Part1 集群架构，安装和配置

01. RBAC (4%)

Context

为部署管道创建一个新的 ClusterRole 并将其绑定到范围为特定的 namespace 的特定 ServiceAccount 。

Task

创建一个名为 deployment-clusterrole 且仅允许创建一下资源类型的新 ClusterRole ：

Deployment
StatefulSet
DaemonSet

在现有的 namespace app-team1 中创建一个名为 cicd-token 的新 ServiceAccount 。

限于 namespace app-team1 ，将新的 ClusterRole deployment-clusterrole 绑定到新的 ServiceAccount cicd-token 。

解题：

kubectl create clusterrole deployment-clusterrole --verb=create --resource=deployments,statefulsets,daemonsets

kubectl -n app-team1 create serviceaccount cicd-token

kubectl -n app-team1 create rolebinding cicd-token-rolebinding --clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token

02. 驱逐节点 (4%)

Task

Set the node named ek8s-node-1 as unavailable and reschedule all the pods running on it.

中文解释：

将 ek8s-node-1 节点设置为不可用，然后重新调度该节点上的所有 Pods

解题：

kubectl cordon ek8s-node-1

kubectl drain ek8s-node-1 --ignore-daemonsets

03. 集群升级 (7%)

Task

现有的 kubernetes 集群正在运行版本 1.18.8 。仅将主节点上的所有 kubernetes 控制平面和节点组件升级到版本 1.19.0 。

另外，在主节点上升级 kubelet 和 kubectl 。

确保在升级之前 drain 主节点，并在升级后 uncordon 主节点。请不要升级工作节点，etcd，container 管理器，CNI 插件，DNS 服务或任何其它插件。

解题：

# 驱逐主节点
kubectl get nodes

kubectl drain mk8s-master-0 --ignore-daemonsets


# 升级 kubeadm 
sudo apt-cache madison kubeadm | grep 1.19.0

sudo apt-get install kubeadm=1.19.0-00 -y

kubeadm version


# 升级 control plane 组件
sudo kubeadm upgrade apply 1.19.0 --etcd-upgrade=false


# 升级 kubelet
sudo apt-cache madison kubelet | grep 1.19.0

sudo apt-get install kubelet=1.19.0-00 -y


# 升级 kubectl
sudo apt-cache madison kubectl | grep 1.19.0
sudo apt-get install kubectl=1.19.0-00 -y


# 检查升级的版本是否正确
kubeadm version
kubectl version
kubelet --version


# 检查系统组件版本
kubectl get nodes


# 设置主节点可调度
kubectl uncordon mk8s-master-0

04. ETCD 备份恢复 (7%)

Task

首先，为运行在 https://127.0.0.1:2379 上的现有 etcd 实例创建快照并将快照保存到 /data/backup/etcd-snapshot.db 。

为给定实例创建快照预计能做几秒内完成。如果该操作似乎挂起，则命令可能有问题。用 CTRL + c 来取消操作，然后重试。

然后还原位于 /srv/data/etcd-snapshot-previous.db 的现有先前快照。

提供了以下 TLS 证书和密钥，以通过 etcdctl 连接到服务器。

CA 证书：/opt/KUIN00601/ca.crt
客户端证书：/opt/KUIN00601/etcd-client.crt
客户端密钥：/opt/KUIN00601/etcd-client.key

解题：

# 如果没有etcdctl命令则需要从容器中复制
kubectl -n kube-system exec -it etcd-master.example.com -- sh

cp /usr/local/bin/etcdctl /var/lib/etcd/etcdctl

exit

sudo -i
mv /var/lib/etcd/etcdctl /usr/bin


# 备份
ETCDCTL_API=3 etcdctl --endpoints=https://127.0.0.1:2379 --cacert="/opt/KUIN00601/ca.crt" --cert="/opt/KUIN00601/etcd-client.crt" --key="/opt/KUIN00601/etcd-client.key" snapshot save /data/backup/etcd-snapshot.db

# 验证
ETCDCTL_API=3 etcdctl snapshot status /data/backup/etcd-snapshot.db -w table


# ------ 还原 ------ #
systemctl stop kubelet

## 删除原有DB数据
cd /var/lib/etcd
ls
mv /var/lib/etcd /tmp

# 恢复
ETCDCTL_API=3 etcdctl snapshot restore \
/srv/data/etcd-snapshot-previous.db \
--data-dir="/var/lib/etcd" \
--name=master.example.com \
--initial-cluster=master.example.com=https://10.0.0.31:2380 \
--initial-advertise-peer-urls=https://10.0.0.31:2380 \
--skip-hash-check


# 启动
systemctl start kubelet

# 验证
ETCDCTL_API=3 etcdctl --endpoints=https://127.0.0.1:2379 \
--cacert="/opt/KUIN00601/ca.crt" \
--cert="/opt/KUIN00601/etcd-client.crt" \
--key="/opt/KUIN00601/etcd-client.key" \
endpoint health

PreviousCKA NextPart2 服务和网络

Last updated 1 year ago