使用 kubeadm 配置集群中的每个 kubelet

功能状态: Kubernetes v1.11 [稳定]

kubeadm CLI 工具的生命周期与 kubelet 脱钩,kubelet 是在 Kubernetes 集群中的每个节点上运行的守护进程。当 Kubernetes 初始化或升级时,用户会执行 kubeadm CLI 工具,而 kubelet 始终在后台运行。

由于 kubelet 是一个守护进程,它需要由某种初始化系统或服务管理器维护。当使用 DEB 或 RPM 安装 kubelet 时,systemd 被配置为管理 kubelet。您可以使用其他服务管理器,但需要手动配置它。

一些 kubelet 配置细节需要在参与集群的所有 kubelet 中保持一致,而其他配置方面需要在每个 kubelet 基础上进行设置,以适应给定机器的不同特性(例如操作系统、存储和网络)。您可以手动管理 kubelet 的配置,但 kubeadm 现在提供了 KubeletConfiguration API 类型用于 集中管理 kubelet 配置

Kubelet 配置模式

以下部分描述了使用 kubeadm 简化的 kubelet 配置模式,而不是手动管理每个节点的 kubelet 配置。

将集群级配置传播到每个 kubelet

您可以为 kubelet 提供默认值,供 kubeadm initkubeadm join 命令使用。有趣的示例包括使用不同的容器运行时或设置服务使用的默认子网。

如果您希望服务使用子网 10.96.0.0/12 作为服务的默认子网,您可以将 --service-cidr 参数传递给 kubeadm

kubeadm init --service-cidr 10.96.0.0/12

服务的虚拟 IP 现在将从此子网中分配。您还需要设置 kubelet 使用的 DNS 地址,使用 --cluster-dns 标志。此设置需要在集群中所有管理器和节点上的每个 kubelet 中保持一致。kubelet 提供了一个版本化的、结构化的 API 对象,可以配置 kubelet 中的大多数参数,并将此配置推送到集群中运行的每个 kubelet。此对象称为 KubeletConfigurationKubeletConfiguration 允许用户指定标志,例如以值列表形式表达的集群 DNS IP 地址,到一个驼峰命名法键,以下示例说明了这一点

apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
clusterDNS:
- 10.96.0.10

有关 KubeletConfiguration 的更多详细信息,请查看 本节

提供实例特定的配置细节

由于硬件、操作系统、网络或其他主机特定参数的差异,某些主机需要特定的 kubelet 配置。以下列表提供了一些示例。

  • --resolv-conf kubelet 配置标志指定的 DNS 解析文件路径,可能在操作系统之间有所不同,或者取决于您是否使用 systemd-resolved。如果此路径错误,DNS 解析将在 kubelet 配置错误的节点上失败。

  • 节点 API 对象 .metadata.name 默认情况下设置为机器的主机名,除非您使用的是云提供商。如果您需要指定与机器主机名不同的节点名称,可以使用 --hostname-override 标志覆盖默认行为。

  • 目前,kubelet 无法自动检测容器运行时使用的 cgroup 驱动程序,但 --cgroup-driver 的值必须与容器运行时使用的 cgroup 驱动程序匹配,以确保 kubelet 的运行状况。

  • 要指定容器运行时,您必须使用 --container-runtime-endpoint=<path> 标志设置其端点。

应用此类实例特定配置的推荐方法是使用 KubeletConfiguration 修补程序

使用 kubeadm 配置 kubelet

如果使用配置文件传递自定义 KubeletConfiguration API 对象,则可以配置 kubeadm 将启动的 kubelet,例如 kubeadm ... --config some-config-file.yaml

通过调用 kubeadm config print init-defaults --component-configs KubeletConfiguration,您可以查看此结构的所有默认值。

也可以在基本 KubeletConfiguration 上应用实例特定的修补程序。有关更多详细信息,请查看 自定义 kubelet

使用 kubeadm init 时的工作流程

当您调用 kubeadm init 时,kubelet 配置将被序列化到磁盘上的 /var/lib/kubelet/config.yaml,并上传到集群 kube-system 命名空间中的 kubelet-config ConfigMap。一个 kubelet 配置文件也被写入 /etc/kubernetes/kubelet.conf,其中包含集群中所有 kubelet 的基本集群范围配置。此配置文件指向允许 kubelet 与 API 服务器通信的客户端证书。这解决了 将集群级配置传播到每个 kubelet 的需求。

为了解决 提供实例特定配置细节 的第二种模式,kubeadm 会将一个环境文件写入 /var/lib/kubelet/kubeadm-flags.env,其中包含在 kubelet 启动时传递给它的标志列表。标志在文件中以以下形式呈现

KUBELET_KUBEADM_ARGS="--flag1=value1 --flag2=value2 ..."

除了启动 kubelet 时使用的标志外,该文件还包含动态参数,例如 cgroup 驱动程序以及是否使用不同的容器运行时套接字 (--cri-socket)。

将这两个文件序列化到磁盘后,kubeadm 会尝试运行以下两个命令,如果您使用的是 systemd

systemctl daemon-reload && systemctl restart kubelet

如果重新加载和重新启动成功,则正常的 kubeadm init 工作流程将继续。

使用 kubeadm join 时的工作流程

当您运行 kubeadm join 时,kubeadm 使用 Bootstrap Token 凭据执行 TLS 引导,它会获取下载 kubelet-config ConfigMap 所需的凭据,并将其写入 /var/lib/kubelet/config.yaml。动态环境文件与 kubeadm init 的生成方式完全相同。

接下来,kubeadm 运行以下两个命令,将新配置加载到 kubelet 中

systemctl daemon-reload && systemctl restart kubelet

kubelet 加载完新配置后,kubeadm 会写入 /etc/kubernetes/bootstrap-kubelet.conf KubeConfig 文件,其中包含 CA 证书和 Bootstrap Token。这些由 kubelet 用于执行 TLS 引导并获取存储在 /etc/kubernetes/kubelet.conf 中的唯一凭据。

写入 /etc/kubernetes/kubelet.conf 文件后,kubelet 就完成了 TLS 引导。kubeadm 在完成 TLS 引导后会删除 /etc/kubernetes/bootstrap-kubelet.conf 文件。

systemd 的 kubelet 嵌入文件

kubeadm 附带了有关 systemd 如何运行 kubelet 的配置。请注意,kubeadm CLI 命令从不触碰此嵌入文件。

kubeadm 安装的此配置文件被写入 /usr/lib/systemd/system/kubelet.service.d/10-kubeadm.conf,并由 systemd 使用。它增强了基本的 kubelet.service

如果您想进一步覆盖它,可以创建一个目录 /etc/systemd/system/kubelet.service.d/(而不是 /usr/lib/systemd/system/kubelet.service.d/),并将您自己的自定义项放入其中的文件。例如,您可能会添加一个新的本地文件 /etc/systemd/system/kubelet.service.d/local-overrides.conf 来覆盖由 kubeadm 配置的单元设置。

以下是您在 /usr/lib/systemd/system/kubelet.service.d/10-kubeadm.conf 中可能找到的内容

[Service]
Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf"
Environment="KUBELET_CONFIG_ARGS=--config=/var/lib/kubelet/config.yaml"
# This is a file that "kubeadm init" and "kubeadm join" generate at runtime, populating
# the KUBELET_KUBEADM_ARGS variable dynamically
EnvironmentFile=-/var/lib/kubelet/kubeadm-flags.env
# This is a file that the user can use for overrides of the kubelet args as a last resort. Preferably,
# the user should use the .NodeRegistration.KubeletExtraArgs object in the configuration files instead.
# KUBELET_EXTRA_ARGS should be sourced from this file.
EnvironmentFile=-/etc/default/kubelet
ExecStart=
ExecStart=/usr/bin/kubelet $KUBELET_KUBECONFIG_ARGS $KUBELET_CONFIG_ARGS $KUBELET_KUBEADM_ARGS $KUBELET_EXTRA_ARGS

此文件指定了 kubeadm 为 kubelet 管理的所有文件的默认位置。

  • 用于 TLS 引导的 KubeConfig 文件是 /etc/kubernetes/bootstrap-kubelet.conf,但只有在 /etc/kubernetes/kubelet.conf 不存在时才会使用它。
  • 具有唯一 kubelet 身份的 KubeConfig 文件是 /etc/kubernetes/kubelet.conf
  • 包含 kubelet ComponentConfig 的文件是 /var/lib/kubelet/config.yaml
  • 包含 KUBELET_KUBEADM_ARGS 的动态环境文件来自 /var/lib/kubelet/kubeadm-flags.env
  • 可以包含用户指定的标志覆盖的 KUBELET_EXTRA_ARGS 文件来自 /etc/default/kubelet(对于 DEB),或 /etc/sysconfig/kubelet(对于 RPM)。KUBELET_EXTRA_ARGS 是标志链中的最后一个,在设置冲突的情况下具有最高优先级。

Kubernetes 二进制文件和包内容

Kubernetes 版本附带的 DEB 和 RPM 包是

包名称描述
kubeadm安装 /usr/bin/kubeadm CLI 工具和 kubelet 嵌入文件
kubeletkubelet
kubectl安装 /usr/bin/kubelet 二进制文件。
kubectl安装 /usr/bin/kubectl 二进制文件。
cri-toolscri-tools git 仓库 安装 /usr/bin/crictl 二进制文件。