🥇Kubernetes informācijas paneļa un GitLab lietotāju integrācija

Kubernetes Dashboard ir ērti lietojams rīks, lai iegūtu jaunāko informāciju par savu darbīgo kopu un pārvaldītu to ar minimālu piepūli. Jūs sākat to novērtēt vēl vairāk, kad piekļuve šīm iespējām ir nepieciešama ne tikai administratoriem/DevOps inženieriem, bet arī tiem, kuri ir mazāk pieraduši pie konsoles un/vai neplāno saskarties ar visām sarežģītībām, kas saistītas ar mijiedarbību ar kubectl un citi komunālie pakalpojumi. Tas notika ar mums: izstrādātāji vēlējās ātru piekļuvi Kubernetes tīmekļa saskarnei, un, tā kā mēs izmantojam GitLab, risinājums radās dabiski.

Kāpēc ir šis?

Tiešos izstrādātājus varētu interesēt tāds rīks kā K8s Dashboard atkļūdošanas uzdevumu veikšanai. Dažreiz jūs vēlaties skatīt žurnālus un resursus un dažreiz iznīcināt aplikumus, mērogot izvietojumus/StatefulSets un pat doties uz konteinera konsoli (ir arī pieprasījumi, kuriem tomēr ir cits veids, piemēram, izmantojot kubectl-debug).

Turklāt vadītājiem ir psiholoģisks brīdis, kad viņi vēlas paskatīties uz klasteri - redzēt, ka "viss ir zaļš", un tādējādi nomierināt sevi, ka "viss darbojas" (kas, protams, ir ļoti relatīvi... bet tas ir ārpus raksta darbības jomas).

Mums ir standarta CI sistēma piemēro GitLab: to izmanto arī visi izstrādātāji. Tāpēc, lai nodrošinātu viņiem piekļuvi, bija loģiski integrēt informācijas paneli ar GitLab kontiem.

Es arī atzīmēšu, ka mēs izmantojam NGINX Ingress. Ja strādājat ar citiem iekļūšanas risinājumi, jums būs patstāvīgi jāatrod anotāciju analogi autorizācijai.

Mēģina integrēt

Informācijas paneļa uzstādīšana

Uzmanību: Ja jūs gatavojaties atkārtot tālāk norādītās darbības, tad, lai izvairītos no nevajadzīgām darbībām, vispirms izlasiet nākamo apakšvirsrakstu.

Tā kā mēs šo integrāciju izmantojam daudzās instalācijās, esam automatizējuši tās instalēšanu. Tam nepieciešamie avoti ir publicēti īpaša GitHub repozitorija. Tie ir balstīti uz nedaudz modificētām YAML konfigurācijām no oficiālā informācijas paneļa repozitorijs, kā arī Bash skriptu ātrai izvietošanai.

Skripts instalē informācijas paneli klasterī un konfigurē to integrācijai ar GitLab:

$ ./ctl.sh  
Usage: ctl.sh [OPTION]... --gitlab-url GITLAB_URL --oauth2-id ID --oauth2-secret SECRET --dashboard-url DASHBOARD_URL
Install kubernetes-dashboard to Kubernetes cluster.
Mandatory arguments:
 -i, --install                install into 'kube-system' namespace
 -u, --upgrade                upgrade existing installation, will reuse password and host names
 -d, --delete                 remove everything, including the namespace
     --gitlab-url             set gitlab url with schema (https://gitlab.example.com)
     --oauth2-id              set OAUTH2_PROXY_CLIENT_ID from gitlab
     --oauth2-secret          set OAUTH2_PROXY_CLIENT_SECRET from gitlab
     --dashboard-url          set dashboard url without schema (dashboard.example.com)
Optional arguments:
 -h, --help                   output this message

Tomēr, pirms to izmantojat, jums jāiet uz GitLab: Admin area → Applications - un jāpievieno jauna lietojumprogramma nākotnes panelim. Sauksim to par “kubernetes informācijas paneli”:

Tā pievienošanas rezultātā GitLab nodrošinās jaucējvārdus:

Tie ir tie, kas tiek izmantoti kā skripta argumenti. Rezultātā instalācija izskatās šādi:

$ ./ctl.sh -i --gitlab-url https://gitlab.example.com --oauth2-id 6a52769e… --oauth2-secret 6b79168f… --dashboard-url dashboard.example.com

Pēc tam pārbaudīsim, vai viss sākās:

$ kubectl -n kube-system get pod | egrep '(dash|oauth)'
kubernetes-dashboard-76b55bc9f8-xpncp   1/1       Running   0          14s
oauth2-proxy-5586ccf95c-czp2v           1/1       Running   0          14s

Agri vai vēlu viss tomēr sāksies autorizācija nedarbosies uzreiz! Fakts ir tāds, ka izmantotajā attēlā (situācija citos attēlos ir līdzīga) novirzīšanas uztveršanas process atzvanīšanā ir īstenots nepareizi. Šis apstāklis noved pie tā, ka oauth izdzēš sīkfailu, ko pats oauth mums nodrošina...

Problēma tiek atrisināta, izveidojot savu oauth attēlu ar ielāpu.

Izlabojiet oauth un pārinstalējiet

Lai to izdarītu, mēs izmantosim šādu Dockerfile:

FROM golang:1.9-alpine3.7
WORKDIR /go/src/github.com/bitly/oauth2_proxy

RUN apk --update add make git build-base curl bash ca-certificates wget 
&& update-ca-certificates 
&& curl -sSO https://raw.githubusercontent.com/pote/gpm/v1.4.0/bin/gpm 
&& chmod +x gpm 
&& mv gpm /usr/local/bin
RUN git clone https://github.com/bitly/oauth2_proxy.git . 
&& git checkout bfda078caa55958cc37dcba39e57fc37f6a3c842  
ADD rd.patch .
RUN patch -p1 < rd.patch 
&& ./dist.sh

FROM alpine:3.7
RUN apk --update add curl bash  ca-certificates && update-ca-certificates
COPY --from=0 /go/src/github.com/bitly/oauth2_proxy/dist/ /bin/

EXPOSE 8080 4180
ENTRYPOINT [ "/bin/oauth2_proxy" ]
CMD [ "--upstream=http://0.0.0.0:8080/", "--http-address=0.0.0.0:4180" ]

Un lūk, kā izskatās pats rd.patch ielāps

diff --git a/dist.sh b/dist.sh
index a00318b..92990d4 100755
--- a/dist.sh
+++ b/dist.sh
@@ -14,25 +14,13 @@ goversion=$(go version | awk '{print $3}')
sha256sum=()
 
echo "... running tests"
-./test.sh
+#./test.sh
 
-for os in windows linux darwin; do
-    echo "... building v$version for $os/$arch"
-    EXT=
-    if [ $os = windows ]; then
-        EXT=".exe"
-    fi
-    BUILD=$(mktemp -d ${TMPDIR:-/tmp}/oauth2_proxy.XXXXXX)
-    TARGET="oauth2_proxy-$version.$os-$arch.$goversion"
-    FILENAME="oauth2_proxy-$version.$os-$arch$EXT"
-    GOOS=$os GOARCH=$arch CGO_ENABLED=0 
-        go build -ldflags="-s -w" -o $BUILD/$TARGET/$FILENAME || exit 1
-    pushd $BUILD/$TARGET
-    sha256sum+=("$(shasum -a 256 $FILENAME || exit 1)")
-    cd .. && tar czvf $TARGET.tar.gz $TARGET
-    mv $TARGET.tar.gz $DIR/dist
-    popd
-done
+os='linux'
+echo "... building v$version for $os/$arch"
+TARGET="oauth2_proxy-$version.$os-$arch.$goversion"
+GOOS=$os GOARCH=$arch CGO_ENABLED=0 
+    go build -ldflags="-s -w" -o ./dist/oauth2_proxy || exit 1
  
checksum_file="sha256sum.txt"
cd $DIR/dists
diff --git a/oauthproxy.go b/oauthproxy.go
index 21e5dfc..df9101a 100644
--- a/oauthproxy.go
+++ b/oauthproxy.go
@@ -381,7 +381,9 @@ func (p *OAuthProxy) SignInPage(rw http.ResponseWriter, req *http.Request, code
       if redirect_url == p.SignInPath {
               redirect_url = "/"
       }
-
+       if req.FormValue("rd") != "" {
+               redirect_url = req.FormValue("rd")
+       }
       t := struct {
               ProviderName  string
               SignInMessage string

Tagad varat izveidot attēlu un ievietot to mūsu GitLab. Nākamais iekšā manifests/kube-dashboard-oauth2-proxy.yaml norādiet vēlamā attēla izmantošanu (aizstāt to ar savu):

 image: docker.io/colemickens/oauth2_proxy:latest

Ja jums ir reģistrs, kas ir aizvērts ar autorizāciju, neaizmirstiet attēlu vilkšanai pievienot noslēpuma izmantošanu:

      imagePullSecrets:
     - name: gitlab-registry

... un pievienojiet pašu reģistra noslēpumu:

---
apiVersion: v1
data:
 .dockercfg: eyJyZWdpc3RyeS5jb21wYW55LmNvbSI6IHsKICJ1c2VybmFtZSI6ICJvYXV0aDIiLAogInBhc3N3b3JkIjogIlBBU1NXT1JEIiwKICJhdXRoIjogIkFVVEhfVE9LRU4iLAogImVtYWlsIjogIm1haWxAY29tcGFueS5jb20iCn0KfQoK
=
kind: Secret
metadata:
 annotations:
 name: gitlab-registry
 namespace: kube-system
type: kubernetes.io/dockercfg

Uzmanīgs lasītājs redzēs, ka garā virkne iepriekš ir base64 no konfigurācijas:

{"registry.company.com": {
 "username": "oauth2",
 "password": "PASSWORD",
 "auth": "AUTH_TOKEN",
 "email": "[email protected]"
}
}

Šie ir lietotāja dati GitLab, Kubernetes kods izvilks attēlu no reģistra.

Kad viss ir izdarīts, varat noņemt pašreizējo (nedarbojas pareizi) informācijas paneļa instalāciju ar komandu:

$ ./ctl.sh -d

... un instalējiet visu vēlreiz:

$ ./ctl.sh -i --gitlab-url https://gitlab.example.com --oauth2-id 6a52769e… --oauth2-secret 6b79168f… --dashboard-url dashboard.example.com

Ir pienācis laiks doties uz informācijas paneli un atrast diezgan arhaisku pieteikšanās pogu:

Pēc noklikšķināšanas uz tā mūs sagaida GitLab, piedāvājot ielogoties savā parastajā lapā (protams, ja iepriekš neesam tur pieteikušies):

Mēs piesakāmies ar GitLab akreditācijas datiem - un viss ir izdarīts:

Par informācijas paneļa funkcijām

Ja esat izstrādātājs, kurš iepriekš nav strādājis ar Kubernetes vai vienkārši kādu iemeslu dēļ iepriekš neesat saskāries ar Dashboard, es ilustrēšu dažas no tā iespējām.

Pirmkārt, jūs varat redzēt, ka “viss ir zaļš”:

Ir pieejami arī detalizētāki dati par podiem, piemēram, vides mainīgie, lejupielādētais attēls, palaišanas argumenti un to stāvoklis:

Izvietojumiem ir redzami statusi:

...un cita informācija:

... un ir arī iespēja mērogot izvietošanu:

Šīs operācijas rezultāts:

Starp citām noderīgām funkcijām, kas jau minētas raksta sākumā, ir žurnālu skatīšana:

... un funkcija, lai pieteiktos atlasītā aplikuma konteinera konsolē:

Piemēram, varat arī apskatīt mezglu ierobežojumus/pieprasījumus:

Protams, tās nav visas paneļa iespējas, taču es ceru, ka jūs sapratīsit vispārējo priekšstatu.

Integrācijas un informācijas paneļa trūkumi

Aprakstītajā integrācijā nav piekļuves kontrole. Izmantojot to, visi lietotāji ar jebkādu piekļuvi GitLab iegūst piekļuvi informācijas panelim. Viņiem ir tāda pati piekļuve pašā informācijas panelī, kas atbilst paša informācijas paneļa tiesībām, kuras ir definēti RBAC. Acīmredzot tas nav piemērots visiem, bet mūsu gadījumā tas izrādījās pietiekami.

Starp pamanāmajiem trūkumiem pašā informācijas panelī es atzīmēju sekojošo:

nav iespējams iekļūt init konteinera konsolē;
nav iespējams rediģēt Deployments un StatefulSets, lai gan to var labot programmā ClusterRole;
Informācijas paneļa saderība ar jaunākajām Kubernetes versijām un projekta nākotne rada jautājumus.

Pēdējā problēma ir pelnījusi īpašu uzmanību.

Informācijas paneļa statuss un alternatīvas

Informācijas paneļa saderības tabula ar Kubernetes laidieniem, kas parādīta jaunākajā projekta versijā (v1.10.1), ne pārāk laimīgs:

Neskatoties uz to, ir (jau pieņemts janvārī) PR #3476, kas paziņo par atbalstu K8s 1.13. Turklāt starp projekta problēmām varat atrast atsauces uz lietotājiem, kuri strādā ar paneli K8s 1.14. Visbeidzot, apņemas projekta kodu bāzē neapstājas. Tātad (vismaz!) projekta faktiskais statuss nav tik slikts, kā sākotnēji varētu šķist pēc oficiālās saderības tabulas.

Visbeidzot, informācijas panelim ir alternatīvas. Starp viņiem:

K8Dash — jauns interfeiss (pirmās saistības datētas ar šī gada martu), kas jau piedāvā labas iespējas, piemēram, klastera pašreizējā statusa vizuālu attēlojumu un tā objektu pārvaldību. Pozicionēts kā “reāllaika interfeiss”, jo automātiski atjaunina parādītos datus, neprasot lapas atsvaidzināšanu pārlūkprogrammā.
OpenShift konsole - Red Hat OpenShift tīmekļa saskarne, kas tomēr ienesīs jūsu klasterī citas projekta izstrādes, kas nav piemērotas visiem.
Kubernators ir interesants projekts, kas izveidots kā zemāka līmeņa (nekā informācijas panelis) saskarne ar iespēju skatīt visus klastera objektus. Tomēr izskatās, ka tā attīstība ir apstājusies.
Polaris - tikai otro dienu paziņoja projekts, kas apvieno paneļa funkcijas (parāda klastera pašreizējo stāvokli, bet nepārvalda tā objektus) un automātisku “labākās prakses validāciju” (pārbauda klastera tajā strādājošo izvietojumu konfigurāciju pareizību).

Secinājumu vietā

Informācijas panelis ir standarta rīks mūsu apkalpotajām Kubernetes klasteriem. Tā integrācija ar GitLab arī ir kļuvusi par daļu no mūsu noklusējuma instalācijas, jo daudzi izstrādātāji ir sajūsmā par iespējām, ko viņiem sniedz šis panelis.

Kubernetes Dashboard periodiski piedāvā alternatīvas no atvērtā pirmkoda kopienas (un mēs ar prieku tās apsveram), taču šajā posmā mēs paliekam pie šī risinājuma.

PS

Lasi arī mūsu emuārā:

Avots: www.habr.com

Kubernetes informācijas paneļa un GitLab lietotāju integrācija