安装 kubeadm
此页面展示了如何安装 kubeadm 工具箱。有关在完成此安装过程后如何使用 kubeadm 创建集群的信息,请参阅 使用 kubeadm 创建集群 页面。
本安装指南适用于 Kubernetes v1.31。如果您想使用其他 Kubernetes 版本,请参阅以下页面。
开始之前
- 兼容的 Linux 主机。Kubernetes 项目提供了基于 Debian 和 Red Hat 的 Linux 发行版的通用说明,以及没有包管理器的发行版。
- 每台机器 2 GB 或更多内存(任何小于此值的内存都将留给您的应用程序很少的空间)。
- 2 个或更多 CPU。
- 集群中所有机器之间的完整网络连接(公用网络或专用网络都可以)。
- 每个节点都有唯一的 hostname、MAC 地址和 product_uuid。有关更多详细信息,请参阅 此处。
- 您的机器上某些端口已打开。有关更多详细信息,请参阅 此处。
- 交换配置。kubelet 的默认行为是在节点上检测到交换内存时拒绝启动。有关更多详细信息,请参阅 交换内存管理。
- 如果您未将 kubelet 正确配置为使用交换,则您**必须**禁用交换。例如,
sudo swapoff -a将暂时禁用交换。要使此更改在重启后保持持久,请确保在配置文件中禁用交换,例如/etc/fstab、systemd.swap,具体取决于您的系统上是如何配置的。
- 如果您未将 kubelet 正确配置为使用交换,则您**必须**禁用交换。例如,
注意
kubeadm 安装通过使用动态链接的二进制文件完成,并假设您的目标系统提供 glibc。这对于许多 Linux 发行版(包括 Debian、Ubuntu、Fedora、CentOS 等)来说是一个合理的假设,但对于默认情况下不包含 glibc 的自定义和轻量级发行版(例如 Alpine Linux)来说并非总是如此。预期该发行版要么包含 glibc,要么包含一个 兼容层,该层提供预期符号。验证每个节点的 MAC 地址和 product_uuid 是否唯一
- 您可以使用命令
ip link或ifconfig -a获取网络接口的 MAC 地址 - 可以使用命令
sudo cat /sys/class/dmi/id/product_uuid检查 product_uuid
硬件设备很可能拥有唯一的地址,尽管某些虚拟机可能拥有相同的地址。Kubernetes 使用这些值来唯一标识集群中的节点。如果这些值对每个节点不唯一,则安装过程可能会 失败。
检查网络适配器
如果您有多个网络适配器,并且您的 Kubernetes 组件无法在默认路由上访问,我们建议您添加 IP 路由,以便 Kubernetes 集群地址通过相应的适配器。
检查必需端口
这些 必需端口 必须打开,以便 Kubernetes 组件相互通信。您可以使用 netcat 等工具检查端口是否打开。例如
nc 127.0.0.1 6443 -v
您使用的 Pod 网络插件也可能需要打开某些端口。由于这因每个 Pod 网络插件而异,请参阅插件文档以了解其需要哪些端口。
安装容器运行时
为了在 Pod 中运行容器,Kubernetes 使用 容器运行时。
默认情况下,Kubernetes 使用 容器运行时接口 (CRI) 与您选择的容器运行时进行交互。
如果您未指定运行时,kubeadm 会自动尝试通过扫描已知端点列表来检测已安装的容器运行时。
如果检测到多个或没有容器运行时,kubeadm 将抛出错误,并要求您指定要使用的运行时。
有关更多信息,请参阅 容器运行时。
注意
Docker Engine 未实现 CRI,而这是容器运行时与 Kubernetes 配合工作的先决条件。因此,必须安装其他服务 cri-dockerd。cri-dockerd 是一个基于遗留内置 Docker Engine 支持的项目,该支持已在 1.24 版中从 kubelet 移除。下表包含支持的操作系统的已知端点
| 运行时 | Unix 域套接字路径 |
|---|---|
| containerd | unix:///var/run/containerd/containerd.sock |
| CRI-O | unix:///var/run/crio/crio.sock |
| Docker Engine(使用 cri-dockerd) | unix:///var/run/cri-dockerd.sock |
| 运行时 | Windows 命名管道路径 |
|---|---|
| containerd | npipe:////./pipe/containerd-containerd |
| Docker Engine(使用 cri-dockerd) | npipe:////./pipe/cri-dockerd |
安装 kubeadm、kubelet 和 kubectl
您将在所有机器上安装这些软件包
kubeadm:用于引导集群的命令。kubelet:在集群中所有机器上运行的组件,执行启动 Pod 和容器等操作。kubectl:用于与集群通信的命令行工具。
kubeadm**不会**为您安装或管理kubelet或kubectl,因此您需要确保它们与您希望 kubeadm 为您安装的 Kubernetes 控制平面的版本匹配。如果不匹配,则存在版本偏差的风险,这会导致意外的错误行为。但是,一个kubelet 和控制平面之间的次要版本偏差是支持的,但 kubelet 版本永远不能超过 API 服务器版本。例如,运行 1.7.0 的 kubelet 应与 1.8.0 API 服务器完全兼容,但反之则不成立。
有关安装 kubectl 的信息,请参阅 安装和设置 kubectl。
警告
这些说明将所有 Kubernetes 软件包从任何系统升级中排除。这是因为 kubeadm 和 Kubernetes 需要 特殊关注才能升级。有关版本偏差的更多信息,请参阅
apt.kubernetes.io 和 yum.kubernetes.io) 已于 从 2023 年 9 月 13 日起弃用和冻结。强烈建议使用 托管在 pkgs.k8s.io 上的新软件包存储库,并且必须使用该存储库才能安装 2023 年 9 月 13 日之后发布的 Kubernetes 版本。已弃用的遗留存储库及其内容可能会在将来任何时间被移除,恕不另行通知。新的软件包存储库提供从 v1.24.0 开始的 Kubernetes 版本的下载。注意
每个 Kubernetes 次要版本都有一个专门的软件包存储库。如果您想安装 v1.31 以外的次要版本,请参阅您所需次要版本的安装指南。这些说明适用于 Kubernetes v1.31。
更新
apt软件包索引并安装使用 Kubernetesapt存储库所需的软件包sudo apt-get update # apt-transport-https may be a dummy package; if so, you can skip that package sudo apt-get install -y apt-transport-https ca-certificates curl gpg下载 Kubernetes 软件包存储库的公共签名密钥。所有存储库使用相同的签名密钥,因此您可以忽略 URL 中的版本
# If the directory `/etc/apt/keyrings` does not exist, it should be created before the curl command, read the note below. # sudo mkdir -p -m 755 /etc/apt/keyrings curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.31/deb/Release.key | sudo gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg
注意
在早于 Debian 12 和 Ubuntu 22.04 的版本中,目录/etc/apt/keyrings 默认情况下不存在,您应在执行 curl 命令之前创建它。添加适当的 Kubernetes
apt仓库。请注意,此仓库仅包含 Kubernetes 1.31 的软件包;对于其他 Kubernetes 次要版本,您需要更改 URL 中的 Kubernetes 次要版本以匹配您所需的次要版本(您还应该检查您是否正在阅读与您计划安装的 Kubernetes 版本相匹配的文档)。# This overwrites any existing configuration in /etc/apt/sources.list.d/kubernetes.list echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.31/deb/ /' | sudo tee /etc/apt/sources.list.d/kubernetes.list更新
apt包索引,安装 kubelet、kubeadm 和 kubectl,并固定其版本。sudo apt-get update sudo apt-get install -y kubelet kubeadm kubectl sudo apt-mark hold kubelet kubeadm kubectl(可选) 在运行 kubeadm 之前启用 kubelet 服务。
sudo systemctl enable --now kubelet
将 SELinux 设置为
permissive模式。这些说明适用于 Kubernetes 1.31。
# Set SELinux in permissive mode (effectively disabling it) sudo setenforce 0 sudo sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config
注意
- 通过运行
setenforce 0和sed ...将 SELinux 设置为 permissive 模式实际上会禁用它。这是为了允许容器访问主机文件系统;例如,一些集群网络插件需要这样做。您必须这样做,直到 kubelet 中的 SELinux 支持得到改进。 - 如果您知道如何配置 SELinux,您可以保持其启用状态,但它可能需要 kubeadm 不支持的设置。
添加 Kubernetes
yum仓库。仓库定义中的exclude参数确保在运行yum update时不会升级与 Kubernetes 相关的软件包,因为升级 Kubernetes 需要遵循特殊的流程。请注意,此仓库仅包含 Kubernetes 1.31 的软件包;对于其他 Kubernetes 次要版本,您需要更改 URL 中的 Kubernetes 次要版本以匹配您所需的次要版本(您还应该检查您是否正在阅读与您计划安装的 Kubernetes 版本相匹配的文档)。# This overwrites any existing configuration in /etc/yum.repos.d/kubernetes.repo cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://pkgs.k8s.io/core:/stable:/v1.31/rpm/ enabled=1 gpgcheck=1 gpgkey=https://pkgs.k8s.io/core:/stable:/v1.31/rpm/repodata/repomd.xml.key exclude=kubelet kubeadm kubectl cri-tools kubernetes-cni EOF安装 kubelet、kubeadm 和 kubectl。
sudo yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes(可选) 在运行 kubeadm 之前启用 kubelet 服务。
sudo systemctl enable --now kubelet
安装 CNI 插件(大多数 pod 网络都需要)。
CNI_PLUGINS_VERSION="v1.3.0"
ARCH="amd64"
DEST="/opt/cni/bin"
sudo mkdir -p "$DEST"
curl -L "https://github.com/containernetworking/plugins/releases/download/${CNI_PLUGINS_VERSION}/cni-plugins-linux-${ARCH}-${CNI_PLUGINS_VERSION}.tgz" | sudo tar -C "$DEST" -xz
定义下载命令文件的目录。
注意
DOWNLOAD_DIR 变量必须设置为可写目录。如果您正在运行 Flatcar Container Linux,请设置 DOWNLOAD_DIR="/opt/bin"。DOWNLOAD_DIR="/usr/local/bin"
sudo mkdir -p "$DOWNLOAD_DIR"
(可选) 安装 crictl(与容器运行时接口 (CRI) 交互需要,kubeadm 可选)。
CRICTL_VERSION="v1.31.0"
ARCH="amd64"
curl -L "https://github.com/kubernetes-sigs/cri-tools/releases/download/${CRICTL_VERSION}/crictl-${CRICTL_VERSION}-linux-${ARCH}.tar.gz" | sudo tar -C $DOWNLOAD_DIR -xz
安装 kubeadm、kubelet 并添加 kubelet systemd 服务。
RELEASE="$(curl -sSL https://dl.k8s.io/release/stable.txt)"
ARCH="amd64"
cd $DOWNLOAD_DIR
sudo curl -L --remote-name-all https://dl.k8s.io/release/${RELEASE}/bin/linux/${ARCH}/{kubeadm,kubelet}
sudo chmod +x {kubeadm,kubelet}
RELEASE_VERSION="v0.16.2"
curl -sSL "https://raw.githubusercontent.com/kubernetes/release/${RELEASE_VERSION}/cmd/krel/templates/latest/kubelet/kubelet.service" | sed "s:/usr/bin:${DOWNLOAD_DIR}:g" | sudo tee /usr/lib/systemd/system/kubelet.service
sudo mkdir -p /usr/lib/systemd/system/kubelet.service.d
curl -sSL "https://raw.githubusercontent.com/kubernetes/release/${RELEASE_VERSION}/cmd/krel/templates/latest/kubeadm/10-kubeadm.conf" | sed "s:/usr/bin:${DOWNLOAD_DIR}:g" | sudo tee /usr/lib/systemd/system/kubelet.service.d/10-kubeadm.conf
按照 安装工具页面 上的说明安装 kubectl。
(可选) 在运行 kubeadm 之前启用 kubelet 服务。
sudo systemctl enable --now kubelet
注意
Flatcar Container Linux 发行版将/usr 目录安装为只读文件系统。在引导您的集群之前,您需要采取额外的步骤来配置一个可写目录。查看 Kubeadm 故障排除指南 以了解如何设置可写目录。现在,kubelet 每隔几秒钟重新启动一次,因为它在崩溃循环中等待 kubeadm 告诉它该做什么。
配置 cgroup 驱动程序
容器运行时和 kubelet 都具有一个名为 "cgroup 驱动程序" 的属性,这对于 Linux 机器上 cgroup 的管理非常重要。
故障排除
如果您在使用 kubeadm 时遇到困难,请咨询我们的 故障排除文档。