CRI-O ជាការជំនួស Docker ជាបរិយាកាសដំណើរការសម្រាប់ Kubernetes៖ ការដំឡើងនៅលើ CentOS 8

សួស្តី! ខ្ញុំឈ្មោះ Sergey ខ្ញុំជា DevOps នៅ Surf ។ នាយកដ្ឋាន DevOps នៅ Surf មានគោលបំណងមិនត្រឹមតែបង្កើតអន្តរកម្មរវាងអ្នកឯកទេស និងរួមបញ្ចូលដំណើរការការងារប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងស្រាវជ្រាវ និងអនុវត្តបច្ចេកវិទ្យាបច្ចុប្បន្នយ៉ាងសកម្មទាំងនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធផ្ទាល់ខ្លួន និងហេដ្ឋារចនាសម្ព័ន្ធរបស់អតិថិជនផងដែរ។

ខាងក្រោមនេះខ្ញុំនឹងនិយាយបន្តិចអំពីការផ្លាស់ប្តូរនៅក្នុងជង់បច្ចេកវិទ្យាសម្រាប់កុងតឺន័រដែលយើងជួបប្រទះនៅពេលសិក្សាការចែកចាយ CentOS 8 និងអំពីអ្វីដែលវាគឺជា CRI-O និងរបៀបរៀបចំបរិស្ថានដែលអាចប្រតិបត្តិបានយ៉ាងឆាប់រហ័ស Kubernetes.

ហេតុអ្វីបានជា Docker មិនត្រូវបានដាក់បញ្ចូលក្នុង CentOS 8?

បន្ទាប់ពីដំឡើងកំណែសំខាន់ៗចុងក្រោយបង្អស់ RHEL ៧ ឬ CentOS 8 គេមិនអាចជួយកត់សម្គាល់បានទេ៖ ការចែកចាយ និងឃ្លាំងផ្លូវការទាំងនេះមិនមានកម្មវិធីទេ។ Dockersដែលជំនួសកញ្ចប់ដោយមនោគមវិជ្ជា និងមុខងារ ផូមេន, Buildah (មានវត្តមាននៅក្នុងការចែកចាយតាមលំនាំដើម) និង CRI-O. នេះគឺដោយសារតែការអនុវត្តជាក់ស្តែងនៃស្តង់ដារដែលត្រូវបានបង្កើតឡើងដោយ Red Hat ដែលជាផ្នែកមួយនៃគម្រោង Open Container Initiative (OCI)។

គោលដៅរបស់ OCI ដែលជាផ្នែកមួយនៃមូលនិធិលីនុច គឺដើម្បីបង្កើតស្តង់ដារឧស្សាហកម្មបើកចំហសម្រាប់ទម្រង់កុងតឺន័រ និងរយៈពេលដំណើរការដែលដោះស្រាយបញ្ហាជាច្រើនក្នុងពេលតែមួយ។ ទីមួយ ពួកគេមិនផ្ទុយនឹងទស្សនវិជ្ជានៃលីនុចទេ (ឧទាហរណ៍ នៅក្នុងផ្នែកដែលកម្មវិធីនីមួយៗគួរអនុវត្តសកម្មភាពមួយ និង Dockers គឺ​ជា​ប្រភេទ​នៃ​ការ​រួម​បញ្ចូល​គ្នា​ទាំង​អស់​ក្នុង​មួយ)។ ទីពីរ ពួកគេអាចលុបបំបាត់រាល់ការខ្វះខាតដែលមានស្រាប់នៅក្នុងកម្មវិធី Dockers. ទីបី ពួកគេនឹងមានភាពឆបគ្នាយ៉ាងពេញលេញជាមួយនឹងតម្រូវការអាជីវកម្មនៃវេទិកាពាណិជ្ជកម្មឈានមុខគេសម្រាប់ការដាក់ពង្រាយ គ្រប់គ្រង និងបម្រើកម្មវិធីដែលមានកុងតឺន័រ (ឧទាហរណ៍ Red Hat OpenShift) ។

កំហុស Dockers ហើយអត្ថប្រយោជន៍នៃកម្មវិធីថ្មីត្រូវបានពិពណ៌នារួចហើយនៅក្នុងលម្អិតមួយចំនួននៅក្នុង អត្ថបទនេះនិងការពិពណ៌នាលម្អិតនៃជង់កម្មវិធីទាំងមូលដែលផ្តល់ជូននៅក្នុងគម្រោង OCI និងលក្ខណៈស្ថាបត្យកម្មរបស់វាអាចត្រូវបានរកឃើញនៅក្នុងឯកសារផ្លូវការ និងអត្ថបទពី Red Hat ខ្លួនវា (មិនអាក្រក់ទេ អត្ថបទ នៅក្នុងប្លុក Red Hat) និងនៅក្នុងភាគីទីបី ពិនិត្យ.

វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថាមុខងារអ្វីដែលសមាសធាតុនៃជង់ដែលបានស្នើមាន:

• ផូមេន - អន្តរកម្មដោយផ្ទាល់ជាមួយកុងតឺន័រ និងការផ្ទុករូបភាពតាមរយៈដំណើរការ runC;
• Buildah - ការជួបប្រជុំគ្នា និងការបង្ហោះរូបភាពទៅក្នុងបញ្ជីឈ្មោះ
• CRI-O - បរិយាកាសដែលអាចប្រតិបត្តិបានសម្រាប់ប្រព័ន្ធរៀបចំកុងតឺន័រ (ឧទាហរណ៍ Kubernetes) ។

ខ្ញុំគិតថា ដើម្បីយល់ពីគ្រោងការណ៍ទូទៅនៃអន្តរកម្មរវាងធាតុផ្សំនៃជង់ វាត្រូវបានណែនាំឱ្យផ្តល់ដ្យាក្រាមតភ្ជាប់នៅទីនេះ Kubernetes c រត់C និងបណ្ណាល័យកម្រិតទាបដោយប្រើ CRI-O:

CRI-O и Kubernetes ប្រកាន់ខ្ជាប់នូវវដ្តនៃការចេញផ្សាយ និងការគាំទ្រដូចគ្នា (ម៉ាទ្រីសភាពឆបគ្នាគឺសាមញ្ញណាស់៖ កំណែសំខាន់ៗ Kubernetes и CRI-O ស្របគ្នា) ហើយនេះដោយពិចារណាលើការផ្តោតលើការធ្វើតេស្តពេញលេញ និងទូលំទូលាយនៃប្រតិបត្តិការនៃជង់នេះដោយអ្នកអភិវឌ្ឍន៍ ផ្តល់ឱ្យយើងនូវសិទ្ធិក្នុងការរំពឹងថានឹងមានស្ថេរភាពអតិបរមាដែលអាចសម្រេចបានក្នុងប្រតិបត្តិការក្រោមសេណារីយ៉ូនៃការប្រើប្រាស់ណាមួយ (ពន្លឺដែលទាក់ទងគ្នាក៏មានប្រយោជន៍នៅទីនេះផងដែរ។ CRI-O ប្រៀបធៀប​ជាមួយ Dockers ដោយសារតែការកំណត់គោលបំណងនៃមុខងារ) ។

នៅពេលដំឡើង Kubernetes វិធី "ត្រឹមត្រូវ" (យោងទៅតាម OCI ជាការពិតណាស់) ដោយប្រើ CRI-O នៅលើ CentOS 8 យើងបានជួបប្រទះការលំបាកតិចតួចមួយចំនួន ដែលទោះជាយ៉ាងណាក៏ដោយ យើងបានយកឈ្នះដោយជោគជ័យ។ ខ្ញុំនឹងរីករាយក្នុងការចែករំលែកជាមួយអ្នកនូវការណែនាំអំពីការដំឡើង និងការកំណត់រចនាសម្ព័ន្ធ ដែលសរុបនឹងចំណាយពេលប្រហែល 10 នាទី។

របៀបដាក់ឱ្យ Kubernetes នៅលើ CentOS 8 ដោយប្រើក្របខ័ណ្ឌ CRI-O

តម្រូវការជាមុន៖ វត្តមានរបស់ម៉ាស៊ីនយ៉ាងហោចណាស់មួយ (ស្នូល 2, RAM 4 GB, យ៉ាងហោចណាស់ 15 GB storage) ជាមួយនឹងការដំឡើង CentOS 8 (ទម្រង់ដំឡើង "ម៉ាស៊ីនមេ" ត្រូវបានណែនាំ) ក៏ដូចជាធាតុសម្រាប់វានៅក្នុង DNS មូលដ្ឋាន (ជាមធ្យោបាយចុងក្រោយ អ្នកអាចទទួលបានដោយធាតុនៅក្នុង /etc/hosts) ។ ហើយកុំភ្លេច បិទការប្តូរ.

យើងធ្វើប្រតិបត្តិការទាំងអស់នៅលើម៉ាស៊ីនជាអ្នកប្រើប្រាស់ root សូមប្រយ័ត្ន។

1. នៅក្នុងជំហានដំបូង យើងនឹងកំណត់រចនាសម្ព័ន្ធ OS ដំឡើង និងកំណត់រចនាសម្ព័ន្ធភាពអាស្រ័យបឋមសម្រាប់ CRI-O ។
   • តោះធ្វើបច្ចុប្បន្នភាព OS៖

     dnf -y update
     

   • បន្ទាប់អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធ Firewall និង SELinux ។ នៅទីនេះអ្វីគ្រប់យ៉ាងអាស្រ័យលើបរិយាកាសដែលម៉ាស៊ីនឬម៉ាស៊ីនរបស់យើងនឹងដំណើរការ។ អ្នកអាចដំឡើងជញ្ជាំងភ្លើងតាមការណែនាំពី ឯកសារឬប្រសិនបើអ្នកស្ថិតនៅលើបណ្តាញដែលអាចទុកចិត្តបាន ឬប្រើជញ្ជាំងភ្លើងភាគីទីបី ផ្លាស់ប្តូរតំបន់លំនាំដើមទៅជាដែលអាចទុកចិត្តបាន ឬបិទជញ្ជាំងភ្លើង៖

     firewall-cmd --set-default-zone trusted
     
     firewall-cmd --reload

     ដើម្បីបិទ Firewall អ្នកអាចប្រើពាក្យបញ្ជាខាងក្រោម៖

     systemctl disable --now firewalld
     

     SELinux ចាំបាច់ត្រូវបិទ ឬប្តូរទៅរបៀប "អនុញ្ញាត"៖

     setenforce 0
     
     sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config

   • ផ្ទុកម៉ូឌុល និងកញ្ចប់ខឺណែលចាំបាច់ កំណត់រចនាសម្ព័ន្ធការផ្ទុកដោយស្វ័យប្រវត្តិនៃម៉ូឌុល "br_netfilter" នៅពេលចាប់ផ្តើមប្រព័ន្ធ៖

     modprobe overlay
     
     modprobe br_netfilter
     
     echo "br_netfilter" >> /etc/modules-load.d/br_netfilter.conf
     
     dnf -y install iproute-tc
     

   • ដើម្បីដំណើរការការបញ្ជូនបន្តកញ្ចប់ព័ត៌មាន និងដំណើរការចរាចរណ៍ត្រឹមត្រូវ យើងនឹងធ្វើការកំណត់សមស្រប៖

     cat > /etc/sysctl.d/99-kubernetes-cri.conf <<EOF
     net.bridge.bridge-nf-call-iptables = 1
     net.ipv4.ip_forward = 1
     net.bridge.bridge-nf-call-ip6tables = 1
     EOF
     

     អនុវត្តការកំណត់ដែលបានធ្វើ៖

     sysctl --system

   • កំណត់កំណែដែលត្រូវការ CRI-O (កំណែសំខាន់ CRI-Oដូចដែលបានបញ្ជាក់រួចមកហើយ ត្រូវគ្នានឹងកំណែដែលត្រូវការ Kubernetes) ចាប់តាំងពីកំណែស្ថេរភាពចុងក្រោយបំផុត។ Kubernetes បច្ចុប្បន្ន 1.18:

     export REQUIRED_VERSION=1.18
     

     បន្ថែមឃ្លាំងចាំបាច់៖

     dnf -y install 'dnf-command(copr)'
     
     dnf -y copr enable rhcontainerbot/container-selinux
     
     curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable/CentOS_8/devel:kubic:libcontainers:stable.repo
     
     curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION/CentOS_8/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo

   • ឥឡូវនេះយើងអាចដំឡើងបាន។ CRI-O:

     dnf -y install cri-o
     

     យកចិត្តទុកដាក់ចំពោះភាពខុសប្លែកគ្នាដំបូងដែលយើងជួបប្រទះក្នុងអំឡុងពេលដំណើរការដំឡើង: អ្នកត្រូវកែសម្រួលការកំណត់ CRI-O មុនពេលចាប់ផ្តើមសេវាកម្ម ចាប់តាំងពីសមាសធាតុ conmon ដែលត្រូវការមានទីតាំងខុសពីអ្វីដែលបានបញ្ជាក់៖

     sed -i 's//usr/libexec/crio/conmon//usr/bin/conmon/' /etc/crio/crio.conf

     ឥឡូវនេះអ្នកអាចធ្វើឱ្យសកម្ម និងចាប់ផ្តើមដេមិន CRI-O:

     systemctl enable --now crio
     

     អ្នកអាចពិនិត្យមើលស្ថានភាពដេមិន៖

     systemctl status crio
     

2. ការដំឡើងនិងការធ្វើឱ្យសកម្ម Kubernetes.
   • តោះបន្ថែមឃ្លាំងដែលត្រូវការ៖

     cat <<EOF > /etc/yum.repos.d/kubernetes.repo
     [kubernetes]
     name=Kubernetes
     baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-$basearch
     enabled=1
     gpgcheck=1
     repo_gpgcheck=1
     gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
     exclude=kubelet kubeadm kubectl
     EOF
     

     ឥឡូវនេះយើងអាចដំឡើងបាន។ Kubernetes (កំណែ 1.18 ដូចដែលបានរៀបរាប់ខាងលើ)៖

     dnf install -y kubelet-1.18* kubeadm-1.18* kubectl-1.18* --disableexcludes=kubernetes

   • nuance សំខាន់ទីពីរ៖ ដោយសារយើងមិនប្រើដេមិន Dockersប៉ុន្តែយើងប្រើដេមិន CRI-Oមុនពេលចាប់ផ្តើម និងចាប់ផ្តើម Kubernetes អ្នកត្រូវធ្វើការកំណត់សមស្របនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ /var/lib/kubelet/config.yaml ដោយបានបង្កើតថតដែលចង់បានជាមុនសិន៖

     mkdir /var/lib/kubelet
     
     cat <<EOF > /var/lib/kubelet/config.yaml
     apiVersion: kubelet.config.k8s.io/v1beta1
     kind: KubeletConfiguration
     cgroupDriver: systemd
     EOF

   • ចំណុចសំខាន់ទី XNUMX ដែលយើងជួបប្រទះកំឡុងពេលដំឡើង៖ ទោះបីជាយើងបានបង្ហាញអ្នកបើកបរបានប្រើក៏ដោយ។ cgroupហើយការកំណត់របស់វាតាមរយៈអាគុយម៉ង់បានឆ្លងកាត់ គូប ហួសសម័យ (ដូចដែលបានបញ្ជាក់យ៉ាងច្បាស់នៅក្នុងឯកសារ) យើងត្រូវបន្ថែមអាគុយម៉ង់ទៅក្នុងឯកសារ បើមិនដូច្នេះទេ ចង្កោមរបស់យើងនឹងមិនត្រូវបានចាប់ផ្តើមទេ៖

     cat /dev/null > /etc/sysconfig/kubelet
     
     cat <<EOF > /etc/sysconfig/kubelet
     KUBELET_EXTRA_ARGS=--container-runtime=remote --cgroup-driver=systemd --container-runtime-endpoint='unix:///var/run/crio/crio.sock'
     EOF

   • ឥឡូវនេះយើងអាចដំណើរការដេមិន គូប:

     sudo systemctl enable --now kubelet
     

     ដើម្បីប្ដូរតាមបំណង យន្តហោះគ្រប់គ្រង ឬ កម្មករ ថ្នាំងក្នុងរយៈពេលប៉ុន្មាននាទីអ្នកអាចប្រើ ជាមួយស្គ្រីបនេះ។.

3. ដល់ពេលចាប់ផ្តើមចង្កោមរបស់យើង។
   • ដើម្បីចាប់ផ្តើមចង្កោម សូមដំណើរការពាក្យបញ្ជា៖

     kubeadm init --pod-network-cidr=10.244.0.0/16
     

     ត្រូវប្រាកដថាសរសេរពាក្យបញ្ជាដើម្បីចូលរួមចង្កោម “kubeadm join …” ដែលអ្នកត្រូវបានស្នើឱ្យប្រើនៅចុងបញ្ចប់នៃលទ្ធផល ឬយ៉ាងហោចណាស់និមិត្តសញ្ញាដែលបានបញ្ជាក់។

   • តោះដំឡើងកម្មវិធីជំនួយ (CNI) សម្រាប់បណ្តាញផត។ ខ្ញុំសូមណែនាំឱ្យប្រើ កាលីកូ។. ប្រហែលជាពេញនិយមជាង Flannel មានបញ្ហាភាពឆបគ្នាជាមួយ nftablesបាទ និង កាលីកូ។ - ការអនុវត្ត CNI តែមួយគត់ដែលបានណែនាំ និងសាកល្បងយ៉ាងពេញលេញដោយគម្រោង Kubernetes:

     kubectl --kubeconfig /etc/kubernetes/admin.conf apply -f https://docs.projectcalico.org/v3.15/manifests/calico.yaml 

   • ដើម្បីភ្ជាប់ថ្នាំងកម្មករទៅនឹងចង្កោមរបស់យើង អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធវាតាមការណែនាំទី 1 និង 2 ឬប្រើ ស្គ្រីបបន្ទាប់មកដំណើរការពាក្យបញ្ជាពីលទ្ធផល "kubeadm init..." ដែលយើងបានសរសេរចុះក្នុងជំហានមុន៖

     kubeadm join $CONTROL_PLANE_ADDRESS:6443 --token $TOKEN 
         --discovery-token-ca-cert-hash $TOKEN_HASH

   • សូមពិនិត្យមើលថាចង្កោមរបស់យើងត្រូវបានចាប់ផ្តើម និងចាប់ផ្តើមដំណើរការ៖

     kubectl --kubeconfig=/etc/kubernetes/admin.conf get pods -A
     

   រួចរាល់ហើយ! អ្នកអាចបង្ហោះ payloads នៅលើ cluster K8s របស់អ្នក។

អ្វីដែលកំពុងរង់ចាំយើងនៅខាងមុខ

ខ្ញុំសង្ឃឹមថាការណែនាំខាងលើបានជួយអ្នកសន្សំពេលវេលា និងភ័យខ្លះ។
លទ្ធផលនៃដំណើរការដែលកើតឡើងនៅក្នុងឧស្សាហកម្មនេះជារឿយៗអាស្រ័យលើរបៀបដែលពួកគេត្រូវបានទទួលយកដោយភាគច្រើននៃអ្នកប្រើប្រាស់ចុងក្រោយ និងអ្នកបង្កើតកម្មវិធីផ្សេងទៀតនៅក្នុងទីផ្សារពិសេសដែលត្រូវគ្នា។ វាមិនទាន់ច្បាស់នៅឡើយទេថាតើគំនិតផ្តួចផ្តើម OCI នឹងនាំទៅរកអ្វីក្នុងរយៈពេលពីរបីឆ្នាំទៀត ប៉ុន្តែយើងនឹងមើលដោយក្តីរីករាយ។ អ្នកអាចចែករំលែកគំនិតរបស់អ្នកឥឡូវនេះនៅក្នុងមតិយោបល់។

ចាំមើល!

អត្ថបទនេះបានលេចចេញដោយសារប្រភពខាងក្រោម៖

• ផ្នែកអំពីកុងតឺន័រដំណើរការ ឯកសារ Kubernetes
• ទំព័រ គម្រោង CRI-O នៅលើអ៊ីនធឺណិត
• អត្ថបទប្លក់មួកក្រហម៖ មួយ​នេះ, នេះ និងអ្នកផ្សេងទៀតជាច្រើន។

ប្រភព: www.habr.com