etcd Kubernetes クラスター内のデータを直接 (K8s API なしで) 使用した経験

クライアントからは、クラスター内のサービスにアクセスできるようにするために、Kubernetes クラスターへのアクセスを提供するよう当社に求められることが増えています。これにより、データベースやサービスに直接接続したり、ローカル アプリケーションをクラスター内のアプリケーションに接続したりすることができます。

たとえば、ローカル マシンからサービスに接続する必要がある場合です。 memcached.staging.svc.cluster.local。 この機能は、クライアントが接続するクラスター内の VPN を使用して提供されます。 これを行うために、ポッド、サービスのサブネットをアナウンスし、クラスター DNS をクライアントにプッシュします。 したがって、クライアントがサービスに接続しようとすると、 memcached.staging.svc.cluster.local、リクエストはクラスター DNS に送信され、それに応じてクラスター サービス ネットワークまたはポッド アドレスからこのサービスのアドレスを受け取ります。

kubeadm を使用して K8s クラスターを構成します。デフォルトのサービス サブネットは次のとおりです。 192.168.0.0/16、ポッドのネットワークは 10.244.0.0/16。 通常はすべてうまくいきますが、いくつかの点があります。

• サブネット 192.168.*.* クライアント オフィス ネットワークでよく使用され、開発者のホーム ネットワークではさらによく使用されます。 そして、競合が発生します。ホーム ルーターはこのサブネット上で動作し、VPN はこれらのサブネットをクラスターからクライアントにプッシュします。
• いくつかのクラスター (実稼働クラスター、ステージクラスター、および/または複数の開発クラスター) があります。 その場合、デフォルトでは、すべてのポッドとサービスが同じサブネットを持つことになるため、複数のクラスターでサービスを同時に操作する場合に大きな困難が生じます。

私たちはずっと以前から、同じプロジェクト内のサービスとポッドに異なるサブネットを使用するという慣行を採用してきました。これにより、一般に、すべてのクラスターが異なるネットワークを持つことになります。 ただし、稼働中のクラスターが多数あり、それらは多くのサービスやステートフル アプリケーションなどを実行しているため、最初からロールオーバーしたくありません。

そこで私たちは、既存のクラスターのサブネットを変更するにはどうすればよいのかを自問しました。

解決策を探す

最も一般的な方法は再作成することです すべて ClusterIP タイプのサービス。 オプションとして、 アドバイスできる など：

次のプロセスには問題があります。すべてを構成した後、ポッドは /etc/resolv.conf で DNS ネームサーバーとして古い IP を使用します。
それでも解決策が見つからなかったため、kubeadmリセットでクラスター全体をリセットし、再度初期化する必要がありました。

しかし、これはすべての人に適しているわけではありません...ここでは、私たちのケースについてさらに詳しく紹介します。

• フランネルを使用。
• クラスターはクラウドとハードウェアの両方に存在します。
• クラスター内のすべてのサービスを再デプロイすることは避けたいと考えています。
• 一般に、最小限の問題を抱えてすべてを行う必要があります。
• Kubernetes のバージョンは 1.16.6 です (ただし、以降の手順は他のバージョンでも同様です)。
• 主なタスクは、kubeadm を使用してサービス サブネットを使用してデプロイされたクラスター内で、 192.168.0.0/16に置き換えてください 172.24.0.0/16.

そして、偶然にも、私たちは Kubernetes の何がどのように etcd に保存され、それを使って何ができるのかを知りたいということに長い間興味を持っていました...そこで私たちは次のように考えました。etcd のデータを更新して、古い IP アドレス (サブネット) を新しいものに置き換えるだけではどうでしょうか？»

etcd でデータを操作するための既製のツールを検索しましたが、問題を完全に解決するものは見つかりませんでした。 (ちなみに、etcd でデータを直接操作するためのユーティリティについてご存知の場合は、リンクを教えていただければ幸いです。) ただし、良い出発点としては、 etcdhelper OpenShiftから (作者に感謝します!).

このユーティリティは、証明書を使用して etcd に接続し、コマンドを使用してそこからデータを読み取ることができます。 ls, get, dump.

etcdhelperを追加

次の考えは論理的です。「etcd にデータを書き込む機能を追加することで、このユーティリティの追加を妨げているのは何ですか?」

XNUMX つの新しい機能を備えた etcdhelper の修正版になりました changeServiceCIDR и changePodCIDR。 彼女について コードを見ることができます ここで.

新しい機能は何をするのでしょうか? アルゴリズム changeServiceCIDR:

• デシリアライザーを作成します。
• 正規表現をコンパイルして CIDR を置き換えます。
• クラスター内の ClusterIP タイプを持つすべてのサービスを調べます。
  • etcd からの値を Go オブジェクトにデコードします。
  • 正規表現を使用して、アドレスの最初の XNUMX バイトを置き換えます。
  • サービスに新しいサブネットから IP アドレスを割り当てます。
  • シリアライザーを作成し、Go オブジェクトを protobuf に変換し、新しいデータを etcd に書き込みます。

機能 changePodCIDR 本質的に似ている changeServiceCIDR - サービス仕様を編集する代わりに、ノードに対してそれを実行し、変更を加えます。 .spec.PodCIDR 新しいサブネットに。

練習

サービスCIDRの変更

タスクの実装計画は非常に単純ですが、クラスター内のすべてのポッドの再作成時にダウンタイムが発生します。 主な手順を説明した後、理論上、このダウンタイムを最小限に抑える方法についての考えも共有します。

準備手順:

• 必要なソフトウェアをインストールし、パッチを適用した etcdhelper をアセンブルします。
• etcdのバックアップと /etc/kubernetes.

serviceCIDR を変更するための簡単なアクション プラン:

• apiserver およびコントローラーマネージャーのマニフェストを変更します。
• 証明書の再発行。
• etcd での ClusterIP サービスの変更。
• クラスター内のすべてのポッドを再起動します。

以下に、一連のアクションの詳細を示します。

1. データ ダンプ用に etcd-client をインストールします。

apt install etcd-client

2. etcdhelper をビルドします。

• golang をインストールします。

  GOPATH=/root/golang
  mkdir -p $GOPATH/local
  curl -sSL https://dl.google.com/go/go1.14.1.linux-amd64.tar.gz | tar -xzvC $GOPATH/local
  echo "export GOPATH="$GOPATH"" >> ~/.bashrc
  echo 'export GOROOT="$GOPATH/local/go"' >> ~/.bashrc
  echo 'export PATH="$PATH:$GOPATH/local/go/bin"' >> ~/.bashrc

• 私たちは自分自身のために節約します etcdhelper.go、依存関係をダウンロードし、以下を収集します。

  wget https://raw.githubusercontent.com/flant/examples/master/2020/04-etcdhelper/etcdhelper.go
  go get go.etcd.io/etcd/clientv3 k8s.io/kubectl/pkg/scheme k8s.io/apimachinery/pkg/runtime
  go build -o etcdhelper etcdhelper.go

3. etcd のバックアップを作成します。

backup_dir=/root/backup
mkdir ${backup_dir}
cp -rL /etc/kubernetes ${backup_dir}
ETCDCTL_API=3 etcdctl --cacert=/etc/kubernetes/pki/etcd/ca.crt --key=/etc/kubernetes/pki/etcd/server.key --cert=/etc/kubernetes/pki/etcd/server.crt --endpoints https://192.168.199.100:2379 snapshot save ${backup_dir}/etcd.snapshot

4. Kubernetes コントロール プレーン マニフェストのサービス サブネットを変更します。 ファイル内 /etc/kubernetes/manifests/kube-apiserver.yaml и /etc/kubernetes/manifests/kube-controller-manager.yaml パラメータを変更する --service-cluster-ip-range 新しいサブネットに: 172.24.0.0/16 代わりに 192.168.0.0/16.

5. kubeadm が apiserver (含む) の証明書を発行するサービス サブネットを変更するため、証明書を再発行する必要があります。

1. 現在の証明書がどのドメインと IP アドレスに対して発行されているかを確認してみましょう。

   openssl x509 -noout -ext subjectAltName </etc/kubernetes/pki/apiserver.crt
   X509v3 Subject Alternative Name:
       DNS:dev-1-master, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, DNS:apiserver, IP Address:192.168.0.1, IP Address:10.0.0.163, IP Address:192.168.199.100

2. kubeadm の最小限の構成を準備しましょう。

   cat kubeadm-config.yaml
   apiVersion: kubeadm.k8s.io/v1beta1
   kind: ClusterConfiguration
   networking:
     podSubnet: "10.244.0.0/16"
     serviceSubnet: "172.24.0.0/16"
   apiServer:
     certSANs:
     - "192.168.199.100" # IP-адрес мастер узла

3. 古い crt とキーを削除しましょう。これがないと新しい証明書は発行されません。

   rm /etc/kubernetes/pki/apiserver.{key,crt}

4. API サーバーの証明書を再発行しましょう。

   kubeadm init phase certs apiserver --config=kubeadm-config.yaml

5. 新しいサブネットに対して証明書が発行されたことを確認してみましょう。

   openssl x509 -noout -ext subjectAltName </etc/kubernetes/pki/apiserver.crt
   X509v3 Subject Alternative Name:
       DNS:kube-2-master, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:172.24.0.1, IP Address:10.0.0.163, IP Address:192.168.199.100

6. API サーバー証明書を再発行した後、コンテナを再起動します。

   docker ps | grep k8s_kube-apiserver | awk '{print $1}' | xargs docker restart

7. の設定を再生成しましょう admin.conf:

   kubeadm alpha certs renew admin.conf

8. etcd のデータを編集しましょう。

   ./etcdhelper -cacert /etc/kubernetes/pki/etcd/ca.crt -cert /etc/kubernetes/pki/etcd/server.crt -key /etc/kubernetes/pki/etcd/server.key -endpoint https://127.0.0.1:2379 change-service-cidr 172.24.0.0/16 

   警告！ 現時点では、既存のポッドではドメイン解決がクラスター内で機能しなくなります。 /etc/resolv.conf 古い CoreDNS アドレス (kube-dns) が登録され、kube-proxy は iptables ルールを古いサブネットから新しいサブネットに変更します。 この記事では、ダウンタイムを最小限に抑えるために考えられるオプションについてさらに説明します。

9. 名前空間内の ConfigMap を修正しましょう kube-system:

   kubectl -n kube-system edit cm kubelet-config-1.16

   - ここで置き換えます clusterDNS kube-dns サービスの新しい IP アドレスに変更します。 kubectl -n kube-system get svc kube-dns.

   kubectl -n kube-system edit cm kubeadm-config

   - 直しておきます data.ClusterConfiguration.networking.serviceSubnet 新しいサブネットに。

10. kube-dns アドレスが変更されたため、すべてのノードで kubelet 構成を更新する必要があります。

    kubeadm upgrade node phase kubelet-config && systemctl restart kubelet

11. 残っているのは、クラスター内のすべてのポッドを再起動することだけです。

    kubectl get pods --no-headers=true --all-namespaces |sed -r 's/(S+)s+(S+).*/kubectl --namespace 1 delete pod 2/e'

ダウンタイムを最小限に抑える

ダウンタイムを最小限に抑える方法についての考え:

1. コントロール プレーン マニフェストを変更した後、たとえば次の名前で新しい kube-dns サービスを作成します。 kube-dns-tmp そして新しい住所 172.24.0.10.
2. 作ります if etcdhelper 内にありますが、kube-dns サービスは変更されません。
3. すべてのkubeletのアドレスを置き換えます ClusterDNS 新しいサービスに移行する一方で、古いサービスは新しいサービスと同時に動作し続けます。
4. アプリケーションを含むポッドが自然な理由で、または合意された時間にロールオーバーするまで待ちます。
5. サービスの削除 kube-dns-tmp そして変化する serviceSubnetCIDR kube-dns サービス用。

このプランでは、サービスの削除中のダウンタイムを XNUMX 分程度に最小限に抑えることができます。 kube-dns-tmp サービスのサブネットを変更する kube-dns.

修正ポッドネットワーク

同時に、結果として得られる etcdhelper を使用して podNetwork を変更する方法を検討することにしました。 一連のアクションは次のとおりです。

• 構成を修正しています kube-system;
• kube-controller-manager マニフェストを修正します。
• etcd で podCIDR を直接変更します。
• すべてのクラスターノードを再起動します。

次に、これらのアクションについて詳しく説明します。

1. 名前空間内の ConfigMap を変更します。 kube-system:

kubectl -n kube-system edit cm kubeadm-config

- 修正中 data.ClusterConfiguration.networking.podSubnet 新しいサブネットへ 10.55.0.0/16.

kubectl -n kube-system edit cm kube-proxy

- 修正中 data.config.conf.clusterCIDR: 10.55.0.0/16.

2. コントローラーマネージャーマニフェストを変更します。

vim /etc/kubernetes/manifests/kube-controller-manager.yaml

- 修正中 --cluster-cidr=10.55.0.0/16.

3. 現在の値を確認します。 .spec.podCIDR, .spec.podCIDRs, .InternalIP, .status.addresses すべてのクラスター ノードの場合:

kubectl get no -o json | jq '[.items[] | {"name": .metadata.name, "podCIDR": .spec.podCIDR, "podCIDRs": .spec.podCIDRs, "InternalIP": (.status.addresses[] | select(.type == "InternalIP") | .address)}]'

[
  {
    "name": "kube-2-master",
    "podCIDR": "10.244.0.0/24",
    "podCIDRs": [
      "10.244.0.0/24"
    ],
    "InternalIP": "192.168.199.2"
  },
  {
    "name": "kube-2-master",
    "podCIDR": "10.244.0.0/24",
    "podCIDRs": [
      "10.244.0.0/24"
    ],
    "InternalIP": "10.0.1.239"
  },
  {
    "name": "kube-2-worker-01f438cf-579f9fd987-5l657",
    "podCIDR": "10.244.1.0/24",
    "podCIDRs": [
      "10.244.1.0/24"
    ],
    "InternalIP": "192.168.199.222"
  },
  {
    "name": "kube-2-worker-01f438cf-579f9fd987-5l657",
    "podCIDR": "10.244.1.0/24",
    "podCIDRs": [
      "10.244.1.0/24"
    ],
    "InternalIP": "10.0.4.73"
  }
]

4. etcd に直接変更を加えて、podCIDR を置き換えます。

./etcdhelper -cacert /etc/kubernetes/pki/etcd/ca.crt -cert /etc/kubernetes/pki/etcd/server.crt -key /etc/kubernetes/pki/etcd/server.key -endpoint https://127.0.0.1:2379 change-pod-cidr 10.55.0.0/16

5. podCIDR が実際に変更されたことを確認してみましょう。

kubectl get no -o json | jq '[.items[] | {"name": .metadata.name, "podCIDR": .spec.podCIDR, "podCIDRs": .spec.podCIDRs, "InternalIP": (.status.addresses[] | select(.type == "InternalIP") | .address)}]'

[
  {
    "name": "kube-2-master",
    "podCIDR": "10.55.0.0/24",
    "podCIDRs": [
      "10.55.0.0/24"
    ],
    "InternalIP": "192.168.199.2"
  },
  {
    "name": "kube-2-master",
    "podCIDR": "10.55.0.0/24",
    "podCIDRs": [
      "10.55.0.0/24"
    ],
    "InternalIP": "10.0.1.239"
  },
  {
    "name": "kube-2-worker-01f438cf-579f9fd987-5l657",
    "podCIDR": "10.55.1.0/24",
    "podCIDRs": [
      "10.55.1.0/24"
    ],
    "InternalIP": "192.168.199.222"
  },
  {
    "name": "kube-2-worker-01f438cf-579f9fd987-5l657",
    "podCIDR": "10.55.1.0/24",
    "podCIDRs": [
      "10.55.1.0/24"
    ],
    "InternalIP": "10.0.4.73"
  }
]

6. すべてのクラスターノードを XNUMX つずつ再起動しましょう。

7. 少なくとも XNUMX つのノードを残す場合 古いポッドCIDRの場合、kube-controller-manager を起動できなくなり、クラスター内のポッドがスケジュールされなくなります。

実際、podCIDR の変更はさらに簡単に行うことができます (たとえば、 そう）。 しかし、etcd で Kubernetes オブジェクトを編集する場合があるため、etcd を直接操作する方法を学びたかったのです。 シングル 可能なバリエーション。 (たとえば、ダウンタイムなしで Service フィールドを変更することはできません。 spec.clusterIP.)

合計

この記事では、etcd のデータを直接操作する可能性について説明しています。 Kubernetes API をバイパスします。 このアプローチにより、「難しいこと」が可能になる場合があります。 本文に記載されている操作を実際の K8s クラスターでテストしました。 ただし、普及の準備状況は次のとおりです。 PoC (概念実証)。 したがって、クラスター上で etcdhelper ユーティリティの修正バージョンを使用する場合は、ご自身の責任で行ってください。

PS

私たちのブログもお読みください:

• «etcd 3.4.3: ストレージの信頼性とセキュリティの調査";
• «Kubernetes でのネットワーキングのための Calico: 概要と少しの経験";
• «Kubernetes の運用における 6 つの興味深いシステム バグ [およびその解決策]";
• «Kubernetes のトラブルシューティングのためのビジュアル ガイド'。

出所： habr.com