一文读懂如何部署具有外部数据库的高可用 K3s
时间:2022-08-06 07:00:00
介绍
您是否在以高可用模式部署 Kubernetes 在配置远程备份数据库时遇到困难?本文将向您介绍如何拥有外部数据库 Postgres 的 HA 配置中部署 K3s。
K3s(https://k3s.io/)用于物联网和边缘计算的认证 Kubernetes 发行版。我部署它 IBM Z 在大型机器中的虚拟机上。我没有选择 etcd,而是使用了 Postgres 作为 K3s 集群存储方案。我以非 HA 模式部署了 Postgres。想知道怎么在 HA 模式下部署 Postgres 请参考官方文件:https://www.postgresql.org/docs/13/high-availability.html
Postgres 和 K3s 集群之间的通信是 SSL 安全的。我在 K3s server 前面的第 4 层使用了 Nginx 平衡负载。未来可能需要添加新的服务器节点或关闭服务器。因此,如果不使用 K3s Server IP 相反,使用负载平衡器可以避免这种麻烦,实现它 HA。请注意,Nginx 负载均衡器也可能成为单个故障点。有关在 HA 模式下部署 Nginx,请参考文件:https://www.nginx.com/products/nginx/high-availability/
HA 配置
下图描述了我的存在 HA 在模式下部署两个节点 K3s 集群的方式。即使一台 Server 故障,另一个 Server 负载然可以访问,负载平衡器可以将所有请求路由访问 Server。由于 K3s 即使所有组件都是无状态的,即使 Server 如果出现故障,我们不会丢失任何信息。所有所有信息 Postgres 而且必须是 HA。
环境
您需要以下环境才能开始:
操作系统 - SLE15SP2 虚拟机 - 5 VCPU - 2 RAM - 8 GB 磁盘 - 30 GB Arch - s390x
以下是我使用的各种虚拟机 IP 您可以随时在本文中查阅这些地址 IP 地址的含义:
K3s Server 1 - 10.161.129.54K3s Server 2 - 10.161.129.154K3s Agent - 10.161.129.196Postgres - 10.161.129.212Nginx - 10.161.129.118
我在大型机 (s390x) 在虚拟机中部署,您也可以在任何其他架构上使用相同的命令。现在,让我们来看看安装 Postgres 和 K3s 集群命令。
安装 Postgres
我在其中一台虚拟机上安装了它 postgres10.我们把虚拟机命名为 Postgres。可以复制粘贴以下命令安装 Postgres。为安全起见,请确保 Postgres 数据库和 K3s 相互存在于集群之间 TLS 通信。我用自签证书来识别和使用 OpenSSL 创建的 Postgres。
Postgres 虚拟机
- 使用 zypper 安装 Postgres 包:
zypper -n in postgresql10 postgresql10-server systemctl start postgresql - 创建 K3s 所有访问权限的数据库、用户角色和授予用户角色:
sudo -u postgres psql create database K3s; create user K3s with encrypted password 'K3s'; grant all privileges on database K3s to K3s; exit; 我们将使用 K3s 存储集群信息的数据库。 K3s 用户来为 K3s 集群进行 Postgres 数据库身份验证。
- 创建标识 Postgres 并将服务器的自签储在中
/var/lib/pgsql/data/中:
openssl req -new -x509 -days 365 -nodes -text -out /var/lib/pgsql/data/postgres.crt -keyout /var/lib/pgsql/data/postgres.key -subj "/CN=postgres.rancher.rke2" -addext "subjectAltName=DNS:postgres.rancher.rke2" - 确保私钥访问受到限制:
chmod 0600 /var/lib/pgsql/data/postgres.key chown postgres:postgres /var/lib/pgsql/data/postgres.key - 将标识 Postgres 将公钥证书复制到两份 K3s Server,使 K3s Server 可以验证 Postgres 以身份进行 SSL 通信:
scp /var/lib/pgsql/data/postgres.crt sles@10.161.129.54: scp /var/lib/pgsql/data/postgres.crt sles@10.161.129.154: - 将
/var/lib/pgsql/data/pg_hba.conf用以下内容替换内容:
# TYPE DATABASE USER ADDRESS METHOD # "local" is for Unix domain socket connections onlyf local all all peer # IPv4 local connections: host all all 127.0.0.1/32 ident hostssl all all 0.0.0.0/0 md5 clientcert=verify-full 文件的内容表明,localhost 无需密码或连接 SSL 通信可以连接到数据库。Postgres 所有其他连接必须通过 SSL 客户端验证(K3s Server 是 Postgres 客户端)和密码验证可以通信。
进一步设置 Postgres 在数据库之前,我们首先创建标识 K3s 集群证书复制到 Postgres 为了 Postgres 验证 K3s Server。
K3s Server 1 虚拟机
- 创建标志 K3s 集群自签证书,并授予私钥权限:
openssl req -new -x509 -days 365 -nodes -text -out K3s.crt -keyout K3s.key -subj "/CN=K3s" -addext "subjectAltName=DNS:K3s" chmod 0600 K3s.key - 复制公钥证书 Postgres 主机,以便 Postgres 可以验证 K3s 客户端:
scp /home/sles/K3s.crt sles@10.161.129.212: - 将公钥和私钥复制到其他地方 K3s Server。两台 Server 组成 K3s 集群:
scp /home/sles/K3s.crt /home/sles/K3s.key sles@10.161.129.154: 接下来,我们继续看 Postgres 虚拟机。
Postgres 虚拟机
- 将 K3s.crt 移动到
/var/lib/pgsql/data目录以供 Postgres 使用配置文件:
mv /home/sles/K3s.crt /var/lib/pgsql/data/ - 将
/var/lib/pgsql/data/postgresql.conf的内容修改为以下值:
listen_addresses = '*'
ssl = on
#ssl_ciphers = 'HIGH:MEDIUM:+3DES:!aNULL' # allowed SSL ciphers
#ssl_prefer_server_ciphers = on
#ssl_ecdh_curve = 'prime256v1'
#ssl_dh_params_file = ''
ssl_cert_file = '/var/lib/pgsql/data/postgres.crt'
ssl_key_file = '/var/lib/pgsql/data/postgres.key'
ssl_ca_file = '/var/lib/pgsql/data/K3s.crt'
listen_addresses:设置为 * 或 Postgres 服务器的 IP。这样能确保 Postgres 服务器能侦听节点的 IP 地址。
ssl:打开 SSL 来仅使用安全的方式进行通信。
ssl_cert_file ssl_key_file:标识 Postgres 数据库的证书。我已经在文章开头创建了证书,现在只需要将它们指向证书位置即可。
ssl_ca_file:这是一个 CA(证书颁发机构)证书,用于识别 Postgres 的客户端。在我们的示例中,K3s 是客户端。因此,我为 K3s 创建了一个自签名证书,并将 ssl_ca_file 指向 K3s 集群的自签名公共证书。
- 重启 Postgres 服务器来应用新配置:
systemctl restart postgresql
我们已成功部署了 Postgres 数据库,现在我们转到 K3s 虚拟机并在那里安装 K3s。
K3s Server 1 虚拟机
- 使用正确的标志和值安装 K3s Server:
curl -sfL https://get.k3s.io | sh -s - server --datastore-endpoint="postgres://K3s:K3s@postgres.rancher.rke2:5432/K3s" --datastore-cafile="/home/sles/postgres.crt" --token=K3s --datastore-certfile="/home/sles/K3s.crt" --datastore-keyfile="/home/sles/K3s.key" --tls-san=10.161.129.118
--datastore-endpoint:Postgres 的格式是 postgres://username:password@hostname:port/database-name。在这个示例中,我创建了一个 K3s 角色,密码是 K3s,数据库名称也是 K3s。我使用了 postgres.rancher.rke 作为 hostname,因为证书是使用 CN 值作为名称创建的。
--datastore-cafile:设为 Postgres 的公钥证书,以便 K3s 使用该证书验证 Postgres。在自签名证书中,公共证书充当 CA,可以进行自我验证。
--datastore-certfile:这是标识 K3s 集群的公共证书。
--datastore-keyfile:属于 K3s 集群的私钥。
--token:将创建一个 Secret 密码,以便其他服务器或 Agent 连接到此 K3s 集群。
--tls-san:负载均衡器的 IP 地址。
- 为了让 K3s 解析
postgres.rancher.rke2,我在/``etc/hosts文件末附加了以下内容:
10.161.129.212 postgres.rancher.rke2
其中 10.161.129.212 是 Postgres 服务器的 IP 地址。
- 现在,验证 K3s Server 是否正常运行并已连接到 Postgres:
export KUBECONFIG=/etc/rancher/k3s/k3s.yaml
kubectl get pods -A
你应该会看到所有处于 running 状态的 pod。如果没有,你可以运行:
journalctl -xe
这能让你查看安装 K3s Server 时发生的错误。
K3s Server 2 虚拟机
- 使用与安装第一台 Server 相同的命令来安装第二台 K3s Server:
curl -sfL https://get.k3s.io | sh -s - server --datastore-endpoint="postgres://K3s:K3s@postgres.rancher.rke2:5432/K3s" --datastore-cafile="/home/sles/postgres.crt" --token=K3s --datastore-certfile="/home/sles/K3s.crt" --datastore-keyfile="/home/sles/K3s.key" --tls-san=10.161.129.118
- 验证 K3s Server 是否正常运行并已连接到 Postgres:
export KUBECONFIG=/etc/rancher/k3s/k3s.yaml
kubectl get pods -A
结果应与以下内容类似:
NAMESPACE NAME READY STATUS RESTARTS AGE
kube-system svclb-traefik-55frd 2/2 Running 0 11m
kube-system svclb-traefik-x59vc 2/2 Running 0 2m43s
kube-system local-path-provisioner-6c79684f77-55tkc 1/1 Running 0 107s
kube-system coredns-d76bd69b-5n8s7 1/1 Running 0 107s
kube-system traefik-df4ff85d6-88phx 1/1 Running 0 107s
kube-system metrics-server-7cd5fcb6b7-x7t2r 1/1 Running 0 107s
- 你还可以通过运行此命令检查集群是否有两台 Server,并查看它们是否具有
master角色:
kubectl get nodes
结果应与以下内容类似:
NAME STATUS ROLES AGE VERSION
k3s-server-1 Ready control-plane,master 14m v1.23.6+K3s1
k3s-server-2 Ready control-plane,master 29s v1.23.6+K3s1
在连接到调度工作负载的 K3s Agent 之前,我们需要在 Server 前面添加一个负载均衡器,以便用户或 K3s Agent 与其通信。
Nginx 负载均衡器虚拟机
我在网络堆栈第 4 层的 K3s 集群 Server 节点前面使用了 Nginx。我们会将端口 6443 的所有请求转发到负载均衡器,然后再发送其中一台 K3s Server。Kubernetes API server 会侦听该端口。
- 安装 Nginx 包:
zypper in nginx
- 创建
/etc/nginx/nginx.conf文件并输入如下内容:
load_module /usr/lib64/nginx/modules/ngx_stream_module.so;
worker_processes 4;
worker_rlimit_nofile 40000;
events {
worker_connections 8192;
}
stream {
log_format logs '$remote_addr - - [$time_local] $protocol $status $bytes_sent $bytes_received $session_time "$upstream_addr"';
access_log /var/log/nginx/access.log logs;
upstream K3s_api_server {
least_conn;
server 10.161.129.54:6443 max_fails=3 fail_timeout=5s;
server 10.161.129.154:6443 max_fails=3 fail_timeout=5s;
}
server {
listen 6443;
proxy_pass K3s_api_server;
}
我们使用 least_conn 算法来决定请求应该发送到哪个 K3s Server。Nginx 将根据该算法将请求路由到具有最少 active 连接的 Server。
- 重启 Nginx 以使更改生效:
nginx -s reload
systemctl reload nginx && systemctl restart nginx
至此,我们已设置了负载均衡器,因此现在任何人都可以与我们的 K3s Server 通信。现在我们添加一个 K3s Agent,Agent 会与这个负载均衡器通信并注册 Agent。
K3s Agent 虚拟机
- 使用以下命令安装 K3s Agent。
--server:负载均衡器 IP 地址。
curl -sfL https://get.k3s.io | sh -s - agent --token=K3s --server https://10.161.129.118:6443
K3s Server 1 虚拟机
- 现在,你可以通过运行此命令检查 K3s Agent 是否已成功注册:
kubectl get nodes
结果应与以下内容类似:
NAME STATUS ROLES AGE VERSION
k3s-server-1 Ready control-plane,master 41m v1.23.6+K3s1
k3s-server-2 Ready control-plane,master 28m v1.23.6+K3s1
k3s-agent Ready 105s v1.23.6+K3s1
我们已经成功安装了 Postgres、K3s Server 和一个 K3s Agent。你现在拥有了一个具有外部数据库的 HA K3s 集群。请注意,只有部署了 Postgres 和 Nginx 时才能实现完全 HA。有关更多信息,你可以查看参考中的链接。
参考
-
K3s 架构文档:https://rancher.com/docs/k3s/latest/en/architecture/#high-availability-with-an-external-db
-
K3s 数据存储文档:https://rancher.com/docs/k3s/latest/en/installation/datastore/
-
K3s 安装文档:https://rancher.com/docs/k3s/latest/en/installation/ha/
-
Nginx 负载均衡器文档:https://rancher.com/docs/rancher/v2.5/en/installation/resources/k8s-tutorials/infrastructure-tutorials/nginx/
