कुबेरनेट्स डैशबोर्ड और गिटलैब उपयोगकर्ताओं का एकीकरण

कुबेरनेट्स डैशबोर्ड आपके चल रहे क्लस्टर के बारे में नवीनतम जानकारी प्राप्त करने और न्यूनतम प्रयास के साथ इसे प्रबंधित करने के लिए उपयोग में आसान उपकरण है। आप इसकी और भी अधिक सराहना करना शुरू करते हैं जब इन सुविधाओं तक पहुंच की आवश्यकता न केवल प्रशासकों/डेवऑप्स इंजीनियरों को होती है, बल्कि उन लोगों को भी होती है जो कंसोल के कम आदी हैं और/या कुबेक्टल के साथ बातचीत की सभी जटिलताओं से निपटने का इरादा नहीं रखते हैं। अन्य उपयोगिताएँ। यह हमारे साथ हुआ: डेवलपर्स कुबेरनेट्स वेब इंटरफ़ेस तक त्वरित पहुंच चाहते थे, और चूंकि हम GitLab का उपयोग करते हैं, इसलिए समाधान स्वाभाविक रूप से आया।

ऐसा क्यों है?

डिबगिंग कार्यों के लिए डायरेक्ट डेवलपर्स को K8s डैशबोर्ड जैसे टूल में रुचि हो सकती है। कभी-कभी आप लॉग और संसाधन देखना चाहते हैं, और कभी-कभी पॉड्स को मारना चाहते हैं, परिनियोजन/स्टेटफुलसेट्स को स्केल करना चाहते हैं, और यहां तक ​​कि कंटेनर कंसोल पर भी जाना चाहते हैं (इसके लिए अनुरोध भी हैं, हालांकि, एक और तरीका है - उदाहरण के लिए, के माध्यम से) kubectl-डीबग).

इसके अलावा, प्रबंधकों के लिए एक मनोवैज्ञानिक क्षण होता है जब वे क्लस्टर को देखना चाहते हैं - यह देखने के लिए कि "सब कुछ हरा है", और इस तरह खुद को आश्वस्त करें कि "सब कुछ काम कर रहा है" (जो, निश्चित रूप से, बहुत सापेक्ष है... लेकिन यह लेख के दायरे से बाहर है)।

एक मानक सीआई प्रणाली के रूप में हमारे पास है लागू GitLab: सभी डेवलपर्स भी इसका उपयोग करते हैं। इसलिए, उन्हें पहुंच प्रदान करने के लिए, डैशबोर्ड को GitLab खातों के साथ एकीकृत करना तर्कसंगत था।

मैं यह भी नोट करूंगा कि हम एनजीआईएनएक्स इनग्रेस का उपयोग करते हैं। यदि आप दूसरों के साथ काम करते हैं प्रवेश समाधान, आपको प्राधिकरण के लिए एनोटेशन के एनालॉग्स को स्वतंत्र रूप से खोजने की आवश्यकता होगी।

एकीकरण का प्रयास कर रहा हूँ

डैशबोर्ड स्थापना

ध्यान: यदि आप नीचे दिए गए चरणों को दोहराने जा रहे हैं, तो - अनावश्यक परिचालन से बचने के लिए - पहले अगले उपशीर्षक को पढ़ें।

चूँकि हम इस एकीकरण का उपयोग कई संस्थापनों में करते हैं, इसलिए हमने इसकी स्थापना को स्वचालित कर दिया है। इसके लिए आवश्यक स्रोतों को इसमें प्रकाशित किया गया है विशेष GitHub रिपॉजिटरी. वे थोड़े संशोधित YAML कॉन्फ़िगरेशन पर आधारित हैं आधिकारिक डैशबोर्ड रिपॉजिटरी, साथ ही त्वरित तैनाती के लिए एक बैश स्क्रिप्ट।

स्क्रिप्ट क्लस्टर में डैशबोर्ड स्थापित करती है और इसे GitLab के साथ एकीकरण के लिए कॉन्फ़िगर करती है:

$ ./ctl.sh  
Usage: ctl.sh [OPTION]... --gitlab-url GITLAB_URL --oauth2-id ID --oauth2-secret SECRET --dashboard-url DASHBOARD_URL
Install kubernetes-dashboard to Kubernetes cluster.
Mandatory arguments:
 -i, --install                install into 'kube-system' namespace
 -u, --upgrade                upgrade existing installation, will reuse password and host names
 -d, --delete                 remove everything, including the namespace
     --gitlab-url             set gitlab url with schema (https://gitlab.example.com)
     --oauth2-id              set OAUTH2_PROXY_CLIENT_ID from gitlab
     --oauth2-secret          set OAUTH2_PROXY_CLIENT_SECRET from gitlab
     --dashboard-url          set dashboard url without schema (dashboard.example.com)
Optional arguments:
 -h, --help                   output this message

हालाँकि, इसका उपयोग करने से पहले, आपको GitLab: एडमिन एरिया → एप्लिकेशन - पर जाना होगा और भविष्य के पैनल के लिए एक नया एप्लिकेशन जोड़ना होगा। आइए इसे "कुबेरनेट्स डैशबोर्ड" कहें:

इसे जोड़ने के परिणामस्वरूप, GitLab हैश प्रदान करेगा:

वे वही हैं जिनका उपयोग स्क्रिप्ट के तर्क के रूप में किया जाता है। परिणामस्वरूप, इंस्टॉलेशन इस तरह दिखता है:

$ ./ctl.sh -i --gitlab-url https://gitlab.example.com --oauth2-id 6a52769e… --oauth2-secret 6b79168f… --dashboard-url dashboard.example.com

उसके बाद, आइए जाँचें कि सब कुछ शुरू हुआ:

$ kubectl -n kube-system get pod | egrep '(dash|oauth)'
kubernetes-dashboard-76b55bc9f8-xpncp   1/1       Running   0          14s
oauth2-proxy-5586ccf95c-czp2v           1/1       Running   0          14s

हालाँकि, देर-सबेर सब कुछ शुरू हो जाएगा प्राधिकरण तुरंत काम नहीं करेगा! तथ्य यह है कि उपयोग की गई छवि में (अन्य छवियों की स्थिति समान है) कॉलबैक में रीडायरेक्ट को पकड़ने की प्रक्रिया गलत तरीके से लागू की गई है। यह परिस्थिति इस तथ्य की ओर ले जाती है कि Oauth उस कुकी को मिटा देता है जो Oauth स्वयं हमें प्रदान करता है...

एक पैच के साथ अपनी स्वयं की OAuth छवि बनाकर समस्या का समाधान किया जाता है।

Oauth को पैच करें और पुनः इंस्टॉल करें

ऐसा करने के लिए, हम निम्नलिखित Dockerfile का उपयोग करेंगे:

FROM golang:1.9-alpine3.7
WORKDIR /go/src/github.com/bitly/oauth2_proxy

RUN apk --update add make git build-base curl bash ca-certificates wget 
&& update-ca-certificates 
&& curl -sSO https://raw.githubusercontent.com/pote/gpm/v1.4.0/bin/gpm 
&& chmod +x gpm 
&& mv gpm /usr/local/bin
RUN git clone https://github.com/bitly/oauth2_proxy.git . 
&& git checkout bfda078caa55958cc37dcba39e57fc37f6a3c842  
ADD rd.patch .
RUN patch -p1 < rd.patch 
&& ./dist.sh

FROM alpine:3.7
RUN apk --update add curl bash  ca-certificates && update-ca-certificates
COPY --from=0 /go/src/github.com/bitly/oauth2_proxy/dist/ /bin/

EXPOSE 8080 4180
ENTRYPOINT [ "/bin/oauth2_proxy" ]
CMD [ "--upstream=http://0.0.0.0:8080/", "--http-address=0.0.0.0:4180" ]

और यहाँ rd.patch पैच कैसा दिखता है

diff --git a/dist.sh b/dist.sh
index a00318b..92990d4 100755
--- a/dist.sh
+++ b/dist.sh
@@ -14,25 +14,13 @@ goversion=$(go version | awk '{print $3}')
sha256sum=()
 
echo "... running tests"
-./test.sh
+#./test.sh
 
-for os in windows linux darwin; do
-    echo "... building v$version for $os/$arch"
-    EXT=
-    if [ $os = windows ]; then
-        EXT=".exe"
-    fi
-    BUILD=$(mktemp -d ${TMPDIR:-/tmp}/oauth2_proxy.XXXXXX)
-    TARGET="oauth2_proxy-$version.$os-$arch.$goversion"
-    FILENAME="oauth2_proxy-$version.$os-$arch$EXT"
-    GOOS=$os GOARCH=$arch CGO_ENABLED=0 
-        go build -ldflags="-s -w" -o $BUILD/$TARGET/$FILENAME || exit 1
-    pushd $BUILD/$TARGET
-    sha256sum+=("$(shasum -a 256 $FILENAME || exit 1)")
-    cd .. && tar czvf $TARGET.tar.gz $TARGET
-    mv $TARGET.tar.gz $DIR/dist
-    popd
-done
+os='linux'
+echo "... building v$version for $os/$arch"
+TARGET="oauth2_proxy-$version.$os-$arch.$goversion"
+GOOS=$os GOARCH=$arch CGO_ENABLED=0 
+    go build -ldflags="-s -w" -o ./dist/oauth2_proxy || exit 1
  
checksum_file="sha256sum.txt"
cd $DIR/dists
diff --git a/oauthproxy.go b/oauthproxy.go
index 21e5dfc..df9101a 100644
--- a/oauthproxy.go
+++ b/oauthproxy.go
@@ -381,7 +381,9 @@ func (p *OAuthProxy) SignInPage(rw http.ResponseWriter, req *http.Request, code
       if redirect_url == p.SignInPath {
               redirect_url = "/"
       }
-
+       if req.FormValue("rd") != "" {
+               redirect_url = req.FormValue("rd")
+       }
       t := struct {
               ProviderName  string
               SignInMessage string

अब आप छवि बना सकते हैं और उसे हमारे GitLab में डाल सकते हैं। अगले में manifests/kube-dashboard-oauth2-proxy.yaml वांछित छवि का उपयोग इंगित करें (इसे अपनी छवि से बदलें):

 image: docker.io/colemickens/oauth2_proxy:latest

यदि आपके पास एक रजिस्ट्री है जो प्राधिकरण द्वारा बंद है, तो छवियों को खींचने के लिए एक रहस्य का उपयोग जोड़ना न भूलें:

      imagePullSecrets:
     - name: gitlab-registry

...और रजिस्ट्री के लिए रहस्य स्वयं जोड़ें:

---
apiVersion: v1
data:
 .dockercfg: eyJyZWdpc3RyeS5jb21wYW55LmNvbSI6IHsKICJ1c2VybmFtZSI6ICJvYXV0aDIiLAogInBhc3N3b3JkIjogIlBBU1NXT1JEIiwKICJhdXRoIjogIkFVVEhfVE9LRU4iLAogImVtYWlsIjogIm1haWxAY29tcGFueS5jb20iCn0KfQoK
=
kind: Secret
metadata:
 annotations:
 name: gitlab-registry
 namespace: kube-system
type: kubernetes.io/dockercfg

चौकस पाठक देखेगा कि उपरोक्त लंबी स्ट्रिंग कॉन्फ़िगरेशन से बेस 64 है:

{"registry.company.com": {
 "username": "oauth2",
 "password": "PASSWORD",
 "auth": "AUTH_TOKEN",
 "email": "[email protected]"
}
}

यह GitLab में उपयोगकर्ता डेटा है, कुबेरनेट्स कोड छवि को रजिस्ट्री से खींच लेगा।

सब कुछ हो जाने के बाद, आप कमांड के साथ वर्तमान (सही ढंग से काम नहीं कर रहे) डैशबोर्ड इंस्टॉलेशन को हटा सकते हैं:

$ ./ctl.sh -d

... और सब कुछ फिर से स्थापित करें:

$ ./ctl.sh -i --gitlab-url https://gitlab.example.com --oauth2-id 6a52769e… --oauth2-secret 6b79168f… --dashboard-url dashboard.example.com

अब डैशबोर्ड पर जाने और एक पुरातन लॉगिन बटन ढूंढने का समय आ गया है:

इस पर क्लिक करने के बाद, GitLab हमें अपने सामान्य पृष्ठ पर लॉग इन करने की पेशकश करते हुए स्वागत करेगा (बेशक, अगर हमने पहले वहां लॉग इन नहीं किया है):

हम GitLab क्रेडेंशियल्स के साथ लॉग इन करते हैं - और सब कुछ हो गया:

डैशबोर्ड सुविधाओं के बारे में

यदि आप एक डेवलपर हैं, जिसने पहले कुबेरनेट्स के साथ काम नहीं किया है, या बस किसी कारण से पहले डैशबोर्ड का सामना नहीं किया है, तो मैं इसकी कुछ क्षमताओं का वर्णन करूंगा।

सबसे पहले, आप देख सकते हैं कि "सब कुछ हरा है":

पॉड्स के लिए अधिक विस्तृत डेटा भी उपलब्ध है, जैसे पर्यावरण चर, डाउनलोड की गई छवि, लॉन्च तर्क और उनकी स्थिति:

परिनियोजन की दृश्यमान स्थितियाँ हैं:

...और अन्य विवरण:

...और तैनाती को मापने की क्षमता भी है:

इस ऑपरेशन का परिणाम:

लेख की शुरुआत में पहले से ही उल्लिखित अन्य उपयोगी सुविधाओं में लॉग देखना शामिल है:

... और चयनित पॉड के कंटेनर कंसोल में लॉग इन करने का फ़ंक्शन:

उदाहरण के लिए, आप नोड्स पर सीमाएं/अनुरोध भी देख सकते हैं:

बेशक, ये पैनल की सभी क्षमताएं नहीं हैं, लेकिन मुझे आशा है कि आपको सामान्य विचार मिल जाएगा।

एकीकरण और डैशबोर्ड के नुकसान

वर्णित एकीकरण में कोई नहीं है अभिगम नियंत्रण. इसके साथ, GitLab तक पहुंच रखने वाले सभी उपयोगकर्ता डैशबोर्ड तक पहुंच प्राप्त करते हैं। डैशबोर्ड में उनके पास वही पहुंच है, जो डैशबोर्ड के अधिकारों के अनुरूप है आरबीएसी में परिभाषित हैं. जाहिर है, यह हर किसी के लिए उपयुक्त नहीं है, लेकिन हमारे मामले के लिए यह पर्याप्त साबित हुआ।

डैशबोर्ड में ध्यान देने योग्य कमियों के बीच, मैं निम्नलिखित पर ध्यान देता हूं:

• init कंटेनर के कंसोल में जाना असंभव है;
• परिनियोजन और स्टेटफुलसेट को संपादित करना असंभव है, हालाँकि इसे ClusterRole में ठीक किया जा सकता है;
• कुबेरनेट्स के नवीनतम संस्करणों के साथ डैशबोर्ड की अनुकूलता और परियोजना के भविष्य पर सवाल उठते हैं।

आखिरी समस्या विशेष ध्यान देने योग्य है।

डैशबोर्ड स्थिति और विकल्प

कुबेरनेट्स रिलीज़ के साथ डैशबोर्ड संगतता तालिका, परियोजना के नवीनतम संस्करण में प्रस्तुत की गई है (v1.10.1), बहुत खुश नहीं:

इसके बावजूद, (जनवरी में पहले ही अपनाया जा चुका है) पीआर # 3476, जो K8s 1.13 के लिए समर्थन की घोषणा करता है। इसके अलावा, प्रोजेक्ट मुद्दों के बीच आप K8s 1.14 में पैनल के साथ काम करने वाले उपयोगकर्ताओं के संदर्भ पा सकते हैं। अंत में, करता है प्रोजेक्ट के कोड बेस में न रुकें। तो (कम से कम!) परियोजना की वास्तविक स्थिति उतनी बुरी नहीं है जितनी पहली बार आधिकारिक संगतता तालिका से लग सकती है।

अंततः, डैशबोर्ड के विकल्प मौजूद हैं। उनमें से:

1. K8डैश - एक युवा इंटरफ़ेस (पहला कमिट इस साल मार्च में हुआ था), जो पहले से ही अच्छी सुविधाएँ प्रदान करता है, जैसे क्लस्टर की वर्तमान स्थिति और उसके ऑब्जेक्ट के प्रबंधन का दृश्य प्रतिनिधित्व। "वास्तविक समय इंटरफ़ेस" के रूप में स्थापित, क्योंकि आपको ब्राउज़र में पृष्ठ को ताज़ा करने की आवश्यकता के बिना प्रदर्शित डेटा को स्वचालित रूप से अपडेट करता है।
2. ओपनशिफ्ट कंसोल - Red Hat OpenShift का एक वेब इंटरफ़ेस, जो, हालांकि, प्रोजेक्ट के अन्य विकासों को आपके क्लस्टर में लाएगा, जो सभी के लिए उपयुक्त नहीं है।
3. कुबेरनेटर एक दिलचस्प प्रोजेक्ट है, जो सभी क्लस्टर ऑब्जेक्ट्स को देखने की क्षमता के साथ निचले स्तर (डैशबोर्ड की तुलना में) इंटरफ़ेस के रूप में बनाया गया है। हालाँकि, ऐसा लग रहा है कि इसका विकास रुक गया है।
4. पोलरिस - अभी दूसरे दिन की घोषणा की एक परियोजना जो एक पैनल के कार्यों को जोड़ती है (क्लस्टर की वर्तमान स्थिति दिखाती है, लेकिन इसकी वस्तुओं का प्रबंधन नहीं करती है) और स्वचालित "सर्वोत्तम प्रथाओं का सत्यापन" (क्लस्टर में चल रहे तैनाती के कॉन्फ़िगरेशन की शुद्धता की जांच करता है)।

निष्कर्ष के बजाय

डैशबोर्ड हमारे द्वारा प्रदान किए जाने वाले कुबेरनेट क्लस्टर के लिए एक मानक उपकरण है। GitLab के साथ इसका एकीकरण भी हमारे डिफ़ॉल्ट इंस्टॉलेशन का हिस्सा बन गया है, क्योंकि कई डेवलपर्स इस पैनल के साथ मौजूद क्षमताओं को लेकर उत्साहित हैं।

कुबेरनेट्स डैशबोर्ड में समय-समय पर ओपन सोर्स समुदाय से विकल्प आते हैं (और हम उन पर विचार करके खुश हैं), लेकिन इस स्तर पर हम इस समाधान के साथ बने हुए हैं।

पुनश्च

हमारे ब्लॉग पर भी पढ़ें:

• «क्यूबबॉक्स और कुबेरनेट्स के लिए अन्य गोले";
• «कुबेरनेट्स और गिटलैब के साथ सर्वोत्तम सीआई/सीडी अभ्यास (समीक्षा और वीडियो रिपोर्ट)";
• «Dapp और GitLab CI का उपयोग करके कुबेरनेट्स में एप्लिकेशन बनाएं और तैनात करें";
• «उत्पादन में निरंतर एकीकरण और वितरण के लिए GitLab CI। भाग 1: हमारी पाइपलाइन'.

स्रोत: www.habr.com