HomeMet K8s de docker containers voor EJBCA beheren
Kan het doen met kubeadm aan de hand van installing
kubeadm. Eerst een /etc/yum.repos.d/kubernetes.repo toevoegen met de tekst:
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
exclude=kubelet kubeadm kubectl
Dan installeren met sudo dnf install kubeadm --disableexcludes=kubernetes. Hierna moet je
k8s
initialiseren, hiervoor moet je wel wat instellingen verandern. Ten eerste kube-apiserver als service en
10250/tcp toevoegen aan firewalld. Docker werkt niet meer standaard met k8s sinds 2020, dus
moet je
cri-docker installeren aan de hand van de
rpm-package. Ook
moet je de systemd cri-docker.service en cri-docker.socket enablen, de socket moet je ook starten. Ook
moet je
dat k8s doorgeven dat je docker gebruikt en gaat het zeuren dat swap aan staat. Dat moet je allebei
instellen.
Maak daarvoor een config.yaml-bestand met deze inhoud:
apiVersion: kubeadm.k8s.io/v1beta3
kind: InitConfiguration
nodeRegistration:
criSocket: unix:///var/run/cri-dockerd.sock
---
apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
failSwapOn: false
En doe sudo kubeadm init --config config.yaml, daarna geeft het dit bericht:
Your Kubernetes control-plane has initialized successfully!
To start using your cluster, you need to run the following as a regular user:
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
Alternatively, if you are the root user, you can run:
export KUBECONFIG=/etc/kubernetes/admin.conf
You should now deploy a pod network to the cluster.
Run "kubectl apply -f [podnetwork].yaml" with one of the options listed at:
https://kubernetes.io/docs/concepts/cluster-administration/addons/
Then you can join any number of worker nodes by running the following on each as root:
kubeadm join <IP van machine>:6443 --token <token.token> \
--discovery-token-ca-cert-hash sha256:<sha256 hash>
Het bovenstaande verwacht dat je k8s kan installeren op de pods. Dat is bij de EJBCA docker containers niet (makkelijk) mogelijk.
Aan de hand van deze vergelijking is het waarschijnlijk makkelijker om Kubespray te gebruiken, zie daarvoor deze tutorial. Dat gebruikt o.a. ansible playbooks om het installeren. Dus dat maar proberen.
Als je de inventory file wil maken, eerst de Github repo clonen. In de
geclone repo
gaan met cd en aan de hand van deze
stappen de
inventory maken. Hiervoor doe je de volgende basiscommando's:
cp -r inventory/sample inventory/mycluster
declare -a IPS=(10.10.1.3 10.10.1.4 10.10.1.5)
CONFIG_FILE=inventory/mycluster/hosts.yml python3 contrib/inventory_builder/inventory.py ${IPS[@]}
Als de inventory gemaakt is en je gekeken hebt of inventory/mycluster/group_vars/all/all.yml en inventory/mycluster/group_vars/k8s_cluster/k8s-cluster.yml juist zijn doe je dit commando, hiervoor moet sshd op poort 22 staan en moet je private-key geen wachtwoord hebben/in ssh-agent staan:
ansible-playbook -i inventory/mycluster/hosts.yml cluster.yml -b -v -K --private-key=~/.ssh/private_key
Het vraagt hierbij om het sudo wachtwoord van de hosts. Dan doet het totdat het gaat pingen, maar dat werkt niet. Het verwacht dat je nodes en master op verschillende IP's staan, dat zou kunnen, maar dan moet je een extra VM maken. Toch niet zo handig.
Met minikube proberen, installeren met de rpm-package op de get started pagina, dan starten met
minikube start
--driver=docker. Het kan zijn dat er iets fout gaat met iptables/docker network, dan moet je
de
docker.service en/of docker.socket herstarten met systemctl restart. Daarna testen met
minikube kubectl -- get po -A, je kan het makkelijker maken door alias
kubectl="minikube
kubectl -- " toe te voegen aan de bashrc/zshrc enz. Daarna kun je de dashboard aanzetten
met
minikube dashboard.
Om bij de dashboard te komen kun je gebruik maken van deze tutorial met aanpassingen van deze
site. Eerst met kubectl --namespace kubernetes-dashboard edit service
kubernetes-dashboard
"type: ClusterIP" veranderen in "type: Nodeport". Daarna de kubernetes-dashboard pod
verwijderen zodat het opnieuw opstart. Daarna een serviceaccount maken met kubectl create
serviceaccount
dashboard -n kubernetes-dashboard en de bijbehorende token met kubectl create token
dashboard
-n kubernetes dashboard. De token gebruik je om in te loggen bij de dashboard. Daarna een
clusterrolebinding regel maken zodat je de rechten hebt: kubectl create clusterrolebinding
dashboard-admin
-n kubernetes-dashboard --clusterrole=cluster-admin --serviceaccount=default:dashboard.
Daarna kun je
bij de dashboard komen door naar https://*IP van
service:NodePort*/#/login te
gaan.
Ik snap niet precies hoe het netwerk van minikube werkt. De poorten die je krijgt met kubectl get
services
-A of vergelijkbaar staan niet bij docker ps. Misschien moet het daarvoor met
"Ingress" gedaan worden, zie voor de verschillen tussen ClusterIP, NodePort en Ingress deze
site. Voor het port forwarden van het dashboard moet het waarschijnlijk van de
"docker" zone
naar de "public" of andere default zone gaan. Zie daarvoor firewalld policy.
Het is sowieso beter kubernetes de containers/pods te laten genereren. Daarom moet je opnieuw EJBCA installeren aan de hand van Deploy EJBCA container in MicroK8s. Deze tutorial is gemaakt voor MicroK8s, het verschil is dat je gelijk commando's kan uitvoeren en niet hoeft te ssh-en naar de MicroK8s server. Dit betekent wel dat ook FreeIPA opnieuw ingesteld moet worden.
Bij kubeadm of kubespray installatie moet je om vanaf de laptop bij de web ui te komen de dashboard plugin installeren en waarschijnlijk een certificate installeren. Het heeft het over Jenkins, maar ik weet niet of dat nog actueel is. Zie ook RBAC authorization.