GitOps: vilkšanas un stumšanas metožu salīdzinājums

Piezīme. tulk.: Kubernetes kopienā tendence, ko sauc par GitOps, gūst acīmredzamu popularitāti, kā mēs personīgi esam redzējuši, apmeklējot KubeCon Europe 2019. Šis termins bija salīdzinoši nesens izgudrots ko rakstījis Weaveworks vadītājs Aleksis Ričardsons, un tas nozīmē izstrādātājiem pazīstamu rīku (galvenokārt Git, no tā arī nosaukums) izmantošanu, lai atrisinātu darbības problēmas. Jo īpaši mēs runājam par Kubernetes darbību, saglabājot tās konfigurācijas Git un automātiski ieviešot klastera izmaiņas. Šajā rakstā Matiass Jg runā par divām pieejām šai ieviešanai.

Pagājušajā gadā, (patiesībā formāli tas notika 2017. gada augustā — aptuveni tulk.) Ir jauna pieeja lietojumprogrammu izvietošanai Kubernetes. To sauc par GitOps, un tā pamatā ir pamatideja, ka izvietošanas versijas tiek izsekotas Git repozitorija drošajā vidē.

Šīs pieejas galvenās priekšrocības ir šādas::

1. Izvietošanas versiju izveide un izmaiņu vēsture. Visa klastera stāvoklis tiek glabāts Git repozitorijā, un izvietojumi tiek atjaunināti tikai ar apņemšanos. Turklāt visas izmaiņas var izsekot, izmantojot saistību vēsturi.
2. Atcelšana, izmantojot pazīstamās Git komandas... Vienkāršs git reset ļauj atiestatīt izmaiņas izvietojumos; pagātnes stāvokļi vienmēr ir pieejami.
3. Gatavā piekļuves kontrole. Parasti Git sistēmā ir daudz sensitīvu datu, tāpēc lielākā daļa uzņēmumu pievērš īpašu uzmanību to aizsardzībai. Attiecīgi šī aizsardzība attiecas arī uz operācijām ar izvietošanu.
4. Izvietošanas politikas. Lielākā daļa Git sistēmu sākotnēji atbalsta politiku katrā nozarē — piemēram, tikai piesaistes pieprasījumi var atjaunināt galveno, un izmaiņas ir jāpārskata un jāpieņem citam komandas dalībniekam. Tāpat kā piekļuves kontrolei, uz izvietošanas atjauninājumiem attiecas tās pašas politikas.

Kā redzat, GitOps metodei ir daudz priekšrocību. Pēdējā gada laikā īpašu popularitāti ieguvušas divas pieejas. Viens ir balstīts uz grūdienu, otrs ir balstīts uz vilkšanu. Pirms to aplūkošanas, vispirms apskatīsim, kā izskatās tipiski Kubernetes izvietojumi.

Izvietošanas metodes

Pēdējos gados Kubernetes ir izveidojušās dažādas izvietošanas metodes un rīki:

1. Pamatojoties uz vietējām Kubernetes/Kustomize veidnēm. Tas ir vienkāršākais veids, kā Kubernetes izvietot lietojumprogrammas. Izstrādātājs izveido pamata YAML failus un lieto tos. Lai atbrīvotos no nepārtrauktas vienu un to pašu veidņu pārrakstīšanas, tika izstrādāta Kustomize (tas pārvērš Kubernetes veidnes moduļos). Piezīme. tulk.: Kustomize ir integrēta kubectl ar Kubernetes izlaidums 1.14.
2. Stūres diagrammas. Stūres diagrammas ļauj izveidot veidņu kopas, init konteinerus, blakusvāģus utt., ko izmanto, lai izvietotu lietojumprogrammas ar elastīgākām pielāgošanas opcijām nekā uz veidnēm balstītā pieejā. Šīs metodes pamatā ir veidņu YAML faili. Helm aizpilda tos ar dažādiem parametriem un pēc tam nosūta tos Tiller — klastera komponentam, kas tos izvieto klasterī un ļauj veikt atjauninājumus un atcelšanu. Svarīgi ir tas, ka Helms būtībā tikai ievieto vēlamās vērtības veidnēs un pēc tam piemēro tās tādā pašā veidā, kā tas tiek darīts tradicionālajā pieejā. (lasiet vairāk par to, kā tas viss darbojas un kā varat to izmantot mūsu Helmas raksts — apm. tulk.). Ir daudz dažādu gatavu Helm diagrammu, kas aptver plašu uzdevumu klāstu.
3. Alternatīvie rīki. Ir daudz alternatīvu rīku. Viņiem visiem ir kopīgs tas, ka tie pārvērš dažus veidņu failus Kubernetes lasāmos YAML failos un pēc tam tos izmanto.

Savā darbā mēs pastāvīgi izmantojam Helm diagrammas svarīgiem rīkiem (jo tām jau ir gatavas daudzas lietas, kas padara dzīvi daudz vieglāku) un “tīros” Kubernetes YAML failus mūsu pašu lietojumprogrammu izvietošanai.

Vilkt stumt

Vienā no saviem nesenajiem emuāra ierakstiem es iepazīstināju ar šo rīku Weave Flux, kas ļauj ievietot veidnes Git repozitorijā un atjaunināt izvietošanu pēc katras konteinera apstiprināšanas vai nospiešanas. Mana pieredze liecina, ka šis rīks ir viens no galvenajiem pievilkšanas pieejas veicināšanā, tāpēc es uz to bieži atsaukšos. Ja vēlaties uzzināt vairāk par to, kā to izmantot, skatiet šeit saite uz rakstu.

NB! Visas GitOps lietošanas priekšrocības abām pieejām paliek nemainīgas.

Uzvilkšanas pieeja

Vilkšanas pieeja ir balstīta uz faktu, ka visas izmaiņas tiek piemērotas klasterī. Klasterī ir operators, kas regulāri pārbauda saistītos Git un Docker reģistra repozitorijus. Ja tajās notiek kādas izmaiņas, klastera stāvoklis tiek atjaunināts iekšēji. Šis process parasti tiek uzskatīts par ļoti drošu, jo nevienam ārējam klientam nav piekļuves klastera administratora tiesībām.

Plusi:

1. Nevienam ārējam klientam nav tiesību veikt izmaiņas klasterī; visi atjauninājumi tiek ieviesti no iekšpuses.
2. Daži rīki ļauj arī sinhronizēt Helm diagrammas atjauninājumus un saistīt tos ar kopu.
3. Docker Registry var skenēt, lai atrastu jaunas versijas. Ja ir pieejams jauns attēls, Git repozitorijs un izvietošana tiek atjaunināti uz jauno versiju.
4. Izvilkšanas rīkus var izplatīt dažādās nosaukumu telpās ar dažādām Git krātuvēm un atļaujām. Pateicoties tam, var izmantot vairāku īrnieku modeli. Piemēram, komanda A var izmantot nosaukumvietu A, komanda B var izmantot nosaukumvietu B, bet infrastruktūras komanda var izmantot globālo telpu.
5. Kā likums, instrumenti ir ļoti viegli.
6. Apvienojumā ar tādiem instrumentiem kā operators Bitnami aizzīmogotie noslēpumi, noslēpumus var glabāt šifrētus Git repozitorijā un izgūt klasterī.
7. Nav savienojuma ar CD cauruļvadiem, jo ​​izvietošana notiek klasterī.

Mīnusi:

1. Izvietošanas noslēpumu pārvaldība no Helm diagrammām ir grūtāka nekā parastajām, jo ​​tie vispirms ir jāģenerē, piemēram, aizzīmogotu noslēpumu veidā, pēc tam tie jāatšifrē iekšējam operatoram, un tikai pēc tam tie kļūst pieejami vilkšanas rīkam. Pēc tam varat palaist laidienu Helmā ar vērtībām jau izvietotajos noslēpumos. Vienkāršākais veids ir izveidot noslēpumu ar visām izvietošanai izmantotajām Helm vērtībām, atšifrēt to un nodot Git.
2. Izmantojot vilkšanas pieeju, jūs kļūstat piesaistīts vilkšanas instrumentiem. Tas ierobežo iespēju pielāgot izvietošanas procesu klasterī. Piemēram, Kustomize sarežģī fakts, ka tai ir jāpalaiž, pirms pēdējās veidnes tiek nodotas Git. Es nesaku, ka nevar izmantot atsevišķus rīkus, taču tos ir grūtāk integrēt izvietošanas procesā.

Uzspiešanas pieeja

Izmantojot push pieeju, ārēja sistēma (galvenokārt CD konveijeri) uzsāk izvietošanu klasterī pēc Git repozitorija saistību izpildes vai ja iepriekšējais CI konveijers ir veiksmīgs. Šajā pieejā sistēmai ir piekļuve klasterim.

Plusi:

1. Drošību nosaka Git repozitorijs un būvēšanas cauruļvads.
2. Helm diagrammu izvietošana ir vienkāršāka un atbalsta Helm spraudņus.
3. Noslēpumus ir vieglāk pārvaldīt, jo noslēpumus var izmantot konveijeros, un tos var arī glabāt šifrētā veidā Git (atkarībā no lietotāja vēlmēm).
4. Nav savienojuma ar konkrētu rīku, jo var izmantot jebkura veida.
5. Konteinera versijas atjauninājumus var uzsākt būvēšanas konveijerā.

Mīnusi:

1. Klastera piekļuves dati atrodas būvēšanas sistēmā.
2. Izvietošanas konteineru atjaunināšana joprojām ir vienkāršāka, izmantojot vilkšanas procesu.
3. Liela atkarība no kompaktdisku sistēmas, jo mums nepieciešamie cauruļvadi, iespējams, sākotnēji tika rakstīti Gitlab Runners, un pēc tam komanda nolemj pāriet uz Azure DevOps vai Jenkins... un tai būs jāmigrē liels skaits būvniecības cauruļvadu.

Rezultāti: stumt vai vilkt?

Kā parasti, katrai pieejai ir savi plusi un mīnusi. Dažus uzdevumus ir vieglāk paveikt ar vienu un grūtāk ar citu. Sākumā es veicu izvietošanu manuāli, bet pēc tam, kad atradu dažus rakstus par Weave Flux, es nolēmu ieviest GitOps procesus visiem projektiem. Pamata veidnēm tas bija vienkārši, bet tad man radās grūtības ar Helm diagrammām. Tolaik Weave Flux piedāvāja tikai elementāru Helm Chart Operator versiju, taču pat tagad daži uzdevumi ir grūtāki, jo ir nepieciešams manuāli izveidot noslēpumus un tos lietot. Jūs varētu iebilst, ka vilkšanas pieeja ir daudz drošāka, jo klastera akreditācijas dati nav pieejami ārpus klastera, padarot to tik daudz drošāku, ka ir vērts pielikt papildu pūles.

Nedaudz pārdomājot, es nonācu pie negaidīta secinājuma, ka tas tā nav. Ja mēs runājam par komponentiem, kuriem nepieciešama maksimāla aizsardzība, šajā sarakstā būs iekļauta slepenā krātuve, CI/CD sistēmas un Git krātuves. Tajos esošā informācija ir ļoti neaizsargāta, un tai nepieciešama maksimāla aizsardzība. Turklāt, ja kāds nokļūst jūsu Git repozitorijā un var tur nosūtīt kodu, viņš var izvietot visu, ko vēlas (neatkarīgi no tā, vai tas ir pull vai push) un iefiltrēties klastera sistēmās. Tādējādi vissvarīgākie komponenti, kas ir jāaizsargā, ir Git repozitorijs un CI/CD sistēmas, nevis klastera akreditācijas dati. Ja jums ir labi konfigurētas politikas un drošības vadīklas šāda veida sistēmām un klasteru akreditācijas dati tiek iegūti tikai konveijeros kā noslēpumi, papildu drošība, ko nodrošina vilkšanas pieeja, var nebūt tik vērtīga, kā sākotnēji tika uzskatīts.

Tātad, ja vilkšanas pieeja ir darbietilpīgāka un nesniedz drošības priekšrocības, vai nav loģiski izmantot tikai push pieeju? Bet kāds varētu iebilst, ka push pieejā jūs esat pārāk piesaistīts CD sistēmai, un, iespējams, labāk to nedarīt, lai nākotnē būtu vieglāk veikt migrāciju.

Manuprāt (kā vienmēr) jāizmanto tas, kas ir vispiemērotākais konkrētajam gadījumam vai kombainam. Personīgi es izmantoju abas pieejas: Weave Flux izvietošanai, kas balstīta uz piesaisti, kas galvenokārt ietver mūsu pašu pakalpojumus, un push pieeju ar Helm un spraudņiem, kas atvieglo Helm diagrammu lietošanu klasterī un ļauj nemanāmi izveidot noslēpumus. Domāju, ka nekad nebūs viena visiem gadījumiem piemērota risinājuma, jo vienmēr ir daudz nianses un tās ir atkarīgas no konkrētā pielietojuma. To sakot, es ļoti iesaku GitOps — tas ievērojami atvieglo dzīvi un uzlabo drošību.

Es ceru, ka mana pieredze par šo tēmu palīdzēs jums izlemt, kura metode ir piemērotāka jūsu izvietošanas veidam, un es priecāšos dzirdēt jūsu viedokli.

PS Tulkotāja piezīme

Ievilkšanas modeļa negatīvie aspekti ir tādi, ka ir grūti ievietot Git atveidotos manifestus, taču nav negatīva, ka CD konveijera izvilkšanas modelī darbojas atsevišķi no izlaišanas un būtībā kļūst par kategorijas konveijeru. Nepārtraukta pieteikšanās. Tāpēc būs jāpieliek vēl lielākas pūles, lai apkopotu to statusu no visām izvietošanām un kaut kādā veidā nodrošinātu piekļuvi žurnāliem/statusiem, vēlams, atsaucoties uz CD sistēmu.

Šajā ziņā push modelis ļauj mums nodrošināt vismaz dažas izvēršanas garantijas, jo cauruļvada kalpošanas laiku var pielīdzināt izvēršanas kalpošanas laikam.

Izmēģinājām abus modeļus un nonācām pie tādiem pašiem secinājumiem kā raksta autors:

1. Vilkšanas modelis ir piemērots, lai organizētu sistēmas komponentu atjauninājumus daudzos klasteros (sk. raksts par papildinājumu operatoru).
2. Push modelis, kura pamatā ir GitLab CI, ir labi piemērots lietojumprogrammu izvēršanai, izmantojot Helm diagrammas. Tajā pašā laikā, izmantojot rīku, tiek uzraudzīta izvietošanas izvēršana cauruļvados werf. Starp citu, šī mūsu projekta kontekstā mēs dzirdējām pastāvīgo “GitOps”, kad savā stendā KubeCon Europe'19 apspriedām DevOps inženieru aktuālās problēmas.

PPS no tulka

Lasi arī mūsu emuārā:

• «Kubernetes padomi un ieteikumi: resursu, kas darbojas klasterī, pārsūtīšana uz Helm 2 pārvaldību";
• «Iepazīstinām ar kubedog — bibliotēku Kubernetes resursu izsekošanai";
• «Kubernetes paplašināšana un papildināšana (pārskats un video reportāža)";
• «Padomi pielāgotu darbplūsmu izveidei GitLab CI'.

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Vai jūs izmantojat GitOps?

• Jā, velciet pieeja

• Jā, spiediet

• Jā, velciet + spiediet

• Jā, kaut kas cits

• Nē

Nobalsoja 30 lietotāji. 10 lietotāji atturējās.

Avots: www.habr.com