CRI-O 是 Kubernetes 的开源轻量级容器运行时。它是使用 开放容器组织 Open Container Initiative （OCI）兼容运行时的 Kubernetes 容器运行时接口 Container Runtime Interface （CRI）的实现。在运行 Kubernetes 时，它是 Docker 的完美替代品。

在本指南中，我们将逐步演示如何在 Ubuntu 22.04 LTS 上安装 CRI-O。

先决条件

在开始之前，这是你需要的：

• 具有 SSH 访问权限的 Ubuntu 22.04 实例
• 在实例上配置的 sudo 用户
• 快速稳定的互联网连接

有了这个，让我们开始吧。

步骤 1：更新系统并安装依赖

立即登录你的服务器实例，并按如下方式更新包列表：

$ sudo apt update

更新本地包索引后，按如下方式安装依赖项：

$ sudo apt install apt-transport-https ca-certificates curl gnupg2 software-properties-common -y

步骤 2：添加 CRI-O 存储库

要安装 CRI-O，我们需要在 Ubuntu 上添加或启用它的仓库。但首先，你需要根据操作系统和要安装的 CRI-O 版本定义变量。

因此，定义如下变量：

$ export OS=xUbuntu_22.04
$ export CRIO_VERSION=1.24

完成后，运行以下命令集以添加 CRI-O Kubic 仓库：

$ echo "deb https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/ /"| sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable.list
$ echo "deb http://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable:/cri-o:/$CRIO_VERSION/$OS/ /"|sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable:cri-o:$CRIO_VERSION.list

此后，为 CRI-O 仓库导入 GPG 密钥：

$ curl -L https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$CRIO_VERSION/$OS/Release.key | sudo apt-key add -
$ curl -L https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/Release.key | sudo apt-key add -

这会产生如下输出：

再次更新包索引，使系统与新添加的 CRI-O Kubic 仓库同步：

$ sudo apt update

步骤 3：在 Ubuntu 22.04 上安装 CRI-O

添加仓库后，使用 APT 包管理器安装 CRI-O 和运行时客户端：

$ sudo apt install cri-o cri-o-runc -y

安装后，启动并启用 CRI-O 守护程序：

$ sudo systemctl start crio
$ sudo systemctl enable crio

接下来，验证 CRI-O 服务是否正在运行：

$ sudo systemctl status crio

你应该看到以下输出，表明 CRI-O 服务正在按预期运行：

步骤 4：为 CRI-O 安装 CNI 插件

接下来，你需要安装 CNI（ 容器网络接口 Container Network Interface ）以及 CNI 插件。请记住，环回和桥接配置已启用并且足以使用 CRI-O 运行 容器荚 Pod ：

因此，要安装 CNI 插件，请运行以下命令：

$ sudo apt install containernetworking-plugins -y

安装后，编辑 CRI-O 配置文件：

$ sudo nano /etc/crio/crio.conf

取消注释 network_dir 和 plugin_dirs 部分，并在 plugin_dirs 下添加 /usr/lib/cni/。

保存更改并退出配置文件。

接下来，重启 CRIO 服务：

$ sudo systemctl restart crio

步骤 5：安装 CRI-O 工具

此外，你还需要安装 cri-tools 包，它提供了 crictl 命令行程序，用于交互和管理容器和 pod。

为此，请运行以下命令：

$ sudo apt install -y cri-tools

安装后，确认 crictl 的版本和 RunTimeVersion 如下：

$ sudo crictl --runtime-endpoint unix:///var/run/crio/crio.sock version

一定要检查 CRI-O 是否准备好使用以下命令部署容器荚：

$ sudo crictl info

crictl 命令提供自动补全功能，让你可以通过按 TAB 键自动补全命令。要启用命令补全，请运行以下命令：

$ sudo su -

# crictl completion > /etc/bash_completion.d/crictl

然后重新加载当前的 Bash 会话：

# source ~/.bashrc

要使用自动补全功能，你需要注销或启动新的终端会话。然后只需键入 crictl 命令并按 TAB 键即可查看所有选项。

$ crictl

步骤 6：使用 crictl 程序创建容器荚

至此，CRI-O 已完全安装和配置并准备好启动容器荚。在本节中，我们将在容器荚中创建一个 Apache Web 服务器并确认它是否正在处理请求。

首先，我们将使用容器荚配置文件设置一个沙箱或隔离环境，如下所示：

$ sudo nano apache_sandbox.json

然后我们将以下配置添加到文件中：

{
    "metadata": {
        "name": "apache-sandbox",
        "namespace": "default",
        "attempt": 1,
        "uid": "hdishd83djaidwnduwk28bcsb"
    },
    "linux": {
    },
    "log_directory": "/tmp"
}

保存并退出。接下来使用以下命令创建容器荚。这会打印出很长的字母数字，它是容器荚 ID。

$ sudo crictl runp apache_sandbox.json

要确认容器荚已创建，请运行命令：

$ sudo crictl pods

要检索有关创建的容器荚的更多信息，请运行以下命令：

$ sudo crictl inspectp --output table 05ba2f0704f22

这将打印出 ID、名称、UID、命名空间、创建日期、内部 IP 等详细信息。

步骤 7：在容器荚中创建容器

这部分中，我们将在容器荚中创建一个 Apache Web 服务器容器。因此，使用 crictl 程序从 Docker Hub 拉取 Apache Web 服务器镜像：

$ sudo crictl pull httpd

你可以如图所示验证拉取的镜像：

$ sudo crictl images

接下来，我们将为 Apache Web 服务器定义一个容器配置文件：

$ sudo nano container_apache.json

复制并粘贴以下代码：

{
  "metadata": {
      "name": "apache"
    },
  "image":{
      "image": "httpd"
    },
  "log_path":"apache.0.log",
  "linux": {
  }
}

保存并退出配置文件。

最后，要将容器连接到之前创建的沙盒容器荚，请运行以下命令：

$ sudo crictl create 05ba2f0704f22 container_apache.json apache_sandbox.json

这会向终端输出一长串字母数字 ID。请记下此 ID。

最后，使用 ID 启动 Apache Web 服务器容器，如下所示：

$ sudo crictl start 37f4d26510965452aa918f04d629f5332a1cd398d4912298c796942e22f964a7

要检查容器状态，请运行以下命令：

$ sudo crictl ps

要验证 Apache Web 服务器是否正在运行，请使用 curl 命令和容器荚的内部 ID 向 Web 服务器发送 HTTP 请求：

$ curl -I 10.85.0.2

以下输出确认 Web 服务器正在运行：

结论

这就是全部的指南。我们已经在 Ubuntu 22.04 上成功安装了 CRI-O，并继续创建容器荚和容器。欢迎你提出意见和反馈。

via: https://www.linuxtechi.com/install-crio-container-runtime-on-ubuntu/

作者：James Kiarie 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

它不仅仅是为了让你的电脑启动得更快。

当 systemd 刚问世时，有很多关于它能加快启动时间的消息。这项功能对大多数人都有吸引力（对那些不重启的人来说就不那么重要了），所以在很多方面，这也是它今天仍然拥有的声誉。虽然 systemd 确实是在启动过程中并行启动服务起到了作用，但它的作用远不止于此。以下是你可能没有意识到 systemd 可以做的三件事，但你应该好好利用。

1、简化 Linux ps

如果你曾经使用过 ps，甚至只是 top 命令，那么你就会知道你的电脑一直都在运行数百个进程。有时，这正是你需要的信息，以便了解你的计算机或其用户在做什么。其他时候，你真正需要的是一个总体的概览。

systemd-cgtop 命令提供了一个基于 控制组 cgroup 任务安排的计算机负载的简单视图。控制组 对现代 Linux 很重要，基本上是容器和 Kubernetes 的底层支持结构（这也是云计算可以扩展的原因），但它们也是家庭电脑上的有用结构。例如，从 systemd-cgtop 的输出中，你可以看到用户进程的负载，而不是系统进程：

Control Group               Proc+   %CPU   Memory  Input/s Output/s
/                             183    5.0     1.6G       0B     3.0M
user.slice                      4    2.8     1.1G       0B   174.7K
user.slice/user-1000.slice      4    2.8   968.2M       0B   174.7K
system.slice                   65    2.2     1.5G       0B     2.8M

你也可以只查看你的用户空间进程，或者查看用户空间进程和内核线程。

这绝不是对 top 或 ps 的替代，而是从一个不同的、独特的角度来观察你的系统。在运行容器时，它可能是至关重要的，因为容器使用控制组。

2、Linux 定时任务

Cron 是 Linux 的一个经典组件。当你想安排一些事情定期发生时，你会使用 Cron。它很可靠，而且相当好地集成到你的系统中。

问题是，Cron 并不了解有些计算机会被关闭。如果你有一个安排在午夜的 Cron 任务，但你每天在 23:59 关闭你的电脑，那么你的 Cron 任务就永远不会运行。Cron 没有任何工具可以检测到一夜之间错过了工作。

作为对这个问题的回答，有一个很好的 Anacron，但它不像 Cron 那样集成的好。要让 Anacron 运行，你需要做很多设置。

第二个选择是 systemd 计时器。和 Cron 一样，它也是内置的，可以随时使用。你需要写一个单元文件，这肯定比单行的 Crontab 条目多，但也很简单。例如，这里有一个单元文件，在开机 30 分钟后运行一个假想的备份脚本，但每天只运行一次。这可以确保我的电脑得到备份，并防止它每天尝试备份超过一次。

[Unit]
Description=Backup
Requires=myBackup.service

[Timer]
OnBootSec=30min
OnUnitActiveSec=1d

[Install]
WantedBy=timers.target

当然，你也可以干预并提示运行一个任务。多亏了 OnUnitActiveSec 指令，systemd 不会试图运行你手动激活的作业。

3、运行 Linux 容器

容器使启动一个复杂的服务变得非常容易。你可以在短短几分钟内运行一个 Mattermost 或 Discourse 服务器。在某些情况下，困难的部分是在你运行容器后管理和监控它们。Podman 使得管理它们变得容易，但是用什么来管理 Podman 呢？嗯，你可以使用 systemd。

Podman 有一个内置的命令来生成单元文件，这样你的容器就可以被 systemd 管理和监控：

$ podman generate systemd --new --files --name example_pod

然后你所要做的就是启动服务：

$ systemctl --user start pod-example_pod.service

和其他服务一样，systemd 确保你的容器荚在任何情况下都能运行。它记录问题，你可以用 journalctl 和其他重要的日志来查看，你也可以用 systemd-cgtop 在控制组中监控它的活动。

它不是 Kubernetes 平台，但对于一两个容器来说，你只需要在可靠和可预测的基础上提供服务，Podman 和 systemd 是一对很棒的组合。

下载 systemd 电子书

systemd 的内容还有很多，你可以从作者 David Both 的新书《systemd 实用指南》中了解基础知识，以及很多实用的技巧。

via: https://opensource.com/article/23/3/3-things-you-didnt-know-systemd-could-do

作者：Alan Smithee 选题：lkxed 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Tekton 是一个用于创建持续集成和持续交付（CI/CD）系统的 Kubernetes 原生开源框架。

Tekton 是一个用于创建持续集成和持续交付（CI/CD）系统的 Kubernetes 原生开源框架。通过对底层实施细节的抽象，它还可以帮助你在多个云供应商或企业内部系统中进行端到端（构建、测试、部署）应用开发。

Tekton 介绍

Tekton 最初被称为 Knative Build，后来被重组为独立的开源项目，有自己的 治理组织，现在是属于 Linux 基金会 的项目。Tekton 提供了一个集群内的容器镜像构建和部署工作流程，换句话说，它是一个 持续集成 continuous integration （CI）和 持续交付 continuous delivery （CD）服务。它由 Tekton 流水线和几个支持组件如 Tekton CLI、Triggers 和 Catalog 等组成。

Tekton 是一个 Kubernetes 原生应用。它在 Kubernetes 集群中作为扩展被安装和运行，由一套Kubernetes 定制化资源组成，定义了你为流水线创建和复用的构建块。由于 Tekton 是一种 Kubernetes 原生技术，所以它非常容易扩展。当你需要增加你的工作负载时，你只需向你的集群添加节点就可以了。由于其可扩展的设计和社区贡献的组件库，它也很容易定制。

对于需要 CI/CD 系统来开展工作的开发人员，和为其组织内的开发人员建立 CI/CD 系统的平台工程师，Tekton 是理想选择。

Tekton 组件

构建 CI/CD 流水线的过程非常复杂，因此 Tekton 为每一步都提供工具。以下是 Tekton 提供的主要组件：

• 流水线 Pipeline： 定义了一组 Kubernetes 自定义资源，作为你用来组装 CI/CD 流水线的构建块。
• 触发器 Triggers ：一种 Kubernetes 自定义资源，允许你根据从事件有效载荷中提取的信息来创建流水线。例如，你可以在每次创建 Git 仓库的合并请求时，触发流水线的实例化和执行。
• 命令行 CLI ：提供一个名为 tkn 的命令行界面，你可以使用它从终端与 Tekton 进行交互。
• 仪表盘 Dashboard ：是 Tekton 流水线的一个基于网页的图形界面，显示流水线的执行信息。
• 目录 Catalog ：是一个高质量的、由社区贡献的 Tekton 构建块（任务、流水线等），可在你自己的流水线中使用。
• 中心 Hub ：是一个基于网页的图形界面，用于访问 Tekton 目录。
• 操作员 Operator ：是一种 Kubernetes 操作员模式，你可以在 Kubernetes 集群中安装、更新、升级和删除 Tekton 项目。
• 链 Chains ：是一个 Kubernetes 自定义资源定义 Custom Resource Definition （CRD）控制器，使你可以在 Tekton 中处理供应链安全的问题。正在开发中。
• 结果 Results ：旨在帮助用户对 CI/CD 工作负载历史进行逻辑分组，并将长期结果的存储从流水线控制器中分离出来。

Tekton 术语

• 步骤 Step ：是 CI/CD 工作流程中最基本的实体，例如为 Python 网络应用程序运行一些单元测试或编译一个 Java 程序。Tekton 使用容器镜像执行每个步骤。
• 任务 Task ：:kissing:* 是按特定顺序排列的步骤的集合。Tekton 以 Kubernetes 容器荚 的形式运行任务，其中每个步骤都成为 容器荚 pod 中的一个运行容器。
• 流水线 Pipelines ：是按特定顺序排列的任务的集合。Tekton 把所有任务连接成一个 有向无环图 directed acyclic graph （DAG），并按顺序执行图。换句话说，它创建了一些 Kubernetes 容器荚，并确保每个容器荚按预期成功运行。

• 流水线运行 PipelineRun ：顾名思义，是一条流水线的具体执行。
• 任务运行 TaskRun ：是一个任务的具体执行。你可以选择在流水线外运行一次任务运行，可以通过它查看任务中每个步骤执行的具体情况。

创建你的 CI/CD 流水线

开始使用 Tekton 的最简单方法是自己编写一个简单的流水线。如果你每天都在使用 Kubernetes，那你可能对 YAML 很熟悉，这正是 Tekton 流水线的定义方式。下面是一个克隆代码库的简单流水线的例子。

首先，创建一个 task.yaml 文件，用你喜欢的文本编辑器打开它。这个文件定义了你要执行的 步骤 Step 。在这个例子中，就是克隆一个仓库，所以我把这个步骤命名为 “clone”。该文件设置了一些环境变量，然后使用一个简单的 shell 脚本来执行克隆。

接下来是 任务 Task 。你可以把步骤看作是一个被任务调用的函数，而任务则设置步骤所需的参数和工作空间。

apiVersion: tekton.dev/v1beta1
kind: Task
metadata:
 name: git-clone
spec:
 workspaces:
   - name: output
     description: The git repo will be cloned onto the volume backing this Workspace.
 params:
   - name: url
     description: Repository URL to clone from.
     type: string
   - name: revision
     description: Revision to checkout. (branch, tag, sha, ref, etc...)
     type: string
     default: ""
 steps:
   - name: clone
     image: "gcr.io/tekton-releases/github.com/tektoncd/pipeline/cmd/git-init:v0.21.0"
     env:
       - name: PARAM_URL
         value: $(params.url)
       - name: PARAM_REVISION
         value: $(params.revision)
       - name: WORKSPACE_OUTPUT_PATH
         value: $(workspaces.output.path)
     script: |
      #!/usr/bin/env sh
       set -eu

       CHECKOUT_DIR="${WORKSPACE_OUTPUT_PATH}"

       /ko-app/git-init \
         -url="${PARAM_URL}" \
         -revision="${PARAM_REVISION}" \
         -path="${CHECKOUT_DIR}"
       cd "${CHECKOUT_DIR}"
       EXIT_CODE="$?"
       if [ "${EXIT_CODE}" != 0 ] ; then
         exit "${EXIT_CODE}"
       fi
       # Verify clone is success by reading readme file.
       cat ${CHECKOUT_DIR}/README.md

创建第二个文件 pipeline.yaml，并用你喜欢的文本编辑器打开它。这个文件通过设置诸如可以运行和处理任务的工作区等重要参数来定义流水线。

apiVersion: tekton.dev/v1beta1
kind: Pipeline
metadata:
 name: cat-branch-readme
spec:
 params:
   - name: repo-url
     type: string
     description: The git repository URL to clone from.
   - name: branch-name
     type: string
     description: The git branch to clone.
 workspaces:
   - name: shared-data
     description: |
      This workspace will receive the cloned git repo and be passed
       to the next Task for the repo's README.md file to be read.
 tasks:
   - name: fetch-repo
     taskRef:
       name: git-clone
     workspaces:
       - name: output
         workspace: shared-data
     params:
       - name: url
         value: $(params.repo-url)
       - name: revision
         value: $(params.branch-name)

最后，创建一个 pipelinerun.yaml 文件，用喜欢的文本编辑器打开它。这个文件真正的运行流水线。它调用流水线中定义的参数（继而调用任务文件中定义的任务）。

apiVersion: tekton.dev/v1beta1
kind: PipelineRun
metadata:
 name: git-clone-checking-out-a-branch
spec:
 pipelineRef:
   name: cat-branch-readme
 workspaces:
   - name: shared-data
     volumeClaimTemplate:
       spec:
         accessModes:
          - ReadWriteOnce
         resources:
           requests:
             storage: 1Gi
 params:
   - name: repo-url
     value: <https://github.com/tektoncd/pipeline.git>
   - name: branch-name
     value: release-v0.12.x

把不同工作分在不同的文件中的好处是，git-clone 任务可以在多条流水线中复用。

例如，假设你想为一个流水线项目做端到端的测试。你可以使用 git-clone 任务 来让每一次测试都基于最新的代码。

总结

只要你熟悉 Kubernetes，那 Tekton 对你来说就像其他 Kubernetes 原生应用一样简单。它有很多工具可以帮助你创建流水线并与之交互。如果你喜欢自动化，不妨试试 Tekton!

via: https://opensource.com/article/21/11/cicd-pipeline-kubernetes-tekton

作者：Savita Ashture 选题：lujun9972 译者：lxbwolf 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

你一定已经听说过著名的 Vim 文本编辑器。然而，这篇文章是关于它的复刻 Neovim。

Vim 也是 Vi 的一个复刻，这使得 Neovim 成为复刻的复刻。所以，你最终可以使用任何东西，因为它有一些独特的特征。

如果你决定使用 Neovim，让我帮助你在 Ubuntu 和其他 Linux 发行版上开始使用它。

Neovim 概述

Neovim 是一个以其简单的维护和社区贡献而闻名的项目。此外，开发工作很好地分配在多个开发人员之间。

对于最终用户而言，Neovim 的可扩展性远超人们的预期。Neovim 的目标是在不损害 Vim 传统功能的情况下提供更好的应用。

使用 Neovim 的 GUI，你可以获得增强的编辑体验。

Neovim 的特点

虽然你可以在其官方网站及其 GitHub 页面 上探索所有相关信息。让我强调一些特点：

• 现代图形界面
• 从多种语言访问 API，包括（C/C++、C#、Go、Haskell、Java/Kotlin、JavaScript/Node.js、Lua、Perl、Python、Ruby、Rust 等等）
• 嵌入式、可编写脚本的终端仿真器
• 异步任务控制
• 多个实例之间的共享数据
• XDG 基本目录支持
• 与大多数 Vim 插件兼容，包括 Ruby 和 Python 插件

? 我们建议你在开始使用 Vim 和 Neovim 之前，先了解其用法。

在 Ubuntu 和 Linux 上安装 Neovim

由于 Neovim 的流行，安装它很简单。因为 Neovim 在你选择的任何发行版的官方仓库中都可用。

如果你需要，我们还有一个 在 Linux 上安装 Vim 的指南。

要在 Ubuntu 上安装 Neovim，只需单击停靠区中的 Ubuntu 软件图标。然后，搜索 Neovim。你可以根据自己的喜好选择 Snap 或 deb 版本。但是，deb 包版本是过时的 Neovim 版本。

如果你不想要 Snap 版本，你可以从 Neovim 的 Github 发布页 获取最新的 deb 文件。如果你仔细查看发布页面，还有一个 Appimage 文件。

如果你想使用终端而不是 GUI，你可以执行以下操作：

对于基于 Ubuntu 和 Debian 的发行版，输入以下命令进行安装：

sudo apt install neovim

对于 Manjaro 和 Arch Linux，使用以下命令更新你的系统并安装 Neovim：

sudo pacman -Syu neovim

对于 Fedora，使用以下命令：

sudo dnf install -y neovim

要安装 Flatpak，你可以使用此命令：

flatpak install flathub io.neovim.nvim

最后，要安装 Snap 包，请使用以下命令：

sudo snap install nvim --classic

如果你更喜欢从源代码构建软件，请遵循该项目的 Github 页面上给出的 步骤。

如何使用 Neovim

要在安装完成后使用 Neovim，只需从应用菜单启动它，方法是按超级键并输入 neovim。这将打开一个带有 Neovim 的终端窗口。

或者你可以打开你选择的任何终端仿真器并输入以下命令：

nvim

是的，不是 neovim，而是 nvim。例如，要编辑 /etc/fstab，请输入以下命令：

sudo nvim /etc/fstab

现在 fstab 文件将被打开，如下面的截图所示：

如果你无法退出编辑器，请不要担心，按下 Shift+Z+Z。例如，如果此快捷键令人困惑，请使用你需要的键在任何文本编辑器中输入大写的 ZZ 就明白了。

关于这一点，我应该重申，你需要学习 Vim 或 Neovim 并阅读文档才能有效地利用其所有功能。

总结

安装和启动 Neovim 非常简单，但学习它肯定需要一些键盘操作。

这只是编辑器的概述。我不是这方面的专家，但我希望这对所有初学者都有好处！

? 你使用 Neovim 吗？ 在下面的评论中分享你的经验。

via: https://itsfoss.com/install-neovim/

作者：Anuj Sharma 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

你是否正在寻找有关如何使用 Kubespray 安装 Kubernetes（k8s）的简单指南？

此页面上的分步指南将向你展示如何在 Linux 系统上使用 Kubespray 安装 Kubernetes 集群。

Kubespray 是一个自由开源的工具，它提供了 Ansible 剧本 playbook 来部署和管理 Kubernetes 集群。它旨在简化跨多个节点的 Kubernetes 集群的安装过程，允许用户快速轻松地部署和管理生产就绪的 Kubernetes 集群。

它支持一系列操作系统，包括 Ubuntu、CentOS、Rocky Linux 和 Red Hat Enterprise Linux（RHEL），它可以在各种平台上部署 Kubernetes，包括裸机、公共云和私有云。

在本指南中，我们使用以下实验室：

• Ansible 节点（Kubespray 节点）：最小安装的 Ubuntu 22.04 LTS（192.168.1.240）
• 3 个控制器节点：最小安装的 Rocky Linux 9（192.168.1.241/242/243）
• 2 个工作节点：最小安装的 Rocky Linux 9（192.168.1.244/245）

Kubespray 的最低系统要求

• 主节点：1500 MB RAM、2 个 CPU 和 20 GB 可用磁盘空间
• 工作节点：1024 MB、2 个 CPU、20 GB 可用磁盘空间
• Ansible 节点：1024 MB、1 个 CPU 和 20 GB 磁盘空间
• 每个节点上的互联网连接
• 拥有 sudo 管理员权限

事不宜迟，让我们深入了解安装步骤。

步骤 1）配置 Kubespray 节点

登录到你的 Ubuntu 22.04 系统并安装 Ansible。运行以下一组命令：

$ sudo apt update
$ sudo apt install git python3 python3-pip -y
$ git clone https://github.com/kubernetes-incubator/kubespray.git
$ cd kubespray
$ pip install -r requirements.txt

验证 Ansible 版本，运行：

$ ansible --version

创建主机清单，运行以下命令，不要忘记替换适合你部署的 IP 地址：

$ cp -rfp inventory/sample inventory/mycluster
$ declare -a IPS=(192.168.1.241 192.168.1.241 192.168.1.242 192.168.1.243 192.168.1.244 192.168.1.245)
$ CONFIG_FILE=inventory/mycluster/hosts.yaml python3 contrib/inventory_builder/inventory.py ${IPS[@]}

修改清单文件，设置 3 个控制节点和 2 个工作节点：

$ vi inventory/mycluster/hosts.yaml

保存并关闭文件。

查看并修改文件 inventory/mycluster/group_vars/k8s_cluster/k8s-cluster.yml 中的以下参数：

kube_version: v1.26.2
kube_network_plugin: calico
kube_pods_subnet: 10.233.64.0/18
kube_service_addresses: 10.233.0.0/18
cluster_name: linuxtechi.local

要启用 Kuberenetes 仪表板和入口控制器等插件，请在文件 inventory/mycluster/group_vars/k8s_cluster/addons.yml 中将参数设置为已启用：

$ vi inventory/mycluster/group_vars/k8s_cluster/addons.yml

dashboard_enabled: true
ingress_nginx_enabled: true
ingress_nginx_host_network: true

保存并退出文件。

步骤 2）将 SSH 密钥从 Ansible 节点复制到所有其他节点

首先在你的 Ansible 节点上为你的本地用户生成 SSH 密钥：

$ ssh-keygen

使用 ssh-copy-id 命令复制 SSH 密钥：

$ ssh-copy-id [email protected]
$ ssh-copy-id [email protected]
$ ssh-copy-id [email protected]
$ ssh-copy-id [email protected]
$ ssh-copy-id [email protected]

还要在每个节点上运行以下命令：

$ echo "sysops ALL=(ALL) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/sysops

步骤 3）禁用防火墙并启用 IPV4 转发

要在所有节点上禁用防火墙，请从 Ansible 节点运行以下 ansible 命令:

$ cd kubespray
$ ansible all -i inventory/mycluster/hosts.yaml -m shell -a "sudo systemctl stop firewalld && sudo systemctl disable firewalld"

运行以下 ansible 命令以在所有节点上启用 IPv4 转发和禁用交换:

$ ansible all -i inventory/mycluster/hosts.yaml -m shell -a "echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf"
$ ansible all -i inventory/mycluster/hosts.yaml -m shell -a "sudo sed -i '/ swap / s/^\(.*\)$/#\1/g' /etc/fstab && sudo swapoff -a"

步骤 4）启动 Kubernetes 部署

现在，我们都准备好开始 Kubernetes 集群部署，从 Ansible 节点运行下面的 Ansible 剧本：

$ cd kubespray
$ ansible-playbook -i inventory/mycluster/hosts.yaml --become --become-user=root cluster.yml

现在监控部署，可能需要 20 到 30 分钟，具体取决于互联网速度和硬件资源。

部署完成后，我们将在屏幕上看到以下输出：

很好，上面的输出确认部署已成功完成。

步骤 5）访问 Kubernetes 集群

登录到第一个主节点，切换到 root 用户，在那里运行 kubectl 命令：

$ sudo su -
# kubectl get nodes
# kubectl get pods -A

输出：

完美，上面的输出确认集群中的所有节点都处于就绪状态，并且所有命名空间的 容器荚 Pod 都已启动并正在运行。这表明我们的 Kubernetes 集群部署成功。

让我们尝试部署基于 Nginx 的部署并将其公开为节点端口，运行以下 kubectl 命令：

$ kubectl create deployment demo-nginx-kubespray --image=nginx --replicas=2
$ kubectl expose deployment demo-nginx-kubespray --type NodePort --port=80
$ kubectl get  deployments.apps
$ kubectl get pods
$ kubectl get svc demo-nginx-kubespray

以上命令的输出：

现在尝试使用工作节点的 IP 地址和节点端口（30050）访问此 Nginx 应用。

使用以下 curl 命令或 Web 浏览器访问此应用。

$ curl 192.168.1.245:30050

或者，

完美，这证实了应用可以在我们的集群之外访问。

步骤 6）Kubernetes 仪表板（GUI）

要访问 Kubernetes 仪表板，让我们首先创建服务帐户并分配管理员权限，以便它可以使用令牌访问仪表板。

在 kube-system 命名空间中创建名为 “admin-user” 的服务帐户：

$ vi dashboard-adminuser.yml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: admin-user
  namespace: kube-system

保存并关闭文件。

$ kubectl apply -f dashboard-adminuser.yml
serviceaccount/admin-user created

创建集群角色绑定：

$ vi admin-role-binding.yml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: admin-user
  namespace: kube-system

保存并退出文件。

$ kubectl apply -f admin-role-binding.yml
clusterrolebinding.rbac.authorization.k8s.io/admin-user created

现在，为管理员用户创建令牌：

$ kubectl -n kube-system  create token admin-user

复制此令牌并将其放在安全的地方，因为我们将使用令牌登录 Kubernetes 仪表板。

使用以下 ssh 命令从你的系统连接到第一个主节点：

$ ssh -L8001:localhost:8001 [email protected]

注意：替换适合你环境的 IP 地址。

登录后，切换到 root 用户并运行 kubectl proxy 命令：

$ sudo su -
# kubectl proxy
Starting to serve on 127.0.0.1:8001

打开系统的网络浏览器，如下设置代理：

完成代理设置后，将以下网址粘贴到浏览器中：

http://localhost:8001/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/#/login

选择令牌登录并粘贴你在上面为管理员用户生成的令牌，然后单击“ 登录 Sign in ”。

这就是本指南的全部内容，我希望你能从中找到有用的信息。请在下面的评论部分中发表你的疑问和反馈。

via: https://www.linuxtechi.com/install-kubernetes-using-kubespray/

作者：Pradeep Kumar 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

通过开源项目 AdGuard Home 运行你自己的 DNS 服务器来控制你的互联网隐私。

域名服务器（DNS）将域名（如 example.com）与 IP 地址（如 93.184.216.34）相关联。这就是当你输入 URL 或搜索引擎返回 URL 供你访问时，你的网络浏览器如何知道在世界的哪个地方寻找数据。DNS 为互联网用户提供了极大的便利，但也并非没有缺点。例如，付费广告会出现在网页上，因为你的浏览器会自然的使用 DNS 来解析这些广告在互联网上“存在”的位置。同样，跟踪你在线活动的软件通常由通过 DNS 解析的服务启用。你不想完全关闭 DNS，因为它非常有用。但是你可以运行自己的 DNS 服务，以便更好地控制它的使用方式。

我相信运行自己的 DNS 服务器至关重要，这样你就可以阻止广告并保持你的浏览隐私，远离试图分析你的在线交互的提供商。我过去用过 Pi-hole，今天仍然推荐它。然而，最近，我一直在我的网络上运行开源项目 AdGuard Home。我发现它有一些值得探索的独特功能。

AdGuard Home

在我使用过的开源 DNS 软件中，AdGuard Home 是最容易设置和维护的。你可以在一个项目中获得许多 DNS 解析解决方案，例如 DNS over TLS、DNS over HTTPS 和 DNS over QUIC。

你可以使用一个脚本将 AdGuard 设置为容器或本地服务：

$ curl -s -S -L \
    https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh

查看这个脚本以便了解它的作用。了解了它的工作过程后，再运行它：

$ sh ./install.sh

我最喜欢 AdGuard Home 的一些功能：

• 一个简单的管理界面
• 使用 AdGuard 阻止列表来阻止广告和恶意软件
• 单独配置网络上每个设备的选项
• 强制在特定设备上进行安全搜索
• 为管理界面设置 HTTPS，这样与它的远程交互是完全加密的

我发现 AdGuard Home 为我节省了时间。它的黑名单比 Pi-hole 上的黑名单更强大。你可以快速轻松地将其配置为 DNS over HTTPS。

没有更多的恶意软件

恶意软件是你计算机上不需要的内容。它并不总是对你有直接危险，但它可能会为第三方带来危险活动。这不是互联网最初的目的。我认为你应该托管自己的 DNS 服务，以保护你的互联网历史记录的私密性，并避免被微软、谷歌和亚马逊等已知跟踪器掌握。在你的网络上试用 AdGuard Home 吧。

via: https://opensource.com/article/23/3/open-source-dns-server

作者：Amar Gandhi 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出