kubernetes 1.20 要去掉對 Docker的支援，具體看這裡，本篇文章介紹用 containerd 替換 docker，從work節點開始，然後才到master節點。

首先檢視叢集

[root@node1 ~]# kubectl get nodeNAME            STATUS   ROLES                      AGE     VERSIONk8s-master      Ready    control-plane,master       101d    v1.20.1k8s-worker-01   Ready    <none>                     101d    v1.20.1k8s-worker-02   Ready    <none>                     2d22h   v1.20.1

ssh連線到 k8s-worker-01

A. 在work節點上替換從服務中刪除一個節點

使用 kubectl drain 從節點安全地逐出所有 Pods。 安全的驅逐過程允許 Pod 的容器 體面地終止， 並確保滿足指定的 PodDisruptionBudgets。

kubectl drain k8s-worker-01 --ignore-daemonsets --delete-emptydir-data

停止 kubelet

sudo systemctl stop kubelet

解除安裝docker

sudo apt remove docker-ce docker-ce-clisudo apt autoremove

啟用containerd的前置條件

為了containerd能和kubernetes正常執行，需載入overlay和br_netfilter兩個模組。

下面建立containerd.conf，在啟動時載入這些模組

cat <<EOF | sudo tee /etc/modules-load.d/containerd.confoverlaybr_netfilterEOF

下一條命令將載入所需的模組

sudo modprobe overlaysudo modprobe br_netfilter

建立一個檔案，用於系統啟動時設定其他引數

cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.confnet.bridge.bridge-nf-call-iptables  = 1net.ipv4.ip_forward                 = 1net.bridge.bridge-nf-call-ip6tables = 1EOF

應用一下設定

sudo sysctl --system

安裝以下軟體包以允許apt透過HTTPS使用倉庫。

sudo apt-get update && sudo apt-get install -y apt-transport-https ca-certificates curl software-properties-common

新增Docker官方GPG key，為啥要這樣呢？因為containerd 也需要使用Docker映象倉庫去搜索映象。

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key --keyring /etc/apt/trusted.gpg.d/docker.gpg add -

新增docker源

sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu focal stable"

安裝containerd

sudo apt-get update && sudo apt-get install -y containerd.io

配置containerd

sudo mkdir -p /etc/containerdsudo containerd config default | sudo tee /etc/containerd/config.toml

使用systemd cgroup driver

sudo vim /etc/containerd/config.toml

找到下面這行，新增SystemdCgroup = true，例子如下：

[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc]  ...  [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]    SystemdCgroup = true

啟動服務

sudo systemctl enable containerdsudo systemctl start containerdsudo systemctl status containerd

配置Kubelet以使用containerd

修改 /var/lib/kubelet/kubeadm-flags.env 檔案，改為如下

KUBELET_KUBEADM_ARGS="--container-runtime=remote --container-runtime-endpoint=/run/containerd/containerd.sock"

啟動kubernetes

sudo systemctl daemon-reloadsudo systemctl start kubelet

驗證

[root@node1 ~]# kubectl get nodeNAME            STATUS                      ROLES                       AGE     VERSIONk8s-master      Ready                       control-plane,master        101d    v1.20.1k8s-worker-01   Ready,SchedulingDisabled    <none>                      101d    v1.20.1k8s-worker-02   Ready                       <none>                      3d      v1.20.1

如果一切正常，你剛剛操作的機器就會顯示Ready,SchedulingDisabled，如果顯示Not ready，你就要檢查是否嚴格按照我的步驟來操作的。

啟用排程

kubectl Uncordon k8s-worker-01

重新檢視叢集狀態，會發現k8s-worker-01的 STATUS 已經變成了 Ready，你可以對其他節點進行操作了。

B. 在master節點上替換停止master節點

由於master節點不能drain ，所以只能停止kubelet，work節點和pods會繼續執行，但無法進行管理。

sudo systemctl stop kubelet

執行前面的 3-10 步驟

修改kubernetes配置檔案

最後一步是從kubernetes修改配置檔案。儘管此階段的主節點和工作節點已經在使用containerd，但是還需要調整配置設定，否則在執行kubeadm命令時會出錯（例如，將kubernetes升級到新版本）

在master節點執行

kubectl edit node k8s-master

將

kubeadm.alpha.kubernetes.io/cri-socket: /var/run/dockershim.sock 

修改為

kubeadm.alpha.kubernetes.io/cri-socket: /run/containerd/containerd.sock

您可以執行以下命令檢查kubeadm是否正常執行。透過執行以下命令，該命令將檢查叢集是否可以升級。

sudo kubeadm upgrade plan