ProHoster > Blag > Riarachán > Helm Slándáil

Helm Slándáil

D’fhéadfaí croílár an scéil faoin mbainisteoir pacáiste is mó tóir do Kubernetes a léiriú ag baint úsáide as emoji:

  • is é Helm an bosca (is é sin an rud is gaire don eisiúint Emoji is déanaí);
  • glas - slándáil;
  • is é an fear beag réiteach na faidhbe.

Helm Slándáil

Go deimhin, beidh gach rud beagán níos casta, agus tá an scéal lán de shonraí teicniúla faoi Conas Helm a dhéanamh sábháilte.

  • Go hachomair cad é Helm ar eagla nach raibh a fhios agat nó nach ndearna tú dearmad. Cad iad na fadhbanna a réitíonn sé agus cá bhfuil sé suite san éiceachóras.
  • Breathnaímid ar ailtireacht Helm. Níl aon chomhrá faoi shlándáil agus conas uirlis nó réiteach a dhéanamh níos sláine críochnaithe gan ailtireacht na comhpháirte a thuiscint.
  • Déanaimis plé ar chomhpháirteanna Helm.
  • Is í an cheist is dóite ná an todhchaí - an leagan nua de Helm 3 . 

Baineann gach rud san Airteagal seo le Helm 2. Tá an leagan seo á tháirgeadh faoi láthair agus is dócha gurb é an ceann atá in úsáid agat faoi láthair, agus is é an leagan ina bhfuil na rioscaí slándála.


Maidir leis an gcainteoir: Alexander Khayorov (aillxx) ag forbairt ar feadh 10 mbliana, ag cabhrú le feabhas a chur ar ábhar Moscó Python conf++ agus chuaigh sé isteach sa choiste Cruinniú Mullaigh Helm. Anois oibríonn sé ag Chainstack mar cheannaire forbartha - is hibrideach é seo idir bainisteoir forbartha agus duine atá freagrach as eisiúintí deiridh a sheachadadh. Is é sin, tá sé suite ar an gcatha, áit a tharlaíonn gach rud ó chruthú táirge go dtí a oibríocht.

Is gnólacht tosaithe beag atá ag fás go gníomhach é Chainstack a bhfuil sé mar mhisean aige cur ar chumas na gcliant dearmad a dhéanamh ar an mbonneagar agus ar na castachtaí a bhaineann le feidhmchláir dhíláraithe a oibriú; tá an fhoireann forbartha lonnaithe i Singeapór. Ná iarr ar Chainstack cryptocurrency a dhíol nó a cheannach, ach a thairiscint chun labhairt faoi chreataí blockchain fiontair, agus freagróidh siad go sona duit.

Helm

Is bainisteoir pacáiste (cairt) é seo do Kubernetes. An bealach is iomasach agus is uilíoch chun iarratais a thabhairt chuig braisle Kubernetes.

Helm Slándáil

Ar ndóigh, táimid ag caint faoi chur chuige níos struchtúraí agus níos tionsclaíoch ná do chuid féin a chruthú YAML manifests agus a scríobh fóntais bheaga.

Is é Helm an ceann is fearr atá ar fáil faoi láthair agus a bhfuil tóir orthu.

Cén fáth Helm? Go príomha toisc go dtacaíonn CNCF leis. Is eagraíocht mhór é Cloud Native agus is é an máthairchuideachta do thionscadail Kubernetes, etcd, Fluentd agus eile.

Fíric thábhachtach eile is ea gur tionscadal an-choitianta é Helm. Nuair a thosaigh mé ag caint faoi conas Helm a dhéanamh slán i mí Eanáir 2019, bhí míle réalta ag an tionscadal ar GitHub. Faoi Bhealtaine bhí 12 míle acu.

Tá suim ag go leor daoine i Helm, mar sin fiú mura n-úsáideann tú é fós, bainfidh tú leas as a bheith eolach ar a shlándáil. Tá sábháilteacht tábhachtach.

Tacaíonn Microsoft Azure le croífhoireann Helm agus mar sin is tionscadal measartha cobhsaí é, murab ionann agus go leor eile. Léiríonn scaoileadh Helm 3 Alpha 2 i lár mhí Iúil go bhfuil go leor daoine ag obair ar an tionscadal, agus tá an fonn agus an fuinneamh acu Helm a fhorbairt agus a fheabhsú.

Helm Slándáil

Réitíonn Helm roinnt bunfhadhbanna maidir le bainistíocht feidhmchlár i Kubernetes.

  • Pacáistiú iarratais. Tá roinnt seirbhísí ann cheana féin in iarratas cosúil le “Dia duit, an Domhain” ar WordPress, agus ba mhaith leat iad a phacáistiú le chéile.
  • An chastacht a bhaineann leis na feidhmchláir seo a bhainistiú a bhainistiú.
  • Saolré nach dtiocfaidh deireadh leis tar éis an t-iarratas a shuiteáil nó a imscaradh. Leanann sé ag maireachtáil, ní mór é a nuashonrú, agus cabhraíonn Helm leis seo agus déanann sé iarracht na bearta agus na beartais cheart a thabhairt chuige seo.

Bagging tá sé eagraithe ar bhealach soiléir: tá meiteashonraí ann i gcomhréir go hiomlán le hobair bainisteoir pacáiste rialta le haghaidh Linux, Windows nó MacOS. Is é sin, stór, spleáchais ar phacáistí éagsúla, faisnéis mheitibileacha d'fheidhmchláir, socruithe, gnéithe cumraíochta, innéacsú faisnéise, etc. Ligeann Helm duit é seo go léir a fháil agus a úsáid le haghaidh feidhmchlár.

Bainistíocht Castachta. Má tá go leor feidhmchláir den chineál céanna agat, tá gá le paraiméadarú. Tagann teimpléid as seo, ach chun nach mbeidh ort teacht suas le do bhealach féin chun teimpléid a chruthú, is féidir leat a bhfuil ar fáil ag Helm a úsáid as an mbosca.

Bainistíocht Saolré Feidhmchláir - i mo thuairim, is é seo an cheist is suimiúla agus gan réiteach. Sin é an fáth a tháinig mé go Helm ar ais sa lá. Bhí orainn súil a choinneáil ar shaolré an fheidhmchláir agus theastaigh uainn ár dtimthriallta CI/CD agus feidhmchláir a bhogadh chuig an bparaidím seo.

Ligeann Helm duit:

  • imscaradh a bhainistiú, tugtar isteach coincheap na cumraíochta agus an athbhreithnithe;
  • rolladh siar a dhéanamh go rathúil;
  • úsáid crúcaí le haghaidh imeachtaí éagsúla;
  • seiceálacha iarratais breise a chur leis agus freagra a thabhairt ar a gcuid torthaí.

Thairis sin Tá “ceallraí” ag Helm - líon mór de rudaí blasta is féidir a chur san áireamh i bhfoirm forlíontáin, a shimpliú do shaol. Is féidir forlíontáin a scríobh go neamhspleách, tá siad scoite go leor agus ní gá ailtireacht chomhchuí. Más mian leat rud éigin a chur i bhfeidhm, molaim é a dhéanamh mar bhreiseán, agus ansin b'fhéidir é a áireamh in aghaidh an tsrutha.

Tá Helm bunaithe ar thrí phríomhchoincheap:

  • Cairt Repo — tuairisc agus sraith paraiméadar a d'fhéadfadh a bheith ann do do léiriú. 
  • Cumraíocht —is é sin, na luachanna a chuirfear i bhfeidhm (téacs, luachanna uimhriúla, etc.).
  • Scaoileadh Bailíonn an dá chomhpháirt uachtair, agus le chéile siad seal i Scaoileadh. Is féidir eisiúintí a leagan, agus ar an gcaoi sin saolré eagraithe a bhaint amach: beag tráth na suiteála agus mór tráth an uasghrádaithe, an íosghrádaithe nó an ais-rollta.

Helm ailtireacht

Léiríonn an léaráid ailtireacht ardleibhéil Helm go coincheapúil.

Helm Slándáil

Lig dom i gcuimhne duit go bhfuil Helm rud a bhaineann le Kubernetes. Mar sin, ní féidir linn a dhéanamh gan braisle Kubernetes (dronuilleog). Cónaíonn an chomhpháirt kube-apiserver ar an máistir. Gan Helm tá Kubeconfig againn. Tugann Helm dénártha beag amháin, más féidir leat é sin a ghlaoch, fóntais Helm CLI, atá suiteáilte ar ríomhaire, ríomhaire glúine, príomhfhráma - ar rud ar bith.

Ach ní leor é seo. Tá comhpháirt freastalaí ag Helm ar a dtugtar Tiller. Déanann sé ionadaíocht ar leasanna Helm laistigh den bhraisle; is feidhmchlár é laistigh de bhraisle Kubernetes, díreach mar aon le haon cheann eile.

Is é an chéad chomhpháirt eile de Chart Repo ná stór le cairteacha. Tá stór oifigiúil ann, agus d’fhéadfadh stór príobháideach cuideachta nó tionscadail a bheith ann.

Idirghníomhaíocht

Breathnaímid ar an gcaoi a n-idirghníomhaíonn na comhpháirteanna ailtireachta nuair is mian linn feidhmchlár a shuiteáil ag baint úsáide as Helm.

  • Táimid ag labhairt Helm install, rochtain a fháil ar an stór (Chart Repo) agus faigh cairt Helm.

  • Idirghníomhaíonn an áirgiúlacht Helm (Helm CLI) le Kubeconfig chun a dhéanamh amach cé acu braisle le teagmháil a dhéanamh. 
  • Tar éis an fhaisnéis seo a fháil, tagraíonn an fóntais do Tiller, atá suite inár mbraisle, mar iarratas. 
  • Iarrann Tiller ar Kube-apiserver gníomhartha a dhéanamh i Kubernetes, roinnt rudaí a chruthú (seirbhísí, pods, macasamhla, rúin, etc.).

Ansin, déanfaimid an léaráid níos casta chun an veicteoir ionsaí a fheiceáil ar féidir leis an ailtireacht Helm iomlán ina iomláine a bheith faoi lé. Agus ansin déanfaimid iarracht í a chosaint.

Veicteoir ionsaí

Is é an chéad phointe lag féideartha API faoi phribhléid-úsáideoir. Mar chuid den scéim, is hacker é seo a bhfuil rochtain riaracháin faighte aige ar an Helm CLI.

Úsáideoir API gan phribhléid is féidir leis a bheith ina chontúirt freisin má tá sé áit éigin in aice láimhe. Beidh comhthéacs difriúil ag úsáideoir den sórt sin, mar shampla, is féidir é a shocrú in ainmspás braisle amháin i socruithe Kubeconfig.

B'fhéidir gurb é an veicteoir ionsaí is suimiúla ná próiseas a chónaíonn laistigh de bhraisle áit éigin in aice le Tiller agus is féidir rochtain a fháil air. Féadfaidh sé seo a bheith ina fhreastalaí gréasáin nó ina mhicrisheirbhís a fheiceann timpeallacht líonra an bhraisle.

Baineann malairt ionsaí coimhthíocha, ach atá ag éirí níos coitianta, le Cairt Repo. D’fhéadfadh go mbeadh acmhainní neamhshábháilte i gcairt a chruthaigh údar neamhscrupallacha, agus críochnóidh tú í trí ghlacadh le creideamh. Nó is féidir é a chur in ionad na cairte a íoslódálann tú ón stór oifigiúil agus, mar shampla, acmhainn a chruthú i bhfoirm polasaithe agus a rochtain a mhéadú.

Helm Slándáil

Déanaimis iarracht stop a chur le hionsaithe ó na ceithre thaobh seo go léir agus déanaimis amach cá bhfuil fadhbanna in ailtireacht Helm, agus cén áit, b'fhéidir, nach bhfuil aon cheann.

Déanaimis an léaráid a mhéadú, cuir níos mó eilimintí leis, ach coinnímid na comhpháirteanna bunúsacha go léir.

Helm Slándáil

Déanann an Helm CLI cumarsáid leis an Chart Repo, idirghníomhaíonn sé le Kubeconfig, agus aistrítear an obair chuig an mbraisle go dtí an chomhpháirt Tiller.

Tá dhá réad á léiriú ag tiller:

  • Tiller-deploy svc, a nochtar seirbhís áirithe;
  • Tiller-imscaradh pod (sa léaráid i gcóip amháin i macasamhail amháin), ar a ritheann an t-ualach ar fad, a rochtain ar an braisle.

Úsáidtear prótacail agus scéimeanna éagsúla le haghaidh idirghníomhaíochta. Ó thaobh na slándála de, is mó an spéis atá againn:

  • An mheicníocht trína bhfaigheann an Helm CLI rochtain ar an repo cairte: cén prótacal, a bhfuil fíordheimhniú ann agus cad is féidir a dhéanamh leis.
  • An prótacal trína ndéanann Helm CLI, ag baint úsáide as kubectl, cumarsáid le Tiller. Is freastalaí RPC é seo atá suiteáilte laistigh den bhraisle.
  • Tá Tiller féin inrochtana do mhicrisheirbhísí a bhfuil cónaí orthu sa bhraisle agus a idirghníomhaíonn leis an Kube-apiserver.

Helm Slándáil

Déanaimis na réimsí seo go léir a phlé in ord.

RBAC

Ní miste labhairt faoi aon urrús do Helm nó aon seirbhís eile laistigh den bhraisle mura bhfuil RBAC cumasaithe.

Dealraíonn sé nach é seo an moladh is déanaí, ach táim cinnte nach bhfuil go leor daoine fós tar éis RBAC a chumasú fiú i dtáirgeadh, toisc go bhfuil sé go leor fuss agus is gá go leor rudaí a chumrú. Mar sin féin, molaim duit é seo a dhéanamh.

Helm Slándáil

https://rbac.dev/ — dlíodóir láithreáin ghréasáin do RBAC. Tá go leor ábhar suimiúil ann a chabhróidh leat RBAC a bhunú, a thaispeáint cén fáth go bhfuil sé go maith agus conas maireachtáil leis i dtáirgeadh go bunúsach.

Déanfaidh mé iarracht a mhíniú conas a oibríonn Tiller agus RBAC. Oibríonn tiller laistigh den bhraisle faoi chuntas seirbhíse áirithe. De ghnáth, mura bhfuil RBAC cumraithe, is é seo an sár-úsáideoir. Sa chumraíocht bhunúsach, beidh Tiller ina riarthóir. Sin é an fáth go ndeirtear go minic gur tollán SSH é Tiller chuig do bhraisle. Go deimhin, tá sé seo fíor, mar sin is féidir leat cuntas seirbhíse tiomnaithe ar leith a úsáid in ionad an Chuntais Seirbhíse Réamhshocraithe sa léaráid thuas.

Nuair a thosaíonn tú Helm agus é a shuiteáil ar an bhfreastalaí den chéad uair, is féidir leat an cuntas seirbhíse a shocrú ag baint úsáide as --service-account. Tabharfaidh sé seo deis duit úsáideoir a úsáid a bhfuil an t-íosmhéid cearta riachtanach aige. Fíor, beidh ort "garland" den sórt sin a chruthú: Ról agus Rólcheangal.

Helm Slándáil

Ar an drochuair, ní dhéanfaidh Helm é seo duit. Ní mór duit féin nó do riarthóir braisle Kubernetes sraith Róil agus Róilcheangail a ullmhú don chuntas seirbhíse roimh ré chun dul thar Helm.

Éiríonn an cheist - cad é an difríocht idir Ról agus ClusterRole? Is é an difríocht ná go n-oibríonn ClusterRole do gach ainmspás, murab ionann agus Róil rialta agus RoleBindings, nach n-oibríonn ach le haghaidh ainmspás speisialaithe. Is féidir leat polasaithe a chumrú don bhraisle iomlán agus do gach ainmspás, nó iad a phearsantú do gach ainmspás ina n-aonar.

Is fiú a lua go réitíonn RBAC fadhb mhór eile. Gearán a lán daoine nach bhfuil Helm, ar an drochuair, ilthionóntacht (ní thacaíonn ilthionóntacht). Má itheann roinnt foirne braisle agus go n-úsáideann Helm, tá sé dodhéanta go bunúsach polasaithe a bhunú agus a rochtain laistigh den bhraisle seo a theorannú, toisc go bhfuil cuntas seirbhíse áirithe ann faoina ritheann Helm, agus cruthaíonn sé na hacmhainní go léir sa bhraisle uaidh. , a uaireanta an-deacair. Tá sé seo fíor - cosúil leis an gcomhad dénártha féin, cosúil leis an bpróiseas, Níl aon choincheap ilthionóntachta ag Helm Tiller.

Mar sin féin, tá bealach iontach ann a ligeann duit Tiller a reáchtáil go minic i mbraisle. Níl aon fhadhb leis seo, is féidir Tiller a sheoladh i ngach ainmspás. Mar sin, is féidir leat RBAC, Kubeconfig a úsáid mar chomhthéacs, agus teorainn a chur le rochtain ar Helm speisialta.

Beidh sé cuma mar seo.

Helm Slándáil

Mar shampla, tá dhá Kubeconfigs le comhthéacs d'fhoirne éagsúla (dhá ainmspás): Foireann X don fhoireann forbartha agus an bhraisle riaracháin. Tá a Tiller leathan féin ag an mbraisle riaracháin, atá suite in ainmspás an chórais Kube, cuntas ardseirbhíse dá réir. Agus ainmspás ar leith ann don fhoireann forbartha, beidh siad in ann a gcuid seirbhísí a imscaradh chuig ainmspás speisialta.

Is cur chuige inoibrithe é seo, níl an chumhacht chomh ocras ag Tiller go gcuirfidh sé isteach go mór ar do bhuiséad. Tá sé seo ar cheann de na réitigh tapa.

Thig leat Tiller a chumrú ar leithligh agus Kubeconfig a sholáthar le comhthéacs don fhoireann, d’fhorbróir ar leith nó don chomhshaol: Dev, Staging, Production (tá sé amhrasach go mbeidh gach rud ar an mbraisle céanna, áfach, is féidir é seo a dhéanamh).

Ag leanúint lenár scéal, aistrímid ó RBAC agus labhair faoi ConfigMaps.

ConfigMaps

Úsáideann Helm ConfigMaps mar a stór sonraí. Nuair a labhair muid faoi ailtireacht, ní raibh aon bhunachar sonraí in áit ar bith a stórálfadh faisnéis faoi eisiúintí, cumraíochtaí, rolladh siar, etc. Úsáidtear ConfigMaps chuige seo.

Is eol an phríomhfhadhb le ConfigMaps - tá siad neamhshábháilte i bprionsabal; tá sé dodhéanta sonraí íogaire a stóráil. Táimid ag caint faoi gach rud nár cheart dul thar an tseirbhís, mar shampla, pasfhocail. Is é an bealach is dúchasach do Helm faoi láthair ná athrú ó ConfigMaps a úsáid go rúin.

Déantar é seo go han-simplí. Sáraigh an socrú Tiller agus sonraigh gur rúin a bheidh sa stóráil. Ansin do gach imscaradh gheobhaidh tú ní ConfigMap, ach rún.

Helm Slándáil

D’fhéadfá a mhaíomh gur coincheap aisteach iad rúin iad féin agus nach bhfuil siad an-slán. Mar sin féin, is fiú a thuiscint go bhfuil na forbróirí Kubernetes féin ag déanamh seo. Ag tosú ó leagan 1.10, i.e. Le tamall maith anois, bhí sé indéanta, ar a laghad i scamaill phoiblí, an stóráil cheart a nascadh le rúin a stóráil. Tá an fhoireann ag obair anois ar bhealaí chun rochtain ar rúin, pods aonair, nó aonáin eile a dháileadh níos fearr.

Tá sé níos fearr Helm Stórála a aistriú chuig rúin, agus déantar iad, ar a seal, a dhaingniú go lárnach.

Ar ndóigh fanfaidh sé teorainn stórála sonraí de 1 MB. Úsáideann Helm anseo etcd mar stóras dáilte do ConfigMaps. Agus mheas siad ansin go raibh sé seo ina smután sonraí oiriúnach le haghaidh macasamhlú, etc. Tá plé suimiúil faoi seo ar Reddit, molaim an léamh greannmhar seo a aimsiú don deireadh seachtaine nó an sliocht a léamh anseo.

Cairt Repos

Is iad na cairteacha na cinn is leochailí go sóisialta agus féadann siad a bheith ina bhfoinse “Man in the middle”, go háirithe má úsáideann tú réiteach stoic. Ar an gcéad dul síos, táimid ag caint faoi stórtha atá nochta trí HTTP.

Is cinnte go gcaithfidh tú Helm Repo a nochtadh thar HTTPS - is é seo an rogha is fearr agus tá sé saor.

Tabhair aird ar meicníocht sínithe cairte. Tá an teicneolaíocht simplí mar ifreann. Is é seo an rud céanna a úsáideann tú ar GitHub, meaisín PGP rialta le heochracha poiblí agus príobháideacha. Socraigh agus bí cinnte, agus na heochracha riachtanacha agat agus gach rud a shíniú, gurb é seo do chairt i ndáiríre.

Ina theannta sin, Tacaíonn cliant Helm le TLS (ní sa chiall HTTP ar thaobh an fhreastalaí, ach TLS frithpháirteach). Is féidir leat eochracha freastalaí agus cliant a úsáid chun cumarsáid a dhéanamh. Le bheith macánta, ní úsáidim meicníocht den sórt sin mar ní maith liom deimhnithe frithpháirteach. Go bunúsach, cairt-mhúsaem - an phríomhuirlis chun Helm Repo do Helm 2 a bhunú - tacaíonn sé leis an mbunúdar freisin. Is féidir leat bunúdar a úsáid má tá sé níos áisiúla agus níos ciúine.

Tá breiseán ann freisin helm-gcs, a ligeann duit Cairt Repos a óstáil ar Google Cloud Storage. Tá sé seo áisiúil go leor, oibríonn sé go hiontach agus tá sé sábháilte go leor, toisc go ndéantar na meicníochtaí go léir a thuairiscítear a athchúrsáil.

Helm Slándáil

Má chumasaíonn tú HTTPS nó TLS, bain úsáid as mTLS, agus má chumasaíonn tú bunúdar chun rioscaí a laghdú tuilleadh, gheobhaidh tú cainéal cumarsáide slán le Helm CLI agus Chart Repo.

gRPC API

Tá an chéad chéim eile an-tábhachtach - chun Tiller a dhaingniú, atá suite sa bhraisle agus atá, ar thaobh amháin, freastalaí, ar an taobh eile, faigheann sé rochtain ar chomhpháirteanna eile agus déanann sé iarracht ligean air gur duine é.

Mar a dúirt mé cheana, is seirbhís é Tiller a nochtann gRPC, tagann an cliant Helm chuige trí gRPC. De réir réamhshocraithe, ar ndóigh, tá TLS díchumasaithe. Is ceist díospóireachta í an fáth a ndearnadh é seo, feictear domsa an socrú a shimpliú ag an tús.

Le haghaidh táirgeadh agus fiú stáitse, molaim TLS a chumasú ar gRPC.

Is é mo thuairim, murab ionann agus mTLS le haghaidh cairteacha, tá sé seo oiriúnach anseo agus déantar é go han-simplí - bonneagar PQI a ghiniúint, deimhniú a chruthú, Tiller a sheoladh, an deimhniú a aistriú le linn thúsaithe. Tar éis seo, is féidir leat gach ordú Helm a fhorghníomhú, agus an teastas ginte agus an eochair phríobháideach á thaispeáint duit féin.

Helm Slándáil

Ar an mbealach seo beidh tú tú féin a chosaint ó gach iarratas chuig Tiller ó lasmuigh den bhraisle.

Mar sin, tá an cainéal nasctha le Tiller daingnithe againn, tá RBAC pléite againn cheana féin agus rinneamar cearta an apiserver Kubernetes a choigeartú, ag laghdú an fhearainn lena bhféadfaidh sé idirghníomhú.

Helm Cosanta

Breathnaímid ar an léaráid dheireanach. Tá sé an ailtireacht céanna leis na saigheada céanna.

Helm Slándáil

Is féidir gach nasc a tharraingt go sábháilte anois i glas:

  • le haghaidh Chart Repo úsáidimid TLS nó mTLS agus bunúdar;
  • mTLS do Tiller, agus tá sé nochta mar sheirbhís gRPC le TLS, úsáidimid deimhnithe;
  • úsáideann an braisle cuntas seirbhíse speisialta le Ról agus Rolcheangail. 

Tá an braisle slánaithe againn go suntasach, ach dúirt duine éigin cliste:

“Ní féidir ach réiteach iomlán sábháilte amháin a bheith ann - ríomhaire múchta, atá suite i mbosca coincréite agus atá cosanta ag saighdiúirí.”

Tá bealaí éagsúla ann chun sonraí a ionramháil agus veicteoirí ionsaithe nua a aimsiú. Mar sin féin, táim muiníneach go mbainfidh na moltaí seo amach bunchaighdeán tionscail maidir le sábháilteacht.

bónas

Níl baint dhíreach ag an gcuid seo le slándáil, ach beidh sé úsáideach freisin. Taispeánfaidh mé roinnt rudaí suimiúla duit nach bhfuil mórán daoine ar an eolas fúthu. Mar shampla, conas cairteacha a chuardach - oifigiúil agus neamhoifigiúil.

Sa stór github.com/helm/charts Anois tá thart ar 300 cairt agus dhá shruth: cobhsaí agus gorlainne. Tá a fhios ag aon duine a dhéanann rannchuidiú go maith cé chomh deacair is atá sé dul ó ghorlann go cobhsaí, agus cé chomh héasca is atá sé eitilt amach as an stábla. Mar sin féin, ní hé seo an uirlis is fearr chun cuardach a dhéanamh ar chairteacha do Prometheus agus cibé rud eile is mian leat, ar chúis shimplí amháin - ní tairseach é inar féidir leat pacáistí a chuardach go caothúil.

Ach tá seirbhís ann mol.helm.sh, rud a fhágann go bhfuil sé i bhfad níos áisiúla cairteacha a aimsiú. Níos tábhachtaí fós, tá i bhfad níos mó stórtha seachtracha agus beagnach 800 charms ar fáil. Ina theannta sin, is féidir leat do stór a nascadh más rud é ar chúis éigin nach bhfuil tú ag iarraidh do chairteacha a chur chuig cobhsaí.

Bain triail as hub.helm.sh agus déanaimis é a fhorbairt le chéile. Tá an tseirbhís seo faoi thionscadal Helm, agus is féidir leat cur lena Chomhéadain fiú más forbróir tosaigh tú agus díreach ag iarraidh an chuma a fheabhsú.

Ba mhaith liom d’aird a tharraingt air freisin Comhtháthú API Open Service Broker. Fuaimeann sé achrannach agus doiléir, ach réitíonn sé fadhbanna atá os comhair gach duine. Lig dom a mhíniú le sampla simplí.

Helm Slándáil

Tá braisle Kubernetes ann inar mian linn feidhmchlár clasaiceach a reáchtáil - WordPress. Go ginearálta, tá gá le bunachar sonraí le haghaidh feidhmiúlacht iomlán. Tá go leor réitigh éagsúla ann, mar shampla, is féidir leat do sheirbhís stáit féin a sheoladh. Níl sé seo an-áisiúil, ach déanann go leor daoine é.

Úsáideann daoine eile, cosúil linne ag Chainstack, bunachair shonraí bhainistithe mar MySQL nó PostgreSQL dá bhfreastalaithe. Sin an fáth go bhfuil ár gcuid bunachair shonraí lonnaithe áit éigin sa scamall.

Ach tagann fadhb chun cinn: ní mór dúinn ár seirbhís a nascadh le bunachar sonraí, blas bunachar sonraí a chruthú, an dintiúir a aistriú agus é a bhainistiú ar bhealach éigin. Is gnách go ndéanann riarthóir an chórais nó an forbróir é seo go léir de láimh. Agus níl aon fhadhb ann nuair nach bhfuil mórán iarratas ann. Nuair a bhíonn go leor acu, is gá duit le chéile. Tá a leithéid de bhuainteoir ann - is Bróicéir Seirbhíse é. Ligeann sé duit breiseán speisialta a úsáid le haghaidh braisle scamall poiblí agus acmhainní a ordú ón soláthraí trí Bhróicéir, amhail is dá mba API é. Chun seo a dhéanamh, is féidir leat uirlisí dúchais Kubernetes a úsáid.

Tá sé an-simplí. Is féidir leat ceist a chur, mar shampla, Managed MySQL in Azure le bunsraith (is féidir é seo a chumrú). Ag baint úsáide as an Azure API, déanfar an bunachar sonraí a chruthú agus a ullmhú le húsáid. Ní gá duit cur isteach air seo, tá an breiseán freagrach as seo. Mar shampla, tabharfaidh OSBA (breiseán Azure) ar ais dintiúr don tseirbhís agus cuirfidh sé ar aghaidh chuig Helm é. Beidh tú in ann WordPress a úsáid le scamall MySQL, gan déileáil le bunachair shonraí bhainistithe ar chor ar bith agus gan a bheith buartha faoi sheirbhísí státchabhrach taobh istigh.

Is féidir linn a rá go bhfeidhmíonn Helm mar ghliú a ligeann duit, ar thaobh amháin, seirbhísí a imscaradh, agus ar an taobh eile, acmhainní soláthraithe scamall a ithe.

Is féidir leat do bhreiseán féin a scríobh agus an scéal iomlán seo a úsáid ar an láthair. Ansin ní bheidh ach do bhreiseán féin agat don soláthraí corparáideach Cloud. Molaim an cur chuige seo a thriail, go háirithe má tá scála mór agat agus gur mhaith leat dev, stáitsiú, nó an bonneagar iomlán a imscaradh go tapa le haghaidh gné. Déanfaidh sé seo an saol níos éasca do d’oibríochtaí nó do DevOps.

Fionnachtain eile a luaigh mé cheana ná breiseán helm-gcs, a ligeann duit Google-buicéid (stóráil réad) a úsáid chun cairteacha Helm a stóráil.

Helm Slándáil

Níl uait ach ceithre ordú chun é a úsáid:

  1. shuiteáil an breiseán;
  2. é a thionscnamh;
  3. socraigh an cosán go dtí an buicéad, atá suite i gcp;
  4. cairteacha a fhoilsiú ar an mbealach caighdeánach.

Is í an áilleacht ná go n-úsáidfear an modh dúchais gcp le haghaidh údarú. Is féidir leat cuntas seirbhíse, cuntas forbróra, cibé rud is mian leat a úsáid. Tá sé an-áisiúil agus ní chosnaíonn sé aon rud a oibriú. Má chuireann tú féin, cosúil liomsa, an fhealsúnacht opsless chun cinn, ansin beidh sé seo an-áisiúil, go háirithe d'fhoirne beaga.

Roghanna eile

Ní hé Helm an t-aon réiteach bainistíochta seirbhíse. Tá go leor ceisteanna mar gheall air, agus is dócha gurb é sin an fáth gur tháinig an tríú leagan chomh tapa sin. Ar ndóigh tá roghanna eile ann.

Is féidir iad seo a bheith ina réitigh speisialaithe, mar shampla, Ksonnet nó Metaparticle. Is féidir leat do chuid uirlisí bainistíochta bonneagair clasaiceach (Ansible, Terraform, Chef, etc.) a úsáid chun na críocha céanna a labhair mé faoi.

Ar deireadh tá réiteach Creat Oibreoir, a bhfuil a tóir ag fás.

Is é Creat Oibreora an rogha eile is fearr le Helm a bhreithniú.

Tá sé níos dúchasach do CNCF agus Kubernetes, ach tá an bacainn iontrála i bhfad níos airde, ní mór duit a ríomhchlárú níos mó agus cur síos manifests níos lú.

Tá breiseáin éagsúla ann, mar shampla Dréacht, Scaffold. Déanann siad an saol i bhfad níos éasca, mar shampla, déanann siad an timthriall a bhaineann le Helm a sheoladh agus a sheoladh a shimpliú d'fhorbróirí chun timpeallacht tástála a imscaradh. Thabharfainn cumhachtóirí orthu.

Seo cairt amhairc de cá bhfuil gach rud.

Helm Slándáil

Ar an x-ais tá an leibhéal rialaithe pearsanta atá agat ar a bhfuil ag tarlú, ar an y-ais tá leibhéal dúchais Kubernetes. Titeann leagan Helm 2 áit éigin sa lár. I leagan 3, ní go mór, ach tá an dá rialú agus an leibhéal dúchais feabhsaithe. Tá réitigh ag leibhéal Ksonnet níos ísle fós fiú go Helm 2. Mar sin féin, is fiú féachaint orthu chun a fháil amach cad eile atá sa saol seo. Ar ndóigh, beidh do bhainisteoir cumraíochta faoi do smacht, ach is fíor nach bhfuil sé dúchasach do Kubernetes.

Tá an Creat Oibreora go hiomlán dúchais do Kubernetes agus ligeann duit é a bhainistiú i bhfad níos galánta agus níos scrupallach (ach cuimhnigh faoin leibhéal iontrála). Ina ionad sin, tá sé seo oiriúnach le haghaidh iarratas speisialaithe agus cruthú bainistíochta dó, seachas buainteoir mais do phacáistiú líon mór iarratas ag baint úsáide as Helm.

Ní dhéanann na sínitheoirí ach an rialú a fheabhsú beagán, comhlánaíonn siad sreabhadh oibre, nó gearrann siad coirnéil ar phíblínte CI / CD.

Todhchaí Helm

Is é an dea-scéal go bhfuil Helm 3 ag teacht.Tá an leagan alfa de Helm 3.0.0-alpha.2 scaoileadh cheana féin, is féidir leat triail a bhaint as. Tá sé cobhsaí go leor, ach tá feidhmiúlacht fós teoranta.

Cén fáth a bhfuil Helm 3 de dhíth ort? Ar an gcéad dul síos, is scéal é seo faoi cealú Tiller, mar chomhpháirt. Is céim mhór chun cinn é seo, mar a thuigeann tú cheana féin, mar ó thaobh slándála na hailtireachta de, tá gach rud simplithe.

Nuair a cruthaíodh Helm 2, a bhí thart ar an am Kubernetes 1.8 nó fiú níos luaithe, bhí go leor de na coincheapa neamhaibí. Mar shampla, tá coincheap CRD á chur i bhfeidhm go gníomhach anois, agus déanfaidh Helm úsáid CRDchun struchtúir a stóráil. Beifear in ann an cliant a úsáid amháin agus gan an chuid freastalaí a chothabháil. Dá réir sin, bain úsáid as orduithe dúchais Kubernetes chun oibriú le struchtúir agus acmhainní. Is céim ollmhór chun cinn é seo.

Beidh le feiceáil tacaíocht do stórtha dúchasacha OCI (Tionscnamh Coimeádán Oscailte). Is tionscnamh ollmhór é seo, agus tá suim ag Helm go príomha chun a chairteacha a phostáil. Tagann sé go dtí an pointe, mar shampla, go dtacaíonn Docker Hub le go leor caighdeáin OCI. Nílim ag buille faoi thuairim, ach b'fhéidir go dtosóidh soláthraithe stórtha clasaiceacha Docker ag tabhairt deis duit do chairteacha Helm a óstáil.

Is é an scéal conspóideach dom Tacaíocht Lua, mar inneall templúcháin chun scripteanna a scríobh. Níl mé ina lucht leanúna mór de Lua, ach bheadh ​​​​sé seo ina ghné go hiomlán roghnach. Sheiceáil mé é seo 3 huaire - ní bheidh gá le Lua a úsáid. Dá bhrí sin, iad siúd ar mian leo a bheith in ann Lua a úsáid, iad siúd ar mhaith leo Téigh isteach inár gcampa ollmhór agus bain úsáid as go-tmpl le haghaidh seo.

Mar fhocal scoir, ba é an rud a bhí in easnamh orm go cinnte teacht chun cinn scéimre agus bailíochtú cineáil sonraí. Ní bheidh níos mó fadhbanna ann le slánuimhir nó sreang, ní gá náid a fhilleadh i Sleachta dúbailte. Taispeánfar scéimre JSONS a ligfidh duit cur síos sonrach a dhéanamh air seo le haghaidh luachanna.

Déanfar athoibriú mór air samhail imeacht-tiomáinte. Tá sé curtha síos go coincheapúil cheana féin. Féach ar bhrainse Helm 3, agus feicfidh tú cé mhéad imeachtaí agus crúcaí agus rudaí eile a cuireadh leis, rud a shimpleoidh go mór agus, ar an taobh eile, a chuirfidh smacht ar na próisis imscaradh agus ar na frithghníomhartha dóibh.

Beidh Helm 3 níos simplí, níos sábháilte, agus níos spraoi, ní toisc nach maith linn Helm 2, ach toisc go bhfuil Kubernetes ag éirí níos forbartha. Dá réir sin, is féidir le Helm forbairtí Kubernetes a úsáid agus bainisteoirí den scoth a chruthú do Kubernetes air.

Dea-scéal eile é sin DevOpsConf Alexander Khayorov insint duit saor in aisce,. an féidir coimeádáin a bheith slán? Cuir i gcuimhne duit go reáchtálfar an chomhdháil ar chomhtháthú próisis forbartha, tástála agus oibríochta i Moscó 30 Meán Fómhair agus 1 Deireadh Fómhair. Is féidir leat é a dhéanamh fós go dtí an 20 Lúnasa tuairisc a chur isteach agus inis dúinn faoi do thaithí leis an réiteach ceann de go leor cúraimí chur chuige DevOps.

Lean seicphointí comhdhála agus nuacht ag liosta seoltaí и cainéal teileagraim.

Foinse: will.com

Add a comment