🥇שילוב של משתמשי Kubernetes Dashboard ו-GitLab

Kubernetes Dashboard הוא כלי קל לשימוש לקבלת מידע עדכני על האשכול הרץ שלך וניהולו במינימום מאמץ. אתה מתחיל להעריך את זה אפילו יותר כאשר גישה ליכולות האלה נחוצה לא רק על ידי מנהלים/מהנדסי DevOps, אלא גם על ידי אלה שפחות רגילים לקונסולה ו/או לא מתכוונים להתמודד עם כל המורכבויות של אינטראקציה עם kubectl ו כלי עזר אחרים. זה קרה אצלנו: המפתחים רצו גישה מהירה לממשק האינטרנט של Kubernetes, ומכיוון שאנו משתמשים ב-GitLab, הפתרון בא באופן טבעי.

למה זה?

מפתחים ישירים עשויים להתעניין בכלי כמו K8s Dashboard עבור משימות ניפוי באגים. לפעמים אתה רוצה להציג יומנים ומשאבים, ולפעמים להרוג פודים, לשנות את קנה המידה של Deployments/StatefulSets, ואפילו ללכת לקונסולת הקונטיינר (יש גם בקשות שעבורן, עם זאת, יש דרך אחרת - למשל, דרך kubectl-debug).

בנוסף, יש רגע פסיכולוגי למנהלים שבו הם רוצים להסתכל על האשכול - לראות ש"הכל ירוק", ובכך להרגיע את עצמם ש"הכל עובד" (מה שכמובן מאוד יחסי... אבל זה מעבר לתחום המאמר).

כמערכת CI סטנדרטית יש לנו חל GitLab: גם כל המפתחים משתמשים בו. לכן, כדי לספק להם גישה, היה הגיוני לשלב את Dashboard עם חשבונות GitLab.

אציין גם שאנו משתמשים ב-NGINX Ingress. אם אתה עובד עם אחרים פתרונות כניסה, תצטרך למצוא באופן עצמאי אנלוגים של הערות לצורך הרשאה.

מנסה אינטגרציה

התקנת לוח מחוונים

תשומת לב: אם אתה מתכוון לחזור על השלבים שלהלן, אז - כדי למנוע פעולות מיותרות - קרא תחילה לכותרת המשנה הבאה.

מכיוון שאנו משתמשים באינטגרציה זו בהתקנות רבות, ביצענו את ההתקנה שלו אוטומטית. המקורות הדרושים לכך מתפרסמים ב מאגר GitHub מיוחד. הם מבוססים על תצורות YAML ששונו מעט מ מאגר לוח המחוונים הרשמי, כמו גם סקריפט Bash לפריסה מהירה.

הסקריפט מתקין את Dashboard באשכול ומגדיר אותו לאינטגרציה עם GitLab:

$ ./ctl.sh  
Usage: ctl.sh [OPTION]... --gitlab-url GITLAB_URL --oauth2-id ID --oauth2-secret SECRET --dashboard-url DASHBOARD_URL
Install kubernetes-dashboard to Kubernetes cluster.
Mandatory arguments:
 -i, --install                install into 'kube-system' namespace
 -u, --upgrade                upgrade existing installation, will reuse password and host names
 -d, --delete                 remove everything, including the namespace
     --gitlab-url             set gitlab url with schema (https://gitlab.example.com)
     --oauth2-id              set OAUTH2_PROXY_CLIENT_ID from gitlab
     --oauth2-secret          set OAUTH2_PROXY_CLIENT_SECRET from gitlab
     --dashboard-url          set dashboard url without schema (dashboard.example.com)
Optional arguments:
 -h, --help                   output this message

עם זאת, לפני השימוש בו, עליך לעבור אל GitLab: אזור ניהול ← יישומים - ולהוסיף אפליקציה חדשה לפאנל העתידי. בואו נקרא לזה "לוח המחוונים של kubernetes":

כתוצאה מהוספתו, GitLab תספק את ה-hashs:

הם אלה המשמשים כטיעונים לתסריט. כתוצאה מכך, ההתקנה נראית כך:

$ ./ctl.sh -i --gitlab-url https://gitlab.example.com --oauth2-id 6a52769e… --oauth2-secret 6b79168f… --dashboard-url dashboard.example.com

לאחר מכן, בוא נבדוק שהכל התחיל:

$ kubectl -n kube-system get pod | egrep '(dash|oauth)'
kubernetes-dashboard-76b55bc9f8-xpncp   1/1       Running   0          14s
oauth2-proxy-5586ccf95c-czp2v           1/1       Running   0          14s

עם זאת, במוקדם או במאוחר הכל יתחיל ההרשאה לא תפעל באופן מיידי! העובדה היא שבתמונה שבה נעשה שימוש (המצב בתמונות אחרות דומה) תהליך תפיסת ההפניה בהתקשרות חוזרת מיושם בצורה לא נכונה. נסיבות אלו מובילות לכך ש-oauth מוחקת את העוגיה ש-oauth עצמה מספקת לנו...

הבעיה נפתרת על ידי בניית תמונת oauth משלך עם תיקון.

תקן OAuth והתקן מחדש

לשם כך, נשתמש ב- Dockerfile הבא:

FROM golang:1.9-alpine3.7
WORKDIR /go/src/github.com/bitly/oauth2_proxy

RUN apk --update add make git build-base curl bash ca-certificates wget 
&& update-ca-certificates 
&& curl -sSO https://raw.githubusercontent.com/pote/gpm/v1.4.0/bin/gpm 
&& chmod +x gpm 
&& mv gpm /usr/local/bin
RUN git clone https://github.com/bitly/oauth2_proxy.git . 
&& git checkout bfda078caa55958cc37dcba39e57fc37f6a3c842  
ADD rd.patch .
RUN patch -p1 < rd.patch 
&& ./dist.sh

FROM alpine:3.7
RUN apk --update add curl bash  ca-certificates && update-ca-certificates
COPY --from=0 /go/src/github.com/bitly/oauth2_proxy/dist/ /bin/

EXPOSE 8080 4180
ENTRYPOINT [ "/bin/oauth2_proxy" ]
CMD [ "--upstream=http://0.0.0.0:8080/", "--http-address=0.0.0.0:4180" ]

וכאן נראה התיקון של rd.patch עצמו

diff --git a/dist.sh b/dist.sh
index a00318b..92990d4 100755
--- a/dist.sh
+++ b/dist.sh
@@ -14,25 +14,13 @@ goversion=$(go version | awk '{print $3}')
sha256sum=()
 
echo "... running tests"
-./test.sh
+#./test.sh
 
-for os in windows linux darwin; do
-    echo "... building v$version for $os/$arch"
-    EXT=
-    if [ $os = windows ]; then
-        EXT=".exe"
-    fi
-    BUILD=$(mktemp -d ${TMPDIR:-/tmp}/oauth2_proxy.XXXXXX)
-    TARGET="oauth2_proxy-$version.$os-$arch.$goversion"
-    FILENAME="oauth2_proxy-$version.$os-$arch$EXT"
-    GOOS=$os GOARCH=$arch CGO_ENABLED=0 
-        go build -ldflags="-s -w" -o $BUILD/$TARGET/$FILENAME || exit 1
-    pushd $BUILD/$TARGET
-    sha256sum+=("$(shasum -a 256 $FILENAME || exit 1)")
-    cd .. && tar czvf $TARGET.tar.gz $TARGET
-    mv $TARGET.tar.gz $DIR/dist
-    popd
-done
+os='linux'
+echo "... building v$version for $os/$arch"
+TARGET="oauth2_proxy-$version.$os-$arch.$goversion"
+GOOS=$os GOARCH=$arch CGO_ENABLED=0 
+    go build -ldflags="-s -w" -o ./dist/oauth2_proxy || exit 1
  
checksum_file="sha256sum.txt"
cd $DIR/dists
diff --git a/oauthproxy.go b/oauthproxy.go
index 21e5dfc..df9101a 100644
--- a/oauthproxy.go
+++ b/oauthproxy.go
@@ -381,7 +381,9 @@ func (p *OAuthProxy) SignInPage(rw http.ResponseWriter, req *http.Request, code
       if redirect_url == p.SignInPath {
               redirect_url = "/"
       }
-
+       if req.FormValue("rd") != "" {
+               redirect_url = req.FormValue("rd")
+       }
       t := struct {
               ProviderName  string
               SignInMessage string

עכשיו אתה יכול לבנות את התמונה ולדחוף אותה לתוך GitLab שלנו. הבא פנימה manifests/kube-dashboard-oauth2-proxy.yaml ציין את השימוש בתמונה הרצויה (החלף אותה בתמונה שלך):

 image: docker.io/colemickens/oauth2_proxy:latest

אם יש לך רישום שנסגר בהרשאה, אל תשכח להוסיף את השימוש בסוד למשיכה של תמונות:

      imagePullSecrets:
     - name: gitlab-registry

... והוסיפו את הסוד עצמו עבור הרישום:

---
apiVersion: v1
data:
 .dockercfg: eyJyZWdpc3RyeS5jb21wYW55LmNvbSI6IHsKICJ1c2VybmFtZSI6ICJvYXV0aDIiLAogInBhc3N3b3JkIjogIlBBU1NXT1JEIiwKICJhdXRoIjogIkFVVEhfVE9LRU4iLAogImVtYWlsIjogIm1haWxAY29tcGFueS5jb20iCn0KfQoK
=
kind: Secret
metadata:
 annotations:
 name: gitlab-registry
 namespace: kube-system
type: kubernetes.io/dockercfg

הקורא הקשוב יראה שהמחרוזת הארוכה למעלה היא base64 מהתצורה:

{"registry.company.com": {
 "username": "oauth2",
 "password": "PASSWORD",
 "auth": "AUTH_TOKEN",
 "email": "[email protected]"
}
}

אלו נתוני המשתמש ב-GitLab, קוד Kubernetes ימשוך את התמונה מהרישום.

לאחר שהכל נעשה, אתה יכול להסיר את התקנת לוח המחוונים הנוכחית (שלא עובדת כהלכה) עם הפקודה:

$ ./ctl.sh -d

... ולהתקין הכל שוב:

$ ./ctl.sh -i --gitlab-url https://gitlab.example.com --oauth2-id 6a52769e… --oauth2-secret 6b79168f… --dashboard-url dashboard.example.com

זה הזמן לעבור ללוח המחוונים ולמצוא כפתור כניסה ארכאי למדי:

לאחר לחיצה עליו, GitLab יקבל את פנינו, ויציע להיכנס לדף הרגיל שלו (כמובן, אם לא נכנסנו לשם בעבר):

אנחנו נכנסים עם אישורי GitLab - והכל נעשה:

על תכונות לוח המחוונים

אם אתה מפתח שלא עבד עם Kubernetes בעבר, או שפשוט מסיבה כלשהי לא נתקלת ב-Dashboard בעבר, אני אדגים כמה מהיכולות שלו.

ראשית, אתה יכול לראות ש"הכל ירוק":

נתונים מפורטים יותר זמינים גם עבור תרמילים, כגון משתני סביבה, תמונה שהורדה, ארגומנטים של השקה ומצבם:

לפריסות יש סטטוסים גלויים:

...ופרטים נוספים:

... ויש גם את היכולת לשנות את קנה המידה של הפריסה:

התוצאה של פעולה זו:

בין שאר התכונות השימושיות שכבר הוזכרו בתחילת המאמר הוא צפייה ביומנים:

... והפונקציה לכניסה לקונסולת המכולה של הפוד שנבחר:

לדוגמה, אתה יכול גם להסתכל על המגבלות/בקשות על צמתים:

כמובן, אלו לא כל היכולות של הפאנל, אבל אני מקווה שהבנתם את הרעיון הכללי.

חסרונות של אינטגרציה ולוח מחוונים

באינטגרציה המתוארת אין בקרת גישה. בעזרתו, כל המשתמשים עם גישה כלשהי ל-GitLab מקבלים גישה ללוח המחוונים. יש להם את אותה גישה בלוח המחוונים עצמו, התואמת את הזכויות של לוח המחוונים עצמו, אשר מוגדרים ב-RBAC. ברור שזה לא מתאים לכל אחד, אבל במקרה שלנו התברר שזה מספיק.

בין החסרונות הבולטים בלוח המחוונים עצמו, אני מציין את הדברים הבאים:

אי אפשר להיכנס לקונסולה של מיכל האיניט;
אי אפשר לערוך Deployments ו-StatefulSets, למרות שניתן לתקן זאת ב-ClusterRole;
התאימות של לוח המחוונים לגרסאות האחרונות של Kubernetes ועתיד הפרויקט מעלה שאלות.

הבעיה האחרונה ראויה לתשומת לב מיוחדת.

מצב לוח המחוונים וחלופות

טבלת תאימות ללוח המחוונים עם מהדורות Kubernetes, המוצגת בגרסה האחרונה של הפרויקט (v1.10.1), לא מאוד שמח:

למרות זאת, יש (כבר אומצה בינואר) יחסי ציבור מס '3476, אשר מכריזה על תמיכה ב-K8s 1.13. בנוסף, בין סוגיות הפרויקט ניתן למצוא הפניות למשתמשים העובדים עם הפאנל ב-K8s 1.14. סוף כל סוף, מתחייב אל בסיס הקוד של הפרויקט לא עוצרים. אז (לפחות!) המצב בפועל של הפרויקט אינו גרוע כפי שהוא עשוי להיראות לראשונה מטבלת התאימות הרשמית.

לבסוף, יש חלופות ללוח המחוונים. ביניהם:

K8Dash - ממשק צעיר (ההתחייבויות הראשונות מתוארכות למרץ השנה), שכבר מציע תכונות טובות, כמו ייצוג חזותי של המצב הנוכחי של האשכול וניהול האובייקטים שלו. מוצב כ"ממשק בזמן אמת", כי מעדכן אוטומטית את הנתונים המוצגים מבלי לדרוש ממך לרענן את הדף בדפדפן.
מסוף OpenShift - ממשק אינטרנט מבית Red Hat OpenShift, אשר, עם זאת, יביא פיתוחים נוספים של הפרויקט לאשכול שלכם, שאינו מתאים לכולם.
קוברנאטור הוא פרויקט מעניין, שנוצר כממשק ברמה נמוכה יותר (מ-Dashboard) עם יכולת להציג את כל אובייקטי האשכול. עם זאת, נראה שהפיתוח שלו נעצר.
פולאריס - רק לפני כמה ימים הוכרז פרויקט המשלב את הפונקציות של פאנל (מציג את המצב הנוכחי של האשכול, אך אינו מנהל את האובייקטים שלו) ו"אימות שיטות עבודה מומלצות" אוטומטי (בודק את תקינות התצורות של Deployments שפועלות בו באשכול).

במקום מסקנות

לוח המחוונים הוא כלי סטנדרטי עבור אשכולות Kubernetes שאנו משרתים. השילוב שלו עם GitLab הפך גם הוא לחלק מהתקנת ברירת המחדל שלנו, מכיוון שמפתחים רבים מתלהבים מהיכולות שיש להם עם פאנל זה.

ל-Kubernetes Dashboard יש מעת לעת חלופות מקהילת הקוד הפתוח (ואנחנו שמחים לשקול אותן), אבל בשלב זה אנחנו נשארים עם הפתרון הזה.

נ.ב.

קרא גם בבלוג שלנו:

מקור: www.habr.com

שילוב של משתמשי Kubernetes Dashboard ו- GitLab