🎉 Sealos 首充折扣,限时返场!最高立返 10000,活动日期 4月22日-4月28日
Sealos Logo

Sealos 集群部署

了解如何使用 Sealos 一键部署 Kubernetes 集群,支持多种安装方式,确保通信安全,适用于大规模集群和企业生产环境。

分享到:

大规模集群以及企业生产环境强烈建议使用 Sealos 私有云的企业版或者定制版

准备工作

服务器

以下是一些基本的要求:

  • 每个集群节点应该有不同的主机名。
  • 所有节点的时间需要同步。
  • 建议使用干净的操作系统来创建集群。不要自己装 Docker!
  • 支持大多数 Linux 发行版,例如:Ubuntu、Debian、CentOS、Rocky linux。
  • 系统内核版本在 5.4 及以上
  • 必须使用 root 用户安装!

推荐配置:

推荐使用 Ubuntu 22.04 LTS 操作系统,内核版本在 5.4 及以上,配置如下:

操作系统内核版本CPU内存存储MastersNodes
Ubuntu 22.04 LTS≥ 5.48C16GB100GB奇数台任意

Kubernetes 和 Sealos Cloud 的系统组件在每个 Master 节点上大约需要 2 核心 (2c) 和 2GB 内存 (2g),在每个 Node 节点上则需要大约 1 核心 (1c) 和 1GB 内存 (1g),请确保集群中每个节点都有足够的计算资源以支持系统组件的运行。

网络

  • 所有节点之间网络互通;
  • 需要在 Kubernetes 集群的第一个 Master 节点上执行脚本,目前集群外的节点不支持集群安装
  • 所有节点之间可以互相通信。

域名

  • 需要一个域名用于访问 Sealos 及相关服务;
  • 如果您没有域名,可以使用 nip.io 提供的免费域名服务。

证书

Sealos 需要使用证书来保证通信安全,默认在您不提供证书的情况下我们会使用 cert-manager 来自动签发证书。

如果您能提供证书,证书需要解析下列域名 (假设您提供的域名为:cloud.example.io):

  • *.cloud.example.io
  • cloud.example.io

安装步骤

为了便于部署,Sealos 提供了一键安装脚本,支持从零开始部署 Sealos 集群,也可在已安装的 Kubernetes 集群上部署(仅支持 Sealos 安装的 Kubernetes)。

建议直接使用一键安装脚本完成 Kubernetes 和 Sealos 集群的部署,避免环境兼容性问题。

一键安装脚本说明

  • 支持大多数主流 Linux 发行版。
  • 推荐使用 Ubuntu 22.04 LTS,内核版本 ≥ 5.4。
  • 仅支持在 Sealos 安装的 Kubernetes 集群上部署 Sealos Cloud。

安装方式选择

根据您的域名情况,选择合适的安装方式:

场景域名证书主要操作
1. 无公网域名nip.io自签名使用 nip.io 域名,直接一键安装
2. 有公网域名+证书自有域名已有证书配置 A 记录和泛解析,上传证书后安装
3. 有公网域名+acme自动签发自有域名无证书配置 CNAME,安装时自动签发证书

1. 无公网域名,使用 nip.io

适用于本地开发或无公网域名场景,自动生成自签名证书。

安装命令:

curl -sfL https://raw.githubusercontent.com/labring/sealos/refs/heads/main/scripts/cloud/install-v2.sh | \
  SEALOS_V2_CLOUD_VERSION=latest SEALOS_V2_PROXY=true bash -

输入域名时,格式为 [ip].nip.io,其中 [ip] 为 Master 节点 IP。

安装完成后,终端输出示例:

INFO [...] >> Installation complete!
INFO [...] >> Kubernetes version: 1.28.15
INFO [...] >> Sealos Cloud version: latest
INFO [...] >> Access URL: https://192.168.64.4.nip.io:443
INFO [...] >> Default admin credentials:
INFO [...] >>   Username: admin
INFO [...] >>   Password: sealos2023

2. 有公网域名,已拥有证书

适用于已备案域名且已获取受信任证书的场景。

  • 在域名服务商处添加 A 记录和泛解析记录,指向 Master 节点公网 IP。
  • 将证书文件上传至服务器指定目录。

安装命令:

curl -sfL https://raw.githubusercontent.com/labring/sealos/refs/heads/main/scripts/cloud/install-v2.sh | \
  SEALOS_V2_CLOUD_VERSION=latest SEALOS_V2_PROXY=true \
  SEALOS_V2_CLOUD_DOMAIN=<your_domain> \
  SEALOS_V2_CERT_PATH=<your_crt> \
  SEALOS_V2_KEY_PATH=<your_key> bash -

参数说明:

  • <your_domain>:你的公网域名
  • <your_crt>:证书文件路径,如 /root/certs/example.crt
  • <your_key>:私钥文件路径,如 /root/certs/example.key

3. 有公网域名,acme 自动签发证书

适用于有公网域名但无证书的场景,安装脚本会自动申请证书。

  • 在域名服务商处添加主域名 A 记录,指向 Master 节点公网 IP。
  • 按安装脚本提示,添加 _acme-challenge 的 CNAME 记录,指向自动生成的 acme-dns 地址。

安装命令:

curl -sfL https://raw.githubusercontent.com/labring/sealos/refs/heads/main/scripts/cloud/install-v2.sh | \
  SEALOS_V2_CLOUD_VERSION=latest SEALOS_V2_PROXY=true \
  SEALOS_V2_CLOUD_DOMAIN=<your_domain> \
  SEALOS_V2_ENABLE_ACME=true bash -

安装过程中 Sealos 会自动生成 ACME DNS 验证所需的 CNAME 信息,请根据提示完成配置,否则证书签发会失败。

信任自签名证书

如果您选择了上面提供的安装方式中的 1 或 3 或 4,那么您的证书默认是不受浏览器信任的,当你访问 Sealos Cloud 时,浏览器会提示下面的信息:

即使点击继续访问,进入 Sealos Cloud 之后也无法正常显示 App 图标,无法打开 App。

我们需要导出自签名证书,并让系统信任自签名证书。步骤如下。

导出自签名证书

各个浏览器导出自签名证书的步骤略有不同。以下是在一些常用浏览器中导出自签名证书的步骤:

Chrome (以及基于 Chromium 的浏览器如新版 Edge 和 Brave)

  1. 在浏览器地址栏左侧点击“不安全”字样。
  2. 点击“证书无效”,这将打开一个证书信息窗口。
  3. 在打开的证书窗口中,切换到“详细信息”标签页。
  4. 在“详细信息”标签页中,找到并点击“导出”。
  5. 选择一个文件名和保存位置,然后完成导出过程。

Firefox

  1. 点击页面中的“高级”。

  2. 然后点击“查看证书”。

  3. 在证书页面中点击“PEM (证书)”。

Safari

  1. 点击页面中的“显示详细信息”。

  2. 然后点击“查看此证书”。

  3. 在证书视图中,可以看到一个带有证书链的窗口。

  4. 拖动红框圈出来的证书到桌面或文件夹中,证书就会被导出了。

信任自签名证书

macOS

在 macOS 上信任自签名证书可以使用以下命令:

# 假设证书保存在 ~/Downloads/10.214.210.102.nip.io.cer
$ sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/Downloads/10.214.210.102.nip.io.cer

您也可以通过以下步骤来操作:

1、添加证书到钥匙串
  1. 启动钥匙串访问 (Keychain Access) 应用程序,点击左侧“系统钥匙串”下方的“系统”类别。
  2. 然后打开“访达”,进入证书保存位置,双击证书文件:这通常是一个 .cer.crt,或 .pem 文件。
  3. 输入您的用户名和密码以允许修改。
  4. 证书现在应该已经被添加到您的钥匙串中。
2、信任证书
  1. 在钥匙串访问中,从“系统”类别的列表中找到刚刚添加的自签名证书,并双击它。
  2. 在打开的窗口中,展开“信任”部分。
  3. 在“当使用此证书时”选项旁边,有一个下拉菜单,默认设置可能是“使用系统默认值”。要信任证书,请改为“始终信任”。
  4. 关闭证书信息窗口,系统可能会提示您验证您的用户名和密码,以确认更改。
  5. 现在,证书已经被标记为受信任。

自签名证书不由第三方证书颁发机构 (CA) 颁发,因此,其他设备也不会信任该证书。如果您是在公司或组织内部使用自签名证书,可能需要在每个需要信任此证书的设备上手动进行上述步骤。

Windows

  1. 在根证书文件点鼠标右键,选择“安装证书”。
  2. 选择“当前用户”或者“本地计算机”,下一步
  3. “将所有的证书都放入下列存储”,“浏览”,“受信任的根证书颁发机构”,“确定”,下一步。
  4. 完成,“是”,确定。

Linux

Linux 不同发行版更新根证书存储的命令不一样,用来保存私有证书的路径也不一样。需要先复制自签名 CA 证书到特定路径,再运行命令更新根证书存储。

# Debian/Ubuntu/Gentoo
# - 安装
$ sudo cp root_ca.crt /usr/local/share/ca-certificates/root_ca.crt
# update-ca-certificates 会添加 /etc/ca-certificates.conf 配置文件中指定的证书
#   另外所有 /usr/local/share/ca-certificates/*.crt 会被列为隐式信任
$ sudo update-ca-certificates
 
# - 删除
$ sudo rm /usr/local/share/ca-certificates/root_ca.crt
$ sudo update-ca-certificates --fresh

激活集群

集群安装完成后,需要激活集群,步骤如下:

  1. 首先点击桌面的“许可证”打开许可证应用:

  2. 然后点击出现的页面左侧的“激活/购买”:

    然后浏览器会跳转到 License 页面:

  3. 如果你还没有在该页面创建过集群,就点击左上角-价格-获取,立即开始创建一个集群;如果你已经创建过集群了,只需要点击“我的集群”便会跳转到已有集群。

  4. 新购买一个集群后,点进进入会看到新购买的集群显示-未激活:

    点击集群管理,在集群激活处输入一个集群 id (自取,不能和他人重复),输入完成后点击激活即可成功激活集群。

    5。成功激活集群后,集群管理的右侧会出现 License 管理选项,点击进入,在 License 列表下面导出 License:

6。导出 License 后,回到 Sealos 集群的“许可证”应用界面,点击“上传 License 文件”:

选择刚刚下载的 License 文件进行上传,然后点击右下角的“激活 License”,便可激活 License。

用AI探索

获取这篇文章的AI见解

📤 分享这篇文章

Tip: AI将帮助您总结要点并分析技术细节。
在 GitHub 上编辑

最后更新于