連接上文

在上文已經(jīng)成功部署了etcd分布式數(shù)據(jù)庫、master01節(jié)點(diǎn)，

本文將承接上文的內(nèi)容，繼續(xù)部署Kubernetes集群中的 worker node 節(jié)點(diǎn)和 CNI 網(wǎng)絡(luò)插件

?1.? 部署 Worker Node 組件

?1.1 work node 組件部署前需了解的節(jié)點(diǎn)注冊(cè)機(jī)制

kubelet 采用 TLS Bootstrapping 機(jī)制，自動(dòng)完成到 kube-apiserver 的注冊(cè)，在 node 節(jié)點(diǎn)量較大或者后期自動(dòng)擴(kuò)容時(shí)非常有用。 ?

Master apiserver 啟用 TLS 認(rèn)證后，node 節(jié)點(diǎn) kubelet 組件想要加入集群，必須使用CA簽發(fā)的有效證書才能與 apiserver 通信，當(dāng) node 節(jié)點(diǎn)很多時(shí)，簽署證書是一件很繁瑣的事情。因此 Kubernetes 引入了 TLS bootstraping 機(jī)制來自動(dòng)頒發(fā)客戶端證書，kubelet 會(huì)以一個(gè)低權(quán)限用戶自動(dòng)向 apiserver 申請(qǐng)證書，kubelet 的證書由 apiserver 動(dòng)態(tài)簽署。

?? ?kubelet 首次啟動(dòng)通過加載 bootstrap.kubeconfig 中的用戶 Token 和 apiserver CA 證書發(fā)起首次 CSR 請(qǐng)求，這個(gè) Token 被預(yù)先內(nèi)置在 apiserver 節(jié)點(diǎn)的 token.csv 中，其身份為 kubelet-bootstrap 用戶和 system:kubelet-bootstrap 用戶組；想要首次 CSR 請(qǐng)求能成功（即不會(huì)被 apiserver 401 拒絕），則需要先創(chuàng)建一個(gè) ClusterRoleBinding，將 kubelet-bootstrap 用戶和 system:node-bootstrapper 內(nèi)置 ClusterRole 綁定（通過 kubectl get clusterroles 可查詢），使其能夠發(fā)起 CSR 認(rèn)證請(qǐng)求。
?

TLS bootstrapping 時(shí)的證書實(shí)際是由 kube-controller-manager 組件來簽署的，也就是說證書有效期是 kube-controller-manager 組件控制的；kube-controller-manager 組件提供了一個(gè) --experimental-cluster-signing-duration 參數(shù)來設(shè)置簽署的證書有效時(shí)間；默認(rèn)為 8760h0m0s，將其改為 87600h0m0s，即 10 年后再進(jìn)行 TLS bootstrapping 簽署證書即可。 ??

?也就是說 kubelet 首次訪問 API Server 時(shí)，是使用 token 做認(rèn)證，通過后，Controller Manager 會(huì)為 kubelet 生成一個(gè)證書，以后的訪問都是用證書做認(rèn)證了。
?

?1.2?Worker Node 組件部署步驟

//在所有 node 節(jié)點(diǎn)上操作
#創(chuàng)建kubernetes工作目錄
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}
?
#上傳 node.zip 到 /opt 目錄中，解壓 node.zip 壓縮包，獲得kubelet.sh、proxy.sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh
?

//在 master01 節(jié)點(diǎn)上操作
#把 kubelet、kube-proxy 拷貝到 node 節(jié)點(diǎn)
cd /opt/k8s/kubernetes/server/bin
scp kubelet kube-proxy root@192.168.50.21:/opt/kubernetes/bin/
scp kubelet kube-proxy root@192.168.50.22:/opt/kubernetes/bin/
?
#上傳 kubeconfig.sh 文件到 /opt/k8s/kubeconfig 目錄中，生成 kubeconfig 的配置文件
mkdir /opt/k8s/kubeconfig
?
cd /opt/k8s/kubeconfig
chmod +x kubeconfig.sh
./kubeconfig.sh 192.168.50.20?/opt/k8s/k8s-cert/
?
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.50.21:/opt/kubernetes/cfg/
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.50.22:/opt/kubernetes/cfg/
?
#RBAC授權(quán)，使用戶 kubelet-bootstrap 能夠有權(quán)限發(fā)起 CSR 請(qǐng)求
kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap
?

//在 node01 節(jié)點(diǎn)上操作
#啟動(dòng) kubelet 服務(wù)
cd /opt/
./kubelet.sh 192.168.50.21
ps aux | grep kubelet
?
//在 master01 節(jié)點(diǎn)上操作，通過 CSR 請(qǐng)求
#檢查到 node01 節(jié)點(diǎn)的 kubelet 發(fā)起的 CSR 請(qǐng)求，Pending 表示等待集群給該節(jié)點(diǎn)簽發(fā)證書
kubectl get csr
?
#通過 CSR 請(qǐng)求
kubectl certificate approve （上面選項(xiàng)中REQUESTOR的值 ?）
?
#Approved,Issued 表示已授權(quán) CSR 請(qǐng)求并簽發(fā)證書
kubectl get csr
?
?
#查看節(jié)點(diǎn)，由于網(wǎng)絡(luò)插件還沒有部署，節(jié)點(diǎn)會(huì)沒有準(zhǔn)備就緒 NotReady
kubectl get node
?
?
//在 node01 節(jié)點(diǎn)上操作
#加載 ip_vs 模塊
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done
?
#啟動(dòng)proxy服務(wù)
cd /opt/
./proxy.sh 192.168.50.21
ps aux | grep kube-proxy
?

注意：這里的notready是因?yàn)閚ode節(jié)點(diǎn)上的網(wǎng)絡(luò)插件還沒有部署好，所以會(huì)這樣顯示，

接下來會(huì)重點(diǎn)介紹k8s的網(wǎng)絡(luò)插件，再繼續(xù)部署?

node02節(jié)點(diǎn)同樣的操作

?2.?k8s的CNI網(wǎng)絡(luò)插件模式

2.1 k8s的三種網(wǎng)絡(luò)模式?

K8S 中 Pod 網(wǎng)絡(luò)通信：

（1）Pod 內(nèi)容器與容器之間的通信

在同一個(gè) Pod 內(nèi)的容器（Pod 內(nèi)的容器是不會(huì)跨宿主機(jī)的）共享同一個(gè)網(wǎng)絡(luò)命令空間，相當(dāng)于它們?cè)谕慌_(tái)機(jī)器上一樣，可以用 localhost 地址訪問彼此的端口。

（2）同一個(gè) Node 內(nèi) Pod 之間的通信

每個(gè) Pod 都有一個(gè)真實(shí)的全局 IP 地址，同一個(gè) Node 內(nèi)的不同 Pod 之間可以直接采用對(duì)方 Pod 的 IP 地址進(jìn)行通信，Pod1 與 Pod2 都是通過 Veth 連接到同一個(gè) docker0 網(wǎng)橋，網(wǎng)段相同，所以它們之間可以直接通信。

（3）不同 Node 上 Pod 之間的通信

Pod 地址與 docker0 在同一網(wǎng)段，docker0 網(wǎng)段與宿主機(jī)網(wǎng)卡是兩個(gè)不同的網(wǎng)段，且不同 Node 之間的通信只能通過宿主機(jī)的物理網(wǎng)卡進(jìn)行。

要想實(shí)現(xiàn)不同 Node 上 Pod 之間的通信，就必須想辦法通過主機(jī)的物理網(wǎng)卡 IP 地址進(jìn)行尋址和通信。因此要滿足兩個(gè)條件：Pod 的 IP 不能沖突；將 Pod 的 IP 和所在的 Node 的 IP 關(guān)聯(lián)起來，通過這個(gè)關(guān)聯(lián)讓不同 Node 上 Pod 之間直接通過內(nèi)網(wǎng) IP 地址通信。

Overlay Network：

疊加網(wǎng)絡(luò)，在二層或者三層基礎(chǔ)網(wǎng)絡(luò)上疊加的一種虛擬網(wǎng)絡(luò)技術(shù)模式，該網(wǎng)絡(luò)中的主機(jī)通過虛擬鏈路隧道連接起來（類似于VPN）。

VXLAN：

將源數(shù)據(jù)包封裝到UDP中，并使用基礎(chǔ)網(wǎng)絡(luò)的IP/MAC作為外層報(bào)文頭進(jìn)行封裝，然后在以太網(wǎng)上傳輸，到達(dá)目的地后由隧道端點(diǎn)解封裝并將數(shù)據(jù)發(fā)送給目標(biāo)地址。
?

2.2 ?Flannel 插件

Flannel 的功能是讓集群中的不同節(jié)點(diǎn)主機(jī)創(chuàng)建的 Docker 容器都具有全集群唯一的虛擬 IP 地址。

Flannel 是 Overlay 網(wǎng)絡(luò)的一種，也是將 TCP 源數(shù)據(jù)包封裝在另一種網(wǎng)絡(luò)包里面進(jìn)行路由轉(zhuǎn)發(fā)和通信，目前支持 udp、vxlan、 host-GW 3種數(shù)據(jù)轉(zhuǎn)發(fā)方式。

UDP（默認(rèn)方式，基于應(yīng)用轉(zhuǎn)發(fā)，配置簡單，性能最差） VXLAN（基于內(nèi)核轉(zhuǎn)發(fā)） Host-gw（性能最好、配置麻煩） ?

（1）Flannel UDP 模式（端口8285）?

udp模式的工作原理：（基于應(yīng)用進(jìn)行轉(zhuǎn)發(fā)，F(xiàn)lannel提供路由表，F(xiàn)lannel封裝、解封裝）

數(shù)據(jù)從 node01 上 Pod 的源容器中發(fā)出后，經(jīng)由所在主機(jī)的 docker0 虛擬網(wǎng)卡轉(zhuǎn)發(fā)到 flannel0 虛擬網(wǎng)卡，flanneld 服務(wù)監(jiān)聽在 flannel0 虛擬網(wǎng)卡的另外一端。

Flannel 通過 Etcd 服務(wù)維護(hù)了一張節(jié)點(diǎn)間的路由表。源主機(jī) node01 的 flanneld 服務(wù)將原本的數(shù)據(jù)內(nèi)容封裝到 UDP 中后根據(jù)自己的路由表通過物理網(wǎng)卡投遞給目的節(jié)點(diǎn) node02 的 flanneld 服務(wù)，數(shù)據(jù)到達(dá)以后被解包，然后直接進(jìn)入目的節(jié)點(diǎn)的 flannel0 虛擬網(wǎng)卡，之后被轉(zhuǎn)發(fā)到目的主機(jī)的 docker0 虛擬網(wǎng)卡，最后就像本機(jī)容器通信一樣由 docker0 轉(zhuǎn)發(fā)到目標(biāo)容器。

ETCD 之 Flannel 提供說明：

• 存儲(chǔ)管理Flannel可分配的IP地址段資源
• 監(jiān)控 ETCD 中每個(gè) Pod 的實(shí)際地址，并在內(nèi)存中建立維護(hù) Pod 節(jié)點(diǎn)路由表

（2） vxlan 模式（端口4789）

vxlan 是一種overlay（虛擬隧道通信）技術(shù)，通過三層網(wǎng)絡(luò)搭建虛擬的二層網(wǎng)絡(luò)，跟 udp 模式具體實(shí)現(xiàn)不太一樣：

1）udp模式是在用戶態(tài)實(shí)現(xiàn)的，數(shù)據(jù)會(huì)先經(jīng)過tun網(wǎng)卡，到應(yīng)用程序，應(yīng)用程序再做隧道封裝，再進(jìn)一次內(nèi)核協(xié)議棧，而vxlan是在內(nèi)核當(dāng)中實(shí)現(xiàn)的，只經(jīng)過一次協(xié)議棧，在協(xié)議棧內(nèi)就把vxlan包組裝好。

2）udp模式的tun網(wǎng)卡是三層轉(zhuǎn)發(fā)，使用tun是在物理網(wǎng)絡(luò)之上構(gòu)建三層網(wǎng)絡(luò)，屬于ip in udp，vxlan模式是二層實(shí)現(xiàn)， overlay是二層幀，屬于mac in udp。

3）vxlan由于采用mac in udp的方式，所以實(shí)現(xiàn)起來會(huì)涉及mac地址學(xué)習(xí)，arp廣播等二層知識(shí)，udp模式主要關(guān)注路由
?

Flannel VXLAN模式跨主機(jī)的工作原理：（Flannel提供路由表，由內(nèi)核封裝、解封裝）

1、數(shù)據(jù)幀從主機(jī)A上Pod的源容器中發(fā)出后，經(jīng)由所在主機(jī)的docker0/cni0 網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)到flannel.1 接口

2、flannel.1 收到數(shù)據(jù)幀后添加VXLAN 頭部，封裝在UDP報(bào)文中

3、主機(jī)A通過物理網(wǎng)卡發(fā)送封包到主機(jī)B的物理網(wǎng)卡中

4、主機(jī)B的物理網(wǎng)卡再通過VXLAN 默認(rèn)端口8472轉(zhuǎn)發(fā)到flannel.1 接口進(jìn)行解封裝

（官方給出的預(yù)設(shè)接口為4789，而實(shí)際運(yùn)用的其實(shí)為8472端口）

5、解封裝以后，內(nèi)核將數(shù)據(jù)幀發(fā)送到Cni0， 最后由Cni0 發(fā)送到橋接到此接口的容器B中。
?

3) UDP和VXLAN的區(qū)別?

由于UDP模式是在用戶態(tài)做轉(zhuǎn)發(fā)（即基于應(yīng)用進(jìn)行轉(zhuǎn)發(fā)，由應(yīng)用程序進(jìn)行封裝和解封裝），會(huì)多一次報(bào)文隧道封裝，因此性能上會(huì)比在內(nèi)核態(tài)做轉(zhuǎn)發(fā)的VXLAN模式差。

UDP和VXLAN的區(qū)別：

UDP基于應(yīng)用程序進(jìn)行轉(zhuǎn)發(fā)，由應(yīng)用程序進(jìn)行封裝和解封裝；VXLAN由內(nèi)核進(jìn)行封裝和解封裝，內(nèi)核效率比應(yīng)用程序要高，所以VXLAN比UDP要快。
UDP是數(shù)據(jù)包，VXLAN是數(shù)據(jù)幀。
UDP的網(wǎng)卡Flannel0，VXLAN的網(wǎng)卡Flannel.1。
?

（4）知識(shí)延申：vlan和vxlan的區(qū)別?

1）vxlan支持更多的二層網(wǎng)絡(luò)

vlan使用12位bit表示vlan ID，因此最多支持2^12=4096個(gè)vlan（可用數(shù)量為4094）

vxlan使用的ID使用24位bit，最多可以支持2^24個(gè)

2）vxlan對(duì)已有的網(wǎng)絡(luò)路徑利用效率更高

vlan使用STP（spanning tree protocol）避免環(huán)路，會(huì)將一半的網(wǎng)絡(luò)路徑阻塞。

vxlan的數(shù)據(jù)包封裝成UDP通過網(wǎng)絡(luò)層傳輸，可以使用所有的網(wǎng)絡(luò)路徑。

3）vxlan可以防止物理交換機(jī)Mac表耗盡

vlan需要在交換機(jī)的Mac表中記錄Mac物理地址。

vxlan采用隧道機(jī)制，Mac物理地址不需記錄在交換機(jī)。

4）VXLAN在一定程度上可以實(shí)現(xiàn)邏輯網(wǎng)絡(luò)拓?fù)浜臀锢砭W(wǎng)絡(luò)拓?fù)涞慕怦?/strong>