Iet? Bash! Iepazīstieties ar čaulas operatoru (pārskats un videoreportāža no KubeCon EU'2020)

Šogad galvenā Eiropas Kubernetes konference - KubeCon + CloudNativeCon Europe 2020 - bija virtuāla. Taču šādas formāta izmaiņas mums netraucēja sniegt mūsu sen plānoto ziņojumu “Aiziet? Bash! Iepazīstieties ar Shell operatoru”, kas veltīts mūsu atvērtā koda projektam čaulas operators.

Šajā rakstā, kas ir iedvesmots no sarunas, ir sniegta pieeja Kubernetes operatoru izveides procesa vienkāršošanai un parādīts, kā ar minimālu piepūli varat izveidot savu operatoru, izmantojot čaulas operatoru.

Iepazīstinām reportāžas video (~23 minūtes angļu valodā, manāmi informatīvāks par rakstu) un galvenais izraksts no tā teksta formā. Aiziet!

Uzņēmumā Flant mēs pastāvīgi visu optimizējam un automatizējam. Šodien mēs runāsim par citu aizraujošu koncepciju. Iepazīstieties: mākoņdatošanas čaulas skriptēšana!

Tomēr sāksim ar kontekstu, kurā tas viss notiek: Kubernetes.

Kubernetes API un kontrolieri

Kubernetes API var attēlot kā sava veida failu serveri ar direktorijiem katram objekta veidam. Objektus (resursus) šajā serverī attēlo YAML faili. Turklāt serverim ir pamata API, kas ļauj veikt trīs darbības:

• saņemt resurss pēc tā veida un nosaukuma;
• mainīt resurss (šajā gadījumā serveris glabā tikai “pareizos” objektus - visi nepareizi izveidotie vai paredzēti citiem direktorijiem tiek izmesti);
• trase resursam (šajā gadījumā lietotājs uzreiz saņem tā pašreizējo/atjaunināto versiju).

Tādējādi Kubernetes darbojas kā sava veida failu serveris (YAML manifestiem) ar trim pamatmetodēm (jā, patiesībā ir arī citas, taču mēs tās pagaidām izlaidīsim).

Problēma ir tā, ka serveris var uzglabāt tikai informāciju. Lai tas darbotos, jums ir nepieciešams kontrolieris - otra svarīgākā un fundamentālākā koncepcija Kubernetes pasaulē.

Ir divi galvenie kontrolieru veidi. Pirmais ņem informāciju no Kubernetes, apstrādā to saskaņā ar ligzdoto loģiku un atgriež K8s. Otrais ņem informāciju no Kubernetes, bet atšķirībā no pirmā veida maina dažu ārējo resursu stāvokli.

Sīkāk apskatīsim izvietošanas izveides procesu Kubernetes:

• Izvietošanas kontrolieris (iekļauts kube-controller-manager) saņem informāciju par izvietošanu un izveido ReplicaSet.
• Pamatojoties uz šo informāciju, ReplicaSet izveido divas kopijas (divus aplikumus), taču šie aplikumi vēl nav ieplānoti.
• Plānotājs plāno podi un pievieno mezglu informāciju saviem YAML.
• Kubelets veic izmaiņas ārējā resursā (teiksim, Docker).

Tad visa šī secība tiek atkārtota apgrieztā secībā: kubelets pārbauda konteinerus, aprēķina pāksts statusu un nosūta to atpakaļ. ReplicaSet kontrolleris saņem statusu un atjaunina reprodukcijas kopas stāvokli. Tas pats notiek ar izvietošanas kontrolieri, un lietotājs beidzot iegūst atjaunināto (pašreizējo) statusu.

Apvalka operators

Izrādās, ka Kubernetes pamatā ir dažādu kontrolieru kopīgs darbs (arī Kubernetes operatori ir kontrolieri). Rodas jautājums, kā ar minimālu piepūli izveidot savu operatoru? Un šeit palīgā nāk mūsu izstrādātais čaulas operators. Tas ļauj sistēmas administratoriem izveidot savus paziņojumus, izmantojot pazīstamas metodes.

Vienkāršs piemērs: noslēpumu kopēšana

Apskatīsim vienkāršu piemēru.

Pieņemsim, ka mums ir Kubernetes klasteris. Tam ir nosaukumvieta default ar kādu noslēpumu mysecret. Turklāt klasterī ir arī citas nosaukumvietas. Dažiem no tiem ir pievienota īpaša etiķete. Mūsu mērķis ir kopēt Secret nosaukumu telpās ar etiķeti.

Uzdevumu sarežģī fakts, ka klasterī var parādīties jaunas nosaukumvietas, un dažām no tām var būt šī etiķete. No otras puses, dzēšot etiķeti, ir jādzēš arī Secret. Papildus tam var mainīties arī pats noslēpums: šajā gadījumā jaunais Secret ir jākopē visās nosaukumvietās ar etiķetēm. Ja Secret tiek nejauši izdzēsts kādā nosaukumvietā, mūsu operatoram tas nekavējoties jāatjauno.

Tagad, kad uzdevums ir formulēts, ir pienācis laiks sākt to īstenot, izmantojot čaulas operatoru. Bet vispirms ir vērts pateikt dažus vārdus par pašu čaulas operatoru.

Kā darbojas čaulas operators

Tāpat kā citas Kubernetes darba slodzes, čaulas operators darbojas savā podā. Šajā podā direktorijā /hooks izpildāmie faili tiek saglabāti. Tie var būt skripti valodās Bash, Python, Ruby utt. Mēs šādus izpildāmos failus saucam par āķiem (āķi).

Shell-operator abonē Kubernetes notikumus un palaiž šos āķus, reaģējot uz tiem notikumiem, kas mums nepieciešami.

Kā čaulas operators zina, kuru āķi palaist un kad? Lieta tāda, ka katram āķim ir divi posmi. Startēšanas laikā čaulas operators palaiž visus āķus ar argumentu --config Šis ir konfigurācijas posms. Un pēc tam āķi tiek palaisti parastajā veidā - reaģējot uz notikumiem, kuriem tie ir pievienoti. Pēdējā gadījumā āķis saņem saistošo kontekstu (saistošs konteksts) - dati JSON formātā, par kuriem mēs sīkāk runāsim tālāk.

Operatora izveide Bašā

Tagad esam gatavi ieviešanai. Lai to izdarītu, mums ir jāraksta divas funkcijas (starp citu, mēs iesakām bibliotēka shell_lib, kas ievērojami vienkāršo āķu rakstīšanu Bash valodā):

• pirmais ir nepieciešams konfigurācijas posmam - tas parāda saistošo kontekstu;
• otrajā ir galvenā āķa loģika.

#!/bin/bash

source /shell_lib.sh

function __config__() {
  cat << EOF
    configVersion: v1
    # BINDING CONFIGURATION
EOF
}

function __main__() {
  # THE LOGIC
}

hook::run "$@"

Nākamais solis ir izlemt, kādi objekti mums ir nepieciešami. Mūsu gadījumā mums ir jāizseko:

• izmaiņu avota noslēpums;
• visas klastera nosaukumvietas, lai jūs zinātu, kurām no tām ir pievienota etiķete;
• mērķa noslēpumus, lai nodrošinātu, ka tie visi ir sinhronizēti ar avota noslēpumu.

Abonējiet slepeno avotu

Iesiešanas konfigurācija tam ir diezgan vienkārša. Ar nosaukumu norādām, ka interesējam Secret mysecret vārdu telpā default:

function __config__() {
  cat << EOF
    configVersion: v1
    kubernetes:
    - name: src_secret
      apiVersion: v1
      kind: Secret
      nameSelector:
        matchNames:
        - mysecret
      namespace:
        nameSelector:
          matchNames: ["default"]
      group: main
EOF

Rezultātā āķis tiks aktivizēts, kad mainīsies avota noslēpums (src_secret) un saņem šādu saistošu kontekstu:

Kā redzat, tajā ir nosaukums un viss objekts.

Nosaukumvietu izsekošana

Tagad jums ir jāabonē nosaukumvietas. Lai to izdarītu, mēs norādām šādu saistīšanas konfigurāciju:

- name: namespaces
  group: main
  apiVersion: v1
  kind: Namespace
  jqFilter: |
    {
      namespace: .metadata.name,
      hasLabel: (
       .metadata.labels // {} |  
         contains({"secret": "yes"})
      )
    }
  group: main
  keepFullObjectsInMemory: false

Kā redzat, konfigurācijā ir parādījies jauns lauks ar nosaukumu jqFilter. Kā norāda nosaukums, jqFilter filtrē visu nevajadzīgo informāciju un izveido jaunu JSON objektu ar laukiem, kas mūs interesē. Āķis ar līdzīgu konfigurāciju saņems šādu saistošo kontekstu:

Tas satur masīvu filterResults katrai klastera nosaukumvietai. Būla mainīgais hasLabel norāda, vai noteiktai nosaukumvietai ir pievienota etiķete. Atlasītājs keepFullObjectsInMemory: false norāda, ka nav nepieciešams saglabāt pilnus objektus atmiņā.

Mērķa noslēpumu izsekošana

Mēs parakstāmies uz visiem Noslēpumiem, kuriem ir norādīta anotācija managed-secret: "yes" (tie ir mūsu mērķis dst_secrets):

- name: dst_secrets
  apiVersion: v1
  kind: Secret
  labelSelector:
    matchLabels:
      managed-secret: "yes"
  jqFilter: |
    {
      "namespace":
        .metadata.namespace,
      "resourceVersion":
        .metadata.annotations.resourceVersion
    }
  group: main
  keepFullObjectsInMemory: false

Šajā gadījumā jqFilter filtrē visu informāciju, izņemot nosaukumvietu un parametru resourceVersion. Pēdējais parametrs tika nodots anotācijai, veidojot noslēpumu: tas ļauj salīdzināt noslēpumu versijas un atjaunināt tās.

Šādi konfigurēts āķis, kad tas tiks izpildīts, saņems trīs iepriekš aprakstītos saistošos kontekstus. Tos var uzskatīt par sava veida momentuzņēmumu (momentuzņēmums) klasteris.

Pamatojoties uz visu šo informāciju, var izstrādāt pamata algoritmu. Tas atkārtojas visās nosaukumvietās un:

• ja hasLabel jautājumiem true pašreizējai nosaukumvietai:
  • salīdzina globālo noslēpumu ar vietējo:
    • ja tie ir vienādi, tas neko nedara;
    • ja tie atšķiras - izpilda kubectl replace vai create;
• ja hasLabel jautājumiem false pašreizējai nosaukumvietai:
  • nodrošina, ka Secret neatrodas norādītajā nosaukumvietā:
    • ja vietējais noslēpums ir pieejams, izdzēsiet to, izmantojot kubectl delete;
    • ja vietējais noslēpums netiek atklāts, tas neko nedara.

Algoritma ieviešana Bash jūs varat lejupielādēt mūsu krātuves ar piemēriem.

Tādā veidā mēs varējām izveidot vienkāršu Kubernetes kontrolieri, izmantojot 35 YAML konfigurācijas rindas un aptuveni tikpat daudz Bash koda! Apvalka operatora uzdevums ir tos saistīt kopā.

Tomēr noslēpumu kopēšana nav vienīgā lietderības joma. Šeit ir vēl daži piemēri, lai parādītu, uz ko viņš ir spējīgs.

1. piemērs: izmaiņu veikšana programmā ConfigMap

Apskatīsim izvietošanu, kas sastāv no trim blokiem. Pods izmanto ConfigMap, lai saglabātu kādu konfigurāciju. Kad podi tika palaisti, ConfigMap bija noteiktā stāvoklī (sauksim to par v.1). Attiecīgi visi podi izmanto šo konkrēto ConfigMap versiju.

Tagad pieņemsim, ka ConfigMap ir mainījies (v.2). Tomēr aplikumos tiks izmantota iepriekšējā ConfigMap versija (v.1):

Kā es varu panākt, lai viņi pārslēgtos uz jauno ConfigMap (v.2)? Atbilde ir vienkārša: izmantojiet veidni. Pievienosim sadaļai kontrolsummas anotāciju template Izvietošanas konfigurācijas:

Rezultātā šī kontrolsumma tiks reģistrēta visos podiņos, un tā būs tāda pati kā izvietošanas kontrolsumma. Tagad jums vienkārši jāatjaunina anotācija, kad mainās ConfigMap. Un čaulas operators šajā gadījumā noder. Viss, kas jums jādara, ir ieprogrammēt āķis, kas abonēs ConfigMap un atjauninās kontrolsummu.

Ja lietotājs veic izmaiņas ConfigMap, čaulas operators tās pamanīs un pārrēķinās kontrolsummu. Pēc tam stāsies spēkā Kubernetes burvība: orķestris nogalinās podiņu, izveidos jaunu, gaidīs, kad tas kļūs Ready, un pāriet uz nākamo. Tā rezultātā izvietošana tiks sinhronizēta un pārslēgsies uz jauno ConfigMap versiju.

2. piemērs. Darbs ar pielāgotām resursu definīcijām

Kā zināms, Kubernetes ļauj izveidot pielāgotus objektu tipus. Piemēram, jūs varat izveidot laipnu MysqlDatabase. Pieņemsim, ka šim veidam ir divi metadatu parametri: name и namespace.

apiVersion: example.com/v1alpha1
kind: MysqlDatabase
metadata:
  name: foo
  namespace: bar

Mums ir Kubernetes klasteris ar dažādām nosaukumu telpām, kurās mēs varam izveidot MySQL datu bāzes. Šajā gadījumā resursu izsekošanai var izmantot čaulas operatoru MysqlDatabase, savienojot tos ar MySQL serveri un sinhronizējot vēlamos un novērotos klastera stāvokļus.

3. piemērs. Klasteru tīkla pārraudzība

Kā jūs zināt, ping ir vienkāršākais veids, kā pārraudzīt tīklu. Šajā piemērā mēs parādīsim, kā īstenot šādu uzraudzību, izmantojot čaulas operatoru.

Pirmkārt, jums būs jāabonē mezgli. Apvalka operatoram ir nepieciešams katra mezgla nosaukums un IP adrese. Ar viņu palīdzību viņš ping šos mezglus.

configVersion: v1
kubernetes:
- name: nodes
  apiVersion: v1
  kind: Node
  jqFilter: |
    {
      name: .metadata.name,
      ip: (
       .status.addresses[] |  
        select(.type == "InternalIP") |
        .address
      )
    }
  group: main
  keepFullObjectsInMemory: false
  executeHookOnEvent: []
schedule:
- name: every_minute
  group: main
  crontab: "* * * * *"

Parametrs executeHookOnEvent: [] neļauj āķim darboties, reaģējot uz jebkuru notikumu (tas ir, reaģējot uz mezglu maiņu, pievienošanu, dzēšanu). Tomēr viņš skries (un atjauniniet mezglu sarakstu) Plānots - katru minūti, kā to nosaka laukums schedule.

Tagad rodas jautājums, kā tieši mēs zinām par tādām problēmām kā pakešu zudums? Apskatīsim kodu:

function __main__() {
  for i in $(seq 0 "$(context::jq -r '(.snapshots.nodes | length) - 1')"); do
    node_name="$(context::jq -r '.snapshots.nodes['"$i"'].filterResult.name')"
    node_ip="$(context::jq -r '.snapshots.nodes['"$i"'].filterResult.ip')"
    packets_lost=0
    if ! ping -c 1 "$node_ip" -t 1 ; then
      packets_lost=1
    fi
    cat >> "$METRICS_PATH" <<END
      {
        "name": "node_packets_lost",
        "add": $packets_lost,
        "labels": {
          "node": "$node_name"
        }
      }
END
  done
}

Mēs atkārtojam mezglu sarakstu, iegūstam to nosaukumus un IP adreses, ping tos un nosūtām rezultātus Prometheus. Shell operators var eksportēt metriku uz Prometheus, saglabājot tos failā, kas atrodas atbilstoši vides mainīgajā norādītajam ceļam $METRICS_PATH.

Kā šis Jūs varat izveidot operatoru vienkāršai tīkla uzraudzībai klasterī.

Rindas mehānisms

Šis raksts būtu nepilnīgs, neaprakstot citu svarīgu mehānismu, kas iebūvēts apvalka operatorā. Iedomājieties, ka tas izpilda sava veida āķi, reaģējot uz notikumu klasterī.

• Kas notiek, ja tajā pašā laikā kaut kas notiek klasterī? vēl vienu pasākums?
• Vai čaulas operators palaist citu āķa gadījumu?
• Ko darīt, ja klasterī vienlaikus notiek pieci notikumi?
• Vai čaulas operators tos apstrādās paralēli?
• Kā ir ar patērētajiem resursiem, piemēram, atmiņu un centrālo procesoru?

Par laimi, čaulas operatoram ir iebūvēts rindas mehānisms. Visi notikumi tiek ievietoti rindā un apstrādāti secīgi.

Ilustrēsim to ar piemēriem. Pieņemsim, ka mums ir divi āķi. Pirmais notikums iet uz pirmo āķi. Kad tā apstrāde ir pabeigta, rinda virzās uz priekšu. Nākamie trīs notikumi tiek novirzīti uz otro āķi - tie tiek noņemti no rindas un ievadīti tajā “saitā”. Tas ir āķis saņem virkni notikumu — vai, precīzāk, saistošu kontekstu masīvs.

Arī šīs pasākumus var apvienot vienā lielā. Parametrs ir atbildīgs par to group saistošajā konfigurācijā.

Varat izveidot neierobežotu skaitu rindu/āķu un to dažādās kombinācijas. Piemēram, viena rinda var darboties ar diviem āķiem vai otrādi.

Viss, kas jums jādara, ir attiecīgi jākonfigurē lauks queue saistošajā konfigurācijā. Ja rindas nosaukums nav norādīts, āķis darbojas noklusējuma rindā (default). Šis rindas mehānisms ļauj pilnībā atrisināt visas resursu pārvaldības problēmas, strādājot ar āķiem.

Secinājums

Mēs izskaidrojām, kas ir čaulas operators, parādījām, kā ar to var ātri un bez piepūles izveidot Kubernetes operatorus, kā arī sniedzām vairākus tā izmantošanas piemērus.

Sīkāka informācija par čaulas operatoru, kā arī ātra apmācība par to, kā to izmantot, ir pieejama atbilstošajā GitHub krātuves. Nevilcinieties sazināties ar mums, ja jums ir jautājumi: varat tos apspriest īpašā Telegram grupa (krievu valodā) vai in šis forums (angliski).

Un, ja jums patika, mēs vienmēr priecājamies redzēt jaunus izdevumus/PR/zvaigznes vietnē GitHub, kur, starp citu, varat atrast citus interesanti projekti. Starp tiem ir vērts izcelt papildinājumu operators, kas ir čaulas operatora lielais brālis. Šī utilīta izmanto Helm diagrammas, lai instalētu papildinājumus, var piegādāt atjauninājumus un pārraudzīt dažādus diagrammu parametrus/vērtības, kontrolē diagrammu instalēšanas procesu un var arī modificēt tās, reaģējot uz notikumiem klasterī.

Videoklipi un slaidi

Video no izrādes (~23 minūtes):

Ziņojuma prezentācija:

PS

Lasi arī mūsu emuārā:

• «Vienkārša Kubernetes operatoru izveide ar čaulas operatoru: projekta progress gada laikā";
• «Iepazīstinām ar čaulas operatoru: operatoru izveide Kubernetes ir kļuvusi vienkāršāka";
• «Vai ir viegli un ērti sagatavot Kubernetes klasteru? Tiek paziņots par papildinājuma operatoru";
• «Kubernetes paplašināšana un papildināšana" (pārskats un video reportāža).

Avots: www.habr.com