🥇CRI-O kā Docker aizstājējs kā Kubernetes izpildlaika vide: iestatīšana operētājsistēmā CentOS 8

Sveiki! Mani sauc Sergejs, es esmu DevOps at Surf. Surf DevOps nodaļas mērķis ir ne tikai veidot mijiedarbību starp speciālistiem un integrēt darba procesus, bet arī aktīvi pētīt un ieviest aktuālās tehnoloģijas gan savā infrastruktūrā, gan klienta infrastruktūrā.

Tālāk es nedaudz pastāstīšu par izmaiņām konteineru tehnoloģiju kaudzē, ar kurām mēs saskārāmies, pētot izplatīšanu 8 CentOS un par to, kas tas ir CRI-O un kā ātri iestatīt izpildāmo vidi Kubernetes.

Kāpēc Docker nav iekļauts CentOS 8?

Pēc jaunāko lielāko izdevumu instalēšanas RHEL 8 vai 8 CentOS nevar nepamanīt: šiem izplatījumiem un oficiālajiem repozitorijiem nav lietojumprogrammas dokers, kas idejiski un funkcionāli aizstāj paketes Podmans, Buildah (pēc noklusējuma atrodas izplatīšanā) un CRI-O. Tas ir saistīts ar to standartu praktisko ieviešanu, ko, cita starpā, izstrādājusi Red Hat Open Container Initiative (OCI) projekta ietvaros.

OCI, kas ir daļa no The Linux Foundation, mērķis ir izveidot atvērtus nozares standartus konteineru formātiem un izpildlaikiem, kas vienlaikus atrisina vairākas problēmas. Pirmkārt, tie nebija pretrunā ar Linux filozofiju (piemēram, daļā, ka katrai programmai jāveic viena darbība, un dokers ir sava veida "viss-vienā" kombains). Otrkārt, tie varētu novērst visus esošos programmatūras trūkumus dokers. Treškārt, tie būtu pilnībā savietojami ar vadošo komerciālo platformu biznesa prasībām konteineru lietojumprogrammu izvietošanai, pārvaldībai un apkalpošanai (piemēram, Red Hat OpenShift).

Ierobežojumi dokers un jaunās programmatūras priekšrocības jau ir sīki aprakstītas Šis raksts, un detalizēts apraksts par visu OCI projekta ietvaros piedāvāto programmatūras steku un tās arhitektūras iezīmēm ir atrodams oficiālajā dokumentācijā un paša Red Hat rakstos (nav slikti raksts Red Hat emuārā) un trešās puses atsauksmes.

Ir svarīgi atzīmēt, kāda ir piedāvātās steka komponentu funkcionalitāte:

Podmans — tieša mijiedarbība ar konteineriem un attēlu krātuvi, izmantojot runC procesu;
Buildah — attēlu montāža un augšupielāde reģistrā;
CRI-O — izpildāma vide konteineru orķestrēšanas sistēmām (piemēram, Kubernetes).

Es domāju, ka, lai saprastu vispārējo steka komponentu mijiedarbības shēmu, šeit ir ieteicams sniegt savienojuma shēmu Kubernetes c runC un zema līmeņa bibliotēkas, izmantojot CRI-O:

CRI-O и Kubernetes ievērojiet to pašu izlaišanas un atbalsta ciklu (saderības matrica ir ļoti vienkārša: galvenās versijas Kubernetes и CRI-O sakrīt), un tas, ņemot vērā izstrādātāju koncentrēšanos uz pilnīgu un visaptverošu šī kaudzes darbības testēšanu, dod mums tiesības sagaidīt maksimālu sasniedzamo stabilitāti darbībā jebkurā lietošanas scenārijā (šeit izdevīgs ir arī relatīvais vieglums CRI-O salīdzinājumā ar dokers mērķtiecīga funkcionalitātes ierobežojuma dēļ).

Instalējot Kubernetes "pareizā ceļa" veidā (protams, saskaņā ar OCI), izmantojot CRI-O par 8 CentOS Saskārāmies ar nelielām grūtībām, kuras tomēr veiksmīgi pārvarējām. Labprāt dalīšos ar jums instalēšanas un konfigurēšanas instrukcijās, kas kopumā aizņems aptuveni 10 minūtes.

Kā izvietot Kubernetes operētājsistēmā CentOS 8, izmantojot CRI-O sistēmu

Priekšnosacījumi: vismaz viena resursdatora klātbūtne (2 kodoli, 4 GB RAM, vismaz 15 GB krātuve) ar instalētu 8 CentOS (ieteicams instalācijas profils “Serveris”), kā arī tā ieraksti vietējā DNS (kā pēdējo līdzekli varat iztikt ar ierakstu mapē /etc/hosts). Un neaizmirstiet atspējot mijmaiņu.

Mēs veicam visas darbības resursdatorā kā root lietotājs, esiet uzmanīgi.

Pirmajā solī mēs konfigurēsim OS, instalēsim un konfigurēsim CRI-O sākotnējās atkarības.
- Atjaunināsim OS:
```
dnf -y update
```
- Tālāk jums jākonfigurē ugunsmūris un SELinux. Šeit viss ir atkarīgs no vides, kurā strādās mūsu saimnieks vai saimnieki. Varat iestatīt ugunsmūri saskaņā ar ieteikumiem no dokumentācijavai, ja atrodaties uzticamā tīklā vai izmantojat trešās puses ugunsmūri, mainiet noklusējuma zonu uz uzticamu vai izslēdziet ugunsmūri:
```
firewall-cmd --set-default-zone trusted

firewall-cmd --reload
```
  Lai izslēgtu ugunsmūri, varat izmantot šādu komandu:
```
systemctl disable --now firewalld
```
  SELinux ir jāizslēdz vai jāpārslēdz uz “atļaujošo” režīmu:
```
setenforce 0

sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config
```
- Ielādējiet nepieciešamos kodola moduļus un pakotnes, konfigurējiet moduļa “br_netfilter” automātisko ielādi sistēmas startēšanas laikā:
```
modprobe overlay

modprobe br_netfilter

echo "br_netfilter" >> /etc/modules-load.d/br_netfilter.conf

dnf -y install iproute-tc
```
- Lai aktivizētu pakešu pārsūtīšanu un pareizu trafika apstrādi, mēs veiksim atbilstošus iestatījumus:
```
cat > /etc/sysctl.d/99-kubernetes-cri.conf <<EOF
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF
```
  izmantot veiktos iestatījumus:
```
sysctl --system
```
- iestatiet vajadzīgo versiju CRI-O (galvenā versija CRI-O, kā jau minēts, atbilst vajadzīgajai versijai Kubernetes), kopš jaunākās stabilās versijas Kubernetes šobrīd 1.18:
```
export REQUIRED_VERSION=1.18
```
  pievienojiet nepieciešamos repozitorijus:
```
dnf -y install 'dnf-command(copr)'

dnf -y copr enable rhcontainerbot/container-selinux

curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable/CentOS_8/devel:kubic:libcontainers:stable.repo

curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION/CentOS_8/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo
```
- tagad mēs varam instalēt CRI-O:
```
dnf -y install cri-o
```
  Pievērsiet uzmanību pirmajai niansei, ar kuru saskaramies instalēšanas procesā: jums ir jārediģē konfigurācija CRI-O pirms pakalpojuma palaišanas, jo nepieciešamais kopīgais komponents atrodas citā vietā nekā norādītā:
```
sed -i 's//usr/libexec/crio/conmon//usr/bin/conmon/' /etc/crio/crio.conf
```
  Tagad jūs varat aktivizēt un palaist dēmonu CRI-O:
```
systemctl enable --now crio
```
  Jūs varat pārbaudīt dēmona statusu:
```
systemctl status crio
```
Uzstādīšana un aktivizēšana Kubernetes.
- Pievienosim nepieciešamo repozitoriju:
```
cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-$basearch
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
exclude=kubelet kubeadm kubectl
EOF
```
  Tagad mēs varam instalēt Kubernetes (versija 1.18, kā minēts iepriekš):
```
dnf install -y kubelet-1.18* kubeadm-1.18* kubectl-1.18* --disableexcludes=kubernetes
```
- Otra svarīga nianse: tā kā mēs neizmantojam dēmonu dokers, bet mēs izmantojam dēmonu CRI-O, pirms palaišanas un inicializācijas Kubernetes konfigurācijas failā /var/lib/kubelet/config.yaml ir jāveic atbilstoši iestatījumi, vispirms izveidojot vajadzīgo direktoriju:
```
mkdir /var/lib/kubelet

cat <<EOF > /var/lib/kubelet/config.yaml
apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
cgroupDriver: systemd
EOF
```
- Trešais svarīgais punkts, ar kuru saskaramies instalēšanas laikā: neskatoties uz to, ka esam norādījuši izmantoto draiveri cgrupa, un tā konfigurācija, izmantojot nodotos argumentus kubelet ir novecojis (kā tas ir skaidri norādīts dokumentācijā), failam jāpievieno argumenti, pretējā gadījumā mūsu klasteris netiks inicializēts:
```
cat /dev/null > /etc/sysconfig/kubelet

cat <<EOF > /etc/sysconfig/kubelet
KUBELET_EXTRA_ARGS=--container-runtime=remote --cgroup-driver=systemd --container-runtime-endpoint='unix:///var/run/crio/crio.sock'
EOF
```
- Tagad mēs varam aktivizēt dēmonu kubelet:
```
sudo systemctl enable --now kubelet
```
  Lai pielāgotu vadības plakne vai darbinieks mezgli minūtēs, varat izmantot ar šo skriptu.
Ir pienācis laiks inicializēt mūsu kopu.
- Lai inicializētu klasteru, palaidiet komandu:
```
kubeadm init --pod-network-cidr=10.244.0.0/16
```
  Noteikti pierakstiet komandu, lai pievienotos klasterim “kubeadm join…”, kas jums tiek lūgts izmantot izvades beigās, vai vismaz norādītos marķierus.
- Instalēsim spraudni (CNI) Pod tīklam. Iesaku lietot Calico. Iespējams populārāks Flaneļa ir saderības problēmas ar nftables, jā un jā Calico - vienīgā projekta ieteiktā un pilnībā pārbaudītā CNI ieviešana Kubernetes:
```
kubectl --kubeconfig /etc/kubernetes/admin.conf apply -f https://docs.projectcalico.org/v3.15/manifests/calico.yaml 
```
- Lai pievienotu darbinieka mezglu mūsu klasterim, tas jākonfigurē saskaņā ar 1. un 2. instrukciju vai izmantojiet skripts, pēc tam palaidiet komandu no “kubeadm init...” izvades, ko pierakstījām iepriekšējā darbībā:
```
kubeadm join $CONTROL_PLANE_ADDRESS:6443 --token $TOKEN 
    --discovery-token-ca-cert-hash $TOKEN_HASH
```
- Pārbaudīsim, vai mūsu klasteris ir inicializēts un sācis darboties:
```
kubectl --kubeconfig=/etc/kubernetes/admin.conf get pods -A
```
Gatavs! Jūs jau varat mitināt lietderīgās kravas savā K8s klasterī.

Kas mūs sagaida priekšā

Es ceru, ka iepriekš sniegtie norādījumi palīdzēja jums ietaupīt laiku un nervus.
Nozarē notiekošo procesu iznākums bieži ir atkarīgs no tā, kā tos pieņem lielākā daļa galalietotāju un citas programmatūras izstrādātāju attiecīgajā nišā. Pagaidām nav pilnībā skaidrs, pie kā OCI iniciatīvas novedīs pēc dažiem gadiem, taču ar prieku skatīsimies. Jau tagad varat dalīties ar savu viedokli komentāros.

Sekojiet līdzi!

Šis raksts parādījās, pateicoties šādiem avotiem:

Sadaļa par konteineru izpildlaikiem Kubernetes dokumentācija

Lappuse CRI-O projekts internetā

Red Hat emuāra raksti: šis, šis un daudzi citi

Avots: www.habr.com

CRI-O kā Docker aizstājējs kā Kubernetes izpildlaika vide: iestatīšana operētājsistēmā CentOS 8

Kāpēc Docker nav iekļauts CentOS 8?

Kā izvietot Kubernetes operētājsistēmā CentOS 8, izmantojot CRI-O sistēmu

Kas mūs sagaida priekšā

Pievieno komentāru Atcelt atbildi