Kubernetes의 런타임 환경으로 Docker를 대체하는 CRI-O: CentOS 8에서 설정

안녕하세요! 제 이름은 Sergey이고 Surf의 DevOps입니다. Surf의 DevOps 부서는 전문가 간의 상호 작용을 구축하고 작업 프로세스를 통합하는 것뿐만 아니라 자체 인프라와 고객 인프라 모두에서 현재 기술을 적극적으로 연구하고 구현하는 것을 목표로 합니다.

아래에서는 우리가 유통을 연구하면서 접한 컨테이너 기술 스택의 변화에 ​​대해 조금 이야기하겠습니다. 8 CentOS에 그리고 무엇입니까 크리오 실행 가능한 환경을 빠르게 설정하는 방법 Kubernetes.

Docker가 CentOS 8에 포함되지 않은 이유는 무엇입니까?

최신 주요 릴리스를 설치한 후 RHEL 8 또는 8 CentOS에 주목할 수밖에 없습니다. 이러한 배포판과 공식 저장소에는 응용 프로그램이 포함되어 있지 않습니다. 도커, 이념적으로나 기능적으로 패키지를 대체합니다. 포드 맨, 빌다 (기본적으로 배포판에 존재) 크리오. 이는 특히 OCI(Open Container Initiative) 프로젝트의 일환으로 Red Hat이 개발한 표준의 실제 구현 덕분입니다.

Linux Foundation의 일부인 OCI의 목표는 여러 문제를 한 번에 해결하는 컨테이너 형식 및 런타임에 대한 개방형 산업 표준을 만드는 것입니다. 첫째, 그들은 Linux의 철학과 모순되지 않았습니다(예를 들어, 각 프로그램은 하나의 작업을 수행해야 한다는 부분에서, 도커 일종의 올인원 결합입니다). 둘째, 소프트웨어의 기존 결함을 모두 제거할 수 있습니다. 도커. 셋째, 컨테이너화된 애플리케이션을 배포, 관리 및 제공하기 위한 주요 상용 플랫폼(예: Red Hat OpenShift)의 비즈니스 요구 사항과 완벽하게 호환됩니다.

제한 도커 새로운 소프트웨어의 장점은 이미 이 기사, OCI 프로젝트 내에서 제공되는 전체 소프트웨어 스택과 해당 아키텍처 기능에 대한 자세한 설명은 Red Hat 자체의 공식 문서 및 기사에서 찾을 수 있습니다. 기사 Red Hat 블로그) 및 타사 리뷰.

제안된 스택의 구성 요소에 어떤 기능이 있는지 확인하는 것이 중요합니다.

• 포드 맨 — runC 프로세스를 통해 컨테이너 및 이미지 저장소와 직접 상호 작용합니다.
• 빌다 — 이미지를 조립하고 레지스트리에 업로드합니다.
• 크리오 — 컨테이너 오케스트레이션 시스템(예: Kubernetes)을 위한 실행 가능한 환경입니다.

스택 구성 요소 간의 일반적인 상호 작용 방식을 이해하려면 여기에 연결 다이어그램을 제공하는 것이 좋습니다. Kubernetes c 실행C 그리고 저수준 라이브러리를 사용하여 크리오:

크리오 и Kubernetes 동일한 릴리스 및 지원 주기를 준수합니다(호환성 매트릭스는 매우 간단합니다. 주요 버전 Kubernetes и 크리오 일치) 그리고 이는 개발자가 이 스택의 작동에 대한 완전하고 포괄적인 테스트에 중점을 두는 것을 고려하여 모든 사용 시나리오에서 작동 시 달성 가능한 최대 안정성을 기대할 수 있는 권리를 제공합니다(여기서 상대적인 가벼움도 유익합니다). 크리오 비교 된 도커 의도적인 기능 제한으로 인해).

설치시 Kubernetes "올바른 방법" 방법(물론 OCI에 따르면)을 사용하여 크리오 에 8 CentOS에 우리는 몇 가지 사소한 어려움에 직면했지만 성공적으로 극복했습니다. 총 10분 정도 소요되는 설치 및 구성 지침을 기꺼이 공유해 드리겠습니다.

CRI-O 프레임워크를 사용하여 CentOS 8에 Kubernetes를 배포하는 방법

전제 조건: 설치된 호스트(코어 2개, 4GB RAM, 최소 15GB 스토리지)가 하나 이상 있어야 합니다. 8 CentOS에 (“서버” 설치 프로필 권장) 로컬 DNS의 항목(최후의 수단으로 /etc/hosts의 항목을 사용하여 얻을 수 있음). 그리고 잊지 마세요 스왑 비활성화.

호스트에서 루트 사용자로 모든 작업을 수행하므로 주의하세요.

1. 첫 번째 단계에서는 OS를 구성하고 CRI-O에 대한 예비 종속성을 설치 및 구성합니다.
   • OS를 업데이트해 보겠습니다.

     dnf -y update
     

   • 다음으로 방화벽과 SELinux를 구성해야 합니다. 여기서 모든 것은 호스트가 작동할 환경에 따라 다릅니다. 다음 중 권장 사항에 따라 방화벽을 설정할 수 있습니다. 선적 서류 비치또는 신뢰할 수 있는 네트워크에 있거나 타사 방화벽을 사용하는 경우 기본 영역을 신뢰할 수 있음으로 변경하거나 방화벽을 끄십시오.

     firewall-cmd --set-default-zone trusted
     
     firewall-cmd --reload

     방화벽을 끄려면 다음 명령을 사용할 수 있습니다.

     systemctl disable --now firewalld
     

     SELinux를 끄거나 "허용" 모드로 전환해야 합니다.

     setenforce 0
     
     sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config

   • 필요한 커널 모듈과 패키지를 로드하고, 시스템 시작 시 "br_netfilter" 모듈의 자동 로드를 구성합니다:

     modprobe overlay
     
     modprobe br_netfilter
     
     echo "br_netfilter" >> /etc/modules-load.d/br_netfilter.conf
     
     dnf -y install iproute-tc
     

   • 패킷 전달을 활성화하고 트래픽 처리를 수정하기 위해 적절한 설정을 지정합니다.

     cat > /etc/sysctl.d/99-kubernetes-cri.conf <<EOF
     net.bridge.bridge-nf-call-iptables = 1
     net.ipv4.ip_forward = 1
     net.bridge.bridge-nf-call-ip6tables = 1
     EOF
     

     설정을 적용합니다:

     sysctl --system

   • 필요한 버전을 설정하세요 크리오 (주요 버전 크리오, 이미 언급한 대로 필수 버전과 일치합니다. Kubernetes), 최신 안정 버전 이후 Kubernetes 현재 1.18:

     export REQUIRED_VERSION=1.18
     

     필요한 저장소를 추가하십시오:

     dnf -y install 'dnf-command(copr)'
     
     dnf -y copr enable rhcontainerbot/container-selinux
     
     curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable/CentOS_8/devel:kubic:libcontainers:stable.repo
     
     curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION/CentOS_8/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo

   • 이제 설치할 수 있어요 크리오:

     dnf -y install cri-o
     

     설치 과정에서 처음 접하게 되는 미묘한 차이에 주의하세요. 구성을 편집해야 합니다. 크리오 서비스를 시작하기 전에 필요한 conmon 구성 요소의 위치가 지정된 구성 요소와 다르기 때문에:

     sed -i 's//usr/libexec/crio/conmon//usr/bin/conmon/' /etc/crio/crio.conf

     이제 데몬을 활성화하고 시작할 수 있습니다 크리오:

     systemctl enable --now crio
     

     데몬 상태를 확인할 수 있습니다.

     systemctl status crio
     

2. 설치 및 활성화 Kubernetes.
   • 필요한 저장소를 추가해 보겠습니다.

     cat <<EOF > /etc/yum.repos.d/kubernetes.repo
     [kubernetes]
     name=Kubernetes
     baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-$basearch
     enabled=1
     gpgcheck=1
     repo_gpgcheck=1
     gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
     exclude=kubelet kubeadm kubectl
     EOF
     

     이제 설치할 수 있습니다 Kubernetes (위에서 언급한 버전 1.18):

     dnf install -y kubelet-1.18* kubeadm-1.18* kubectl-1.18* --disableexcludes=kubernetes

   • 두 번째 중요한 뉘앙스: 데몬을 사용하지 않기 때문에 도커, 하지만 우리는 데몬을 사용합니다 크리오, 실행 및 초기화 전 Kubernetes 먼저 원하는 디렉터리를 생성한 후 /var/lib/kubelet/config.yaml 구성 파일에서 적절한 설정을 지정해야 합니다.

     mkdir /var/lib/kubelet
     
     cat <<EOF > /var/lib/kubelet/config.yaml
     apiVersion: kubelet.config.k8s.io/v1beta1
     kind: KubeletConfiguration
     cgroupDriver: systemd
     EOF

   • 설치 중에 직면하게 되는 세 번째 중요한 점: 사용된 드라이버를 표시했음에도 불구하고 씨그룹, 전달된 인수를 통한 구성 Kubelet (문서에 명시적으로 명시된 대로) 오래된 경우 파일에 인수를 추가해야 합니다. 그렇지 않으면 클러스터가 초기화되지 않습니다.

     cat /dev/null > /etc/sysconfig/kubelet
     
     cat <<EOF > /etc/sysconfig/kubelet
     KUBELET_EXTRA_ARGS=--container-runtime=remote --cgroup-driver=systemd --container-runtime-endpoint='unix:///var/run/crio/crio.sock'
     EOF

   • 이제 데몬을 활성화할 수 있습니다 Kubelet:

     sudo systemctl enable --now kubelet
     

     사용자 지정하려면 제어 평면 또는 노동자 몇 분 안에 노드를 사용할 수 있습니다. 이 스크립트로.

3. 이제 클러스터를 초기화할 시간입니다.
   • 클러스터를 초기화하려면 다음 명령어를 실행하세요.

     kubeadm init --pod-network-cidr=10.244.0.0/16
     

     출력 끝에서 사용하도록 요청되는 클러스터 "kubeadm Join …"에 가입하기 위한 명령을 기록하거나 최소한 지정된 토큰을 기록하십시오.

   • Pod 네트워크용 플러그인(CNI)을 설치해 보겠습니다. 나는 사용하는 것이 좋습니다 옥양목. 아마도 더 인기가 많을 것 같아요 플란넬 호환성 문제가 있습니다 지주, 예 및 예 옥양목 - 프로젝트에서 권장하고 완전히 테스트한 유일한 CNI 구현입니다. Kubernetes:

     kubectl --kubeconfig /etc/kubernetes/admin.conf apply -f https://docs.projectcalico.org/v3.15/manifests/calico.yaml 

   • 작업자 노드를 클러스터에 연결하려면 지침 1과 2에 따라 구성하거나 다음을 사용해야 합니다. 스크립트, 이전 단계에서 기록한 "kubeadm init..." 출력에서 ​​명령을 실행합니다.

     kubeadm join $CONTROL_PLANE_ADDRESS:6443 --token $TOKEN 
         --discovery-token-ca-cert-hash $TOKEN_HASH

   • 클러스터가 초기화되고 작동이 시작되었는지 확인해 보겠습니다.

     kubectl --kubeconfig=/etc/kubernetes/admin.conf get pods -A
     

   준비가 된! 이미 K8s 클러스터에서 페이로드를 호스팅할 수 있습니다.

앞으로 우리를 기다리는 것은 무엇입니까

위의 지침이 귀하의 시간과 노력을 절약하는 데 도움이 되기를 바랍니다.
업계에서 발생하는 프로세스의 결과는 해당 틈새 시장에서 대다수 최종 사용자와 다른 소프트웨어 개발자가 프로세스를 어떻게 받아들이는지에 따라 달라지는 경우가 많습니다. OCI의 이니셔티브가 몇 년 안에 어떤 결과를 가져올지는 아직 명확하지 않지만, 우리는 즐겁게 지켜볼 것입니다. 지금 바로 댓글로 의견을 공유하실 수 있습니다.

계속 지켜봐!

이 기사는 다음 출처 덕분에 게재되었습니다.

• 컨테이너 런타임에 대한 섹션 쿠버네티스 문서
• 페이지 인터넷상의 CRI-O 프로젝트
• Red Hat 블로그 기사: 이 하나, 이 그리고 많은 다른 사람들

출처 : habr.com