Kubeadm 离线安装器 1.10

Mon, 02 Apr 2018 05:30:37 +0800

项目地址：https://github.com/fleeto/kubeadm-offline-installer

更新内容

升级到了 Kubernetes 1.10。
使用 CoreDNS 代替了原来的 KubeDNS。
升级 Calico 网络插件为 3.0.4 版。

仅在 centos 7 minimal 测试通过。

使用方法：

需要 2.4.0 以上版本的 ansible。
从 Releases 页下载和解压所需版本。
编写 Host 文件，分组方式可以参考 hosts/hosts.sample。
group_vars/all 中有部分可以修改的变量。
运行脚本。
/usr/local/bin 目录下会生成初始化和加入集群的脚本。
/etc/kubernetes 目录中包含证书和配置文件。

Kubeadm offline installer 升级到 1.7.0 版本

Thu, 06 Jul 2017 23:19:51 +0800

仓库地址

本来做这玩意的初衷就是，Kubeadm 和 Kubernetes 是一家人，升级比较方便跟得住。未曾想第一次大版本升级，就遇到了个不大不小的坑，导致安装无法完成。这个 Issue 会在 1.7.1 修补，下面介绍一下曲线救国的安装方式。

这一问题的似乎是 kubeadm 的更新破坏了 TLS 自动授权过程造成的，具体症状是：主节点的 kubeadm init 完成之后，在其他节点上使用 kubeadm join --token=xxxx host_ip:host_port 命令加入集群时，集群会反复输出错误信息，大意是 kube-public 命名空间中名为 cluster-info 的 ConfigMap 中没有对应 token 的签署记录。

使用 kubectl 查看该 ConfigMap，和 1.6.6 的集群作对照（是的，安装的够快，想要什么版本都容易），发现 1.7.0 里面这个 ConfigMap 的元素列表确缺少这一块内容。

既然如此，看样子手工签署也是要不少工夫，干脆转头使用上一版本（1.6.6）的 kubeadm，使用指定版本的方式来安装 1.7.0 的集群。

kubeadm init 过程会顺利完成，然而在 kubeadm join 过程中，会卡在 CSR 阶段，经过翻查文档，1.7.0 的自动授权方式有变化，废弃了原有的根据 Group 自动通过的开关，一不做二不休，在 Playbook 的 Master Role 中新建一个 Cron Job，每分钟执行一次如下命令：

#!/bin/sh
TOKEN=`kubectl get csr | grep csr | grep -i pending | cut -f1 -d " " | head -n 1`
if [[ -n "$TOKEN" ]]; then
  kubectl certificate approve $TOKEN
  echo "CSR: $TOKEN had been approved." >> /var/log/auto_approval.log
else
  echo "CSR not found." >> /var/log/auto_approval.log
fi

简单说就是获取在途的 CSR，进行 Approve。这样在后面的节点进行加入的时候，主节点会每分钟进行一次 Approve，在所有节点成功加入之后，调用 Cleanup 角色，禁用这一功能即可。

最后，Github 不建议在版本库中存放二进制文件，这里我将所有二进制文件集中到了根目录的 files 目录下，要顺利使用这一脚本，一定要在 Release 页面中下载相应的压缩包来使用。

kubeadm offline installer | 伪架构师

Kubeadm 离线安装器 1.10

项目地址：https://github.com/fleeto/kubeadm-offline-installer

更新内容

使用方法：

Kubeadm offline installer 升级到 1.7.0 版本