常见的k8s部署方式

1.Mini kube Minikube是一个工具，可以在本地快速运行一个单节点微型K8s，仅用于学习预览K8s的一些特性使用 部署地址:  https://kubernetes.io/docs/setup/minikube
2.Kubeadmin Kubeadmin也是一个工具，提供kubeadm init和kubeadm join，用于快速部署K8S集群，相对简单  https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/
3.二进制安装部署 生产首选，从官方下载发行版的二进制包，手动部署每个组件和自签TLS证书，组成K8s集群，新手推荐  https://github.com/kubernetes/kubernetes/releases

 Kubernetes二进制部署（单节点）

1.环境准备

使用远程连接软件为Xshell

服务器	IP	组件
k8s集群master1	192.168.65.20	kube-apiserver、kube-controller-manager、kube-scheduler、etcd
k8s集群node1	192.168.65.30	kubelet、kube-proxy、docker、flannel
k8s集群node2	192.168.65.40	kubelet、kube-proxy、docker、flannel

初始化步骤之前打开xshell工具中的“发送键输入到所有会话”

#关闭防火墙和安全功能
systemctl stop firewalld
systemctl disable firewalld
iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X
setenforce 0

#关闭swap
swapoff -a     #临时关闭
sed -ir 's/.*swap.*/#&/' /etc/fstab   #永久关闭，&符号代表前面匹配的所有

该步骤关闭“发送键输入所有会话”功能

#设置主机名
hostnamectl set-hostname master01
hostnamectl set-hostname node01
hostnamectl set-hostname node02

#在master添加hosts
cat >> /etc/hosts << EOF
192.168.65.20 master01
192.168.65.30 node01
192.168.65.40 node02
EOF

#将桥接的ipv4流量传递到iptables的链
cat > /etc/sysctl.d/k8s.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF

sysctl --system

#时间同步
yum install ntpdate -y
ntpdate time.windows.com

2. 部署etcd集群

注意：这里就不在单独的服务器上部署，直接部署在各节点上，节省资源

1.etcd目前默认使用2379端口提供HTTP API服务，2380端口和peer通信(这两个端口已经被TAMA(互联网数字分配机构)官方预留给etced)。即etcd默认使用2379端口对外为客户端提供通讯，使用端口2380来进行服务器间内部通讯
2.etcd在生产环境中一般推荐集群方式部署。由于etcd的leader选举机制，要求至少为3台或以上的奇数台
3.etcd作为服务发现系统，有以下的特点:
• 简单 安装配置简单，而且提供了HTTP API进行交互，使用也很简单
• 安全: 支持SSL证书验证
• 快速: 单实例支持每秒2k+读操作
• 可靠: 采用raft算法实现分布式系统数据的可用性和一致性
==========================================================
##准备签发证书环境
CFSSL是CloudFlare公司开源的一款PKI/TLS工具。CESSL 包含一个命令行工具和一个用于签名、验证和捆绑TLS证书的HTTP API服务。使用Go语言编写。
CFSSL使用配置文件生成证书，因此自签之前，需要生成它识别的json 格式的配置文件，CFSSL 提供了方便的命令行生成配置文件。
CFSSL用来为etcd提供TLS证书，它支持签三种类型的证书:
1、client证书，服务端连接客户端时携带的证书，用于客户端验证服务端身份，如kube-apiserver 访问etcd;
2、server证书，客户端连接服务端时携带的证书，用于服务端验证客户端身份，如etcd对外提供服务:
3、peer证书，相互之间连接时使用的证书，如etcd节点之间进行验证和通信。
这里全部都使用同一套证书认证。

1. 载证书制作工具

在 master01 节点上操作下载证书制作工具

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo 
或
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo 

chmod +x /usr/local/bin/cfssl*                       #提前下载好拉入/usr/local/bin/目录并授权    
字段解析
cfssl∶证书签发的工具命令
cfssljson∶将 cfssl 生成的证书（json格式）变为文件承载式证书
cfssl-certinfo∶验证证书的信息

cfssl-certinfo-cert <证书名称>                        #查看证书的信息

#创建k8s工作目录
mkdir /opt/k8s 
cd /opt/k8s/

#上传 etcd-cert.sh 和 etcd.sh 到 /opt/k8s/ 目录中
chmod +x etcd-cert.sh etcd.sh

#创建用于生成CA证书、etcd 服务器证书以及私钥的目录
mkdir /opt/k8s/etcd-cert 
mv etcd-cert.sh etcd-cert/
cd /opt/k8s/etcd-cert/
./etcd-cert.sh                                       #生成CA证书、etcd 服务器证书以及私钥

 2. 利用etcd-cert.sh生成CA证书、etcd服务器证书以及私钥

1.创建k8s.工作目录
mkdir /opt/k8s
cd /opt/k8s/

2.mkdir /opt/k8s/etcd-cert          #创建用于生成CA证书、etcd服务器证书以及私钥的目录
cd /opt/k8s/etcd-cert 
vim etcd-cert.sh
----------------------------------------------------------
cat > ca-config.json <<EOF            #CA证书配置文件
{
  "signing": {                    #键名称
    "default": {
      "expiry": "87600h"            #证书有效期（10年）
    },
    "profiles": {                #简介
      "www": {                    #名称
         "expiry": "87600h",
         "usages": [                #使用方法
            "signing",                #键
            "key encipherment",            #密钥验证（密钥验证要设置在CA证书中）
            "server auth",            #服务器端验证
            "client auth"            #客户端验证
        ]
      }
    }
  }
}
EOF
cat > ca-csr.json <<EOF                #CA签名
{
    "CN": "etcd CA",                #CA签名为etcd指定（三个节点均需要）
    "key": {
        "algo": "rsa",                #使用rsa非对称密钥的形式
        "size": 2048                #密钥长度为2048
    },
    "names": [                    #在证书中定义信息（标准格式）
        {
            "C": "CN",                #名称
            "L": "Beijing",        
            "ST": "Beijing"        
        }
    ]
}
EOF
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
cat > server-csr.json <<EOF            #服务器端的签名
{
    "CN": "etcd",
    "hosts": [                    #定义三个节点的IP地址
    "192.168.65.20",
    "192.168.65.30",
    "192.168.65.40"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}
EOF
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server     #cfssl 为证书制作工具
----------------------------------------------------------
chmod +x etcd-cert.sh 
./etcd-cert.sh 

 3.利用etcd.sh启动etcd

1）解压etcd包

#etcd二进制包地址: https://github.com/etcd-io/etcd/releases
1.上传etcd-v3.3.10-1inux-amd64.tar.gz 到/opt/k8s/目录中，解压etcd 压缩包
2.cd /opt/k8s/
tar zxvf etcd-v3.3.10-linux-amd64.tar.gz
3.1s etcd-v3.3.10-linux-amd64
Documentation etcd etcdctl README-etcdctl.md README.md
READMEv2-etcdctl.md
==========================================================
etcd就是etcd服务的启动命令，后面可跟各种启动参数
etcdct1主要为etcd服务提供了命令行操作
==========================================================

2）创建用于存放etcd配置文件，命令文件，证书的目录

mkdir -p /opt/etcd/{cfg,bin,ssl}
mv /opt/k8s/etcd-v3.3.10-linux-amd64/etcd /opt/etcd/bin/
mv /opt/k8s/etcd-v3.3.10-linux-amd64/etcdctl /opt/etcd/bin/
cp /opt/k8s/etcd-cert/*.pem /opt/etcd/ssl/

3）编写etcd.sh启动etcd（先起一台，再scp）

cd /opt/k8s
vim etcd.sh
----------------------------------------------------------
#!/bin/bash
#以下为使用格式：etcd名称 当前etcd的IP地址+完整的集群名称和地址
# example: ./etcd.sh etcd01 192.168.163.141 etcd02=https://192.168.163.132:2380,etcd03=https://192.168.163.131:2380
ETCD_NAME=$1                        #位置变量1：etcd节点名称
ETCD_IP=$2                        #位置变量2：节点地址
ETCD_CLUSTER=$3                        #位置变量3：集群
WORK_DIR=/opt/etcd                    #指定工作目录
cat <<EOF >$WORK_DIR/cfg/etcd                #在指定工作目录创建ETCD的配置文件
#[Member]
ETCD_NAME="${ETCD_NAME}"                #etcd名称
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_PEER_URLS="https://${ETCD_IP}:2380"        #etcd IP地址：2380端口。用于集群之间通讯
ETCD_LISTEN_CLIENT_URLS="https://${ETCD_IP}:2379"    #etcd IP地址：2379端口，用于开放给外部客户端通讯
#[Clustering]
ETCD_INITIAL_ADVERTISE_PEER_URLS="https://${ETCD_IP}:2380"
ETCD_ADVERTISE_CLIENT_URLS="https://${ETCD_IP}:2379"    #对外提供的url使用https的协议进行访问
ETCD_INITIAL_CLUSTER="etcd01=https://${ETCD_IP}:2380,${ETCD_CLUSTER}"        #多路访问
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"        #tokens 令牌环名称：etcd-cluster
ETCD_INITIAL_CLUSTER_STATE="new"            #状态，重新创建
EOF
cat <<EOF >/usr/lib/systemd/system/etcd.service        #定义ectd的启动脚本
[Unit]                                #基本项            
Description=Etcd Server                    #类似为 etcd 服务
After=network.target                    #vu癌症
After=network-online.target
Wants=network-online.target
[Service]                        #服务项
Type=notify
EnvironmentFile=${WORK_DIR}/cfg/etcd    #etcd文件位置
ExecStart=${WORK_DIR}/bin/etcd \            #准启动状态及以下的参数
--name=\${ETCD_NAME} \
--data-dir=\${ETCD_DATA_DIR} \
--listen-peer-urls=\${ETCD_LISTEN_PEER_URLS} \
--listen-client-urls=\${ETCD_LISTEN_CLIENT_URLS},http://127.0.0.1:2379 \
--advertise-client-urls=\${ETCD_ADVERTISE_CLIENT_URLS} \ #以下为群集内部的设定
--initial-advertise-peer-urls=\${ETCD_INITIAL_ADVERTISE_PEER_URLS} \
--initial-cluster=\${ETCD_INITIAL_CLUSTER} \
--initial-cluster-token=\${ETCD_INITIAL_CLUSTER_TOKEN} \    #群集内部通信，也是使用的令牌，为了保证安全（防范中间人窃取）
--initial-cluster-state=new \
--cert-file=${WORK_DIR}/ssl/server.pem \        #证书相关参数
--key-file=${WORK_DIR}/ssl/server-key.pem \
--peer-cert-file=${WORK_DIR}/ssl/server.pem \
--peer-key-file=${WORK_DIR}/ssl/server-key.pem \
--trusted-ca-file=${WORK_DIR}/ssl/ca.pem \
--peer-trusted-ca-file=${WORK_DIR}/ssl/ca.pem
Restart=on-failure
LimitNOFILE=65536                    #开放最多的端口号
[Install]
WantedBy=multi-user.target                #进行启动
EOF
systemctl daemon-reload                    #参数重载
systemctl enable etcd
systemctl restart etcd
----------------------------------------------------------
chmod +x etcd.sh
主机master01：./etcd.sh etcd01 192.168.65.20 etcd02=https://192.168.65.30:2380,etcd03=https://192.168.65.40:2380    #执行脚本

另外打开一个终端窗口查看etcd进程是否正常
ps -ef | grep etcd

//把etcd相关证书文件和命令文件全部拷贝到另外两个etcd集群节点
scp -r /opt/etcd/ root@192.168.65.40:/opt/
scp -r /opt/etcd/ root@192.168.65.30:/opt/

//把etcd服务管理文件拷贝到另外两个etcd集群节点
scp /usr/lib/systemd/system/etcd.service root@192.168.163.132:/usr/lib/systemd/system/
scp /usr/lib/systemd/system/etcd.service root@192.168.163.131:/usr/lib/systemd/system/

修改vim /opt/etcd/cfg/etcd文件，每一台主机都有自己的etc编号和ip，除了集群那行一致，其他都要修改成本机ip和etc编号

再次systemctl daemon-reload                    #参数重载
systemctl enable etcd
systemctl restart etcd

4.在master01节点上测试健康检查

1.ln -s /opt/etcd/bin/etcd* /usr/local/bin 
2.检查etcd群集状态
cd /opt/etcd/ssl
etcdctl \
--ca-file=ca.pem \
--cert-file=server.pem \
--key-file=server-key.pem \
--endpoints="https://192.168.163.141:2379,https://192.168.163.132:2379,https://192.168.163.131:2379" \
cluster-health
==========================================================
--cert-file:识别HTTPS端使用sSL证书文件
--key-file: 使用此SSL密钥文件标识HTTPS客户端
-ca-file:使用此CA证书验证启用https的服务器的证书
--endpoints:集群中以逗号分隔的机器地址列表
cluster-health:检查etcd集群的运行状况
==========================================================
3.切换到etcd3版本查看集群节点状态和成员列表
export ETCDCTL_API=3
#v2和v3命令略有不同，etcd2 和etcd3也是不兼容的，默认是v2版本
etcdctl --write-out=table endpoint status
etcdctl --write-out=table member list
export ETCDCTL_API=2
#再切回v2版本

3.部署docker引擎（两台node节点上部署）

yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io

systemctl start docker.service
systemctl enable docker.service

部署Master组件

//在 master01 节点上操作
#上传 master.zip 和 k8s-cert.sh 到 /opt/k8s 目录中，解压 master.zip 压缩包
cd /opt/k8s/
unzip master.zip
chmod +x *.sh

mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}
#创建用于生成CA证书、相关组件的证书和私钥的目录
mkdir /opt/k8s/k8s-cert
mv /opt/k8s/k8s-cert.sh /opt/k8s/k8s-cert
cd /opt/k8s/k8s-cert/
./k8s-cert.sh

ls *pem
admin-key.pem  apiserver-key.pem  ca-key.pem  kube-proxy-key.pem  
admin.pem      apiserver.pem      ca.pem      kube-proxy.pem

cp ca*pem apiserver*pem /opt/kubernetes/ssl/

#上传 kubernetes-server-linux-amd64.tar.gz 到 /opt/k8s/ 目录中，解压 kubernetes 压缩包

cd /opt/k8s/
tar zxvf kubernetes-server-linux-amd64.tar.gz

cd /opt/k8s/kubernetes/server/bin
cp kube-apiserver kubectl kube-controller-manager kube-scheduler /opt/kubernetes/bin/
ln -s /opt/kubernetes/bin/* /usr/local/bin/

#创建 bootstrap token 认证文件，apiserver 启动时会调用，然后就相当于在集群内创建了一个这个用户，接下来就可以用 RBAC 给他授权

cd /opt/k8s/
vim token.sh
#!/bin/bash
#获取随机数前16个字节内容，以十六进制格式输出，并删除其中空格
BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
#生成 token.csv 文件，按照 Token序列号,用户名,UID,用户组 的格式生成
cat > /opt/kubernetes/cfg/token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

chmod +x token.sh
./token.sh

cat /opt/kubernetes/cfg/token.csv

cd /opt/k8s/
./apiserver.sh 192.168.65.30 https://192.168.65.30:2379,https://192.168.65.40:2379,https://192.168.65.30:2379

ps aux | grep kube-apiserver

netstat -natp | grep 6443   #安全端口6443用于接收HTTPS请求，用于基于Token文件或客户端证书等认证

cd /opt/k8s/

#启动 scheduler 服务，#启动 controller-manager 服务

#启动 scheduler 服务
./scheduler.sh
ps aux | grep kube-scheduler

#启动 controller-manager 服务
./controller-manager.sh
ps aux | grep kube-controller-manager

#生成kubectl连接集群的证书
vim admin.sh
./admin.sh

kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous

#通过kubectl工具查看当前集群组件状态

kubectl get cs
NAME                 STATUS    MESSAGE             ERROR
controller-manager   Healthy   ok                  
scheduler            Healthy   ok                  
etcd-2               Healthy   {"health":"true"}   
etcd-1               Healthy   {"health":"true"}   
etcd-0               Healthy   {"health":"true"}  

#查看版本信息
kubectl version

部署Worker Node组件

//在所有 node 节点上操作
#创建kubernetes工作目录
mkdir -p /opt/kubernetes/{bin,cfg,ssl,logs}

#上传 node.zip 到 /opt 目录中，解压 node.zip 压缩包，获得kubelet.sh、proxy.sh
cd /opt/
unzip node.zip
chmod +x kubelet.sh proxy.sh

//在 master01 节点上操作
#把 kubelet、kube-proxy 拷贝到 node 节点
cd /opt/k8s/kubernetes/server/bin
scp kubelet kube-proxy root@192.168.65.40:/opt/kubernetes/bin/
scp kubelet kube-proxy root@192.168.65.30:/opt/kubernetes/bin/
到两个node节点上查看一下
cd  /opt/kubernetes/bin/
ls

#上传 kubeconfig.sh 文件到 /opt/k8s/kubeconfig 目录中，生成 kubeconfig 的配置文件
mkdir /opt/k8s/kubeconfig

cd /opt/k8s/kubeconfig
chmod +x kubeconfig.sh
./kubeconfig.sh 192.168.65.30 /opt/k8s/k8s-cert/
ls

scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.65.40:/opt/kubernetes/cfg/
scp bootstrap.kubeconfig kube-proxy.kubeconfig root@192.168.65.30:/opt/kubernetes/cfg/
到两个node节点上查看一下
cd  /opt/kubernetes/cfg/
ls

#RBAC授权，使用户 kubelet-bootstrap 能够有权限发起 CSR 请求
kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap

//在 node01 节点上操作
#启动 kubelet 服务
cd /opt/
./kubelet.sh 192.168.65.40
检查kubelet服务启动
ps aux | grep kubelet
此时还没有生成证书
ls /opt/kubernetes/ssl/

//在 master01 节点上操作，通过 CSR 请求
#检查到 node01 节点的 kubelet 发起的 CSR 请求，Pending 表示等待集群给该节点签发证书
kubectl get csr
NAME                                                   AGE  SIGNERNAME                                    REQUESTOR           CONDITION
node-csr-mVLOAb4pydeAnoXysOn6w1iLZWeFt6K-hTve1uN0nls   104s  kubernetes.io/kube-apiserver-client-kubelet   kubelet-bootstrap   Pending

#通过 CSR 请求
kubectl certificate approve node-csr-mVLOAb4pydeAnoXysOn6w1iLZWeFt6K-hTve1uN0nls

#Approved,Issued 表示已授权 CSR 请求并签发证书
kubectl get csr
NAME                                                   AGE  SIGNERNAME                                    REQUESTOR           CONDITION
node-csr-mVLOAb4pydeAnoXysOn6w1iLZWeFt6K-hTve1uN0nls   2m5s kubernetes.io/kube-apiserver-client-kubelet   kubelet-bootstrap   Approved,Issued

#查看节点，由于网络插件还没有部署，节点会没有准备就绪 NotReady
kubectl get node
NAME            STATUS     ROLES    AGE    VERSION
192.168.65.40   NotReady   <none>   108s   v1.20.11

注意：IP变了，实验顺序照做，步骤都是对的

在node1节点上操作

======在node1节点上操作======
//自动生成了证书和kubelet.kubeconfig 文件
ls /opt/kubernetes/cfg/kubelet.kubeconfig
ls /opt/kubernetes/ssl/

//加载ip_vs模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F
filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

//使用proxy.sh脚本启动proxy服务
cd /opt/
chmod +x proxy.sh 
./proxy.sh 192.168.65.30

systemctl status kube-proxy.service 

在node2节点上操作

======node2 节点部署======

//在node1 节点上将kubelet.sh、 proxy.sh 文件拷贝到node2 节点
cd /opt/
scp kubelet.sh proxy.sh root@192.168.19.17:/opt/

//node2 节点
//使用kubelet.sh脚本启动kubelet服务
cd /opt/
chmod +x kubelet.sh 
./kubelet.sh 192.168.65.40

//在master1 节点上操作,检查到node2 节点的kubelet 发起的CSR请求，Pending 表示等待集群给该节点签发证书.
kubectl get csr

//通过CSR请求
kubectl certificate approve node-csr-kU23IYdg-W6ZpmZmIJrtDXV-bOVDeQalSqEWxh8Trv8

//再次查看CSR请求状态，Approved, Issued表示已授权CSR请求并签发证书
kubectl get csr

//查看群集节点状态，成功加入node1节点
kubectl get nodes

//在node2 节点 加载ip_vs模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o "^[^.]*");do echo $i; /sbin/modinfo -F filename $i >/dev/null 2>&1 && /sbin/modprobe $i;done

//使用proxy.sh脚本启动proxy服务
cd /opt/
chmod +x proxy.sh 
./proxy.sh 192.168.65.40

systemctl status kube-proxy.service

部署网络组件

部署 flannel

//在 node01 节点上操作
#上传 cni-plugins-linux-amd64-v0.8.6.tgz 和 flannel.tar 到 /opt 目录中
cd /opt/
docker load -i flannel.tar

mkdir /opt/cni/bin -p
tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin

//在 master01 节点上操作
#上传 kube-flannel.yml 文件到 /opt/k8s 目录中，部署 CNI 网络
cd /opt/k8s
kubectl apply -f kube-flannel.yml 

kubectl get pods -n kube-system
NAME                    READY   STATUS    RESTARTS   AGE
kube-flannel-ds-hjtc7   1/1     Running   0          7s

kubectl get nodes
NAME            STATUS   ROLES    AGE   VERSION
192.168.65.30   Ready    <none>   81m   v1.20.11

部署 Calico

//在 master01 节点上操作
#上传 calico.yaml 文件到 /opt/k8s 目录中，部署 CNI 网络
cd /opt/k8s
vim calico.yaml
#修改里面定义Pod网络（CALICO_IPV4POOL_CIDR），与前面kube-controller-manager配置文件指定的cluster-cidr网段一样
    - name: CALICO_IPV4POOL_CIDR
      value: "192.168.0.0/16"
  
kubectl apply -f calico.yaml

kubectl get pods -n kube-system
NAME                                       READY   STATUS    RESTARTS   AGE
calico-kube-controllers-659bd7879c-4h8vk   1/1     Running   0          58s
calico-node-nsm6b                          1/1     Running   0          58s
calico-node-tdt8v                          1/1     Running   0          58s

#等 Calico Pod 都 Running，节点也会准备就绪
kubectl get nodes

flannel网络配置

1. K8S中Pod网络通信的方式
1.Pod内容器与容器之间的通信：
在同一个Pod内的容器(Pod内的容器是不会跨宿主机的)共享同一个网络命令空间，相当于它们在网一台机器上一样，可以用localhost地址访间彼此的端口
2.同一个Node内Pod之间的通信：
每个Pod 都有一个真实的全局IP地址，同一个Node 内的不同Pod之间可以直接采用对方Pod的IP地址进行通信，Pod1与Pod2都是通过veth连接到同一个docker0网桥，网段相同，所以它们之间可以直接通信
3.不同Node上Pod之间的通信：
Pod地址与docker0在同一网段，dockor0网段与宿主机网卡是两个不同的网段，且不同Nodo之间的通信贝能通过宿主机的物理网卡进行

2. 不同Node上Pod之间的通信介绍
要想实现不同Node上Pod之间的通信，就必须想办法通过主机的物理网卡IP地址进行寻址和通信。因此要满足两个条件:
1.Pod的IP不能冲突:
2.将Pod的IP和所在的Node的IP关联起来，通过这个关联让不同Node上Pod之间直接通过内网IP地址通信。

1.Overlay Network:
叠加网络，在二层或者三层基础网络上叠加的一种虚拟网络技术模式，该网络中的主机通过虚拟链路隧道连接起来(类似于VPN)
2.VXLAN:
将源数据包封装到UDP中，并使用基础网络的IP/MAC作为外层报文头进行封装，然后在以太网上传输，到达目的地后由隧道端点解封装并将数据发送给目标地址
3.Flannel:
Flannel功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址,Flannel是Overlay 网络的一种，也是将TCP 源数据包封装在另一种网络 包里而进行路由转发和通信，目前己经支持UDP、VXLAN、AwS VPC等数据转发方式
4.ETCD之Flannel提供说明:
存储管理Flanne1可分配的IP地址段资源；监控ETCD中每个Pod 的实际地址，并在内存中建立维护Pod节点路由表

Flannel工作原理

 node1上的pod1要和node2上的pod1进行通信

1.数据从node1上的Pod1源容器中发出，经由所在主机的docker0虚拟网卡转发到flannel0虚拟网卡；
2.在flannel0网卡有个flanneld服务把pod ip封装到udp中（里面封装的是源pod IP和目的pod IP);
3.根据在etcd保存的路由表信息，通过物理网卡发送给目的node2节点，数据包到达目标node2节点会被flanneld服务来进行解封装暴露出udp里的podIP;
4.最后根据目的podIP经flannel0虚拟网卡和docker0虚拟网卡转发到目的pod中，最后完成通信