国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线 免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

Kubernetes(K8S)容器集群管理環(huán)境完整部署詳細(xì)教程-中篇

 更新時(shí)間:2022年01月30日 15:35:40   投稿:wdc  
本系列文章主要介紹了Kubernetes(K8S)容器集群管理環(huán)境完整部署的詳細(xì)教程,分為上中下三篇文章,此為中篇,需要的朋友可以參考下

本文系列:

Kubernetes(K8S)容器集群管理環(huán)境完整部署詳細(xì)教程-上篇

Kubernetes(K8S)容器集群管理環(huán)境完整部署詳細(xì)教程-中篇

Kubernetes(K8S)容器集群管理環(huán)境完整部署詳細(xì)教程-下篇

接著Kubernetes(K8S)容器集群管理環(huán)境完整部署詳細(xì)教程-上篇繼續(xù)往下部署:

八、部署master節(jié)點(diǎn)

master節(jié)點(diǎn)的kube-apiserver、kube-scheduler 和 kube-controller-manager 均以多實(shí)例模式運(yùn)行:kube-scheduler 和 kube-controller-manager 會(huì)自動(dòng)選舉產(chǎn)生一個(gè) leader 實(shí)例,其它實(shí)例處于阻塞模式,當(dāng) leader 掛了后,重新選舉產(chǎn)生新的 leader,從而保證服務(wù)可用性;kube-apiserver 是無(wú)狀態(tài)的,需要通過(guò) kube-nginx 進(jìn)行代理訪(fǎng)問(wèn),從而保證服務(wù)可用性;

下面部署命令均在k8s-master01節(jié)點(diǎn)上執(zhí)行,然后遠(yuǎn)程分發(fā)文件和執(zhí)行命令。

下載最新版本二進(jìn)制文件
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# wget https://dl.k8s.io/v1.14.2/kubernetes-server-linux-amd64.tar.gz
[root@k8s-master01 work]# tar -xzvf kubernetes-server-linux-amd64.tar.gz
[root@k8s-master01 work]# cd kubernetes
[root@k8s-master01 work]# tar -xzvf  kubernetes-src.tar.gz

將二進(jìn)制文件拷貝到所有 master 節(jié)點(diǎn):
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp kubernetes/server/bin/{apiextensions-apiserver,cloud-controller-manager,kube-apiserver,kube-controller-manager,kube-proxy,kube-scheduler,kubeadm,kubectl,kubelet,mounter} root@${node_master_ip}:/opt/k8s/bin/
    ssh root@${node_master_ip} "chmod +x /opt/k8s/bin/*"
  done

8.1 - 部署高可用 kube-apiserver 集群

這里部署一個(gè)三實(shí)例kube-apiserver集群環(huán)境,它們通過(guò)nginx四層代理進(jìn)行訪(fǎng)問(wèn),對(duì)外提供一個(gè)統(tǒng)一的vip地址,從而保證服務(wù)可用性。下面部署命令均在k8s-master01節(jié)點(diǎn)上執(zhí)行,然后遠(yuǎn)程分發(fā)文件和執(zhí)行命令。

1) 創(chuàng)建 kubernetes 證書(shū)和私鑰
創(chuàng)建證書(shū)簽名請(qǐng)求:
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# cat > kubernetes-csr.json <<EOF
{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "172.16.60.250",
    "172.16.60.241",
    "172.16.60.242",
    "172.16.60.243",
    "${CLUSTER_KUBERNETES_SVC_IP}",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
EOF
  
解釋說(shuō)明:
? hosts 字段指定授權(quán)使用該證書(shū)的 IP 或域名列表,這里列出了 VIP 、apiserver 節(jié)點(diǎn) IP、kubernetes 服務(wù) IP 和域名;
? 域名最后字符不能是 .(如不能為 kubernetes.default.svc.cluster.local.),否則解析時(shí)失敗,提示:
  x509: cannot parse dnsName "kubernetes.default.svc.cluster.local.";
? 如果使用非 cluster.local 域名,如 opsnull.com,則需要修改域名列表中的最后兩個(gè)域名為:kubernetes.default.svc.opsnull、kubernetes.default.svc.opsnull.com
? kubernetes 服務(wù) IP 是 apiserver 自動(dòng)創(chuàng)建的,一般是 --service-cluster-ip-range 參數(shù)指定的網(wǎng)段的第一個(gè)IP,后續(xù)可以通過(guò)如下命令獲?。?
  
[root@k8s-master01 work]# kubectl get svc kubernetes
The connection to the server 172.16.60.250:8443 was refused - did you specify the right host or port?
   
上面報(bào)錯(cuò)是因?yàn)閗ube-apiserver服務(wù)此時(shí)沒(méi)有啟動(dòng),后續(xù)待apiserver服務(wù)啟動(dòng)后,以上命令就可以獲得了。
   
生成證書(shū)和私鑰:
[root@k8s-master01 work]# cfssl gencert -ca=/opt/k8s/work/ca.pem \
  -ca-key=/opt/k8s/work/ca-key.pem \
  -config=/opt/k8s/work/ca-config.json \
  -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
   
[root@k8s-master01 work]# ls kubernetes*pem
kubernetes-key.pem  kubernetes.pem
   
將生成的證書(shū)和私鑰文件拷貝到所有 master 節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    ssh root@${node_master_ip} "mkdir -p /etc/kubernetes/cert"
    scp kubernetes*.pem root@${node_master_ip}:/etc/kubernetes/cert/
  done
   
2) 創(chuàng)建加密配置文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# cat > encryption-config.yaml <<EOF
kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: ${ENCRYPTION_KEY}
      - identity: {}
EOF
   
將加密配置文件拷貝到 master 節(jié)點(diǎn)的 /etc/kubernetes 目錄下:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp encryption-config.yaml root@${node_master_ip}:/etc/kubernetes/
  done
   
3) 創(chuàng)建審計(jì)策略文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# cat > audit-policy.yaml <<EOF
apiVersion: audit.k8s.io/v1beta1
kind: Policy
rules:
  # The following requests were manually identified as high-volume and low-risk, so drop them.
  - level: None
    resources:
      - group: ""
        resources:
          - endpoints
          - services
          - services/status
    users:
      - 'system:kube-proxy'
    verbs:
      - watch
   
  - level: None
    resources:
      - group: ""
        resources:
          - nodes
          - nodes/status
    userGroups:
      - 'system:nodes'
    verbs:
      - get
   
  - level: None
    namespaces:
      - kube-system
    resources:
      - group: ""
        resources:
          - endpoints
    users:
      - 'system:kube-controller-manager'
      - 'system:kube-scheduler'
      - 'system:serviceaccount:kube-system:endpoint-controller'
    verbs:
      - get
      - update
   
  - level: None
    resources:
      - group: ""
        resources:
          - namespaces
          - namespaces/status
          - namespaces/finalize
    users:
      - 'system:apiserver'
    verbs:
      - get
   
  # Don't log HPA fetching metrics.
  - level: None
    resources:
      - group: metrics.k8s.io
    users:
      - 'system:kube-controller-manager'
    verbs:
      - get
      - list
   
  # Don't log these read-only URLs.
  - level: None
    nonResourceURLs:
      - '/healthz*'
      - /version
      - '/swagger*'
   
  # Don't log events requests.
  - level: None
    resources:
      - group: ""
        resources:
          - events
   
  # node and pod status calls from nodes are high-volume and can be large, don't log responses for expected updates from nodes
  - level: Request
    omitStages:
      - RequestReceived
    resources:
      - group: ""
        resources:
          - nodes/status
          - pods/status
    users:
      - kubelet
      - 'system:node-problem-detector'
      - 'system:serviceaccount:kube-system:node-problem-detector'
    verbs:
      - update
      - patch
   
  - level: Request
    omitStages:
      - RequestReceived
    resources:
      - group: ""
        resources:
          - nodes/status
          - pods/status
    userGroups:
      - 'system:nodes'
    verbs:
      - update
      - patch
   
  # deletecollection calls can be large, don't log responses for expected namespace deletions
  - level: Request
    omitStages:
      - RequestReceived
    users:
      - 'system:serviceaccount:kube-system:namespace-controller'
    verbs:
      - deletecollection
   
  # Secrets, ConfigMaps, and TokenReviews can contain sensitive & binary data,
  # so only log at the Metadata level.
  - level: Metadata
    omitStages:
      - RequestReceived
    resources:
      - group: ""
        resources:
          - secrets
          - configmaps
      - group: authentication.k8s.io
        resources:
          - tokenreviews
  # Get repsonses can be large; skip them.
  - level: Request
    omitStages:
      - RequestReceived
    resources:
      - group: ""
      - group: admissionregistration.k8s.io
      - group: apiextensions.k8s.io
      - group: apiregistration.k8s.io
      - group: apps
      - group: authentication.k8s.io
      - group: authorization.k8s.io
      - group: autoscaling
      - group: batch
      - group: certificates.k8s.io
      - group: extensions
      - group: metrics.k8s.io
      - group: networking.k8s.io
      - group: policy
      - group: rbac.authorization.k8s.io
      - group: scheduling.k8s.io
      - group: settings.k8s.io
      - group: storage.k8s.io
    verbs:
      - get
      - list
      - watch
   
  # Default level for known APIs
  - level: RequestResponse
    omitStages:
      - RequestReceived
    resources:
      - group: ""
      - group: admissionregistration.k8s.io
      - group: apiextensions.k8s.io
      - group: apiregistration.k8s.io
      - group: apps
      - group: authentication.k8s.io
      - group: authorization.k8s.io
      - group: autoscaling
      - group: batch
      - group: certificates.k8s.io
      - group: extensions
      - group: metrics.k8s.io
      - group: networking.k8s.io
      - group: policy
      - group: rbac.authorization.k8s.io
      - group: scheduling.k8s.io
      - group: settings.k8s.io
      - group: storage.k8s.io
         
  # Default level for all other requests.
  - level: Metadata
    omitStages:
      - RequestReceived
EOF
   
分發(fā)審計(jì)策略文件:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp audit-policy.yaml root@${node_master_ip}:/etc/kubernetes/audit-policy.yaml
  done
   
4) 創(chuàng)建后續(xù)訪(fǎng)問(wèn) metrics-server 使用的證書(shū)
創(chuàng)建證書(shū)簽名請(qǐng)求:
[root@k8s-master01 work]# cat > proxy-client-csr.json <<EOF
{
  "CN": "aggregator",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
EOF
   
CN 名稱(chēng)為 aggregator,需要與 metrics-server 的 --requestheader-allowed-names 參數(shù)配置一致,否則訪(fǎng)問(wèn)會(huì)被 metrics-server 拒絕;
   
生成證書(shū)和私鑰:
[root@k8s-master01 work]# cfssl gencert -ca=/etc/kubernetes/cert/ca.pem \
  -ca-key=/etc/kubernetes/cert/ca-key.pem  \
  -config=/etc/kubernetes/cert/ca-config.json  \
  -profile=kubernetes proxy-client-csr.json | cfssljson -bare proxy-client
   
[root@k8s-master01 work]# ls proxy-client*.pem
proxy-client-key.pem  proxy-client.pem
   
將生成的證書(shū)和私鑰文件拷貝到所有 master 節(jié)點(diǎn):
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp proxy-client*.pem root@${node_master_ip}:/etc/kubernetes/cert/
  done
   
5) 創(chuàng)建 kube-apiserver systemd unit 模板文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# cat > kube-apiserver.service.template <<EOF
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target
   
[Service]
WorkingDirectory=${K8S_DIR}/kube-apiserver
ExecStart=/opt/k8s/bin/kube-apiserver \\
  --advertise-address=##NODE_MASTER_IP## \\
  --default-not-ready-toleration-seconds=360 \\
  --default-unreachable-toleration-seconds=360 \\
  --feature-gates=DynamicAuditing=true \\
  --max-mutating-requests-inflight=2000 \\
  --max-requests-inflight=4000 \\
  --default-watch-cache-size=200 \\
  --delete-collection-workers=2 \\
  --encryption-provider-config=/etc/kubernetes/encryption-config.yaml \\
  --etcd-cafile=/etc/kubernetes/cert/ca.pem \\
  --etcd-certfile=/etc/kubernetes/cert/kubernetes.pem \\
  --etcd-keyfile=/etc/kubernetes/cert/kubernetes-key.pem \\
  --etcd-servers=${ETCD_ENDPOINTS} \\
  --bind-address=##NODE_MASTER_IP## \\
  --secure-port=6443 \\
  --tls-cert-file=/etc/kubernetes/cert/kubernetes.pem \\
  --tls-private-key-file=/etc/kubernetes/cert/kubernetes-key.pem \\
  --insecure-port=0 \\
  --audit-dynamic-configuration \\
  --audit-log-maxage=15 \\
  --audit-log-maxbackup=3 \\
  --audit-log-maxsize=100 \\
  --audit-log-mode=batch \\
  --audit-log-truncate-enabled \\
  --audit-log-batch-buffer-size=20000 \\
  --audit-log-batch-max-size=2 \\
  --audit-log-path=${K8S_DIR}/kube-apiserver/audit.log \\
  --audit-policy-file=/etc/kubernetes/audit-policy.yaml \\
  --profiling \\
  --anonymous-auth=false \\
  --client-ca-file=/etc/kubernetes/cert/ca.pem \\
  --enable-bootstrap-token-auth \\
  --requestheader-allowed-names="" \\
  --requestheader-client-ca-file=/etc/kubernetes/cert/ca.pem \\
  --requestheader-extra-headers-prefix="X-Remote-Extra-" \\
  --requestheader-group-headers=X-Remote-Group \\
  --requestheader-username-headers=X-Remote-User \\
  --service-account-key-file=/etc/kubernetes/cert/ca.pem \\
  --authorization-mode=Node,RBAC \\
  --runtime-config=api/all=true \\
  --enable-admission-plugins=NodeRestriction \\
  --allow-privileged=true \\
  --apiserver-count=3 \\
  --event-ttl=168h \\
  --kubelet-certificate-authority=/etc/kubernetes/cert/ca.pem \\
  --kubelet-client-certificate=/etc/kubernetes/cert/kubernetes.pem \\
  --kubelet-client-key=/etc/kubernetes/cert/kubernetes-key.pem \\
  --kubelet-https=true \\
  --kubelet-timeout=10s \\
  --proxy-client-cert-file=/etc/kubernetes/cert/proxy-client.pem \\
  --proxy-client-key-file=/etc/kubernetes/cert/proxy-client-key.pem \\
  --service-cluster-ip-range=${SERVICE_CIDR} \\
  --service-node-port-range=${NODE_PORT_RANGE} \\
  --logtostderr=true \\
  --enable-aggregator-routing=true \\
  --v=2
Restart=on-failure
RestartSec=10
Type=notify
LimitNOFILE=65536
   
[Install]
WantedBy=multi-user.target
EOF
   
解釋說(shuō)明:
--advertise-address:apiserver 對(duì)外通告的 IP(kubernetes 服務(wù)后端節(jié)點(diǎn) IP);
--default-*-toleration-seconds:設(shè)置節(jié)點(diǎn)異常相關(guān)的閾值;
--max-*-requests-inflight:請(qǐng)求相關(guān)的最大閾值;
--etcd-*:訪(fǎng)問(wèn) etcd 的證書(shū)和 etcd 服務(wù)器地址;
--experimental-encryption-provider-config:指定用于加密 etcd 中 secret 的配置;
--bind-address: https 監(jiān)聽(tīng)的 IP,不能為 127.0.0.1,否則外界不能訪(fǎng)問(wèn)它的安全端口 6443;
--secret-port:https 監(jiān)聽(tīng)端口;
--insecure-port=0:關(guān)閉監(jiān)聽(tīng) http 非安全端口(8080);
--tls-*-file:指定 apiserver 使用的證書(shū)、私鑰和 CA 文件;
--audit-*:配置審計(jì)策略和審計(jì)日志文件相關(guān)的參數(shù);
--client-ca-file:驗(yàn)證 client (kue-controller-manager、kube-scheduler、kubelet、kube-proxy 等)請(qǐng)求所帶的證書(shū);
--enable-bootstrap-token-auth:?jiǎn)⒂?kubelet bootstrap 的 token 認(rèn)證;
--requestheader-*:kube-apiserver 的 aggregator layer 相關(guān)的配置參數(shù),proxy-client & HPA 需要使用;
--requestheader-client-ca-file:用于簽名 --proxy-client-cert-file 和 --proxy-client-key-file 指定的證書(shū);在啟用了 metric aggregator 時(shí)使用;
如果 --requestheader-allowed-names 不為空,則--proxy-client-cert-file 證書(shū)的 CN 必須位于 allowed-names 中,默認(rèn)為 aggregator;
--service-account-key-file:簽名 ServiceAccount Token 的公鑰文件,kube-controller-manager 的 --service-account-private-key-file 指定私鑰文件,兩者配對(duì)使用;
--runtime-config=api/all=true: 啟用所有版本的 APIs,如 autoscaling/v2alpha1;
--authorization-mode=Node,RBAC、--anonymous-auth=false: 開(kāi)啟 Node 和 RBAC 授權(quán)模式,拒絕未授權(quán)的請(qǐng)求;
--enable-admission-plugins:?jiǎn)⒂靡恍┠J(rèn)關(guān)閉的 plugins;
--allow-privileged:運(yùn)行執(zhí)行 privileged 權(quán)限的容器;
--apiserver-count=3:指定 apiserver 實(shí)例的數(shù)量;
--event-ttl:指定 events 的保存時(shí)間;
--kubelet-*:如果指定,則使用 https 訪(fǎng)問(wèn) kubelet APIs;需要為證書(shū)對(duì)應(yīng)的用戶(hù)(上面 kubernetes*.pem 證書(shū)的用戶(hù)為 kubernetes) 用戶(hù)定義 RBAC 規(guī)則,否則訪(fǎng)問(wèn) kubelet API 時(shí)提示未授權(quán);
--proxy-client-*:apiserver 訪(fǎng)問(wèn) metrics-server 使用的證書(shū);
--service-cluster-ip-range: 指定 Service Cluster IP 地址段;
--service-node-port-range: 指定 NodePort 的端口范圍;
   
注意:
如果kube-apiserver機(jī)器沒(méi)有運(yùn)行 kube-proxy,則需要添加 --enable-aggregator-routing=true 參數(shù)(這里master節(jié)點(diǎn)沒(méi)有作為node節(jié)點(diǎn)使用,故沒(méi)有運(yùn)行kube-proxy,需要加這個(gè)參數(shù))
requestheader-client-ca-file 指定的 CA 證書(shū),必須具有 client auth and server auth??!
   
為各節(jié)點(diǎn)創(chuàng)建和分發(fā) kube-apiserver systemd unit 文件
替換模板文件中的變量,為各節(jié)點(diǎn)生成 systemd unit 文件:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for (( i=0; i < 3; i++ ))
  do
    sed -e "s/##NODE_MASTER_NAME##/${NODE_MASTER_NAMES[i]}/" -e "s/##NODE_MASTER_IP##/${NODE_MASTER_IPS[i]}/" kube-apiserver.service.template > kube-apiserver-${NODE_MASTER_IPS[i]}.service
  done
   
其中:NODE_NAMES 和 NODE_IPS 為相同長(zhǎng)度的 bash 數(shù)組,分別為節(jié)點(diǎn)名稱(chēng)和對(duì)應(yīng)的 IP;
   
[root@k8s-master01 work]# ll kube-apiserver*.service
-rw-r--r-- 1 root root 2718 Jun 18 10:38 kube-apiserver-172.16.60.241.service
-rw-r--r-- 1 root root 2718 Jun 18 10:38 kube-apiserver-172.16.60.242.service
-rw-r--r-- 1 root root 2718 Jun 18 10:38 kube-apiserver-172.16.60.243.service
   
分發(fā)生成的 systemd unit 文件, 文件重命名為 kube-apiserver.service;
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp kube-apiserver-${node_master_ip}.service root@${node_master_ip}:/etc/systemd/system/kube-apiserver.service
  done
   
6) 啟動(dòng) kube-apiserver 服務(wù)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    ssh root@${node_master_ip} "mkdir -p ${K8S_DIR}/kube-apiserver"
    ssh root@${node_master_ip} "systemctl daemon-reload && systemctl enable kube-apiserver && systemctl restart kube-apiserver"
  done
   
注意:?jiǎn)?dòng)服務(wù)前必須先創(chuàng)建工作目錄;
   
檢查 kube-apiserver 運(yùn)行狀態(tài)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    ssh root@${node_master_ip} "systemctl status kube-apiserver |grep 'Active:'"
  done
   
預(yù)期輸出:
>>> 172.16.60.241
   Active: active (running) since Tue 2019-06-18 10:42:42 CST; 1min 6s ago
>>> 172.16.60.242
   Active: active (running) since Tue 2019-06-18 10:42:47 CST; 1min 2s ago
>>> 172.16.60.243
   Active: active (running) since Tue 2019-06-18 10:42:51 CST; 58s ago
   
確保狀態(tài)為 active (running),否則查看日志,確認(rèn)原因(journalctl -u kube-apiserver)
   
7)打印 kube-apiserver 寫(xiě)入 etcd 的數(shù)據(jù)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# ETCDCTL_API=3 etcdctl \
    --endpoints=${ETCD_ENDPOINTS} \
    --cacert=/opt/k8s/work/ca.pem \
    --cert=/opt/k8s/work/etcd.pem \
    --key=/opt/k8s/work/etcd-key.pem \
    get /registry/ --prefix --keys-only
   
預(yù)期會(huì)打印出很多寫(xiě)入到etcd中的數(shù)據(jù)信息
   
8)檢查集群信息
[root@k8s-master01 work]# kubectl cluster-info
Kubernetes master is running at https://172.16.60.250:8443
To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.
   
[root@k8s-master01 work]# kubectl get all --all-namespaces
NAMESPACE   NAME                 TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
default     service/kubernetes   ClusterIP   10.254.0.1   <none>        443/TCP   8m25s
   
查看集群狀態(tài)信息
[root@k8s-master01 work]# kubectl get componentstatuses            #或者執(zhí)行命令"kubectl get cs"
NAME                 STATUS      MESSAGE                                                                                     ERROR
controller-manager   Unhealthy   Get http://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: connect: connection refused
scheduler            Unhealthy   Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: connect: connection refused
etcd-0               Healthy     {"health":"true"}                                                                        
etcd-2               Healthy     {"health":"true"}                                                                        
etcd-1               Healthy     {"health":"true"}
   
controller-managerhe 和 schedule狀態(tài)為Unhealthy,是因?yàn)榇藭r(shí)還沒(méi)有部署這兩個(gè)組件,待后續(xù)部署好之后再查看~
   
這里注意:
-> 如果執(zhí)行 kubectl 命令式時(shí)輸出如下錯(cuò)誤信息,則說(shuō)明使用的 ~/.kube/config 文件不對(duì),請(qǐng)切換到正確的賬戶(hù)后再執(zhí)行該命令:
   The connection to the server localhost:8080 was refused - did you specify the right host or port?
-> 執(zhí)行 kubectl get componentstatuses 命令時(shí),apiserver 默認(rèn)向 127.0.0.1 發(fā)送請(qǐng)求。當(dāng) controller-manager、scheduler 以集群模式運(yùn)行時(shí),有可能和kube-apiserver
   不在一臺(tái)機(jī)器上,這時(shí) controller-manager 或 scheduler 的狀態(tài)為 Unhealthy,但實(shí)際上它們工作正常。
   
9) 檢查 kube-apiserver 監(jiān)聽(tīng)的端口
[root@k8s-master01 work]# netstat -lnpt|grep kube
tcp        0      0 172.16.60.241:6443      0.0.0.0:*               LISTEN      15516/kube-apiserve
   
需要注意:
6443: 接收 https 請(qǐng)求的安全端口,對(duì)所有請(qǐng)求做認(rèn)證和授權(quán);
由于關(guān)閉了非安全端口,故沒(méi)有監(jiān)聽(tīng) 8080;
   
10)授予 kube-apiserver 訪(fǎng)問(wèn) kubelet API 的權(quán)限
在執(zhí)行 kubectl exec、run、logs 等命令時(shí),apiserver 會(huì)將請(qǐng)求轉(zhuǎn)發(fā)到 kubelet 的 https 端口。
這里定義 RBAC 規(guī)則,授權(quán) apiserver 使用的證書(shū)(kubernetes.pem)用戶(hù)名(CN:kuberntes)訪(fǎng)問(wèn) kubelet API 的權(quán)限:
   
[root@k8s-master01 work]# kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes

11)查看kube-apiserver輸出的metrics
需要用到根證書(shū)

使用nginx的代理端口獲取metrics
[root@k8s-master01 work]# curl -s --cacert /opt/k8s/work/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.250:8443/metrics|head
# HELP APIServiceOpenAPIAggregationControllerQueue1_adds (Deprecated) Total number of adds handled by workqueue: APIServiceOpenAPIAggregationControllerQueue1
# TYPE APIServiceOpenAPIAggregationControllerQueue1_adds counter
APIServiceOpenAPIAggregationControllerQueue1_adds 12194
# HELP APIServiceOpenAPIAggregationControllerQueue1_depth (Deprecated) Current depth of workqueue: APIServiceOpenAPIAggregationControllerQueue1
# TYPE APIServiceOpenAPIAggregationControllerQueue1_depth gauge
APIServiceOpenAPIAggregationControllerQueue1_depth 0
# HELP APIServiceOpenAPIAggregationControllerQueue1_longest_running_processor_microseconds (Deprecated) How many microseconds has the longest running processor for APIServiceOpenAPIAggregationControllerQueue1 been running.
# TYPE APIServiceOpenAPIAggregationControllerQueue1_longest_running_processor_microseconds gauge
APIServiceOpenAPIAggregationControllerQueue1_longest_running_processor_microseconds 0
# HELP APIServiceOpenAPIAggregationControllerQueue1_queue_latency (Deprecated) How long an item stays in workqueueAPIServiceOpenAPIAggregationControllerQueue1 before being requested.

直接使用kube-apiserver節(jié)點(diǎn)端口獲取metrics
[root@k8s-master01 work]# curl -s --cacert /opt/k8s/work/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.241:6443/metrics|head
[root@k8s-master01 work]# curl -s --cacert /opt/k8s/work/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.242:6443/metrics|head
[root@k8s-master01 work]# curl -s --cacert /opt/k8s/work/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.243:6443/metrics|head

8.2 - 部署高可用 kube-controller-manager 集群

該集群包含 3 個(gè)節(jié)點(diǎn),啟動(dòng)后將通過(guò)競(jìng)爭(zhēng)選舉機(jī)制產(chǎn)生一個(gè) leader 節(jié)點(diǎn),其它節(jié)點(diǎn)為阻塞狀態(tài)。當(dāng) leader 節(jié)點(diǎn)不可用時(shí),阻塞的節(jié)點(diǎn)將再次進(jìn)行選舉產(chǎn)生新的 leader 節(jié)點(diǎn),從而保證服務(wù)的可用性。為保證通信安全,本文檔先生成 x509 證書(shū)和私鑰,kube-controller-manager 在如下兩種情況下使用該證書(shū):與 kube-apiserver 的安全端口通信; 在安全端口(https,10252) 輸出 prometheus 格式的 metrics;下面部署命令均在k8s-master01節(jié)點(diǎn)上執(zhí)行,然后遠(yuǎn)程分發(fā)文件和執(zhí)行命令。

1)創(chuàng)建 kube-controller-manager 證書(shū)和私鑰
創(chuàng)建證書(shū)簽名請(qǐng)求:
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# cat > kube-controller-manager-csr.json <<EOF
{
    "CN": "system:kube-controller-manager",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "hosts": [
      "127.0.0.1",
      "172.16.60.241",
      "172.16.60.242",
      "172.16.60.243"
    ],
    "names": [
      {
        "C": "CN",
        "ST": "BeiJing",
        "L": "BeiJing",
        "O": "system:kube-controller-manager",
        "OU": "4Paradigm"
      }
    ]
}
EOF
  
? hosts 列表包含所有 kube-controller-manager 節(jié)點(diǎn) IP;
? CN 為 system:kube-controller-manager、O 為 system:kube-controller-manager,kubernetes 內(nèi)置的 ClusterRoleBindings system:kube-controller-manager
  賦予 kube-controller-manager 工作所需的權(quán)限。
  
生成證書(shū)和私鑰
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# cfssl gencert -ca=/opt/k8s/work/ca.pem \
  -ca-key=/opt/k8s/work/ca-key.pem \
  -config=/opt/k8s/work/ca-config.json \
  -profile=kubernetes kube-controller-manager-csr.json | cfssljson -bare kube-controller-manager
  
[root@k8s-master01 work]# ll kube-controller-manager*pem
-rw------- 1 root root 1679 Jun 18 11:43 kube-controller-manager-key.pem
-rw-r--r-- 1 root root 1517 Jun 18 11:43 kube-controller-manager.pem
  
將生成的證書(shū)和私鑰分發(fā)到所有 master 節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp kube-controller-manager*.pem root@${node_master_ip}:/etc/kubernetes/cert/
  done
  
2) 創(chuàng)建和分發(fā) kubeconfig 文件
kube-controller-manager 使用 kubeconfig 文件訪(fǎng)問(wèn) apiserver,該文件提供了 apiserver 地址、嵌入的 CA 證書(shū)和 kube-controller-manager 證書(shū):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# kubectl config set-cluster kubernetes \
  --certificate-authority=/opt/k8s/work/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=kube-controller-manager.kubeconfig
  
[root@k8s-master01 work]# kubectl config set-credentials system:kube-controller-manager \
  --client-certificate=kube-controller-manager.pem \
  --client-key=kube-controller-manager-key.pem \
  --embed-certs=true \
  --kubeconfig=kube-controller-manager.kubeconfig
  
[root@k8s-master01 work]# kubectl config set-context system:kube-controller-manager \
  --cluster=kubernetes \
  --user=system:kube-controller-manager \
  --kubeconfig=kube-controller-manager.kubeconfig
  
[root@k8s-master01 work]# kubectl config use-context system:kube-controller-manager --kubeconfig=kube-controller-manager.kubeconfig
  
分發(fā) kubeconfig 到所有 master 節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp kube-controller-manager.kubeconfig root@${node_master_ip}:/etc/kubernetes/
  done
  
3) 創(chuàng)建和分發(fā)kube-controller-manager system unit 文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# cat > kube-controller-manager.service.template <<EOF
[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
  
[Service]
WorkingDirectory=${K8S_DIR}/kube-controller-manager
ExecStart=/opt/k8s/bin/kube-controller-manager \\
  --profiling \\
  --cluster-name=kubernetes \\
  --controllers=*,bootstrapsigner,tokencleaner \\
  --kube-api-qps=1000 \\
  --kube-api-burst=2000 \\
  --leader-elect \\
  --use-service-account-credentials=true \\
  --concurrent-service-syncs=2 \\
  --bind-address=0.0.0.0 \\
  --tls-cert-file=/etc/kubernetes/cert/kube-controller-manager.pem \\
  --tls-private-key-file=/etc/kubernetes/cert/kube-controller-manager-key.pem \\
  --authentication-kubeconfig=/etc/kubernetes/kube-controller-manager.kubeconfig \\
  --client-ca-file=/etc/kubernetes/cert/ca.pem \\
  --requestheader-allowed-names="" \\
  --requestheader-client-ca-file=/etc/kubernetes/cert/ca.pem \\
  --requestheader-extra-headers-prefix="X-Remote-Extra-" \\
  --requestheader-group-headers=X-Remote-Group \\
  --requestheader-username-headers=X-Remote-User \\
  --authorization-kubeconfig=/etc/kubernetes/kube-controller-manager.kubeconfig \\
  --cluster-signing-cert-file=/etc/kubernetes/cert/ca.pem \\
  --cluster-signing-key-file=/etc/kubernetes/cert/ca-key.pem \\
  --experimental-cluster-signing-duration=8760h \\
  --horizontal-pod-autoscaler-sync-period=10s \\
  --concurrent-deployment-syncs=10 \\
  --concurrent-gc-syncs=30 \\
  --node-cidr-mask-size=24 \\
  --service-cluster-ip-range=${SERVICE_CIDR} \\
  --pod-eviction-timeout=6m \\
  --terminated-pod-gc-threshold=10000 \\
  --root-ca-file=/etc/kubernetes/cert/ca.pem \\
  --service-account-private-key-file=/etc/kubernetes/cert/ca-key.pem \\
  --kubeconfig=/etc/kubernetes/kube-controller-manager.kubeconfig \\
  --logtostderr=true \\
  --v=2
Restart=on-failure
RestartSec=5
  
[Install]
WantedBy=multi-user.target
EOF
  
解釋說(shuō)明:
下面兩行一般要去掉,否則執(zhí)行"kubectl get cs"檢查集群狀態(tài)時(shí),controller-manager狀態(tài)會(huì)為"Unhealthy"
--port=0:關(guān)閉監(jiān)聽(tīng)非安全端口(http),同時(shí) --address 參數(shù)無(wú)效,--bind-address 參數(shù)有效;
--secure-port=10252
  
--bind-address=0.0.0.0: 在所有網(wǎng)絡(luò)接口監(jiān)聽(tīng) 10252 端口的 https /metrics 請(qǐng)求;
--kubeconfig:指定 kubeconfig 文件路徑,kube-controller-manager 使用它連接和驗(yàn)證 kube-apiserver;
--authentication-kubeconfig 和 --authorization-kubeconfig:kube-controller-manager 使用它連接 apiserver,對(duì) client 的請(qǐng)求進(jìn)行認(rèn)證和授權(quán)。kube-controller-manager 不再使用 --tls-ca-file 對(duì)請(qǐng)求 https metrics 的 Client 證書(shū)進(jìn)行校驗(yàn)。如果沒(méi)有配置這兩個(gè) kubeconfig 參數(shù),則 client 連接 kube-controller-manager https 端口的請(qǐng)求會(huì)被拒絕(提示權(quán)限不足)。
--cluster-signing-*-file:簽名 TLS Bootstrap 創(chuàng)建的證書(shū);
--experimental-cluster-signing-duration:指定 TLS Bootstrap 證書(shū)的有效期;
--root-ca-file:放置到容器 ServiceAccount 中的 CA 證書(shū),用來(lái)對(duì) kube-apiserver 的證書(shū)進(jìn)行校驗(yàn);
--service-account-private-key-file:簽名 ServiceAccount 中 Token 的私鑰文件,必須和 kube-apiserver 的 --service-account-key-file 指定的公鑰文件配對(duì)使用;
--service-cluster-ip-range :指定 Service Cluster IP 網(wǎng)段,必須和 kube-apiserver 中的同名參數(shù)一致;
--leader-elect=true:集群運(yùn)行模式,啟用選舉功能;被選為 leader 的節(jié)點(diǎn)負(fù)責(zé)處理工作,其它節(jié)點(diǎn)為阻塞狀態(tài);
--controllers=*,bootstrapsigner,tokencleaner:?jiǎn)⒂玫目刂破髁斜?,tokencleaner 用于自動(dòng)清理過(guò)期的 Bootstrap token;
--horizontal-pod-autoscaler-*:custom metrics 相關(guān)參數(shù),支持 autoscaling/v2alpha1;
--tls-cert-file、--tls-private-key-file:使用 https 輸出 metrics 時(shí)使用的 Server 證書(shū)和秘鑰;
--use-service-account-credentials=true: kube-controller-manager 中各 controller 使用 serviceaccount 訪(fǎng)問(wèn) kube-apiserver;
  
為各節(jié)點(diǎn)創(chuàng)建和分發(fā) kube-controller-mananger systemd unit 文件
替換模板文件中的變量,為各節(jié)點(diǎn)創(chuàng)建 systemd unit 文件:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for (( i=0; i < 3; i++ ))
  do
    sed -e "s/##NODE_MASTER_NAME##/${NODE_MASTER_NAMES[i]}/" -e "s/##NODE_MASTER_IP##/${NODE_MASTER_IPS[i]}/" kube-controller-manager.service.template > kube-controller-manager-${NODE_MASTER_IPS[i]}.service
  done
  
注意: NODE_NAMES 和 NODE_IPS 為相同長(zhǎng)度的 bash 數(shù)組,分別為節(jié)點(diǎn)名稱(chēng)和對(duì)應(yīng)的 IP;
  
[root@k8s-master01 work]# ll kube-controller-manager*.service
-rw-r--r-- 1 root root 1878 Jun 18 12:45 kube-controller-manager-172.16.60.241.service
-rw-r--r-- 1 root root 1878 Jun 18 12:45 kube-controller-manager-172.16.60.242.service
-rw-r--r-- 1 root root 1878 Jun 18 12:45 kube-controller-manager-172.16.60.243.service
  
分發(fā)到所有 master 節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp kube-controller-manager-${node_master_ip}.service root@${node_master_ip}:/etc/systemd/system/kube-controller-manager.service
  done
  
注意:文件重命名為 kube-controller-manager.service;
  
啟動(dòng) kube-controller-manager 服務(wù)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    ssh root@${node_master_ip} "mkdir -p ${K8S_DIR}/kube-controller-manager"
    ssh root@${node_master_ip} "systemctl daemon-reload && systemctl enable kube-controller-manager && systemctl restart kube-controller-manager"
  done
  
注意:?jiǎn)?dòng)服務(wù)前必須先創(chuàng)建工作目錄;
  
檢查服務(wù)運(yùn)行狀態(tài)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    ssh root@${node_master_ip} "systemctl status kube-controller-manager|grep Active"
  done
  
預(yù)期輸出結(jié)果:
>>> 172.16.60.241
   Active: active (running) since Tue 2019-06-18 12:49:11 CST; 1min 7s ago
>>> 172.16.60.242
   Active: active (running) since Tue 2019-06-18 12:49:11 CST; 1min 7s ago
>>> 172.16.60.243
   Active: active (running) since Tue 2019-06-18 12:49:12 CST; 1min 7s ago
  
確保狀態(tài)為 active (running),否則查看日志,確認(rèn)原因(journalctl -u kube-controller-manager)
  
kube-controller-manager 監(jiān)聽(tīng) 10252 端口,接收 https 請(qǐng)求:
[root@k8s-master01 work]# netstat -lnpt|grep kube-controll
tcp        0      0 172.16.60.241:10252     0.0.0.0:*               LISTEN      25709/kube-controll
  
檢查集群狀態(tài),controller-manager的狀態(tài)為"ok"
注意:當(dāng)kube-controller-manager集群中的1個(gè)或2個(gè)節(jié)點(diǎn)的controller-manager服務(wù)掛掉,只要有一個(gè)節(jié)點(diǎn)的controller-manager服務(wù)活著,
則集群中controller-manager的狀態(tài)仍然為"ok",仍然會(huì)繼續(xù)提供服務(wù)!
[root@k8s-master01 work]# kubectl get cs
NAME                 STATUS      MESSAGE                                                                                     ERROR
scheduler            Unhealthy   Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: connect: connection refused 
controller-manager   Healthy     ok                                                                                        
etcd-0               Healthy     {"health":"true"}                                                                         
etcd-1               Healthy     {"health":"true"}                                                                         
etcd-2               Healthy     {"health":"true"}
  
4) 查看輸出的 metrics
注意:以下命令在3臺(tái)kube-controller-manager節(jié)點(diǎn)上執(zhí)行。
  
由于在kube-controller-manager啟動(dòng)文件中關(guān)掉了"--port=0"和"--secure-port=10252"這兩個(gè)參數(shù),則只能通過(guò)http方式獲取到kube-controller-manager
輸出的metrics信息。kube-controller-manager一般不會(huì)被訪(fǎng)問(wèn),只有在監(jiān)控時(shí)采集metrcis指標(biāo)數(shù)據(jù)時(shí)被訪(fǎng)問(wèn)。
  
[root@k8s-master01 work]# curl -s http://172.16.60.241:10252/metrics|head                                    
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0
  
[root@k8s-master01 work]# curl -s --cacert /etc/kubernetes/cert/ca.pem http://172.16.60.241:10252/metrics |head
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0
  
[root@k8s-master01 work]# curl -s --cacert /etc/kubernetes/cert/ca.pem http://127.0.0.1:10252/metrics |head  
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0

[root@k8s-master01 ~]# curl -s --cacert /opt/k8s/work/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem http://172.16.60.241:10252/metrics |head
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0
  
5) kube-controller-manager 的權(quán)限
ClusteRole system:kube-controller-manager 的權(quán)限很小,只能創(chuàng)建 secret、serviceaccount 等資源對(duì)象,各 controller 的權(quán)限分散到 ClusterRole system:controller:XXX 中:
  
[root@k8s-master01 work]# kubectl describe clusterrole system:kube-controller-manager
Name:         system:kube-controller-manager
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
PolicyRule:
  Resources                                  Non-Resource URLs  Resource Names  Verbs
  ---------                                  -----------------  --------------  -----
  secrets                                    []                 []              [create delete get update]
  endpoints                                  []                 []              [create get update]
  serviceaccounts                            []                 []              [create get update]
  events                                     []                 []              [create patch update]
  tokenreviews.authentication.k8s.io         []                 []              [create]
  subjectaccessreviews.authorization.k8s.io  []                 []              [create]
  configmaps                                 []                 []              [get]
  namespaces                                 []                 []              [get]
  *.*                                        []                 []              [list watch]
  
需要在 kube-controller-manager 的啟動(dòng)參數(shù)中添加 --use-service-account-credentials=true 參數(shù),這樣 main controller 會(huì)為各 controller 創(chuàng)建對(duì)應(yīng)的 ServiceAccount XXX-controller。
內(nèi)置的 ClusterRoleBinding system:controller:XXX 將賦予各 XXX-controller ServiceAccount 對(duì)應(yīng)的 ClusterRole system:controller:XXX 權(quán)限。
  
[root@k8s-master01 work]# kubectl get clusterrole|grep controller
system:controller:attachdetach-controller                              141m
system:controller:certificate-controller                               141m
system:controller:clusterrole-aggregation-controller                   141m
system:controller:cronjob-controller                                   141m
system:controller:daemon-set-controller                                141m
system:controller:deployment-controller                                141m
system:controller:disruption-controller                                141m
system:controller:endpoint-controller                                  141m
system:controller:expand-controller                                    141m
system:controller:generic-garbage-collector                            141m
system:controller:horizontal-pod-autoscaler                            141m
system:controller:job-controller                                       141m
system:controller:namespace-controller                                 141m
system:controller:node-controller                                      141m
system:controller:persistent-volume-binder                             141m
system:controller:pod-garbage-collector                                141m
system:controller:pv-protection-controller                             141m
system:controller:pvc-protection-controller                            141m
system:controller:replicaset-controller                                141m
system:controller:replication-controller                               141m
system:controller:resourcequota-controller                             141m
system:controller:route-controller                                     141m
system:controller:service-account-controller                           141m
system:controller:service-controller                                   141m
system:controller:statefulset-controller                               141m
system:controller:ttl-controller                                       141m
system:kube-controller-manager                                         141m
  
以 deployment controller 為例:
[root@k8s-master01 work]# kubectl describe clusterrole system:controller:deployment-controller
Name:         system:controller:deployment-controller
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
PolicyRule:
  Resources                          Non-Resource URLs  Resource Names  Verbs
  ---------                          -----------------  --------------  -----
  replicasets.apps                   []                 []              [create delete get list patch update watch]
  replicasets.extensions             []                 []              [create delete get list patch update watch]
  events                             []                 []              [create patch update]
  pods                               []                 []              [get list update watch]
  deployments.apps                   []                 []              [get list update watch]
  deployments.extensions             []                 []              [get list update watch]
  deployments.apps/finalizers        []                 []              [update]
  deployments.apps/status            []                 []              [update]
  deployments.extensions/finalizers  []                 []              [update]
  deployments.extensions/status      []                 []              [update]
  
6)查看kube-controller-manager集群中當(dāng)前的leader
[root@k8s-master01 work]# kubectl get endpoints kube-controller-manager --namespace=kube-system  -o yaml
apiVersion: v1
kind: Endpoints
metadata:
  annotations:
    control-plane.alpha.kubernetes.io/leader: '{"holderIdentity":"k8s-master02_4e449819-9185-11e9-82b6-005056ac42a4","leaseDurationSeconds":15,"acquireTime":"2019-06-18T04:55:49Z","renewTime":"2019-06-18T05:04:54Z","leaderTransitions":3}'
  creationTimestamp: "2019-06-18T04:03:07Z"
  name: kube-controller-manager
  namespace: kube-system
  resourceVersion: "4604"
  selfLink: /api/v1/namespaces/kube-system/endpoints/kube-controller-manager
  uid: fa824018-917d-11e9-90d4-005056ac7c81
  
可見(jiàn),當(dāng)前的leader為k8s-master02節(jié)點(diǎn)。
  
測(cè)試 kube-controller-manager 集群的高可用
停掉一個(gè)或兩個(gè)節(jié)點(diǎn)的 kube-controller-manager 服務(wù),觀察其它節(jié)點(diǎn)的日志,看是否獲取了 leader 權(quán)限。
  
比如停掉k8s-master02節(jié)點(diǎn)的kube-controller-manager 服務(wù)
[root@k8s-master02 ~]# systemctl stop kube-controller-manager 
[root@k8s-master02 ~]# ps -ef|grep kube-controller-manager
root     25677 11006  0 13:06 pts/0    00:00:00 grep --color=auto kube-controller-manager
  
接著觀察kube-controller-manager集群當(dāng)前的leader情況
[root@k8s-master01 work]# kubectl get endpoints kube-controller-manager --namespace=kube-system  -o yaml
apiVersion: v1
kind: Endpoints
metadata:
  annotations:
    control-plane.alpha.kubernetes.io/leader: '{"holderIdentity":"k8s-master03_4e4c28b5-9185-11e9-b98a-005056ac7136","leaseDurationSeconds":15,"acquireTime":"2019-06-18T05:06:32Z","renewTime":"2019-06-18T05:06:57Z","leaderTransitions":4}'
  creationTimestamp: "2019-06-18T04:03:07Z"
  name: kube-controller-manager
  namespace: kube-system
  resourceVersion: "4695"
  selfLink: /api/v1/namespaces/kube-system/endpoints/kube-controller-manager
  uid: fa824018-917d-11e9-90d4-005056ac7c81
  
發(fā)現(xiàn)當(dāng)前l(fā)eader已經(jīng)轉(zhuǎn)移到k8s-master03節(jié)點(diǎn)上了!!

8.3 - 部署高可用 kube-scheduler 集群

該集群包含 3 個(gè)節(jié)點(diǎn),啟動(dòng)后將通過(guò)競(jìng)爭(zhēng)選舉機(jī)制產(chǎn)生一個(gè) leader 節(jié)點(diǎn),其它節(jié)點(diǎn)為阻塞狀態(tài)。當(dāng) leader 節(jié)點(diǎn)不可用后,剩余節(jié)點(diǎn)將再次進(jìn)行選舉產(chǎn)生新的 leader 節(jié)點(diǎn),從而保證服務(wù)的可用性。為保證通信安全,本文檔先生成 x509 證書(shū)和私鑰,

kube-scheduler 在如下兩種情況下使用該證書(shū):

與kube-apiserver 的安全端口通信;在安全端口(https,10251) 輸出 prometheus 格式的 metrics;

下面部署命令均在k8s-master01節(jié)點(diǎn)上執(zhí)行,然后遠(yuǎn)程分發(fā)文件和執(zhí)行命令。

1)創(chuàng)建 kube-scheduler 證書(shū)和私鑰
創(chuàng)建證書(shū)簽名請(qǐng)求:
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# cat > kube-scheduler-csr.json <<EOF
{
    "CN": "system:kube-scheduler",
    "hosts": [
      "127.0.0.1",
      "172.16.60.241",
      "172.16.60.242",
      "172.16.60.243"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
      {
        "C": "CN",
        "ST": "BeiJing",
        "L": "BeiJing",
        "O": "system:kube-scheduler",
        "OU": "4Paradigm"
      }
    ]
}
EOF

解釋說(shuō)明:
hosts 列表包含所有 kube-scheduler 節(jié)點(diǎn) IP;
CN 和 O 均為 system:kube-scheduler,kubernetes 內(nèi)置的 ClusterRoleBindings system:kube-scheduler 將賦予 kube-scheduler 工作所需的權(quán)限;

生成證書(shū)和私鑰:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# cfssl gencert -ca=/opt/k8s/work/ca.pem \
  -ca-key=/opt/k8s/work/ca-key.pem \
  -config=/opt/k8s/work/ca-config.json \
  -profile=kubernetes kube-scheduler-csr.json | cfssljson -bare kube-scheduler

[root@k8s-master01 work]# ls kube-scheduler*pem
kube-scheduler-key.pem  kube-scheduler.pem

將生成的證書(shū)和私鑰分發(fā)到所有 master 節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp kube-scheduler*.pem root@${node_master_ip}:/etc/kubernetes/cert/
  done

2) 創(chuàng)建和分發(fā) kubeconfig 文件
kube-scheduler 使用 kubeconfig 文件訪(fǎng)問(wèn) apiserver,該文件提供了 apiserver 地址、嵌入的 CA 證書(shū)和 kube-scheduler 證書(shū):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# kubectl config set-cluster kubernetes \
  --certificate-authority=/opt/k8s/work/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=kube-scheduler.kubeconfig

[root@k8s-master01 work]# kubectl config set-credentials system:kube-scheduler \
  --client-certificate=kube-scheduler.pem \
  --client-key=kube-scheduler-key.pem \
  --embed-certs=true \
  --kubeconfig=kube-scheduler.kubeconfig

[root@k8s-master01 work]# kubectl config set-context system:kube-scheduler \
  --cluster=kubernetes \
  --user=system:kube-scheduler \
  --kubeconfig=kube-scheduler.kubeconfig

[root@k8s-master01 work]# kubectl config use-context system:kube-scheduler --kubeconfig=kube-scheduler.kubeconfig

分發(fā) kubeconfig 到所有 master 節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp kube-scheduler.kubeconfig root@${node_master_ip}:/etc/kubernetes/
  done

3) 創(chuàng)建 kube-scheduler 配置文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# cat >kube-scheduler.yaml.template <<EOF
apiVersion: kubescheduler.config.k8s.io/v1alpha1
kind: KubeSchedulerConfiguration
bindTimeoutSeconds: 600
clientConnection:
  burst: 200
  kubeconfig: "/etc/kubernetes/kube-scheduler.kubeconfig"
  qps: 100
enableContentionProfiling: false
enableProfiling: true
hardPodAffinitySymmetricWeight: 1
healthzBindAddress: 0.0.0.0:10251
leaderElection:
  leaderElect: true
metricsBindAddress: 0.0.0.0:10251
EOF

注意:這里的ip地址最好用0.0.0.0,不然執(zhí)行"kubectl get cs"查看schedule的集群狀態(tài)會(huì)是"Unhealthy"
--kubeconfig:指定 kubeconfig 文件路徑,kube-scheduler 使用它連接和驗(yàn)證 kube-apiserver;
--leader-elect=true:集群運(yùn)行模式,啟用選舉功能;被選為 leader 的節(jié)點(diǎn)負(fù)責(zé)處理工作,其它節(jié)點(diǎn)為阻塞狀態(tài);

替換模板文件中的變量:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for (( i=0; i < 3; i++ ))
  do
    sed -e "s/##NODE_MASTER_NAME##/${NODE_MASTER_NAMES[i]}/" -e "s/##NODE_MASTER_IP##/${NODE_MASTER_IPS[i]}/" kube-scheduler.yaml.template > kube-scheduler-${NODE_MASTER_IPS[i]}.yaml
  done

注意:NODE_NAMES 和 NODE_IPS 為相同長(zhǎng)度的 bash 數(shù)組,分別為節(jié)點(diǎn)名稱(chēng)和對(duì)應(yīng)的 IP;

[root@k8s-master01 work]# ll kube-scheduler*.yaml
-rw-r--r-- 1 root root 399 Jun 18 14:57 kube-scheduler-172.16.60.241.yaml
-rw-r--r-- 1 root root 399 Jun 18 14:57 kube-scheduler-172.16.60.242.yaml
-rw-r--r-- 1 root root 399 Jun 18 14:57 kube-scheduler-172.16.60.243.yaml

分發(fā) kube-scheduler 配置文件到所有 master 節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp kube-scheduler-${node_master_ip}.yaml root@${node_master_ip}:/etc/kubernetes/kube-scheduler.yaml
  done

注意:重命名為 kube-scheduler.yaml;

4)創(chuàng)建 kube-scheduler systemd unit 模板文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# cat > kube-scheduler.service.template <<EOF
[Unit]
Description=Kubernetes Scheduler
Documentation=https://github.com/GoogleCloudPlatform/kubernetes

[Service]
WorkingDirectory=${K8S_DIR}/kube-scheduler
ExecStart=/opt/k8s/bin/kube-scheduler \\
  --config=/etc/kubernetes/kube-scheduler.yaml \\
  --bind-address=0.0.0.0 \\
  --tls-cert-file=/etc/kubernetes/cert/kube-scheduler.pem \\
  --tls-private-key-file=/etc/kubernetes/cert/kube-scheduler-key.pem \\
  --authentication-kubeconfig=/etc/kubernetes/kube-scheduler.kubeconfig \\
  --client-ca-file=/etc/kubernetes/cert/ca.pem \\
  --requestheader-allowed-names="" \\
  --requestheader-client-ca-file=/etc/kubernetes/cert/ca.pem \\
  --requestheader-extra-headers-prefix="X-Remote-Extra-" \\
  --requestheader-group-headers=X-Remote-Group \\
  --requestheader-username-headers=X-Remote-User \\
  --authorization-kubeconfig=/etc/kubernetes/kube-scheduler.kubeconfig \\
  --logtostderr=true \\
  --v=2
Restart=always
RestartSec=5
StartLimitInterval=0

[Install]
WantedBy=multi-user.target
EOF

為各節(jié)點(diǎn)創(chuàng)建和分發(fā) kube-scheduler systemd unit 文件
替換模板文件中的變量,為各節(jié)點(diǎn)創(chuàng)建 systemd unit 文件:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for (( i=0; i < 3; i++ ))
  do
    sed -e "s/##NODE_MASTER_NAME##/${NODE_MASTER_NAMES[i]}/" -e "s/##NODE_MASTER_IP##/${NODE_MASTER_IPS[i]}/" kube-scheduler.service.template > kube-scheduler-${NODE_MASTER_IPS[i]}.service
  done

其中:NODE_NAMES 和 NODE_IPS 為相同長(zhǎng)度的 bash 數(shù)組,分別為節(jié)點(diǎn)名稱(chēng)和對(duì)應(yīng)的 IP;

[root@k8s-master01 work]# ll kube-scheduler*.service
-rw-r--r-- 1 root root 981 Jun 18 15:30 kube-scheduler-172.16.60.241.service
-rw-r--r-- 1 root root 981 Jun 18 15:30 kube-scheduler-172.16.60.242.service
-rw-r--r-- 1 root root 981 Jun 18 15:30 kube-scheduler-172.16.60.243.service

分發(fā) systemd unit 文件到所有 master 節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    scp kube-scheduler-${node_master_ip}.service root@${node_master_ip}:/etc/systemd/system/kube-scheduler.service
  done

5) 啟動(dòng) kube-scheduler 服務(wù)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    ssh root@${node_master_ip} "mkdir -p ${K8S_DIR}/kube-scheduler"
    ssh root@${node_master_ip} "systemctl daemon-reload && systemctl enable kube-scheduler && systemctl restart kube-scheduler"
  done

注意:?jiǎn)?dòng)服務(wù)前必須先創(chuàng)建工作目錄;

檢查服務(wù)運(yùn)行狀態(tài)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_master_ip in ${NODE_MASTER_IPS[@]}
  do
    echo ">>> ${node_master_ip}"
    ssh root@${node_master_ip} "systemctl status kube-scheduler|grep Active"
  done

預(yù)期輸出結(jié)果:
>>> 172.16.60.241
   Active: active (running) since Tue 2019-06-18 15:33:29 CST; 1min 12s ago
>>> 172.16.60.242
   Active: active (running) since Tue 2019-06-18 15:33:30 CST; 1min 11s ago
>>> 172.16.60.243
   Active: active (running) since Tue 2019-06-18 15:33:30 CST; 1min 11s ago

確保狀態(tài)為 active (running),否則查看日志,確認(rèn)原因: (journalctl -u kube-scheduler)

看看集群狀態(tài),此時(shí)狀態(tài)均為"ok"
[root@k8s-master01 work]# kubectl get cs
NAME                 STATUS    MESSAGE             ERROR
scheduler            Healthy   ok                 
controller-manager   Healthy   ok                 
etcd-2               Healthy   {"health":"true"}  
etcd-0               Healthy   {"health":"true"}  
etcd-1               Healthy   {"health":"true"}

6) 查看輸出的 metrics
注意:以下命令要在kube-scheduler集群節(jié)點(diǎn)上執(zhí)行。

kube-scheduler監(jiān)聽(tīng)10251和10259端口:
10251:接收 http 請(qǐng)求,非安全端口,不需要認(rèn)證授權(quán);
10259:接收 https 請(qǐng)求,安全端口,需要認(rèn)證授權(quán);
兩個(gè)接口都對(duì)外提供 /metrics 和 /healthz 的訪(fǎng)問(wèn)。

[root@k8s-master01 work]# netstat -lnpt |grep kube-schedule
tcp6       0      0 :::10251                :::*                    LISTEN      6075/kube-scheduler
tcp6       0      0 :::10259                :::*                    LISTEN      6075/kube-scheduler

[root@k8s-master01 work]# lsof -i:10251                   
COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
kube-sche 6075 root    3u  IPv6 628571      0t0  TCP *:10251 (LISTEN)

[root@k8s-master01 work]# lsof -i:10259                   
COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
kube-sche 6075 root    5u  IPv6 628574      0t0  TCP *:10259 (LISTEN)

下面幾種方式均能獲取到kube-schedule的metrics數(shù)據(jù)信息(分別使用http的10251 和 https的10259端口)
[root@k8s-master01 work]# curl -s http://172.16.60.241:10251/metrics |head       
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0

[root@k8s-master01 work]# curl -s http://127.0.0.1:10251/metrics |head   
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0

[root@k8s-master01 work]# curl -s --cacert /etc/kubernetes/cert/ca.pem http://172.16.60.241:10251/metrics |head  
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0

[root@k8s-master01 work]# curl -s --cacert /etc/kubernetes/cert/ca.pem http://127.0.0.1:10251/metrics |head      
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0

[root@k8s-master01 work]# curl -s --cacert /opt/k8s/work/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.241:10259/metrics |head
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0

7)查看當(dāng)前的 leader
[root@k8s-master01 work]# kubectl get endpoints kube-scheduler --namespace=kube-system  -o yaml
apiVersion: v1
kind: Endpoints
metadata:
  annotations:
    control-plane.alpha.kubernetes.io/leader: '{"holderIdentity":"k8s-master01_5eac29d7-919b-11e9-b242-005056ac7c81","leaseDurationSeconds":15,"acquireTime":"2019-06-18T07:33:31Z","renewTime":"2019-06-18T07:41:13Z","leaderTransitions":0}'
  creationTimestamp: "2019-06-18T07:33:31Z"
  name: kube-scheduler
  namespace: kube-system
  resourceVersion: "12218"
  selfLink: /api/v1/namespaces/kube-system/endpoints/kube-scheduler
  uid: 5f466875-919b-11e9-90d4-005056ac7c81

可見(jiàn),當(dāng)前的 leader 為 k8s-master01 節(jié)點(diǎn)。

測(cè)試 kube-scheduler 集群的高可用
隨便找一個(gè)或兩個(gè) master 節(jié)點(diǎn),停掉 kube-scheduler 服務(wù),看其它節(jié)點(diǎn)是否獲取了 leader 權(quán)限。

比如停掉k8s-master01節(jié)點(diǎn)的kube-schedule服務(wù),查看下leader的轉(zhuǎn)移情況
[root@k8s-master01 work]# systemctl stop kube-scheduler
[root@k8s-master01 work]# ps -ef|grep kube-scheduler
root      6871  2379  0 15:42 pts/2    00:00:00 grep --color=auto kube-scheduler

再次看看當(dāng)前的leader,發(fā)現(xiàn)leader已經(jīng)轉(zhuǎn)移為k8s-master02節(jié)點(diǎn)了
[root@k8s-master01 work]# kubectl get endpoints kube-scheduler --namespace=kube-system  -o yaml
apiVersion: v1
kind: Endpoints
metadata:
  annotations:
    control-plane.alpha.kubernetes.io/leader: '{"holderIdentity":"k8s-master02_5efade79-919b-11e9-bbe2-005056ac42a4","leaseDurationSeconds":15,"acquireTime":"2019-06-18T07:43:03Z","renewTime":"2019-06-18T07:43:12Z","leaderTransitions":1}'
  creationTimestamp: "2019-06-18T07:33:31Z"
  name: kube-scheduler
  namespace: kube-system
  resourceVersion: "12363"
  selfLink: /api/v1/namespaces/kube-system/endpoints/kube-scheduler
  uid: 5f466875-919b-11e9-90d4-005056ac7c81

九、部署node工作節(jié)點(diǎn)

kubernetes node節(jié)點(diǎn)運(yùn)行的組件有docker、kubelet、kube-proxy、flanneld。

下面部署命令均在k8s-master01節(jié)點(diǎn)上執(zhí)行,然后遠(yuǎn)程分發(fā)文件和執(zhí)行命令。

安裝依賴(lài)包
[root@k8s-master01 ~]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 ~]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh root@${node_node_ip} "yum install -y epel-release"
    ssh root@${node_node_ip} "yum install -y conntrack ipvsadm ntp ntpdate ipset jq iptables curl sysstat libseccomp && modprobe ip_vs "
  done

9.1 - 部署 docker 組件

docker 運(yùn)行和管理容器,kubelet 通過(guò) Container Runtime Interface (CRI) 與它進(jìn)行交互。

下面操作均在k8s-master01上執(zhí)行,然后遠(yuǎn)程分發(fā)文件和執(zhí)行命令。

1) 下載和分發(fā) docker 二進(jìn)制文件
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# wget https://download.docker.com/linux/static/stable/x86_64/docker-18.09.6.tgz
[root@k8s-master01 work]# tar -xvf docker-18.09.6.tgz

分發(fā)二進(jìn)制文件到所有node節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    scp docker/*  root@${node_node_ip}:/opt/k8s/bin/
    ssh root@${node_node_ip} "chmod +x /opt/k8s/bin/*"
  done

2) 創(chuàng)建和分發(fā) systemd unit 文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# cat > docker.service <<"EOF"
[Unit]
Description=Docker Application Container Engine
Documentation=http://docs.docker.io

[Service]
WorkingDirectory=##DOCKER_DIR##
Environment="PATH=/opt/k8s/bin:/bin:/sbin:/usr/bin:/usr/sbin"
EnvironmentFile=-/run/flannel/docker
ExecStart=/opt/k8s/bin/dockerd $DOCKER_NETWORK_OPTIONS
ExecReload=/bin/kill -s HUP $MAINPID
Restart=on-failure
RestartSec=5
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
Delegate=yes
KillMode=process

[Install]
WantedBy=multi-user.target
EOF

注意事項(xiàng):
-> EOF 前后有雙引號(hào),這樣 bash 不會(huì)替換文檔中的變量,如 $DOCKER_NETWORK_OPTIONS (這些環(huán)境變量是 systemd 負(fù)責(zé)替換的。);
-> dockerd 運(yùn)行時(shí)會(huì)調(diào)用其它 docker 命令,如 docker-proxy,所以需要將 docker 命令所在的目錄加到 PATH 環(huán)境變量中;
-> flanneld 啟動(dòng)時(shí)將網(wǎng)絡(luò)配置寫(xiě)入 /run/flannel/docker 文件中,dockerd 啟動(dòng)前讀取該文件中的環(huán)境變量 DOCKER_NETWORK_OPTIONS ,然后設(shè)置 docker0 網(wǎng)橋網(wǎng)段;
-> 如果指定了多個(gè) EnvironmentFile 選項(xiàng),則必須將 /run/flannel/docker 放在最后(確保 docker0 使用 flanneld 生成的 bip 參數(shù));
-> docker 需要以 root 用于運(yùn)行;
-> docker 從 1.13 版本開(kāi)始,可能將 iptables FORWARD chain的默認(rèn)策略設(shè)置為DROP,從而導(dǎo)致 ping 其它 Node 上的 Pod IP 失敗,遇到這種情況時(shí),需要手動(dòng)設(shè)置策略為 ACCEPT:
   # iptables -P FORWARD ACCEPT
   并且把以下命令寫(xiě)入 /etc/rc.local 文件中,防止節(jié)點(diǎn)重啟iptables FORWARD chain的默認(rèn)策略又還原為DROP
   # /sbin/iptables -P FORWARD ACCEPT

分發(fā) systemd unit 文件到所有node節(jié)點(diǎn)機(jī)器:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# sed -i -e "s|##DOCKER_DIR##|${DOCKER_DIR}|" docker.service
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    scp docker.service root@${node_node_ip}:/etc/systemd/system/
  done

3) 配置和分發(fā) docker 配置文件
使用國(guó)內(nèi)的倉(cāng)庫(kù)鏡像服務(wù)器以加快 pull image 的速度,同時(shí)增加下載的并發(fā)數(shù) (需要重啟 dockerd 生效):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# cat > docker-daemon.json <<EOF
{
    "registry-mirrors": ["https://docker.mirrors.ustc.edu.cn","https://hub-mirror.c.163.com"],
    "insecure-registries": ["docker02:35000"],
    "max-concurrent-downloads": 20,
    "live-restore": true,
    "max-concurrent-uploads": 10,
    "debug": true,
    "data-root": "${DOCKER_DIR}/data",
    "exec-root": "${DOCKER_DIR}/exec",
    "log-opts": {
      "max-size": "100m",
      "max-file": "5"
    }
}
EOF

分發(fā) docker 配置文件到所有 node 節(jié)點(diǎn):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh root@${node_node_ip} "mkdir -p  /etc/docker/ ${DOCKER_DIR}/{data,exec}"
    scp docker-daemon.json root@${node_node_ip}:/etc/docker/daemon.json
  done

4) 啟動(dòng) docker 服務(wù)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh root@${node_node_ip} "systemctl daemon-reload && systemctl enable docker && systemctl restart docker"
  done

檢查服務(wù)運(yùn)行狀態(tài)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh root@${node_node_ip} "systemctl status docker|grep Active"
  done

預(yù)期輸出結(jié)果:
>>> 172.16.60.244
   Active: active (running) since Tue 2019-06-18 16:28:32 CST; 42s ago
>>> 172.16.60.245
   Active: active (running) since Tue 2019-06-18 16:28:31 CST; 42s ago
>>> 172.16.60.246
   Active: active (running) since Tue 2019-06-18 16:28:32 CST; 42s ago

確保狀態(tài)為 active (running),否則查看日志,確認(rèn)原因 (journalctl -u docker)

5) 檢查 docker0 網(wǎng)橋
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh root@${node_node_ip} "/usr/sbin/ip addr show flannel.1 && /usr/sbin/ip addr show docker0"
  done

預(yù)期輸出結(jié)果:
>>> 172.16.60.244
3: flannel.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN group default
    link/ether c6:c2:d1:5a:9a:8a brd ff:ff:ff:ff:ff:ff
    inet 172.30.88.0/32 scope global flannel.1
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
    link/ether 02:42:27:3c:5e:5f brd ff:ff:ff:ff:ff:ff
    inet 172.30.88.1/21 brd 172.30.95.255 scope global docker0
       valid_lft forever preferred_lft forever
>>> 172.16.60.245
3: flannel.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN group default
    link/ether 02:36:1d:ab:c4:86 brd ff:ff:ff:ff:ff:ff
    inet 172.30.56.0/32 scope global flannel.1
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
    link/ether 02:42:6f:36:7d:fb brd ff:ff:ff:ff:ff:ff
    inet 172.30.56.1/21 brd 172.30.63.255 scope global docker0
       valid_lft forever preferred_lft forever
>>> 172.16.60.246
3: flannel.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN group default
    link/ether 4e:73:d1:0e:27:c0 brd ff:ff:ff:ff:ff:ff
    inet 172.30.72.0/32 scope global flannel.1
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
    link/ether 02:42:21:39:f4:9e brd ff:ff:ff:ff:ff:ff
    inet 172.30.72.1/21 brd 172.30.79.255 scope global docker0
       valid_lft forever preferred_lft forever

確認(rèn)各node節(jié)點(diǎn)的docker0網(wǎng)橋和flannel.1接口的IP一定要處于同一個(gè)網(wǎng)段中(如下 172.30.88.0/32 位于 172.30.88.1/21 中)?。。?

到任意一個(gè)node節(jié)點(diǎn)上查看 docker 的狀態(tài)信息
[root@k8s-node01 ~]# ps -elfH|grep docker
0 S root     21573 18744  0  80   0 - 28180 pipe_w 16:32 pts/2    00:00:00         grep --color=auto docker
4 S root     21147     1  0  80   0 - 173769 futex_ 16:28 ?       00:00:00   /opt/k8s/bin/dockerd --bip=172.30.88.1/21 --ip-masq=false --mtu=1450
4 S root     21175 21147  0  80   0 - 120415 futex_ 16:28 ?       00:00:00     containerd --config /data/k8s/docker/exec/containerd/containerd.toml --log-level debug

[root@k8s-node01 ~]# docker info
Containers: 0
 Running: 0
 Paused: 0
 Stopped: 0
Images: 0
Server Version: 18.09.6
Storage Driver: overlay2
 Backing Filesystem: xfs
 Supports d_type: true
 Native Overlay Diff: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
 Volume: local
 Network: bridge host macvlan null overlay
 Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Init Binary: docker-init
containerd version: bb71b10fd8f58240ca47fbb579b9d1028eea7c84
runc version: 2b18fe1d885ee5083ef9f0838fee39b62d653e30
init version: fec3683
Security Options:
 seccomp
  Profile: default
Kernel Version: 4.4.181-1.el7.elrepo.x86_64
Operating System: CentOS Linux 7 (Core)
OSType: linux
Architecture: x86_64
CPUs: 4
Total Memory: 3.859GiB
Name: k8s-node01
ID: R24D:75E5:2OWS:SNU5:NPSE:SBKH:WKLZ:2ZH7:6ITY:3BE2:YHRG:6WRU
Docker Root Dir: /data/k8s/docker/data
Debug Mode (client): false
Debug Mode (server): true
 File Descriptors: 22
 Goroutines: 43
 System Time: 2019-06-18T16:32:44.260301822+08:00
 EventsListeners: 0
Registry: https://index.docker.io/v1/
Labels:
Experimental: false
Insecure Registries:
 docker02:35000
 127.0.0.0/8
Registry Mirrors:
 https://docker.mirrors.ustc.edu.cn/
 https://hub-mirror.c.163.com/
Live Restore Enabled: true
Product License: Community Engine

9.2 - 部署 kubelet 組件

kubelet 運(yùn)行在每個(gè)node節(jié)點(diǎn)上,接收 kube-apiserver 發(fā)送的請(qǐng)求,管理 Pod 容器,執(zhí)行交互式命令,如 exec、run、logs 等。kubelet 啟動(dòng)時(shí)自動(dòng)向 kube-apiserver 注冊(cè)節(jié)點(diǎn)信息,內(nèi)置的 cadvisor 統(tǒng)計(jì)和監(jiān)控節(jié)點(diǎn)的資源使用情況。為確保安全,部署時(shí)關(guān)閉了 kubelet 的非安全 http 端口,對(duì)請(qǐng)求進(jìn)行認(rèn)證和授權(quán),拒絕未授權(quán)的訪(fǎng)問(wèn)(如 apiserver、heapster 的請(qǐng)求)。

下面部署命令均在k8s-master01節(jié)點(diǎn)上執(zhí)行,然后遠(yuǎn)程分發(fā)文件和執(zhí)行命令。

1)下載和分發(fā) kubelet 二進(jìn)制文件
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    scp kubernetes/server/bin/kubelet root@${node_node_ip}:/opt/k8s/bin/
    ssh root@${node_node_ip} "chmod +x /opt/k8s/bin/*"
  done
    
2)創(chuàng)建 kubelet bootstrap kubeconfig 文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_name in ${NODE_NODE_NAMES[@]}
  do
    echo ">>> ${node_node_name}"
    
    # 創(chuàng)建 token
    export BOOTSTRAP_TOKEN=$(kubeadm token create \
      --description kubelet-bootstrap-token \
      --groups system:bootstrappers:${node_node_name} \
      --kubeconfig ~/.kube/config)
    
    # 設(shè)置集群參數(shù)
    kubectl config set-cluster kubernetes \
      --certificate-authority=/etc/kubernetes/cert/ca.pem \
      --embed-certs=true \
      --server=${KUBE_APISERVER} \
      --kubeconfig=kubelet-bootstrap-${node_node_name}.kubeconfig
    
    # 設(shè)置客戶(hù)端認(rèn)證參數(shù)
    kubectl config set-credentials kubelet-bootstrap \
      --token=${BOOTSTRAP_TOKEN} \
      --kubeconfig=kubelet-bootstrap-${node_node_name}.kubeconfig
    
    # 設(shè)置上下文參數(shù)
    kubectl config set-context default \
      --cluster=kubernetes \
      --user=kubelet-bootstrap \
      --kubeconfig=kubelet-bootstrap-${node_node_name}.kubeconfig
    
    # 設(shè)置默認(rèn)上下文
    kubectl config use-context default --kubeconfig=kubelet-bootstrap-${node_node_name}.kubeconfig
  done
    
解釋說(shuō)明: 向 kubeconfig 寫(xiě)入的是 token,bootstrap 結(jié)束后 kube-controller-manager 為 kubelet 創(chuàng)建 client 和 server 證書(shū);
    
查看 kubeadm 為各節(jié)點(diǎn)創(chuàng)建的 token:
[root@k8s-master01 work]# kubeadm token list --kubeconfig ~/.kube/config
TOKEN                     TTL       EXPIRES                     USAGES                   DESCRIPTION               EXTRA GROUPS
0zqowl.aye8f834jtq9vm9t   23h       2019-06-19T16:50:43+08:00   authentication,signing   kubelet-bootstrap-token   system:bootstrappers:k8s-node03
b46tq2.muab337gxwl0dsqn   23h       2019-06-19T16:50:43+08:00   authentication,signing   kubelet-bootstrap-token   system:bootstrappers:k8s-node02
heh41x.foguhh1qa5crpzlq   23h       2019-06-19T16:50:42+08:00   authentication,signing   kubelet-bootstrap-token   system:bootstrappers:k8s-node01
    
解釋說(shuō)明:
-> token 有效期為 1 天,超期后將不能再被用來(lái) boostrap kubelet,且會(huì)被 kube-controller-manager 的 tokencleaner 清理;
-> kube-apiserver 接收 kubelet 的 bootstrap token 后,將請(qǐng)求的 user 設(shè)置為 system:bootstrap:<Token ID>,group 設(shè)置為 system:bootstrappers,
   后續(xù)將為這個(gè) group 設(shè)置 ClusterRoleBinding;
    
查看各 token 關(guān)聯(lián)的 Secret:
[root@k8s-master01 work]# kubectl get secrets  -n kube-system|grep bootstrap-token
bootstrap-token-0zqowl                           bootstrap.kubernetes.io/token         7      88s
bootstrap-token-b46tq2                           bootstrap.kubernetes.io/token         7      88s
bootstrap-token-heh41x                           bootstrap.kubernetes.io/token         7      89s
    
3) 分發(fā) bootstrap kubeconfig 文件到所有node節(jié)點(diǎn)
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_name in ${NODE_NODE_NAMES[@]}
  do
    echo ">>> ${node_node_name}"
    scp kubelet-bootstrap-${node_node_name}.kubeconfig root@${node_node_name}:/etc/kubernetes/kubelet-bootstrap.kubeconfig
  done
    
4) 創(chuàng)建和分發(fā) kubelet 參數(shù)配置文件
從 v1.10 開(kāi)始,部分 kubelet 參數(shù)需在配置文件中配置,kubelet --help 會(huì)提示:
DEPRECATED: This parameter should be set via the config file specified by the Kubelet's --config flag
    
創(chuàng)建 kubelet 參數(shù)配置文件模板:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# cat > kubelet-config.yaml.template <<EOF
kind: KubeletConfiguration
apiVersion: kubelet.config.k8s.io/v1beta1
address: "##NODE_NODE_IP##"
staticPodPath: ""
syncFrequency: 1m
fileCheckFrequency: 20s
httpCheckFrequency: 20s
staticPodURL: ""
port: 10250
readOnlyPort: 0
rotateCertificates: true
serverTLSBootstrap: true
authentication:
  anonymous:
    enabled: false
  webhook:
    enabled: true
  x509:
    clientCAFile: "/etc/kubernetes/cert/ca.pem"
authorization:
  mode: Webhook
registryPullQPS: 0
registryBurst: 20
eventRecordQPS: 0
eventBurst: 20
enableDebuggingHandlers: true
enableContentionProfiling: true
healthzPort: 10248
healthzBindAddress: "##NODE_NODE_IP##"
clusterDomain: "${CLUSTER_DNS_DOMAIN}"
clusterDNS:
  - "${CLUSTER_DNS_SVC_IP}"
nodeStatusUpdateFrequency: 10s
nodeStatusReportFrequency: 1m
imageMinimumGCAge: 2m
imageGCHighThresholdPercent: 85
imageGCLowThresholdPercent: 80
volumeStatsAggPeriod: 1m
kubeletCgroups: ""
systemCgroups: ""
cgroupRoot: ""
cgroupsPerQOS: true
cgroupDriver: cgroupfs
runtimeRequestTimeout: 10m
hairpinMode: promiscuous-bridge
maxPods: 220
podCIDR: "${CLUSTER_CIDR}"
podPidsLimit: -1
resolvConf: /etc/resolv.conf
maxOpenFiles: 1000000
kubeAPIQPS: 1000
kubeAPIBurst: 2000
serializeImagePulls: false
evictionHard:
  memory.available:  "100Mi"
nodefs.available:  "10%"
nodefs.inodesFree: "5%"
imagefs.available: "15%"
evictionSoft: {}
enableControllerAttachDetach: true
failSwapOn: true
containerLogMaxSize: 20Mi
containerLogMaxFiles: 10
systemReserved: {}
kubeReserved: {}
systemReservedCgroup: ""
kubeReservedCgroup: ""
enforceNodeAllocatable: ["pods"]
EOF
    
解釋說(shuō)明:
-> address:kubelet 安全端口(https,10250)監(jiān)聽(tīng)的地址,不能為 127.0.0.1,否則 kube-apiserver、heapster 等不能調(diào)用 kubelet 的 API;
-> readOnlyPort=0:關(guān)閉只讀端口(默認(rèn) 10255),等效為未指定;
-> authentication.anonymous.enabled:設(shè)置為 false,不允許匿名?訪(fǎng)問(wèn) 10250 端口;
-> authentication.x509.clientCAFile:指定簽名客戶(hù)端證書(shū)的 CA 證書(shū),開(kāi)啟 HTTP 證書(shū)認(rèn)證;
-> authentication.webhook.enabled=true:開(kāi)啟 HTTPs bearer token 認(rèn)證;
-> 對(duì)于未通過(guò) x509 證書(shū)和 webhook 認(rèn)證的請(qǐng)求(kube-apiserver 或其他客戶(hù)端),將被拒絕,提示 Unauthorized;
-> authroization.mode=Webhook:kubelet 使用 SubjectAccessReview API 查詢(xún) kube-apiserver 某 user、group 是否具有操作資源的權(quán)限(RBAC);
-> featureGates.RotateKubeletClientCertificate、featureGates.RotateKubeletServerCertificate:自動(dòng) rotate 證書(shū),證書(shū)的有效期取決于
   kube-controller-manager 的 --experimental-cluster-signing-duration 參數(shù);
-> 需要 root 賬戶(hù)運(yùn)行;
    
為各節(jié)點(diǎn)創(chuàng)建和分發(fā) kubelet 配置文件:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    sed -e "s/##NODE_NODE_IP##/${node_node_ip}/" kubelet-config.yaml.template > kubelet-config-${node_node_ip}.yaml.template
    scp kubelet-config-${node_node_ip}.yaml.template root@${node_node_ip}:/etc/kubernetes/kubelet-config.yaml
  done
    
5)創(chuàng)建和分發(fā) kubelet systemd unit 文件
創(chuàng)建 kubelet systemd unit 文件模板:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# cat > kubelet.service.template <<EOF
[Unit]
Description=Kubernetes Kubelet
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=docker.service
Requires=docker.service
    
[Service]
WorkingDirectory=${K8S_DIR}/kubelet
ExecStart=/opt/k8s/bin/kubelet \\
  --allow-privileged=true \\
  --bootstrap-kubeconfig=/etc/kubernetes/kubelet-bootstrap.kubeconfig \\
  --cert-dir=/etc/kubernetes/cert \\
  --cni-conf-dir=/etc/cni/net.d \\
  --container-runtime=docker \\
  --container-runtime-endpoint=unix:///var/run/dockershim.sock \\
  --root-dir=${K8S_DIR}/kubelet \\
  --kubeconfig=/etc/kubernetes/kubelet.kubeconfig \\
  --config=/etc/kubernetes/kubelet-config.yaml \\
  --hostname-override=##NODE_NODE_NAME## \\
  --pod-infra-container-image=registry.cn-beijing.aliyuncs.com/k8s_images/pause-amd64:3.1 \\
  --image-pull-progress-deadline=15m \\
  --volume-plugin-dir=${K8S_DIR}/kubelet/kubelet-plugins/volume/exec/ \\
  --logtostderr=true \\
  --v=2
Restart=always
RestartSec=5
StartLimitInterval=0
    
[Install]
WantedBy=multi-user.target
EOF
    
解釋說(shuō)明:
-> 如果設(shè)置了 --hostname-override 選項(xiàng),則 kube-proxy 也需要設(shè)置該選項(xiàng),否則會(huì)出現(xiàn)找不到 Node 的情況;
-> --bootstrap-kubeconfig:指向 bootstrap kubeconfig 文件,kubelet 使用該文件中的用戶(hù)名和 token 向 kube-apiserver 發(fā)送 TLS Bootstrapping 請(qǐng)求;
-> K8S approve kubelet 的 csr 請(qǐng)求后,在 --cert-dir 目錄創(chuàng)建證書(shū)和私鑰文件,然后寫(xiě)入 --kubeconfig 文件;
-> --pod-infra-container-image 不使用 redhat 的 pod-infrastructure:latest 鏡像,它不能回收容器的僵尸;
    
為各節(jié)點(diǎn)創(chuàng)建和分發(fā) kubelet systemd unit 文件:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_name in ${NODE_NODE_NAMES[@]}
  do
    echo ">>> ${node_node_name}"
    sed -e "s/##NODE_NODE_NAME##/${node_node_name}/" kubelet.service.template > kubelet-${node_node_name}.service
    scp kubelet-${node_node_name}.service root@${node_node_name}:/etc/systemd/system/kubelet.service
  done
    
6)Bootstrap Token Auth 和授予權(quán)限
-> kubelet啟動(dòng)時(shí)查找--kubeletconfig參數(shù)對(duì)應(yīng)的文件是否存在,如果不存在則使用 --bootstrap-kubeconfig 指定的 kubeconfig 文件向 kube-apiserver 發(fā)送證書(shū)簽名請(qǐng)求 (CSR)。
-> kube-apiserver 收到 CSR 請(qǐng)求后,對(duì)其中的 Token 進(jìn)行認(rèn)證,認(rèn)證通過(guò)后將請(qǐng)求的 user 設(shè)置為 system:bootstrap:<Token ID>,group 設(shè)置為 system:bootstrappers,
   這一過(guò)程稱(chēng)為 Bootstrap Token Auth。
-> 默認(rèn)情況下,這個(gè) user 和 group 沒(méi)有創(chuàng)建 CSR 的權(quán)限,kubelet 啟動(dòng)失敗,錯(cuò)誤日志如下:
   # journalctl -u kubelet -a |grep -A 2 'certificatesigningrequests'
   May 9 22:48:41 k8s-master01 kubelet[128468]: I0526 22:48:41.798230  128468 certificate_manager.go:366] Rotating certificates
   May 9 22:48:41 k8s-master01 kubelet[128468]: E0526 22:48:41.801997  128468 certificate_manager.go:385] Failed while requesting a signed certificate from the master: cannot cre
   ate certificate signing request: certificatesigningrequests.certificates.k8s.io is forbidden: User "system:bootstrap:82jfrm" cannot create resource "certificatesigningrequests" i
   n API group "certificates.k8s.io" at the cluster scope
   May 9 22:48:42 k8s-master01 kubelet[128468]: E0526 22:48:42.044828  128468 kubelet.go:2244] node "k8s-master01" not found
   May 9 22:48:42 k8s-master01 kubelet[128468]: E0526 22:48:42.078658  128468 reflector.go:126] k8s.io/kubernetes/pkg/kubelet/kubelet.go:442: Failed to list *v1.Service: Unauthor
   ized
   May 9 22:48:42 k8s-master01 kubelet[128468]: E0526 22:48:42.079873  128468 reflector.go:126] k8s.io/kubernetes/pkg/kubelet/kubelet.go:451: Failed to list *v1.Node: Unauthorize
   d
   May 9 22:48:42 k8s-master01 kubelet[128468]: E0526 22:48:42.082683  128468 reflector.go:126] k8s.io/client-go/informers/factory.go:133: Failed to list *v1beta1.CSIDriver: Unau
   thorized
   May 9 22:48:42 k8s-master01 kubelet[128468]: E0526 22:48:42.084473  128468 reflector.go:126] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Failed to list *v1.Pod: Unau
   thorized
   May 9 22:48:42 k8s-master01 kubelet[128468]: E0526 22:48:42.088466  128468 reflector.go:126] k8s.io/client-go/informers/factory.go:133: Failed to list *v1beta1.RuntimeClass: U
   nauthorized
    
   解決辦法是:創(chuàng)建一個(gè) clusterrolebinding,將 group system:bootstrappers 和 clusterrole system:node-bootstrapper 綁定:
   # kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --group=system:bootstrappers
    
7) 啟動(dòng) kubelet 服務(wù)
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh root@${node_node_ip} "mkdir -p ${K8S_DIR}/kubelet/kubelet-plugins/volume/exec/"
    ssh root@${node_node_ip} "/usr/sbin/swapoff -a"
    ssh root@${node_node_ip} "systemctl daemon-reload && systemctl enable kubelet && systemctl restart kubelet"
  done
    
解釋說(shuō)明:
-> 啟動(dòng)服務(wù)前必須先創(chuàng)建工作目錄;
-> 關(guān)閉 swap 分區(qū),否則 kubelet 會(huì)啟動(dòng)失敗 (使用"journalctl -u kubelet |tail"命令查看錯(cuò)誤日志)
    
kubelet 啟動(dòng)后使用 --bootstrap-kubeconfig 向 kube-apiserver 發(fā)送 CSR 請(qǐng)求,
當(dāng)這個(gè) CSR 被 approve 后,kube-controller-manager 為 kubelet 創(chuàng)建 TLS 客戶(hù)端證書(shū)、私鑰和 --kubeletconfig 文件。
    
注意:kube-controller-manager 需要配置 --cluster-signing-cert-file 和 --cluster-signing-key-file 參數(shù),才會(huì)為 TLS Bootstrap 創(chuàng)建證書(shū)和私鑰。
    
[root@k8s-master01 work]# kubectl get csr
NAME        AGE    REQUESTOR                 CONDITION
csr-4wk6q   108s   system:bootstrap:0zqowl   Pending
csr-mjtl5   110s   system:bootstrap:heh41x   Pending
csr-rfz27   109s   system:bootstrap:b46tq2   Pending
    
[root@k8s-master01 work]# kubectl get nodes
No resources found.
    
此時(shí)三個(gè)node節(jié)點(diǎn)的csr均處于 pending 狀態(tài);
    
8)自動(dòng) approve CSR 請(qǐng)求
創(chuàng)建三個(gè) ClusterRoleBinding,分別用于自動(dòng) approve client、renew client、renew server 證書(shū):
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# cat > csr-crb.yaml <<EOF
 # Approve all CSRs for the group "system:bootstrappers"
 kind: ClusterRoleBinding
 apiVersion: rbac.authorization.k8s.io/v1
 metadata:
   name: auto-approve-csrs-for-group
 subjects:
 - kind: Group
   name: system:bootstrappers
   apiGroup: rbac.authorization.k8s.io
 roleRef:
   kind: ClusterRole
   name: system:certificates.k8s.io:certificatesigningrequests:nodeclient
   apiGroup: rbac.authorization.k8s.io
---
 # To let a node of the group "system:nodes" renew its own credentials
 kind: ClusterRoleBinding
 apiVersion: rbac.authorization.k8s.io/v1
 metadata:
   name: node-client-cert-renewal
 subjects:
 - kind: Group
   name: system:nodes
   apiGroup: rbac.authorization.k8s.io
 roleRef:
   kind: ClusterRole
   name: system:certificates.k8s.io:certificatesigningrequests:selfnodeclient
   apiGroup: rbac.authorization.k8s.io
---
# A ClusterRole which instructs the CSR approver to approve a node requesting a
# serving cert matching its client cert.
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: approve-node-server-renewal-csr
rules:
- apiGroups: ["certificates.k8s.io"]
  resources: ["certificatesigningrequests/selfnodeserver"]
  verbs: ["create"]
---
 # To let a node of the group "system:nodes" renew its own server credentials
 kind: ClusterRoleBinding
 apiVersion: rbac.authorization.k8s.io/v1
 metadata:
   name: node-server-cert-renewal
 subjects:
 - kind: Group
   name: system:nodes
   apiGroup: rbac.authorization.k8s.io
 roleRef:
   kind: ClusterRole
   name: approve-node-server-renewal-csr
   apiGroup: rbac.authorization.k8s.io
EOF
    
解釋說(shuō)明:
-> auto-approve-csrs-for-group:自動(dòng) approve node 的第一次 CSR; 注意第一次 CSR 時(shí),請(qǐng)求的 Group 為 system:bootstrappers;
-> node-client-cert-renewal:自動(dòng) approve node 后續(xù)過(guò)期的 client 證書(shū),自動(dòng)生成的證書(shū) Group 為 system:nodes;
-> node-server-cert-renewal:自動(dòng) approve node 后續(xù)過(guò)期的 server 證書(shū),自動(dòng)生成的證書(shū) Group 為 system:nodes;
    
執(zhí)行創(chuàng)建:
[root@k8s-master01 work]# kubectl apply -f csr-crb.yaml
    
查看 kubelet 的情況
    
需要耐心等待一段時(shí)間(1-10 分鐘),三個(gè)節(jié)點(diǎn)的 CSR 都被自動(dòng) approved(測(cè)試時(shí)等待了很長(zhǎng)一段時(shí)間才被自動(dòng)approved)
[root@k8s-master01 work]# kubectl get csr
NAME        AGE     REQUESTOR                 CONDITION
csr-4m4hc   37s     system:node:k8s-node01    Pending
csr-4wk6q   7m29s   system:bootstrap:0zqowl   Approved,Issued
csr-h8hq6   36s     system:node:k8s-node02    Pending
csr-mjtl5   7m31s   system:bootstrap:heh41x   Approved,Issued
csr-rfz27   7m30s   system:bootstrap:b46tq2   Approved,Issued
csr-t9p6n   36s     system:node:k8s-node03    Pending
    
注意:
Pending 的 CSR 用于創(chuàng)建 kubelet server 證書(shū),需要手動(dòng) approve,后續(xù)會(huì)說(shuō)到這個(gè)。
    
此時(shí)發(fā)現(xiàn)所有node節(jié)點(diǎn)狀態(tài)均為"ready":
[root@k8s-master01 work]# kubectl get nodes
NAME         STATUS   ROLES    AGE     VERSION
k8s-node01   Ready    <none>   3m      v1.14.2
k8s-node02   Ready    <none>   3m      v1.14.2
k8s-node03   Ready    <none>   2m59s   v1.14.2
    
kube-controller-manager 為各node節(jié)點(diǎn)生成了 kubeconfig 文件和公私鑰(如下在node節(jié)點(diǎn)上執(zhí)行):
[root@k8s-node01 ~]# ls -l /etc/kubernetes/kubelet.kubeconfig
-rw------- 1 root root 2310 Jun 18 17:09 /etc/kubernetes/kubelet.kubeconfig
    
[root@k8s-node01 ~]# ls -l /etc/kubernetes/cert/|grep kubelet
-rw------- 1 root root 1273 Jun 18 17:16 kubelet-client-2019-06-18-17-16-31.pem
lrwxrwxrwx 1 root root   59 Jun 18 17:16 kubelet-client-current.pem -> /etc/kubernetes/cert/kubelet-client-2019-06-18-17-16-31.pem
    
注意:此時(shí)還沒(méi)有自動(dòng)生成 kubelet server 證書(shū);
    
9)手動(dòng) approve server cert csr
基于安全性考慮,CSR approving controllers 不會(huì)自動(dòng) approve kubelet server 證書(shū)簽名請(qǐng)求,需要手動(dòng) approve:
    
[root@k8s-master01 work]# kubectl get csr
NAME        AGE    REQUESTOR                 CONDITION
csr-4m4hc   6m4s   system:node:k8s-node01    Pending
csr-4wk6q   12m    system:bootstrap:0zqowl   Approved,Issued
csr-h8hq6   6m3s   system:node:k8s-node02    Pending
csr-mjtl5   12m    system:bootstrap:heh41x   Approved,Issued
csr-rfz27   12m    system:bootstrap:b46tq2   Approved,Issued
csr-t9p6n   6m3s   system:node:k8s-node03    Pending
    
記住上面執(zhí)行結(jié)果為"Pending"的對(duì)應(yīng)的csr的NAME名稱(chēng),然后對(duì)這些csr進(jìn)行手動(dòng)approve
[root@k8s-master01 work]# kubectl certificate approve csr-4m4hc
certificatesigningrequest.certificates.k8s.io/csr-4m4hc approved
    
[root@k8s-master01 work]# kubectl certificate approve csr-h8hq6
certificatesigningrequest.certificates.k8s.io/csr-h8hq6 approved
    
[root@k8s-master01 work]# kubectl certificate approve csr-t9p6n
certificatesigningrequest.certificates.k8s.io/csr-t9p6n approved
    
再次查看csr,發(fā)現(xiàn)所有的CSR都為approved了
[root@k8s-master01 work]# kubectl get csr
NAME        AGE     REQUESTOR                 CONDITION
csr-4m4hc   7m46s   system:node:k8s-node01    Approved,Issued
csr-4wk6q   14m     system:bootstrap:0zqowl   Approved,Issued
csr-h8hq6   7m45s   system:node:k8s-node02    Approved,Issued
csr-mjtl5   14m     system:bootstrap:heh41x   Approved,Issued
csr-rfz27   14m     system:bootstrap:b46tq2   Approved,Issued
csr-t9p6n   7m45s   system:node:k8s-node03    Approved,Issued
    
再次到node節(jié)點(diǎn)上查看,發(fā)現(xiàn)已經(jīng)自動(dòng)生成 kubelet server 證書(shū);
[root@k8s-node01 ~]# ls -l /etc/kubernetes/cert/kubelet-*
-rw------- 1 root root 1273 Jun 18 17:16 /etc/kubernetes/cert/kubelet-client-2019-06-18-17-16-31.pem
lrwxrwxrwx 1 root root   59 Jun 18 17:16 /etc/kubernetes/cert/kubelet-client-current.pem -> /etc/kubernetes/cert/kubelet-client-2019-06-18-17-16-31.pem
-rw------- 1 root root 1317 Jun 18 17:23 /etc/kubernetes/cert/kubelet-server-2019-06-18-17-23-13.pem
lrwxrwxrwx 1 root root   59 Jun 18 17:23 /etc/kubernetes/cert/kubelet-server-current.pem -> /etc/kubernetes/cert/kubelet-server-2019-06-18-17-23-13.pem
    
10)kubelet 提供的 API 接口
kubelet 啟動(dòng)后監(jiān)聽(tīng)多個(gè)端口,用于接收 kube-apiserver 或其它客戶(hù)端發(fā)送的請(qǐng)求:
    
在node節(jié)點(diǎn)執(zhí)行下面命令
[root@k8s-node01 ~]# netstat -lnpt|grep kubelet
tcp        0      0 127.0.0.1:40831         0.0.0.0:*               LISTEN      24468/kubelet   
tcp        0      0 172.16.60.244:10248     0.0.0.0:*               LISTEN      24468/kubelet   
tcp        0      0 172.16.60.244:10250     0.0.0.0:*               LISTEN      24468/kubelet
    
解釋說(shuō)明:
-> 10248: healthz http服務(wù)端口,即健康檢查服務(wù)的端口
-> 10250: kubelet服務(wù)監(jiān)聽(tīng)的端口,api會(huì)檢測(cè)他是否存活。即https服務(wù),訪(fǎng)問(wèn)該端口時(shí)需要認(rèn)證和授權(quán)(即使訪(fǎng)問(wèn)/healthz也需要);
-> 10255:只讀端口,可以不用驗(yàn)證和授權(quán)機(jī)制,直接訪(fǎng)問(wèn)。這里配置"readOnlyPort: 0"表示未開(kāi)啟只讀端口10255;如果配置"readOnlyPort: 10255"則打開(kāi)10255端口
-> 從 K8S v1.10 開(kāi)始,去除了 --cadvisor-port 參數(shù)(默認(rèn) 4194 端口),不支持訪(fǎng)問(wèn) cAdvisor UI & API。
    
例如執(zhí)行"kubectl exec -it nginx-ds-5aedg -- sh"命令時(shí),kube-apiserver會(huì)向 kubelet 發(fā)送如下請(qǐng)求:
    POST /exec/default/nginx-ds-5aedg/my-nginx?command=sh&input=1&output=1&tty=1
    
kubelet 接收 10250 端口的 https 請(qǐng)求,可以訪(fǎng)問(wèn)如下資源:
-> /pods、/runningpods
-> /metrics、/metrics/cadvisor、/metrics/probes
-> /spec
-> /stats、/stats/container
-> /logs
-> /run/、/exec/, /attach/, /portForward/, /containerLogs/
    
由于關(guān)閉了匿名認(rèn)證,同時(shí)開(kāi)啟了webhook 授權(quán),所有訪(fǎng)問(wèn)10250端口https API的請(qǐng)求都需要被認(rèn)證和授權(quán)。
預(yù)定義的 ClusterRole system:kubelet-api-admin 授予訪(fǎng)問(wèn) kubelet 所有 API 的權(quán)限(kube-apiserver 使用的 kubernetes 證書(shū) User 授予了該權(quán)限):
    
[root@k8s-master01 work]# kubectl describe clusterrole system:kubelet-api-admin
Name:         system:kubelet-api-admin
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
PolicyRule:
  Resources      Non-Resource URLs  Resource Names  Verbs
  ---------      -----------------  --------------  -----
  nodes/log      []                 []              [*]
  nodes/metrics  []                 []              [*]
  nodes/proxy    []                 []              [*]
  nodes/spec     []                 []              [*]
  nodes/stats    []                 []              [*]
  nodes          []                 []              [get list watch proxy]
    
11) kubelet api 認(rèn)證和授權(quán)
kubelet 配置了如下認(rèn)證參數(shù):
-> authentication.anonymous.enabled:設(shè)置為 false,不允許匿名?訪(fǎng)問(wèn) 10250 端口;
-> authentication.x509.clientCAFile:指定簽名客戶(hù)端證書(shū)的 CA 證書(shū),開(kāi)啟 HTTPs 證書(shū)認(rèn)證;
-> authentication.webhook.enabled=true:開(kāi)啟 HTTPs bearer token 認(rèn)證;
    
同時(shí)配置了如下授權(quán)參數(shù):
-> authroization.mode=Webhook:開(kāi)啟 RBAC 授權(quán);
    
kubelet 收到請(qǐng)求后,使用 clientCAFile 對(duì)證書(shū)簽名進(jìn)行認(rèn)證,或者查詢(xún) bearer token 是否有效。如果兩者都沒(méi)通過(guò),則拒絕請(qǐng)求,提示 Unauthorized:
[root@k8s-master01 work]# curl -s --cacert /etc/kubernetes/cert/ca.pem https://172.16.60.244:10250/metrics
Unauthorized
    
[root@k8s-master01 work]# curl -s --cacert /etc/kubernetes/cert/ca.pem -H "Authorization: Bearer 123456" https://172.16.60.244:10250/metrics
Unauthorized
    
通過(guò)認(rèn)證后,kubelet 使用 SubjectAccessReview API 向 kube-apiserver 發(fā)送請(qǐng)求,查詢(xún)證書(shū)或 token 對(duì)應(yīng)的 user、group 是否有操作資源的權(quán)限(RBAC);
    
下面進(jìn)行證書(shū)認(rèn)證和授權(quán):
    
# 權(quán)限不足的證書(shū);
[root@k8s-master01 work]# curl -s --cacert /etc/kubernetes/cert/ca.pem --cert /etc/kubernetes/cert/kube-controller-manager.pem --key /etc/kubernetes/cert/kube-controller-manager-key.pem https://172.16.60.244:10250/metrics
Forbidden (user=system:kube-controller-manager, verb=get, resource=nodes, subresource=metrics)
    
# 使用部署 kubectl 命令行工具時(shí)創(chuàng)建的、具有最高權(quán)限的 admin 證書(shū);
[root@k8s-master01 work]# curl -s --cacert /etc/kubernetes/cert/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.244:10250/metrics|head
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0
    
注意:--cacert、--cert、--key 的參數(shù)值必須是文件路徑,否則返回 401 Unauthorized;
    
bear token 認(rèn)證和授權(quán)
創(chuàng)建一個(gè) ServiceAccount,將它和 ClusterRole system:kubelet-api-admin 綁定,從而具有調(diào)用 kubelet API 的權(quán)限:
[root@k8s-master01 work]# kubectl create sa kubelet-api-test
[root@k8s-master01 work]# kubectl create clusterrolebinding kubelet-api-test --clusterrole=system:kubelet-api-admin --serviceaccount=default:kubelet-api-test
[root@k8s-master01 work]# SECRET=$(kubectl get secrets | grep kubelet-api-test | awk '{print $1}')
[root@k8s-master01 work]# TOKEN=$(kubectl describe secret ${SECRET} | grep -E '^token' | awk '{print $2}')
[root@k8s-master01 work]# echo ${TOKEN}
eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.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.i_uVqjOUMLdG4lDURfhxFDOtM2addxgEquQTcpOLP_5g6UI-MjvE5jHem_Q8OtMwFs5tqlCvKJHN2IdfsRiKk_mBe_ysLQsNEoHDclZwHRVN6X84Y62q49y-ArT12YlSpfWWenw-2GawsTmORbz7AYYaU5-kgqMk95mMx57ic8uwvJYlilw4JCnkMON5ESOmgAOg30uVvsBiQVkkYTwGtAG5Tah9wADujQttBjjDOlGntpGHxj-HmZO2GivDgdrbs_UNvhzGt2maDlpP13qYv8zKiBGpSbiWOAk_olsFKQ5-dIrn04NCbh9Kkyyh9JccMSuvePaj-lgTWj5zdUfRHw
    
這時(shí),再接著進(jìn)行kubelet請(qǐng)求
[root@k8s-master01 work]# curl -s --cacert /etc/kubernetes/cert/ca.pem -H "Authorization: Bearer ${TOKEN}" https://172.16.60.244:10250/metrics|head
# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.
# TYPE apiserver_audit_event_total counter
apiserver_audit_event_total 0
# HELP apiserver_audit_requests_rejected_total Counter of apiserver requests rejected due to an error in audit logging backend.
# TYPE apiserver_audit_requests_rejected_total counter
apiserver_audit_requests_rejected_total 0
# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.
# TYPE apiserver_client_certificate_expiration_seconds histogram
apiserver_client_certificate_expiration_seconds_bucket{le="0"} 0
apiserver_client_certificate_expiration_seconds_bucket{le="1800"} 0
    
12)cadvisor 和 metrics
cadvisor 是內(nèi)嵌在 kubelet 二進(jìn)制中的,統(tǒng)計(jì)所在節(jié)點(diǎn)各容器的資源(CPU、內(nèi)存、磁盤(pán)、網(wǎng)卡)使用情況的服務(wù)。
瀏覽器訪(fǎng)問(wèn)https://172.16.60.244:10250/metrics 和 https://172.16.60.244:10250/metrics/cadvisor 分別返回 kubelet 和 cadvisor 的 metrics。
    
注意:
-> kubelet.config.json 設(shè)置 authentication.anonymous.enabled 為 false,不允許匿名證書(shū)訪(fǎng)問(wèn) 10250 的 https 服務(wù);
-> 參考下面的"瀏覽器訪(fǎng)問(wèn)kube-apiserver安全端口",創(chuàng)建和導(dǎo)入相關(guān)證書(shū),然后就可以在瀏覽器里成功訪(fǎng)問(wèn)kube-apiserver和上面的kubelet的10250端口了。
    
需要通過(guò)證書(shū)方式訪(fǎng)問(wèn)kubelet的10250端口
[root@k8s-master01 ~]# curl -s --cacert /etc/kubernetes/cert/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.244:10250/metrics
    
[root@k8s-master01 ~]# curl -s --cacert /etc/kubernetes/cert/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.244:10250/metrics/cadvisor
   
13)獲取 kubelet 的配置
從 kube-apiserver 獲取各節(jié)點(diǎn) kubelet 的配置:
如果發(fā)現(xiàn)沒(méi)有jq命令(json處理工具),可以直接yum安裝jq:
[root@k8s-master01 ~]# yum install -y jq
   
使用部署 kubectl 命令行工具時(shí)創(chuàng)建的、具有最高權(quán)限的 admin 證書(shū);
[root@k8s-master01 ~]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 ~]# curl -sSL --cacert /etc/kubernetes/cert/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem ${KUBE_APISERVER}/api/v1/nodes/k8s-node01/proxy/configz | jq '.kubeletconfig|.kind="KubeletConfiguration"|.apiVersion="kubelet.config.k8s.io/v1beta1"'
{
  "syncFrequency": "1m0s",
  "fileCheckFrequency": "20s",
  "httpCheckFrequency": "20s",
  "address": "172.16.60.244",
  "port": 10250,
  "rotateCertificates": true,
  "serverTLSBootstrap": true,
  "authentication": {
    "x509": {
      "clientCAFile": "/etc/kubernetes/cert/ca.pem"
    },
    "webhook": {
      "enabled": true,
      "cacheTTL": "2m0s"
    },
    "anonymous": {
      "enabled": false
    }
  },
  "authorization": {
    "mode": "Webhook",
    "webhook": {
      "cacheAuthorizedTTL": "5m0s",
      "cacheUnauthorizedTTL": "30s"
    }
  },
  "registryPullQPS": 0,
  "registryBurst": 20,
  "eventRecordQPS": 0,
  "eventBurst": 20,
  "enableDebuggingHandlers": true,
  "enableContentionProfiling": true,
  "healthzPort": 10248,
  "healthzBindAddress": "172.16.60.244",
  "oomScoreAdj": -999,
  "clusterDomain": "cluster.local",
  "clusterDNS": [
    "10.254.0.2"
  ],
  "streamingConnectionIdleTimeout": "4h0m0s",
  "nodeStatusUpdateFrequency": "10s",
  "nodeStatusReportFrequency": "1m0s",
  "nodeLeaseDurationSeconds": 40,
  "imageMinimumGCAge": "2m0s",
  "imageGCHighThresholdPercent": 85,
  "imageGCLowThresholdPercent": 80,
  "volumeStatsAggPeriod": "1m0s",
  "cgroupsPerQOS": true,
  "cgroupDriver": "cgroupfs",
  "cpuManagerPolicy": "none",
  "cpuManagerReconcilePeriod": "10s",
  "runtimeRequestTimeout": "10m0s",
  "hairpinMode": "promiscuous-bridge",
  "maxPods": 220,
  "podCIDR": "172.30.0.0/16",
  "podPidsLimit": -1,
  "resolvConf": "/etc/resolv.conf",
  "cpuCFSQuota": true,
  "cpuCFSQuotaPeriod": "100ms",
  "maxOpenFiles": 1000000,
  "contentType": "application/vnd.kubernetes.protobuf",
  "kubeAPIQPS": 1000,
  "kubeAPIBurst": 2000,
  "serializeImagePulls": false,
  "evictionHard": {
    "memory.available": "100Mi"
  },
  "evictionPressureTransitionPeriod": "5m0s",
  "enableControllerAttachDetach": true,
  "makeIPTablesUtilChains": true,
  "iptablesMasqueradeBit": 14,
  "iptablesDropBit": 15,
  "failSwapOn": true,
  "containerLogMaxSize": "20Mi",
  "containerLogMaxFiles": 10,
  "configMapAndSecretChangeDetectionStrategy": "Watch",
  "enforceNodeAllocatable": [
    "pods"
  ],
  "kind": "KubeletConfiguration",
  "apiVersion": "kubelet.config.k8s.io/v1beta1"
}
  
或者直接執(zhí)行下面語(yǔ)句:(https://172.16.60.250:8443 就是變量${KUBE_APISERVER})
[root@k8s-master01 ~]# curl -sSL --cacert /etc/kubernetes/cert/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.250:8443/api/v1/nodes/k8s-node01/proxy/configz | jq '.kubeletconfig|.kind="KubeletConfiguration"|.apiVersion="kubelet.config.k8s.io/v1beta1"'
[root@k8s-master01 ~]# curl -sSL --cacert /etc/kubernetes/cert/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.250:8443/api/v1/nodes/k8s-node02/proxy/configz | jq '.kubeletconfig|.kind="KubeletConfiguration"|.apiVersion="kubelet.config.k8s.io/v1beta1"'
[root@k8s-master01 ~]# curl -sSL --cacert /etc/kubernetes/cert/ca.pem --cert /opt/k8s/work/admin.pem --key /opt/k8s/work/admin-key.pem https://172.16.60.250:8443/api/v1/nodes/k8s-node03/proxy/configz | jq '.kubeletconfig|.kind="KubeletConfiguration"|.apiVersion="kubelet.config.k8s.io/v1beta1"'

9.3 - 瀏覽器訪(fǎng)問(wèn)kube-apiserver等安全端口,創(chuàng)建和導(dǎo)入證書(shū)的做法

瀏覽器訪(fǎng)問(wèn) kube-apiserver 的安全端口 6443 (代理端口是8443)時(shí),提示證書(shū)不被信任:

這是因?yàn)?kube-apiserver 的 server 證書(shū)是我們創(chuàng)建的根證書(shū) ca.pem 簽名的,需要將根證書(shū) ca.pem 導(dǎo)入操作系統(tǒng),并設(shè)置永久信任。

這里說(shuō)下Mac OS系統(tǒng)客戶(hù)機(jī)上導(dǎo)入證書(shū)的方法:

1)點(diǎn)擊Mac本上的"鑰匙串訪(fǎng)問(wèn)" -> "系統(tǒng)" -> "證書(shū)" -> "kebernetes"(雙擊里面的"信任",改成"始終信任"),如下圖:

清除瀏覽器緩存,再次訪(fǎng)問(wèn),發(fā)現(xiàn)證書(shū)已經(jīng)被信任了!(紅色感嘆號(hào)已經(jīng)消失了)

2)需要給瀏覽器生成一個(gè) client 證書(shū),訪(fǎng)問(wèn) apiserver 的 6443 https 端口時(shí)使用。

這里使用部署 kubectl 命令行工具時(shí)創(chuàng)建的 admin 證書(shū)、私鑰和上面的 ca 證書(shū),創(chuàng)建一個(gè)瀏覽器可以使用 PKCS#12/PFX 格式的證書(shū):

[root@k8s-master01 ~]# cd /opt/k8s/work/
[root@k8s-master01 work]# openssl pkcs12 -export -out admin.pfx -inkey admin-key.pem -in admin.pem -certfile ca.pem
Enter Export Password:                      # 這里輸入自己設(shè)定的任意密碼,比如"123456"
Verifying - Enter Export Password:          # 確認(rèn)密碼: 123456

[root@k8s-master01 work]# ll admin.pfx
-rw-r--r-- 1 root root 3613 Jun 23 23:56 admin.pfx

將在k8s-master01服務(wù)器上生成的client證書(shū)admin.pfx拷貝到Mac本機(jī),導(dǎo)入到"鑰匙串訪(fǎng)問(wèn)" -> "系統(tǒng)" -> "證書(shū)" 里面 (導(dǎo)入時(shí)會(huì)提示輸入admin.pfx證書(shū)的密碼,即"123456"),如下圖:

清除瀏覽器歷史記錄,一定要重啟瀏覽器,接著訪(fǎng)問(wèn)apiserver地址,接著會(huì)提示選擇一個(gè)瀏覽器證書(shū),這里選中上面導(dǎo)入的"admin.pfx", 然后再次訪(fǎng)問(wèn)apiserver,發(fā)現(xiàn)相應(yīng)的metrics數(shù)據(jù)就成功顯示出來(lái)了??!(注意,如果失敗了。則可以刪除證書(shū),然后重新生成,重新導(dǎo)入再跟著操作步驟來(lái)一遍,清除瀏覽器緩存,重啟瀏覽器,選擇導(dǎo)入的證書(shū),再次訪(fǎng)問(wèn)即可!)

同樣的,再上面apiserver訪(fǎng)問(wèn)的client證書(shū)導(dǎo)入到本地瀏覽器后,再訪(fǎng)問(wèn)kubelet的10250端口的metric時(shí),也會(huì)提示選擇導(dǎo)入的證書(shū)"admin.pfx",然后就會(huì)正常顯示對(duì)應(yīng)的metrics數(shù)據(jù)了。(k8s集群的其他組件metrics的https證書(shū)方式方式同理?。?/p>

9.4 - 部署 kube-proxy 組件

kube-proxy運(yùn)行在所有的node節(jié)點(diǎn)上,它監(jiān)聽(tīng)apiserver中service和endpoint的變化情況,創(chuàng)建路由規(guī)則以提供服務(wù)IP和負(fù)載均衡功能。下面部署命令均在k8s-master01節(jié)點(diǎn)上執(zhí)行,然后遠(yuǎn)程分發(fā)文件和執(zhí)行命令。

1)下載和分發(fā) kube-proxy 二進(jìn)制文件
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    scp kubernetes/server/bin/kube-proxy root@${node_node_ip}:/opt/k8s/bin/
    ssh root@${node_node_ip} "chmod +x /opt/k8s/bin/*"
  done

2) 創(chuàng)建 kube-proxy 證書(shū)
創(chuàng)建證書(shū)簽名請(qǐng)求:
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# cat > kube-proxy-csr.json <<EOF
{
  "CN": "system:kube-proxy",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
EOF

注意:
CN:指定該證書(shū)的 User 為 system:kube-proxy;
預(yù)定義的 RoleBinding system:node-proxier 將User system:kube-proxy 與 Role system:node-proxier 綁定,該 Role 授予了調(diào)用 kube-apiserver Proxy 相關(guān) API 的權(quán)限;
該證書(shū)只會(huì)被 kube-proxy 當(dāng)做 client 證書(shū)使用,所以 hosts 字段為空;

生成證書(shū)和私鑰:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# cfssl gencert -ca=/opt/k8s/work/ca.pem \
  -ca-key=/opt/k8s/work/ca-key.pem \
  -config=/opt/k8s/work/ca-config.json \
  -profile=kubernetes  kube-proxy-csr.json | cfssljson -bare kube-proxy

[root@k8s-master01 work]# ll kube-proxy*
-rw-r--r-- 1 root root 1013 Jun 24 20:21 kube-proxy.csr
-rw-r--r-- 1 root root  218 Jun 24 20:21 kube-proxy-csr.json
-rw------- 1 root root 1679 Jun 24 20:21 kube-proxy-key.pem
-rw-r--r-- 1 root root 1411 Jun 24 20:21 kube-proxy.pem

3)創(chuàng)建和分發(fā) kubeconfig 文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# kubectl config set-cluster kubernetes \
  --certificate-authority=/opt/k8s/work/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=kube-proxy.kubeconfig

[root@k8s-master01 work]# kubectl config set-credentials kube-proxy \
  --client-certificate=kube-proxy.pem \
  --client-key=kube-proxy-key.pem \
  --embed-certs=true \
  --kubeconfig=kube-proxy.kubeconfig

[root@k8s-master01 work]# kubectl config set-context default \
  --cluster=kubernetes \
  --user=kube-proxy \
  --kubeconfig=kube-proxy.kubeconfig

[root@k8s-master01 work]# kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig

注意:--embed-certs=true:將 ca.pem 和 admin.pem 證書(shū)內(nèi)容嵌入到生成的 kubectl-proxy.kubeconfig 文件中(不加時(shí),寫(xiě)入的是證書(shū)文件路徑);

分發(fā) kubeconfig 文件:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_name in ${NODE_NODE_NAMES[@]}
  do
    echo ">>> ${node_node_name}"
    scp kube-proxy.kubeconfig root@${node_node_name}:/etc/kubernetes/
  done

4)創(chuàng)建 kube-proxy 配置文件
從 v1.10 開(kāi)始,kube-proxy 部分參數(shù)可以配置文件中配置??梢允褂?--write-config-to 選項(xiàng)生成該配置文件。
創(chuàng)建 kube-proxy config 文件模板:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# cat > kube-proxy-config.yaml.template <<EOF
kind: KubeProxyConfiguration
apiVersion: kubeproxy.config.k8s.io/v1alpha1
clientConnection:
  burst: 200
  kubeconfig: "/etc/kubernetes/kube-proxy.kubeconfig"
  qps: 100
bindAddress: ##NODE_NODE_IP##
healthzBindAddress: ##NODE_NODE_IP##:10256
metricsBindAddress: ##NODE_NODE_IP##:10249
enableProfiling: true
clusterCIDR: ${CLUSTER_CIDR}
hostnameOverride: ##NODE_NODE_NAME##
mode: "ipvs"
portRange: ""
kubeProxyIPTablesConfiguration:
  masqueradeAll: false
kubeProxyIPVSConfiguration:
  scheduler: rr
  excludeCIDRs: []
EOF

注意:
bindAddress: 監(jiān)聽(tīng)地址;
clientConnection.kubeconfig: 連接 apiserver 的 kubeconfig 文件;
clusterCIDR: kube-proxy 根據(jù) --cluster-cidr 判斷集群內(nèi)部和外部流量,指定 --cluster-cidr 或 --masquerade-all 選項(xiàng)后 kube-proxy 才會(huì)對(duì)訪(fǎng)問(wèn) Service IP 的請(qǐng)求做 SNAT;
hostnameOverride: 參數(shù)值必須與 kubelet 的值一致,否則 kube-proxy 啟動(dòng)后會(huì)找不到該 Node,從而不會(huì)創(chuàng)建任何 ipvs 規(guī)則;
mode: 使用 ipvs 模式;

為各節(jié)點(diǎn)創(chuàng)建和分發(fā) kube-proxy 配置文件:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for (( i=0; i < 3; i++ ))
  do
    echo ">>> ${NODE_NODE_NAMES[i]}"
    sed -e "s/##NODE_NODE_NAME##/${NODE_NODE_NAMES[i]}/" -e "s/##NODE_NODE_IP##/${NODE_NODE_IPS[i]}/" kube-proxy-config.yaml.template > kube-proxy-config-${NODE_NODE_NAMES[i]}.yaml.template
    scp kube-proxy-config-${NODE_NODE_NAMES[i]}.yaml.template root@${NODE_NODE_NAMES[i]}:/etc/kubernetes/kube-proxy-config.yaml
  done

[root@k8s-master01 work]# ll kube-proxy-config-k8s-node0*
-rw-r--r-- 1 root root 500 Jun 24 20:27 kube-proxy-config-k8s-node01.yaml.template
-rw-r--r-- 1 root root 500 Jun 24 20:27 kube-proxy-config-k8s-node02.yaml.template
-rw-r--r-- 1 root root 500 Jun 24 20:27 kube-proxy-config-k8s-node03.yaml.template

5)創(chuàng)建和分發(fā) kube-proxy systemd unit 文件
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# cat > kube-proxy.service <<EOF
[Unit]
Description=Kubernetes Kube-Proxy Server
Documentation=https://github.com/GoogleCloudPlatform/kubernetes
After=network.target

[Service]
WorkingDirectory=${K8S_DIR}/kube-proxy
ExecStart=/opt/k8s/bin/kube-proxy \\
  --config=/etc/kubernetes/kube-proxy-config.yaml \\
  --logtostderr=true \\
  --v=2
Restart=on-failure
RestartSec=5
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target
EOF

分發(fā) kube-proxy systemd unit 文件:
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_name in ${NODE_NODE_NAMES[@]}
  do
    echo ">>> ${node_node_name}"
    scp kube-proxy.service root@${node_node_name}:/etc/systemd/system/
  done

6)啟動(dòng) kube-proxy 服務(wù)
[root@k8s-master01 work]# cd /opt/k8s/work
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh root@${node_node_ip} "mkdir -p ${K8S_DIR}/kube-proxy"
    ssh root@${node_node_ip} "modprobe ip_vs_rr"
    ssh root@${node_node_ip} "systemctl daemon-reload && systemctl enable kube-proxy && systemctl restart kube-proxy"
  done

注意:?jiǎn)?dòng)服務(wù)前必須先創(chuàng)建工作目錄;

檢查啟動(dòng)結(jié)果:
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh root@${node_node_ip} "systemctl status kube-proxy|grep Active"
  done

預(yù)期結(jié)果:
>>> 172.16.60.244
   Active: active (running) since Mon 2019-06-24 20:35:31 CST; 2min 0s ago
>>> 172.16.60.245
   Active: active (running) since Mon 2019-06-24 20:35:30 CST; 2min 0s ago
>>> 172.16.60.246
   Active: active (running) since Mon 2019-06-24 20:35:32 CST; 1min 59s ago

確保狀態(tài)為 active (running),否則查看日志,確認(rèn)原因(journalctl -u kube-proxy)

7)查看監(jiān)聽(tīng)端口(在任意一臺(tái)node節(jié)點(diǎn)上查看)
[root@k8s-node01 ~]# netstat -lnpt|grep kube-prox
tcp        0      0 172.16.60.244:10249     0.0.0.0:*               LISTEN      3830/kube-proxy    
tcp        0      0 172.16.60.244:10256     0.0.0.0:*               LISTEN      3830/kube-proxy  

需要注意:
10249:該端口用于http prometheus metrics port;
10256:該端口用于http healthz port;

8)查看 ipvs 路由規(guī)則
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh root@${node_node_ip} "/usr/sbin/ipvsadm -ln"
  done

預(yù)期輸出:
>>> 172.16.60.244
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  10.254.0.1:443 rr
  -> 172.16.60.241:6443           Masq    1      0          0        
  -> 172.16.60.242:6443           Masq    1      0          0        
  -> 172.16.60.243:6443           Masq    1      0          0        
>>> 172.16.60.245
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  10.254.0.1:443 rr
  -> 172.16.60.241:6443           Masq    1      0          0        
  -> 172.16.60.242:6443           Masq    1      0          0        
  -> 172.16.60.243:6443           Masq    1      0          0        
>>> 172.16.60.246
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  10.254.0.1:443 rr
  -> 172.16.60.241:6443           Masq    1      0          0        
  -> 172.16.60.242:6443           Masq    1      0          0        
  -> 172.16.60.243:6443           Masq    1      0          0

由上面可以看出:所有通過(guò) https 訪(fǎng)問(wèn) K8S SVC kubernetes 的請(qǐng)求都轉(zhuǎn)發(fā)到 kube-apiserver 節(jié)點(diǎn)的 6443 端口;

十、驗(yàn)證Kubernetes集群功能

使用 daemonset 驗(yàn)證 master 和 worker 節(jié)點(diǎn)是否工作正常。

1)檢查節(jié)點(diǎn)狀態(tài)
[root@k8s-master01 ~]# kubectl get nodes
NAME         STATUS   ROLES    AGE    VERSION
k8s-node01   Ready    <none>   6d3h   v1.14.2
k8s-node02   Ready    <none>   6d3h   v1.14.2
k8s-node03   Ready    <none>   6d3h   v1.14.2

各node節(jié)點(diǎn)狀態(tài)都為 Ready 時(shí)正常。

2)創(chuàng)建測(cè)試文件
[root@k8s-master01 ~]# cd /opt/k8s/work
[root@k8s-master01 work]# cat > nginx-ds.yml <<EOF
apiVersion: v1
kind: Service
metadata:
  name: nginx-ds
  labels:
    app: nginx-ds
spec:
  type: NodePort
  selector:
    app: nginx-ds
  ports:
  - name: http
    port: 80
    targetPort: 80
---
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
  name: nginx-ds
  labels:
    addonmanager.kubernetes.io/mode: Reconcile
spec:
  template:
    metadata:
      labels:
        app: nginx-ds
    spec:
      containers:
      - name: my-nginx
        image: nginx:1.7.9
        ports:
        - containerPort: 80
EOF

執(zhí)行測(cè)試
[root@k8s-master01 work]# kubectl create -f nginx-ds.yml

3)檢查各節(jié)點(diǎn)的 Pod IP 連通性
稍微等一會(huì)兒,或者或刷幾次下面的命令,才會(huì)顯示出Pod的IP信息
[root@k8s-master01 work]# kubectl get pods  -o wide|grep nginx-ds
nginx-ds-4lf8z   1/1     Running   0          46s   172.30.56.2   k8s-node02   <none>           <none>
nginx-ds-6kfsw   1/1     Running   0          46s   172.30.72.2   k8s-node03   <none>           <none>
nginx-ds-xqdgw   1/1     Running   0          46s   172.30.88.2   k8s-node01   <none>           <none>

可見(jiàn),nginx-ds的 Pod IP分別是 172.30.56.2、172.30.72.2、172.30.88.2,在所有 Node 上分別 ping 這三個(gè) IP,看是否連通:
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh ${node_node_ip} "ping -c 1 172.30.56.2"
    ssh ${node_node_ip} "ping -c 1 172.30.72.2"
    ssh ${node_node_ip} "ping -c 1 172.30.88.2"
  done

預(yù)期輸出結(jié)果:
>>> 172.16.60.244
PING 172.30.56.2 (172.30.56.2) 56(84) bytes of data.
64 bytes from 172.30.56.2: icmp_seq=1 ttl=63 time=0.542 ms

--- 172.30.56.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.542/0.542/0.542/0.000 ms
PING 172.30.72.2 (172.30.72.2) 56(84) bytes of data.
64 bytes from 172.30.72.2: icmp_seq=1 ttl=63 time=0.654 ms

--- 172.30.72.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.654/0.654/0.654/0.000 ms
PING 172.30.88.2 (172.30.88.2) 56(84) bytes of data.
64 bytes from 172.30.88.2: icmp_seq=1 ttl=64 time=0.103 ms

--- 172.30.88.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.103/0.103/0.103/0.000 ms
>>> 172.16.60.245
PING 172.30.56.2 (172.30.56.2) 56(84) bytes of data.
64 bytes from 172.30.56.2: icmp_seq=1 ttl=64 time=0.106 ms

--- 172.30.56.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.106/0.106/0.106/0.000 ms
PING 172.30.72.2 (172.30.72.2) 56(84) bytes of data.
64 bytes from 172.30.72.2: icmp_seq=1 ttl=63 time=0.408 ms

--- 172.30.72.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.408/0.408/0.408/0.000 ms
PING 172.30.88.2 (172.30.88.2) 56(84) bytes of data.
64 bytes from 172.30.88.2: icmp_seq=1 ttl=63 time=0.345 ms

--- 172.30.88.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.345/0.345/0.345/0.000 ms
>>> 172.16.60.246
PING 172.30.56.2 (172.30.56.2) 56(84) bytes of data.
64 bytes from 172.30.56.2: icmp_seq=1 ttl=63 time=0.350 ms

--- 172.30.56.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.350/0.350/0.350/0.000 ms
PING 172.30.72.2 (172.30.72.2) 56(84) bytes of data.
64 bytes from 172.30.72.2: icmp_seq=1 ttl=64 time=0.105 ms

--- 172.30.72.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.105/0.105/0.105/0.000 ms
PING 172.30.88.2 (172.30.88.2) 56(84) bytes of data.
64 bytes from 172.30.88.2: icmp_seq=1 ttl=63 time=0.584 ms

--- 172.30.88.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.584/0.584/0.584/0.000 ms

4)檢查服務(wù) IP 和端口可達(dá)性
[root@k8s-master01 work]# kubectl get svc |grep nginx-ds
nginx-ds     NodePort    10.254.41.83   <none>        80:30876/TCP   4m24s

可見(jiàn):
Service Cluster IP:10.254.41.83
服務(wù)端口:80
NodePort 端口:30876

在所有 Node 上 curl Service IP:
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh ${node_node_ip} "curl -s 10.254.41.83"
  done

預(yù)期輸出: nginx歡迎頁(yè)面內(nèi)容。

5)檢查服務(wù)的 NodePort 可達(dá)性
在所有 Node 上執(zhí)行:
[root@k8s-master01 work]# source /opt/k8s/bin/environment.sh
[root@k8s-master01 work]# for node_node_ip in ${NODE_NODE_IPS[@]}
  do
    echo ">>> ${node_node_ip}"
    ssh ${node_node_ip} "curl -s ${node_node_ip}:30876"
  done

預(yù)期輸出: nginx 歡迎頁(yè)面內(nèi)容。

點(diǎn)擊查看 Kubernetes(K8S)容器集群管理環(huán)境完整部署詳細(xì)教程-下篇

相關(guān)文章

  • Kubernetes控制節(jié)點(diǎn)的部署

    Kubernetes控制節(jié)點(diǎn)的部署

    這篇文章介紹了Kubernetes控制節(jié)點(diǎn)的部署,對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2022-04-04
  • kubernetes數(shù)據(jù)持久化StorageClass動(dòng)態(tài)供給實(shí)現(xiàn)詳解

    kubernetes數(shù)據(jù)持久化StorageClass動(dòng)態(tài)供給實(shí)現(xiàn)詳解

    這篇文章主要為大家介紹了kubernetes數(shù)據(jù)持久化StorageClass動(dòng)態(tài)供給實(shí)現(xiàn)詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2022-11-11
  • Kubernetes關(guān)鍵組件與結(jié)構(gòu)組成介紹

    Kubernetes關(guān)鍵組件與結(jié)構(gòu)組成介紹

    這篇文章介紹了Kubernetes的關(guān)鍵組件與結(jié)構(gòu)組成,對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2022-03-03
  • Kubernetes Informer數(shù)據(jù)存儲(chǔ)Index與Pod分配流程解析

    Kubernetes Informer數(shù)據(jù)存儲(chǔ)Index與Pod分配流程解析

    這篇文章主要為大家介紹了Kubernetes Informer數(shù)據(jù)存儲(chǔ)Index與Pod分配流程解析,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2022-11-11
  • kubernetes實(shí)現(xiàn)分布式限流

    kubernetes實(shí)現(xiàn)分布式限流

    這篇文章介紹了kubernetes實(shí)現(xiàn)分布式限流的方法,文中通過(guò)示例代碼介紹的非常詳細(xì)。對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2022-04-04
  • Kubernetes ApiServer三大server權(quán)限與數(shù)據(jù)存儲(chǔ)解析

    Kubernetes ApiServer三大server權(quán)限與數(shù)據(jù)存儲(chǔ)解析

    這篇文章主要為大家介紹了Kubernetes ApiServer三大server權(quán)限與數(shù)據(jù)存儲(chǔ)解析,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2022-11-11
  • Dashboard管理Kubernetes集群與API訪(fǎng)問(wèn)配置

    Dashboard管理Kubernetes集群與API訪(fǎng)問(wèn)配置

    這篇文章介紹了Dashboard管理Kubernetes集群與API訪(fǎng)問(wèn)配置的方法,對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2022-04-04
  • kubernetes中的namespace、node、pod介紹

    kubernetes中的namespace、node、pod介紹

    這篇文章介紹了kubernetes中的namespace、node、pod,對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2022-03-03
  • K8S集群范圍使用imagePullSecret示例詳解

    K8S集群范圍使用imagePullSecret示例詳解

    在這篇文章中,我將向你展示如何在?Kubernetes?中使用?imagePullSecrets示例詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2022-11-11
  • CKAD認(rèn)證中部署k8s并配置Calico插件

    CKAD認(rèn)證中部署k8s并配置Calico插件

    這篇文章介紹了CKAD認(rèn)證中部署k8s并配置Calico插件的方法,對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2022-03-03

最新評(píng)論

日韩黄色片在线观看网站| 999九九久久久精品| 97少妇精品在线观看| 亚洲视频在线视频看视频在线| 全国亚洲男人的天堂| 亚洲欧美自拍另类图片| 啊啊啊视频试看人妻| 中文字幕最新久久久| 亚洲精品午夜久久久久| 亚洲综合乱码一区二区| 狠狠地躁夜夜躁日日躁| 精品亚洲国产中文自在线| 国产精品视频一区在线播放| 亚洲男人让女人爽的视频| 福利午夜视频在线观看| 狠狠鲁狠狠操天天晚上干干| 在线观看的黄色免费网站| 欧美日本国产自视大全| 韩国三级aaaaa高清视频| 少妇高潮一区二区三区| 中文字幕在线一区精品| 99精品免费观看视频| 3344免费偷拍视频| 亚洲精品国偷自产在线观看蜜桃| 成人av在线资源网站| 1769国产精品视频免费观看| 婷婷色国产黑丝少妇勾搭AV | 热99re69精品8在线播放| 老司机在线精品福利视频| gogo国模私拍视频| 欧美80老妇人性视频| 骚逼被大屌狂草视频免费看| 免费无毒热热热热热热久| 亚洲欧美人精品高清| 亚洲人妻国产精品综合| 91九色国产熟女一区二区| 国产伦精品一区二区三区竹菊| 自拍偷拍一区二区三区图片| 婷婷久久久久深爱网| 日视频免费在线观看| 丝袜肉丝一区二区三区四区在线| 欧美精品 日韩国产| 老师让我插进去69AV| 久久国产精品精品美女| 天天干天天搞天天摸| 日韩亚国产欧美三级涩爱| 在线观看av亚洲情色| 97青青青手机在线视频| 天天躁夜夜躁日日躁a麻豆| 视频 国产 精品 熟女 | 夜色福利视频在线观看| av俺也去在线播放| 亚洲美女自偷自拍11页| 黄色片年轻人在线观看| 又粗又长 明星操逼小视频| 国产一区二区欧美三区| 日韩av熟妇在线观看| 任你操任你干精品在线视频| 亚洲欧美国产麻豆综合| 国产之丝袜脚在线一区二区三区| 粉嫩av懂色av蜜臀av| 丝袜美腿欧美另类 中文字幕| 国产大鸡巴大鸡巴操小骚逼小骚逼 | 青青青aaaa免费| 一区二区免费高清黄色视频| 成人av在线资源网站| avjpm亚洲伊人久久| 美女大bxxxx内射| 色婷婷综合激情五月免费观看| 自拍偷区二区三区麻豆| av天堂中文字幕最新| 国产中文字幕四区在线观看| 中英文字幕av一区| 偷拍自拍亚洲美腿丝袜| 中国老熟女偷拍第一页| 天天操天天干天天日狠狠插| 3337p日本欧洲大胆色噜噜| 女同久久精品秋霞网| 爱有来生高清在线中文字幕| av手机在线免费观看日韩av| 国产精彩对白一区二区三区 | 2019av在线视频| 中文字幕网站你懂的| 亚洲精品av在线观看| 好男人视频在线免费观看网站| 国产自拍在线观看成人| 涩爱综合久久五月蜜臀| 一级a看免费观看网站| 少妇一区二区三区久久久| 午夜大尺度无码福利视频| 亚洲中文字幕乱码区| 日本精品视频不卡一二三| 无套猛戳丰满少妇人妻| 一级黄片久久久久久久久| 大尺度激情四射网站| 日噜噜噜夜夜噜噜噜天天噜噜噜 | 99精品视频在线观看免费播放 | 成人免费公开视频无毒| 岛国av高清在线成人在线| 国产av一区2区3区| 免费观看污视频网站| 99久久激情婷婷综合五月天| gay gay男男瑟瑟在线网站| av黄色成人在线观看| 孕妇奶水仑乱A级毛片免费看| 青青色国产视频在线| 亚洲精品国品乱码久久久久| 一区二区三区日韩久久| 岛国av高清在线成人在线| 国产真实乱子伦a视频| 天天干天天搞天天摸| 中文字幕亚洲久久久| 抽查舔水白紧大视频| 日韩美av高清在线| 亚洲公开视频在线观看| 亚洲图库另类图片区| 日本男女操逼视频免费看| 亚洲护士一区二区三区| 国产实拍勾搭女技师av在线| 亚洲福利精品视频在线免费观看| 丝袜美腿欧美另类 中文字幕| 国产精品久久久久网| 欧美精品一区二区三区xxxx| 日本18禁久久久久久| 国产丰满熟女成人视频| 嫩草aⅴ一区二区三区| 日本三极片中文字幕| 国产精品伦理片一区二区| 亚洲免费va在线播放| sspd152中文字幕在线| 视频 一区二区在线观看| 不卡日韩av在线观看| 日本精品一区二区三区在线视频。 | 中文字幕av第1页中文字幕| 欧美在线偷拍视频免费看| 日韩特级黄片高清在线看| 九九视频在线精品播放| 青娱乐蜜桃臀av色| 亚洲成人免费看电影| 硬鸡巴动态操女人逼视频| 免费岛国喷水视频在线观看| 色av色婷婷人妻久久久精品高清| 免费高清自慰一区二区三区网站| 成人av电影免费版| 91精品一区二区三区站长推荐| 又粗又硬又猛又爽又黄的| 经典亚洲伊人第一页| 丰满熟女午夜福利视频| 亚洲国产精品中文字幕网站| 国产高清在线在线视频| 亚洲国产在人线放午夜| 久久国产精品精品美女| 天天干天天插天天谢| 欧美xxx成人在线| 人妻少妇中文有码精品| 亚洲欧美另类自拍偷拍色图| 亚欧在线视频你懂的| 深田咏美亚洲一区二区| 麻豆精品成人免费视频| 中文字幕,亚洲人妻| 日本男女操逼视频免费看| 国产精品视频资源在线播放| 99久久激情婷婷综合五月天| caoporm超碰国产| 精彩视频99免费在线| 青草久久视频在线观看| 国产精品精品精品999| 好太好爽好想要免费| 自拍偷拍一区二区三区图片| 99久久成人日韩欧美精品| 成年人的在线免费视频| 免费黄高清无码国产| 亚洲美女自偷自拍11页| 快插进小逼里大鸡吧视频| 大黑人性xxxxbbbb| 熟女人妻三十路四十路人妻斩| 在线观看免费视频网| 亚洲欧美国产综合777| 一区二区视频视频视频| 啪啪啪啪啪啪啪啪啪啪黄色| 超碰97免费人妻麻豆| 扒开让我视频在线观看| 午夜国产免费福利av| 天天插天天色天天日| 天美传媒mv视频在线观看| 天天干天天啪天天舔| 日韩精品中文字幕福利| 中文字幕人妻三级在线观看| 欧洲日韩亚洲一区二区三区| 污污小视频91在线观看| 最新激情中文字幕视频| 99久久超碰人妻国产| 亚洲av男人天堂久久| 亚洲男人的天堂a在线| 天天操夜夜操天天操天天操| 欲满人妻中文字幕在线| 亚洲图片偷拍自拍区| 精品一区二区三四区| 欧美中文字幕一区最新网址| 又色又爽又黄的美女裸体| 99热国产精品666| 五十路丰满人妻熟妇| 三级av中文字幕在线观看| 粉嫩小穴流水视频在线观看| 2020国产在线不卡视频| 国产精品手机在线看片| 美女福利视频导航网站| 春色激情网欧美成人| 中文字幕 码 在线视频| 亚洲va国产va欧美精品88| 亚洲高清国产拍青青草原| 日本美女性生活一级片| 亚洲免费福利一区二区三区| 老鸭窝在线观看一区| 久久精品亚洲成在人线a| 91www一区二区三区| 91九色国产熟女一区二区| 亚洲欧美激情中文字幕| 9国产精品久久久久老师| 久久h视频在线观看| 100%美女蜜桃视频| 亚洲视频在线视频看视频在线| 99久久成人日韩欧美精品| 东游记中文字幕版哪里可以看到| 日韩精品一区二区三区在线播放| 超pen在线观看视频公开97| 日本一道二三区视频久久| 亚洲熟妇久久无码精品| 在线观看视频 你懂的| 福利在线视频网址导航 | 熟女人妻三十路四十路人妻斩| 性感美女福利视频网站| 人人妻人人澡欧美91精品| 九九热99视频在线观看97| 男生舔女生逼逼的视频| 久久久久五月天丁香社区| 久久丁香婷婷六月天| 午夜频道成人在线91| 无套猛戳丰满少妇人妻| 国产精品人妻66p| 亚洲视频在线视频看视频在线| 91天堂天天日天天操| 巨乳人妻日下部加奈被邻居中出| 亚洲国产成人最新资源| 一区二区三区久久中文字幕| 老熟妇xxxhd老熟女| 亚洲av日韩高清hd| 天天日天天做天天日天天做| 好了av中文字幕在线| 中文字幕av男人天堂| 国产普通话插插视频| 成人性黑人一级av| 全国亚洲男人的天堂| 欧美另类z0z变态| 日韩成人免费电影二区| 蜜桃视频入口久久久| 日本在线一区二区不卡视频| 青青青视频自偷自拍38碰| 不卡日韩av在线观看| 黄色在线观看免费观看在线| 午夜在线一区二区免费| 青青草亚洲国产精品视频| 中国无遮挡白丝袜二区精品| 国产女人叫床高潮大片视频| 久草视频中文字幕在线观看| 亚洲av男人天堂久久| 三级黄色亚洲成人av| 中文字幕之无码色多多| 国产精品伦理片一区二区| 特大黑人巨大xxxx| 国产日韩欧美美利坚蜜臀懂色| 爆乳骚货内射骚货内射在线| 日韩美女福利视频网| 51国产成人精品视频| 特一级特级黄色网片| 性感美女福利视频网站| 国产中文字幕四区在线观看| 91老师蜜桃臀大屁股| 亚洲一区自拍高清免费视频| 制丝袜业一区二区三区| 精品av国产一区二区三区四区| 懂色av之国产精品| 熟女人妻三十路四十路人妻斩| 五月色婷婷综合开心网4438| 亚洲区欧美区另类最新章节| 三级等保密码要求条款| 自拍 日韩 欧美激情| 亚洲1区2区3区精华液| 亚洲欧美清纯唯美另类| 日本熟女精品一区二区三区| 国产女孩喷水在线观看| 日本又色又爽又黄又粗| 午夜青青草原网在线观看| 中文字幕乱码人妻电影| 欧美精产国品一二三产品价格| 91国产在线免费播放| 在线免费观看欧美小视频| 亚洲精品亚洲人成在线导航| 粉嫩欧美美人妻小视频| 日韩精品中文字幕福利| 亚洲乱码中文字幕在线| 五十路熟女av天堂| 成人亚洲国产综合精品| 天天插天天色天天日| 青青青青青青草国产| 99久久99久国产黄毛片| av中文在线天堂精品| 亚洲高清国产拍青青草原| 亚洲狠狠婷婷综合久久app| 国产欧美精品一区二区高清| 日韩美女搞黄视频免费| 日本成人不卡一区二区| 青青社区2国产视频| 春色激情网欧美成人| 真实国模和老外性视频| 999热精品视频在线| 成人蜜臀午夜久久一区| 欧美亚洲少妇福利视频| 亚洲老熟妇日本老妇| 大骚逼91抽插出水视频| 91国内视频在线观看| 亚洲一级av无码一级久久精品| 大香蕉玖玖一区2区| 中文字幕高清资源站| 国产精品日韩欧美一区二区| 免费黄色成人午夜在线网站| 100%美女蜜桃视频| 成人H精品动漫在线无码播放| 欧美一级片免费在线成人观看| 人妻熟女在线一区二区| 天天摸天天日天天操| 日韩人妻丝袜中文字幕| 99精品国自产在线人| 精品一区二区三区欧美| 成人影片高清在线观看| 久久久久久九九99精品| 天天日天天干天天舔天天射| 日韩av熟妇在线观看| 在线视频精品你懂的| 亚洲中文字字幕乱码| 二区中出在线观看老师| 国产综合高清在线观看| 欧美精产国品一二三区| 91精品免费久久久久久| 熟女国产一区亚洲中文字幕| 精品国产午夜视频一区二区| 男女啪啪视频免费在线观看| 黄色中文字幕在线播放| 欧美一区二区三区四区性视频| 日日操综合成人av| 亚洲av成人网在线观看| 国产av福利网址大全| 欧美精品 日韩国产| 红桃av成人在线观看| 经典亚洲伊人第一页| 黄色三级网站免费下载| 国产卡一卡二卡三乱码手机| 中文字幕熟女人妻久久久| 国产精品一区二区av国| 欧美性受xx黑人性猛交| 国产精品免费不卡av| 亚洲人一区二区中文字幕| 天堂中文字幕翔田av| 国产内射中出在线观看| 丝袜国产专区在线观看| 国产精品黄页网站视频| 日本真人性生活视频免费看| 无码中文字幕波多野不卡| 精品黑人一区二区三区久久国产 | 国产亚洲精品欧洲在线观看| 国产伦精品一区二区三区竹菊| 欧美黑人巨大性xxxxx猛交| 2018在线福利视频| 91社福利《在线观看| 国产亚洲四十路五十路| 国产在线免费观看成人| 免费在线黄色观看网站| 白白操白白色在线免费视频 | 色综合久久五月色婷婷综合| 欧美日韩v中文在线| 99精品免费久久久久久久久a| 一二三区在线观看视频| 日本少妇在线视频大香蕉在线观看 | 天天干天天操天天扣| 国产精品黄页网站视频| 51精品视频免费在线观看| 天堂资源网av中文字幕| 久久丁香花五月天色婷婷| 国产精品伦理片一区二区| av高潮迭起在线观看| 1区2区3区不卡视频| 2012中文字幕在线高清| 亚洲一区二区三区偷拍女厕91| 午夜场射精嗯嗯啊啊视频| 亚洲伊人av天堂有码在线| 少妇深喉口爆吞精韩国| 欧美黑人与人妻精品| 男女啪啪啪啪啪的网站| 亚洲午夜电影在线观看| 亚洲高清国产自产av| 三级黄色亚洲成人av| 美女福利写真在线观看视频| 天天日天天干天天要| 中文字幕免费福利视频6| 欧美特级特黄a大片免费| 少妇人妻二三区视频| 丝袜亚洲另类欧美变态| 精品久久久久久久久久久a√国产| 亚洲福利精品视频在线免费观看| 国产男女视频在线播放| 揄拍成人国产精品免费看视频| av老司机精品在线观看| 欧美一级视频一区二区| 适合午夜一个人看的视频| 一二三区在线观看视频| 欧美地区一二三专区| 青青青青青操视频在线观看| 国产第一美女一区二区三区四区| 2012中文字幕在线高清| 一区二区三区欧美日韩高清播放| 嫩草aⅴ一区二区三区| 精彩视频99免费在线| 一个色综合男人天堂| 精品一区二区三区三区色爱| 久久久久久久久久一区二区三区| 91人妻精品久久久久久久网站| 亚洲区欧美区另类最新章节| 成人激情文学网人妻| 免费观看成年人视频在线观看| 2020久久躁狠狠躁夜夜躁| 亚洲伊人久久精品影院一美女洗澡| 91福利视频免费在线观看| 五十路熟女人妻一区二区9933| 曰本无码人妻丰满熟妇啪啪| 开心 色 六月 婷婷| 亚洲在线免费h观看网站| 80电影天堂网官网| 亚洲国产美女一区二区三区软件| 中文字幕国产专区欧美激情| 成人av天堂丝袜在线观看| 91人妻精品一区二区久久| 特级无码毛片免费视频播放| 最新的中文字幕 亚洲| 老熟妇凹凸淫老妇女av在线观看| av在线播放国产不卡| 91超碰青青中文字幕| 国产成人精品午夜福利训2021| 日噜噜噜夜夜噜噜噜天天噜噜噜 | av中文字幕在线观看第三页| 91啪国自产中文字幕在线| 黑人借宿ntr人妻的沦陷2| 日本免费视频午夜福利视频| 九色精品视频在线播放| 粉嫩av蜜乳av蜜臀| 天天干天天日天天谢综合156| 亚洲一区制服丝袜美腿| 成人资源在线观看免费官网| 91麻豆精品久久久久| 亚洲图片偷拍自拍区| 青青青青青青青在线播放视频| 精品国产在线手机在线| 亚洲成人免费看电影| 最新中文字幕免费视频| av中文字幕福利网| 最新中文字幕免费视频| 国产精品日韩欧美一区二区| 99热这里只有国产精品6| 啪啪啪操人视频在线播放| 五十路熟女人妻一区二| 成人高清在线观看视频| 直接观看免费黄网站| 日本丰满熟妇大屁股久久| 精品国产亚洲av一淫| 久久这里有免费精品| 日本性感美女视频网站| 在线国产精品一区二区三区| 亚洲1069综合男同| 国产成人综合一区2区| 欧美国品一二三产区区别| 午夜国产免费福利av| 久久久久久久亚洲午夜综合福利| 自拍偷拍,中文字幕| 久草极品美女视频在线观看| 久久美欧人妻少妇一区二区三区 | 大黑人性xxxxbbbb| 亚洲精品中文字幕下载| 亚洲一级av无码一级久久精品 | 国产精品国产三级国产精东| 传媒在线播放国产精品一区| 天堂资源网av中文字幕| 国产性色生活片毛片春晓精品| 国产高清精品极品美女| 99精品视频在线观看免费播放| 2012中文字幕在线高清| 又粗又硬又猛又黄免费30| 欧美viboss性丰满| 国产一区成人在线观看视频 | 在线制服丝袜中文字幕| 亚洲欧美清纯唯美另类| 亚洲av天堂在线播放| 国产日韩精品一二三区久久久| 3337p日本欧洲大胆色噜噜| 国产自拍黄片在线观看| 蜜臀成人av在线播放| 国产精品视频男人的天堂| 日韩精品激情在线观看| 3337p日本欧洲大胆色噜噜| 五十路人妻熟女av一区二区| 亚洲av日韩精品久久久久久hd| 高潮喷水在线视频观看| 亚洲精品无码色午夜福利理论片| av完全免费在线观看av| 麻豆性色视频在线观看| 欧美成人一二三在线网| 护士小嫩嫩又紧又爽20p| 色天天天天射天天舔| 青青青青青免费视频| 美女吃鸡巴操逼高潮视频| 欲乱人妻少妇在线视频裸| 9久在线视频只有精品| 人妻熟女在线一区二区| 午夜av一区二区三区| 熟女俱乐部一二三区| 日本美女成人在线视频| 亚洲成a人片777777| 老司机欧美视频在线看| 婷婷午夜国产精品久久久| av在线资源中文字幕| 国产精品自偷自拍啪啪啪| 欧美日韩情色在线观看| 国产高清精品一区二区三区| 夜夜嗨av一区二区三区中文字幕| 亚洲免费在线视频网站| 日本熟妇一区二区x x| 国产精品一区二区av国| 亚洲午夜高清在线观看| 中文字幕乱码人妻电影| 中文字幕第1页av一天堂网| 欧美乱妇无乱码一区二区| 久久久久久久亚洲午夜综合福利| 男人的天堂在线黄色| 人人在线视频一区二区| sejizz在线视频| 区一区二区三国产中文字幕| 伊人情人综合成人久久网小说| 日日摸夜夜添夜夜添毛片性色av| 免费国产性生活视频| 天天日天天干天天要| 国产三级影院在线观看| 又色又爽又黄又刺激av网站| 亚洲免费在线视频网站| 成人免费公开视频无毒| 福利国产视频在线观看| 精品suv一区二区69| 黄色大片免费观看网站| 亚洲免费视频欧洲免费视频| 免费人成黄页网站在线观看国产| 老司机免费视频网站在线看| 婷婷午夜国产精品久久久| 亚洲欧美另类手机在线| 成人av中文字幕一区| 亚洲推理片免费看网站| 又粗又长 明星操逼小视频| 欧美日韩在线精品一区二区三| 国产高清97在线观看视频| 2022天天干天天操| 精品久久久久久久久久久a√国产| 美女 午夜 在线视频| 天天干天天操天天玩天天射| 91大屁股国产一区二区| 国产视频网站一区二区三区 | 欧美日本在线视频一区| 一级黄片大鸡巴插入美女| 99热这里只有国产精品6| 韩国三级aaaaa高清视频| 人人爱人人妻人人澡39| 国产亚洲国产av网站在线| av网址国产在线观看| 成年人黄色片免费网站| 日日操夜夜撸天天干| 日韩精品电影亚洲一区| 97黄网站在线观看| 视频一区二区三区高清在线| 91啪国自产中文字幕在线| 欧美老鸡巴日小嫩逼| 国产视频在线视频播放| 青青草精品在线视频观看| av一本二本在线观看| 内射久久久久综合网| 亚洲伊人av天堂有码在线| 97国产福利小视频合集| 国产揄拍高清国内精品对白| 亚洲日本一区二区久久久精品| 国产揄拍高清国内精品对白| 啪啪啪18禁一区二区三区| 中文字幕av男人天堂| 韩国爱爱视频中文字幕| 久久久久久久久久久免费女人| 精品一区二区三四区| 经典亚洲伊人第一页| 国产欧美精品不卡在线| 欧美性受xx黑人性猛交| 人妻少妇av在线观看| 国产成人小视频在线观看无遮挡| 91p0rny九色露脸熟女| 在线国产中文字幕视频| 国产精品成人xxxx| 11久久久久久久久久久| 国产高潮无码喷水AV片在线观看| 在线播放国产黄色av| 久久精品亚洲成在人线a| 中文字幕+中文字幕| nagger可以指黑人吗| 黄片三级三级三级在线观看| 天天干天天搞天天摸| 免费黄色成人午夜在线网站| 搡老熟女一区二区在线观看| 午夜精品一区二区三区4| 男人操女人的逼免费视频| 亚洲国产精品免费在线观看| 天天干天天操天天插天天日| av一区二区三区人妻| 国产精品视频欧美一区二区| 黄网十四区丁香社区激情五月天| 精品成人午夜免费看| 91老师蜜桃臀大屁股| 亚洲老熟妇日本老妇| 精品美女福利在线观看| 国产麻豆精品人妻av| 国产性感美女福利视频| v888av在线观看视频| 天天日天天干天天舔天天射| 亚洲国产成人在线一区| 亚洲熟妇久久无码精品| 一区二区三区久久久91| 色噜噜噜噜18禁止观看| 亚洲免费va在线播放| 人妻少妇精品久久久久久| 日本一区精品视频在线观看| 日韩美在线观看视频黄| 亚洲欧美成人综合视频| 少妇人妻久久久久视频黄片| 日本乱人一区二区三区| 成人区人妻精品一区二视频| 一区二区麻豆传媒黄片| 亚洲 国产 成人 在线| 国产密臀av一区二区三| 免费观看理论片完整版| 免费无毒热热热热热热久| 韩国女主播精品视频网站| 视频一区二区三区高清在线| 亚洲成人线上免费视频观看| 欧美乱妇无乱码一区二区| 青青青青青青草国产| 成人动漫大肉棒插进去视频| 中文亚洲欧美日韩无线码| 真实国模和老外性视频| 日美女屁股黄邑视频| 日本福利午夜电影在线观看| 任你操视频免费在线观看| 天堂av在线最新版在线| 大胸性感美女羞爽操逼毛片| 日本人妻精品久久久久久| 亚洲午夜电影在线观看| 亚洲va欧美va人人爽3p| 欧美成一区二区三区四区| 亚洲高清国产拍青青草原| 久精品人妻一区二区三区| 老熟妇凹凸淫老妇女av在线观看| 国产成人精品亚洲男人的天堂| 欧美日韩精品永久免费网址| 国产不卡av在线免费| 青青青青青免费视频| 国产性色生活片毛片春晓精品| 888亚洲欧美国产va在线播放| 在线免费观看亚洲精品电影| 中国把吊插入阴蒂的视频| 欧美久久久久久三级网| 狠狠的往里顶撞h百合| 免费岛国喷水视频在线观看 | 欧美成人一二三在线网| 日韩国产乱码中文字幕| 亚洲欧美激情人妻偷拍| 韩国一级特黄大片做受| 在线观看免费视频网| 国产成人无码精品久久久电影| 爆乳骚货内射骚货内射在线| 精品亚洲国产中文自在线| 青青草国内在线视频精选| 99re久久这里都是精品视频| 亚洲中文精品人人免费| 日韩三级电影华丽的外出| 久久久久久9999久久久久| 欧美viboss性丰满| 哥哥姐姐综合激情小说| 国产性感美女福利视频| 日韩三级黄色片网站| 亚洲无线观看国产高清在线| 偷偷玩弄新婚人妻h视频| 污污小视频91在线观看| 国产精品欧美日韩区二区| 亚洲蜜臀av一区二区三区九色| 亚洲欧美自拍另类图片| 91超碰青青中文字幕| 中文字幕第三十八页久久| av中文字幕在线观看第三页| 亚洲av无码成人精品区辽| 欧美亚洲自偷自拍 在线| 国产麻豆剧传媒精品国产av蜜桃| 91久久综合男人天堂| 91成人精品亚洲国产| 精品亚洲国产中文自在线| 老司机免费福利视频网| 亚洲国产精品久久久久蜜桃| 色婷婷精品大在线观看| 天天干天天搞天天摸| 中文字幕高清在线免费播放| 久久久久五月天丁香社区| 99热久久极品热亚洲| 国产又粗又硬又猛的毛片视频| 麻豆精品成人免费视频| 青娱乐极品视频青青草| 蜜臀成人av在线播放| 亚洲熟女久久久36d| 亚洲图片偷拍自拍区| 中文字幕视频一区二区在线观看| 日本后入视频在线观看| 人人妻人人爽人人添夜| 亚洲国产成人在线一区| 青青青爽视频在线播放| 午夜场射精嗯嗯啊啊视频| 黑人大几巴狂插日本少妇| 日韩欧美中文国产在线| 欧美精品国产综合久久| 久久精品亚洲成在人线a| 日本午夜福利免费视频| 欧美美女人体视频一区| 又粗又硬又猛又爽又黄的| 人妻丝袜av在线播放网址| 成人24小时免费视频| 人妻激情图片视频小说| 在线不卡成人黄色精品| 在线视频精品你懂的| 亚洲一级美女啪啪啪| 欧美日韩中文字幕欧美| 在线免费观看亚洲精品电影| 中文字幕AV在线免费看 | 青青草人人妻人人妻| 97超碰国语国产97超碰| 国产内射中出在线观看| 被大鸡吧操的好舒服视频免费| 动色av一区二区三区| 欧美精品伦理三区四区| 国产成人无码精品久久久电影| 人妻熟女中文字幕aⅴ在线| 偷偷玩弄新婚人妻h视频| 这里只有精品双飞在线播放| 91麻豆精品91久久久久同性| 97少妇精品在线观看| 天天日天天干天天舔天天射| 国际av大片在线免费观看| 国产性色生活片毛片春晓精品 | 天天射夜夜操综合网| 91中文字幕免费在线观看| 小泽玛利亚视频在线观看| 黑人3p华裔熟女普通话| 男人的天堂在线黄色| 亚洲护士一区二区三区| 欧美性受xx黑人性猛交| 亚洲一区二区三区av网站| 人妻凌辱欧美丰满熟妇| 国产伊人免费在线播放| 97精品成人一区二区三区| 日本后入视频在线观看| 最新国产亚洲精品中文在线| 亚洲熟女女同志女同| 国产精品一区二区av国| av天堂中文字幕最新| 日本熟妇一区二区x x| 国产一级麻豆精品免费| 中文字幕第一页国产在线| 色伦色伦777国产精品| 亚洲一级av无码一级久久精品| 美洲精品一二三产区区别| 香港三日本三韩国三欧美三级| 色伦色伦777国产精品| av在线观看网址av| 97年大学生大白天操逼| 日本www中文字幕| 婷婷色中文亚洲网68| 日韩av免费观看一区| 青青青视频自偷自拍38碰| 亚洲一区二区人妻av| 成人24小时免费视频| 天天操天天爽天天干| 最新欧美一二三视频| 热99re69精品8在线播放| 91麻豆精品久久久久| 欧美在线一二三视频| 99久久久无码国产精品性出奶水| 丰满少妇翘臀后进式| 国产日韩欧美美利坚蜜臀懂色| 天天操天天爽天天干| 久久精品亚洲国产av香蕉| 欧美男同性恋69视频| 日韩一区二区电国产精品| 丝袜亚洲另类欧美变态| 日本福利午夜电影在线观看| 97国产福利小视频合集| 色爱av一区二区三区| 日本阿v视频在线免费观看| 果冻传媒av一区二区三区 | 淫秽激情视频免费观看| 国产精品sm调教视频| 欧美精品黑人性xxxx| 一个人免费在线观看ww视频| 老司机免费视频网站在线看| 国产成人午夜精品福利| 北条麻妃高跟丝袜啪啪| 91社福利《在线观看| 亚洲国产精品久久久久蜜桃| 人妻少妇av在线观看| 亚洲精品成人网久久久久久小说| 亚洲欧美自拍另类图片| 午夜精品福利一区二区三区p| 亚洲午夜电影在线观看| 精品91高清在线观看 | 国产精品自拍视频大全| 99精品国产免费久久| 女人精品内射国产99| 青青草人人妻人人妻| 91国内视频在线观看| 无码中文字幕波多野不卡| 天天摸天天干天天操科普| 9久在线视频只有精品| 又大又湿又爽又紧A视频| 精品视频一区二区三区四区五区| 中文字幕在线视频一区二区三区| 97超碰人人搞人人| 亚洲高清国产拍青青草原| 午夜在线一区二区免费| 国产精品久久久久久久久福交| 亚洲1卡2卡三卡4卡在线观看| 一本久久精品一区二区| 日韩欧美中文国产在线| 国产女人被做到高潮免费视频| 91福利视频免费在线观看| 亚洲精品成人网久久久久久小说| 亚洲视频在线观看高清| 五十路息与子猛烈交尾视频| 99国内小视频在现欢看| 亚洲熟女综合色一区二区三区四区| 日韩欧美在线观看不卡一区二区| 日日夜夜大香蕉伊人| 在线国产日韩欧美视频| 99的爱精品免费视频| 五十路熟女人妻一区二区9933| 绯色av蜜臀vs少妇| 熟女人妻在线观看视频| 高清成人av一区三区| 被大鸡吧操的好舒服视频免费| caoporn蜜桃视频| 欧美精品一区二区三区xxxx| 任你操任你干精品在线视频| 国产一区av澳门在线观看| 超级福利视频在线观看| 亚洲人妻视频在线网| 欧美一区二区中文字幕电影 | xxx日本hd高清| 自拍偷拍vs一区二区三区| 中国黄色av一级片| 女生自摸在线观看一区二区三区| 青青草在观免费国产精品| 99精品国自产在线人| 天堂va蜜桃一区入口| 好吊视频—区二区三区| 精品国产亚洲av一淫| 亚洲成人熟妇一区二区三区 | 激情图片日韩欧美人妻| 成熟丰满熟妇高潮xx×xx | 视频久久久久久久人妻| 亚洲国产成人最新资源| 欧美成人一二三在线网| 国产精品sm调教视频| 国产日韩精品电影7777| 亚洲最大黄了色网站| 国产卡一卡二卡三乱码手机| 亚洲精品国产综合久久久久久久久| 亚洲欧美激情中文字幕| 青青青爽视频在线播放| 成人av久久精品一区二区| 亚洲天堂av最新网址| 天天干天天操天天扣| 婷婷色中文亚洲网68| av天堂加勒比在线| 国产成人精品午夜福利训2021| 不卡精品视频在线观看| 天天色天天舔天天射天天爽| av中文字幕电影在线看| 中文字母永久播放1区2区3区| 国产视频网站一区二区三区 | h国产小视频福利在线观看| 亚洲日本一区二区久久久精品| 中文 成人 在线 视频| 午夜精品在线视频一区| 夏目彩春在线中文字幕| 免费岛国喷水视频在线观看| 亚国产成人精品久久久| 五十路熟女人妻一区二| 精品一区二区三区午夜| 人妻久久久精品69系列| 欧美一区二区三区啪啪同性| 亚洲中文字幕国产日韩| 精品国产乱码一区二区三区乱| 新97超碰在线观看| 婷婷综合亚洲爱久久| 青青青青爽手机在线| 精品人妻一二三区久久| 91精品综合久久久久3d动漫 | 岛国青草视频在线观看| 狠狠躁夜夜躁人人爽天天久天啪| 天天日天天干天天爱| 97人妻总资源视频| 78色精品一区二区三区| 精品一区二区三区在线观看| 日本免费一级黄色录像| 国产使劲操在线播放| 天天操天天干天天日狠狠插 | 天天想要天天操天天干| 久草视频 久草视频2| 一区二区三区欧美日韩高清播放| 欧洲精品第一页欧洲精品亚洲| 亚洲成人熟妇一区二区三区 | 国产麻豆精品人妻av| 欧美国品一二三产区区别| 亚洲欧美激情国产综合久久久| 欧美aa一级一区三区四区| 国产一级精品综合av| 天美传媒mv视频在线观看| 97国产在线av精品| 国产一区二区三免费视频| 婷婷激情四射在线观看视频| 91国语爽死我了不卡| 久久久久久久一区二区三| 欧美日本aⅴ免费视频| 黑人巨大精品欧美视频| 超碰公开大香蕉97| 国产精彩对白一区二区三区| 喷水视频在线观看这里只有精品| 色吉吉影音天天干天天操 | 国产真实乱子伦a视频| 在线不卡日韩视频播放| 最新的中文字幕 亚洲| 久久艹在线观看视频| 国产成人无码精品久久久电影 | 最新中文字幕乱码在线| 日本熟妇丰满厨房55| 高清成人av一区三区| 亚洲伊人色一综合网| 天天日夜夜操天天摸| 九色视频在线观看免费| japanese日本熟妇另类| 熟女人妻在线观看视频| 精品亚洲中文字幕av| 日韩人妻xxxxx| 丰满的继坶3中文在线观看| 97色视频在线观看| 3337p日本欧洲大胆色噜噜| 黄片大全在线观看观看| 亚洲护士一区二区三区| 福利视频网久久91| 国产97在线视频观看| 亚洲码av无色中文| mm131美女午夜爽爽爽| 女同性ⅹxx女同hd| 传媒在线播放国产精品一区| 91av中文视频在线| 在线观看国产免费麻豆| 日韩黄色片在线观看网站| 日曰摸日日碰夜夜爽歪歪| 亚洲激情偷拍一区二区| 伊人成人综合开心网| 女警官打开双腿沦为性奴| 亚洲精品在线资源站| 超碰97人人做人人爱| 日本特级片中文字幕| 欧美在线偷拍视频免费看| 欧美综合婷婷欧美综合| 亚洲欧美另类手机在线| 国产亚洲国产av网站在线| 91香蕉成人app下载| 日韩中文字幕在线播放第二页| 91国产在线视频免费观看| av森泽佳奈在线观看| 久草视频在线免播放| 日韩精品中文字幕福利| 中文字幕视频一区二区在线观看| 大陆胖女人与丈夫操b国语高清| 国产精品视频欧美一区二区| 老司机欧美视频在线看| 大陆胖女人与丈夫操b国语高清| 91国语爽死我了不卡| 欧美viboss性丰满| 五十路熟女av天堂| 亚洲男人在线天堂网| 3337p日本欧洲大胆色噜噜| 自拍偷拍亚洲另类色图| 六月婷婷激情一区二区三区| 亚洲va国产va欧美va在线| 亚洲国产第一页在线观看| 青青草视频手机免费在线观看| 最新国产精品网址在线观看| 久久精品久久精品亚洲人| 亚洲国产欧美国产综合在线| 亚洲欧美色一区二区| 99国产精品窥熟女精品| 日本一二三区不卡无| 国产97视频在线精品| aⅴ精产国品一二三产品| 欧美亚洲免费视频观看| 国产精品成人xxxx| 欧美日韩国产一区二区三区三州 | 视频在线免费观看你懂得| 欧美视频综合第一页| 国产1区,2区,3区| 动漫av网站18禁| 成人性黑人一级av| 亚洲欧美综合另类13p| 亚洲欧美自拍另类图片| 天天想要天天操天天干| 成人蜜臀午夜久久一区| 精品一区二区三区在线观看| 久碰精品少妇中文字幕av| 国产一区二区欧美三区| 亚洲高清自偷揄拍自拍| 亚洲第一伊人天堂网| 巨乳人妻日下部加奈被邻居中出| 999久久久久999| 99的爱精品免费视频| yellow在线播放av啊啊啊| 少妇高潮一区二区三区| 91av中文视频在线| 中文字幕无码一区二区免费| 亚洲视频在线视频看视频在线| 888欧美视频在线| 精品黑人巨大在线一区| 成人资源在线观看免费官网| 这里只有精品双飞在线播放| 国产av一区2区3区| 日本av熟女在线视频| 亚洲超碰97人人做人人爱| 中文字母永久播放1区2区3区| 国产精品视频欧美一区二区 | 少妇与子乱在线观看| 无忧传媒在线观看视频| 亚洲av无乱一区二区三区性色| 1000部国产精品成人观看视频 | 中文字幕在线乱码一区二区 | 乱亲女秽乱长久久久| 一本久久精品一区二区| 少妇深喉口爆吞精韩国| 国产一区二区在线欧美| 成人蜜臀午夜久久一区| av天堂资源最新版在线看| 99re6热在线精品| 少妇露脸深喉口爆吞精| 亚洲欧美久久久久久久久| 中国黄色av一级片| 2022中文字幕在线| 日本三极片视频网站观看| 狠狠的往里顶撞h百合| 精品视频一区二区三区四区五区| 香港一级特黄大片在线播放| 早川濑里奈av黑人番号| 亚洲中文字幕乱码区| 2017亚洲男人天堂| 18禁美女无遮挡免费| 成年人免费看在线视频| 国产精品国产三级国产午| 天天射夜夜操综合网| 亚洲成人激情av在线| 国产精品人久久久久久| 欧美性感尤物人妻在线免费看| 久久久久久九九99精品| 天天日天天舔天天射进去| 五月天久久激情视频| 抽查舔水白紧大视频| 一区二区三区欧美日韩高清播放| 亚洲天堂精品久久久| 中文 成人 在线 视频| 大胆亚洲av日韩av| 午夜大尺度无码福利视频| 在线观看视频 你懂的| 51精品视频免费在线观看| 动漫av网站18禁| 亚洲一级 片内射视正片| 成熟丰满熟妇高潮xx×xx | 欧美日韩v中文在线| 国产精品欧美日韩区二区| 东京热男人的av天堂| 国产白嫩美女一区二区| 内射久久久久综合网| 成人综合亚洲欧美一区| 欧美少妇性一区二区三区| 亚洲欧美自拍另类图片| 国产夫妻视频在线观看免费| 亚洲欧美精品综合图片小说| 日本人妻少妇18—xx| 中文字幕第1页av一天堂网| 真实国模和老外性视频| 国产亚洲成人免费在线观看| 1000小视频在线| 换爱交换乱高清大片| 欧美日韩一级黄片免费观看| 午夜久久久久久久精品熟女| 日本在线一区二区不卡视频| 又粗又长 明星操逼小视频| 丰满少妇人妻xxxxx| 亚洲精品av在线观看| 日韩人妻丝袜中文字幕| 在线视频精品你懂的| 做爰视频毛片下载蜜桃视频1| 亚洲午夜高清在线观看| 日本人妻少妇18—xx| 丝袜肉丝一区二区三区四区在线| 亚洲av男人的天堂你懂的| 亚洲在线观看中文字幕av| 国产伊人免费在线播放| 亚洲一区自拍高清免费视频| 91 亚洲视频在线观看| 色婷婷久久久久swag精品| 最新黄色av网站在线观看| 青青青视频手机在线观看| 十八禁在线观看地址免费| 久青青草视频手机在线免费观看| 青青草视频手机免费在线观看| 久久www免费人成一看片| 欧美精品黑人性xxxx| 狠狠地躁夜夜躁日日躁| 熟女人妻在线中出观看完整版| 天码人妻一区二区三区在线看| 偷拍美女一区二区三区| 国产精品系列在线观看一区二区| 欧美黑人巨大性xxxxx猛交| 欧美日韩人妻久久精品高清国产| 久久人人做人人妻人人玩精品vr | 国产一区二区火爆视频 | 蜜臀av久久久久久久| 在线视频这里只有精品自拍| 国产白嫩美女一区二区| 日本免费午夜视频网站| 在线免费观看日本伦理| 极品性荡少妇一区二区色欲| 精品一区二区三四区| 久久久极品久久蜜桃| 三级av中文字幕在线观看| 毛茸茸的大外阴中国视频| 亚洲精品麻豆免费在线观看 | 久久久久久久久久久免费女人| 粉嫩小穴流水视频在线观看| 日本乱人一区二区三区| av在线免费中文字幕| free性日本少妇| 日韩在线视频观看有码在线| 美日韩在线视频免费看| 精品国产高潮中文字幕| 国产福利小视频二区| 亚国产成人精品久久久| 亚洲蜜臀av一区二区三区九色| av无限看熟女人妻另类av| 伊人情人综合成人久久网小说| 天天色天天舔天天射天天爽| 国产成人精品av网站| 久久久91蜜桃精品ad| 人妻无码色噜噜狠狠狠狠色| 噜噜色噜噜噜久色超碰| 国产综合高清在线观看| 日本少妇的秘密免费视频| www日韩a级s片av| 黄色无码鸡吧操逼视频| 亚洲福利精品福利精品福利| 亚洲成av人无码不卡影片一| 日本丰满熟妇BBXBBXHD| 三级av中文字幕在线观看| 日本乱人一区二区三区| 欧美另类重口味极品在线观看| av网站色偷偷婷婷网男人的天堂| 又色又爽又黄的美女裸体| 亚洲av一妻不如妾| 麻豆性色视频在线观看| 最新国产精品网址在线观看| 18禁免费av网站| 51国产偷自视频在线播放| 一二三区在线观看视频| 亚洲欧美自拍另类图片| 成人av久久精品一区二区| 精品国产亚洲av一淫| 日韩欧美在线观看不卡一区二区 | 亚洲免费成人a v| av久久精品北条麻妃av观看| 福利午夜视频在线合集| 日本韩国在线观看一区二区| 动漫精品视频在线观看| 精品人妻每日一部精品| 大香蕉伊人国产在线| 55夜色66夜色国产精品站| 大香蕉大香蕉在线看| 瑟瑟视频在线观看免费视频| 涩爱综合久久五月蜜臀| 91极品大一女神正在播放 | 97人妻夜夜爽二区欧美极品| 日比视频老公慢点好舒服啊| 91久久人澡人人添人人爽乱| 一个人免费在线观看ww视频| 国产综合视频在线看片| 亚洲综合乱码一区二区| 日韩美女搞黄视频免费| 日本精品视频不卡一二三| av资源中文字幕在线观看| 成人H精品动漫在线无码播放| 一区二区久久成人网| 日韩激情文学在线视频 | 青青在线视频性感少妇和隔壁黑丝| 初美沙希中文字幕在线| 搞黄色在线免费观看| 国产 在线 免费 精品| 国产av福利网址大全| 在线观看免费视频色97| 成熟丰满熟妇高潮xx×xx| 一区二区三区四区中文| 一区二区三区毛片国产一区| av天堂资源最新版在线看| 女同久久精品秋霞网| 人人妻人人爱人人草| 国产av一区2区3区| 亚洲国产免费av一区二区三区| 欧美精品国产综合久久| 欧美黄色录像免费看的| 青青伊人一精品视频| 超级福利视频在线观看| 国产视频在线视频播放| 国产卡一卡二卡三乱码手机| sw137 中文字幕 在线| 天天日天天操天天摸天天舔| 91‖亚洲‖国产熟女| 韩国一级特黄大片做受| 第一福利视频在线观看| 欧美成人一二三在线网| 亚洲激情唯美亚洲激情图片| 国产成人精品av网站| 91片黄在线观看喷潮| 人人妻人人爽人人添夜| 精品av国产一区二区三区四区| 亚洲福利午夜久久久精品电影网 | 国产视频网站一区二区三区| 啪啪啪啪啪啪啪啪av| 91精品国产91青青碰| 午夜精品久久久久久99热| av中文字幕网址在线| 亚洲中文字幕人妻一区| 亚洲av无硬久久精品蜜桃| 中文字幕午夜免费福利视频| 最近中文2019年在线看| 亚洲高清国产一区二区三区| 唐人色亚洲av嫩草| 3344免费偷拍视频| av中文字幕福利网| 国产精品人久久久久久| 国产亚洲欧美另类在线观看| 日韩激情文学在线视频 | 美女少妇亚洲精选av| 哥哥姐姐综合激情小说| 久精品人妻一区二区三区| 久久久久久久精品成人热| 天天操天天弄天天射| 亚洲一级美女啪啪啪| 国产在线自在拍91国语自产精品| 天天插天天色天天日| 97青青青手机在线视频| 后入美女人妻高清在线| AV天堂一区二区免费试看| 人妻少妇性色欲欧美日韩| 伊人开心婷婷国产av| 姐姐的朋友2在线观看中文字幕 | 天堂av在线官网中文| 深田咏美亚洲一区二区| 黄色大片免费观看网站| 欧洲黄页网免费观看| 亚洲 清纯 国产com| 日韩欧美国产精品91| 日美女屁股黄邑视频| 天天夜天天日天天日| 亚洲福利天堂久久久久久| 国产在线观看黄色视频| 啪啪啪啪啪啪啪啪av| 婷婷六月天中文字幕| 日本熟妇一区二区x x| 亚洲国产最大av综合| 丝袜长腿第一页在线| 日本丰满熟妇BBXBBXHD| 在线观看操大逼视频| 视频啪啪啪免费观看| 黄色成年网站午夜在线观看| jiuse91九色视频| 摧残蹂躏av一二三区| 中文字幕高清在线免费播放| 国产精品国产三级麻豆| 美女福利视频网址导航| 99久久超碰人妻国产| 亚洲在线一区二区欧美| 日本五十路熟新垣里子| 精品国产污污免费网站入口自 | 91九色porny国产蝌蚪视频| 女人精品内射国产99| 亚洲一区av中文字幕在线观看| 日本真人性生活视频免费看| 欧美日韩中文字幕欧美| 亚洲激情偷拍一区二区| 日本人妻欲求不满中文字幕| 97精品人妻一区二区三区精品| 日本精品美女在线观看| 亚洲精品久久综合久| 在线免费91激情四射| 51精品视频免费在线观看| 91亚洲精品干熟女蜜桃频道| 黑人变态深video特大巨大| 亚洲图库另类图片区| 亚洲精品乱码久久久本| rct470中文字幕在线| 天天通天天透天天插| 国产亚洲视频在线二区| 亚洲精品国产在线电影| 午夜精品九一唐人麻豆嫩草成人| 成人免费毛片aaaa| 亚洲av无女神免非久久| 端庄人妻堕落挣扎沉沦| 黄网十四区丁香社区激情五月天| 日韩av大胆在线观看| 人妻少妇一区二区三区蜜桃| 人妻少妇亚洲一区二区| 亚洲在线一区二区欧美| 熟女妇女老妇一二三区| 国产精品熟女久久久久浪潮| 夫妻在线观看视频91| 日韩精品激情在线观看| av中文字幕在线观看第三页| 亚洲国产在人线放午夜| 黑人进入丰满少妇视频| 最新91九色国产在线观看| 亚洲国产成人无码麻豆艾秋| 黑人巨大精品欧美视频| www天堂在线久久| 动漫精品视频在线观看| 国产精品久久久久久美女校花| 亚洲精品欧美日韩在线播放| 亚洲国产欧美国产综合在线| av久久精品北条麻妃av观看| 91大屁股国产一区二区| 性欧美激情久久久久久久| 4个黑人操素人视频网站精品91| 成年人的在线免费视频| 早川濑里奈av黑人番号| 中国视频一区二区三区| 欧美亚洲偷拍自拍色图| 国产女人叫床高潮大片视频| 97人人妻人人澡人人爽人人精品| 日本精品美女在线观看| 青青青国产片免费观看视频| 亚洲 人妻 激情 中文| 青青青激情在线观看视频| 欧美一级视频一区二区| 9国产精品久久久久老师| 99久久99一区二区三区| 老司机99精品视频在线观看| 99热久久极品热亚洲| 欧美日韩亚洲国产无线码| 亚洲蜜臀av一区二区三区九色 | 天天干天天日天天谢综合156| 三级av中文字幕在线观看| 国产精彩福利精品视频| 成年人中文字幕在线观看| 天天日天天透天天操| 1024久久国产精品| 国产午夜亚洲精品不卡在线观看 | 亚洲精品乱码久久久本| gay gay男男瑟瑟在线网站| 视频一区二区在线免费播放| 任我爽精品视频在线播放| 男女啪啪视频免费在线观看| 欧美精品久久久久久影院| 欧美一区二区三区激情啪啪啪| 2o22av在线视频| 国产成人午夜精品福利| 一区二区视频在线观看视频在线| 91人妻精品一区二区在线看| 成熟熟女国产精品一区| 免费一级黄色av网站| 在线观看av亚洲情色| 欧洲精品第一页欧洲精品亚洲| 日韩美女综合中文字幕pp| 人妻激情图片视频小说| 91免费观看在线网站| 伊人网中文字幕在线视频| 欧美成人综合视频一区二区| 亚洲伊人av天堂有码在线| 精品国产午夜视频一区二区| 色婷婷综合激情五月免费观看 | 人妻凌辱欧美丰满熟妇| 亚洲欧美久久久久久久久| 午夜久久久久久久99| 日韩成人性色生活片| 38av一区二区三区| 成年人黄色片免费网站| 亚洲高清免费在线观看视频| 最近中文字幕国产在线| 人妻少妇亚洲精品中文字幕| 19一区二区三区在线播放| 亚洲 图片 欧美 图片| 亚洲国产最大av综合| 91国内精品自线在拍白富美| 1区2区3区不卡视频| 国产午夜亚洲精品麻豆| 国产chinesehd精品麻豆| 少妇人妻100系列| www日韩毛片av| 综合精品久久久久97| caoporn蜜桃视频| 熟女在线视频一区二区三区| 欧美日韩熟女一区二区三区| 中文字幕第一页国产在线| 中文字幕日韩91人妻在线| 久久精品国产亚洲精品166m| 经典国语激情内射视频| av完全免费在线观看av| 98视频精品在线观看| 天天日天天天天天天天天天天| 欧美精产国品一二三区| 久久久久久久久久久久久97| 521精品视频在线观看| 偷拍自拍亚洲美腿丝袜| 欧美80老妇人性视频| 欧美成人一二三在线网| 人妻久久久精品69系列| 天堂v男人视频在线观看| 亚洲午夜精品小视频| 大学生A级毛片免费视频| 亚洲一区二区三区偷拍女厕91| 激情国产小视频在线| 少妇人妻真实精品视频| 男女第一次视频在线观看| 亚洲欧美福利在线观看| 亚洲偷自拍高清视频| 日韩欧美国产精品91| 成熟丰满熟妇高潮xx×xx| 中文字幕—97超碰网| 狠狠躁夜夜躁人人爽天天天天97| 国产精品国产三级国产午| 熟女人妻三十路四十路人妻斩| 青青伊人一精品视频| 国产chinesehd精品麻豆| 国产熟妇一区二区三区av| 伊人成人综合开心网| 天天色天天操天天透| 青青伊人一精品视频| 一区二区三区美女毛片| 国产精品成人xxxx| 99一区二区在线观看| 午夜成午夜成年片在线观看| 97香蕉碰碰人妻国产樱花| 欧美激情电影免费在线| 久草福利电影在线观看| 亚洲中文字幕综合小综合| 青青社区2国产视频| 偷拍自拍 中文字幕| 亚洲最大免费在线观看| 国产日韩av一区二区在线| 日韩美女福利视频网| 日韩少妇人妻精品无码专区| 在线免费观看日本伦理| 日韩亚洲高清在线观看| 伊人精品福利综合导航| 天堂av在线播放免费| 久久久久久久久久久免费女人| 亚洲另类综合一区小说| 传媒在线播放国产精品一区| 亚洲青青操骚货在线视频| 91精品国产黑色丝袜| 蜜桃视频在线欧美一区| 啊啊好大好爽啊啊操我啊啊视频| 一二三区在线观看视频| av中文字幕网址在线| 在线视频精品你懂的| 快点插进来操我逼啊视频| 精品av国产一区二区三区四区| 亚洲人一区二区中文字幕| 一色桃子久久精品亚洲| 中文字幕无码日韩专区免费| 亚洲午夜福利中文乱码字幕| 久久久久久九九99精品| 午夜精品久久久久久99热| 亚洲区欧美区另类最新章节| 91福利视频免费在线观看| 成人av天堂丝袜在线观看 | 日本三极片视频网站观看| 在线观看国产免费麻豆| 久久久精品999精品日本| 亚洲成av人无码不卡影片一| 午夜青青草原网在线观看| 新婚人妻聚会被中出| 国产日本欧美亚洲精品视| 天天日天天干天天爱| 欧美成人精品欧美一级黄色| 热99re69精品8在线播放| 大黑人性xxxxbbbb| 红杏久久av人妻一区| 亚洲欧美一区二区三区爱爱动图| 久久香蕉国产免费天天| 韩国一级特黄大片做受| 精品欧美一区二区vr在线观看| 日本韩国亚洲综合日韩欧美国产| 天天操天天干天天日狠狠插| 国产精品国色综合久久| 久久久久久久99精品| 91国产在线免费播放| 国产精品国产三级麻豆| 成人av免费不卡在线观看| 桃色视频在线观看一区二区| 天天综合天天综合天天网| 桃色视频在线观看一区二区| 国产精品成人xxxx| 免费成人av中文字幕| 青草久久视频在线观看| 成人免费毛片aaaa| 在线免费观看视频一二区| 男女啪啪视频免费在线观看| 香蕉91一区二区三区| 欧美日韩国产一区二区三区三州 | 日韩不卡中文在线视频网站| 偷拍自拍视频图片免费| 在线免费观看靠比视频的网站 | 偷拍自拍亚洲美腿丝袜| 中文字幕在线永久免费播放| 3D动漫精品啪啪一区二区下载| 久久精品在线观看一区二区| 日韩欧美亚洲熟女人妻| 777奇米久久精品一区| 青青伊人一精品视频| 国产精品人妻熟女毛片av久| yy96视频在线观看| av中文字幕国产在线观看| 天堂女人av一区二区| 馒头大胆亚洲一区二区| 国产在线拍揄自揄视频网站| 丰满的继坶3中文在线观看| 国产一线二线三线的区别在哪| 久草视频在线看免费| 人妻在线精品录音叫床| 在线观看操大逼视频| 亚洲高清免费在线观看视频| 91精品啪在线免费| 午夜91一区二区三区| 一区二区免费高清黄色视频| 亚洲综合自拍视频一区| 久久久噜噜噜久久熟女av| 一区二区三区另类在线 | brazzers欧熟精品系列| 91精品国产麻豆国产| 国产亚洲成人免费在线观看| 熟女人妻三十路四十路人妻斩| 91天堂天天日天天操| 一区二区三区 自拍偷拍| 日韩加勒比东京热二区| 欧美精品激情在线最新观看视频| 欧美精品一二三视频| 888亚洲欧美国产va在线播放| 色噜噜噜噜18禁止观看| 色哟哟国产精品入口| 国产精品探花熟女在线观看| 久久久精品国产亚洲AV一| 亚洲欧美激情国产综合久久久| 国语对白xxxx乱大交| 91chinese在线视频| 久久久久91精品推荐99| 久草视频在线看免费| 日韩一区二区电国产精品| 少妇一区二区三区久久久| 粉嫩小穴流水视频在线观看| 日本少妇人妻xxxxxhd| 99热国产精品666| 国产九色91在线视频| 午夜久久香蕉电影网| sejizz在线视频| 中文字幕亚洲久久久| av一区二区三区人妻| 欧美日本在线视频一区| 91社福利《在线观看| 国产一区二区火爆视频| 亚洲 色图 偷拍 欧美| 国产使劲操在线播放| 国产精品视频资源在线播放| 日韩熟女av天堂系列| 人妻在线精品录音叫床| 999久久久久999| 亚洲午夜伦理视频在线| 天堂av在线官网中文| 美日韩在线视频免费看| 噜噜色噜噜噜久色超碰| 大鸡八强奸视频在线观看| 97资源人妻免费在线视频| 亚洲专区激情在线观看视频| 免费无毒热热热热热热久| 国产又粗又黄又硬又爽| 人妻另类专区欧美制服| 国产三级片久久久久久久| 日本熟女50视频免费| 一区二区视频在线观看视频在线| 色哟哟国产精品入口| 韩国黄色一级二级三级| 日韩人妻xxxxx| 77久久久久国产精产品| 亚洲精品色在线观看视频| 亚洲一区av中文字幕在线观看| 人人妻人人爱人人草| 午夜精品福利91av| 免费在线观看污污视频网站| 桃色视频在线观看一区二区| 1000部国产精品成人观看视频 | 阴茎插到阴道里面的视频| 日本少妇人妻xxxxx18| 日韩精品一区二区三区在线播放| 懂色av蜜桃a v| 久久午夜夜伦痒痒想咳嗽P| 91 亚洲视频在线观看| 天堂资源网av中文字幕| 热99re69精品8在线播放| 日本美女成人在线视频| 丰满的子国产在线观看| 红桃av成人在线观看| 动漫精品视频在线观看| 乱亲女秽乱长久久久| 精品久久久久久久久久久a√国产| 青娱乐蜜桃臀av色| 国产性色生活片毛片春晓精品| 欧美一区二区三区乱码在线播放 | 99热这里只有精品中文| 亚洲精品ww久久久久久| 色在线观看视频免费的| 2020久久躁狠狠躁夜夜躁| 天天操,天天干,天天射| 国产成人精品一区在线观看| 2020久久躁狠狠躁夜夜躁| 国产乱子伦精品视频潮优女| 不卡日韩av在线观看| 伊人网中文字幕在线视频| 国产精品久久久久久美女校花| 天天插天天狠天天操| 人人妻人人爱人人草| 青青青青操在线观看免费| 天天艹天天干天天操| 欧美专区第八页一区在线播放| 亚洲欧美清纯唯美另类| 久草极品美女视频在线观看| 中文字幕人妻熟女在线电影| 少妇人妻100系列| 国产一区二区久久久裸臀| 中文字幕第1页av一天堂网| 狠狠躁夜夜躁人人爽天天久天啪| 中文字幕乱码av资源| 日韩欧美一级黄片亚洲| jiujiure精品视频在线| 久久美欧人妻少妇一区二区三区| 欧美日韩v中文在线| 日韩人妻丝袜中文字幕| 九色精品视频在线播放| 美女福利写真在线观看视频| 亚洲天堂成人在线观看视频网站| 丝袜美腿欧美另类 中文字幕| 亚洲2021av天堂| 国产乱子伦一二三区| 成人免费毛片aaaa| 沙月文乃人妻侵犯中文字幕在线| 亚洲一级特黄特黄黄色录像片| 国产又色又刺激在线视频| 丰满的继坶3中文在线观看| AV天堂一区二区免费试看| 三级等保密码要求条款| 91福利在线视频免费观看| 成人24小时免费视频| 国产午夜激情福利小视频在线| 操人妻嗷嗷叫视频一区二区| 大鸡巴后入爆操大屁股美女| 国产视频一区在线观看| 日本丰满熟妇BBXBBXHD| 欧美男同性恋69视频| 91精品国产高清自在线看香蕉网 | 国产精品大陆在线2019不卡| 久草视频福利在线首页| 东游记中文字幕版哪里可以看到| 天天射,天天操,天天说| 夜夜骑夜夜操夜夜奸| 亚洲少妇高潮免费观看| 精品美女在线观看视频在线观看 | 黑人借宿ntr人妻的沦陷2| 美味人妻2在线播放| 人妻无码色噜噜狠狠狠狠色| 日本女人一级免费片| 久久www免费人成一看片| 日韩熟女系列一区二区三区| 性欧美日本大妈母与子| 成年人啪啪视频在线观看| yy6080国产在线视频| 国产福利小视频免费观看| 99热这里只有精品中文| 一本久久精品一区二区| 国产白袜脚足J棉袜在线观看| 亚洲欧美激情中文字幕| 瑟瑟视频在线观看免费视频| 美女骚逼日出水来了| 精品av国产一区二区三区四区 | 国产性色生活片毛片春晓精品 | 国产亚洲视频在线二区| 夜夜骑夜夜操夜夜奸| 蜜桃精品久久久一区二区| 中国黄片视频一区91| 亚洲高清国产拍青青草原| 日曰摸日日碰夜夜爽歪歪| 国产精品视频欧美一区二区| 中国熟女一区二区性xx| 97精品综合久久在线| 人妻丝袜诱惑我操她视频| 国产高清在线在线视频| 任你操视频免费在线观看| 特大黑人巨大xxxx| 插小穴高清无码中文字幕| 99久久超碰人妻国产| 2o22av在线视频| 亚洲天天干 夜夜操| 亚洲Av无码国产综合色区| 啊啊好慢点插舔我逼啊啊啊视频 | 国产高清精品一区二区三区| 黄片大全在线观看观看| 日本黄色特一级视频| 插逼视频双插洞国产操逼插洞| 在线国产精品一区二区三区| 干逼又爽又黄又免费的视频| 国产视频一区二区午夜| 最新激情中文字幕视频| 9久在线视频只有精品| sspd152中文字幕在线| 2018在线福利视频| 97超碰国语国产97超碰| 99久久超碰人妻国产| 欧美日韩熟女一区二区三区| 18禁精品网站久久| 精品一区二区亚洲欧美| weyvv5国产成人精品的视频| 黄色片一级美女黄色片| 久久久久久cao我的性感人妻| jiujiure精品视频在线| 成年人啪啪视频在线观看| 精品久久久久久久久久中文蒉| 日韩国产乱码中文字幕| 欧美视频综合第一页| 51国产成人精品视频| 国产极品精品免费视频| 韩国爱爱视频中文字幕| 亚洲图片偷拍自拍区| 成人国产影院在线观看| 啊啊啊想要被插进去视频| 中文字幕无码日韩专区免费| 99久久成人日韩欧美精品| 不卡日韩av在线观看| 亚洲一区二区三区偷拍女厕91| 硬鸡巴动态操女人逼视频| 亚欧在线视频你懂的| 2020av天堂网在线观看| 含骚鸡巴玩逼逼视频| 国产97视频在线精品| 亚洲精品 日韩电影| 欧美视频综合第一页| 国产黄色片蝌蚪九色91| 亚洲成人av在线一区二区| 国产实拍勾搭女技师av在线| 动漫av网站18禁| 影音先锋女人av噜噜色| 91精品综合久久久久3d动漫| 偷拍自拍福利视频在线观看| av天堂加勒比在线| 和邻居少妇愉情中文字幕| 中文字幕欧美日韩射射一| 久久久久久9999久久久久| 激情色图一区二区三区| av日韩在线免费播放| 国产亚洲四十路五十路| 97精品成人一区二区三区| 日韩精品二区一区久久| 亚洲成人黄色一区二区三区| 欧美特色aaa大片| 亚洲国产免费av一区二区三区 | 精品区一区二区三区四区人妻 | 国产伊人免费在线播放| 999九九久久久精品| 超pen在线观看视频公开97| 成熟熟女国产精品一区| 欧美日韩精品永久免费网址| 国产在线免费观看成人| 最新激情中文字幕视频| 岳太深了紧紧的中文字幕| 亚洲高清国产一区二区三区| 97精品综合久久在线| nagger可以指黑人吗| 人人妻人人爽人人澡人人精品| 97色视频在线观看| 黄色片黄色片wyaa| 亚洲中文字幕校园春色| 无码精品一区二区三区人| 天天干狠狠干天天操| 2020韩国午夜女主播在线| 国语对白xxxx乱大交| 2022国产精品视频| 久久精品国产23696| 免费一级黄色av网站| 91免费黄片可看视频| 999久久久久999| 亚洲一区二区三区精品视频在线| 成年人黄视频在线观看| 亚国产成人精品久久久| 亚洲精品国产久久久久久| 免费观看成年人视频在线观看| 沙月文乃人妻侵犯中文字幕在线 | 日韩美女精品视频在线观看网站| 88成人免费av网站| 美女吃鸡巴操逼高潮视频| 91传媒一区二区三区| 亚洲另类伦春色综合小| 美女福利写真在线观看视频| 国产一区成人在线观看视频| 91九色国产熟女一区二区| 亚洲乱码中文字幕在线| 亚洲高清国产拍青青草原| a v欧美一区=区三区| 喷水视频在线观看这里只有精品| 3344免费偷拍视频| 午夜频道成人在线91| 亚洲人妻视频在线网| 美女福利视频导航网站| 午夜美女少妇福利视频| 日韩三级电影华丽的外出| 97超碰免费在线视频| 天天艹天天干天天操| 最新97国产在线视频| 国产成人自拍视频播放| 男女第一次视频在线观看| 999久久久久999| 日本美女性生活一级片| 日本xx片在线观看| 天堂v男人视频在线观看| 在线免费视频 自拍| av网站色偷偷婷婷网男人的天堂| 国产高清97在线观看视频| 亚洲国产免费av一区二区三区 | 91人妻精品一区二区久久| 一区二区三区另类在线 | 欧美亚洲一二三区蜜臀| 最新欧美一二三视频| 国产露脸对白在线观看| 初美沙希中文字幕在线| 亚洲黄色av网站免费播放| 亚洲精品午夜久久久久| 视频一区二区在线免费播放| 小穴多水久久精品免费看| 丝袜肉丝一区二区三区四区在线看| 日韩美女综合中文字幕pp| 大香蕉玖玖一区2区| 97人妻无码AV碰碰视频| 欧亚日韩一区二区三区观看视频| 777奇米久久精品一区| 天天操夜夜骑日日摸| gay gay男男瑟瑟在线网站| 亚洲女人的天堂av| 在线观看的a站 最新| 91中文字幕免费在线观看| 91九色国产porny蝌蚪| 精品美女在线观看视频在线观看| 日本真人性生活视频免费看| 在线成人日韩av电影| 免费大片在线观看视频网站| 性色av一区二区三区久久久| 国产精品三级三级三级| 久久久久久9999久久久久| 午夜国产福利在线观看| 免费av岛国天堂网站| 天天插天天狠天天操| 日日夜夜狠狠干视频| 亚洲激情偷拍一区二区| 97超碰最新免费在线观看| 99视频精品全部15| 91人妻精品久久久久久久网站 | 国产成人一区二区三区电影网站| 55夜色66夜色国产精品站| 日韩欧美国产精品91| 亚洲第一黄色在线观看| 超碰97人人澡人人| 亚洲欧美人精品高清| 久久这里只有精彩视频免费| 激情人妻校园春色亚洲欧美 | 75国产综合在线视频| 最新的中文字幕 亚洲| 成人福利视频免费在线| 色爱av一区二区三区| 91快播视频在线观看| 一区二区三区激情在线| xxx日本hd高清| 人妻在线精品录音叫床| 天天日天天爽天天爽| 99精品免费观看视频| 精品久久婷婷免费视频| 果冻传媒av一区二区三区| 国产精品一区二区av国| 视频在线免费观看你懂得| 亚洲精品乱码久久久本| 欧美香蕉人妻精品一区二区| 亚洲 中文 自拍 另类 欧美| 日韩人妻xxxxx| v888av在线观看视频| 伊拉克及约旦宣布关闭领空| 中文字幕在线欧美精品| 中文字幕av一区在线观看| 93精品视频在线观看| 瑟瑟视频在线观看免费视频| v888av在线观看视频| 9国产精品久久久久老师| 黑人解禁人妻叶爱071| 五十路熟女人妻一区二区9933| 日日夜夜精品一二三| 日韩一个色综合导航| 9国产精品久久久久老师| 成人sm视频在线观看| 熟女人妻在线观看视频| 狍和女人的王色毛片| 九一传媒制片厂视频在线免费观看| 日韩欧美一级精品在线观看| 亚洲中文字字幕乱码| 性欧美激情久久久久久久| 中文字幕av第1页中文字幕| 91福利视频免费在线观看| 国产av福利网址大全| 中文字幕免费在线免费| 国产精品手机在线看片| 欧美精品欧美极品欧美视频| 日本韩国在线观看一区二区| 国产精品久久久久久美女校花| 亚洲高清国产拍青青草原| 日本xx片在线观看| 亚洲熟妇x久久av久久| 成人性黑人一级av| 91快播视频在线观看| 岛国一区二区三区视频在线| 直接能看的国产av| 精品91自产拍在线观看一区| 午夜精品一区二区三区更新| 欧美天堂av无线av欧美| 在线免费观看视频一二区| 天天综合天天综合天天网| 99精品视频在线观看婷婷| 日韩熟女系列一区二区三区| 少妇与子乱在线观看| 免费一级黄色av网站| 天天日天天干天天干天天日| 欧美爆乳肉感大码在线观看| 日韩中文字幕精品淫| 午夜精品一区二区三区更新| 少妇与子乱在线观看| 精品一区二区三区午夜| 日韩av有码一区二区三区4| 最近的中文字幕在线mv视频| 国产97在线视频观看| 黑人解禁人妻叶爱071| av日韩在线观看大全| 日韩精品中文字幕播放| 中文字幕在线永久免费播放| 亚洲一区二区人妻av| 美女福利视频导航网站| 老司机在线精品福利视频| 亚洲 色图 偷拍 欧美| 91亚洲手机在线视频播放| 成人色综合中文字幕| 日本黄在免费看视频| 动漫av网站18禁| 被大鸡吧操的好舒服视频免费| 日韩欧美高清免费在线| 中文字幕一区二 区二三区四区| 青青在线视频性感少妇和隔壁黑丝| 天堂v男人视频在线观看| 亚洲熟色妇av日韩熟色妇在线 | 国产V亚洲V天堂无码欠欠| 国产一级麻豆精品免费| 国产成人午夜精品福利| 福利一二三在线视频观看| 人妻少妇中文有码精品| chinese国产盗摄一区二区 | 福利国产视频在线观看| 日韩av大胆在线观看| 中文字幕乱码人妻电影| 9色在线视频免费观看| 老司机深夜免费福利视频在线观看| 男生用鸡操女生视频动漫| 亚洲免费av在线视频| 男人的天堂在线黄色| 国产精品大陆在线2019不卡| 婷婷色中文亚洲网68| 99久久久无码国产精品性出奶水 | 五月精品丁香久久久久福利社| 人妻丰满熟妇综合网| 啊啊啊想要被插进去视频| 无套猛戳丰满少妇人妻| 久久国产精品精品美女| 99久久99久国产黄毛片| 色婷婷综合激情五月免费观看| 青青青青操在线观看免费| 欧美韩国日本国产亚洲| 视频一区 二区 三区 综合| 五色婷婷综合狠狠爱| 国产又色又刺激在线视频| 一级a看免费观看网站| 亚洲精品成人网久久久久久小说| 91啪国自产中文字幕在线| 性色av一区二区三区久久久| 综合国产成人在线观看| 白嫩白嫩美女极品国产在线观看| 国产在线拍揄自揄视频网站| 国产成人综合一区2区| 亚洲 欧美 自拍 偷拍 在线| 三上悠亚和黑人665番号| 久久久久久九九99精品| 日本精品一区二区三区在线视频。| 91福利视频免费在线观看| 青娱乐极品视频青青草| 日本脱亚入欧是指什么| 亚洲欧美激情人妻偷拍| 婷婷综合蜜桃av在线| 午夜dv内射一区区| 黄色片一级美女黄色片| 自拍偷拍亚洲欧美在线视频| 国产综合精品久久久久蜜臀| 天堂av在线最新版在线| 人妻少妇中文有码精品| 99re久久这里都是精品视频| 亚洲av无码成人精品区辽| 久久机热/这里只有| 欧美成人一二三在线网| 在线国产中文字幕视频| 日本午夜爽爽爽爽爽视频在线观看 | 在线观看911精品国产| 国内资源最丰富的网站| 青青草国内在线视频精选| 亚洲一区二区人妻av| 久久亚洲天堂中文对白| 蜜桃色婷婷久久久福利在线| 久久久精品欧洲亚洲av| 亚洲福利午夜久久久精品电影网| 在线视频国产欧美日韩| 夜夜嗨av一区二区三区中文字幕| 亚洲 中文 自拍 另类 欧美| 天天操天天操天天碰| 护士小嫩嫩又紧又爽20p| 日本黄色特一级视频| 丰满的子国产在线观看| 国产性色生活片毛片春晓精品| 成人激情文学网人妻| 日本熟女精品一区二区三区| 久久热这里这里只有精品| 欧洲国产成人精品91铁牛tv| 亚洲熟色妇av日韩熟色妇在线| 亚洲精品ww久久久久久| 久久久久久cao我的性感人妻| 亚洲精品 日韩电影| 不卡一区一区三区在线| 亚洲免费va在线播放| 黑人乱偷人妻中文字幕| 99久久99一区二区三区| 国内自拍第一页在线观看| 小穴多水久久精品免费看| 97少妇精品在线观看| 国产综合视频在线看片| 黑人巨大的吊bdsm| 精品久久久久久久久久中文蒉| 国产精品久久久久网| 熟妇一区二区三区高清版| 久草视频在线免播放| 91色老99久久九九爱精品| 久久热这里这里只有精品| 天天操天天射天天操天天天| 在线免费视频 自拍| 国产91久久精品一区二区字幕| 亚洲国产最大av综合| 亚洲欧美另类手机在线| 又粗又硬又猛又爽又黄的| 国产av一区2区3区| 爱有来生高清在线中文字幕| 国产日韩欧美视频在线导航| 一区二区三区精品日本| 亚洲av无硬久久精品蜜桃| 午夜免费体验区在线观看| 在线不卡日韩视频播放| 青青擦在线视频国产在线| www久久久久久久久久久| 黄色的网站在线免费看| 精品一区二区三区三区色爱| 最近中文2019年在线看| 天天插天天色天天日| 一区二区免费高清黄色视频| 视频在线亚洲一区二区| 性欧美日本大妈母与子| 91精品国产观看免费| 激情啪啪啪啪一区二区三区| 天天干天天爱天天色| 亚洲天堂精品久久久| 亚洲区美熟妇久久久久| 欧美韩国日本国产亚洲| 五月天久久激情视频| 99re6热在线精品| 91免费福利网91麻豆国产精品| 国内自拍第一页在线观看| 亚洲综合另类精品小说| 又粗又硬又猛又黄免费30| 欧美偷拍自拍色图片| 国产1区,2区,3区| 亚洲一级特黄特黄黄色录像片| 国产夫妻视频在线观看免费| 精品91自产拍在线观看一区| 中国视频一区二区三区| 老司机在线精品福利视频| 久久久久久97三级| 三级等保密码要求条款| 色哟哟在线网站入口| 亚洲av自拍偷拍综合| 日韩影片一区二区三区不卡免费| 成年人免费看在线视频| 久久久久久久99精品| av中文字幕国产在线观看| 99国内小视频在现欢看| 98视频精品在线观看| 日辽宁老肥女在线观看视频| 天天射夜夜操狠狠干| 老司机在线精品福利视频| 78色精品一区二区三区| 超级av免费观看一区二区三区| 久久香蕉国产免费天天| 色噜噜噜噜18禁止观看| av完全免费在线观看av| 中文字母永久播放1区2区3区| 日韩午夜福利精品试看| 嫩草aⅴ一区二区三区| 99婷婷在线观看视频| 大香蕉伊人中文字幕| 中文字幕日本人妻中出| 又色又爽又黄又刺激av网站| 91精品视频在线观看免费| 亚洲美女高潮喷浆视频| 成人网18免费视频版国产| 精品国产在线手机在线| 亚洲欧美激情人妻偷拍| 91大屁股国产一区二区| 91精品国产黑色丝袜| 欧美男人大鸡吧插女人视频| 精品国产高潮中文字幕| 熟妇一区二区三区高清版| 九色视频在线观看免费| 2020中文字幕在线播放| 红杏久久av人妻一区| 噜噜色噜噜噜久色超碰| 免费一级特黄特色大片在线观看| 18禁免费av网站| 91小伙伴中女熟女高潮| 大香蕉大香蕉在线有码 av| 国产精品视频一区在线播放| 欧美aa一级一区三区四区 | 日韩成人综艺在线播放| 免费av岛国天堂网站| 国产老熟女伦老熟妇ⅹ| 少妇人妻二三区视频| 2020韩国午夜女主播在线| 国产视频网站国产视频| 66久久久久久久久久久| 欧美在线精品一区二区三区视频| 国产精品一区二区三区蜜臀av| 中文字幕日韩精品日本| 麻豆精品成人免费视频| 男人在床上插女人视频| 五十路av熟女松本翔子| 成人亚洲精品国产精品| 成人sm视频在线观看| 国产精品久久久久久久久福交| 天堂资源网av中文字幕| 蜜桃色婷婷久久久福利在线| 亚洲av色图18p| 青青青艹视频在线观看| 一区二区熟女人妻视频| 青青草亚洲国产精品视频| 天天干狠狠干天天操| 亚洲精品av在线观看| 欧美精品激情在线最新观看视频| jiuse91九色视频| 一区二区三区四区视频| 99久久久无码国产精品性出奶水| 亚洲一区二区人妻av| 熟女俱乐部一二三区| 日本熟妇色熟妇在线观看| 2012中文字幕在线高清| 国产真实乱子伦a视频| 9色在线视频免费观看| 在线视频免费观看网| 亚洲国产精品久久久久蜜桃| 青青青青青青青青青国产精品视频| 唐人色亚洲av嫩草| 国产精品视频一区在线播放| 肏插流水妹子在线乐播下载| 视频啪啪啪免费观看| 亚洲av色图18p| 93精品视频在线观看| 国产精品一区二区三区蜜臀av| 成年人啪啪视频在线观看| 啊啊啊想要被插进去视频| 老司机99精品视频在线观看| 夫妻在线观看视频91| 成人国产影院在线观看| 国产亚洲国产av网站在线| 亚洲1069综合男同| 很黄很污很色的午夜网站在线观看 | 欧美久久一区二区伊人| 亚洲视频在线视频看视频在线| 狠狠操操操操操操操操操| 国产精品人妻一区二区三区网站| 开心 色 六月 婷婷| 亚洲一区二区三区久久午夜 | 日比视频老公慢点好舒服啊| 伊拉克及约旦宣布关闭领空| 大香蕉大香蕉在线有码 av| 特级欧美插插插插插bbbbb| 国产亚洲欧美视频网站| 三级av中文字幕在线观看| 国产麻豆剧传媒精品国产av蜜桃| 日本一道二三区视频久久| 日本三极片中文字幕| 91精品高清一区二区三区| 男生舔女生逼逼视频| 超pen在线观看视频公开97| 五月色婷婷综合开心网4438| 久久久久久99国产精品| 亚洲精品福利网站图片| 国产刺激激情美女网站| 精彩视频99免费在线| 欧美偷拍自拍色图片| 日本少妇人妻xxxxxhd| 丝袜肉丝一区二区三区四区在线| 91久久人澡人人添人人爽乱| 亚洲熟女女同志女同| 性生活第二下硬不起来| 黄色中文字幕在线播放| 天天操天天干天天日狠狠插| 日本午夜久久女同精女女| 偷拍自拍亚洲视频在线观看| 天天做天天爽夜夜做少妇| 91色秘乱一区二区三区| 日本韩国亚洲综合日韩欧美国产| 精品人人人妻人人玩日产欧| 在线免费观看国产精品黄色| 国产chinesehd精品麻豆| 成人性黑人一级av| 91色老99久久九九爱精品| av在线免费中文字幕| 久草电影免费在线观看| 午夜91一区二区三区| www,久久久,com| 亚洲嫩模一区二区三区| 国产女人叫床高潮大片视频| 漂亮 人妻被中出中文| 亚洲av男人天堂久久| av在线资源中文字幕| 国产一区二区火爆视频| 国产剧情演绎系列丝袜高跟| 亚洲人妻视频在线网| 久久亚洲天堂中文对白| av老司机精品在线观看| 亚洲欧美国产综合777| 中文字幕亚洲中文字幕| 熟女俱乐部一二三区| av乱码一区二区三区| 春色激情网欧美成人| 不卡一区一区三区在线| 白白操白白色在线免费视频| 国语对白xxxx乱大交| 人妻少妇中文有码精品| 日本韩国亚洲综合日韩欧美国产| 欧美激情电影免费在线| 人妻丝袜av在线播放网址| 欧美日韩国产一区二区三区三州| 亚洲护士一区二区三区| 免费无毒热热热热热热久| 天天日天天干天天干天天日| 国产三级片久久久久久久| 国产日本精品久久久久久久| 中文字幕在线永久免费播放| 中文字幕一区二区三区人妻大片 | 最新黄色av网站在线观看| 国内资源最丰富的网站| 好了av中文字幕在线| 亚洲成av人无码不卡影片一| 青草久久视频在线观看| 欧美日韩中文字幕欧美| 亚洲黄色av网站免费播放| 国产又色又刺激在线视频| wwwxxx一级黄色片| 亚洲天堂有码中文字幕视频| 中文字幕在线乱码一区二区| 区一区二区三国产中文字幕| 亚洲精品麻豆免费在线观看| 国产真实乱子伦a视频| 热99re69精品8在线播放| 青青草亚洲国产精品视频| 精品国产污污免费网站入口自| 成人18禁网站在线播放| 夫妻在线观看视频91| 熟妇一区二区三区高清版| 激情小视频国产在线| 亚洲最大黄了色网站| 色综合久久五月色婷婷综合| 福利视频网久久91| 女生自摸在线观看一区二区三区| 亚洲蜜臀av一区二区三区九色| 亚洲伊人久久精品影院一美女洗澡| 热99re69精品8在线播放| av中文字幕网址在线| 啪啪啪操人视频在线播放| 桃色视频在线观看一区二区| 亚洲一区制服丝袜美腿| 成年女人免费播放视频| 精品av久久久久久久| 亚洲av琪琪男人的天堂| 亚洲av成人免费网站| 精品首页在线观看视频| 人妻少妇性色欲欧美日韩 | 中文字幕,亚洲人妻| 狠狠躁夜夜躁人人爽天天久天啪| 黄色资源视频网站日韩| 日韩三级电影华丽的外出| 亚洲乱码中文字幕在线| 专门看国产熟妇的网站| 国产成人综合一区2区| 国产九色91在线观看精品| 蜜桃视频17c在线一区二区| 久久香蕉国产免费天天| 97a片免费在线观看| 国产污污污污网站在线| 日日爽天天干夜夜操| 91精品国产91青青碰| 大香蕉伊人国产在线| 日韩精品一区二区三区在线播放| 97成人免费在线观看网站| 黄色片一级美女黄色片| 免费费一级特黄真人片 | jiuse91九色视频| 亚洲一区二区激情在线| 国产高清97在线观看视频| 日韩欧美在线观看不卡一区二区 | 中文字幕免费在线免费| 91综合久久亚洲综合| 黄色无码鸡吧操逼视频| 国产av欧美精品高潮网站| www日韩毛片av| 国产福利小视频二区| 亚洲综合在线视频可播放| 老司机在线精品福利视频| 动漫黑丝美女的鸡巴| 青青青国产片免费观看视频| 91传媒一区二区三区| 91大屁股国产一区二区| 大香蕉日本伊人中文在线| 激情五月婷婷综合色啪| 亚洲福利精品视频在线免费观看| 特级欧美插插插插插bbbbb| 亚洲区美熟妇久久久久| 免费啪啪啪在线观看视频| aiss午夜免费视频| 天天日天天爽天天爽| 亚洲一级 片内射视正片| 久草视频 久草视频2| 国产精品人妻一区二区三区网站| 成人乱码一区二区三区av| 亚洲成人国产综合一区| 99国产精品窥熟女精品| 在线免费观看国产精品黄色| 一区二区视频视频视频| 热思思国产99re| 亚洲国产精品久久久久久6| av天堂中文字幕最新| 国产欧美精品一区二区高清| 人妻少妇性色欲欧美日韩| 亚洲国产香蕉视频在线播放| 99精品国产自在现线观看| 啊啊好慢点插舔我逼啊啊啊视频| 日韩人妻xxxxx| 孕妇奶水仑乱A级毛片免费看 | 亚洲免费视频欧洲免费视频| 丝袜亚洲另类欧美变态| 伊人情人综合成人久久网小说 | 青娱乐极品视频青青草| 日韩美女精品视频在线观看网站| 日韩二区视频一线天婷婷五| 一区二区视频视频视频| 超碰公开大香蕉97| 视频一区二区三区高清在线| 欧美精品一二三视频| 白嫩白嫩美女极品国产在线观看| 91人妻精品一区二区久久| 久草视频在线一区二区三区资源站| 唐人色亚洲av嫩草| 青草久久视频在线观看| 午夜激情久久不卡一区二区| 成人乱码一区二区三区av| 啪啪啪啪啪啪啪免费视频| 免费一级黄色av网站| 国产性感美女福利视频| 亚洲国产中文字幕啊啊啊不行了| 国产成人精品久久二区91| 五十路在线观看完整版| 免费一级黄色av网站| 偷拍自拍 中文字幕|