Kubernetes vietnē DomClick: kā mierīgi gulēt, pārvaldot 1000 mikropakalpojumu kopu

Mani sauc Viktors Jagofarovs, un es izstrādāju Kubernetes platformu DomClick kā tehniskās attīstības vadītājs Ops (operācijas) komandā. Es vēlos runāt par mūsu Dev <-> Ops procesu struktūru, viena no lielākajām k8s klasteru darbības iespējām Krievijā, kā arī DevOps/SRE praksi, ko piemēro mūsu komanda.

Ops komanda

Ops komandā šobrīd ir 15 cilvēki. Trīs no viņiem atbild par biroju, divi strādā citā laika joslā un ir pieejami, arī naktī. Tādējādi kāds no Ops vienmēr atrodas pie monitora un ir gatavs reaģēt uz jebkuras sarežģītības incidentu. Mums nav nakts maiņas, kas saglabā mūsu psihi un dod iespēju ikvienam pietiekami izgulēties un pavadīt brīvo laiku ne tikai pie datora.

Katram ir dažādas kompetences: tīklu veidotāji, DBA, ELK steka speciālisti, Kubernetes administratori/izstrādātāji, monitorings, virtualizācija, aparatūras speciālisti utt. Viena lieta visus vieno – ikviens var kaut kādā mērā aizstāt jebkuru no mums: piemēram, ieviest jaunus mezglus k8s klasterī, atjaunināt PostgreSQL, uzrakstīt CI/CD + Ansible cauruļvadu, automatizēt kaut ko Python/Bash/Go, savienot aparatūru Datu centrs. Spēcīgas kompetences jebkurā jomā neliedz mainīt darbības virzienu un sākt pilnveidoties kādā citā jomā. Piemēram, es pievienojos kādam uzņēmumam kā PostgreSQL speciālists, un tagad mana galvenā atbildības joma ir Kubernetes klasteri. Komandā jebkurš augums ir apsveicams un sviras izjūta ir ļoti attīstīta.

Starp citu, mēs medām. Prasības kandidātiem ir diezgan standarta. Man personīgi ir svarīgi, lai cilvēks iekļaujas kolektīvā, ir nekonfliktisks, bet arī prot aizstāvēt savu viedokli, vēlas attīstīties un nebaidās darīt ko jaunu, piedāvā savas idejas. Tāpat nepieciešamas programmēšanas prasmes skriptu valodās, Linux un angļu valodas pamatu zināšanas. Angļu valoda ir vajadzīga vienkārši tāpēc, lai cilvēks fakapa gadījumā varētu google atrast problēmas risinājumu 10 sekundēs, nevis 10 minūtēs. Tagad ir ļoti grūti atrast speciālistus ar dziļām zināšanām par Linux: tas ir smieklīgi, bet divi no trim kandidātiem nevar atbildēt uz jautājumu “Kas ir vidējā slodze? No kā tas ir izgatavots?”, un jautājums “Kā salikt kodolu no C programmas” tiek uzskatīts par kaut ko no supermenu... jeb dinozauru pasaules. Mums tas ir jāsamierinās, jo parasti cilvēkiem ir ļoti attīstītas citas kompetences, bet mēs iemācīsim Linux. Atbilde uz jautājumu “kāpēc DevOps inženierim tas viss jāzina mūsdienu mākoņu pasaulē” būs jāatstāj ārpus raksta tvēriena, taču trīs vārdos: tas viss ir vajadzīgs.

Komandas rīki

Rīku komandai ir nozīmīga loma automatizācijā. Viņu galvenais uzdevums ir izveidot izstrādātājiem ērtus grafiskos un CLI rīkus. Piemēram, mūsu iekšējā izstrāde Confer ļauj burtiski izlaist lietojumprogrammu Kubernetes tikai ar dažiem peles klikšķiem, konfigurēt tās resursus, atslēgas no glabātuves utt. Iepriekš bija Jenkins + Helm 2, taču man bija jāizstrādā savs rīks, lai novērstu kopēšanu un ielīmēšanu un programmatūras dzīves cikla vienveidību.

Ops komanda neraksta konveijerus izstrādātājiem, taču var sniegt padomus par visiem rakstīšanas jautājumiem (dažiem cilvēkiem joprojām ir Helm 3).

DevOps

Kas attiecas uz DevOps, mēs to redzam šādi:

Izstrādātāju komandas raksta kodu, izlaiž to, izmantojot Confer to dev -> qa/stage -> prod. Atbildība par to, lai kods nepalēninātu un nesaturētu kļūdas, ir Dev un Ops komandām. Dienas laikā dežūrējam no Ops komandas pirmām kārtām jāreaģē uz incidentu ar savu pieteikumu, savukārt vakarā un naktī dežurējošajam administratoram (Ops) jāpamodina dežurējošais izstrādātājs, ja viņš zina par pārliecināts, ka problēma nav infrastruktūrā. Visi pārraudzības rādītāji un brīdinājumi tiek parādīti automātiski vai daļēji automātiski.

Ops atbildības joma sākas no brīža, kad lietojumprogramma tiek ieviesta ražošanā, taču Dev atbildība ar to nebeidzas — mēs darām to pašu un esam vienā laivā.

Izstrādātāji konsultē administratorus, ja viņiem nepieciešama palīdzība, rakstot administratora mikropakalpojumu (piemēram, Go backend + HTML5), un administratori konsultē izstrādātājus par jebkādām infrastruktūras problēmām vai problēmām, kas saistītas ar k8s.

Starp citu, mums vispār nav monolīta, tikai mikropakalpojumi. To skaits līdz šim svārstās no 900 līdz 1000 prod k8s klasterī, ja to mēra pēc skaita izvietošanu. Pākšu skaits svārstās no 1700 līdz 2000. Pašlaik produktu klasterī ir aptuveni 2000 pākšu.

Es nevaru sniegt precīzus skaitļus, jo mēs uzraugām nevajadzīgos mikropakalpojumus un izgriežam tos pusautomātiski. K8s palīdz mums izsekot nevajadzīgām entītijām bezjēdzīgs operators, kas ietaupa daudz resursu un naudas.

Resursu vadība

Uzraudzība

Labi strukturēta un informatīva uzraudzība kļūst par stūrakmeni liela klastera darbībā. Mēs vēl neesam atraduši universālu risinājumu, kas segtu 100% no visām monitoringa vajadzībām, tāpēc šajā vidē periodiski veidojam dažādus pielāgotus risinājumus.

• Zabbix. Vecais labais monitorings, kas galvenokārt paredzēts infrastruktūras kopējā stāvokļa izsekošanai. Tas norāda, kad mezgls nomirst apstrādes, atmiņas, disku, tīkla un tā tālāk ziņā. Nekas pārdabisks, bet mums ir arī atsevišķs aģentu DaemonSet, ar kura palīdzību mēs, piemēram, uzraugām DNS stāvokli klasterī: meklējam stulbus coredns podus, pārbaudām ārējo hostu pieejamību. Šķiet, kāpēc ar to uztraukties, taču ar lielu satiksmes apjomu šis komponents ir nopietns neveiksmes punkts. Es jau aprakstīts, kā es cīnījos ar DNS veiktspēju klasterī.
• Prometejs operators. Dažādu eksportētāju kopums sniedz plašu pārskatu par visām klastera sastāvdaļām. Tālāk mēs to visu vizualizējam lielos Grafana informācijas paneļos un brīdinājumiem izmantojam alertmanager.

Vēl viens mums noderīgs rīks bija saraksta iekļūšana. Mēs to rakstījām pēc tam, kad vairākas reizes saskārāmies ar situāciju, kad viena komanda pārklājās ar citas komandas ieejas ceļiem, kā rezultātā radās 50 reizes kļūdas. Tagad pirms izvietošanas ražošanā izstrādātāji pārbauda, ​​vai neviens netiks ietekmēts, un manai komandai tas ir labs rīks Ingresses problēmu sākotnējai diagnostikai. Smieklīgi, ka sākumā tas bija rakstīts administratoriem un izskatījās diezgan “neveikls”, bet pēc tam, kad izstrādātāju komandas iemīlēja rīku, tas ļoti mainījās un sāka izskatīties ne tā, kā “admins izveidoja tīmekļa seju administratoriem. ” Drīzumā mēs atteiksim no šī rīka, un šādas situācijas tiks pārbaudītas pat pirms cauruļvada izvēršanas.

Komandas resursi kubā

Pirms pievēršamies piemēriem, ir vērts paskaidrot, kā mēs piešķiram resursus mikropakalpojumi.

Lai saprastu, kuras komandas un kādos daudzumos izmanto savas resursiem (procesors, atmiņa, vietējais SSD), mēs katrai komandai piešķiram savu namespace “Kubā” un ierobežot tā maksimālās iespējas procesora, atmiņas un diska ziņā, iepriekš pārrunājot komandu vajadzības. Attiecīgi viena komanda kopumā nebloķēs visu klasteru izvietošanai, piešķirot tūkstošiem kodolu un terabaitu atmiņas. Piekļuve nosaukumvietai tiek nodrošināta, izmantojot AD (mēs izmantojam RBAC). Nosaukumvietas un to ierobežojumi tiek pievienoti, izmantojot izvilkšanas pieprasījumu GIT krātuvei, un pēc tam viss tiek automātiski izlaists caur Ansible konveijeru.

Piemērs resursu piešķiršanai komandai:

namespaces:

  chat-team:
    pods: 23
    limits:
      cpu: 11
      memory: 20Gi
    requests:
      cpu: 11
      memory: 20Gi

Pieprasījumi un ierobežojumi

Kubisks" Pieprasīt ir garantēto rezervēto resursu skaits pāksts (viens vai vairāki doku konteineri) klasterī. Limits ir negarantētais maksimums. Diagrammos bieži var redzēt, kā kāda komanda ir iestatījusi sev pārāk daudz pieprasījumu visām savām lietojumprogrammām un nevar izvietot lietojumprogrammu kubā, jo visi pieprasījumi zem viņu nosaukumvietas jau ir "iztērēti".

Pareizā izeja no šīs situācijas ir aplūkot reālo resursu patēriņu un salīdzināt to ar pieprasīto summu (Pieprasījums).

Iepriekš redzamajos ekrānuzņēmumos var redzēt, ka “Pieprasītie” CPU ir saskaņoti ar reālo pavedienu skaitu, un ierobežojumi var pārsniegt reālo CPU pavedienu skaitu =)

Tagad apskatīsim sīkāk kādu nosaukumvietu (es izvēlējos nosaukumvietu kube-system - sistēmas nosaukumvietu pašam “Cube” komponentiem) un redzēsim faktiski izmantotā procesora laika un atmiņas attiecību pret pieprasīto:

Ir skaidrs, ka sistēmas pakalpojumiem ir rezervēts daudz vairāk atmiņas un CPU, nekā faktiski tiek izmantots. Kube-sistēmas gadījumā tas ir pamatoti: gadījās, ka nginx ingress kontrolleris jeb nodelocaldns savā maksimumā trāpīja centrālajam procesoram un patērēja daudz RAM, tāpēc šeit šāda rezerve ir pamatota. Turklāt mēs nevaram paļauties uz pēdējo 3 stundu diagrammām: ir vēlams redzēt vēsturiskos rādītājus par lielu laika periodu.

Tika izstrādāta “ieteikumu” sistēma. Piemēram, šeit var redzēt, kuriem resursiem labāk būtu paaugstināt “limitus” (augšējo atļauto joslu), lai nenotiktu “droselēšana”: brīdis, kad resurss jau ir iztērējis centrālo procesoru vai atmiņu atvēlētajā laika griezumā un gaida, līdz tas tiks “atsaldēts”:

Un šeit ir pākstis, kurām vajadzētu ierobežot viņu apetīti:

uz droseles + resursu monitorings, vari uzrakstīt vairāk nekā vienu rakstu, tāpēc uzdod jautājumus komentāros. Dažos vārdos varu teikt, ka šādu metriku automatizācijas uzdevums ir ļoti sarežģīts un prasa daudz laika un līdzsvarošanas darbību ar “loga” funkcijām un “CTE” Prometheus / VictoriaMetrics (šie termini ir pēdiņās, jo ir gandrīz PromQL nekas tamlīdzīgs, un jums ir jāsadala biedējošie vaicājumi vairākos teksta ekrānos un tie jāoptimizē).

Rezultātā izstrādātājiem ir pieejami rīki savu nosaukumvietu pārraudzībai Cube, un viņi paši var izvēlēties, kur un kurā brīdī kurām lietojumprogrammām var “nogriezt” resursus un kuriem serveriem visu nakti var atdot visu CPU.

Metodoloģijas

Uzņēmumā, kāds tas ir tagad moderns, mēs ievērojam DevOps- un SRE-praktiķis Kad uzņēmumam ir 1000 mikropakalpojumu, aptuveni 350 izstrādātāju un 15 administratori visai infrastruktūrai, jums ir "jābūt modīgam": aiz visiem šiem "basvārdiem" ir steidzami jāautomatizē viss un visi, un administratori nedrīkst būt sašaurinājums. procesos.

Kā Ops mēs izstrādātājiem piedāvājam dažādus rādītājus un informācijas paneļus, kas saistīti ar pakalpojumu atbildes biežumu un kļūdām.

Mēs izmantojam tādas metodes kā: SARKANS, LIETOŠANAS и Zelta signāliapvienojot tos kopā. Mēs cenšamies līdz minimumam samazināt informācijas paneļu skaitu, lai vienā mirklī būtu skaidrs, kurš pakalpojums pašlaik pasliktinās (piemēram, atbildes kodi sekundē, reakcijas laiks par 99. procentili) un tā tālāk. Tiklīdz vispārējiem informācijas paneļiem ir nepieciešami jauni rādītāji, mēs tos nekavējoties izveidojam un pievienojam.

Neesmu zīmējis grafikus jau mēnesi. Tā, iespējams, ir laba zīme: tas nozīmē, ka lielākā daļa “vēlmju” jau ir īstenotas. Gadījās, ka nedēļas laikā vismaz reizi dienā uzzīmēju kādu jaunu grafiku.

Iegūtais rezultāts ir vērtīgs, jo tagad izstrādātāji diezgan reti vēršas pie administratoriem ar jautājumiem “kur apskatīt kādu metriku”.

Īstenošana Servisa tīkls ir tepat aiz stūra, un tam vajadzētu padarīt dzīvi daudz vieglāku ikvienam, kolēģi no Tools jau ir tuvu abstraktā “Istio of a vesela cilvēka” ieviešanai: uzraudzībā būs redzams katra HTTP(-u) pieprasījuma dzīves cikls, un tas vienmēr būs iespējams saprast, “kurā posmā viss salūza” starpdienestu (un ne tikai) mijiedarbības laikā. Abonējiet ziņas no DomClick centra. =)

Kubernetes infrastruktūras atbalsts

Vēsturiski mēs izmantojam ielāpu versiju Kubespray — Piemērota loma Kubernetes izvietošanai, paplašināšanai un atjaunināšanai. Kādā brīdī atbalsts instalācijām, kas nav kubeadm, tika pārtraukts no galvenās filiāles, un pārslēgšanās uz kubeadm process netika ierosināts. Rezultātā uzņēmums Southbridge izveidoja savu dakšiņu (ar kubeadm atbalstu un ātru risinājumu kritiskām problēmām).

Visu k8s klasteru atjaunināšanas process izskatās šādi:

• Ņem Kubespray no Southbridge, pārbaudiet mūsu pavedienu, Merjim.
• Mēs izlaižam atjauninājumu uz Uzsvars- "Kubs".
• Mēs izlaižam atjauninājumu pa vienam mezglam (Ansible versijā tas ir “serial: 1”) dev- "Kubs".
• Mēs atjauninām Bikstīt sestdienas vakarā pa vienam mezglam.

Nākotnē ir plānots to nomainīt Kubespray par kaut ko ātrāku un dodieties uz kubeadm.

Kopumā mums ir trīs “kubi”: Stress, Dev un Prod. Mēs plānojam uzsākt vēl vienu (karstais gaidīšanas režīms) Prod-“Cube” otrajā datu centrā. Uzsvars и dev dzīvot “virtuālajās mašīnās” (oVirt for Stress un VMWare mākonis for Dev). Bikstīt- "Cube" dzīvo uz "plika metāla": tie ir identiski mezgli ar 32 CPU pavedieniem, 64-128 GB atmiņu un 300 GB SSD RAID 10 - kopā ir 50 no tiem. Trīs “plānie” mezgli ir veltīti “meistariem” Bikstīt- “Kuba”: 16 GB atmiņa, 12 CPU pavedieni.

Pārdošanā mēs dodam priekšroku “pliku metāla” izmantošanai un izvairāmies no nevajadzīgiem slāņiem, piemēram OpenStack: mums nav vajadzīgi “trokšņaini kaimiņi” un centrālais procesors zagt laiku. Un iekšējās OpenStack gadījumā administrēšanas sarežģītība ir aptuveni divas reizes lielāka.

CI/CD “Cubic” un citiem infrastruktūras komponentiem izmantojam atsevišķu GIT serveri Helm 3 (tā bija diezgan sāpīga pāreja no Helm 2, bet esam ļoti apmierināti ar iespējām atomu), Dženkinss, Ansible un Docker. Mums patīk funkciju filiāles un izvietošana dažādās vidēs no vienas krātuves.

Secinājums

Kopumā DevOps process izskatās DomClick no operāciju inženiera viedokļa. Raksts izrādījās mazāk tehnisks, nekā es gaidīju: tāpēc sekojiet DomClick ziņām Habré: būs vairāk "hardcore" rakstu par Kubernetes un daudz ko citu.

Avots: www.habr.com