一,项目描述
生产环境中,对于k8s已有环境进行扩容和缩容是比较常见的操作,比如现有k8s集群资源不足,就需要扩容节点,就是将物理机配置加入k8s集群node;
或者说当前k8s集群工作不饱和,有大量空闲的机器资源,闲置浪费严重,所以需要缩容,就是将物理机配置退出k8s集群node;
二、集群缩容-节点下线
我们从总体架构中(第一天就让大家背下来了,不知道的回去背下来)知道,k8s集群监控一个节点的cpu、内存、磁盘空间、文件系统inode等资源是依靠kubelet组件;
当这些资源中的一个或者多个达到特定的消耗水平(消耗到一定程度了),kubelet就会主动将节点上的一个或者多个pod强制进行“驱逐”,以防止当前node节点资源无法正常分配,而引发内存溢出(OOM);
1,节点下线案例说明
我们需要先把要下线的node节点中的pod驱逐,模拟下线节点(node节点可能因为硬件故障或者其他原因,有下线的需求)
2,查看现有节点
[root@k8s231 ~]# kubectl get nodes
NAME STATUS ROLES AGE VERSION
k8s231 Ready control-plane,master 57d v1.23.17
k8s232 Ready <none> 57d v1.23.17
k8s233 Ready <none> 57d v1.23.17
3,查看所有名称空间下的pod
假设,我们要下下k8s233节点,我们发现,k8s233节点上是有pod的,
[root@k8s231 ~]# kubectl get pods -o wide -A
4,驱逐下线节点的pod
驱逐一个节点的所有pod;但是需要排除daemonset资源创建的pod,因为,dadmonset资源是根据节点数量来创建pod的,若不排除,则会驱逐不了;
[root@k8s231 ~]# kubectl drain k8s233 --ignore-daemonsets
参数介绍
--ignore-daemonsets #daemonset资源不能被驱逐,需要排除,加这个选项参数排除;
--delete-emptydir-data #如果无法驱逐成功,再加这个参数;
5,驱逐后再次查看pod
驱逐pod后,我们会发现,k8s233还存在两个pod;
一个是flannel组件还有一个是kube-proxy代理pod;
我们不用管这两个没有被驱逐的pod;
[root@k8s231 ~]# kubectl get pods -o wide -A | grep k8s233
6,驱逐pod后再次查看节点信息
[root@k8s231 ~]# kubectl get nodes
再次查看被下线的节点,发现,其状态有一个“不可调度”;
7,给要下线的节点打上污点
因为要将节点下线,避免在下线过程中,有人往这个节点中创建资源,所以保守起见,给它设置个污点;
[root@k8s231 ~]# kubectl taint node k8s233 k8s=xinjizhiwa:NoExecute
8,再次查看要下线节点的pod
会发现,仅剩下kube-proxy了;
这个时候,你就可以将节点直接下线了;
[root@k8s231 ~]# kubectl get pods -o wide -A | grep k8s233
9,下线节点重置
需要到要下线的节点中执行“重置”命令,重置下线节点
[root@k8s233 ~]# kubeadm reset -f
删除要下线节点的cni网络目录
[root@k8s233 ~]# rm -rf /etc/cni/net.d
#清空路由规则
[root@k8s233 ~]# iptables -F
#查看打印规则
[root@k8s233 ~]# iptables-save
10,删除掉节点
注意,master节点执行
[root@k8s231 ~]# kubectl delete nodes k8s233
查看验证,发现下线成功!~
[root@k8s231 ~]# kubectl get nodes
NAME STATUS ROLES AGE VERSION
k8s231 Ready control-plane,master 57d v1.23.17
k8s232 Ready <none> 57d v1.23.17
温馨提示:
1,当我们直接下线一个节点的时候,该节点的pod将不会立刻被检测出来故障,大概5分钟左右才能将损坏的pod在其他节点中创建,但是再次之前,会优先发现该的状态为“Notready”;
2,综上所述,我们生产环境中应该监控nodes的状态,当然,pods重启次数也需要关注哦;所以说,要报账pod业务正常运行,必须监控nodes的状态;
三、集群扩群-节点上线
1,给上线节点安装必要组件
#配置软件源
[root@k8s233 ~]# cat > /etc/yum.repos.d/kubernetes.repo <<EOF
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/
enabled=1
gpgcheck=0
repo_gpgcheck=0
EOF#2,下载组件
[root@k8s233 ~]# yum -y install kubeadm-1.23.17-0 kubelet-1.23.17-0 kubectl-1.23.17-0#3,启动组件(这里会启动失败,但是不要紧,一会自动成功)
[root@k8s233 ~]# systemctl enable --now kubelet
[root@k8s233 ~]# systemctl status kubelet
2,master节点创建token
[root@k8s231 ~]# kubeadm token create --print-join-command abc123.abcdabcd11122233 --ttl 0
参数说明
--print-join-command #打进加入token的命令
--ttl 0 #token的过期时间,0代表无限期;
#################################
#token的名称规则:
[a-z0-9]{6})\\.([a-z0-9]{16}
3,查看刚刚创建的token
[root@k8s231 ~]# kubeadm token list
拓展知识删除token:【kubeadm token delete abc123】
4,新节点使用token加入集群
就是创建token时,打印的代码,复制(注意,别复制空格,不然加入失败);
[root@k8s233 ~]# kubeadm join 10.0.0.231:6443 --token abc123.abcdabcd11122233 --discovery-token-ca-cert-hash sha256:1f92ee9dc95199d6d7af9b56218b18a3a6e184f3037e2f2b244bfbb6709d19cb
5,验证是否成功
[root@k8s231 ~]# kubectl get nodes
NAME STATUS ROLES AGE VERSION
k8s231 Ready control-plane,master 57d v1.23.17
k8s232 Ready <none> 57d v1.23.17
k8s233 Ready <none> 80s v1.23.17
至此,节点上线,就成功了;
四、拓展:bootstrap详解(了解即可)
我们刚刚,在节点上线时,创建了一个token,我们查询k8s系统中的secret资源,会发现有一个叫bootstrap-token-abc123的名称;
1,查看secret资源
我们发现,这个secret资源的名称,与我们创建token名称相同;
[root@k8s231 ~]# kubectl get secrets -A | grep abc123
2,base64解码secret资源信息
· yaml格式查看这个secret的信息
[root@k8s231 ~]# kubectl get -n kube-system secret bootstrap-token-abc123 -o yaml
..............
token-id: YWJjMTIz
token-secret: YWJjZGFiY2QxMTEyMjIzMw==
...............
· 反向解码base64
[root@k8s231 ~]# echo YWJjMTIz | base64 -d
abc123
[root@k8s231 ~]# echo YWJjZGFiY2QxMTEyMjIzMw== | base64 -d
abcdabcd11122233
我们可以看见,解码之后,就是我们床架你的token名称;
3,小结
也就是说,我们创建系统token,同时也在系统中,创建了secret资源;
4,查看新加入节点的证书
可以看到,新节点的证书创建时间,正是新节点使用token接入集群后,才创建的;
[root@k8s233 ~]# ll /etc/kubernetes/pki/
total 4
-rw-r--r-- 1 root root 1099 Feb 28 01:50 ca.crt
5,总结
前期,新节点没有证书,借助token联系apiserver加入集群
加入后,apiserver为新节点生成证书,用于以后交互使用;
第一个项目,就此结束;