Īslaicīgi apjomi ar krātuves ietilpības izsekošanu: EmptyDir uz steroīdiem

Dažām lietojumprogrammām arī ir jāglabā dati, taču tās ir diezgan apmierinātas ar to, ka pēc restartēšanas dati netiks saglabāti.

Piemēram, kešatmiņas pakalpojumus ierobežo RAM, taču tie var arī pārvietot reti izmantotos datus uz krātuvi, kas ir lēnāka nekā RAM, maz ietekmējot kopējo veiktspēju. Citām lietojumprogrammām ir jāņem vērā, ka failos var būt tikai lasāma ievade, piemēram, iestatījumi vai slepenās atslēgas.

Kubernetes jau ir vairāki veidi īslaicīgi sējumi, taču to funkcionalitāte ir ierobežota ar to, kas ir ieviests K8s.

Īslaicīga CSI apjomi ļāva Kubernetes paplašināt ar CSI draiveriem, lai nodrošinātu atbalstu vieglajiem vietējiem sējumiem. Tādā veidā ir iespējams izmantot patvaļīgas struktūras: iestatījumi, noslēpumi, identifikācijas dati, mainīgie un tā tālāk. CSI draiveri ir jāmaina, lai atbalstītu šo Kubernetes līdzekli, jo tiek pieņemts, ka parastie standartizētie draiveri nedarbosies, taču tiek pieņemts, ka šādus apjomus var izmantot jebkurā podam atlasītajā mezglā.

Tā var būt problēma sējumiem, kas patērē ievērojamus resursdatora resursus, vai krātuvei, kas ir pieejama tikai dažos resursdatoros. Tāpēc Kubernetes 1.19 ievieš divus jaunus alfa testēšanas apjoma līdzekļus, kas konceptuāli ir līdzīgi EmptyDir sējumiem:

• vispārējas nozīmes īslaicīgi sējumi;

• CSI krātuves jaudas izsekošana.

Jaunās pieejas priekšrocības:

• krātuve var būt lokāla vai savienota ar tīklu;

• apjomiem var būt noteikts izmērs, ko pieteikums nevar pārsniegt;

• darbojas ar visiem CSI draiveriem, kas atbalsta pastāvīgu sējumu nodrošināšanu un (lai atbalstītu jaudas izsekošanu) ievieš zvanu GetCapacity;

• sējumos var būt daži sākotnējie dati atkarībā no draivera un iestatījumiem;

• tiek atbalstītas visas standarta darbības ar apjomu (momentuzņēmuma izveide, izmēru maiņa utt.);

• sējumus var izmantot ar jebkuru lietojumprogrammu kontrolleri, kas pieņem moduļa vai apjoma specifikāciju;

• Kubernetes plānotājs pats atlasa piemērotus mezglus, tāpēc vairs nav nepieciešams nodrošināt un konfigurēt plānotāja paplašinājumus vai modificēt tīmekļa aizķeres.

Lietojumprogrammas

Tāpēc vispārējas nozīmes īslaicīgie sējumi ir piemēroti šādiem lietošanas gadījumiem:

Pastāvīgā atmiņa kā RAM aizstājējs atmiņā saglabātajam

Jaunākie memcached laidieni pievienots atbalsts izmantojot pastāvīgo atmiņu (Intel Optane utt., apm. tulkotājs) parastās RAM vietā. Izvietojot memcached, izmantojot lietojumprogrammu kontrolleri, varat izmantot vispārējas nozīmes īslaicīgus sējumus, lai pieprasītu, lai no PMEM tiktu piešķirts noteikta lieluma apjoms, izmantojot CSI draiveri, piemēram, PMEM-CSI.

LVM lokālā krātuve kā darbvieta

Lietojumprogrammām, kas strādā ar datiem, kas ir lielāki par operatīvo atmiņu, var būt nepieciešama vietējā krātuve ar tādu izmēru vai veiktspējas metriku, kādu nevar nodrošināt parastie Kubernetes EmptyDir sējumi. Piemēram, šim nolūkam tika rakstīts TopoLVM.

Tikai lasīšanas piekļuve datu apjomiem

Sējuma piešķiršanas rezultātā var izveidot pilnu sējumu, ja:

• atveseļošanās apjoma momentuzņēmums;

• radīšanu sējuma kopijas;

• darbs datu vietturi.

Šos sējumus var uzstādīt tikai lasīšanas režīmā.

Kā tas darbojas

Vispārējas nozīmes īslaicīgi sējumi

Vispārēja pielietojuma īslaicīgu sējumu galvenā iezīme ir jaunais apjoma avots, EphemeralVolumeSource, kurā ir visi lauki, lai izveidotu apjoma pieprasījumu (vēsturiski saukts par pastāvīgu apjoma pieprasījumu, PVC). Jauns kontrolieris kube-controller-manager apskata pākstis, kas rada šādu apjoma avotu, un pēc tam izveido šīm pākstīm PVC. CSI draiverim šis pieprasījums izskatās tāpat kā citi, tāpēc šeit nav nepieciešams īpašs atbalsts.

Kamēr pastāv šādi PVC, tos var izmantot tāpat kā jebkurus citus skaļuma pieprasījumus. Konkrēti, uz tiem var atsaukties kā uz datu avotu, kopējot sējumu vai veidojot momentuzņēmumu no sējuma. PVC objekts satur arī pašreizējo tilpuma stāvokli.

Automātiski izveidoto PVC nosaukumi ir iepriekš definēti: tie ir apgabala nosaukuma un sējuma nosaukuma kombinācija, kas atdalīta ar defisi. Iepriekš definēti nosaukumi atvieglo mijiedarbību ar PVC, jo jums tas nav jāmeklē, ja zināt aplikuma nosaukumu un sējuma nosaukumu. Negatīvā puse ir tāda, ka nosaukums jau var tikt izmantots, ko Kubernetes atklāj un rezultātā pods tiek bloķēts.

Lai nodrošinātu, ka sējums tiek dzēsts kopā ar podziņu, kontrolleris iesniedz pieprasījumu īpašniekam piederošajam sējumam. Kad pods tiek dzēsts, darbojas standarta atkritumu savākšanas mehānisms, kas dzēš gan pieprasījumu, gan sējumu.

Pieprasījumus saskaņo krātuves draiveris, izmantojot parasto krātuves klases mehānismu. Lai gan nodarbības ar tūlītēju un vēlu iesiešanu (aka WaitForFirstConsumer) tiek atbalstīti, īslaicīgiem sējumiem ir jēga izmantot WaitForFirstConsumer, tad plānotājs, atlasot mezglu, var ņemt vērā gan mezgla lietojumu, gan krātuves pieejamību. Šeit parādās jauna funkcija.

Krātuves ietilpības izsekošana

Parasti plānotājs nezina, kur CSI draiveris izveidos sējumu. Plānotājs arī nevar tieši sazināties ar vadītāju, lai pieprasītu šo informāciju. Tāpēc plānotājs aptaujā mezglus, līdz atrod tādu, kurā var piekļūt sējumiem (vēlīna saistīšana), vai atstāj atrašanās vietas izvēli pilnībā draivera ziņā (tūlītēja saistīšana).

Jauns API CSIStorageCapacity, kas atrodas alfa stadijā, ļauj nepieciešamos datus saglabāt etcd, lai tie būtu pieejami plānotājam. Atšķirībā no atbalsta vispārīgiem īslaicīgiem sējumiem, izvietojot draiveri, ir jāiespējo krātuves ietilpības izsekošana: external-provisioner jāpublicē jaudas informācija, kas saņemta no vadītāja, izmantojot parasto GetCapacity.

Ja plānotājam ir jāatlasa mezgls podam ar nesaistītu sējumu, kas izmanto vēlu saistīšanu, un draiveris ir iespējojis šo līdzekli izvietošanas laikā, iestatot karogu CSIDriver.storageCapacity, tad mezgli, kuriem nav pietiekami daudz krātuves, tiks automātiski izmesti. Tas darbojas gan vispārīgiem īslaicīgiem, gan pastāvīgiem sējumiem, bet ne CSI īslaicīgajiem sējumiem, jo ​​Kubernetes nevar nolasīt to parametrus.

Kā parasti, uzreiz saistītie sējumi tiek izveidoti pirms aplikumu plānošanas, un to izvietojumu izvēlas krātuves draiveris, tāpēc konfigurējot external-provisioner Pēc noklusējuma krātuves klases ar tūlītēju saistīšanu tiek izlaistas, jo šie dati tik un tā netiks izmantoti.

Tā kā kubernetes plānotājs ir spiests strādāt ar potenciāli novecojušu informāciju, nav garantijas, ka jauda būs pieejama ikvienā gadījumā, kad tiks izveidots sējums, taču iespēja, ka tā tiks izveidota bez atkārtojumiem, tomēr palielinās.

NB Sīkāku informāciju var iegūt, kā arī droši “trenēties kaķu stendā”, un pavisam nesaprotamas situācijas gadījumā saņemt kvalificētu tehniskā atbalsta palīdzību intensīvajos kursos - Kubernetes bāze notiks 28.-30.septembrī, un progresīvākiem speciālistiem Kubernetes Mega 14.–16.oktobris.

Drošība

CSIStorageCapacity

CSIStorageCapacity objekti atrodas nosaukumvietās; izlaižot katru CSI draiveri savā nosaukumvietā, ieteicams ierobežot RBAC tiesības uz CSIStorageCapacity šajā telpā, jo ir skaidrs, no kurienes tiek iegūti dati. Kubernetes tik un tā nepārbauda, ​​un parasti draiveri tiek ievietoti vienā nosaukumvietā, tāpēc galu galā ir paredzēts, ka draiveri darbosies un nepublicēs nepareizus datus (un šeit mana karte neizdevās, apm. tulkotājs, pamatojoties uz bārdainu joku)

Vispārējas nozīmes īslaicīgi sējumi

Ja lietotājiem ir tiesības izveidot aplikumu (tieši vai netieši), viņi varēs izveidot arī vispārējas nozīmes īslaicīgus sējumus, pat ja viņiem nav tiesību izveidot pieprasījumu par sējumu. Tas ir tāpēc, ka RBAC atļauju pārbaudes tiek piemērotas kontrolierim, kas izveido PVC, nevis lietotājam. Šīs ir galvenās izmaiņas, kas jāpievieno uz jūsu kontu, pirms šīs funkcijas iespējošanas klasteros, kur neuzticamiem lietotājiem nevajadzētu būt tiesībām izveidot sējumus.

Piemērs

Atsevišķi zars PMEM-CSI satur visas nepieciešamās izmaiņas, lai palaistu Kubernetes 1.19 klasteru QEMU virtuālajās mašīnās ar visām alfa stadijā esošajām funkcijām. Vadītāja kods nav mainījies, ir mainījusies tikai izvietošana.

Piemērotā datorā (Linux, parasts lietotājs var izmantot dokers, Skaties šeit detaļas), šīs komandas parādīs klasteru un instalēs PMEM-CSI draiveri:

git clone --branch=kubernetes-1-19-blog-post https://github.com/intel/pmem-csi.git
cd pmem-csi
export TEST_KUBERNETES_VERSION=1.19 TEST_FEATURE_GATES=CSIStorageCapacity=true,GenericEphemeralVolume=true TEST_PMEM_REGISTRY=intel
make start && echo && test/setup-deployment.sh

Kad viss darbosies, izvadā būs lietošanas instrukcijas:

The test cluster is ready. Log in with [...]/pmem-csi/_work/pmem-govm/ssh.0, run
kubectl once logged in.  Alternatively, use kubectl directly with the
following env variable:
   KUBECONFIG=[...]/pmem-csi/_work/pmem-govm/kube.config

secret/pmem-csi-registry-secrets created
secret/pmem-csi-node-secrets created
serviceaccount/pmem-csi-controller created
...
To try out the pmem-csi driver ephemeral volumes:
   cat deploy/kubernetes-1.19/pmem-app-ephemeral.yaml |
   [...]/pmem-csi/_work/pmem-govm/ssh.0 kubectl create -f -

CSIStorageCapacity objekti nav paredzēti cilvēku lasīšanai, tāpēc ir nepieciešama apstrāde. Golang veidņu filtri parādīs krātuves klases, šajā piemērā tiks parādīts nosaukums, topoloģija un ietilpība:

$ kubectl get 
        -o go-template='{{range .items}}{{if eq .storageClassName "pmem-csi-sc-late-binding"}}{{.metadata.name}} {{.nodeTopology.matchLabels}} {{.capacity}}
{{end}}{{end}}' 
        csistoragecapacities
csisc-2js6n map[pmem-csi.intel.com/node:pmem-csi-pmem-govm-worker2] 30716Mi
csisc-sqdnt map[pmem-csi.intel.com/node:pmem-csi-pmem-govm-worker1] 30716Mi
csisc-ws4bv map[pmem-csi.intel.com/node:pmem-csi-pmem-govm-worker3] 30716Mi

Vienam objektam ir šāds saturs:

$ kubectl describe csistoragecapacities/csisc-6cw8j
Name:         csisc-sqdnt
Namespace:    default
Labels:       <none>
Annotations:  <none>
API Version:  storage.k8s.io/v1alpha1
Capacity:     30716Mi
Kind:         CSIStorageCapacity
Metadata:
  Creation Timestamp:  2020-08-11T15:41:03Z
  Generate Name:       csisc-
  Managed Fields:
    ...
  Owner References:
    API Version:     apps/v1
    Controller:      true
    Kind:            StatefulSet
    Name:            pmem-csi-controller
    UID:             590237f9-1eb4-4208-b37b-5f7eab4597d1
  Resource Version:  2994
  Self Link:         /apis/storage.k8s.io/v1alpha1/namespaces/default/csistoragecapacities/csisc-sqdnt
  UID:               da36215b-3b9d-404a-a4c7-3f1c3502ab13
Node Topology:
  Match Labels:
    pmem-csi.intel.com/node:  pmem-csi-pmem-govm-worker1
Storage Class Name:           pmem-csi-sc-late-binding
Events:                       <none>

Mēģināsim izveidot demonstrācijas lietojumprogrammu ar vienu vispārējas nozīmes īslaicīgu sējumu. Faila saturs pmem-app-ephemeral.yaml:

# This example Pod definition demonstrates
# how to use generic ephemeral inline volumes
# with a PMEM-CSI storage class.
kind: Pod
apiVersion: v1
metadata:
  name: my-csi-app-inline-volume
spec:
  containers:
    - name: my-frontend
      image: intel/pmem-csi-driver-test:v0.7.14
      command: [ "sleep", "100000" ]
      volumeMounts:
      - mountPath: "/data"
        name: my-csi-volume
  volumes:
  - name: my-csi-volume
    ephemeral:
      volumeClaimTemplate:
        spec:
          accessModes:
          - ReadWriteOnce
          resources:
            requests:
              storage: 4Gi
          storageClassName: pmem-csi-sc-late-binding

Pēc izveidošanas, kā parādīts iepriekš sniegtajos norādījumos, mums tagad ir papildu pods un PVC:

$ kubectl get pods/my-csi-app-inline-volume -o wide
NAME                       READY   STATUS    RESTARTS   AGE     IP          NODE                         NOMINATED NODE   READINESS GATES
my-csi-app-inline-volume   1/1     Running   0          6m58s   10.36.0.2   pmem-csi-pmem-govm-worker1   <none>           <none>
$ kubectl get pvc/my-csi-app-inline-volume-my-csi-volume
NAME                                     STATUS   VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS               AGE
my-csi-app-inline-volume-my-csi-volume   Bound    pvc-c11eb7ab-a4fa-46fe-b515-b366be908823   4Gi        RWO            pmem-csi-sc-late-binding   9m21s

PVC īpašnieks – zem:

$ kubectl get -o yaml pvc/my-csi-app-inline-volume-my-csi-volume
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  annotations:
    pv.kubernetes.io/bind-completed: "yes"
    pv.kubernetes.io/bound-by-controller: "yes"
    volume.beta.kubernetes.io/storage-provisioner: pmem-csi.intel.com
    volume.kubernetes.io/selected-node: pmem-csi-pmem-govm-worker1
  creationTimestamp: "2020-08-11T15:44:57Z"
  finalizers:
  - kubernetes.io/pvc-protection
  managedFields:
    ...
  name: my-csi-app-inline-volume-my-csi-volume
  namespace: default
  ownerReferences:
  - apiVersion: v1
    blockOwnerDeletion: true
    controller: true
    kind: Pod
    name: my-csi-app-inline-volume
    uid: 75c925bf-ca8e-441a-ac67-f190b7a2265f
...

Paredzams atjaunināta informācija par pmem-csi-pmem-govm-worker1:

csisc-2js6n map[pmem-csi.intel.com/node:pmem-csi-pmem-govm-worker2] 30716Mi
csisc-sqdnt map[pmem-csi.intel.com/node:pmem-csi-pmem-govm-worker1] 26620Mi
csisc-ws4bv map[pmem-csi.intel.com/node:pmem-csi-pmem-govm-worker3] 30716Mi

Ja citai lietojumprogrammai ir nepieciešams vairāk nekā 26620Mi, plānotājs neņems vērā pmem-csi-pmem-govm-worker1 jebkurā gadījumā.

Ko tālāk?

Abas funkcijas joprojām tiek izstrādātas. Alfa testēšanas laikā tika atvērtas vairākas lietojumprogrammas. Uzlabojumu priekšlikuma saitēs ir dokumentēts darbs, kas jāpaveic, lai pārietu uz beta stadiju, kā arī tas, kuras alternatīvas jau ir izskatītas un noraidītas:

• KEP-1698: vispārīgi īslaicīgi iekļauti sējumi

• KEP-1472: krātuves ietilpības izsekošana

Avots: www.habr.com