Konteiners uz konveijeru: OpenShift Container Platform 4 tagad ir noklusējuma vērtība CRI-O

Platforma Red Hat OpenShift konteineru platforma 4 ļauj racionalizēt izveidi resursdatori konteineru izvietošanai, tostarp mākoņpakalpojumu sniedzēju infrastruktūrā, virtualizācijas platformās vai plikmetāla sistēmās. Lai izveidotu patiesi uz mākoņiem balstītu platformu, mums bija stingri jākontrolē visi izmantotie elementi un tādējādi jāpalielina sarežģītā automatizācijas procesa uzticamība.

Acīmredzamais risinājums bija izmantot Red Hat Enterprise Linux CoreOS (Red Hat Enterprise Linux variantu) un CRI-O kā standartu, un lūk, kāpēc...

Tā kā burāšanas tēma ir ļoti laba, lai atrastu analoģijas, skaidrojot Kubernetes un konteineru darbu, mēģināsim runāt par biznesa problēmām, kuras risina CoreOS un CRI-O, izmantojot piemēru Brunela izgudrojumi takelāžas bloku ražošanā. 1803. gadā Markam Brunelam tika uzdots saražot 100 19 takelāžas bloku augošās Lielbritānijas flotes vajadzībām. Takelāžas bloks ir takelāžas veids, ko izmanto, lai burām piestiprinātu virves. Līdz pašam XNUMX. gadsimta sākumam šie bloki tika izgatavoti ar rokām, taču Brunelam izdevās automatizēt ražošanu un viņš sāka ražot standartizētus blokus, izmantojot darbgaldus. Šī procesa automatizācija nozīmēja, ka iegūtie bloki būtībā bija identiski, tos varēja viegli nomainīt, ja tie saplīst, un tos varēja ražot lielos daudzumos.

Tagad iedomājieties, ja Brunelam šis darbs būtu jāveic 20 dažādiem kuģu modeļiem (Kubernetes versijas) un piecām dažādām planētām ar pilnīgi atšķirīgām jūras straumēm un vējiem (mākoņu nodrošinātājiem). Turklāt tika noteikts, ka visiem kuģiem (OpenShift klasteriem) neatkarīgi no planētām, uz kurām tiek veikta navigācija, no kapteiņu (operatoru, kas pārvalda kopu darbību) viedokļa uzvesties vienādi. Turpinot jūrniecības analoģiju, kuģu kapteiņiem ir pilnīgi vienalga, kādi takelāžas bloki (CRI-O) tiek izmantoti uz viņu kuģiem - viņiem galvenais, lai šie bloki būtu spēcīgi un uzticami.

OpenShift 4 kā mākoņa platforma saskaras ar ļoti līdzīgu biznesa izaicinājumu. Jauni mezgli ir jāizveido klastera izveides laikā, kļūmes gadījumā kādā no mezgliem vai klastera mērogošanas laikā. Kad tiek izveidots un inicializēts jauns mezgls, attiecīgi jākonfigurē kritiskie resursdatora komponenti, tostarp CRI-O. Tāpat kā jebkurā citā ražošanā, “izejvielas” ir jāpiegādā sākumā. Attiecībā uz kuģiem izejvielas ir metāls un koks. Tomēr, ja izveidojat resursdatoru konteineru izvietošanai OpenShift 4 klasterī, kā ievadei ir jābūt konfigurācijas failiem un API nodrošinātiem serveriem. Pēc tam OpenShift nodrošinās nepieciešamo automatizācijas līmeni visā dzīves ciklā, piedāvājot galalietotājiem nepieciešamo produktu atbalstu un tādējādi atmaksājot investīcijas platformā.

OpenShift 4 tika izveidots tā, lai nodrošinātu iespēju ērti atjaunināt sistēmu visā platformas dzīves ciklā (versijai 4.X) visiem lielākajiem mākoņdatošanas pakalpojumu sniedzējiem, virtualizācijas platformām un pat tukša metāla sistēmām. Lai to izdarītu, mezgli ir jāizveido, pamatojoties uz savstarpēji aizvietojamiem elementiem. Ja klasterim ir nepieciešama jauna Kubernetes versija, tā saņem arī atbilstošo CRI-O versiju operētājsistēmā CoreOS. Tā kā CRI-O versija ir tieši saistīta ar Kubernetes, tas ievērojami vienkāršo visas permutācijas testēšanas, problēmu novēršanas vai atbalsta nolūkos. Turklāt šī pieeja samazina galalietotāju un Red Hat izmaksas.

Šis ir principiāli jauns domāšanas veids par Kubernetes klasteriem, un tas ir pamats dažu ļoti noderīgu un pārliecinošu jaunu funkciju plānošanai. CRI-O (Container Runtime Interface - Open Container Initiative, saīsināti CRI-OCI) izrādījās veiksmīgākā izvēle mezglu masveida izveidei, kas nepieciešama darbam ar OpenShift. CRI-O aizstās iepriekš izmantoto Docker dzinēju, piedāvājot OpenShift lietotājiem ekonomisks, stabils, vienkāršs un garlaicīgs – jā, pareizi dzirdējāt – garlaicīgs konteinera dzinējs, kas radīts speciāli darbam ar Kubernetes.

Atvērto konteineru pasaule

Pasaule jau ilgu laiku virzās uz atvērtiem konteineriem. Vai Kubernetes, vai zemākos līmeņos, konteineru standartu izstrāde rada inovāciju ekosistēmu visos līmeņos.

Viss sākās ar Open Containers Initiative izveidi 2015. gada jūnijā. Šajā agrīnajā darba posmā tika izveidotas konteineru specifikācijas attēlu и izpildlaika vide. Tas nodrošināja, ka rīki var izmantot vienotu standartu konteineru attēli un vienots formāts darbam ar tiem. Specifikācijas tika pievienotas vēlāk izplatīšana, ļaujot lietotājiem ērti koplietot konteineru attēli.

Pēc tam Kubernetes kopiena izstrādāja vienotu standartu pievienojamam interfeisam, ko sauc Konteinera izpildlaika saskarne (CRI). Pateicoties tam, Kubernetes lietotāji papildus Docker varēja savienot dažādus dzinējus darbam ar konteineriem.

Red Hat un Google inženieri saskatīja tirgus nepieciešamību pēc konteinera dzinēja, kas varētu pieņemt Kubelet pieprasījumus, izmantojot CRI protokolu, un ieviesa konteinerus, kas bija saderīgi ar iepriekš minētajām OCI specifikācijām. Tātad Parādījās OCID. Bet atvainojiet, vai mēs neteicām, ka šis materiāls būs veltīts CRI-O? Patiesībā tā ir, tikai ar atbrīvošanu 1.0. versija projekts tika pārdēvēts par CRI-O.

Att. 1.

Inovācija ar CRI-O un CoreOS

Līdz ar OpenShift 4 platformas palaišanu tā tika mainīta konteinera dzinējs, kas platformā tiek izmantots pēc noklusējuma, un Docker tika aizstāts ar CRI-O, piedāvājot rentablu, stabilu, vienkāršu un garlaicīgu vidi konteinera darbināšanai, kas tiek izstrādāts paralēli Kubernetes. Tas ievērojami vienkāršo klasteru atbalstu un konfigurēšanu. Konteinera dzinēja un saimniekdatora konfigurācija, kā arī to pārvaldība OpenShift 4 ietvaros kļūst automatizēta.

Pagaidiet, kā tas ir?

Tieši tā, līdz ar OpenShift 4 parādīšanos vairs nav nepieciešams izveidot savienojumu ar atsevišķiem resursdatoriem un instalēt konteineru dzinēju, konfigurēt krātuvi, konfigurēt meklēšanas serverus vai konfigurēt tīklu. OpenShift 4 platforma ir pilnībā pārveidota, lai izmantotu Operatora sistēma ne tikai attiecībā uz galalietotāju lietojumprogrammām, bet arī attiecībā uz pamata platformas līmeņa darbībām, piemēram, attēlu izvietošanu, sistēmas konfigurēšanu vai atjauninājumu instalēšanu.

Kubernetes vienmēr ir ļāvis lietotājiem pārvaldīt lietojumprogrammas, definējot vēlamo stāvokli un izmantojot kontrolieri, lai nodrošinātu, ka faktiskais stāvoklis pēc iespējas tuvāk atbilst mērķa stāvoklim. Šis mērķa stāvoklis un faktiskā stāvokļa pieeja paver lielas iespējas gan no attīstības, gan darbības viedokļa. Izstrādātāji var definēt nepieciešamo stāvokli ar padod tālāk operatoram YAML vai JSON faila veidā, un pēc tam operators var izveidot nepieciešamo lietojumprogrammas gadījumu ražošanas vidē, un šīs instances darbības stāvoklis pilnībā atbildīs norādītajam.

Izmantojot platformā Operatorus, OpenShift 4 nodrošina šo jauno paradigmu (izmantojot kopas un faktiskā stāvokļa jēdzienu) RHEL CoreOS un CRI-O pārvaldībā. Operētājsistēmas un konteinera dzinēja versiju konfigurēšanas un pārvaldības uzdevumi tiek automatizēti, izmantojot t.s Iekārtas konfigurācijas operators (MCO). MCO ievērojami vienkāršo klastera administratora darbu, būtībā automatizējot pēdējos instalēšanas posmus, kā arī turpmākās pēcinstalēšanas darbības (otrās dienas darbības). Tas viss padara OpenShift 4 par īstu mākoņa platformu. Mēs par to pievērsīsimies nedaudz vēlāk.

Darbojošie konteineri

Lietotājiem ir bijusi iespēja izmantot CRI-O dzinēju OpenShift platformā kopš versijas 3.7 tehniskā priekšskatījuma statusā un no versijas 3.9 statusā Vispārīgi pieejams (pašlaik tiek atbalstīts). Turklāt Red Hat masveidā izmanto CRI-O ražošanas slodzes palaišanai pakalpojumā OpenShift Online kopš versijas 3.10. Tas viss ļāva komandai, kas strādā pie CRI-O, iegūt plašu pieredzi konteineru masveida palaišanā lielos Kubernetes klasteros. Lai iegūtu pamata izpratni par to, kā Kubernetes izmanto CRI-O, apskatīsim tālāk redzamo ilustrāciju, kas parāda, kā darbojas arhitektūra.

Rīsi. 2. Kā konteineri darbojas Kubernetes klasterī

CRI-O vienkāršo jaunu konteineru saimniekdatoru izveidi, sinhronizējot visu augstāko līmeni, inicializējot jaunus mezglus un izlaižot jaunas OpenShift platformas versijas. Visas platformas pārskatīšana ļauj veikt darījumu atjauninājumus/atcelšanu, kā arī novērš strupceļu atkarības starp konteinera astes kodolu, konteinera dzinēju, mezgliem (Kubelets) un Kubernetes Master mezglu. Centralizēti pārvaldot visus platformas komponentus ar vadību un versiju veidošanu, vienmēr ir skaidrs ceļš no stāvokļa A uz stāvokli B. Tas vienkāršo atjaunināšanas procesu, uzlabo drošību, uzlabo veiktspējas pārskatus un palīdz samazināt izmaksas par atjauninājumiem un jaunu versiju instalēšanu. .

Aizvietojošo elementu jaudas demonstrēšana

Kā minēts iepriekš, izmantojot Machine Config Operator, lai pārvaldītu konteinera resursdatoru un konteinera dzinēju OpenShift 4, tiek nodrošināts jauns automatizācijas līmenis, kas iepriekš nebija iespējams Kubernetes platformā. Lai demonstrētu jaunās funkcijas, mēs parādīsim, kā jūs varat veikt izmaiņas failā crio.conf. Lai nemulsinātu terminoloģiju, mēģiniet koncentrēties uz rezultātiem.

Vispirms izveidosim tā saukto konteinera izpildlaika konfigurāciju — Container Runtime Config. Padomājiet par to kā par Kubernetes resursu, kas atspoguļo CRI-O konfigurāciju. Patiesībā tā ir specializēta versija tam, ko sauc par MachineConfig, kas ir jebkura konfigurācija, kas tiek izvietota RHEL CoreOS mašīnā kā daļa no OpenShift klastera.

Šis pielāgotais resurss ar nosaukumu ContainerRuntimeConfig tika izveidots, lai klasteru administratoriem būtu vieglāk konfigurēt CRI-O. Šis rīks ir pietiekami jaudīgs, lai to varētu lietot tikai noteiktiem mezgliem atkarībā no MachineConfigPool iestatījumiem. Uztveriet to kā mašīnu grupu, kas kalpo vienam un tam pašam mērķim.

Ievērojiet pēdējās divas rindiņas, kuras mēs mainīsim /etc/crio/crio.conf failā. Šīs divas rindas ir ļoti līdzīgas rindām failā crio.conf, tās ir:

vi ContainerRuntimeConfig.yaml

Secinājums:

apiVersion: machineconfiguration.openshift.io/v1
kind: ContainerRuntimeConfig
metadata:
 name: set-log-and-pid
spec:
 machineConfigPoolSelector:
   matchLabels:
     debug-crio: config-log-and-pid
 containerRuntimeConfig:
   pidsLimit: 2048
   logLevel: debug

Tagad virzīsim šo failu uz Kubernetes klasteru un pārbaudīsim, vai tas tiešām ir izveidots. Lūdzu, ņemiet vērā, ka darbība ir tieši tāda pati kā ar jebkuru citu Kubernetes resursu:

oc create -f ContainerRuntimeConfig.yaml
oc get ContainerRuntimeConfig

Secinājums:

NAME              AGE
set-log-and-pid   22h

Kad esam izveidojuši ContainerRuntimeConfig, mums ir jāmaina viens no MachineConfigPools, lai ziņotu Kubernetes, ka vēlamies lietot šo konfigurāciju noteiktai klastera mašīnu grupai. Šajā gadījumā mēs mainīsim galveno mezglu MachineConfigPool:

oc edit MachineConfigPool/master

Secinājums (skaidrības labad galvenā būtība ir atstāta):

...
metadata:
 creationTimestamp: 2019-04-10T23:42:28Z
 generation: 1
 labels:
   debug-crio: config-log-and-pid
   operator.machineconfiguration.openshift.io/required-for-upgrade: ""
...

Šajā brīdī MCO sāk klasterim izveidot jaunu crio.conf failu. Šajā gadījumā pilnībā pabeigto konfigurācijas failu var apskatīt, izmantojot Kubernetes API. Atcerieties, ka ContainerRuntimeConfig ir tikai specializēta MachineConfig versija, tāpēc mēs varam redzēt rezultātu, aplūkojot attiecīgās rindiņas rīkā MachineConfig:

oc get MachineConfigs | grep rendered

Secinājums:

rendered-master-c923f24f01a0e38c77a05acfd631910b                  4.0.22-201904011459-dirty 2.2.0 16h
rendered-master-f722b027a98ac5b8e0b41d71e992f626                  4.0.22-201904011459-dirty 2.2.0 4m
rendered-worker-9777325797fe7e74c3f2dd11d359bc62                  4.0.22-201904011459-dirty 2.2.0 16h

Lūdzu, ņemiet vērā, ka iegūtais galveno mezglu konfigurācijas fails bija jaunāka versija nekā sākotnējās konfigurācijas. Lai to apskatītu, palaidiet šādu komandu. Garāmejot, mēs atzīmējam, ka šis, iespējams, ir viens no labākajiem vienas līnijas materiāliem Kubernetes vēsturē:

python3 -c "import sys, urllib.parse; print(urllib.parse.unquote(sys.argv[1]))" $(oc get MachineConfig/rendered-master-f722b027a98ac5b8e0b41d71e992f626 -o YAML | grep -B4 crio.conf | grep source | tail -n 1 | cut -d, -f2) | grep pid

Secinājums:

pids_limit = 2048

Tagad pārliecināsimies, ka konfigurācija ir piemērota visiem galvenajiem mezgliem. Vispirms mēs iegūstam klastera mezglu sarakstu:

oc get node | grep master

Output:

ip-10-0-135-153.us-east-2.compute.internal   Ready master 23h v1.12.4+509916ce1

ip-10-0-154-0.us-east-2.compute.internal     Ready master 23h v1.12.4+509916ce1

ip-10-0-166-79.us-east-2.compute.internal    Ready master 23h v1.12.4+509916ce1

Tagad apskatīsim instalēto failu. Jūs redzēsit, ka fails ir atjaunināts ar jaunajām vērtībām pid un atkļūdošanas direktīvām, kuras norādījām resursā ContainerRuntimeConfig. Pati elegance:

oc debug node/ip-10-0-135-153.us-east-2.compute.internal — cat /host/etc/crio/crio.conf | egrep 'debug||pid’

Secinājums:

...
pids_limit = 2048
...
log_level = "debug"
...

Visas šīs klastera izmaiņas tika veiktas, pat nepalaižot SSH. Viss darbs tika veikts, piekļūstot Kuberentes galvenajam mezglam. Tas nozīmē, ka šie jaunie parametri tika konfigurēti tikai galvenajos mezglos. Darbinieku mezgli nemainījās, kas parāda Kubernetes metodoloģijas priekšrocības, izmantojot norādītos un faktiskos stāvokļus saistībā ar konteineru saimniekiem un konteineru dzinējiem ar maināmiem elementiem.

Iepriekš minētais piemērs parāda iespēju veikt izmaiņas nelielā OpenShift Container Platform 4 klasterī ar trim ražošanas mezgliem vai milzīgā ražošanas klasterī ar 3000 mezgliem. Jebkurā gadījumā darba apjoms būs tāds pats — un ļoti mazs — vienkārši konfigurējiet ContainerRuntimeConfig failu un nomainiet vienu etiķeti programmā MachineConfigPool. To var izdarīt ar jebkuru OpenShift Container Platform 4.X versiju, kurā darbojas Kubernetes visā tā dzīves ciklā.

Bieži vien tehnoloģiju uzņēmumi attīstās tik ātri, ka mēs nevaram izskaidrot, kāpēc mēs izvēlamies noteiktas tehnoloģijas pamatā esošajiem komponentiem. Konteineru dzinēji vēsturiski ir bijuši komponenti, ar kuriem lietotāji mijiedarbojas tieši. Tā kā konteineru popularitāte dabiski sākās līdz ar konteineru dzinēju parādīšanos, lietotāji bieži izrāda interesi par tiem. Tas ir vēl viens iemesls, kāpēc Red Hat izvēlējās CRI-O. Konteineri attīstās, tagad koncentrējoties uz orķestrēšanu, un mēs esam noskaidrojuši, ka CRI-O nodrošina vislabāko pieredzi darbā ar OpenShift 4.

Avots: www.habr.com