如何部署高可用kubernetes集群

Kubernetes简介

Kubernetes(简称K8s)是一个开源的容器编排平台，用于自动化部署、扩展和管理容器化应用程序，它可以跨多个主机运行容器，提供负载均衡、服务发现、自动扩缩容等功能，从而实现高可用和弹性伸缩。

搭建高可用Kubernetes集群

1、准备环境

首先需要准备以下环境：

至少3台服务器，每台服务器至少2核CPU、4G内存、50G磁盘空间。

操作系统：CentOS 7.x、Ubuntu 16.04或更高版本。

Docker版本：1.12.x或更高版本。

kubectl命令行工具：1.12.x或更高版本。

2、安装Docker

在所有服务器上安装Docker,具体安装方法请参考Docker官方文档。

3、安装 kubeadm、kubelet 和 kubectl

在所有服务器上安装Kubernetes组件：

sudo yum install -y epel-release && sudo yum install -y kubelet kubeadm kubectl
sudo systemctl enable kubelet && sudo systemctl start kubelet

4、初始化Master节点

选择一台服务器作为Master节点，执行以下命令初始化Master节点：

sudo kubeadm init --pod-network-cidr=10.244.0.0/16

初始化完成后，会显示一个加入集群的命令，如：

kubeadm join <master-ip>:<master-port> --token <token> --discovery-token-ca-cert-hash <hash>

5、配置kubectl上下文切换

创建一个名为kubeconfig的文件，将Master节点的kubeconfig内容复制到该文件中：

mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

6、将Worker节点加入集群

在其他两台服务器上执行之前显示的加入集群命令，完成Worker节点的加入，此时，Kubernetes集群已经搭建完成。

优化高可用Kubernetes集群

1、设置网络策略和访问控制列表(ACL)

为了保证集群内部的安全通信，可以设置网络策略和ACL来限制不同Namespace之间的流量，只允许特定IP地址访问某个Namespace:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-specific-ip
spec:
  podSelector: {}  选择所有Pods,或者使用标签选择器选择特定的Pods
  policyTypes:
  Ingress  允许进入指定Pod的入站流量，或者拒绝所有入站流量(默认)
  ingress: []  定义允许或拒绝的规则列表，每个规则包含源IP地址、目标Pod IP地址等信息，如：
    from: [192.168.1.1]  只允许来自192.168.1.1的流量进入Pods,可以使用IP地址、CIDR表示法或者DNS名称；也可以使用标签选择器匹配特定的Pods,如podSelector: "app=nginx"，如果不指定目标Pod IP地址，则默认为所有的Pods，如果指定了目标Pod IP地址，则只有来自这些IP地址的流量可以进入该Pod，如果同时指定了源IP地址和目标Pod IP地址，则只有来自源IP地址且目标Pod IP地址匹配的流量可以进入该Pod，最后还可以添加一些策略选项，如端口范围、协议类型等，本例中没有配置任何选项，表示默认允许所有流量进入指定的Pods，通过这种方式，可以实现对集群内部流量的细粒度控制，需要注意的是，设置网络策略后可能会影响到某些服务的正常运行，因此需要谨慎操作。