在Openstack上创建并访问Kubernetes集群
第一部分:创建集群
在Openstack部署Kubernetes集群运行Nginx容器的步骤,其中包括:
- 利用Murano部署Kubernetes集群
- 配置Openstack的安全性使Kubernetes集群可 以在Openstack使用
- 下载并配置kubernetes客户端
- 创建Kubernetes应用程序
- 在Kubernetes上运行应用程序
现在让我们开始:
利用Murano创建Kubernetes集群
第一步是创建kubernetes集群。有几种方法都可以做到这一点,但是最简单的方式是通过部署Mirantis Openstack平台与Murano组件实现。
导入Kubernetes集群应用
第一步在Openstack社区的应用目录中获取Kubernetes集群应用,遵循以下步骤:
1、登录Horizon,进入Applications->Manage->Packages.
2、进入社区应用目录并且选择Murano Apps->Kubernetes Cluster获取Kubernetes集群应用,找到应用包本身的URL:http://storage.apps.openstack.org/apps/com.mirantis.docker.kubernetes.KubernetesCluster.zip.
3、回到Horizon界面,点击Import Package。
4、在Package Source选择URL并且添加第二步的URL地址然后点击下一步:
5、Murano自动开始下载应用所需的镜像,然后将其标记为为Murano使用;你无需做任何操作只需点击‘Import’后等待。点击Project->Images查看下载中的镜像状态显示为‘保存中’:
6、一旦他们完成保存,你可以看到镜像状态变为‘Active’:
接下来,我们将部署包Kubernetes master和minions的环境。
在Murnao环境下创建Kubernetes
1、在Horizon界面,选择Applications->Browse.,你可以在Recent Activity下看到新的应用。
2、为了简化步骤,点击Quick Deploy直接进行快速部署。
3、选项默认值,点击下一步。
4、选择Debian镜像点击创建。
5、自动进入Environment界面,此时应用已经创建但并没有部署:
6、点击‘Deploy This Environment’,在此过程中进行一系列操作:创建VMs,网络,安全组等。你可以在主环境页面查看日志:
7、当部署完成后,你可以查看状态变为Ready:
8、那么你从哪里可以访问集群呢?点击‘Latest Deployment Log’查看集群分配的IP地址:
现在你可以注意到4个不同的节点:网关-1,kube-1,kube-2和kube-3。点击Project->Compute->Instances查看这些实例,Kubernetes API运行在Kube-1上。
第二部分:访问集群
为了访问在第一部分创建的kubernetes集群,我们先创建Ubuntu VM(如果已经有Ubuntu机器可以忽略)然后进行配置来访问刚刚部署的Kubernetes API。
创建客户端VM
- 点击Project->Compute->Intances->Launch Instance创建新的VM:
- 你无须担心获取镜像,因为你已经有了Ubuntu Kubernetes镜像作为Murano应用的一部分下载完成了。点击‘+’选择。(你也可以选择其他的发行版)。
- 你需要为Ubuntu镜像选择足够大的云主机类型,所以至少选择m1.small云主机类型:
- 网络可以选择集群已有的网络,但是没有关系,我们都是利用浮动IP,只要确保它在网络上。
- 接下来确保你有密钥对,因为我们需要它来登录机器:
- 创建完成
- 点击实例的下拉按钮选择绑定浮动IP,如果没有分配的浮动IP地址,点击‘+’分配一个新的浮动IP地址:
- 选择合适的网络并且点击分配IP:
- 将浮动IP绑定到VM上:
- 你将看到实例上列出的新的浮动IP
- 在登录之前,需要确保安全组允许SSH访问,点击Project->Compute->Access & Security选择默认安全组的管理规则菜单:
- 点击+添加规则:
- 在Rule向导中选择SSH并点击Add:
- 在管理规则页面会看到添加的新的规则:
- 现在使用SSH客户端通过设定的用户名和私钥访问创建的VM
现在你可以在集群中部署容器了。
第三部分:运行应用
在第二部分,你已经创建的集群,那么最后你可以准备与Kubernetes API实现交互,一般过程如下:
- 为访问你的应用定义安全的身份认证
- 在集群中部署容器化应用
- 将应用暴露到外部环境提供访问
现在让我们来看看是如何操作。
为你的Kubernetes应用定义安全参数
你需要了解的第一件事是,我们有一组机器与Kubernetes API绑在一起,它可以支持多种环境,每个都有自己的安全凭证。
例如,如果你要创建依赖于特定认证授权的应用程序,我也可以创建依赖于另一个认证授权的应用,我们可以各自控制自己的应用,但是不能看到对方的应用。
1.首先我们需要创建一个新的认证凭证用来签发其他的证书。采用以下命令创建:
- 这时你应该有两个文件:ca-key.pem和ca.pem,你可以用他们来创建集群管理员密钥对。为此,你将创建私钥(admin-key.pem),之后创建一个认证签名请求(admin.csr),然后签名以创建公钥(admin.pem)。
现在你有了这些文件,就可以利用他们来配置kubernetes客户端。
下载并配置Kubernetes客户端
-
在机器上开始下载kubectl客户端,此场景我们采用Linux,根据你的OS选择合适的方式。
-
设置kubectl为可执行:
-
将它移到本地目录:
-
现在开始设置默认集群,你需要使用从环境部署的日志中获取的URL,此外确保你提供ca.pem文件的绝对路径。
-
接下来你需要告知kubectl如何找到认证:
-
现在你需要设置环境让kubectl知道去使用这些认证:
-
现在你应该能够看见集群信息:
在kubernetes上运行应用
在kubernetes上运行应用十分简单,涉及容器的启动。我们之后会做详细介绍。
1.开始创建Nginx web server的部署:
-
默认容器只有集群的成员可见,为了将服务暴露给外部网络,运行以下命令:
-
我们使用了NodePort类型,这意味着外部IP是正在运行的节点IP,你可以查看是否获取了服务列表:
-
这里引用的节点是kube-2和kube-3(Kube-1是API服务器),我们可以从实例页面获取它们的IP地址:
-
但是服务列表中并没有告诉我们实际的端口数,为了获取实际端口数,可以运行以下命令:
-
这样服务在端口32386可用,但是如果你尝试访问它会发现失败:
-
默认情况下会出现上述问题,因为这个端口被默认的安全组关闭,为了解决这个问题,需要创建新的安全组适用于kubernetes节点,点击Project->Compute->Access& Security->+Create Security Group。
-
定义组名称点击‘创建安全组’。
-
点击步骤8创建的安全组的‘管理规则’:
- 点击‘+Add Rule’:
- 此例中我们自定义TCP规则运行在端口32386(或者kubernetes在NodePort中分配的端口)的入口流量,你可以定义仅从特定的IP地址访问,点击‘Add’完成规则的添加。
-
现在你可以将上述步骤设定的安全组添加到kubernetes集群中作为工作节点的实例中(kube-2和kube-3节点),点击每个实例行末的小三角选择‘编辑安全组’。
-
在左边面板可以看到之前创建新的安全组;点击‘+’将它添加到实例中:
- 点击‘保存’。
-
为集群的所有工作节点添加安全组。
-
现在你可以重新尝试访问。
正如图所示,现在你可以访问部署在Kubernetes集群的Nginx容器。
本文转自中文社区- 在Openstack上创建并访问Kubernetes集群