K8S vairāku klasteru ceļojums

Čau Habr!

Mēs pārstāvam Exness platformas komandu. Iepriekš mūsu kolēģi jau rakstīja rakstu par Ražošanai gatavi attēli k8s. Šodien mēs vēlamies dalīties pieredzē par pakalpojumu migrēšanu uz Kubernetes.

Sākumā mēs piedāvājam dažus skaitļus, lai labāk izprastu, kas tiks apspriests:

• Mūsu attīstības nodaļā ir vairāk nekā 100 cilvēku, tostarp vairāk nekā 10 dažādas komandas ar pašpietiekamiem QA, DevOps un Scrum procesiem. Izstrādes kaudze - Python, PHP, C++, Java un Golang. 
• Testa un ražošanas vides lielums ir aptuveni 2000 konteineru katrā. Viņi izmanto Rancher v1.6 savā virtualizācijā un VMware. 

Motivācija

Kā saka, nekas neturpinās mūžīgi, un Rancher jau diezgan sen paziņoja par 1.6 versijas atbalsta beigām. Jā, vairāk nekā trīs gadu laikā esam iemācījušies to sagatavot un risināt radušās problēmas, taču arvien biežāk saskaramies ar problēmām, kuras nekad netiks labotas. Rancher 1.6 ir arī pārkaulota tiesību izsniegšanas sistēma, kurā jūs varat darīt gandrīz visu vai neko.

Lai gan patentētā virtualizācija nodrošināja lielāku kontroli pār datu glabāšanu un tās drošību, tā radīja darbības izmaksas, kuras bija grūti pieņemt, ņemot vērā pastāvīgo uzņēmuma izaugsmi, projektu skaitu un prasības tiem.

Mēs vēlējāmies ievērot IaC standartus un, ja nepieciešams, iegūt jaudu ātri, jebkurā ģeogrāfiskā vietā un bez pārdevēja bloķēšanas, kā arī spēt ātri no tās atteikties.

Pirmie soļi

Pirmkārt, mēs vēlējāmies paļauties uz modernām tehnoloģijām un risinājumiem, kas ļautu komandām veikt ātrāku izstrādes ciklu un samazināt darbības izmaksas, mijiedarbojoties ar platformu, kas nodrošina jaudu. 
 
Protams, pirmais, kas mums ienāca prātā, bija Kubernetes, taču mēs nesajūsminājāmies un veicām nelielu izpēti, lai noskaidrotu, vai tā ir pareizā izvēle. Mēs izvērtējām tikai atvērtā pirmkoda risinājumus, un negodīgā cīņā Kubernetes bez ierunām uzvarēja.  

Tālāk sekoja jautājums par klasteru izveides rīka izvēli. Salīdzinājām populārākos risinājumus: kops, kubespray, kubeadm.

Iesākumam kubeadm mums šķita pārāk sarežģīts ceļš, drīzāk kā sava veida “velosipēda” izgudrotājs, un kops nepietika elastības.

Un uzvarētājs bija:

Mēs sākām eksperimentēt ar savu virtualizāciju un AWS, mēģinot atjaunot kaut ko aptuveni līdzīgu mūsu iepriekšējam resursu pārvaldības modelim, kurā visi koplietoja vienu un to pašu "klasteri". Un tagad mums ir pirmais 10 mazu virtuālo mašīnu klasteris, no kurām dažas atrodas AWS. Mēs sākām mēģināt migrēt komandas, viss likās "labi", un stāstu varēja pabeigt, bet...

Pirmās problēmas

Ansible ir tas, uz kura ir veidots kubespray, tas nav rīks, kas ļauj sekot IaC: nododot ekspluatācijā/izslēdzot mezglus, pastāvīgi kaut kas nogāja greizi un bija nepieciešama kaut kāda iejaukšanās, un, izmantojot dažādas OS, rokasgrāmata izturējās atšķirīgi. savādāk . Pieaugot klastera komandu un mezglu skaitam, mēs sākām pamanīt, ka rokasgrāmatas aizpildīšana aizņem arvien ilgāku laiku, un rezultātā mūsu rekords bija 3,5 stundas, kā ar jūsu? 🙂

Un šķiet, ka kubespray ir tikai Ansible, un viss ir skaidrs no pirmā acu uzmetiena, bet:

Ceļojuma sākumā uzdevums bija palaist jaudas tikai AWS un virtualizācijā, bet pēc tam, kā tas bieži notiek, prasības mainījās.
 


Ņemot to vērā, kļuva skaidrs, ka mūsu vecais modelis apvienot resursus vienā orķestrēšanas sistēmā nebija piemērots gadījumā, ja klasteri atrodas ļoti attālināti un tos pārvalda dažādi pakalpojumu sniedzēji. 

Tālāk vairāk. Kad visas komandas strādā vienā klasterī, dažādi servisi ar nepareizi uzstādītiem NodeSelectors varēja aizlidot uz citas komandas “ārzemju” saimniekdatoru un tur izmantot resursus, un, ja tika uzlikts piesārņojums, nepārtraukti skanēja pieprasījumi, ka viens vai otrs pakalpojums nedarbojas, nav pareizi izplatīts cilvēka faktora dēļ. Vēl viena problēma bija izmaksu aprēķināšana, īpaši ņemot vērā problēmas, kas saistītas ar pakalpojumu sadali pa mezgliem.

Atsevišķs stāsts bija par tiesību izsniegšanu darbiniekiem: katra komanda vēlējās būt klastera “galvenā” un pilnībā to pārvaldīt, kas var izraisīt pilnīgu sabrukumu, jo komandas būtībā ir viena no otras neatkarīgas.

Ko darīt?

Ņemot vērā iepriekš minēto un komandu vēlmes būt neatkarīgākām, izdarījām vienkāršu secinājumu: viena komanda - viens klasteris. 

Tātad mums ir otrs:

Un tad trešais klasteris: 

Tad sākām domāt: teiksim, ka pēc gada mūsu komandām būs vairāk par vienu klasteru? Piemēram, dažādos ģeogrāfiskos apgabalos vai dažādu pakalpojumu sniedzēju kontrolē? Un daži no viņiem vēlēsies ātri izvietot pagaidu kopu dažiem testiem. 

Pilnas Kubernetes nāktu! Tas ir sava veida MultiKubernetes, izrādās. 

Tajā pašā laikā mums visiem būs kaut kādā veidā jāuztur visas šīs kopas, jāspēj viegli pārvaldīt piekļuvi tiem, kā arī izveidot jaunas un likvidēt vecās bez manuālas iejaukšanās.

Ir pagājis kāds laiks kopš mūsu ceļojuma sākuma Kubernetes pasaulē, un mēs nolēmām vēlreiz pārbaudīt pieejamos risinājumus. Izrādījās, ka tas jau pastāv tirgū - Rancher 2.2.

Mūsu pētījuma pirmajā posmā Rancher Labs jau bija izlaidusi pirmo versiju 2, taču, lai gan to varēja ļoti ātri palielināt, palaižot konteineru bez ārējām atkarībām ar pāris parametriem vai izmantojot oficiālo HELM diagrammu, tas šķita rupji. mums, un mēs nezinājām, vai varam paļauties uz šo lēmumu, vai tas tiks izstrādāts vai ātri atteikts. Arī klastera = klikšķu paradigma pašā lietotāja saskarnē mums nederēja, un mēs negribējām būt saistīti ar RKE, jo tas ir diezgan šauri fokusēts rīks. 

Versijai Rancher 2.2 jau bija funkcionālāks izskats, un kopā ar iepriekšējām tai bija vairākas interesantas funkcijas, piemēram, integrācija ar daudziem ārējiem pakalpojumu sniedzējiem, viens tiesību un kubeconfig failu izplatīšanas punkts, kubectl palaišana. attēls ar jūsu tiesībām lietotāja saskarnē, ligzdotās nosaukumvietas jeb projekti. 

Ap Rancher 2 jau bija izveidota arī kopiena, un tās pārvaldībai tika izveidots pakalpojumu sniedzējs ar nosaukumu HashiCorp Terraform, kas mums palīdzēja visu apvienot.

Kas notika

Rezultātā mēs nonācām pie viena maza klastera, kurā darbojas Rancher, kas ir pieejams visiem pārējiem klasteriem, kā arī daudziem ar to saistītiem klasteriem, no kuriem jebkuram piekļuvi var piešķirt vienkārši kā lietotāja pievienošanu ldap direktorijam neatkarīgi no kur tas atrodas un kura pakalpojumu sniedzēja resursus tas izmanto.

Izmantojot gitlab-ci un Terraform, tika izveidota sistēma, kas ļauj izveidot jebkuras konfigurācijas klasteru mākoņpakalpojumos vai mūsu pašu infrastruktūrā un savienot tos ar Rancher. Tas viss tiek darīts IaC stilā, kur katru klasteru apraksta repozitorijs, un tā stāvoklis tiek versēts. Tajā pašā laikā lielākā daļa moduļu ir savienoti no ārējām krātuvēm, tāpēc atliek tikai nodot mainīgos vai aprakstīt jūsu pielāgoto konfigurāciju gadījumiem, kas palīdz samazināt koda atkārtošanās procentuālo daudzumu.

Protams, mūsu ceļojums ne tuvu nav beidzies, un priekšā vēl ir daudz interesantu uzdevumu, piemēram, viens darba punkts ar žurnāliem un jebkuru klasteru metriku, servisa tīkls, gitopi kravu pārvaldībai vairākos klasteros un daudz kas cits. Mēs ceram, ka mūsu pieredze jums liksies interesanta! 

Rakstu sarakstījuši A. Antipovs, A. Ganušs, platformas inženieri. 

Avots: www.habr.com