《kubernetes权威指南·第四版》第二章：kubernetes安装配置指南

《kubernetes权威指南·第四版》第二章：kubernetes安装配置指南

1. Kubernetes需要容器运行时（Container Runtime Interface， CRI）的支持，目前官方支持的cri包含：docker、containerd、cri-o和frakti。
2. 禁用selinux

• 需要在主机上禁用selinux，让容器可以读取主机文件系统
• 修改系统文件/etc/sysconfig/selinux， 将selinux=enforcing修改成disabled，一定要重启

3. kubeadm命令行工具

• 致力于简化集群的安装过程
• kubeadm已经进入GA阶段（General Availability），参考https://blog.csdn.net/weixin_45534422/article/details/100108821
• kubeadm config view：查看当前集群中的配置值
• kubeadm config images list：列出所需的镜像列表
• kubeadm安装部设计网络插件CNI初始化，所以需要另外安装网络插件比如Calica插件，Calico插件需要指定–pod-network-cidr=x.x.x.x/16
• kubeadm在master上安装了kubelet，在默认情况下不参与工作负载（worker节点）
• 安装失败，kubeadm reset将主机恢复原状

4. k8s节点的进程

• 在Kubernetes的Master上需要部署etcd、kubeapiserver、kubecontrollermanager、kubescheduler服务进程，在工作Node上需要部署docker、kubelet和kubeproxy服务进程。
• WorkingDirectory（/var/lib/etcd/）表示etcd数据保存的目录，需要在启动etcd服务之前创建。
• kubeproxy服务依赖于network服务，设置systemd服务配置文件/usr/lib/systemd/system/kubeproxy.service。【发现worker节点上没有运行kube-proxy。查了下原来可以在终端上启动 kube-proxy ，也可以使用诸如 systemd 这样的工具来将它运行成一个service。ps -xxx | grep kube-proxy】

5. kubectl命令行工具比较特殊，它同时支持CA双向认证和简单认证两种模式与APIServer通信，其他客户端组件只能配置为双向安全认证或非安全模式与APIServer通信。
6. 集群升级

• 应对集群中的各Node逐个进行隔离，然后等待在其上运行的容器全部执行完成，再更新该Node上的kubelet和kubeproxy服务，将全部Node都更新完成后，再更新Master的服务。

7. Pod管理

• 在启动Pod之前，kubelet调用RuntimeService.RunPodSandbox来创建环境。这一过程包括为Pod设置网络资源（分配IP等操作）。PodSandbox被激活之后，就可以独立地创建、启动、停止和删除不同的容器了。kubelet会在停止和删除PodSandbox之前首先停止和删除其中的容器。