云原生知识星球

问题描述

我在文档中理解的是kubectl apply = kubectl create + kubectl replace。参考

我的理解是，如果我想在集群中创建新的k8s资源，我应该使用kubectl create操作。现在，如果我想更新现场k8s资源中的内容，我应该使用kubectl replace操作。

如果我想做两个操作（创建一个新的k8s资源以及更新实时k8s资源）然后我应该使用kubectl replace操作。

我的问题是为什么在集群中执行相同任务有三个操作？这些操作的使用场景是什么？他们的区别是什么？

目前我正在使用kubectl create操作在集群中创建新资源。谢谢

高票回答

这是两种不同的方法。kubectl create就是我们所说的Imperative Management（命令式管理）。在这种方法中，您可以告诉Kubernetes API您要创建，替换或删除的内容，而不是您希望K8s群集是什么样的。

kubectl apply是Declarative Management （声明式管理）的一部分，即使您对对象应用其他更改，也可以保留应用于活动对象（即通过比例）的更改。

您可以在Kubernetes Object Management中阅读有关命令式和声明式管理的更多信息。

原文链接

kubectl apply vs kubectl create?

问题描述

我有几个Docker镜像，我想用minikube。我不想使用先上传然后下载镜像的方式，而是想直接使用本地镜像。我该怎么做呢？

我试过的方法：

1. 我尝试运行这些命令（分别删除minikube的实例并重新开始）

   1 2	kubectl run hdfs --image=fluxcapacitor/hdfs:latest --port=8989 kubectl run hdfs --image=fluxcapacitor/hdfs:latest --port=8989 imagePullPolicy=Never

   输出：

   1 2	NAME READY STATUS RESTARTS AGE hdfs-2425930030-q0sdl 0/1 ContainerCreating 0 10m

   它只是陷入某种状态但从未达到就绪状态。

2. 我尝试创建一个registry，然后将镜像放入其中，但这也无效。我可能做错了但我找不到正确的指令来完成这项任务。

请提供在本地kubernetes实例中使用本地docker镜像的说明。

操作系统：ubuntu 16.04

Docker：Docker版本1.13.1，build 092cba3

Kubernetes：

1
2

Client Version: version.Info{Major:"1", Minor:"5", GitVersion:"v1.5.3", GitCommit:"029c3a408176b55c30846f0faedf56aae5992e9b", GitTreeState:"clean", BuildDate:"2017-02-15T06:40:50Z", GoVersion:"go1.7.4", Compiler:"gc", Platform:"linux/amd64"}
Server Version: version.Info{Major:"1", Minor:"5", GitVersion:"v1.5.2", GitCommit:"08e099554f3c31f6e6f07b448ab3ed78d0520507", GitTreeState:"clean", BuildDate:"1970-01-01T00:00:00Z", GoVersion:"go1.7.1", Compiler:"gc", Platform:"linux/amd64"}

如果有人可以帮助我找到一个使用docker-compose来做这个的解决方案，那就太棒了。谢谢。

高票回答

正如README描述的那样，您可以使用eval $（minikube docker-env）重用Minikube中的Docker守护进程。

因此，要使用本地镜像而不先上传镜像，您可以按照以下步骤操作：

1. 用eval $（minikube docker-env）设置环境变量
2. 使用Minikube的Docker守护程序构建镜像（例如docker build -t my-image）
3. 在pod规范中设置镜像，如构建tag（例如my-image）
4. 将imagePullPolicy设置为Never，否则Kubernetes将尝试下载镜像

重要说明：您必须在要使用的每个终端上运行eval $（minikube docker-env），因为它只为当前shell会话设置环境变量。

原文链接

How to use local docker images with Minikube?

Kubernetes集群证书的使用寿命为一年。如果Kubernetes集群证书在Kubernetes master节点上过期，则kubelet服务将失败。使用kubectl命令，例如kubectel get pod或kubectl exec -it container_name bash，将导致类似的消息：

1

Unable to connect to the server: x509: certificate has expired or is not yet valid

处理方法：重新生成新证书并更新worker节点。

注意：

1. 执行以下操作前，请先备份相关文件
2. 请勿替换CA证书，原因可参考issue（个人验证发现，是因为kubelet证书未删除导致，删除后重启kubelet问题解决）

1. 在/root目录下创建一个配置文件kubeadm.yaml，其中advertiseAddress设置为Kubernetes主节点的IP地址（或集群虚IP）。例如：

   1 2 3 4 5

   apiVersion: kubeadm.k8s.io/v1alpha1 kind: MasterConfiguration api: advertiseAddress: 10.165.80.110 kubernetesVersion: v1.10.11

2. 删除现有证书和密钥文件：

   1 2 3 4 5 6

   rm -rf /etc/kubernetes/pki/apiserver.key rm -rf /etc/kubernetes/pki/apiserver.crt rm -rf /etc/kubernetes/pki/apiserver-kubelet-client.crt rm -rf /etc/kubernetes/pki/apiserver-kubelet-client.key rm -rf /etc/kubernetes/pki/front-proxy-client.crt rm -rf /etc/kubernetes/pki/front-proxy-client.key

3. 创建新证书：

   1 2 3

   kubeadm --config /root/kubeadm.yaml alpha phase certs apiserver kubeadm --config /root/kubeadm.yaml alpha phase certs apiserver-kubelet-client kubeadm --config /root/kubeadm.yaml alpha phase certs front-proxy-client

4. 删除旧的配置文件：

   1 2 3 4 5

   rm -rf /etc/kubernetes/admin.conf rm -rf /etc/kubernetes/kubelet.conf rm -rf /etc/kubernetes/controller-manager.conf rm -rf /etc/kubernetes/scheduler.conf rm -rf /var/lib/kubelet/pki/kubelet*

5. 生成新配置文件：

   1	kubeadm --config /root/kubeadm.yaml alpha phase kubeconfig all

6. 确保你的 kubectl 服务正在使用正确的配置文件（根据实际环境配置该环境变量）：

   1 2	cp -i /etc/kubernetes/admin.conf $HOME/.kube/config export KUBECONFIG=.kube/config

7. 重启Kubernetes主节点。

8. 服务器重新启动后，检查以确保kubelet服务正在运行：

   1	systemctl status kubelet

9. 要重新加入工作节点，您需要一个集群令牌。

   对于Kubernetes 1.7，预设了集群令牌。对于Kubernetes1.7之后的版本，您必须创建新令牌，因为在安装时生成的令牌具有有限的生命周期：

   1	kubeadm token create

10. SSH进入每个worker节点并将它们重新连接到Kubernetes主节点。

11. 将工作节点加入Kubernetes集群：

    1	kubeadm join --token=cluster_token master_ip:6443

    其中：

    • cluster_token：在步骤9中创建的令牌
    • master_ip：Kubernetes主节点的IP地址（或集群虚IP地址）

    注意：
    某些版本的kubeadm使用–print-join-command命令行参数。在这些情况下， kubeadm输出重新连接Kubernetes master所需的kubeadm join命令。如果发生这种情况，请在每个工作节点上输入此命令（复制和粘贴）。

12. 确认kubelet服务正在运行，并且worker节点和Kubernetes master之间正常通信。

13. 等几分钟。然后从Kubernetes主节点运行以下命令以确认worker节点是否可用：

    1	kubectl get nodes

FEATURE STATE: Kubernetes v1.15 stable

kubeadm生成的客户端证书将在1年后过期。本页介绍如何使用kubeadm管理证书续订。

开始之前

熟悉Kubernetes中的PKI证书和要求以及证书最佳实践。

检查证书过期时间

check-expiration命令可用于检查证书过期时间。

1

kubeadm alpha certs check-expiration

输出类似于：

1
2
3
4
5
6
7
8
9
10
11

CERTIFICATE                EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
admin.conf                 May 15, 2020 13:03 UTC   364d            false
apiserver                  May 15, 2020 13:00 UTC   364d            false
apiserver-etcd-client      May 15, 2020 13:00 UTC   364d            false
apiserver-kubelet-client   May 15, 2020 13:00 UTC   364d            false
controller-manager.conf    May 15, 2020 13:03 UTC   364d            false
etcd-healthcheck-client    May 15, 2020 13:00 UTC   364d            false
etcd-peer                  May 15, 2020 13:00 UTC   364d            false
etcd-server                May 15, 2020 13:00 UTC   364d            false
front-proxy-client         May 15, 2020 13:00 UTC   364d            false
scheduler.conf             May 15, 2020 13:03 UTC   364d            false

该命令显示/etc/kubernetes/pki文件夹中的客户端证书的到期/剩余时间，以及kubeadm（admin.conf，controller-manager.conf和scheduler.conf）使用的KUBECONFIG文件中嵌入的客户端证书。

此外，如果证书是外部管理的，kubeadm会通知用户；在这种情况下，用户应该手动/使用其他工具来管理证书续订。

警告：kubeadm无法管理外部CA签名的证书。

注意：kubelet.conf不包含在上面的列表中，因为kubeadm配置kubelet以进行自动证书续订。

自动续订证书

kubeadm在控制平面升级期间更新所有证书。

此功能旨在解决最简单的使用案例；如果您没有对证书续订的具体要求并定期执行Kubernetes版本升级（每次升级之间不到1年），kubeadm将负责保持您的群集最新并且合理安全。

注意：最佳做法是频繁升级群集以保证安全。

如果您对证书续订有更复杂的要求，可以通过将–certificate-renewal = false传递给kubeadm upgrade apply或kubeadm upgrade node来退出默认行为。

手动续订证书

您可以使用kubeadm alpha certs renew命令随时手动续订证书。

此命令使用CA（或front-proxy-CA）证书和存储在/etc/kubernetes/pki中的密钥执行续订。

警告：如果您正在运行HA群集，则需要在所有控制平面节点上执行此命令。

注意：alpha certs renew使用现有证书作为属性（公用名，组织，SAN等）的权威来源，而不是kubeadm-config ConfigMap。强烈建议让它们保持同步。

kubeadm alpha certs renew提供以下选项：

• –csr-only可用于通过生成证书签名请求（不实际更新证书）来与外部CA续订证书；有关更多信息，请参阅下一节
• 也可以更新单个证书而不是全部证书

使用Kubernetes证书API续订证书

本节提供有关如何使用Kubernetes证书API执行手动证书续订的更多详细信息。

警告：这些高级主题是针对需要将其组织的证书集成到kubeadm构建的群集中的用户。如果默认的kubeadm配置满足您的需求，您应该让kubeadm管理证书。

设置签名

Kubernetes证书颁发机构非开箱即用。您可以配置外部签名，例如cert-manager，也可以使用内置签名。内置签名功能是kube-controller-manager的一部分。要激活内置签名功能，请向kube-controller-manager传递–cluster-signing-cert-file和–cluster-signing-key-file参数。

要激活内置签名功能，必须传递–cluster-signing-cert-file和–cluster-signing-key-file标志。

如果要创建新群集，可以使用kubeadm配置文件：

1
2
3
4
5
6

apiVersion: kubeadm.k8s.io/v1beta2
kind: ClusterConfiguration
controllerManager:
  extraArgs:
    cluster-signing-cert-file: /etc/kubernetes/pki/ca.crt
    cluster-signing-key-file: /etc/kubernetes/pki/ca.key

创建证书签名请求（CSR）

您可以使用kubeadm alpha certs renew –use-api为Kubernetes证书API创建证书签名请求。

如果设置[cert-manager] [cert-manager]等外部签名，则会自动创建证书签名请求（CSR）。否则，您必须使用kubectl certificate命令手动创建证书。以下kubeadm命令输出要创建证书的名称，然后阻塞并等待创建完成：

1

sudo kubeadm alpha certs renew apiserver --use-api &

输出类似于：

1
2

[1] 2890
[certs] certificate request "kubeadm-cert-kube-apiserver-ld526" created

签发证书签名请求（CSR）

如果设置了外部签名，则会自动签发证书签名请求（CSR）。

否则，您必须使用kubectl certificate命令手动签发证书。例如：

1

kubectl certificate approve kubeadm-cert-kube-apiserver-ld526

输出类似于：

1

certificatesigningrequest.certificates.k8s.io/kubeadm-cert-kube-apiserver-ld526 approved

您可以使用kubectl get csr查看待处理证书的列表。

使用外部CA续订证书

本节提供有关如何使用外部CA执行手动证书续订的更多详细信息。

为了更好地与外部CA集成，kubeadm还可以生成证书签名请求（CSR）。CSR表示向CA请求客户端的签名证书。在kubeadm术语中，通常由on-disk CA签名的任何证书都可以作为CSR。但是，CA不能作为CSR。

创建证书签名请求（CSR）

您可以使用–csr-dir传入目录，以将CSR输出到指定位置。如果未指定–csr-dir，则使用默认证书目录（/etc/kubernetes/pki）。CSR和附带的私钥都会输出。

CSR表示向CA请求客户端的签名证书。您可以使用kubeadm alpha certs renew –csr-only创建证书签名请求。

CSR包含证书的名称，域和IP，但不指定用法。CA颁发证书时，有责任指定正确的证书用法。

• 在openssl中，使用openssl ca命令完成
• 在cfssl中，在配置文件中指定用法

证书签名后，必须将证书和私钥复制到PKI目录（默认情况下为/etc kubernetes/pki）。