닭고기 또는 계란: IaC 분할

무엇이 먼저 왔는가? 닭고기인가, 달걀인가? 코드형 인프라(Infrastructure-as-Code)에 관한 기사의 시작은 꽤 이상하지 않습니까?

계란이란 무엇입니까?

대부분의 경우 IaC(Infrastructure-as-Code)는 인프라를 표현하는 선언적 방식입니다. 여기에는 하드웨어 부분에서 시작하여 소프트웨어 구성으로 끝나는 달성하려는 상태가 설명되어 있습니다. 따라서 IaC는 다음 용도로 사용됩니다.

1. 자원 제공. VM, S3, VPC 등이 있습니다. 업무용 기본 도구: 테라 폼 и 클라우드 포메이션.
2. 소프트웨어 구성. 기본 도구: 책임감있는, 셰프 등

모든 코드는 git 저장소에 있습니다. 그리고 조만간 팀 리더는 정리가 필요하다고 결정할 것입니다. 그리고 그는 리팩토링할 것이다. 그리고 그것은 어떤 구조를 만들 것입니다. 그리고 그는 이것이 좋은 것임을 알게 될 것입니다.

이미 존재한다는 것도 좋은데 GitLab и GitHub의-Terraform용 공급자(소프트웨어 구성)입니다. 이들의 도움을 받아 팀 구성원, CI/CD, git-flow 등 전체 프로젝트를 관리할 수 있습니다.

계란은 어디서 왔나요?

그래서 우리는 점차 주요 질문에 접근하고 있습니다.

우선, 자신을 포함한 다른 리포지토리의 구조를 설명하는 리포지토리부터 시작해야 합니다. 물론 GitOps의 일부로 변경 사항이 자동으로 실행되도록 CI를 추가해야 합니다.

Git이 아직 생성되지 않았다면?

1. Git에 어떻게 저장하나요?
2. CI를 어떻게 설치하나요?
3. IaC를 사용하여 Gitlab을 배포하고 Kubernetes에서도 배포한다면?
4. GitLab Runner도 Kubernetes에 있나요?
5. 클라우드 제공업체의 Kubernetes는 어떻습니까?

내 코드를 업로드할 GitLab, 아니면 어떤 종류의 GitLab이 필요한지 설명하는 코드 중 무엇이 먼저 왔습니까?

계란을 넣은 닭고기

«오야코동3 공룡과 함께" [SRC]

클라우드 공급자를 사용하여 요리를 만들어 봅시다 관리형 Kubernetes 선택.

TL; DR

한 팀에 동시에 가입할 수 있나요?

$ export MY_SELECTEL_TOKEN=<token>
$ curl https://gitlab.com/chicken-or-egg/mks/make/-/snippets/2002106/raw | bash

성분 :

• my.selectel.ru의 계정;
• 계정 토큰
• 쿠버네티스 기술;
• 투구 기술;
• 테라포밍 기술;
• 헬름 차트 GitLab;
• 투구 차트 GitLab Runner.

조리법 :

1. 패널에서 MY_SELECTEL_TOKEN 가져오기 my.selectel.ru.
2. 계정 토큰을 전송하여 Kubernetes 클러스터를 생성합니다.
3. 생성된 클러스터에서 KUBECONFIG를 가져옵니다.
4. Kubernetes에 GitLab을 설치합니다.
5. 사용자를 위해 생성된 GitLab에서 GitLab 토큰 가져오기 뿌리.
6. GitLab-token을 사용하여 GitLab에서 프로젝트 구조를 만듭니다.
7. 기존 코드를 GitLab에 푸시합니다.
8. ?
9. 이익!

1 단계. 토큰은 섹션에서 얻을 수 있습니다. API 키.

2 단계. 2개 노드로 구성된 클러스터를 "굽기" 위해 Terraform을 준비합니다. 모든 것에 충분한 리소스가 있다고 확신하는 경우 자동 할당량을 활성화할 수 있습니다.

provider "selectel" {
 token = var.my_selectel_token
}

variable "my_selectel_token" {}
variable "username" {}
variable "region" {}


resource "selectel_vpc_project_v2" "my-k8s" {
 name = "my-k8s-cluster"
 theme = {
   color = "269926"
 }
 quotas {
   resource_name = "compute_cores"
   resource_quotas {
     region = var.region
     zone = "${var.region}a"
     value = 16
   }
 }
 quotas {
   resource_name = "network_floatingips"
   resource_quotas {
     region = var.region
     value = 1
   }
 }
 quotas {
   resource_name = "load_balancers"
   resource_quotas {
     region = var.region
     value = 1
   }
 }
 quotas {
   resource_name = "compute_ram"
   resource_quotas {
     region = var.region
     zone = "${var.region}a"
     value = 32768
   }
 }
 quotas {
   resource_name = "volume_gigabytes_fast"
   resource_quotas {
     region = var.region
     zone = "${var.region}a"
     # (20 * 2) + 50 + (8 * 3 + 10)
     value = 130
   }
 }
}

resource "selectel_mks_cluster_v1" "k8s-cluster" {
 name         = "k8s-cluster"
 project_id   = selectel_vpc_project_v2.my-k8s.id
 region       = var.region
 kube_version = "1.17.9"
}

resource "selectel_mks_nodegroup_v1" "nodegroup_1" {
 cluster_id        = selectel_mks_cluster_v1.k8s-cluster.id
 project_id        = selectel_mks_cluster_v1.k8s-cluster.project_id
 region            = selectel_mks_cluster_v1.k8s-cluster.region
 availability_zone = "${var.region}a"
 nodes_count       = 2
 cpus              = 8
 ram_mb            = 16384
 volume_gb         = 15
 volume_type       = "fast.${var.region}a"
 labels            = {
   "project": "my",
 }
}

프로젝트에 사용자를 추가합니다.

resource "random_password" "my-k8s-user-pass" {
 length = 16
 special = true
 override_special = "_%@"
}

resource "selectel_vpc_user_v2" "my-k8s-user" {
 password = random_password.my-k8s-user-pass.result
 name = var.username
 enabled  = true
}

resource "selectel_vpc_keypair_v2" "my-k8s-user-ssh" {
 public_key = file("~/.ssh/id_rsa.pub")
 user_id    = selectel_vpc_user_v2.my-k8s-user.id
 name = var.username
}

resource "selectel_vpc_role_v2" "my-k8s-role" {
 project_id = selectel_vpc_project_v2.my-k8s.id
 user_id    = selectel_vpc_user_v2.my-k8s-user.id
}

산출:

output "project_id" {
 value = selectel_vpc_project_v2.my-k8s.id
}

output "k8s_id" {
 value = selectel_mks_cluster_v1.k8s-cluster.id
}

output "user_name" {
 value = selectel_vpc_user_v2.my-k8s-user.name
}

output "user_pass" {
 value = selectel_vpc_user_v2.my-k8s-user.password
}

시작해보자:

$ env 
TF_VAR_region=ru-3 
TF_VAR_username=diamon 
TF_VAR_my_selectel_token=<token> 
terraform plan -out planfile

$ terraform apply -input=false -auto-approve planfile

3 단계. 우리는 Cubeconfig를 얻습니다.

프로그래밍 방식으로 KUBECONFIG를 다운로드하려면 OpenStack에서 토큰을 가져와야 합니다.

openstack token issue -c id -f value > token

그리고 이 토큰을 사용하여 Managed Kubernetes Selectel API에 요청합니다. k8s_id 문제 테라 포름:

curl -XGET -H "x-auth-token: $(cat token)" "https://ru-3.mks.selcloud.ru/v1/clusters/$(cat k8s_id)/kubeconfig" -o kubeConfig.yaml

Cupconfig는 패널을 통해서도 액세스할 수 있습니다.

4 단계. 클러스터가 구워지고 액세스할 수 있게 되면 위에 yaml을 추가하여 맛볼 수 있습니다.

나는 다음을 추가하는 것을 선호합니다:

• 네임스페이스,
• 저장 클래스
• 포드 보안 정책 등.

스토리지 클래스 Selectel의 경우 다음에서 가져올 수 있습니다. 공식 저장소.

처음에 영역에서 클러스터를 선택했기 때문에 루-3a, 이 영역의 스토리지 클래스가 필요합니다.

kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
 name: fast.ru-3a
 annotations:
   storageclass.kubernetes.io/is-default-class: "true"
provisioner: cinder.csi.openstack.org
parameters:
 type: fast.ru-3a
 availability: ru-3a
allowVolumeExpansion: true

5 단계. 로드 밸런서를 설치합니다.

우리는 많은 사람들에게 표준을 사용할 것입니다 nginx 수신. 설치에 대한 지침이 이미 많이 있으므로 이에 대해서는 다루지 않겠습니다.

$ helm repo add nginx-stable https://helm.nginx.com/stable
$ helm upgrade nginx-ingress nginx-stable/nginx-ingress -n ingress --install -f ../internal/K8S-cluster/ingress/values.yml

약 3~4분 동안 외부 IP를 수신할 때까지 기다립니다.

수신된 외부 IP:

6 단계. GitLab을 설치합니다.

$ helm repo add gitlab https://charts.gitlab.io
$ helm upgrade gitlab gitlab/gitlab -n gitlab  --install -f gitlab/values.yml --set "global.hosts.domain=gitlab.$EXTERNAL_IP.nip.io"

다시 모든 포드가 상승할 때까지 기다립니다.

kubectl get po -n gitlab
NAME                                      	READY   STATUS  	RESTARTS   AGE
gitlab-gitaly-0                           	0/1 	Pending 	0      	0s
gitlab-gitlab-exporter-88f6cc8c4-fl52d    	0/1 	Pending 	0      	0s
gitlab-gitlab-runner-6b6867c5cf-hd9dp     	0/1 	Pending 	0      	0s
gitlab-gitlab-shell-55cb6ccdb-h5g8x       	0/1 	Init:0/2	0      	0s
gitlab-migrations.1-2cg6n                 	0/1 	Pending 	0      	0s
gitlab-minio-6dd7d96ddb-zd9j6             	0/1 	Pending 	0      	0s
gitlab-minio-create-buckets.1-bncdp       	0/1 	Pending 	0      	0s
gitlab-postgresql-0                       	0/2 	Pending 	0      	0s
gitlab-prometheus-server-6cfb57f575-v8k6j 	0/2 	Pending 	0      	0s
gitlab-redis-master-0                     	0/2 	Pending 	0      	0s
gitlab-registry-6bd77b4b8c-pb9v9          	0/1 	Pending 	0      	0s
gitlab-registry-6bd77b4b8c-zgb6r          	0/1 	Init:0/2	0      	0s
gitlab-shared-secrets.1-pc7-5jgq4         	0/1 	Completed   0      	20s
gitlab-sidekiq-all-in-1-v1-54dbcf7f5f-qbq67   0/1 	Pending 	0      	0s
gitlab-task-runner-6fd6857db7-9x567       	0/1 	Pending 	0      	0s
gitlab-webservice-d9d4fcff8-hp8wl         	0/2 	Pending 	0      	0s
Waiting gitlab
./wait_gitlab.sh ../internal/gitlab/gitlab/.pods
waiting for pod...
waiting for pod...
waiting for pod...

꼬투리 장미 :

7 단계. 우리는 GitLab 토큰을 받습니다.

먼저 로그인 비밀번호를 알아보세요.

kubectl get secret -n gitlab gitlab-gitlab-initial-root-password -o jsonpath='{.data.password}' | base64 --decode

이제 로그인하여 토큰을 받으세요.

python3 get_gitlab_token.py root $GITLAB_PASSWORD http://gitlab.gitlab.$EXTERNAL_IP.nip.io

8 단계. Gitlab Provider를 사용하여 Git 저장소를 올바른 계층 구조로 가져옵니다.

cd ../internal/gitlab/hierarchy && terraform apply -input=false -auto-approve planfile

불행하게도 Terraform GitLab 공급자는 부동 버그. 그런 다음 tf.state를 수정하려면 충돌하는 프로젝트를 수동으로 삭제해야 합니다. 그런 다음 `$make all` 명령을 다시 실행하세요.

9 단계. 로컬 저장소를 서버로 전송합니다.

$ make push

[master (root-commit) b61d977]  Initial commit
 3 files changed, 46 insertions(+)
 create mode 100644 .gitignore
 create mode 100644 values.yml
Enumerating objects: 5, done.
Counting objects: 100% (5/5), done.
Delta compression using up to 8 threads
Compressing objects: 100% (5/5), done.
Writing objects: 100% (5/5), 770 bytes | 770.00 KiB/s, done.
Total 5 (delta 0), reused 0 (delta 0)

완료 :

결론

우리는 로컬 머신에서 모든 것을 선언적으로 관리할 수 있다는 것을 달성했습니다. 이제 이 모든 작업을 CI로 전송하고 버튼만 누르면 됩니다. 이를 위해서는 로컬 상태(Terraform 상태)를 CI로 이전해야 합니다. 이를 수행하는 방법은 다음 부분에 있습니다.

우리의 구독 블로그새로운 기사의 출시를 놓치지 않도록!

출처 : habr.com