Kubernetesの基本を学ぶ

はじめに

はじめに
リリースノート及びバージョンスキュー
v1.17 Release Notes (EN)
Kubernetesバージョンとバージョンスキューサポートポリシー
リリースのビルド
環境について学ぶ
Installing Kubernetes with Kind (EN)
Minikubeを使用してローカル環境でKubernetesを動かす
プロダクション環境
CRIのインストール
Kubernetesをデプロイツールでインストールする
kubeadmを使ってクラスターを構築する
kubeadmのインストール
kubeadmを使用したシングルコントロールプレーンクラスターの作成
kubeadmを使ったコントロールプレーンの設定のカスタマイズ
Options for Highly Available topology
kubeadmを使用した高可用性クラスターの作成
kubeadmを使用した高可用性etcdクラスターの作成
kubeadmを使用したクラスター内の各kubeletの設定
kubeadmのトラブルシューティング
Configuring your kubernetes cluster to self-host the control plane
kopsを使ったAWS上でのKubernetesのインストール
KRIBを使用してDigital Rebar Provision (DRP)と共にKubernetesをインストールする
kubesprayを使ったオンプレミス/クラウドプロバイダへのKubernetesのインストール
ターンキークラウドソリューション
Alibaba CloudでKubernetesを動かす
AWS EC2上でKubernetesを動かす
Azure 上で Kubernetes を動かす
CenturyLink Cloud上でKubernetesを動かす
Google Compute Engine上でKubernetesを動かす
IBM Cloud Privateを使ってマルチクラウドでKubernetesを動かす
Running Kubernetes on Tencent Kubernetes Engine (EN)
Stackpoint.ioを利用して複数のクラウド上でKubernetesを動かす
Windows in Kubernetes
Intro to Windows support in Kubernetes
Guide for adding Windows Nodes in Kubernetes
Guide for scheduling Windows containers in Kubernetes
オンプレミスVM
Cloudstack
DC/OS上のKubernetes
oVirt
ベストプラクティス
複数のゾーンで動かす
大規模クラスタの構築
ノードのセットアップの検証
PKI証明書とその要件

Edit This Page

CRIのインストール

FEATURE STATE: Kubernetes v1.6 stable

Podのコンテナを実行するために、Kubernetesはコンテナランタイムを使用します。 様々なランタイムのインストール手順は次のとおりです。

注意:

コンテナ実行時にruncがシステムファイルディスクリプターを扱える脆弱性が見つかりました。 悪意のあるコンテナがこの脆弱性を利用してruncのバイナリを上書きし、 コンテナホストシステム上で任意のコマンドを実行する可能性があります。

この問題の更なる情報は以下のリンクを参照してください。 cve-2019-5736 : runc vulnerability

適用性

備考: このドキュメントはLinuxにCRIをインストールするユーザーの為に書かれています。 他のオペレーティングシステムの場合、プラットフォーム固有のドキュメントを見つけてください。

このガイドでは全てのコマンドを root で実行します。 例として、コマンドに sudo を付けたり、 root になってそのユーザーでコマンドを実行します。

Cgroupドライバー

systemdがLinuxのディストリビューションのinitシステムとして選択されている場合、 initプロセスが作成され、rootコントロールグループ(cgroup)を使い、cgroupマネージャーとして行動します。 systemdはcgroupと密接に統合されており、プロセスごとにcgroupを割り当てます。 cgroupfs を使うように、あなたのコンテナランライムとkubeletを設定することができます。 systemdと一緒に cgroupfs を使用するということは、2つの異なるcgroupマネージャーがあることを意味します。

コントロールグループはプロセスに割り当てられるリソースを制御するために使用されます。 単一のcgroupマネージャーは、割り当てられているリソースのビューを単純化し、 デフォルトでは使用可能なリソースと使用中のリソースについてより一貫性のあるビューになります。 2つのマネージャーがある場合、それらのリソースについて2つのビューが得られます。 kubeletとDockerに cgroupfs を使用し、ノード上で実行されている残りのプロセスに systemd を使用するように設定されたノードが、 リソース圧迫下で不安定になる場合があります。

あなたのコンテナランタイムとkubeletにcgroupドライバーとしてsystemdを使用するように設定を変更することはシステムを安定させました。 以下のDocker設定の native.cgroupdriver=systemd オプションに注意してください。

Docker

それぞれのマシンに対してDockerをインストールします。 バージョン18.06.2が推奨されていますが、1.11、1.12、1.13、17.03、18.09についても動作が確認されています。 Kubernetesのリリースノートにある、Dockerの動作確認済み最新バージョンについてもご確認ください。

システムへDockerをインストールするには、次のコマンドを実行します。


# Docker CEのインストール
## リポジトリをセットアップ
### aptパッケージインデックスを更新
    apt-get update

### HTTPS越しのリポジトリの使用をaptに許可するために、パッケージをインストール
    apt-get update && apt-get install apt-transport-https ca-certificates curl software-properties-common

### Docker公式のGPG鍵を追加
    curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add -

### dockerのaptリポジトリを追加
    add-apt-repository \
    "deb [arch=amd64] https://download.docker.com/linux/ubuntu \
    $(lsb_release -cs) \
    stable"

## docker ceのインストール
apt-get update && apt-get install docker-ce=18.06.2~ce~3-0~ubuntu

# デーモンをセットアップ
cat > /etc/docker/daemon.json <<EOF
{
  "exec-opts": ["native.cgroupdriver=systemd"],
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "100m"
  },
  "storage-driver": "overlay2"
}
EOF

mkdir -p /etc/systemd/system/docker.service.d

# dockerを再起動
systemctl daemon-reload
systemctl restart docker

詳細については、Dockerの公式インストールガイドを参照してください。

CRI-O

このセクションでは、CRIランタイムとしてCRI-Oを利用するために必要な手順について説明します。

システムへCRI-Oをインストールするためには以下のコマンドを利用します:

必要な設定の追加

modprobe overlay
modprobe br_netfilter

# 必要なカーネルパラメータの設定をします。これらの設定値は再起動後も永続化されます。
cat > /etc/sysctl.d/99-kubernetes-cri.conf <<EOF
net.bridge.bridge-nf-call-iptables  = 1
net.ipv4.ip_forward                 = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF

sysctl --system


# 必要なパッケージをインストールし、リポジトリを追加
apt-get update
apt-get install software-properties-common

add-apt-repository ppa:projectatomic/ppa
apt-get update

# CRI-Oをインストール
apt-get install cri-o-1.11

CRI-Oの起動

systemctl start crio

詳細については、CRI-Oインストールガイドを参照してください。

Containerd

このセクションでは、CRIランタイムとしてcontainerdを利用するために必要な手順について説明します。

システムへContainerdをインストールするためには次のコマンドを実行します。

必要な設定の追加

modprobe overlay
modprobe br_netfilter

# 必要なカーネルパラメータの設定をします。これらの設定値は再起動後も永続化されます。
cat > /etc/sysctl.d/99-kubernetes-cri.conf <<EOF
net.bridge.bridge-nf-call-iptables  = 1
net.ipv4.ip_forward                 = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF

sysctl --system

apt-get install -y libseccomp2

containerdのインストール

Containerdは定期的にリリースされますが、以下に示すコマンドで利用している値は、この手順が作成された時点での最新のバージョンにしたがって書かれています。より新しいバージョンとダウンロードするファイルのハッシュ値についてはこちらで確認するようにしてください。

# 必要な環境変数をexportします。
export CONTAINERD_VERSION="1.1.2"
export CONTAINERD_SHA256="d4ed54891e90a5d1a45e3e96464e2e8a4770cd380c21285ef5c9895c40549218"

# containerdのtarボールをダウンロードします。
wget https://storage.googleapis.com/cri-containerd-release/cri-containerd-${CONTAINERD_VERSION}.linux-amd64.tar.gz

# ハッシュ値をチェックします。
echo "${CONTAINERD_SHA256} cri-containerd-${CONTAINERD_VERSION}.linux-amd64.tar.gz" | sha256sum --check -

# 解凍して展開します。
tar --no-overwrite-dir -C / -xzf cri-containerd-${CONTAINERD_VERSION}.linux-amd64.tar.gz

# containerdを起動します。
systemctl start containerd

その他のCRIランタイム: frakti

詳細についてはFraktiのクイックスタートガイドを参照してください。

フィードバック