Sveiki! Nesen ir izlaisti daudzi lieliski automatizācijas rīki gan Docker attēlu veidošanai, gan izvietošanai Kubernetes. Šajā sakarā es nolēmu paspēlēties ar GitLab, rūpīgi izpētīt tā iespējas un, protams, izveidot cauruļvadu.

Šo darbu iedvesmoja vietne kubernetes.io, kas tiek ģenerēts no pirmkodi automātiski, un katram nosūtītajam pūla pieprasījumam robots automātiski ģenerē vietnes priekšskatījuma versiju ar jūsu izmaiņām un nodrošina saiti apskatei.

Es mēģināju izveidot līdzīgu procesu no nulles, bet pilnībā balstīts uz Gitlab CI un bezmaksas rīkiem, kurus esmu pieradis izmantot, lai izvietotu lietojumprogrammas Kubernetes. Šodien es beidzot pastāstīšu vairāk par viņiem.

Rakstā tiks apspriesti tādi rīki kā:
Hugo, qbec, kaniko, git-crypt и GitLab CI ar dinamiskas vides izveidi.

Saturs

1. Iepazīstieties ar Hugo
2. Docker faila sagatavošana
3. Iepazīšanās ar kaniko
4. Iepazīšanās ar qbec
5. Mēģina Gitlab-runner ar Kubernetes-izpildītāju
6. Helm diagrammu izvietošana ar qbec
7. Iepazīstinām ar git-crypt
8. Rīkkopas attēla izveide
9. Mūsu pirmais cauruļvads un attēlu komplektēšana pēc tagiem
10. Izvietošanas automatizācija
11. Artefakti un montāža, spiežot uz meistaru
12. Dinamiskas vides
13. Pārskatiet lietotnes

1. Iepazīšanās ar Hugo

Kā mūsu projekta piemēru mēs mēģināsim izveidot dokumentācijas publicēšanas vietni, kas veidota uz Hugo. Hugo ir statiska satura ģenerators.

Tiem, kas nav pazīstami ar statiskajiem ģeneratoriem, es jums pastāstīšu nedaudz vairāk par tiem. Atšķirībā no parastajiem vietņu dzinējiem ar datu bāzi un dažiem PHP, kas pēc lietotāja pieprasījuma ģenerē lapas lidojumā, statiskie ģeneratori ir veidoti nedaudz savādāk. Tie ļauj iegūt avotus, parasti failu kopu Markdown iezīmēšanas un motīvu veidnēs, un pēc tam apkopot tos pilnībā pabeigtā vietnē.

Tas ir, kā rezultātā jūs saņemsiet direktoriju struktūru un ģenerētu HTML failu kopu, ko varēsit vienkārši augšupielādēt jebkurā lētajā mitināšanā un iegūt funkcionējošu vietni.

Varat instalēt Hugo lokāli un izmēģināt:

Jaunas vietnes inicializācija:

hugo new site docs.example.org

Un tajā pašā laikā git repozitorijs:

cd docs.example.org
git init

Līdz šim mūsu vietne ir senatnīga, un, lai tajā kaut kas parādītos, mums vispirms ir jāsavieno motīvs; motīvs ir tikai veidņu un noteiktu noteikumu kopums, pēc kuriem tiek ģenerēta mūsu vietne.

Tēmai mēs izmantosim Mācīties, kas, manuprāt, ir lieliski piemērots dokumentācijas vietnei.

Es vēlos pievērst īpašu uzmanību tam, ka mums nav jāsaglabā motīvu faili mūsu projektu repozitorijā; tā vietā mēs varam to vienkārši savienot, izmantojot git apakšmodulis:

git submodule add https://github.com/matcornic/hugo-theme-learn themes/learn

Tādējādi mūsu repozitorijā būs tikai faili, kas ir tieši saistīti ar mūsu projektu, un pievienotā tēma paliks kā saite uz konkrētu repozitoriju un commit tajā, tas ir, to vienmēr var izvilkt no sākotnējā avota un nebaidīties no tā. nesavienojamas izmaiņas.

Izlabosim konfigurāciju config.toml:

baseURL = "http://docs.example.org/"
languageCode = "en-us"
title = "My Docs Site"
theme = "learn"

Jau šajā posmā jūs varat skriet:

hugo server

Un adresē http://localhost:1313/ pārbaudiet mūsu jaunizveidoto vietni, visas direktorijā veiktās izmaiņas automātiski atjaunina atvērto lapu pārlūkprogrammā, ļoti ērti!

Mēģināsim izveidot titullapu content/_index.md:

# My docs site

## Welcome to the docs!

You will be very smart :-)

Jaunizveidotās lapas ekrānuzņēmums

Lai izveidotu vietni, vienkārši palaidiet:

hugo

Direktorija saturs publisks/ un tā būs jūsu vietne.
Jā, starp citu, tūlīt pievienosim to .gitignore:

echo /public > .gitignore

Neaizmirstiet veikt mūsu izmaiņas:

git add .
git commit -m "New site created"

2. Docker faila sagatavošana

Ir pienācis laiks definēt mūsu repozitorija struktūru. Es parasti izmantoju kaut ko līdzīgu:

.
├── deploy
│   ├── app1
│   └── app2
└── dockerfiles
    ├── image1
    └── image2

• dockerfiles/ — satur direktorijus ar Dockerfiles un visu nepieciešamo, lai izveidotu mūsu Docker attēlus.
• izvietot/ — satur direktorijus mūsu lietojumprogrammu izvietošanai Kubernetes

Tādējādi mēs izveidosim savu pirmo Dockerfile šajā ceļā dockerfiles/website/Dockerfile

FROM alpine:3.11 as builder
ARG HUGO_VERSION=0.62.0
RUN wget -O- https://github.com/gohugoio/hugo/releases/download/v${HUGO_VERSION}/hugo_${HUGO_VERSION}_linux-64bit.tar.gz | tar -xz -C /usr/local/bin
ADD . /src
RUN hugo -s /src

FROM alpine:3.11
RUN apk add --no-cache darkhttpd
COPY --from=builder /src/public /var/www
ENTRYPOINT [ "/usr/bin/darkhttpd" ]
CMD [ "/var/www" ]

Kā redzat, Dockerfile satur divus NO, šo funkciju sauc daudzpakāpju uzbūve un ļauj no galīgā Docker attēla izslēgt visu nevajadzīgo.
Tādējādi galīgajā attēlā būs tikai tumšshttpd (viegls HTTP serveris) un publisks/ — mūsu statiski ģenerētās vietnes saturs.

Neaizmirstiet veikt mūsu izmaiņas:

git add dockerfiles/website
git commit -m "Add Dockerfile for website"

3. Kaniko iepazīšana

Kā doka attēlu veidotājs es nolēmu izmantot kaniko, jo tā darbībai nav nepieciešams docker dēmons, un pašu veidošanu var veikt jebkurā datorā, un kešatmiņu var glabāt tieši reģistrā, tādējādi novēršot nepieciešamību pēc pilnvērtīgas pastāvīgas krātuves.

Lai izveidotu attēlu, vienkārši palaidiet konteineru ar kaniko izpildītājs un nododiet tam pašreizējo būvēšanas kontekstu; to var izdarīt arī lokāli, izmantojot docker:

docker run -ti --rm 
  -v $PWD:/workspace 
  -v ~/.docker/config.json:/kaniko/.docker/config.json:ro 
  gcr.io/kaniko-project/executor:v0.15.0 
  --cache 
  --dockerfile=dockerfiles/website/Dockerfile 
  --destination=registry.gitlab.com/kvaps/docs.example.org/website:v0.0.1

Kur registry.gitlab.com/kvaps/docs.example.org/website — jūsu doka attēla nosaukums; pēc izveides tas tiks automātiski palaists dokstacijas reģistrā.

Parametrs -- kešatmiņa ļauj kešatmiņā saglabāt slāņus docker reģistrā; dotajā piemērā tie tiks saglabāti registry.gitlab.com/kvaps/docs.example.org/website/cache, bet varat norādīt citu ceļu, izmantojot parametru --kešatmiņas repo.

Docker-reģistra ekrānuzņēmums

4. Iepazīšanās ar qbec

Qbec ir izvietošanas rīks, kas ļauj deklaratīvi aprakstīt lietojumprogrammas manifestus un izvietot tos Kubernetes. Jsonnet kā galvenās sintakses izmantošana ļauj ievērojami vienkāršot atšķirību aprakstu dažādās vidēs, kā arī gandrīz pilnībā novērš koda atkārtošanos.

Īpaši tas var attiekties uz gadījumiem, kad lietojumprogramma ir jāizvieto vairākos klasteros ar dažādiem parametriem un vēlaties tos deklaratīvi aprakstīt Git.

Qbec ļauj arī renderēt Helm diagrammas, nododot tām nepieciešamos parametrus un pēc tam darbināt tās tāpat kā parastos manifestus, tostarp var tām pielietot dažādas mutācijas, un tas savukārt ļauj atbrīvoties no nepieciešamības izmantojiet ChartMuseum. Tas ir, jūs varat saglabāt un renderēt diagrammas tieši no git, kur tās pieder.

Kā jau teicu iepriekš, mēs saglabāsim visas izvietošanas direktorijā izvietot/:

mkdir deploy
cd deploy

Inicializēsim savu pirmo lietojumprogrammu:

qbec init website
cd website

Tagad mūsu lietojumprogrammas struktūra izskatās šādi:

.
├── components
├── environments
│   ├── base.libsonnet
│   └── default.libsonnet
├── params.libsonnet
└── qbec.yaml

paskatīsimies uz failu qbec.yaml:

apiVersion: qbec.io/v1alpha1
kind: App
metadata:
  name: website
spec:
  environments:
    default:
      defaultNamespace: docs
      server: https://kubernetes.example.org:8443
  vars: {}

Šeit mūs galvenokārt interesē spec.vide, qbec mums jau ir izveidojis noklusējuma vidi un paņēmis servera adresi, kā arī nosaukumvietu no mūsu pašreizējās kubeconfig.
Tagad, izvietojot uz noklusējuma vidē, qbec vienmēr izvietos tikai norādītajā Kubernetes klasterī un norādītajā nosaukumvietā, tas ir, jums vairs nav jāpārslēdzas starp kontekstiem un nosaukumvietām, lai veiktu izvietošanu.
Ja nepieciešams, jūs vienmēr varat atjaunināt iestatījumus šajā failā.

Visas jūsu vides ir aprakstītas qbec.yaml, un failā params.libsonnet, kur ir rakstīts, kur tiem iegūt parametrus.

Tālāk mēs redzam divus direktorijus:

• sastāvdaļas/ — šeit tiks saglabāti visi mūsu lietojumprogrammas manifesti; tos var aprakstīt gan jsonnet, gan parastajos yaml failos
• vide/ — šeit mēs aprakstīsim visus mūsu vides mainīgos (parametrus).

Pēc noklusējuma mums ir divi faili:

• Environments/base.libsonnet - tajā būs kopēji parametri visām vidēm
• Environments/default.libsonnet — satur parametrus, kas ir ignorēti videi noklusējuma

atvērsim Environments/base.libsonnet un tur pievienojiet parametrus mūsu pirmajam komponentam:

{
  components: {
    website: {
      name: 'example-docs',
      image: 'registry.gitlab.com/kvaps/docs.example.org/website:v0.0.1',
      replicas: 1,
      containerPort: 80,
      servicePort: 80,
      nodeSelector: {},
      tolerations: [],
      ingressClass: 'nginx',
      domain: 'docs.example.org',
    },
  },
}

Izveidosim arī savu pirmo komponentu komponenti/website.jsonnet:

local env = {
  name: std.extVar('qbec.io/env'),
  namespace: std.extVar('qbec.io/defaultNs'),
};
local p = import '../params.libsonnet';
local params = p.components.website;

[
  {
    apiVersion: 'apps/v1',
    kind: 'Deployment',
    metadata: {
      labels: { app: params.name },
      name: params.name,
    },
    spec: {
      replicas: params.replicas,
      selector: {
        matchLabels: {
          app: params.name,
        },
      },
      template: {
        metadata: {
          labels: { app: params.name },
        },
        spec: {
          containers: [
            {
              name: 'darkhttpd',
              image: params.image,
              ports: [
                {
                  containerPort: params.containerPort,
                },
              ],
            },
          ],
          nodeSelector: params.nodeSelector,
          tolerations: params.tolerations,
          imagePullSecrets: [{ name: 'regsecret' }],
        },
      },
    },
  },
  {
    apiVersion: 'v1',
    kind: 'Service',
    metadata: {
      labels: { app: params.name },
      name: params.name,
    },
    spec: {
      selector: {
        app: params.name,
      },
      ports: [
        {
          port: params.servicePort,
          targetPort: params.containerPort,
        },
      ],
    },
  },
  {
    apiVersion: 'extensions/v1beta1',
    kind: 'Ingress',
    metadata: {
      annotations: {
        'kubernetes.io/ingress.class': params.ingressClass,
      },
      labels: { app: params.name },
      name: params.name,
    },
    spec: {
      rules: [
        {
          host: params.domain,
          http: {
            paths: [
              {
                backend: {
                  serviceName: params.name,
                  servicePort: params.servicePort,
                },
              },
            ],
          },
        },
      ],
    },
  },
]

Šajā failā mēs aprakstījām trīs Kubernetes entītijas vienlaikus, tās ir: Izvietošanas, Serviss и Iekļūšana. Ja mēs vēlētos, mēs tos varētu salikt dažādos komponentos, bet šajā posmā mums pietiks ar vienu.

sintakse jsonnet ir ļoti līdzīgs parastajam json, principā parastais json jau ir derīgs jsonnet, tāpēc sākumā jums var būt vieglāk izmantot tiešsaistes pakalpojumus, piemēram, yaml2json lai pārvērstu savu parasto yaml par json, vai, ja jūsu komponenti nesatur nevienu mainīgo, tad tos var aprakstīt parastā yaml formātā.

Strādājot ar jsonnet Es ļoti iesaku instalēt spraudni jūsu redaktoram

Piemēram, vim ir spraudnis vim-jsonnet, kas ieslēdz sintakses izcelšanu un tiek automātiski izpildīts jsonnet fmt katru reizi, kad saglabājat (nepieciešams instalēt jsonnet).

Viss ir gatavs, tagad mēs varam sākt izvietot:

Lai redzētu, ko esam ieguvuši, izpildīsim:

qbec show default

Izvadē jūs redzēsit renderētus yaml manifestus, kas tiks lietoti noklusējuma klasterim.

Lieliski, tagad piesakieties:

qbec apply default

Izvadā jūs vienmēr redzēsit, kas tiks darīts jūsu klasterī, qbec lūgs jums piekrist izmaiņām, ierakstot y varēsi apstiprināt savus nodomus.

Mūsu lietojumprogramma ir gatava un izvietota!

Ja veicat izmaiņas, vienmēr varat rīkoties šādi:

qbec diff default

lai redzētu, kā šīs izmaiņas ietekmēs pašreizējo izvietošanu

Neaizmirstiet veikt mūsu izmaiņas:

cd ../..
git add deploy/website
git commit -m "Add deploy for website"

5. Izmēģinot Gitlab-runner ar Kubernetes-izpildītāju

Vēl nesen izmantoju tikai parasto gitlab-runner uz iepriekš sagatavotas iekārtas (LXC konteiners) ar čaulu vai dokeru-izpildītāju. Sākotnēji mūsu Gitlab laboratorijā bija vairāki šādi skrējēji visā pasaulē. Viņi savāca docker attēlus visiem projektiem.

Bet, kā liecina prakse, šī iespēja nav pati ideālākā gan praktiskuma, gan drošības ziņā. Daudz labāk un ideoloģiski pareizāk ir katram projektam vai pat katrai videi izvietot atsevišķus skrējējus.

Par laimi, tā nemaz nav problēma, jo tagad mēs izvietosim gitlab-runner tieši kā daļa no mūsu projekta tieši Kubernetes.

Gitlab nodrošina gatavu stūres diagrammu Gitlab-runner izvietošanai Kubernetes. Tāpēc viss, kas jums jādara, ir noskaidrot reģistrācijas marķieris mūsu projektam Iestatījumi -> CI / CD -> Skrējēji un nodod to stūrei:

helm repo add gitlab https://charts.gitlab.io

helm install gitlab-runner 
  --set gitlabUrl=https://gitlab.com 
  --set runnerRegistrationToken=yga8y-jdCusVDn_t4Wxc 
  --set rbac.create=true 
  gitlab/gitlab-runner

Kur:

• https://gitlab.com — jūsu Gitlab servera adrese.
• yga8y-jdCusVDn_t4Wxc — reģistrācijas marķieris jūsu projektam.
• rbac.create=true — nodrošina skrējējam nepieciešamo privilēģiju daudzumu, lai, izmantojot kubernetes-executor, varētu izveidot podi mūsu uzdevumu veikšanai.

Ja viss ir izdarīts pareizi, sadaļā vajadzētu redzēt reģistrētu skrējēju Runners, jūsu projekta iestatījumos.

Pievienotā skrējēja ekrānuzņēmums

Vai tas ir tik vienkārši? - Jā, tas ir tik vienkārši! Vairs nav jārēķinās ar skrējēju manuālu reģistrāciju, turpmāk skrējēji tiks izveidoti un iznīcināti automātiski.

6. Izvietojiet Helm diagrammas ar QBEC

Tā kā mēs nolēmām apsvērt gitlab-runner daļa no mūsu projekta, ir pienācis laiks to aprakstīt mūsu Git repozitorijā.

Mēs to varētu raksturot kā atsevišķu sastāvdaļu mājas lapa, bet nākotnē plānojam izvietot dažādas kopijas mājas lapa ļoti bieži, atšķirībā no gitlab-runner, kas tiks izvietots tikai vienu reizi vienā Kubernetes klasterī. Tātad inicializēsim atsevišķu lietojumprogrammu:

cd deploy
qbec init gitlab-runner
cd gitlab-runner

Šoreiz mēs neaprakstīsim Kubernetes entītijas manuāli, bet ņemsim gatavu Helm diagrammu. Viena no qbec priekšrocībām ir iespēja renderēt Helm diagrammas tieši no Git repozitorija.

Savienosim to, izmantojot git apakšmoduli:

git submodule add https://gitlab.com/gitlab-org/charts/gitlab-runner vendor/gitlab-runner

Tagad direktorijs pārdevējs/gitlab-runner Mums ir repozitorijs ar gitlab-runner diagrammu.

Līdzīgā veidā jūs varat savienot citus repozitorijus, piemēram, visu repozitoriju ar oficiālajām diagrammām https://github.com/helm/charts

Aprakstīsim komponentu komponenti/gitlab-runner.jsonnet:

local env = {
  name: std.extVar('qbec.io/env'),
  namespace: std.extVar('qbec.io/defaultNs'),
};
local p = import '../params.libsonnet';
local params = p.components.gitlabRunner;

std.native('expandHelmTemplate')(
  '../vendor/gitlab-runner',
  params.values,
  {
    nameTemplate: params.name,
    namespace: env.namespace,
    thisFile: std.thisFile,
    verbose: true,
  }
)

Pirmais arguments, lai expandHelmTemplate mēs izejam ceļu uz diagrammu, tad parametri.vērtības, ko ņemam no vides parametriem, tad nāk objekts ar

• nosaukums Veidne — laidiena nosaukums
• namespace — nosaukumu telpa pārcelta uz stūri
• šo failu — obligātais parametrs, kas nodod ceļu uz pašreizējo failu
• runīgs - parāda komandu stūres veidne ar visiem argumentiem diagrammas renderēšanas laikā

Tagad aprakstīsim mūsu komponenta parametrus Environments/base.libsonnet:

local secrets = import '../secrets/base.libsonnet';

{
  components: {
    gitlabRunner: {
      name: 'gitlab-runner',
      values: {
        gitlabUrl: 'https://gitlab.com/',
        rbac: {
          create: true,
        },
        runnerRegistrationToken: secrets.runnerRegistrationToken,
      },
    },
  },
}

Обратите внимание runnerRegistrationToken mēs ņemam no ārēja faila Secrets/base.libsonnet, izveidosim to:

{
  runnerRegistrationToken: 'yga8y-jdCusVDn_t4Wxc',
}

Pārbaudīsim, vai viss darbojas:

qbec show default

ja viss ir kārtībā, mēs varam dzēst mūsu iepriekš izvietoto laidienu, izmantojot Helm:

helm uninstall gitlab-runner

un izvietojiet to tādā pašā veidā, bet caur qbec:

qbec apply default

7. Ievads git-crypt

Git-crypt ir rīks, kas ļauj iestatīt caurspīdīgu šifrēšanu jūsu repozitorijai.

Šobrīd mūsu gitlab-runner direktoriju struktūra izskatās šādi:

.
├── components
│   ├── gitlab-runner.jsonnet
├── environments
│   ├── base.libsonnet
│   └── default.libsonnet
├── params.libsonnet
├── qbec.yaml
├── secrets
│   └── base.libsonnet
└── vendor
    └── gitlab-runner (submodule)

Bet noslēpumu glabāšana pakalpojumā Git nav droša, vai ne? Tāpēc mums tie ir pareizi jāšifrē.

Parasti viena mainīgā lieluma dēļ tam ne vienmēr ir jēga. Jūs varat pārsūtīt noslēpumus uz qbec un izmantojot jūsu CI sistēmas vides mainīgos.
Bet ir vērts atzīmēt, ka ir arī sarežģītāki projekti, kuros var būt daudz vairāk noslēpumu; to visu pārsūtīšana, izmantojot vides mainīgos, būs ārkārtīgi sarežģīta.

Turklāt šajā gadījumā es nevarētu jums pastāstīt par tik brīnišķīgu rīku kā git-crypt.

git-crypt Tas ir ērts arī ar to, ka ļauj saglabāt visu noslēpumu vēsturi, kā arī salīdzināt, apvienot un atrisināt konfliktus tādā pašā veidā, kā mēs esam pieraduši darīt Git gadījumā.

Pirmā lieta pēc uzstādīšanas git-crypt mums ir jāģenerē mūsu repozitorija atslēgas:

git crypt init

Ja jums ir PGP atslēga, varat nekavējoties pievienot sevi kā līdzstrādnieku šim projektam:

git-crypt add-gpg-user [email protected]

Tādā veidā jūs vienmēr varat atšifrēt šo repozitoriju, izmantojot savu privāto atslēgu.

Ja jums nav PGP atslēgas un jūs to negaidāt, varat doties citā veidā un eksportēt projekta atslēgu:

git crypt export-key /path/to/keyfile

Tādējādi ikviens, kam ir eksportēts atslēgas fails varēs atšifrēt jūsu repozitoriju.

Ir pienācis laiks izveidot mūsu pirmo noslēpumu.
Atgādināšu, ka mēs joprojām atrodamies direktorijā deploy/gitlab-runner/, kur mums ir direktorijs noslēpumi/, šifrēsim visus tajā esošos failus, šim nolūkam izveidosim failu noslēpumi/.gitattributes ar šādu saturu:

* filter=git-crypt diff=git-crypt
.gitattributes !filter !diff

Kā redzams no satura, visi faili ir maskēti * tiks braukts cauri git-crypt, izņemot lielāko daļu .gitattributes

Mēs to varam pārbaudīt, izpildot:

git crypt status -e

Izvade būs visu repozitorijā esošo failu saraksts, kuriem ir iespējota šifrēšana

Tas arī viss. Tagad mēs varam droši veikt izmaiņas:

cd ../..
git add .
git commit -m "Add deploy for gitlab-runner"

Lai bloķētu repozitoriju, vienkārši palaidiet:

git crypt lock

un uzreiz visi šifrētie faili pārvērtīsies par kaut ko bināru, tos izlasīt nebūs iespējams.
Lai atšifrētu repozitoriju, palaidiet:

git crypt unlock

8. Izveidojiet rīku kastes attēlu

Rīkkopas attēls ir attēls ar visiem rīkiem, ko izmantosim sava projekta izvietošanai. Gitlab skrējējs to izmantos, lai veiktu tipiskus izvietošanas uzdevumus.

Šeit viss ir vienkārši, izveidosim jaunu Dockerfiles/Toolbox/Dockerfile ar šādu saturu:

FROM alpine:3.11

RUN apk add --no-cache git git-crypt

RUN QBEC_VER=0.10.3 
 && wget -O- https://github.com/splunk/qbec/releases/download/v${QBEC_VER}/qbec-linux-amd64.tar.gz 
     | tar -C /tmp -xzf - 
 && mv /tmp/qbec /tmp/jsonnet-qbec /usr/local/bin/

RUN KUBECTL_VER=1.17.0 
 && wget -O /usr/local/bin/kubectl 
      https://storage.googleapis.com/kubernetes-release/release/v${KUBECTL_VER}/bin/linux/amd64/kubectl 
 && chmod +x /usr/local/bin/kubectl

RUN HELM_VER=3.0.2 
 && wget -O- https://get.helm.sh/helm-v${HELM_VER}-linux-amd64.tar.gz 
     | tar -C /tmp -zxf - 
 && mv /tmp/linux-amd64/helm /usr/local/bin/helm

Kā redzat, šajā attēlā mēs instalējam visas utilītas, kuras izmantojām savas lietojumprogrammas izvietošanai. Mums tas šeit nav vajadzīgs, ja vien kubectl, taču, iespējams, vēlēsities ar to paspēlēties cauruļvada iestatīšanas posmā.

Turklāt, lai varētu sazināties ar Kubernetes un tajā izvietot, mums ir jākonfigurē loma gitlab-runner ģenerētajiem podiem.

Lai to izdarītu, dodieties uz direktoriju ar gitlab-runner:

cd deploy/gitlab-runner

un pievienojiet jaunu komponentu komponenti/rbac.jsonnet:

local env = {
  name: std.extVar('qbec.io/env'),
  namespace: std.extVar('qbec.io/defaultNs'),
};
local p = import '../params.libsonnet';
local params = p.components.rbac;

[
  {
    apiVersion: 'v1',
    kind: 'ServiceAccount',
    metadata: {
      labels: {
        app: params.name,
      },
      name: params.name,
    },
  },
  {
    apiVersion: 'rbac.authorization.k8s.io/v1',
    kind: 'Role',
    metadata: {
      labels: {
        app: params.name,
      },
      name: params.name,
    },
    rules: [
      {
        apiGroups: [
          '*',
        ],
        resources: [
          '*',
        ],
        verbs: [
          '*',
        ],
      },
    ],
  },
  {
    apiVersion: 'rbac.authorization.k8s.io/v1',
    kind: 'RoleBinding',
    metadata: {
      labels: {
        app: params.name,
      },
      name: params.name,
    },
    roleRef: {
      apiGroup: 'rbac.authorization.k8s.io',
      kind: 'Role',
      name: params.name,
    },
    subjects: [
      {
        kind: 'ServiceAccount',
        name: params.name,
        namespace: env.namespace,
      },
    ],
  },
]

Mēs arī aprakstīsim jaunos parametrus Environments/base.libsonnet, kas tagad izskatās šādi:

local secrets = import '../secrets/base.libsonnet';

{
  components: {
    gitlabRunner: {
      name: 'gitlab-runner',
      values: {
        gitlabUrl: 'https://gitlab.com/',
        rbac: {
          create: true,
        },
        runnerRegistrationToken: secrets.runnerRegistrationToken,
        runners: {
          serviceAccountName: $.components.rbac.name,
          image: 'registry.gitlab.com/kvaps/docs.example.org/toolbox:v0.0.1',
        },
      },
    },
    rbac: {
      name: 'gitlab-runner-deploy',
    },
  },
}

Обратите внимание $.components.rbac.name attiecas uz nosaukums komponentam rbac

Pārbaudīsim, kas ir mainījies:

qbec diff default

un piemērot mūsu izmaiņas Kubernetes:

qbec apply default

Tāpat neaizmirstiet veikt mūsu izmaiņas git:

cd ../..
git add dockerfiles/toolbox
git commit -m "Add Dockerfile for toolbox"
git add deploy/gitlab-runner
git commit -m "Configure gitlab-runner to use toolbox"

9. Mūsu pirmais cauruļvads un attēlu salikšana pēc tagiem

Projekta saknē mēs izveidosim .gitlab-ci.yml ar šādu saturu:

.build_docker_image:
  stage: build
  image:
    name: gcr.io/kaniko-project/executor:debug-v0.15.0
    entrypoint: [""]
  before_script:
    - echo "{"auths":{"$CI_REGISTRY":{"username":"$CI_REGISTRY_USER","password":"$CI_REGISTRY_PASSWORD"}}}" > /kaniko/.docker/config.json

build_toolbox:
  extends: .build_docker_image
  script:
    - /kaniko/executor --cache --context $CI_PROJECT_DIR/dockerfiles/toolbox --dockerfile $CI_PROJECT_DIR/dockerfiles/toolbox/Dockerfile --destination $CI_REGISTRY_IMAGE/toolbox:$CI_COMMIT_TAG
  only:
    refs:
      - tags

build_website:
  extends: .build_docker_image
  variables:
    GIT_SUBMODULE_STRATEGY: normal
  script:
    - /kaniko/executor --cache --context $CI_PROJECT_DIR --dockerfile $CI_PROJECT_DIR/dockerfiles/website/Dockerfile --destination $CI_REGISTRY_IMAGE/website:$CI_COMMIT_TAG
  only:
    refs:
      - tags

Lūdzu, ņemiet vērā, ka mēs izmantojam GIT_SUBMODULE_STRATEGY: normāli tiem darbiem, kuros pirms izpildes ir skaidri jāinicializē apakšmoduļi.

Neaizmirstiet veikt mūsu izmaiņas:

git add .gitlab-ci.yml
git commit -m "Automate docker build"

Es domāju, ka mēs to varam droši saukt par versiju v0.0.1 un pievienojiet tagu:

git tag v0.0.1

Mēs pievienosim atzīmes ikreiz, kad būs jāizlaiž jauna versija. Atzīmes Docker attēlos tiks saistītas ar Git tagiem. Katrs nospiedums ar jaunu tagu inicializēs attēlu veidošanu ar šo tagu.

Darīsim to git push --tags, un apskatīsim mūsu pirmo konveijeru:

Pirmā cauruļvada ekrānuzņēmums

Ir vērts pievērst uzmanību faktam, ka montāža ar tagiem ir piemērota docker attēlu veidošanai, bet nav piemērota lietojumprogrammas izvietošanai Kubernetes. Tā kā vecajām saistībām var piešķirt jaunus tagus, šajā gadījumā to konveijera inicializēšana novedīs pie vecās versijas izvietošanas.

Lai atrisinātu šo problēmu, docker attēlu būvēšana parasti ir saistīta ar tagiem un lietojumprogrammas izvietošana filiālē. meistars, kurā apkopoto attēlu versijas ir kodētas. Šeit varat inicializēt atcelšanu ar vienkāršu atgriešanu meistars- filiāles.

10. Izvēršanas automatizācija

Lai Gitlab-runner atšifrētu mūsu noslēpumus, mums būs jāeksportē repozitorija atslēga un jāpievieno tā mūsu CI vides mainīgajiem:

git crypt export-key /tmp/docs-repo.key
base64 -w0 /tmp/docs-repo.key; echo

Mēs saglabāsim iegūto rindiņu Gitlab; lai to izdarītu, dodieties uz mūsu projekta iestatījumiem:
Iestatījumi -> CI / CD -> Mainīgie

Un izveidosim jaunu mainīgo:

tips
Taustiņš
Vērtība
Aizsargājamie
maskēts
Joma

File
GITCRYPT_KEY
<your string>
true (apmācības laikā var false)
true
All environments

Pievienotā mainīgā ekrānuzņēmums

Tagad atjaunināsim mūsu .gitlab-ci.yml pievienojot tam:

.deploy_qbec_app:
  stage: deploy
  only:
    refs:
      - master

deploy_gitlab_runner:
  extends: .deploy_qbec_app
  variables:
    GIT_SUBMODULE_STRATEGY: normal
  before_script:
    - base64 -d "$GITCRYPT_KEY" | git-crypt unlock -
  script:
    - qbec apply default --root deploy/gitlab-runner --force:k8s-context __incluster__ --wait --yes

deploy_website:
  extends: .deploy_qbec_app
  script:
    - qbec apply default --root deploy/website --force:k8s-context __incluster__ --wait --yes

Šeit mēs esam iespējojuši vairākas jaunas qbec opcijas:

• --root some/app — ļauj noteikt konkrētas lietojumprogrammas direktoriju
• --force:k8s-context __incluster__ - tas ir maģisks mainīgais, kas saka, ka izvietošana notiks tajā pašā klasterī, kurā darbojas gtilab-runner. Tas ir nepieciešams, jo pretējā gadījumā qbec mēģinās atrast piemērotu Kubernetes serveri jūsu kubeconfig
• --pagaidi — liek qbec gaidīt, līdz tā izveidotie resursi nonāk gatavības stāvoklī un tikai tad iziet ar veiksmīgu izejas kodu.
• -Jā - vienkārši atspējo interaktīvo apvalku Vai esat pārliecināts? kad tas ir izvietots.

Neaizmirstiet veikt mūsu izmaiņas:

git add .gitlab-ci.yml
git commit -m "Automate deploy"

Un pēc git push mēs redzēsim, kā mūsu lietojumprogrammas ir izvietotas:

Otrā cauruļvada ekrānuzņēmums

11. Artefakti un montāža, spiežot uz meistaru

Parasti ar iepriekš aprakstītajām darbībām pietiek, lai izveidotu un nodrošinātu gandrīz jebkuru mikropakalpojumu, taču mēs nevēlamies pievienot tagu katru reizi, kad mums ir jāatjaunina vietne. Tāpēc mēs izvēlēsimies dinamiskāku maršrutu un iestatīsim īssavilkuma izvietošanu galvenajā filiālē.

Ideja ir vienkārša: tagad mūsu tēls mājas lapa tiks pārbūvēta katru reizi, kad iespiedīsities meistarsun pēc tam automātiski izvietot Kubernetes.

Atjaunināsim šīs divas darba vietas mūsu .gitlab-ci.yml:

build_website:
  extends: .build_docker_image
  variables:
    GIT_SUBMODULE_STRATEGY: normal
  script:
    - mkdir -p $CI_PROJECT_DIR/artifacts
    - /kaniko/executor --cache --context $CI_PROJECT_DIR --dockerfile $CI_PROJECT_DIR/dockerfiles/website/Dockerfile --destination $CI_REGISTRY_IMAGE/website:$CI_COMMIT_REF_NAME --digest-file $CI_PROJECT_DIR/artifacts/website.digest
  artifacts:
    paths:
      - artifacts/
  only:
    refs:
      - master
      - tags

deploy_website:
  extends: .deploy_qbec_app
  script:
    - DIGEST="$(cat artifacts/website.digest)"
    - qbec apply default --root deploy/website --force:k8s-context __incluster__ --wait --yes --vm:ext-str digest="$DIGEST"

Lūdzu, ņemiet vērā, ka esam pievienojuši pavedienu meistars к refs darba vietām build_website un tagad lietojam $CI_COMMIT_REF_NAME nevis $CI_COMMIT_TAG, tas ir, mēs esam atsaistīti no tagiem pakalpojumā Git, un tagad mēs nosūtīsim attēlu ar tās izpildes filiāles nosaukumu, kas inicializēja konveijeru. Ir vērts atzīmēt, ka tas darbosies arī ar tagiem, kas ļaus mums saglabāt vietnes momentuzņēmumus ar noteiktu versiju docker-reģistrā.

Ja jaunās vietnes versijas docker taga nosaukums var būt nemainīgs, mums joprojām ir jāapraksta Kubernetes izmaiņas, pretējā gadījumā tā vienkārši nepārvietos lietojumprogrammu no jaunā attēla, jo tā nepamanīs nekādas izmaiņas izvietošanas manifests.

Opcija —vm:ext-str digest=”$DIGEST” qbec — ļauj nosūtīt ārēju mainīgo jsonnet. Mēs vēlamies, lai ar katru mūsu lietojumprogrammas laidienu tā tiktu atkārtoti izvietota klasterī. Mēs vairs nevaram izmantot taga nosaukumu, kas tagad var būt nemaināms, jo mums ir jābūt piesaistītam konkrētai attēla versijai un jāaktivizē izvietošana, kad tā mainās.

Šeit mums palīdzēs Kaniko spēja saglabāt īssavilkuma attēlu failā (opcija -- Digest-fails)
Pēc tam mēs pārsūtīsim šo failu un lasīsim to izvietošanas laikā.

Atjaunināsim parametrus mūsu deploy/website/environments/base.libsonnet kas tagad izskatīsies šādi:

{
  components: {
    website: {
      name: 'example-docs',
      image: 'registry.gitlab.com/kvaps/docs.example.org/website@' + std.extVar('digest'),
      replicas: 1,
      containerPort: 80,
      servicePort: 80,
      nodeSelector: {},
      tolerations: [],
      ingressClass: 'nginx',
      domain: 'docs.example.org',
    },
  },
}

Gatavs, tagad iesaistieties meistars inicializē docker attēla būvniecību mājas lapa, un pēc tam izvietojiet to Kubernetes.

Neaizmirstiet veikt mūsu izmaiņas:

git add .
git commit -m "Configure dynamic build"

Mēs pārbaudīsim vēlāk git push mums vajadzētu redzēt kaut ko līdzīgu:

Vadītāja konveijera ekrānuzņēmums

Principā mums nav jāpārizvieto gitlab-runner ar katru nospiešanu, ja vien, protams, nekas nav mainījies tā konfigurācijā, izlabosim to .gitlab-ci.yml:

deploy_gitlab_runner:
  extends: .deploy_qbec_app
  variables:
    GIT_SUBMODULE_STRATEGY: normal
  before_script:
    - base64 -d "$GITCRYPT_KEY" | git-crypt unlock -
  script:
    - qbec apply default --root deploy/gitlab-runner --force:k8s-context __incluster__ --wait --yes
  only:
    changes:
      - deploy/gitlab-runner/**/*

izmaiņas ļaus jums uzraudzīt izmaiņas deploy/gitlab-runner/ un aktivizēs mūsu darbu tikai tad, ja tādi būs

Neaizmirstiet veikt mūsu izmaiņas:

git add .gitlab-ci.yml
git commit -m "Reduce gitlab-runner deploy"

git push, tā ir labāk:

Atjauninātā konveijera ekrānuzņēmums

12. Dinamiskās vides

Ir pienācis laiks dažādot mūsu cauruļvadu ar dinamisku vidi.

Vispirms atjaunināsim darbu build_website mūsu .gitlab-ci.yml, noņemot bloku no tā tikai, kas piespiedīs Gitlab to aktivizēt jebkurā saistībā ar jebkuru filiāli:

build_website:
  extends: .build_docker_image
  variables:
    GIT_SUBMODULE_STRATEGY: normal
  script:
    - mkdir -p $CI_PROJECT_DIR/artifacts
    - /kaniko/executor --cache --context $CI_PROJECT_DIR --dockerfile $CI_PROJECT_DIR/dockerfiles/website/Dockerfile --destination $CI_REGISTRY_IMAGE/website:$CI_COMMIT_REF_NAME --digest-file $CI_PROJECT_DIR/artifacts/website.digest
  artifacts:
    paths:
      - artifacts/

Pēc tam atjauniniet darbu deploy_website, pievienojiet tur bloku vide:

deploy_website:
  extends: .deploy_qbec_app
  environment:
    name: prod
    url: https://docs.example.org
  script:
    - DIGEST="$(cat artifacts/website.digest)"
    - qbec apply default --root deploy/website --force:k8s-context __incluster__ --wait --yes --vm:ext-str digest="$DIGEST"

Tas ļaus Gitlab saistīt darbu ar prod vidē un parādīt pareizo saiti uz to.

Tagad pievienosim vēl divus darbus:

deploy_website:
  extends: .deploy_qbec_app
  environment:
    name: prod
    url: https://docs.example.org
  script:
    - DIGEST="$(cat artifacts/website.digest)"
    - qbec apply default --root deploy/website --force:k8s-context __incluster__ --wait --yes --vm:ext-str digest="$DIGEST"

deploy_review:
  extends: .deploy_qbec_app
  environment:
    name: review/$CI_COMMIT_REF_NAME
    url: http://$CI_ENVIRONMENT_SLUG.docs.example.org
    on_stop: stop_review
  script:
    - DIGEST="$(cat artifacts/website.digest)"
    - qbec apply review --root deploy/website --force:k8s-context __incluster__ --wait --yes --vm:ext-str digest="$DIGEST" --vm:ext-str subdomain="$CI_ENVIRONMENT_SLUG" --app-tag "$CI_ENVIRONMENT_SLUG"
  only:
    refs:
    - branches
  except:
    refs:
      - master

stop_review:
  extends: .deploy_qbec_app
  environment:
    name: review/$CI_COMMIT_REF_NAME
    action: stop
  stage: deploy
  before_script:
    - git clone "$CI_REPOSITORY_URL" master
    - cd master
  script:
    - qbec delete review --root deploy/website --force:k8s-context __incluster__ --yes --vm:ext-str digest="$DIGEST" --vm:ext-str subdomain="$CI_ENVIRONMENT_SLUG" --app-tag "$CI_ENVIRONMENT_SLUG"
  variables:
    GIT_STRATEGY: none
  only:
    refs:
    - branches
  except:
    refs:
      - master
  when: manual

Tie tiks palaisti pēc nosūtīšanas uz jebkuru filiāli, izņemot galveno, un izvietos vietnes priekšskatījuma versiju.

Mēs redzam jaunu qbec opciju: --app-tag — tas ļauj atzīmēt izvietotās lietojumprogrammas versijas un strādāt tikai šajā tagā; veidojot un iznīcinot resursus Kubernetes, qbec darbosies tikai ar tiem.
Tādā veidā mēs nevaram izveidot atsevišķu vidi katrai apskatei, bet vienkārši izmantot to pašu.

Šeit mēs arī izmantojam qbec piemērot pārskatīšanu, tā vietā qbec lietot noklusējumu - tieši šajā brīdī mēs mēģināsim aprakstīt mūsu vides atšķirības (pārskatīšana un noklusējuma):

Pievienot pārskata vide iekšā deploy/website/qbec.yaml

spec:
  environments:
    review:
      defaultNamespace: docs
      server: https://kubernetes.example.org:8443

Tad mēs to paziņosim deploy/website/params.libsonnet:

local env = std.extVar('qbec.io/env');
local paramsMap = {
  _: import './environments/base.libsonnet',
  default: import './environments/default.libsonnet',
  review: import './environments/review.libsonnet',
};

if std.objectHas(paramsMap, env) then paramsMap[env] else error 'environment ' + env + ' not defined in ' + std.thisFile

Un pierakstiet tam pielāgotos parametrus deploy/website/environments/review.libsonnet:

// this file has the param overrides for the default environment
local base = import './base.libsonnet';
local slug = std.extVar('qbec.io/tag');
local subdomain = std.extVar('subdomain');

base {
  components+: {
    website+: {
      name: 'example-docs-' + slug,
      domain: subdomain + '.docs.example.org',
    },
  },
}

Apskatīsim arī jobu tuvāk stop_review, tas tiks aktivizēts, kad filiāle tiks dzēsta un lai gitlab nemēģinātu izrakstīties, tas tiek izmantots GIT_STRATEGY: nav, vēlāk mēs klonējam meistars- atzarot un dzēst atsauksmi, izmantojot to.
Tas ir nedaudz mulsinoši, bet es vēl neesmu atradis skaistāku veidu.
Alternatīva iespēja būtu izvietot katru atsauksmi viesnīcas nosaukumvietā, kuru vienmēr var pilnībā nojaukt.

Neaizmirstiet veikt mūsu izmaiņas:

git add .
git commit -m "Enable automatic review"

git push, git checkout -b tests, git push izcelsmes tests, pārbaudiet:

Gitlab izveidoto vidi ekrānuzņēmums

Viss darbojas? - lieliski, izdzēsiet mūsu testa zaru: git izrakstīšanās meistars, git push izcelsme: tests, mēs pārbaudām, vai vides dzēšanas darbi darbojās bez kļūdām.

Šeit es gribētu uzreiz precizēt, ka jebkurš izstrādātājs projektā var izveidot filiāles, viņš var arī mainīties .gitlab-ci.yml failu un piekļūt slepenajiem mainīgajiem.
Tāpēc ir stingri ieteicams atļaut tos izmantot tikai aizsargātām zarām, piemēram, in meistarsvai izveidojiet atsevišķu mainīgo kopu katrai videi.

13. Pārskatiet lietotnes

Pārskatiet lietotnes Šī ir GitLab funkcija, kas ļauj katram repozitorijā esošajam failam pievienot pogu, lai to ātri skatītu izvietotajā vidē.

Lai šīs pogas tiktu parādītas, jums ir jāizveido fails .gitlab/route-map.yml un aprakstiet tajā visas ceļa pārvērtības; mūsu gadījumā tas būs ļoti vienkārši:

# Indices
- source: /content/(.+?)_index.(md|html)/ 
  public: '1'

# Pages
- source: /content/(.+?).(md|html)/ 
  public: '1/'

Neaizmirstiet veikt mūsu izmaiņas:

git add .gitlab/
git commit -m "Enable review apps"

git pushun pārbaudiet:

Lietotnes pārskatīšanas pogas ekrānuzņēmums

Darbs darīts!

Projekta avoti:

• vietnē Gitlab: https://gitlab.com/kvaps/docs.example.org
• vietnē GitHub: https://github.com/kvaps/docs.example.org

Paldies par uzmanību, ceru, ka jums patika

Avots: www.habr.com