CRI-O כתחליף ל-Docker כסביבת הפעלה עבור Kubernetes: התקנה ב- CentOS 8

שלום! שמי סרגיי, אני DevOps ב-Surf. מחלקת DevOps ב-Surf שואפת לא רק ליצור אינטראקציה בין מומחים ולשלב תהליכי עבודה, אלא גם לחקור וליישם באופן אקטיבי טכנולוגיות עדכניות הן בתשתית שלה והן בתשתית הלקוח.

להלן אדבר מעט על השינויים בערימת הטכנולוגיה למכולות שנתקלנו בהן במהלך לימוד ההפצה CentOS 8 ועל מה שיש CRI-O וכיצד להגדיר במהירות סביבת הפעלה עבור קוברנט.

מדוע Docker אינו כלול ב- CentOS 8?

לאחר התקנת המהדורות העיקריות האחרונות rhel 8 או CentOS 8 אי אפשר שלא לשים לב: ההפצות והמאגרים הרשמיים הללו אינם מכילים את האפליקציה סַוָר, שמחליפות מבחינה אידיאולוגית ופונקציונלית חבילות פודמן, Buildah (נוכח בהפצה כברירת מחדל) ו CRI-O. זאת בשל יישום מעשי של תקנים שפותחו, בין היתר, על ידי Red Hat במסגרת פרויקט Open Container Initiative (OCI).

המטרה של OCI, שהיא חלק מ-The Linux Foundation, היא ליצור סטנדרטים פתוחים בתעשייה עבור פורמטים של קונטיינר וזמני ריצה הפותרים מספר בעיות בו-זמנית. ראשית, הם לא סתרו את הפילוסופיה של לינוקס (למשל, בחלק שכל תוכנה צריכה לבצע פעולה אחת, וכן סַוָר הוא סוג של קומבינה הכל באחד). שנית, הם יכולים לבטל את כל הליקויים הקיימים בתוכנה סַוָר. שלישית, הם יהיו תואמים לחלוטין לדרישות העסקיות של פלטפורמות מסחריות מובילות לפריסה, ניהול והגשה של אפליקציות מכולות (לדוגמה, Red Hat OpenShift).

מגבלות סַוָר והיתרונות של התוכנה החדשה כבר תוארו בפירוט מסוים ב מאמר זה, ותיאור מפורט של כל ערימת התוכנה המוצעת במסגרת פרויקט OCI והתכונות הארכיטקטוניות שלו ניתן למצוא בתיעוד הרשמי ובמאמרים של Red Hat עצמה (לא רע מאמר בבלוג Red Hat) ובצד שלישי ביקורות.

חשוב לציין איזו פונקציונליות יש לרכיבי הערימה המוצעת:

• פודמן - אינטראקציה ישירה עם מיכלים ואחסון תמונות באמצעות תהליך runC;
• Buildah - הרכבה והעלאת תמונות לרישום;
• CRI-O - סביבת הפעלה עבור מערכות תזמור מכולות (לדוגמה, Kubernetes).

אני חושב שכדי להבין את סכמת האינטראקציה הכללית בין מרכיבי המחסנית, מומלץ לספק כאן דיאגרמת חיבור קוברנט c runC וספריות ברמה נמוכה באמצעות CRI-O:

CRI-O и קוברנט לדבוק באותו מחזור שחרור ותמיכה (מטריצת התאימות פשוטה מאוד: גרסאות עיקריות קוברנט и CRI-O חופפים), וזה, בהתחשב בהתמקדות בבדיקה מלאה ומקיפה של פעולת מחסנית זו על ידי מפתחים, נותן לנו את הזכות לצפות ליציבות המרבית הניתנת להשגה בפעולה בכל תרחישי שימוש (קלילות יחסית מועילה גם כאן CRI-O לעומת סַוָר עקב הגבלה מכוונת של פונקציונליות).

בעת ההתקנה קוברנט "דרך נכונה" (לפי OCI, כמובן) באמצעות CRI-O על CentOS 8 נתקלנו בכמה קשיים קלים, שעם זאת התגברנו בהצלחה. אשמח לשתף אתכם בהוראות התקנה והגדרה, שבסך הכל ייקח כ-10 דקות.

כיצד לפרוס Kubernetes ב- CentOS 8 באמצעות מסגרת CRI-O

תנאים מוקדמים: נוכחות של מארח אחד לפחות (2 ליבות, 4 GB RAM, לפחות 15 GB אחסון) עם מותקן CentOS 8 (מומלץ פרופיל התקנת "שרת"), וכן ערכים עבורו ב-DNS המקומי (כמוצא אחרון, ניתן להסתדר עם ערך ב- /etc/hosts). ואל תשכח לבטל את ההחלפה.

אנו מבצעים את כל הפעולות על המארח כמשתמש השורש, היזהר.

1. בשלב הראשון, נגדיר את מערכת ההפעלה, נתקין ונקבע תלות מקדימה עבור CRI-O.
   • בואו נעדכן את מערכת ההפעלה:

     dnf -y update
     

   • לאחר מכן עליך להגדיר את חומת האש ו-SELinux. כאן הכל תלוי בסביבה בה יעבדו המארח או המארחים שלנו. אתה יכול להגדיר חומת אש בהתאם להמלצות מאת תיעוד, או, אם אתה נמצא ברשת מהימנה או משתמש בחומת אש של צד שלישי, שנה את אזור ברירת המחדל לאמין או כבה את חומת האש:

     firewall-cmd --set-default-zone trusted
     
     firewall-cmd --reload

     כדי לכבות את חומת האש ניתן להשתמש בפקודה הבאה:

     systemctl disable --now firewalld
     

     יש לכבות את SELinux או לעבור למצב "מתירני":

     setenforce 0
     
     sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config

   • טען את מודולי הליבה והחבילות הדרושים, הגדר את הטעינה האוטומטית של מודול "br_netfilter" בעת הפעלת המערכת:

     modprobe overlay
     
     modprobe br_netfilter
     
     echo "br_netfilter" >> /etc/modules-load.d/br_netfilter.conf
     
     dnf -y install iproute-tc
     

   • כדי להפעיל העברת מנות ועיבוד תעבורה נכון, נבצע את ההגדרות המתאימות:

     cat > /etc/sysctl.d/99-kubernetes-cri.conf <<EOF
     net.bridge.bridge-nf-call-iptables = 1
     net.ipv4.ip_forward = 1
     net.bridge.bridge-nf-call-ip6tables = 1
     EOF
     

     החל את ההגדרות שנעשו:

     sysctl --system

   • הגדר את הגרסה הנדרשת CRI-O (גרסה מרכזית CRI-O, כפי שכבר הוזכר, תתאים לגרסה הנדרשת קוברנט), מאז הגרסה היציבה האחרונה קוברנט כרגע 1.18:

     export REQUIRED_VERSION=1.18
     

     הוסף את המאגרים הדרושים:

     dnf -y install 'dnf-command(copr)'
     
     dnf -y copr enable rhcontainerbot/container-selinux
     
     curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable/CentOS_8/devel:kubic:libcontainers:stable.repo
     
     curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION/CentOS_8/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo

   • עכשיו אנחנו יכולים להתקין CRI-O:

     dnf -y install cri-o
     

     שימו לב לניואנס הראשון שאנו נתקלים בו במהלך תהליך ההתקנה: עליכם לערוך את התצורה CRI-O לפני תחילת השירות, מכיוון שלרכיב ה-conmon הנדרש יש מיקום שונה מזה שצוין:

     sed -i 's//usr/libexec/crio/conmon//usr/bin/conmon/' /etc/crio/crio.conf

     עכשיו אתה יכול להפעיל ולהפעיל את הדמון CRI-O:

     systemctl enable --now crio
     

     אתה יכול לבדוק את סטטוס הדמון:

     systemctl status crio
     

2. התקנה והפעלה קוברנט.
   • בואו נוסיף את המאגר הנדרש:

     cat <<EOF > /etc/yum.repos.d/kubernetes.repo
     [kubernetes]
     name=Kubernetes
     baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-$basearch
     enabled=1
     gpgcheck=1
     repo_gpgcheck=1
     gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
     exclude=kubelet kubeadm kubectl
     EOF
     

     עכשיו אנחנו יכולים להתקין קוברנט (גרסה 1.18, כפי שהוזכר לעיל):

     dnf install -y kubelet-1.18* kubeadm-1.18* kubectl-1.18* --disableexcludes=kubernetes

   • הניואנס החשוב השני: מכיוון שאנו לא משתמשים בדמון סַוָר, אבל אנחנו משתמשים בדמון CRI-O, לפני ההשקה והאתחול קוברנט עליך לבצע את ההגדרות המתאימות בקובץ התצורה /var/lib/kubelet/config.yaml, לאחר שיצרת תחילה את הספרייה הרצויה:

     mkdir /var/lib/kubelet
     
     cat <<EOF > /var/lib/kubelet/config.yaml
     apiVersion: kubelet.config.k8s.io/v1beta1
     kind: KubeletConfiguration
     cgroupDriver: systemd
     EOF

   • הנקודה החשובה השלישית שאנו נתקלים בה במהלך ההתקנה: למרות העובדה שציינו את הדרייבר בשימוש cgroup, והתצורה שלו דרך הטיעונים שהועברו קובלט מיושן (כפי שצוין במפורש בתיעוד), עלינו להוסיף ארגומנטים לקובץ, אחרת האשכול שלנו לא יאתחל:

     cat /dev/null > /etc/sysconfig/kubelet
     
     cat <<EOF > /etc/sysconfig/kubelet
     KUBELET_EXTRA_ARGS=--container-runtime=remote --cgroup-driver=systemd --container-runtime-endpoint='unix:///var/run/crio/crio.sock'
     EOF

   • עכשיו אנחנו יכולים להפעיל את הדמון קובלט:

     sudo systemctl enable --now kubelet
     

     להתאמה אישית מטוס שליטה או עובד צמתים תוך דקות, אתה יכול להשתמש עם התסריט הזה.

3. הגיע הזמן לאתחל את האשכול שלנו.
   • כדי לאתחל את האשכול, הפעל את הפקודה:

     kubeadm init --pod-network-cidr=10.244.0.0/16
     

     הקפד לרשום את הפקודה להצטרפות לאשכול "kubeadm join ...", בה אתה מתבקש להשתמש בסוף הפלט, או לפחות באסימונים שצוינו.

   • בואו נתקין את הפלאגין (CNI) לרשת Pod. אני ממליץ להשתמש קאליקו. אולי יותר פופולרי פלָנֶל יש בעיות תאימות עם nftablesוכן קאליקו - יישום ה-CNI היחיד שהומלץ ונבדק במלואו על ידי הפרויקט קוברנט:

     kubectl --kubeconfig /etc/kubernetes/admin.conf apply -f https://docs.projectcalico.org/v3.15/manifests/calico.yaml 

   • כדי לחבר צומת עובד לאשכול שלנו, עליך להגדיר אותו לפי הוראות 1 ו-2, או להשתמש תַסרִיט, ואז הפעל את הפקודה מהפלט "kubeadm init..." שרשמנו בשלב הקודם:

     kubeadm join $CONTROL_PLANE_ADDRESS:6443 --token $TOKEN 
         --discovery-token-ca-cert-hash $TOKEN_HASH

   • בואו נבדוק שהאשכול שלנו מאותחל והתחיל לעבוד:

     kubectl --kubeconfig=/etc/kubernetes/admin.conf get pods -A
     

   מוּכָן! אתה כבר יכול לארח מטענים באשכול ה-K8s שלך.

מה מחכה לנו קדימה

אני מקווה שההוראות למעלה עזרו לחסוך לך זמן ועצבים.
התוצאה של תהליכים המתרחשים בתעשייה תלויה לעתים קרובות באופן שבו הם מתקבלים על ידי רוב משתמשי הקצה ומפתחי תוכנות אחרות בנישה המקבילה. עדיין לא לגמרי ברור למה יובילו יוזמות OCI בעוד כמה שנים, אבל אנחנו נצפה בהנאה. אתה יכול לשתף את דעתך כבר עכשיו בתגובות.

המשך לעקוב!

מאמר זה הופיע הודות למקורות הבאים:

• סעיף על זמני ריצה של מיכל תיעוד Kubernetes
• עמוד פרויקט CRI-O באינטרנט
• מאמרים בבלוג של Red Hat: זֶה, זה ורבים אחרים

מקור: www.habr.com