在Openrule上部署K3S群集

什么是K3S

K3s 是轻量级的 Kubernetes。K3s 易于安装，仅需要 Kubernetes 内存的一半，所有组件都在一个小于 100 MB 的二进制文件中。K3s 是一个完全兼容的 Kubernetes 发行版，具有以下增强功能：

• 打包为单个二进制文件。
• 使用基于 sqlite3 作为默认存储机制的轻量级存储后端。同时支持使用 etcd3、MySQL 和 Postgres。
• 封装在简单的启动程序中，可以处理很多复杂的 TLS 和选项。
• 默认情况下是安全的，对轻量级环境有合理的默认值。
• 所有 Kubernetes control plane 组件的操作都封装在单个二进制文件和进程中。因此，K3s 支持自动化和管理复杂的集群操作（例如证书分发等）。
• 最大程度减轻了外部依赖性，K3s 仅需要现代内核和 cgroup 挂载。K3s 打包了所需的依赖，包括：
  • containerd
  • Flannel (CNI)
  • CoreDNS
  • Traefik (Ingress)
  • Klipper-lb (Service LB)
  • 嵌入式网络策略控制器
  • 嵌入式 local-path-provisioner
  • 主机实用程序（iptables、socat 等）
    

节点准备

按照官方实践指南，主机配置使用2core CPU、2GiB Mem、40GiB Disk，并搭配Openruler22.03LTS。基本规划如下:

角色	主机名	IP地址	域名
Master1	k3master1	192.168.10.231	k3master1.contoso.com
Master2	k3master2	192.168.10.232	k3master2.contoso.com
Master3	k3master3	192.168.10.233	k3master3.contoso.com
Node1	k3node1	192.168.10.234	k3node1.contoso.com
Haproxy+KeepLived	k3lb1	192.168.10.235	k3lb1.contoso.com
Haproxy+KeepLived	k3lb2	192.168.10.236	k3lb2.contoso.com
External DataBase	k3master1	192.168.10.231	k3master1.contoso.com
DNS Server	k3master1	192.168.10.231	k3master1.contoso.com
Public IP		192.168.10.230

主机准备

# DNS Server 上创建对应主机解析

# 防火墙配置
firewall-cmd --set-default-zone=trusted
# pods
firewall-cmd --permanent --zone=trusted --add-source=10.42.0.0/16
# services
firewall-cmd --permanent --zone=trusted --add-source=10.43.0.0/16
# http,https,mysql,kube-apiserver
firewall-cmd --permanent --service={kube-apiserver,http,https,mysql}
firewall-cmd --reload

# 关闭selinux
sed -i 's/enforceing/disabled' /etc/selinux/config

# 关闭SWAP
swapoff -a ; sed -i '/swap/d' /etc/fstab

# 修改内核加载模块
cat > /etc/modules-load.d/containerd.conf <<EOF
overlay
br_netfilter
EOF

cat >> /etc/sysctl.conf <<EOF 
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
EOF

# 卸载Podman
dnf remove -y podman*
dnf install -y yum-utils device-mapper-persistent-data lvm2
dnf install -y ipvsadm bridge-utils jq 
dnf install -y bash-completion mariadb 

容器安装

# 添加软件源信息
dnf config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
sed -i 's+download.docker.com+mirrors.aliyun.com/docker-ce+' /etc/yum.repos.d/docker-ce.repo

# 更新并安装Docker-CE
dnf makecache
dnf install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

# 安装并锁定版本
dnf install -y python3-dnf-plugin-versionlock
dnf versionlock add docker-ce

# 配置加速源
mkdir -p /etc/docker
tee /etc/docker/daemon.json <<-'EOF'
{
  "group": "docker",
  "registry-mirrors": ["https://37y8py0j.mirror.aliyuncs.com"],
  "exec-opts": ["native.cgroupdriver=systemd"]  
}
EOF

# 重新加载并配置开机启动
systemctl daemon-reload
systemctl enable --now docker

# 拉取测试镜像
docker pull traefik/whoami
docker run -itd --rm -p 80:80 traefik/whoami:latest
curl localhost

# 加载github的Hosts地址
#sh -c 'sed -i "/# GitHub520 Host Start/Q" /etc/hosts && curl https://raw.hellogithub.com/hosts >> /etc/hosts'

# 重启
sync
ldconfig
reboot

数据库准备

# 安装MariaDB
dnf install -y mariadb mariadb-server mariadb-server
# 指定客户端和服务端使用utf8来访问mariadb
cat > /etc/my.cnf.d/charset.cnf <<EOF
[mysqld]
character-set-server = utf8mb4

[client]
default-character-set = utf8mb4
EOF

# 拉起服务
systemctl enable --now mariadb.service
systemctl status --no-pager mariadb.service

# 创建kubernetes数据库，用户名为k3s，密码为kubernetes
mysql -uroot -hlocalhost<< EOF
CREATE USER 'k3s' IDENTIFIED BY 'kubernetes';
CREATE DATABASE kubernetes CHARACTER SET 'utf8mb4' COLLATE 'utf8mb4_unicode_ci';
GRANT ALL PRIVILEGES ON kubernetes.* TO 'k3s'@'%';
FLUSH PRIVILEGES;
exit
EOF

# 访问测试
mysql -uk3s -pkubernetes -hlocalhost <<EOF
show databases;
exit
EOF

# 远程访问测试
mysql -uk3s -pkubernetes -hmysql.contoso.com <<EOF
show databases;
exit
EOF

群集部署

配置主机信任

[root@k3master1 ~]# ssh-keygen -t rsa -b 2048 -C "sujx@live.cn"
[root@k3master1 ~]# ssh-copy-id root@k3master1.contoso.com
[root@k3master1 ~]# ssh-copy-id root@k3master2.contoso.com
[root@k3master1 ~]# ssh-copy-id root@k3master3.contoso.com
[root@k3master1 ~]# ssh-copy-id root@k3node1.contoso.com

部署负载均衡器

# 软件安装
dnf makecache
dnf update -y
dnf install -y haproxy keeplived

# 开放端口
firewall-cmd --permanent --add-service=kube-apiserver
firewall-cmd --reload

# 配置haproxy
cat > /etc/haproxy/conf.d/k3s.cfg <<EOF
[root@k3lb1 keepalived]# cat > /etc/haproxy/conf.d/k3s.cfg << EOF
frontend k3s-frontend
    bind *:6443
    mode tcp
    option tcplog
    default_backend k3s-backend

backend k3s-backend
    mode tcp
    option tcp-check
    balance roundrobin
    default-server inter 10s downinter 5s
    server server-1 192.168.10.231:6443 check
    server server-2 192.168.10.232:6443 check
    server server-3 192.168.10.233:6443 check
EOF

配置Keeplived

在k3lb1（MASTER）上配置

cat > /etc/keepalived/keepalived.conf <<EOF
global_defs {
   router_id LVS_DEVEL
}

vrrp_script check_haproxy {
    script "/usr/bin/systemctl is-active haproxy"
    interval 2
    weight 2
}

vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1234
    }
    virtual_ipaddress {
        192.168.10.230/24 dev eth0 label eth0:1
    }
    track_script {
        check_haproxy
    }
}
EOF

在k3lb2（BACKUP）上配置

cat > /etc/keepalived/keepalived.conf <<EOF
global_defs {
   router_id LVS_DEVEL
}

vrrp_script check_haproxy {
    script "/usr/bin/systemctl is-active haproxy"
    interval 2
    weight 2
}

vrrp_instance VI_1 {
    state BACKUP
    interface eth0
    virtual_router_id 51
    priority 90
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1234
    }
    virtual_ipaddress {
        192.168.10.230/24 dev eth0 label eth0:1
    }
    track_script {
        check_haproxy
    }
}
EOF

启动服务

在两台 LB 节点上分别执行：

systemctl enable --now haproxy keepalived
systemctl status haproxy keepalived

验证 VIP 是否已绑定：

ip addr show eth0

部署server

在三个 Master 节点（k3master1、k3master2、k3master3）上依次执行 K3s 安装命令。注意：第一个节点执行后即初始化集群，后续节点只需指向相同的数据库端点即可自动加入。

# 安装命令
curl -sfL https://rancher-mirror.oss-cn-beijing.aliyuncs.com/k3s/k3s-install.sh | \
    INSTALL_K3S_MIRROR=cn \
    INSTALL_K3S_SKIP_SELINUX_RPM=true \
    INSTALL_K3S_EXEC="--docker --disable servicelb --disable traefik" \
    sh -s - \
    --system-default-registry registry.cn-hangzhou.aliyuncs.com \
    --datastore-endpoint="mysql://k3s:kubernetes@tcp(mysql.contoso.com:3306)/kubernetes" \
    --tls-san 192.168.10.230

参数说明：

• --docker：使用 Docker 作为容器运行时（也可用默认的 containerd）。
• --disable servicelb --disable traefik：禁用自带的负载均衡器和 Ingress，后续可自行部署 Metallb 或 Nginx Ingress。
• --tls-san：在 TLS 证书中添加额外的主机名或 IP，此处添加 VIP 地址，防止证书校验失败。

在所有三个 Master 节点上执行上述命令。安装完成后，可在任意 Master 上检查集群状态：

export KUBECONFIG=/etc/rancher/k3s/k3s.yaml
kubectl get nodes

应该看到三个 Master 节点均处于 Ready 状态，且角色均为 Control-Plane。

部署worker

在 Worker 节点（k3node1）上执行加入命令。首先从任一 Master 获取 Node Token：

cat /var/lib/rancher/k3s/server/node-token
# 输出类似：K1071ec63f7b...::server:...

然后执行安装命令，将 K3S_URL 指向负载均衡器的 VIP 和端口，K3S_TOKEN 替换为实际 token：

curl -sfL https://rancher-mirror.oss-cn-beijing.aliyuncs.com/k3s/k3s-install.sh | \
    INSTALL_K3S_MIRROR=cn \
    INSTALL_K3S_SKIP_SELINUX_RPM=true \
    K3S_URL=https://192.168.10.230:6443 \
    K3S_TOKEN=K1071ec63f7b...::server: \
    sh -s - --docker

等待片刻后，在 Master 上再次运行 kubectl get nodes，应能看到 Worker 节点状态为 Ready。

---

验证高可用

1. 关闭一个 Master 节点（如 k3master1），检查集群是否仍可正常操作：

   kubectl get nodes

   应仍能返回节点列表，只是故障节点状态变为 NotReady。

2. 重启 k3lb1 上的 Keepalived 或 HAProxy，观察 VIP 是否平滑切换到 k3lb2。

3. 创建一个测试应用：

   kubectl create deployment whoami --image=traefik/whoami
   kubectl expose deployment whoami --port=80 --type=NodePort
   kubectl get svc

   通过任意节点 IP + NodePort 访问服务，验证网络连通性。

---

附加说明

• 若需使用域名访问 API Server，请在 DNS 中添加 api.contoso.com 指向 VIP 192.168.10.230，并在安装时增加 --tls-san api.contoso.com。
• 如需部署 Ingress Controller，可后续安装 Nginx Ingress 或 Traefik，但需先移除 --disable traefik 选项或自行覆盖。
• 所有节点的防火墙规则已在主机准备阶段配置，若仍有通信问题，请检查 firewalld 是否放行了相关端口（如 6443、2379 等）。

至此，基于 OpenRuler 22.03 LTS 的 K3s HA 集群部署完成。