🥇Amazon EKS Windows GA ar kļūdām, taču ātrāk nekā jebkurš cits

Labdien, es vēlos dalīties ar jums savā pieredzē par pakalpojuma AWS EKS (Elastic Kubernetes Service) iestatīšanu un lietošanu Windows konteineriem vai drīzāk par tā izmantošanas neiespējamību un AWS sistēmas konteinerā atrasto kļūdu tiem. kam interesē šis pakalpojums Windows konteineriem, lūdzu zem kat.

Es zinu, ka Windows konteineri nav populāra tēma, un daži cilvēki tos izmanto, taču es tomēr nolēmu uzrakstīt šo rakstu, jo par kubernetes un Windows bija pāris raksti par Habré, un joprojām ir tādi cilvēki.

sākums

Viss sākās, kad tika nolemts mūsu uzņēmumā pakalpojumus migrēt uz kubernetes, kas ir 70% Windows un 30% Linux. Šim nolūkam kā viens no iespējamajiem variantiem tika izskatīts AWS EKS mākoņpakalpojums. Līdz 8. gada 2019. oktobrim AWS EKS Windows bija publiskajā priekšskatījumā, sāku ar to, tur tika izmantota vecā kubernetes 1.11 versija, bet nolēmu tomēr pārbaudīt un paskatīties, kurā stadijā ir šis mākoņpakalpojums, vai strādā. vispār, kā izrādījās, nē, tā bija kļūda, pievienojot noņemšanu podiem, savukārt vecie pārstāja reaģēt caur iekšējo ip no tā paša apakštīkla, kur windows worker mezgls.

Tāpēc tika nolemts atteikties no AWS EKS izmantošanas par labu mūsu pašu klasterim uz kubernetes tajā pašā EC2, tikai mums pašiem būtu jāapraksta visa balansēšana un HA, izmantojot CloudFormation.

Amazon EKS Windows konteineru atbalsts tagad parasti ir pieejams

autors Martin Beeby | 08. gada 2019. oktobrī

Pirms man bija laiks pievienot CloudFormation veidni savam klasterim, es redzēju šīs ziņas Amazon EKS Windows konteineru atbalsts tagad parasti ir pieejams

Protams, es atliku visu savu darbu un sāku pētīt, ko viņi darīja GA labā un kā viss mainījās ar publisko priekšskatījumu. Jā, AWS, labi darīts, atjaunināja Windows Worker mezgla attēlus uz versiju 1.14, kā arī pats klasteris, EKS versija 1.14, tagad atbalsta Windows mezglus. Project by Public Preview plkst github Viņi to piesedza un teica, ka tagad izmantojiet oficiālo dokumentāciju šeit: EKS Windows atbalsts

EKS klastera integrēšana pašreizējā VPC un apakštīklos

Visos avotos iepriekš norādītajā saitē uz paziņojumu, kā arī dokumentācijā tika ierosināts izvietot klasteru, izmantojot patentēto eksctl utilītu vai CloudFormation + kubectl after, tikai izmantojot publiskos apakštīklus pakalpojumā Amazon, kā arī izveidojot atsevišķa VPC jaunam klasterim.

Šī opcija nav piemērota daudziem; pirmkārt, atsevišķs VPC nozīmē papildu izmaksas par tā izmaksām + trafika savienošanu ar pašreizējo VPC. Kas jādara tiem, kuriem jau ir gatava AWS infrastruktūra ar saviem vairākiem AWS kontiem, VPC, apakštīkliem, maršruta tabulām, tranzīta vārteju un tā tālāk? Protams, jūs nevēlaties to visu lauzt vai pārtaisīt, un jaunais EKS klasteris ir jāintegrē pašreizējā tīkla infrastruktūrā, izmantojot esošo VPC un atdalīšanai, ne vairāk kā, izveidojot klasterim jaunus apakštīklus.

Manā gadījumā tika izvēlēts šāds ceļš, es izmantoju esošo VPC, pievienoju tikai 2 publiskos apakštīklus un 2 privātos apakštīklus jaunajam klasterim, protams, visi noteikumi tika ņemti vērā saskaņā ar dokumentāciju Izveidojiet savu Amazon EKS Cluster VPC.

Bija arī viens nosacījums: publiskajos apakštīklos, kas izmanto EIP, nav darbinieku mezglu.

eksctl vs CloudFormation

Es uzreiz izdarīšu atrunu, ka izmēģināju abas klastera izvietošanas metodes, abos gadījumos attēls bija vienāds.

Es parādīšu piemēru, izmantojot tikai eksctl, jo kods šeit būs īsāks. Izmantojot eksctl, izvietojiet klasteru trīs darbībās:

1. Mēs izveidojam pašu klasteru + Linux darbinieka mezglu, kas vēlāk uzņems sistēmas konteinerus un to pašu neveiksmīgo vpc kontrolieri.

eksctl create cluster 
--name yyy 
--region www 
--version 1.14 
--vpc-private-subnets=subnet-xxxxx,subnet-xxxxx 
--vpc-public-subnets=subnet-xxxxx,subnet-xxxxx 
--asg-access 
--nodegroup-name linux-workers 
--node-type t3.small 
--node-volume-size 20 
--ssh-public-key wwwwwwww 
--nodes 1 
--nodes-min 1 
--nodes-max 2 
--node-ami auto 
--node-private-networking

Lai izvietotu esošā VPC, vienkārši norādiet savu apakštīklu ID, un eksctl noteiks pašu VPC.

Lai nodrošinātu, ka jūsu darbinieka mezgli tiek izvietoti tikai privātā apakštīklā, mezglu grupai ir jānorāda --node-private-networking.

2. Mēs savā klasterī instalējam vpc-controller, kas pēc tam apstrādās mūsu darbinieku mezglus, saskaitot brīvo IP adrešu skaitu, kā arī ENI skaitu instancē, pievienojot un noņemot tos.

eksctl utils install-vpc-controllers --name yyy --approve

3.Pēc tam, kad jūsu sistēmas konteineri ir veiksmīgi palaisti jūsu Linux darbinieka mezglā, ieskaitot vpc kontrolieri, atliek tikai izveidot citu mezglu grupu ar Windows darbiniekiem.

eksctl create nodegroup 
--region www 
--cluster yyy 
--version 1.14 
--name windows-workers 
--node-type t3.small 
--ssh-public-key wwwwwwwwww 
--nodes 1 
--nodes-min 1 
--nodes-max 2 
--node-ami-family WindowsServer2019CoreContainer 
--node-ami ami-0573336fc96252d05 
--node-private-networking

Kad mezgls ir veiksmīgi izveidojis savienojumu ar jūsu kopu un šķiet, ka viss ir kārtībā, tas ir statusā Gatavs, bet nē.

Kļūda vpc kontrolierī

Ja mēģināsim palaist pods uz Windows Worker mezgla, mēs saņemsim kļūdu:

NetworkPlugin cni failed to teardown pod "windows-server-iis-7dcfc7c79b-4z4v7_default" network: failed to parse Kubernetes args: pod does not have label vpc.amazonaws.com/PrivateIPv4Address]

Ja skatāmies dziļāk, mēs redzam, ka mūsu gadījums AWS izskatās šādi:

Un tam vajadzētu būt šādi:

No tā ir skaidrs, ka vpc kontrolieris kādu iemeslu dēļ neizpildīja savu daļu un nevarēja pievienot instancē jaunas IP adreses, lai podi varētu tās izmantot.

Apskatīsim vpc-controller pod žurnālus, un tas ir tas, ko mēs redzam:

kubectl žurnāls -n kube-sistēma

I1011 06:32:03.910140       1 watcher.go:178] Node watcher processing node ip-10-xxx.ap-xxx.compute.internal.
I1011 06:32:03.910162       1 manager.go:109] Node manager adding node ip-10-xxx.ap-xxx.compute.internal with instanceID i-088xxxxx.
I1011 06:32:03.915238       1 watcher.go:238] Node watcher processing update on node ip-10-xxx.ap-xxx.compute.internal.
E1011 06:32:08.200423       1 manager.go:126] Node manager failed to get resource vpc.amazonaws.com/CIDRBlock  pool on node ip-10-xxx.ap-xxx.compute.internal: failed to find the route table for subnet subnet-0xxxx
E1011 06:32:08.201211       1 watcher.go:183] Node watcher failed to add node ip-10-xxx.ap-xxx.compute.internal: failed to find the route table for subnet subnet-0xxx
I1011 06:32:08.201229       1 watcher.go:259] Node watcher adding key ip-10-xxx.ap-xxx.compute.internal (0): failed to find the route table for subnet subnet-0xxxx
I1011 06:32:08.201302       1 manager.go:173] Node manager updating node ip-10-xxx.ap-xxx.compute.internal.
E1011 06:32:08.201313       1 watcher.go:242] Node watcher failed to update node ip-10-xxx.ap-xxx.compute.internal: node manager: failed to find node ip-10-xxx.ap-xxx.compute.internal.

Meklēšana Google ne pie kā nedeva, jo acīmredzot neviens vēl nebija pieķēris šādu kļūdu vai nebija publicējis problēmu, vispirms nācās izdomāt iespējas pašam. Pirmā lieta, kas ienāca prātā, bija tāda, ka, iespējams, vpc kontrolieris nevar atrisināt ip-10-xxx.ap-xxx.compute.internal un sasniegt to, un tāpēc rodas kļūdas.

Jā, patiešām, mēs VPC izmantojam pielāgotus DNS serverus un principā neizmantojam Amazon, tāpēc pat pārsūtīšana netika konfigurēta šim ap-xxx.compute.internal domēnam. Izmēģināju šo variantu, un tas nedeva rezultātus, iespējams, tests nebija tīrs, un tāpēc tālāk, sazinoties ar tehnisko atbalstu, padevos viņu idejai.

Tā kā ideju īsti nebija, visas drošības grupas veidoja pats eksctl, tāpēc par to apkalpojamību šaubu nebija, maršruta tabulas arī bija pareizas, nat, dns, interneta pieeja ar worker node arī bija.

Turklāt, ja izvietojat darbinieka mezglu publiskajā apakštīklā, neizmantojot —node-private-networking, vpc kontrolieris nekavējoties atjaunināja šo mezglu, un viss darbojās kā pulkstenis.

Bija divas iespējas:

Atmet un pagaidi, kamēr kāds aprakstīs šo kļūdu AWS un to izlabos, un tad vari droši lietot AWS EKS Windows, jo viņi tikko izlaida GA (šī raksta tapšanas brīdī ir pagājušas 8 dienas), iespējams, daudzi to darīs ej pa to pašu ceļu kā es.
Rakstiet AWS atbalsta dienestam un pastāstiet viņiem problēmas būtību ar veselu kaudzi žurnālu no jebkuras vietas un pierādiet viņiem, ka viņu pakalpojums nedarbojas, izmantojot jūsu VPC un apakštīklus, ne velti mums bija biznesa atbalsts, jums vajadzētu izmantot tā vismaz vienu reizi :)

Saziņa ar AWS inženieriem

Izveidojot biļeti portālā, es kļūdaini izvēlējos atbildēt man caur Web - e-pastu vai atbalsta centru, caur šo iespēju viņi var jums atbildēt pēc dažām dienām, neskatoties uz to, ka manai biļetei bija Smaguma pakāpe - sistēma ir traucēta, nozīmēja atbildi <12 stundu laikā, un tā kā Biznesa atbalsta plānā ir 24/7 atbalsts, tad cerēju uz to labāko, bet sanāca kā vienmēr.

Mana biļete tika atstāta nepiešķirta no piektdienas līdz pirmdienai, tad nolēmu viņiem vēlreiz uzrakstīt un izvēlējos atbildes opciju Chat. Pēc neilgas gaidīšanas pie manis tika nozīmēts Harshads Madhavs, un tad sākās...

Mēs ar to atkļūdojām tiešsaistē 3 stundas pēc kārtas, pārsūtot žurnālus, izvietojot to pašu klasteru AWS laboratorijā, lai emulētu problēmu, no manas puses izveidojām klasteru no jauna utt., vienīgais, pie kā nonācām, ir tas, ka no plkst. žurnālos bija skaidrs, ka resol nedarbojas AWS iekšējie domēna nosaukumi, par kuriem es rakstīju iepriekš, un Harshad Madhav man lūdza izveidot pārsūtīšanu, it kā mēs izmantojam pielāgotu DNS un tā varētu būt problēma.

Pārsūtīšana

ap-xxx.compute.internal  -> 10.x.x.2 (VPC CIDRBlock)
amazonaws.com -> 10.x.x.2 (VPC CIDRBlock)

Tas arī tika izdarīts, diena bija beigusies. Haršads Madhavs atrakstīja, lai pārbaudītu, un tam vajadzētu darboties, bet nē, izšķirtspēja nepalīdzēja.

Pēc tam notika saziņa ar vēl 2 inženieriem, viens vienkārši izkrita no čata, acīmredzot baidījās no sarežģīta gadījuma, otrs manu dienu atkal pavadīja pilnā atkļūdošanas ciklā, sūtot žurnālus, veidojot klasterus abās pusēs, beigas vins tikai teica labi, man tas der, te es esmu es daru visu soli pa solim oficiala dokumentaacija un tev un tev izdosies.

Uz ko es pieklājīgi palūdzu viņam aiziet un piešķirt manai biļetei kādu citu, ja nezināt, kur meklēt problēmu.

Fināls

Trešajā dienā pie manis tika norīkots jauns inženieris Aruns B., un jau no komunikācijas sākuma ar viņu uzreiz bija skaidrs, ka tie nav 3 iepriekšējie inženieri. Viņš izlasīja visu vēsturi un nekavējoties lūdza savākt žurnālus, izmantojot viņa paša ps1 skriptu, kas bija viņa github. Tam atkal sekoja visas klasteru veidošanas, komandu rezultātu izvadīšanas, žurnālu vākšanas iterācijas, bet Aruns B., spriežot pēc man uzdotajiem jautājumiem, virzījās pareizajā virzienā.

Kad mēs nonācām līdz punktam -stderrthreshold=debug iespējošana viņu vpc-kontrolerī, un kas notika tālāk? protams, tas nedarbojas) pods vienkārši nesākas ar šo opciju, darbojas tikai -stderrthreshold=info.

Mēs pabeidzām šeit, un Aruns B. teica, ka viņš mēģinās atveidot manus soļus, lai iegūtu tādu pašu kļūdu. Nākamajā dienā es saņemu atbildi no Aruna B. viņš neatteicās no šīs lietas, bet paņēma viņu vpc kontroliera pārskata kodu un atrada vietu, kur tas atrodas un kāpēc tas nedarbojas:

Tādējādi, ja izmantojat galveno maršruta tabulu savā VPC, tad pēc noklusējuma tai nav saistību ar nepieciešamajiem apakštīkliem, kas ir tik nepieciešami vpc-kontrolierim, publiska apakštīkla gadījumā tai ir pielāgota maršruta tabula. kam ir asociācija.

Manuāli pievienojot asociācijas galvenajai maršruta tabulai ar nepieciešamajiem apakštīkliem un no jauna izveidojot mezglu grupu, viss darbojas lieliski.

Ceru, ka Aruns B. tiešām ziņos par šo kļūdu EKS izstrādātājiem un mēs redzēsim jaunu vpc-controller versiju, kurā viss darbosies no kastes. Pašlaik jaunākā versija ir: 602401143452.dkr.ecr.ap-southeast-1.amazonaws.com/eks/vpc-resource-controller:0.2.1
ir šī problēma.

Paldies visiem, kas izlasīja līdz galam, pirms ieviešanas pārbaudiet visu, ko izmantosit ražošanā.

Avots: www.habr.com

Amazon EKS Windows pakalpojumā GA ir kļūdas, taču tā ir ātrākā