03-创建高可用 etcd 集群

本文档记录自己的学习历程!

创建高可用 etcd 集群

kuberntes 系统使用 etcd 存储所有数据,本文档介绍部署一个三节点高可用 etcd 集群的步骤,这三个节点使用以下机器:

  • 192.168.1.121
  • 192.168.1.122
  • 192.168.1.123

TLS 认证文件

需要为 etcd 集群创建加密通信的 TLS 证书,这里复用之前创建的 kubernetes 证书

# cp ca.pem kubernetes-key.pem kubernetes.pem /etc/kubernetes/ssl #之前执行过cp *.pem /etc/kubernetes/ssl就忽略
  • kubernetes 证书的 hosts 字段列表中必须包含上面三台机器的 IP,否则后续证书校验会失败;

下载二进制文件

https://github.com/coreos/etcd/releases 页面下载最新版本的二进制文件

# https://github.com/coreos/etcd/releases/download/v3.1.5/etcd-v3.1.5-linux-amd64.tar.gz
# tar -xvf etcd-v3.1.4-linux-amd64.tar.gz
# cp etcd-v3.1.4-linux-amd64/etcd* /usr/bin

创建 etcd 的 systemd unit 文件

[Unit]
Description=Etcd Server
After=network.target
After=network-online.target
Wants=network-online.target

[Service]
Type=notify
WorkingDirectory=/var/lib/etcd/
EnvironmentFile=-/etc/etcd/etcd.conf
# set GOMAXPROCS to number of processors
ExecStart=/usr/bin/etcd \
--name=${ETCD_NAME} \
--data-dir=${ETCD_DATA_DIR} \
--listen-peer-urls=${ETCD_LISTEN_PEER_URLS} \
--advertise-client-urls=${ETCD_ADVERTISE_CLIENT_URLS} \
--initial-cluster-token=${ETCD_INITIAL_CLUSTER_TOKEN} \
--initial-cluster=${ETCD_INITIAL_CLUSTER}  \
--initial-cluster-state=${ETCD_INITIAL_CLUSTER_STATE} \
--listen-client-urls=${ETCD_LISTEN_CLIENT_URLS}
Restart=on-failure
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
  • 指定 etcd 的工作目录和数据目录为 /var/lib/etcd 需在启动服务前创建这个目录;

完整 unit 文件见:etcd.service

配置文件在/etc/etcd/etcd.conf

# [member]
ETCD_NAME=infra1
ETCD_DATA_DIR="/var/lib/etcd"
ETCD_LISTEN_PEER_URLS="https://192.168.1.121:2380"
ETCD_LISTEN_CLIENT_URLS="https://192.168.1.121:2379,http://127.0.0.1:2379"

# #[cluster]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://192.168.1.121:2380"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"
ETCD_ADVERTISE_CLIENT_URLS="https://192.168.1.121:2379"
ETCD_INITIAL_CLUSTER="infra1=https://192.168.1.121:2380,infra2=https://192.168.1.122:2380,infra3=https://192.168.1.123:2380"

#[security]
ETCD_CERT_FILE="/etc/kubernetes/ssl/kubernetes.pem"
ETCD_KEY_FILE="/etc/kubernetes/ssl/kubernetes-key.pem"
ETCD_CLIENT_CERT_AUTH="true"
ETCD_TRUSTED_CA_FILE="/etc/kubernetes/ssl/ca.pem"
ETCD_AUTO_TLS="true"
ETCD_PEER_CERT_FILE="/etc/kubernetes/ssl/kubernetes.pem"
ETCD_PEER_KEY_FILE="/etc/kubernetes/ssl/kubernetes-key.pem"
ETCD_PEER_CLIENT_CERT_AUTH="true"
ETCD_PEER_TRUSTED_CA_FILE="/etc/kubernetes/ssl/ca.pem"
ETCD_PEER_AUTO_TLS="true"
  • 为了保证通信安全,需要指定 etcd 的公私钥(cert-file和key-file)、Peers 通信的公私钥和 CA 证书(peer-cert-file、peer-key-file、peer-trusted-ca-file)、客户端的CA证书(trusted-ca-file);
  • 创建 kubernetes.pem 证书时使用的 kubernetes-csr.json 文件的 hosts 字段包含所有 etcd 节点的IP,否则证书校验会出错;
  • --initial-cluster-state 值为 new 时,--name 的参数值必须位于 --initial-cluster 列表中;
  • 这是192.168.1.121节点的配置,其他两个etcd节点只要将上面的IP地址改成相应节点的IP地址,ETCD_NAME改成配置文件中定义的即可。

启动 etcd 服务

# mv etcd.service /etc/systemd/system/
# systemctl daemon-reload
# systemctl enable etcd
# systemctl start etcd
# systemctl status etcd

在所有的 kubernetes master 节点重复上面的步骤,直到所有机器上的 etcd 服务都已正常启动。

验证服务

在任一 kubernetes master 机器上执行如下命令:

# etcdctl \
--ca-file=/etc/kubernetes/ssl/ca.pem \
--cert-file=/etc/kubernetes/ssl/kubernetes.pem \
--key-file=/etc/kubernetes/ssl/kubernetes-key.pem \
cluster-health
2017-07-24 15:28:43.051637 I | warning: ignoring ServerName for user-provided CA for backwards compatibility is deprecated
2017-07-24 15:28:43.052674 I | warning: ignoring ServerName for user-provided CA for backwards compatibility is deprecated
member 669bc6472fb13679 is healthy: got healthy result from https://192.168.1.121:2379
member aba9edaf5d433902 is healthy: got healthy result from https://192.168.1.122:2379
member d250ef9d0d70c7c9 is healthy: got healthy result from https://192.168.1.123:2379
cluster is healthy

结果最后一行为 cluster is healthy 时表示集群服务正常。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏从零学习云计算

kubernetes学习记录(4)——创建kubernetes覆盖网络

Kubernetes的网络模型要求每一个Pod都拥有一个扁平化共享网络命名空间的IP,称为PodIP,Pod能够直接通过PodIP跨网络与其他物理机和Pod进行...

2490
来自专栏技术小黑屋

聊一聊Android 6.0的运行时权限

Android 6.0,代号棉花糖,自发布伊始,其主要的特征运行时权限就很受关注。因为这一特征不仅改善了用户对于应用的使用体验,还使得应用开发者在实践开发中需要...

894
来自专栏鬼谷君

07-部署Flanneld网络

1284
来自专栏向治洪

多线程下载

楼主三年磨剑(当然不是磨着一把剑),倾血奉献Android多线程下载Demo。有的人就问了“怎么写来写去还是Demo?”,因为老哥我实在太忙了, 每天写一点...

1888
来自专栏iOSDevLog

Android 6.0 扫描不到 Ble 设备需开启位置权限

30711
来自专栏iOSDevLog

Android 原生 BLE 开发

4652
来自专栏CodeSheep的技术分享

利用K8S技术栈打造个人私有云(连载之:K8S集群搭建)

最近被业务折腾的死去活来,实在没时间发帖,花了好多个晚上才写好这篇帖子,后续会加油的!

42112
来自专栏Android学习之路

6.0 运行时权限处理

2558
来自专栏Flutter入门到实战

Android适配全面总结(二)----版本适配

版权声明:本文为博主原创文章(部分引用他人博文,已加上引用说明),未经博主允许不得转载。https://www.jianshu.com/p/49fa8ebc01...

2991
来自专栏腾讯BBTeam团队的专栏

sar - Linux 系统监控利器

sar可以从多方面对系统的活动进行报告,包括:文件的读写情况、系统调用的使用情况、磁盘I/O、CPU效率、内存使用状况、进程活动及IPC有关的活动等。

2966

扫码关注云+社区