Kubernetes the hard way

Тут заметки о том как я пробую заставить себя изучить K8S

• https://github.com/kelseyhightower/kubernetes-the-hard-way

Я попробовал творчески переосмыслить это руководство и так же добавить свои пояснения что и нахрена я делаю и почему именно так. Настраиваю k8s я первый раз и тут возможны ошибки.

Описание "лаборатории"

• Натройка каталиста C3560 C3560_for_lab

• Используется три ноды которые имитируют три раззных AZ в пределах одного региона
• Для сервисов задаются ДНС-записи если это необходимо
• Каждая нода находится в своем VLAN
  • node 1 AZ1 == VLAN 2001 == 10.240.1.2/24, GW (catalyst) 10.240.1.1
  • node 2 AZ2 == VLAN 2001 == 10.240.2.2/24, GW (catalyst) 10.240.2.1
  • node 3 AZ3 == VLAN 2001 == 10.240.3.2/24, GW (catalyst) 10.240.3.1

POD CIDR

• 10.241.1.0/24
• 10.241.2.0/24
• 10.241.3.0/24

Подготовка системы

отключить swap

кублету нужны дополнительные настройки что бы работать со свапом

dphys-swapfile uninstall

systemd-resolved

Я так и не выяснил почему нужен systemd-resolved - но тем не менее без него не работает

systemctl start systemd-resolved
systemctl enable systemd-resolved

PKI

Абсолютно необходимый шаг это настройка - настройка инфраструктуры ключей и сертефикатов

• Предварительная настройка (Vault) - https://noname.com.ua/mediawiki/index.php/Vault_PKI

Перед началом работы распределить CA по всем нодам

curl http://vault.home:8200/v1/pki_root_ca/ca/pem -o /usr/local/share/ca-certificates/rootCA.crt
update-ca-certificates

Распространить сертефикат

curl http://vault.home:8200/v1/pki_root_ca/ca/pem -o /usr/local/share/ca-certificates/rootCA.crt
update-ca-certificates

Etcd

• Подготовка кластера etcd вынесена в отдельный докумет из-за размеров - https://noname.com.ua/mediawiki/index.php/Etcd

Связнные статьи

При подготовке пришлось настроить некоторые сервисы или железки (которые не относятся непосредственно к K8S но тем не менее необходимы)