\${ETCD_INITIAL_CLUSTER} \
--initial-cluster-token=\${ETCD_INITIAL_CLUSTER_TOKEN} \   #群集内部通信，也是使用的令牌，为了保证安全（防范中间人窃取）
--initial-cluster-state=new \
--cert-file=${WORK_DIR}/ssl/server.pem \       #证书相关参数
--key-file=${WORK_DIR}/ssl/server-key.pem \
--peer-cert-file=${WORK_DIR}/ssl/server.pem \
--peer-key-file=${WORK_DIR}/ssl/server-key.pem \
--trusted-ca-file=${WORK_DIR}/ssl/ca.pem \
--peer-trusted-ca-file=${WORK_DIR}/ssl/ca.pem
Restart=on-failure
LimitNOFILE=65536                   #开放最多的端口号
[Install]
WantedBy=multi-user.target               #进行启动
EOF
systemctl daemon-reload                   #参数重载
systemctl enable etcd
systemctl restart etcd
----------------------------------------------------------
chmod +x etcd.sh
主机master01：./etcd.sh etcd01 192.168.65.20 etcd02=https://192.168.65.30:2380,etcd03=https://192.168.65.40:2380 #执行脚本

另外打开一个终端窗口查看etcd进程是否正常
ps -ef | grep etcd

//把etcd相关证书文件和命令文件全部拷贝到另外两个etcd集群节点
scp -r /opt/etcd/ root@192.168.65.40:/opt/
scp -r /opt/etcd/ root@192.168.65.30:/opt/

//把etcd服务管理文件拷贝到另外两个etcd集群节点
scp /usr/lib/systemd/system/etcd.service root@192.168.163.132:/usr/lib/systemd/system/
scp /usr/lib/systemd/system/etcd.service root@192.168.163.131:/usr/lib/systemd/system/

修改vim /opt/etcd/cfg/etcd文件，每一台主机都有自己的etc编号和ip，除了集群那行一致，其他都要修改成本机ip和etc编号

再次systemctl daemon-reload                   #参数重载
systemctl enable etcd
systemctl restart etcd

4.在master01节点上测试健康检查

1.ln -s /opt/etcd/bin/etcd* /usr/local/bin
2.检查etcd群集状态
cd /opt/etcd/ssl
etcdctl \
--ca-file=ca.pem \
--cert-file=server.pem \
--key-file=server-key.pem \
--endpoints="https://192.168.163.141:2379,https://192.168.163.132:2379,https://192.168.163.131:2379" \
cluster-health
==========================================================
--cert-file:识别HTTPS端使用sSL证书文件
--key-file: 使用此SSL密钥文件标识HTTPS客户端
-ca-file:使用此CA证书验证启用https的服务器的证书
--endpoints:集群中以逗号分隔的机器地址列表
cluster-health:检查etcd集群的运行状况
==========================================================
3.切换到etcd3版本查看集群节点状态和成员列表
export ETCDCTL_API=3
#v2和v3命令略有不同，etcd2 和etcd3也是不兼容的，默认是v2版本
etcdctl --write-out=table endpoint status
etcdctl --write-out=table member list
export ETCDCTL_API=2
#再切回v2版本

3.部署docker引擎（两台node节点上部署）

yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io

systemctl start docker.service
systemctl enable docker.service

部署Master组件

//在 master01 节点上操作
#上传 master.zip 和 k8s-cert.sh 到 /opt/k8s 目录中，解压 master.zip 压缩包
cd /opt/k8s/
unzip master.zip
chmod +x *.sh

mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}
#创建用于生成CA证书、相关组件的证书和私钥的目录
mkdir /opt/k8s/k8s-cert
mv /opt/k8s/k8s-cert.sh /opt/k8s/k8s-cert
cd /opt/k8s/k8s-cert/
./k8s-cert.sh

ls *pem
admin-key.pem apiserver-key.pem ca-key.pem kube-proxy-key.pem
admin.pem apiserver.pem ca.pem kube-proxy.pem

cp ca*pem apiserver*pem /opt/kubernetes/ssl/

#上传 kubernetes-server-linux-amd64.tar.gz 到 /opt/k8s/ 目录中，解压 kubernetes 压缩包

cd /opt/k8s/
tar zxvf kubernetes-server-linux-amd64.tar.gz

cd /opt/k8s/kubernetes/server/bin
cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/
ln -s /opt/kubernetes/bin/* /usr/local/bin/

#创建 bootstrap token 认证文件，apiserver 启动时会调用，然后就相当于在集群内创建了一个这个用户，接下来就可以用 RBAC 给他授权

cd /opt/k8s/
vim token.sh
#!/bin/bash
#获取随机数前16个字节内容，以十六进制格式输出，并删除其中空格
BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
#生成 token.csv 文件，按照 Token序列号,用户名,UID,用户组的格式生成
cat > /opt/kubernetes/cfg/token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

chmod +x token.sh
./token.sh

cat /opt/kubernetes/cfg/token.csv

cd /opt/k8s/
./apiserver.sh 192.168.65.30 https://192.168.65.30:2379,https://192.168.65.40:2379,https://192.168.65.30:2379

ps aux | grep kube-apiserver

netstat -natp | grep 6443 #安全端口6443用于接收HTTPS请求，用于基于Token文件或客户端证书等认证

cd /opt/k8s/

#启动 scheduler 服务，#启动 controller-manager 服务

#启动 scheduler 服务
./scheduler.sh
ps aux | grep kube-scheduler

#启动 controller-manager 服务
./controller-manager.sh
ps aux | grep kube-controller-manager

#生成kubectl连接集群的证书
vim admin.sh
./admin.sh

kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous

#通过kubectl工具查看当前集群组件状态

kubectl get cs
NAME STATUS MESSAGE ERROR
controller-manager Healthy ok
scheduler Healthy ok
etcd-2 Healthy {"health":"true"}
etcd-1 Healthy {"health":"true"}
etcd-0 Healthy {"health":"true"}

#查看版本信息
kubectl version

部署Worker Node组件

//在所有 node 节点上操作
#创建kubernetes工作目录
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}

#上传 node.zip 到 /opt 目录中，解压 node.zip 压缩包，获得kubelet.sh、proxy.sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh

//在 master01 节点上操作
#把 kubelet、kube-proxy 拷贝到 node 节点
cd /opt/k8s/kubernetes/server/bin
scp kubelet kube-proxy root@192.168.65.40:/opt/kubernetes/bin/
scp kubelet kube-proxy root@192.168.65.30:/opt/kubernetes/bin/
到两个node节点上查看一下
cd /opt/kubernetes/bin/
ls

#上传 kubeconfig.sh 文件到 /opt/k8s/kubeconfig 目录中，生成 kubeconfig 的配置文件
mkdir /opt/k8s/kubeconfig

cd /opt/k8s/kubeconfig
chmod +x kubeconfig.sh
./kubeconfig.sh 192.168.65.30 /opt/k8s/k8s-cert/
ls

scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.65.40:/opt/kubernetes/cfg/
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.65.30:/opt/kubernetes/cfg/
到两个node节点上查看一下
cd /opt/kubernetes/cfg/
ls

#RBAC授权，使用户 kubelet-bootstrap 能够有权限发起 CSR 请求
kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap

//在 node01 节点上操作
#启动 kubelet 服务
cd /opt/
./kubelet.sh 192.168.65.40
检查kubelet服务启动
ps aux | grep kubelet
此时还没有生成证书
ls /opt/kubernetes/ssl/

//在 master01 节点上操作，通过 CSR 请求
#检查到 node01 节点的 kubelet 发起的 CSR 请求，Pending 表示等待集群给该节点签发证书
kubectl get csr
NAME AGE SIGNERNAME REQUESTOR CONDITION
node-csr-mVLOAb4pydeAnoXysOn6w1iLZWeFt6K-hTve1uN0nls 104s kubernetes.io/kube-apiserver-client-kubelet kubelet-bootstrap Pending

#通过 CSR 请求
kubectl certificate approve node-csr-mVLOAb4pydeAnoXysOn6w1iLZWeFt6K-hTve1uN0nls

#Approved,Issued 表示已授权 CSR 请求并签发证书
kubectl get csr
NAME AGE SIGNERNAME REQUESTOR CONDITION
node-csr-mVLOAb4pydeAnoXysOn6w1iLZWeFt6K-hTve1uN0nls 2m5s kubernetes.io/kube-apiserver-client-kubelet kubelet-bootstrap Approved,Issued

#查看节点，由于网络插件还没有部署，节点会没有准备就绪 NotReady
kubectl get node
NAME STATUS ROLES AGE VERSION
192.168.65.40 NotReady <none> 108s v1.20.11

注意：IP变了，实验顺序照做，步骤都是对的

在node1节点上操作

======在node1节点上操作======
//自动生成了证书和kubelet.kubeconfig 文件
ls /opt/kubernetes/cfg/kubelet.kubeconfig
ls /opt/kubernetes/ssl/

//加载ip_vs模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F
filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

//使用proxy.sh脚本启动proxy服务
cd /opt/
chmod +x proxy.sh
./proxy.sh 192.168.65.30

systemctl status kube-proxy.service

在node2节点上操作

======node2 节点部署======

//在node1 节点上将kubelet.sh、 proxy.sh 文件拷贝到node2 节点
cd /opt/
scp kubelet.sh proxy.sh root@192.168.19.17:/opt/

//node2 节点
//使用kubelet.sh脚本启动kubelet服务
cd /opt/
chmod +x kubelet.sh
./kubelet.sh 192.168.65.40

//在master1 节点上操作,检查到node2 节点的kubelet 发起的CSR请求，Pending 表示等待集群给该节点签发证书.
kubectl get csr

//通过CSR请求
kubectl certificate approve node-csr-kU23IYdg-W6ZpmZmIJrtDXV-bOVDeQalSqEWxh8Trv8

//再次查看CSR请求状态，Approved, Issued表示已授权CSR请求并签发证书
kubectl get csr

//查看群集节点状态，成功加入node1节点
kubectl get nodes

//在node2 节点加载ip_vs模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

//使用proxy.sh脚本启动proxy服务
cd /opt/
chmod +x proxy.sh
./proxy.sh 192.168.65.40

systemctl status kube-proxy.service

部署网络组件

部署 flannel

//在 node01 节点上操作
#上传 cni-plugins-linux-amd64-v0.8.6.tgz 和 flannel.tar 到 /opt 目录中
cd /opt/
docker load -i flannel.tar

mkdir /opt/cni/bin -p
tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin

//在 master01 节点上操作
#上传 kube-flannel.yml 文件到 /opt/k8s 目录中，部署 CNI 网络
cd /opt/k8s
kubectl apply -f kube-flannel.yml

kubectl get pods -n kube-system
NAME READY STATUS RESTARTS AGE
kube-flannel-ds-hjtc7 1/1 Running 0 7s

kubectl get nodes
NAME STATUS ROLES AGE VERSION
192.168.65.30 Ready <none> 81m v1.20.11

部署 Calico

//在 master01 节点上操作
#上传 calico.yaml 文件到 /opt/k8s 目录中，部署 CNI 网络
cd /opt/k8s
vim calico.yaml
#修改里面定义Pod网络（CALICO_IPV4POOL_CIDR），与前面kube-controller-manager配置文件指定的cluster-cidr网段一样
- name: CALICO_IPV4POOL_CIDR
value: "192.168.0.0/16"

kubectl apply -f calico.yaml

kubectl get pods -n kube-system
NAME READY STATUS RESTARTS AGE
calico-kube-controllers-659bd7879c-4h8vk 1/1 Running 0 58s
calico-node-nsm6b 1/1 Running 0 58s
calico-node-tdt8v 1/1 Running 0 58s

#等 Calico Pod 都 Running，节点也会准备就绪
kubectl get nodes

flannel网络配置

1. K8S中Pod网络通信的方式
1.Pod内容器与容器之间的通信：
在同一个Pod内的容器(Pod内的容器是不会跨宿主机的)共享同一个网络命令空间，相当于它们在网一台机器上一样，可以用localhost地址访间彼此的端口
2.同一个Node内Pod之间的通信：
每个Pod 都有一个真实的全局IP地址，同一个Node 内的不同Pod之间可以直接采用对方Pod的IP地址进行通信，Pod1与Pod2都是通过veth连接到同一个docker0网桥，网段相同，所以它们之间可以直接通信
3.不同Node上Pod之间的通信：
Pod地址与docker0在同一网段，dockor0网段与宿主机网卡是两个不同的网段，且不同Nodo之间的通信贝能通过宿主机的物理网卡进行

2. 不同Node上Pod之间的通信介绍
要想实现不同Node上Pod之间的通信，就必须想办法通过主机的物理网卡IP地址进行寻址和通信。因此要满足两个条件:
1.Pod的IP不能冲突:
2.将Pod的IP和所在的Node的IP关联起来，通过这个关联让不同Node上Pod之间直接通过内网IP地址通信。

1.Overlay Network:
叠加网络，在二层或者三层基础网络上叠加的一种虚拟网络技术模式，该网络中的主机通过虚拟链路隧道连接起来(类似于VPN)
2.VXLAN:
将源数据包封装到UDP中，并使用基础网络的IP/MAC作为外层报文头进行封装，然后在以太网上传输，到达目的地后由隧道端点解封装并将数据发送给目标地址
3.Flannel:
Flannel功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址,Flannel是Overlay 网络的一种，也是将TCP 源数据包封装在另一种网络包里而进行路由转发和通信，目前己经支持UDP、VXLAN、AwS VPC等数据转发方式
4.ETCD之Flannel提供说明:
存储管理Flanne1可分配的IP地址段资源；监控ETCD中每个Pod 的实际地址，并在内存中建立维护Pod节点路由表

Flannel工作原理

node1上的pod1要和node2上的pod1进行通信

1.数据从node1上的Pod1源容器中发出，经由所在主机的docker0虚拟网卡转发到flannel0虚拟网卡；
2.在flannel0网卡有个flanneld服务把pod ip封装到udp中（里面封装的是源pod IP和目的pod IP);
3.根据在etcd保存的路由表信息，通过物理网卡发送给目的node2节点，数据包到达目标node2节点会被flanneld服务来进行解封装暴露出udp里的podIP;
4.最后根据目的podIP经flannel0虚拟网卡和docker0虚拟网卡转发到目的pod中，最后完成通信

Kunbernetes——二进制单节点部署相关推荐

k8s二进制单节点部署
k8s二进制单节点部署常见的k8s部署方式 Kubernetes二进制部署(单节点) 环境准备部署etcd集群(这里就不在单独的服务器上部署,直接部署在各节点上,节省资源) 下载证书制作工具利用 ...
啃K8s之快速入门，以及哭吧S（k8s）单节点部署
啃K8s之快速入门,以及哭吧S(k8s)单节点部署一:Kubernets概述 1.1:Kubernets是什么? 1.2:Kubernets特性 1.3:Kubernets群集架构与组件 1.3.1 ...
Ubuntu下用devstack单节点部署Openstack
一.实验环境本实验是在Vmware Workstation下创建的单台Ubuntu服务器版系统中,利用devstack部署的Openstack Pike版. 宿主机:win10 1803 8G内存 ...
Elasticsearch在Linux中的单节点部署和集群部署
目录一.Elasticsearch简介二.Linux单节点部署 1.软件下载解压 2.创建用户 3.修改配置文件 4.切换到刚刚创建的用户启动软件 5.测试三.Linux集群配置 1.拷贝文件 ...
skywalking单节点部署
skywalking单节点部署 skywalking服务部署下载skywalking服务文件下载地址:http://skywalking.apache.org/downloads/ 我使用的是Bi ...
openstack 系列: 基于CentOS7系统使用packstack工具单节点部署openstacktrain---Part-I安装简易命令
1说明本人非linux专业人士,更不是云计算专家部署过程是从各大博客自己百度知道各种搜索排查,硬是搭起了train环境过程纠结,先是在win 10 vmware 上安装centos7 再基于c ...
Graylog 日志服务器单节点部署
资料 https://docs.graylog.org/docs/ 简介 Graylog项目由Lennart Koopmann在2009年左右启动.当时,最着名的日志管理软件vendor发布了他们产品 ...
ElasticSearch学习(四)——Linux 单节点部署
文章名称地址 ElasticSearch学习(一)--概述前往 ElasticSearch学习(二)--索引.文档简单操作前往 ElasticSearch学习(三)--Windows 集群部署 ...
K8S二进制单节点一键部署K8S_V1.21.x
1.安装前注意事项安装shell脚本在文章最后位置 1.提前配置静态IP 把脚本的IP 192.168.1.31 换成你的IP 2.创建安装包路径 /home/software/shell 所有的t ...

Kunbernetes——二进制单节点部署