Projekta konfigurācija Kubernetes iekšpusē un ārpusē

Es nesen rakstīju atbilde par projekta dzīvi programmā Docker un atkļūdošanas kodu ārpus tā, kur viņš īsi minēja, ka varat izveidot savu konfigurācijas sistēmu, lai pakalpojums Kuber labi darbotos, izvilktu noslēpumus un ērti darbotos lokāli, pat ārpus Docker. Nekas sarežģīts, bet aprakstītā “recepte” kādam var noderēt :) Kods ir Python, bet loģika nav piesaistīta valodai.

Jautājuma fons ir šāds: kādreiz bija viens projekts, sākumā tas bija mazs monolīts ar komunālajiem pakalpojumiem un skriptiem, bet laika gaitā tas pieauga, sadalījās pa servisiem, kurus savukārt sāka sadalīt mikropakalpojumos un pēc tam palielināts. Sākumā tas viss tika darīts tukšā VPS, kurā koda iestatīšanas un izvietošanas procesi tika automatizēti, izmantojot Ansible, un katrs pakalpojums tika kompilēts ar YAML konfigurāciju ar nepieciešamajiem iestatījumiem un atslēgām, kā arī tika izmantots līdzīgs konfigurācijas fails. lokālās palaišanas, kas bija ļoti ērti, jo .k šī konfigurācija tiek ielādēta globālā objektā, kas ir pieejama no jebkuras vietas projektā.

Taču mikropakalpojumu skaita pieaugums, to pieslēgumi un nepieciešamība pēc centralizētas mežizstrādes un uzraudzības, paredzēja pāreju uz Kuber, kas joprojām turpinās. Kopā ar palīdzību minēto problēmu risināšanā Kubernetes piedāvā savas pieejas infrastruktūras pārvaldībai, t.sk tā sauktie noslēpumi и veidi, kā ar viņiem strādāt. Mehānisms ir standarta un uzticams, tāpēc burtiski grēks to neizmantot! Bet tajā pašā laikā es vēlētos saglabāt savu pašreizējo formātu darbam ar konfigurāciju: pirmkārt, lai to vienmērīgi izmantotu dažādos projekta mikropakalpojumos, un, otrkārt, lai varētu palaist kodu vietējā mašīnā, izmantojot vienu vienkāršu konfigurācijas fails.

Šajā sakarā tika modificēts konfigurācijas objekta konstruēšanas mehānisms, lai varētu strādāt gan ar mūsu klasisko konfigurācijas failu, gan ar Kuber noslēpumiem. Trešā Python valodā tika norādīta arī stingrāka konfigurācijas struktūra:

Dict[str, Dict[str, Union[str, int, float]]]

Tas nozīmē, ka pēdējais zobrats ir vārdnīca ar nosauktām sadaļām, no kurām katra ir vārdnīca ar vienkāršu veidu vērtībām. Sadaļās ir aprakstīta noteikta veida konfigurācija un piekļuve tiem resursiem. Mūsu konfigurācijas daļas piemērs:

adminka:
  django_secret: "ExtraLongAndHardCode"

db_main:
  engine: mysql
  host: 256.128.64.32
  user: cool_user
  password: "SuperHardPassword"

redis:
  host: 256.128.64.32
  pw: "SuperHardPassword"
  port: 26379

smtp:
  server: smtp.gmail.com
  port: 465
  email: [email protected]
  pw: "SuperHardPassword"

Tajā pašā laikā lauks engine datu bāzes var instalēt SQLite, un redis iestatīts uz mock, norādot arī saglabājamā faila nosaukumu – šie parametri tiek pareizi atpazīti un apstrādāti, kas ļauj ērti palaist kodu lokāli atkļūdošanai, vienību pārbaudei un citām vajadzībām. Tas mums ir īpaši svarīgi, jo ir daudz citu vajadzību - daļa mūsu koda ir paredzēta dažādiem analītiskiem aprēķiniem, tas darbojas ne tikai serveros ar orķestrēšanu, bet arī ar dažādiem skriptiem un analītiķu datoros, kuriem nepieciešams strādāt. un atkļūdojiet sarežģītus datu apstrādes cauruļvadus, neradot aizmugursistēmas problēmas. Starp citu, nenāktu par ļaunu pastāstīt, ka mūsu galvenie rīki, tostarp konfigurācijas izkārtojuma kods, tiek instalēti, izmantojot setup.py – kopā tas apvieno mūsu kodu vienā ekosistēmā, kas nav atkarīga no platformas un lietošanas metodes.

Kubernetes pāksts apraksts izskatās šādi:

containers:
  - name : enter-api
    image: enter-api:latest
    ports:
      - containerPort: 80
    volumeMounts:
      - name: db-main-secret-volume
        mountPath: /etc/secrets/db-main

volumes:
  - name: db-main-secret-volume
    secret:
      secretName: db-main-secret

Tas ir, katrs noslēpums apraksta vienu sadaļu. Paši noslēpumi tiek izveidoti šādi:

apiVersion: v1
kind: Secret
metadata:
  name: db-main-secret
type: Opaque
stringData:
  db_main.yaml: |
    engine: sqlite
    filename: main.sqlite3

Kopā tas rada YAML failu izveidi ceļā /etc/secrets/db-main/section_name.yaml

Un vietējai palaišanai tiek izmantota konfigurācija, kas atrodas projekta saknes direktorijā vai pa ceļu, kas norādīts vides mainīgajā. Par šīm ērtībām atbildīgo kodu var redzēt spoilerī.

config.py

__author__ = 'AivanF'
__copyright__ = 'Copyright 2020, AivanF'

import os
import yaml

__all__ = ['config']
PROJECT_DIR = os.path.abspath(__file__ + 3 * '/..')
SECRETS_DIR = '/etc/secrets'
KEY_LOG = '_config_log'
KEY_DBG = 'debug'

def is_yes(value):
    if isinstance(value, str):
        value = value.lower()
        if value in ('1', 'on', 'yes', 'true'):
            return True
    else:
        if value in (1, True):
            return True
    return False

def update_config_part(config, key, data):
    if key not in config:
        config[key] = data
    else:
        config[key].update(data)

def parse_big_config(config, filename):
    '''
    Parse YAML config with multiple section
    '''
    if not os.path.isfile(filename):
        return False
    with open(filename) as f:
        config_new = yaml.safe_load(f.read())
        for key, data in config_new.items():
            update_config_part(config, key, data)
        config[KEY_LOG].append(filename)
        return True

def parse_tiny_config(config, key, filename):
    '''
    Parse YAML config with a single section
    '''
    with open(filename) as f:
        config_tiny = yaml.safe_load(f.read())
        update_config_part(config, key, config_tiny)
        config[KEY_LOG].append(filename)

def combine_config():
    config = {
        # To debug config load code
        KEY_LOG: [],
        # To debug other code
        KEY_DBG: is_yes(os.environ.get('DEBUG')),
    }
    # For simple local runs
    CONFIG_SIMPLE = os.path.join(PROJECT_DIR, 'config.yaml')
    parse_big_config(config, CONFIG_SIMPLE)
    # For container's tests
    CONFIG_ENVVAR = os.environ.get('CONFIG')
    if CONFIG_ENVVAR is not None:
        if not parse_big_config(config, CONFIG_ENVVAR):
            raise ValueError(
                f'No config file from EnvVar:n'
                f'{CONFIG_ENVVAR}'
            )
    # For K8s secrets
    for path, dirs, files in os.walk(SECRETS_DIR):
        depth = path[len(SECRETS_DIR):].count(os.sep)
        if depth > 1:
            continue
        for file in files:
            if file.endswith('.yaml'):
                filename = os.path.join(path, file)
                key = file.rsplit('.', 1)[0]
                parse_tiny_config(config, key, filename)
    return config

def build_config():
    config = combine_config()
    # Preprocess
    for key, data in config.items():
        if key.startswith('db_'):
            if data['engine'] == 'sqlite':
                data['filename'] = os.path.join(PROJECT_DIR, data['filename'])
    # To verify correctness
    if config[KEY_DBG]:
        print(f'** Loaded config:n{yaml.dump(config)}')
    else:
        print(f'** Loaded config from: {config[KEY_LOG]}')
    return config

config = build_config()

Loģika šeit ir pavisam vienkārša: mēs apvienojam lielas konfigurācijas no projekta direktorija un ceļus pēc vides mainīgā un mazas konfigurācijas sadaļas no Kuber noslēpumiem, un pēc tam tās nedaudz apstrādājam. Plus daži mainīgie. Es atzīmēju, ka, meklējot failus no noslēpumiem, tiek izmantots dziļuma ierobežojums, jo K8s katrā noslēpumā izveido slēptu mapi, kurā tiek glabāti paši noslēpumi, un tikai saite atrodas augstākā līmenī.

Ceru, ka aprakstītais kādam noderēs :) Jebkuri komentāri un ieteikumi saistībā ar drošību vai citām uzlabošanas jomām tiek pieņemti. Interesants ir arī kopienas viedoklis, varbūt ir vērts pievienot atbalstu ConfigMaps (mūsu projekts tos vēl neizmanto) un publicēt kodu GitHub / PyPI? Man personīgi liekas, ka šādas lietas ir pārāk individuālas, lai projekti būtu universāli, un nedaudz palūkojoties uz citu īstenotajiem, kā šeit dotajiem, un niansēm, padomiem un paraugpraksēm, ko ceru redzēt komentāros. , pietiek 😉

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Vai man jāpublicē kā projekts/bibliotēka?

• 0,0%Jā, es izmantotu /contribution0

• 33,3%Jā, tas izklausās lieliski 4

• 41,7%Nē, kam tas jādara pašam savā formātā un atbilstoši savām vajadzībām5

• 25,0%Es atturēšos atbildēt 3

Nobalsoja 12 lietotāji. 3 lietotāji atturējās.

Avots: www.habr.com