Nedávno jsem psal , kde stručně zmínil, že si můžete vytvořit svůj vlastní konfigurační systém, aby služba v Kuberu dobře fungovala, vytahovala tajemství a běžela pohodlně lokálně, dokonce i mimo Docker. Nic složitého, ale popsaný “recept” se může někomu hodit :) Kód je v Pythonu, ale logika není svázána s jazykem.
Pozadí otázky je toto: kdysi existoval jeden projekt, nejprve to byl malý monolit s nástroji a skripty, ale postupem času se rozrostl, rozdělil se na služby, které se zase začaly dělit na mikroslužby a pak zvětšeno. Nejprve to vše probíhalo na holém VPS, procesy nastavení a nasazení kódu byly automatizovány pomocí Ansible a každá služba byla zkompilována s konfigurací YAML s potřebnými nastaveními a klíči a podobný konfigurační soubor byl použit pro local launches, což bylo velmi pohodlné, protože .k tato konfigurace je načtena do globálního objektu, přístupného odkudkoli v projektu.
Růst počtu mikroslužeb, jejich připojení a , předznamenal přesun ke Kuberovi, který stále probíhá. Spolu s pomocí při řešení zmíněných problémů nabízí Kubernetes své přístupy ke správě infrastruktury vč и . Mechanismus je standardní a spolehlivý, takže je doslova hřích ho nepoužívat! Zároveň bych si ale rád zachoval svůj současný formát pro práci s konfigurací: za prvé, abych ji jednotně používal v různých mikroslužbách projektu, a za druhé, abych mohl spouštět kód na lokálním počítači pomocí jednoho jednoduchého konfigurační soubor.
V tomto ohledu byl upraven mechanismus pro konstrukci konfiguračního objektu, aby bylo možné pracovat jak s naším klasickým konfiguračním souborem, tak s tajnými od Kuberu. V jazyce třetího Pythonu byla také specifikována přísnější konfigurační struktura takto:
Dict[str, Dict[str, Union[str, int, float]]]
To znamená, že konečný cogfig je slovník s pojmenovanými sekcemi, z nichž každá je slovník s hodnotami z jednoduchých typů. A sekce popisují konfiguraci a přístup ke zdrojům určitého typu. Příklad části naší konfigurace:
adminka:
django_secret: "ExtraLongAndHardCode"
db_main:
engine: mysql
host: 256.128.64.32
user: cool_user
password: "SuperHardPassword"
redis:
host: 256.128.64.32
pw: "SuperHardPassword"
port: 26379
smtp:
server: smtp.gmail.com
port: 465
email: [email protected]
pw: "SuperHardPassword"Zároveň pole engine databáze lze nainstalovat na SQLite a redis nastaven na mock, uvádějící také název souboru, který se má uložit - tyto parametry jsou správně rozpoznány a zpracovány, což usnadňuje místní spuštění kódu pro ladění, testování jednotek a jakékoli další potřeby. To je pro nás obzvláště důležité, protože je zde mnoho dalších potřeb – část našeho kódu je určena pro různé analytické výpočty, běží nejen na serverech s orchestrací, ale také s různými skripty a na počítačích analytiků, kteří se potřebují propracovat a ladit složité kanály pro zpracování dat bez znepokojujících problémů s back-endem. Mimochodem, nebylo by na škodu se podělit o to, že naše hlavní nástroje, včetně kódu konfigurace rozvržení, se instalují přes setup.py – to společně sjednocuje náš kód do jediného ekosystému, nezávislého na platformě a způsobu použití.
Popis modulu Kubernetes vypadá takto:
containers:
- name : enter-api
image: enter-api:latest
ports:
- containerPort: 80
volumeMounts:
- name: db-main-secret-volume
mountPath: /etc/secrets/db-main
volumes:
- name: db-main-secret-volume
secret:
secretName: db-main-secretTo znamená, že každé tajemství popisuje jednu sekci. Samotná tajemství jsou vytvořena takto:
apiVersion: v1
kind: Secret
metadata:
name: db-main-secret
type: Opaque
stringData:
db_main.yaml: |
engine: sqlite
filename: main.sqlite3Společně to vede k vytvoření souborů YAML podél cesty /etc/secrets/db-main/section_name.yaml
A pro místní spouštění se používá konfigurace umístěná v kořenovém adresáři projektu nebo podél cesty zadané v proměnné prostředí. Kód zodpovědný za tyto vymoženosti je vidět ve spoileru.
config.py
__author__ = 'AivanF'
__copyright__ = 'Copyright 2020, AivanF'
import os
import yaml
__all__ = ['config']
PROJECT_DIR = os.path.abspath(__file__ + 3 * '/..')
SECRETS_DIR = '/etc/secrets'
KEY_LOG = '_config_log'
KEY_DBG = 'debug'
def is_yes(value):
if isinstance(value, str):
value = value.lower()
if value in ('1', 'on', 'yes', 'true'):
return True
else:
if value in (1, True):
return True
return False
def update_config_part(config, key, data):
if key not in config:
config[key] = data
else:
config[key].update(data)
def parse_big_config(config, filename):
'''
Parse YAML config with multiple section
'''
if not os.path.isfile(filename):
return False
with open(filename) as f:
config_new = yaml.safe_load(f.read())
for key, data in config_new.items():
update_config_part(config, key, data)
config[KEY_LOG].append(filename)
return True
def parse_tiny_config(config, key, filename):
'''
Parse YAML config with a single section
'''
with open(filename) as f:
config_tiny = yaml.safe_load(f.read())
update_config_part(config, key, config_tiny)
config[KEY_LOG].append(filename)
def combine_config():
config = {
# To debug config load code
KEY_LOG: [],
# To debug other code
KEY_DBG: is_yes(os.environ.get('DEBUG')),
}
# For simple local runs
CONFIG_SIMPLE = os.path.join(PROJECT_DIR, 'config.yaml')
parse_big_config(config, CONFIG_SIMPLE)
# For container's tests
CONFIG_ENVVAR = os.environ.get('CONFIG')
if CONFIG_ENVVAR is not None:
if not parse_big_config(config, CONFIG_ENVVAR):
raise ValueError(
f'No config file from EnvVar:n'
f'{CONFIG_ENVVAR}'
)
# For K8s secrets
for path, dirs, files in os.walk(SECRETS_DIR):
depth = path[len(SECRETS_DIR):].count(os.sep)
if depth > 1:
continue
for file in files:
if file.endswith('.yaml'):
filename = os.path.join(path, file)
key = file.rsplit('.', 1)[0]
parse_tiny_config(config, key, filename)
return config
def build_config():
config = combine_config()
# Preprocess
for key, data in config.items():
if key.startswith('db_'):
if data['engine'] == 'sqlite':
data['filename'] = os.path.join(PROJECT_DIR, data['filename'])
# To verify correctness
if config[KEY_DBG]:
print(f'** Loaded config:n{yaml.dump(config)}')
else:
print(f'** Loaded config from: {config[KEY_LOG]}')
return config
config = build_config()Logika je zde poměrně jednoduchá: kombinujeme velké konfigurace z adresáře projektu a cest podle proměnné prostředí a malé konfigurační sekce z tajemství Kuber a poté je trochu předzpracujeme. Plus nějaké proměnné. Podotýkám, že při vyhledávání souborů z tajenek se používá hloubkové omezení, protože K8s vytváří v každém tajence skrytou složku, kde jsou uloženy samotné tajenky a na vyšší úrovni je umístěn právě odkaz.
Doufám, že to, co je popsáno, bude pro někoho užitečné :) Jakékoli připomínky a doporučení týkající se bezpečnosti nebo jiných oblastí pro zlepšení jsou přijímány. Zajímavý je i názor komunity, možná by stálo za to přidat podporu pro ConfigMaps (náš projekt je zatím nepoužívá) a publikovat kód na GitHub / PyPI? Osobně si myslím, že takové věci jsou příliš individuální na to, aby byly projekty univerzální a trochu pokukování po cizích implementacích, jako je ten zde uvedený, a diskuze o nuancích, tipech a osvědčených postupech, které doufám uvidím v komentářích , stačí 😉
Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. , prosím.
Mám publikovat jako projekt/knihovna?
-
0,0%Ano, použil bych /contribution0
-
33,3%Ano, to zní skvěle 4
-
41,7%Ne, kdo to potřebuje udělat sám ve svém vlastním formátu a podle svých potřeb5
-
25,0%Zdržím se odpovědi 3
Hlasovalo 12 uživatelů. 3 uživatelů se zdrželo hlasování.
Zdroj: www.habr.com