官方文档：https://kubernetes.io/zh-cn/docs/setup/production-environment/container-runtimes/

环境配置

该部分每个主机都要执行

如果你确定不需要某个特定设置，则可以跳过它。

设置root登录

sudo passwd root
sudo vim /etc/ssh/sshd_config
PermitRootLogin yes # 添加
sudo systemctl restart sshd.service

关闭防火墙

sudo ufw status  （inactive 关闭的）
ufw enable | disable	#启动、关闭防火墙
ufw disable  （关闭防火墙）

关闭虚拟交换

swapoff -a  
vim /etc/fstab （注释fstab中swap配置）  
#/swap.img      none    swap    sw      0       0  
或者 sed -ri 's/.*swap.*/#&/' /etc/fstab

关闭SELinux 关闭安全机制

getenforce

某些ubuntu版本，没有安装selinux，则可以不用配置

setenforce 0
sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config 

修改主机名

 hostnamectl set-hostname {k8s-m|k8s-node1|k8s-node2}

配置多台主机 hosts

vim /etc/hosts
10.120.10.190   k8s-master
10.120.10.191   k8s-node1
10.120.10.192   k8s-node2

转发 IPv4 并让 iptables 看到桥接流量

载入如下内核模块，

sudo tee /etc/modules-load.d/k8s.conf <<EOF
overlay
br_netfilter
EOF

sudo modprobe overlay
sudo modprobe br_netfilter

配置下面的网络参数 设置所需的 sysctl 参数，参数在重新启动后保持不变：

sudo tee /etc/sysctl.d/k8s.conf <<EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
EOF

应用 sysctl 参数而不重新启动

sudo sysctl --system

通过运行以下指令确认 br_netfilter 和 overlay 模块被加载：

lsmod | grep br_netfilter
lsmod | grep overlay

通过运行以下指令确认 net.bridge.bridge-nf-call-iptables、net.bridge.bridge-nf-call-ip6tables 和 net.ipv4.ip_forward 系统变量在你的 sysctl 配置中被设置为 1：

sysctl net.bridge.bridge-nf-call-iptables net.bridge.bridge-nf-call-ip6tables net.ipv4.ip_forward

容器运行时

该部分每个主机都要执行

本文容器运行时用containerd，如果机子上有docker，containerd已经默认安装，不在需要安装。

安装containerd：

可以安装docker-ce的方式，安装包的时候只执行：sudo apt install -y containerd.io 参考博文 docker安装

步骤一：设置 Docker 的apt存储库。步骤二：执行 sudo apt install -y containerd.io

sudo apt install -y containerd.io
systemctl status containerd

配置containerd

1、生成默认配置

containerd config default > /etc/containerd/config.toml

如果 -bash: /etc/containerd/config.toml: No such file or directory 就mkdir /etc/containerd/

2、修改CgroupDriver为systemd

k8s官方推荐使用systemd类型的CgroupDriver。

vim /etc/containerd/config.toml

[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc]
  ...
  [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]
    SystemdCgroup = true

也可以直接用命令修改：

sudo sed -i 's/SystemdCgroup \= false/SystemdCgroup \= true/g' /etc/containerd/config.toml

如果你从软件包（例如，RPM 或者 .deb）中安装 containerd，你可能会发现其中默认禁止了 CRI 集成插件。

你需要启用 CRI 支持才能在 Kubernetes 集群中使用 containerd。 要确保 cri 没有出现在
/etc/containerd/config.toml 文件中 disabled_plugins列表内。如果你更改了这个文件，也请记得要重启 containerd。
可以执行：sed -i -r ‘/cri/s/(.*)/#\1/’ /etc/containerd/config.toml
如果你在初次安装集群后或安装 CNI 后遇到容器崩溃循环，则随软件包提供的 containerd 配置可能包含不兼容的配置参数。考虑按照
getting-started.md 中指定的 containerd config default >
/etc/containerd/config.toml 重置 containerd 配置，然后相应地设置上述配置参数。

3、重载沙箱（pause）镜像

正常情况下，国内你是拉取不到registry.k8s.io/pause:3.8镜像的，这个镜像是一切的pod的基础，要么自己手动导入进来，要么改成国内的镜像，通过设置以下配置来覆盖默认的沙盒镜像：
在你的 containerd 配置中， 你可以通过设置以下选项重载沙箱镜像：

[plugins."io.containerd.grpc.v1.cri"]
  sandbox_image = "registry.aliyuncs.com/google_containers/pause:3.9"

可以直接用命令：

sudo sed -i 's/sandbox_image = ".*"/sandbox_image = "registry.aliyuncs.com\/google_containers\/pause:3.9"/' /etc/containerd/config.toml

4、重启containerd

systemctl restart containerd

安装 kubeadm、kubelet 和 kubectl

每个机器都执行

更新 apt 包索引并安装使用 Kubernetes apt 仓库所需要的包：

sudo apt install -y apt-transport-https ca-certificates curl

下载签名秘钥及添加apt仓库

curl https://mirrors.aliyun.com/kubernetes/apt/doc/apt-key.gpg | apt-key add -
cat >/etc/apt/sources.list.d/kubernetes.list <<EOF
deb https://mirrors.aliyun.com/kubernetes/apt/ kubernetes-xenial main
EOF
apt update

如果是国外机器，可以按照官方的方式：

sudo curl -fsSLo /usr/share/keyrings/kubernetes-archive-keyring.gpg https://packages.cloud.google.com/apt/doc/apt-key.gpg
echo "deb [signed-by=/usr/share/keyrings/kubernetes-archive-keyring.gpg] https://apt.kubernetes.io/ kubernetes-xenial main" | sudo tee /etc/apt/sources.list.d/kubernetes.list

在k8s-master上：

更新 apt 包索引，安装 kubelet、kubeadm 和 kubectl，并锁定其版本：

sudo apt-get update
sudo apt-get install -y kubelet kubeadm kubectl
sudo apt-mark hold kubelet kubeadm kubectl

用 kubeadm 初始化集群

# 初始化集群控制台 Control plane
# 失败了可以用 kubeadm reset 重置
kubeadm init --image-repository=registry.aliyuncs.com/google_containers

# 记得把 kubeadm join xxx 保存起来 你需要此命令将节点加入集群。
# 忘记了重新获取：kubeadm token create --print-join-command

#要使非 root 用户可以运行 kubectl，请运行以下命令， 它们也是 kubeadm init 输出的一部分：
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

–kubernetes-version 指定版本
–apiserver-advertise-address 为通告给其它组件的IP，一般应为master节点的IP地址
–service-cidr 指定service网络，不能和node网络冲突
–pod-network-cidr 指定pod网络，不能和node网络、service网络冲突
–image-repository registry.aliyuncs.com/google_containers 指定镜像源，由于默认拉取镜像地址k8s.gcr.io国内无法访问，这里指定阿里云镜像仓库地址。如果k8s版本比较新，可能阿里云没有对应的镜像，就需要自己从其它地方获取镜像了。
–control-plane-endpoint 标志应该被设置成负载均衡器的地址或 DNS 和端口(可选)

查看集群是否处于健康状态：

kubectl get cs

如果遇到错误的情况，可使用 kubeadm reset 重置，然后重启主机，再次进行 初始化。

  kubectl get node    #查看集群节点状态
  kubectl get ns     #查看命名空间
  kubectl get pods -n kube-system   #查看pod状态 -n 指定命名空间

在master节点配置pod网络

在master上执行kubectl get nodes发现状态是NotReady，因为还没有部署CNI网络插件，在k8s系统上Pod网络的实现依赖于第三方插件进行，这类插件有近数十种之多，较为著名的有flannel、calico、canal和kube-router等。

安装 flannel：

kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

kube-flannel.yml 128行的网络配置，要和 pod-network-cidr保持一致 都是默认的就不用改了

等一会再看 kubectl get node 变成Ready了

在各个slave上：

node节点无需安装 kubectl 客户端工具。

安装包

sudo apt-get install -y kubelet kubeadm

加入集群

命令是上面在master上执行 kubeadm init时生成的

kubeadm join 192.168.0.21:6443 --token zle96a.xd9dlgl8l784sztm --discovery-token-ca-cert-hash sha256:7443840d39139b48f64c948c54cd926b3f9818d7bf07dcb74ce9f31126b0a668

在master上查看：