Ohar. itzul.: Eragileak Kubernetesentzako software laguntzaileak dira, gertaera jakin batzuk gertatzen direnean kluster-objektuetan ohiko ekintzak automatizatzeko diseinatuta. Dagoeneko idatzi dugu operadoreei buruz , non euren lanaren oinarrizko ideia eta printzipioei buruz hitz egin zuten. Baina material hori Kubernetesentzako prest egindako osagaiak ustiatzearen aldetik ikuspegi bat gehiago bazen, orain proposatzen den artikulu berriaren itzulpena operadore berri baten ezarpenak harrituta dagoen garatzaile/DevOps ingeniari baten ikuspegia da dagoeneko.
Argitalpen hau benetako adibide batekin idaztea erabaki nuen Kubernetes-erako operadore bat sortzeko dokumentazioa aurkitzeko saiakeraren ostean, kodea aztertzen joan zena.
Deskribatuko den adibidea hau da: gure Kubernetes klusterrean, bakoitza Namespace talde baten sandbox ingurunea adierazten du, eta haietarako sarbidea mugatu nahi genuen, taldeek beren sandboxetan soilik jokatu ahal izateko.
Nahi duzuna lor dezakezu erabiltzaile bati duen talde bat esleituz RoleBinding zehatzera Namespace ΠΈ ClusterRole edizio eskubideekin. YAML irudikapenak itxura hau izango du:
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: kubernetes-team-1
namespace: team-1
subjects:
- kind: Group
name: kubernetes-team-1
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: edit
apiGroup: rbac.authorization.k8s.io(in )
Sortu bat RoleBinding Eskuz egin dezakezu, baina ehun izen-espazio marka gainditu ondoren, lan aspergarria bihurtzen da. Hona hemen Kuberneteseko operadoreak erabilgarriak: baliabideen aldaketetan oinarrituta Kubernetes baliabideen sorrera automatizatzeko aukera ematen dute. Gure kasuan sortu nahi dugu RoleBinding sortu bitartean Namespace.
Lehenik eta behin, defini dezagun funtzioa mainadierazpena exekutatzeko beharrezko konfigurazioa egiten duena eta, ondoren, adierazpen-ekintza deitzen duena:
(Ohar. itzul.: hemen eta azpian kodean iruzkinak errusierara itzulita daude. Horrez gain, koska zuriuneetara zuzendu da [Go-n gomendatua] fitxen ordez, Habr diseinuaren barruan irakurgarritasun hobea izateko soilik. Zerrenda bakoitzaren ondoren GitHub-en jatorrizkorako estekak daude, non ingeleseko iruzkinak eta fitxak gordetzen diren.
func main() {
// Π£ΡΡΠ°Π½Π°Π²Π»ΠΈΠ²Π°Π΅ΠΌ Π²ΡΠ²ΠΎΠ΄ Π»ΠΎΠ³ΠΎΠ² Π² ΠΊΠΎΠ½ΡΠΎΠ»ΡΠ½ΡΠΉ STDOUT
log.SetOutput(os.Stdout)
sigs := make(chan os.Signal, 1) // Π‘ΠΎΠ·Π΄Π°Π΅ΠΌ ΠΊΠ°Π½Π°Π» Π΄Π»Ρ ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΡ ΡΠΈΠ³Π½Π°Π»ΠΎΠ² ΠΠ‘
stop := make(chan struct{}) // Π‘ΠΎΠ·Π΄Π°Π΅ΠΌ ΠΊΠ°Π½Π°Π» Π΄Π»Ρ ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΡ ΡΡΠΎΠΏ-ΡΠΈΠ³Π½Π°Π»Π°
// Π Π΅Π³ΠΈΡΡΡΠΈΡΡΠ΅ΠΌ ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΠ΅ SIGTERM Π² ΠΊΠ°Π½Π°Π»Π΅ sigs
signal.Notify(sigs, os.Interrupt, syscall.SIGTERM, syscall.SIGINT)
// Goroutines ΠΌΠΎΠ³ΡΡ ΡΠ°ΠΌΠΈ Π΄ΠΎΠ±Π°Π²Π»ΡΡΡ ΡΠ΅Π±Ρ Π² WaitGroup,
// ΡΡΠΎΠ±Ρ Π·Π°Π²Π΅ΡΡΠ΅Π½ΠΈΡ ΠΈΡ
Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΡ Π΄ΠΎΠΆΠΈΠ΄Π°Π»ΠΈΡΡ
wg := &sync.WaitGroup{}
runOutsideCluster := flag.Bool("run-outside-cluster", false, "Set this flag when running outside of the cluster.")
flag.Parse()
// Π‘ΠΎΠ·Π΄Π°Π΅ΠΌ clientset Π΄Π»Ρ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡΠ²ΠΈΡ Ρ ΠΊΠ»Π°ΡΡΠ΅ΡΠΎΠΌ Kubernetes
clientset, err := newClientSet(*runOutsideCluster)
if err != nil {
panic(err.Error())
}
controller.NewNamespaceController(clientset).Run(stop, wg)
<-sigs // ΠΠ΄Π΅ΠΌ ΡΠΈΠ³Π½Π°Π»ΠΎΠ² (Π΄ΠΎ ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΡ ΡΠΈΠ³Π½Π°Π»Π° Π±ΠΎΠ»Π΅Π΅ Π½ΠΈΡΠ΅Π³ΠΎ Π½Π΅ ΠΏΡΠΎΠΈΡΡ
ΠΎΠ΄ΠΈΡ)
log.Printf("Shutting down...")
close(stop) // ΠΠΎΠ²ΠΎΡΠΈΠΌ goroutines ΠΎΡΡΠ°Π½ΠΎΠ²ΠΈΡΡΡΡ
wg.Wait() // ΠΠΆΠΈΠ΄Π°Π΅ΠΌ, ΡΡΠΎ Π²ΡΠ΅ ΠΎΡΡΠ°Π½ΠΎΠ²Π»Π΅Π½ΠΎ
}(in )
Honako hau egiten dugu:
- Sistema eragilearen seinale zehatzetarako kudeatzaile bat konfiguratzen dugu operadorearen amaiera dotorea eragiteko.
- Erabiltzen dugu
WaitGroupaplikazioa amaitu aurretik goroutine guztiak dotorez gelditzeko. - Klustererako sarbidea ematen dugu sortuz
clientset. - korrika
NamespaceController, bertan kokatuko da gure logika guztia.
Orain logikaren oinarri bat behar dugu, eta gure kasuan hauxe da aipatutakoa NamespaceController:
// NamespaceController ΡΠ»Π΅Π΄ΠΈΡ ΡΠ΅ΡΠ΅Π· Kubernetes API Π·Π° ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΡΠΌΠΈ
// Π² ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²Π°Ρ
ΠΈΠΌΠ΅Π½ ΠΈ ΡΠΎΠ·Π΄Π°Π΅Ρ RoleBinding Π΄Π»Ρ ΠΊΠΎΠ½ΠΊΡΠ΅ΡΠ½ΠΎΠ³ΠΎ namespace.
type NamespaceController struct {
namespaceInformer cache.SharedIndexInformer
kclient *kubernetes.Clientset
}
// NewNamespaceController ΡΠΎΠ·Π΄Π°Π΅Ρ Π½ΠΎΠ²ΡΠΉ NewNamespaceController
func NewNamespaceController(kclient *kubernetes.Clientset) *NamespaceController {
namespaceWatcher := &NamespaceController{}
// Π‘ΠΎΠ·Π΄Π°Π΅ΠΌ ΠΈΠ½ΡΠΎΡΠΌΠ΅Ρ Π΄Π»Ρ ΡΠ»Π΅ΠΆΠ΅Π½ΠΈΡ Π·Π° Namespaces
namespaceInformer := cache.NewSharedIndexInformer(
&cache.ListWatch{
ListFunc: func(options metav1.ListOptions) (runtime.Object, error) {
return kclient.Core().Namespaces().List(options)
},
WatchFunc: func(options metav1.ListOptions) (watch.Interface, error) {
return kclient.Core().Namespaces().Watch(options)
},
},
&v1.Namespace{},
3*time.Minute,
cache.Indexers{cache.NamespaceIndex: cache.MetaNamespaceIndexFunc},
)
namespaceInformer.AddEventHandler(cache.ResourceEventHandlerFuncs{
AddFunc: namespaceWatcher.createRoleBinding,
})
namespaceWatcher.kclient = kclient
namespaceWatcher.namespaceInformer = namespaceInformer
return namespaceWatcher
}(in )
Hemen konfiguratzen dugu SharedIndexInformer, eta horrek modu eraginkorrean (cache bat erabiliz) itxarongo du izen-espazioen aldaketei (irakur ezazu informatzaileei buruz gehiago artikuluan ""- gutxi gorabehera. itzulpena). Honen ostean konektatzen gara EventHandler informatzaileari, izen-espazio bat gehitzean (Namespace) funtzioari deitzen zaio createRoleBinding.
Hurrengo urratsa funtzio hori definitzea da createRoleBinding:
func (c *NamespaceController) createRoleBinding(obj interface{}) {
namespaceObj := obj.(*v1.Namespace)
namespaceName := namespaceObj.Name
roleBinding := &v1beta1.RoleBinding{
TypeMeta: metav1.TypeMeta{
Kind: "RoleBinding",
APIVersion: "rbac.authorization.k8s.io/v1beta1",
},
ObjectMeta: metav1.ObjectMeta{
Name: fmt.Sprintf("ad-kubernetes-%s", namespaceName),
Namespace: namespaceName,
},
Subjects: []v1beta1.Subject{
v1beta1.Subject{
Kind: "Group",
Name: fmt.Sprintf("ad-kubernetes-%s", namespaceName),
},
},
RoleRef: v1beta1.RoleRef{
APIGroup: "rbac.authorization.k8s.io",
Kind: "ClusterRole",
Name: "edit",
},
}
_, err := c.kclient.Rbac().RoleBindings(namespaceName).Create(roleBinding)
if err != nil {
log.Println(fmt.Sprintf("Failed to create Role Binding: %s", err.Error()))
} else {
log.Println(fmt.Sprintf("Created AD RoleBinding for Namespace: %s", roleBinding.Name))
}
}(in )
Izen-espazioa honela lortzen dugu obj eta objektu bihurtu Namespace. Orduan definitzen dugu RoleBinding, hasieran aipatutako YAML fitxategian oinarrituta, emandako objektua erabiliz Namespace eta sortuz RoleBinding. Azkenik, sorrera arrakastatsua izan den erregistratzen dugu.
Definitu beharreko azken funtzioa da Run:
// Run Π·Π°ΠΏΡΡΠΊΠ°Π΅Ρ ΠΏΡΠΎΡΠ΅ΡΡ ΠΎΠΆΠΈΠ΄Π°Π½ΠΈΡ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²Π°Ρ
ΠΈΠΌΡΠ½
// ΠΈ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ Π² ΡΠΎΠΎΡΠ²Π΅ΡΡΡΠ²ΠΈΠΈ Ρ ΡΡΠΈΠΌΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΡΠΌΠΈ.
func (c *NamespaceController) Run(stopCh <-chan struct{}, wg *sync.WaitGroup) {
// ΠΠΎΠ³Π΄Π° ΡΡΠ° ΡΡΠ½ΠΊΡΠΈΡ Π·Π°Π²Π΅ΡΡΠ΅Π½Π°, ΠΏΠΎΠΌΠ΅ΡΠΈΠΌ ΠΊΠ°ΠΊ Π²ΡΠΏΠΎΠ»Π½Π΅Π½Π½ΡΡ
defer wg.Done()
// ΠΠ½ΠΊΡΠ΅ΠΌΠ΅Π½ΡΠΈΡΡΠ΅ΠΌ wait group, Ρ.ΠΊ. ΡΠΎΠ±ΠΈΡΠ°Π΅ΠΌΡΡ Π²ΡΠ·Π²Π°ΡΡ goroutine
wg.Add(1)
// ΠΡΠ·ΡΠ²Π°Π΅ΠΌ goroutine
go c.namespaceInformer.Run(stopCh)
// ΠΠΆΠΈΠ΄Π°Π΅ΠΌ ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΡ ΡΡΠΎΠΏ-ΡΠΈΠ³Π½Π°Π»Π°
<-stopCh
}(in )
Hemen ari gara hizketan WaitGroupgoroutina martxan jarri eta gero deitzen dugula namespaceInformer, aurretik definitu dena. Gelditzeko seinalea iristen denean, funtzioa amaituko du, jakinarazi WaitGroup, jada exekutatzen ez dena, eta funtzio hau irtengo da.
Adierazpen hau Kubernetes kluster batean eraikitzeari eta exekutatzeko informazioa hemen aurki daiteke .
Hori da sortzen duen operadorearentzat RoleBinding noiz Namespace Kubernetes klusterrean, prest.
Iturria: www.habr.com