Mūsu pieredze CSI draivera izstrādē Kubernetes for Yandex.Cloud

Ar prieku paziņojam, ka Flant paplašina savu ieguldījumu Kubernetes atvērtā pirmkoda rīkos, izlaižot CSI draivera alfa versija (konteinera krātuves interfeiss) Yandex.Cloud.

Bet pirms pāriet pie ieviešanas detaļām, atbildēsim uz jautājumu, kāpēc tas vispār ir vajadzīgs, ja Yandex jau ir pakalpojums Pārvaldīts pakalpojums Kubernetes.

Ievads

Kāpēc ir šis?

Mūsu uzņēmumā jau no paša Kubernetes izmantošanas sākuma ražošanā (t.i., jau vairākus gadus) esam izstrādājuši paši savu rīku (deckhouse), kuru, starp citu, drīzumā plānojam arī padarīt pieejamu kā atvērtā koda projektu. . Ar tās palīdzību mēs vienoti konfigurējam un konfigurējam visus savus klasterus, un šobrīd to jau ir vairāk nekā 100 dažādās aparatūras konfigurācijās un visos pieejamajos mākoņpakalpojumos.

Klasteriem, kas izmanto deckhouse, ir visas darbībai nepieciešamās sastāvdaļas: balansētāji, uzraudzība ar ērtām diagrammām, metrika un brīdinājumi, lietotāju autentifikācija, izmantojot ārējos pakalpojumu sniedzējus, lai piekļūtu visiem informācijas paneļiem utt. Nav jēgas instalēt šādu “uzsūknētu” klasteru pārvaldītā risinājumā, jo tas bieži vien ir neiespējami vai radīs nepieciešamību atspējot pusi komponentu.

NB: Tā ir mūsu pieredze, un tā ir diezgan specifiska. Mēs nekādā gadījumā neiesakām, ka ikvienam vajadzētu izvietot Kubernetes klasterus atsevišķi, nevis izmantot gatavus risinājumus. Starp citu, mums nav reālas pieredzes Kubernetes darbībā no Yandex, un šajā rakstā mēs nesniegsim šī pakalpojuma novērtējumu.

Kas tas ir un kam?

Tātad, mēs jau esam runājuši par mūsdienu pieeju Kubernetes uzglabāšanai: kā darbojas CSI? и kā radās sabiedrība šai pieejai.

Pašlaik daudzi lieli mākoņpakalpojumu sniedzēji ir izstrādājuši draiverus, lai izmantotu savus mākoņdiskus kā pastāvīgu sējumu pakalpojumā Kubernetes. Ja piegādātājam nav šāda draivera, bet visas nepieciešamās funkcijas tiek nodrošinātas caur API, tad nekas neliedz jums pašiem ieviest draiveri. Tas notika ar Yandex.Cloud.

Mēs ņēmām par pamatu attīstībai CSI draiveris DigitalOcean mākonim un pāris idejas no draiveri GCP, jo mijiedarbībai ar šo mākoņu API (Google un Yandex) ir vairākas līdzības. Jo īpaši API un GCPun plkst Yandex atgriezt objektu Operation lai izsekotu ilgstošu darbību statusam (piemēram, jauna diska izveidei). Lai mijiedarbotos ar Yandex.Cloud API, izmantojiet Yandex.Cloud Go SDK.

Paveiktā darba rezultāts publicēts vietnē GitHub un var būt noderīgi tiem, kuri kaut kādu iemeslu dēļ izmanto savu Kubernetes instalāciju Yandex.Cloud virtuālajās mašīnās (bet ne gatavu pārvaldītu klasteru) un vēlas izmantot (pasūtīt) diskus, izmantojot CSI.

Ieviešana

Galvenās iezīmes

Pašlaik draiveris atbalsta šādas funkcijas:

• Disku sakārtošana visās klastera zonās atbilstoši klastera mezglu topoloģijai;
• Iepriekš pasūtīto disku noņemšana;
• Bezsaistes izmēru maiņa diskiem (Yandex.Cloud neatbalsta palielinot disku skaitu, kas ir pievienoti virtuālajai mašīnai). Informāciju par to, kā draiveris bija jāmaina, lai izmēru maiņa būtu pēc iespējas nesāpīgāka, skatiet tālāk.

Nākotnē plānojam ieviest atbalstu diska momentuzņēmumu izveidei un dzēšanai.

Galvenās grūtības un kā tās pārvarēt

Disku palielināšanas iespējas reāllaikā trūkums Yandex.Cloud API ir ierobežojums, kas sarežģī PV (Persistent Volume) lieluma maiņas darbību: šajā gadījumā ir jāaptur lietojumprogrammu komplekts, kas izmanto disku, un tas var izraisīt dīkstāves lietojumprogrammas.

Saskaņā ar CSI specifikācijas, ja CSI kontrolleris ziņo, ka var mainīt disku izmērus tikai “bezsaistē” (VolumeExpansion.OFFLINE), tad diska palielināšanas procesam vajadzētu notikt šādi:

Ja spraudnim ir tikai VolumeExpansion.OFFLINE paplašināšanas iespējas un apjoms pašlaik ir publicēts vai pieejams mezglā ControllerExpandVolume Jāizsauc TIKAI pēc:

• Spraudnim ir kontrolieris PUBLISH_UNPUBLISH_VOLUME spējas un ControllerUnpublishVolume ir veiksmīgi izsaukts.

VAI ARĪ

• Spraudnim NAV kontrollera PUBLISH_UNPUBLISH_VOLUME iespēju, spraudnim ir mezgls STAGE_UNSTAGE_VOLUME spējas un NodeUnstageVolume ir veiksmīgi pabeigts.

VAI ARĪ

• Spraudnim NAV kontrollera PUBLISH_UNPUBLISH_VOLUME spēja, ne mezgls STAGE_UNSTAGE_VOLUME spējas un NodeUnpublishVolume ir veiksmīgi pabeigts.

Tas būtībā nozīmē, ka pirms tā paplašināšanas disks ir jāatvieno no virtuālās mašīnas.

Tomēr diemžēl īstenošanu CSI specifikācija, izmantojot blakusvāģus, neatbilst šīm prasībām:

• Blakusvāģa konteinerā csi-attacher, kam vajadzētu būt atbildīgam par vajadzīgās atstarpes esamību starp stiprinājumiem, šī funkcionalitāte vienkārši nav ieviesta bezsaistes izmēru maiņā. Par to tika uzsākta diskusija šeit.
• Kas īsti ir blakusvāģa konteiners šajā kontekstā? Pats CSI spraudnis nesadarbojas ar Kubernetes API, bet atbild tikai uz gRPC izsaukumiem, ko tam nosūta blakusvāģa konteineri. Jaunākais tiek izstrādāti Kubernetes kopiena.

Mūsu gadījumā (CSI spraudnis) diska palielināšanas darbība izskatās šādi:

1. Mēs saņemam gRPC zvanu ControllerExpandVolume;
2. Mēs cenšamies palielināt disku API, bet mēs saņemam kļūdu par neiespējamību veikt operāciju, jo disks ir uzstādīts;
3. Diska identifikatoru saglabājam kartē, kurā ir diski, kuriem jāveic palielināšanas operācija. Tālāk īsuma labad mēs šo karti sauksim kā volumeResizeRequired;
4. Manuāli noņemiet disku, kurā tiek izmantots disks. Kubernetes to restartēs. Lai diskam nebūtu laika uzstādīt (ControllerPublishVolume) pirms palielināšanas darbības pabeigšanas, mēģinot montēt, mēs pārbaudām, vai dotais disks joprojām ir iekšā volumeResizeRequired un atgriezt kļūdu;
5. CSI draiveris mēģina atkārtoti izpildīt izmēru maiņas darbību. Ja darbība bija veiksmīga, izņemiet disku no volumeResizeRequired;
6. Jo Trūkst diska ID no volumeResizeRequired, ControllerPublishVolume veiksmīgi iziet, disks ir uzstādīts, pods sākas.

Viss izskatās pietiekami vienkārši, taču, kā vienmēr, ir nepilnības. Palielina diskus ārējais izmēra mainītājs, kas operācijas laikā radušās kļūdas gadījumā izmanto rindu ar eksponenciālu taimauta laika pieaugumu līdz 1000 sekundēm:

func DefaultControllerRateLimiter() RateLimiter {
  return NewMaxOfRateLimiter(
  NewItemExponentialFailureRateLimiter(5*time.Millisecond, 1000*time.Second),
  // 10 qps, 100 bucket size.  This is only for retry speed and its only the overall factor (not per item)
  &BucketRateLimiter{Limiter: rate.NewLimiter(rate.Limit(10), 100)},
  )
}

Tā rezultātā periodiski diska paplašināšanas darbība var tikt pagarināta par 15 + minūtēm, un līdz ar to atbilstošais pods nav pieejams.

Vienīgā iespēja, kas diezgan viegli un nesāpīgi ļāva samazināt iespējamo dīkstāvi, bija mūsu ārējā izmēra mainītāja versijas izmantošana ar maksimālo taimauta ierobežojumu. 5 sekundēs:

workqueue.NewItemExponentialFailureRateLimiter(5*time.Millisecond, 5*time.Second)

Mēs neuzskatījām par vajadzīgu steidzami uzsākt diskusiju un lāpīt ārējo izmēru mainītāju, jo disku izmēru maiņa bezsaistē ir atgriešanās, kas drīz pazudīs no visiem mākoņa pakalpojumu sniedzējiem.

Kā sākt lietot?

Draiveris tiek atbalstīts Kubernetes versijā 1.15 un jaunākā versijā. Lai vadītājs varētu strādāt, ir jāievēro šādas prasības:

• Atzīmēt --allow-privileged iestatīt uz vērtību true API serverim un kubelet;
• Iekļauts --feature-gates=VolumeSnapshotDataSource=true,KubeletPluginsWatcher=true,CSINodeInfo=true,CSIDriverRegistry=true API serverim un kubelet;
• Mount pavairošana (mount pavairošana) ir jāiespējo klasterī. Lietojot Docker, dēmonam jābūt konfigurētam, lai atļautu koplietotus stiprinājumus.

Visas nepieciešamās darbības pašai instalēšanai aprakstīts README. Instalēšana ietver objektu izveidi Kubernetes no manifestiem.

Lai vadītājs varētu strādāt, jums būs nepieciešams:

• Norādiet direktorija identifikatoru manifestā (folder-id) Yandex.Cloud (skatiet dokumentāciju);
• Lai mijiedarbotos ar Yandex.Cloud API, CSI draiveris izmanto pakalpojuma kontu. Manifestā jānodod Secret autorizētās atslēgas no pakalpojuma konta. Dokumentācijā aprakstīts, kā izveidot pakalpojuma kontu un iegūt atslēgas.

Visā visumā - izmēģiniet to, un mēs priecāsimies saņemt atsauksmes un jauni jautājumija rodas kādas problēmas!

Turpmākais atbalsts

Rezultātā vēlamies atzīmēt, ka šo CSI draiveri ieviesām nevis aiz lielas vēlmes izklaidēties rakstīt lietojumprogrammas Go, bet gan tādēļ, ka uzņēmuma iekšienē bija steidzama nepieciešamība. Mums nešķiet praktiski saglabāt savu ieviešanu, tāpēc, ja Yandex izrādīs interesi un nolems turpināt atbalstīt draiveri, mēs ar prieku nodosim krātuvi viņiem.

Turklāt Yandex, iespējams, savā pārvaldītajā Kubernetes klasterī ir ieviesis CSI draiveri, ko var izlaist atvērtā pirmkoda režīmā. Mēs arī uzskatām, ka šī attīstības iespēja ir labvēlīga - sabiedrība varēs izmantot pārbaudītu draiveri no pakalpojumu sniedzēja, nevis no trešās puses uzņēmuma.

PS

Lasi arī mūsu emuārā:

• «Sējuma spraudņi Kubernetes krātuvei: no Flexvolume līdz CSI";
• «Mēs saprotam konteineru krātuves saskarni (Kubernetes un ne tikai)";
• «Vai ir viegli un ērti sagatavot Kubernetes klasteru? Tiek paziņots par papildinājuma operatoru";
• «Kubernetes paplašināšana un papildināšana (pārskats un video reportāža)'.

Avots: www.habr.com