其他分享
首页 > 其他分享> > 腾讯云K8S(TKE)部署

腾讯云K8S(TKE)部署

作者:互联网

1.背景介绍以及准备工作

  2年前公司k8s生产环境部署在了aws上,今年由于公司策略原因,全面切换至腾讯云,且将实体机部署项目迁移至k8s环境。对比本次的迁移,k8s版本已经更新到了1.21;不过由于是在云上托管,这里虽然没有太大的问题,还是有以下注意事项以及准备工作。

项目:有了项目,资源才能更好的分类

vpc:路由网关和nat网络。

安全组:创建TKE集群时需要指定一个安全组。

秘钥:创建TKE集群时和node时都需要。

置放群组:物理机隔离,让不同cvm分配到不同的物理主机上。

 

2.创建项目

  云控制台--》项目管理--》新建,来建一个新的项目,名称自定义

 

3.创建VPC以及子网

  这里为手动创建vpc,这里没有aws的标签问题的困扰,所以创建和维护都比较方便。

  子网规划这里就仅有一个,因为项目原本运行在云上,原本的数据库不做迁移。

子网网段/24

可用区

网络类型

网络名称

10.158.50.0/24

上海三区

NAT+公网ip

k8s-pub01-prod

 

3.1 创建VPC以及子网

  点击左侧私有网络→新建

 

3.2 创建路由表

  点击左侧路由表→新建

  完成后如下

  查看一下关联的子网,有没有关联上一步创建的

 

4.创建安全组以及密钥

  密钥这里不做过多解释,至于安全组,这里还是觉得有必要解释一下,在后期使用腾讯云开放内网访问、使用prometheus服务,使用日志服务的时候都有一些默认的安全组端口开放,所以刚开始不能一下子就把默认的给删除,但是能删除部分。默认腾讯TKE创建的安全组开放了以下规则。

  在集群创建完成后,本人将安全组更改成了以下规则。

  2个内网网段都是在使用日志和监控时需要的,不知道具体端口,只能开放2个网段,好在都是内网,对安全性的影响并没有很大;至于放通master和worker节点间通信的端口,目前取消掉没有什么影响,因为后期开放nodeport可能使用,如果没有特殊要求,也可以不用删除,全部打开,这里本人还是删除,需要什么开放什么。

  以下是官方安全组设置的参考:https://cloud.tencent.com/document/product/457/9084

 

5.创建置放群组

  云产品→云服务器→置放群组

 

6.TKE集群

6.1 创建TKE集群

  云产品→容器服务→集群→新建

  第一页集群信息

  第二页选择机型

  第三页与服务器配置

  第四页组件配置

  第五页信息确认

  创建完成

 

6.2 开启内外网访问

  容器服务→集群→选择集群→基本信息

 

6.3 权限问题

  除了父账号以外,其他云用户在查看一些信息的时候没有权限,即使这个用户有了admin的授权,还是没有权限;

  解决方式如下:

  要用根账号来创建

  登录根账号授权

 

6.4 创建ingress

  腾讯云TKE默认是没有安装ingress的,所以这里需要手动安装,安装方式见以下博客

  https://www.cnblogs.com/lizexiong/p/15056918.html#blogTitle5

标签:子网,创建,安全,TKE,集群,腾讯,K8S
来源: https://www.cnblogs.com/lizexiong/p/15575217.html