k8s二进制安装apiserver安装

　　开始是一个master，两个node节点，后面再扩。
　　使用centos7系统，前面文章已经安装过etcd。下载k8s组件包
　　wgethttps：dl。k8s。iov1。21。10kubernetesserverlinuxamd64。tar。gz
　　tarzxfkubernetesserverlinuxamd64。tar。gz
　　cdkubernetesserverbin
　　cpkubeapiserverkubectlkubecontrollermanagerkubeschedulerusrlocalbin
　　scpkubeletkubeproxyFNSHB109：usrlocalbin
　　scpkubeletkubeproxynode1：usrlocalbin
　　scpkubeletkubeproxynode2：usrlocalbin
　　mkdirpetckubernetes
　　mkdirpetckubernetesssl
　　mkdirpvarlogkubernetesk8s集群证书配置
　　一个应用程序访问httpsAPI（自签证书），有两种方式，证书添加IP可信任（写在证书的json的host文件里面）和携带CA证书。ca证书在etcd那篇文章里面已经配置过，这里直接配置kubeapiservercsr。json请求文件，再利用ca证书和私钥，形成kubeapiserver证书。cdrootk8sbinaryTLSk8s〔rootFNSHB109k8s〕catkubeapiservercsr。json｛CN：kubernetes，hosts：〔10。0。0。1，127。0。0。1，135。251。205。109，135。251。206。138，135。251。206。137，135。251。205。75，135。251。205。73，135。251。205。76，kubernetes，kubernetes。default，kubernetes。default。svc，kubernetes。default。svc。cluster，kubernetes。default。svc。cluster。local〕，key：｛algo：rsa，size：2048｝，names：〔｛C：CN，L：BeiJing，ST：BeiJing，O：k8s，OU：System｝〕｝
　　cfsslgencertcaca。pemcakeycakey。pemconfigcaconfig。jsonprofilekuberneteskubeapiservercsr。jsoncfssljsonbarekubeapiserver
　　随机生成序列号，并定义token。csvcattoken。csvEOF（headc16devurandomodAntxtrd），kubeletbootstrap，10001，system：kubeletbootstrapEOF
　　kubelet采用TLSBootstrapping机制，自动完成到kubeapiserver的注册，在node节点量较大或者后期自动扩容时非常有用。
　　Masterapiserver启用TLS认证后，node节点kubelet组件想要加入集群，必须使用CA签发的有效证书才能与apiserver通信，当node节点很多时，签署证书是一件很繁琐的事情。因此Kubernetes引入了TLSbootstraping机制来自动颁发客户端证书，kubelet会以一个低权限用户自动向apiserver申请证书，kubelet的证书由apiserver动态签署。
　　kubelet首次启动通过加载bootstrap。kubeconfig中的用户Token和apiserverCA证书发起首次CSR请求，这个Token被预先内置在apiserver节点的token。csv中，其身份为kubeletbootstrap用户和system：kubeletbootstrap用户组；想要首次CSR请求能成功（即不会被apiserver401拒绝），则需要先创建一个ClusterRoleBinding，将kubeletbootstrap用户和system：nodebootstrapper内置ClusterRole绑定（通过kubectlgetclusterroles可查询），使其能够发起CSR认证请求。
　　TLSbootstrapping时的证书实际是由kubecontrollermanager组件来签署的，也就是说证书有效期是kubecontrollermanager组件控制的；kubecontrollermanager组件提供了一个experimentalclustersigningduration参数来设置签署的证书有效时间；默认为8760h0m0s，将其改为87600h0m0s，即10年后再进行TLSbootstrapping签署证书即可。
　　也就是说kubelet首次访问APIServer时，是使用token做认证，通过后，ControllerManager会为kubelet生成一个证书，以后的访问都是用证书做认证了。
　　生成kubeapiserver的配置文件和启动文件
　　cdrootk8sbinaryTLSk8s
　　cprootk8sbinaryTLSk8stoken。csvetckubernetesssl
　　cprootk8sbinaryTLSk8sca。pemetckubernetesssl
　　cprootk8sbinaryTLSk8skubeapi。pemetckubernetesssl
　　scpca。pemnode1：etckubernetesssl
　　scpca。pemnode2：etckubernetesssl
　　scprootk8sbinaryTLSk8stoken。csvnode1：etckubernetesssl
　　scprootk8sbinaryTLSk8stoken。csvnode1：etckubernetesssl
　　catetckuberneteskubeapiserver。confEOFKUBEAPISERVEROPTSenableadmissionpluginsNamespaceLifecycle，NodeRestriction，LimitRanger，ServiceAccount，DefaultStorageClass，ResourceQuotaanonymousauthfalsebindaddress135。251。205。109secureport6443advertiseaddress135。251。205。109authorizationmodeNode，RBACruntimeconfigapialltrueenablebootstraptokenauthserviceclusteriprange10。96。0。016tokenauthfileetckubernetesssltoken。csvservicenodeportrange3000032767tlscertfileetckubernetessslkubeapiserver。pemtlsprivatekeyfileetckubernetessslkubeapiserverkey。pemclientcafileetckubernetessslca。pemkubeletclientcertificateetckubernetessslkubeapiserver。pemkubeletclientkeyetckubernetessslkubeapiserverkey。pemserviceaccountkeyfileetckubernetessslcakey。pemserviceaccountsigningkeyfileetckubernetessslcakey。pemserviceaccountissuerapietcdcafileetcetcdsslca。pemetcdcertfileetcetcdssletcd。pemetcdkeyfileetcetcdssletcdkey。pemetcdservershttps：135。251。205。109：2379，https：135。251。206。138：2379，https：135。251。206。137：2379enableswaggeruitrueallowprivilegedtrueapiservercount1auditlogmaxage30auditlogmaxbackup3auditlogmaxsize100auditlogpathvarlogkubeapiserveraudit。logeventttl1halsologtostderrtruelogtostderrfalselogdirvarlogkubernetesv4EOFcatetcsystemdsystemkubeapiserver。serviceEOF〔Unit〕DescriptionKubernetesAPIServerDocumentationhttps：github。comkuberneteskubernetesAfteretcd。serviceWantsetcd。service〔Service〕EnvironmentFileetckuberneteskubeapiserver。confExecStartusrlocalbinkubeapiserverKUBEAPISERVEROPTSRestartonfailureTypenotifyLimitNOFILE65536〔Install〕WantedBymultiuser。targetEOF
　　systemctldaemonreload
　　systemctlenablekubeapiserver
　　systemctlstartkubeapiserver
　　systemctlstatuskubeapiserver〔rootFNSHB109k8s〕systemctlstatuskubeapiserverkubeapiserver。serviceKubernetesAPIServerLoaded：loaded（etcsystemdsystemkubeapiserver。service；enabled；vendorpreset：disabled）Active：active（running）since四2022051213：36：24CST；6hagoDocs：https：github。comkuberneteskubernetesMainPID：29736（kubeapiserver）Tasks：44Memory：381。4MCGroup：system。slicekubeapiserver。service