Kubernetes paplašināšana un papildināšana (pārskats un video reportāža)

8. aprīlī konferencē Saint HighLoad++ 2019, sadaļas “DevOps and Operations” ietvaros tika sniegts ziņojums “Kubernetes paplašināšana un papildināšana”, kura tapšanā piedalījās trīs uzņēmuma Flant darbinieki. Tajā runājam par neskaitāmām situācijām, kurās vēlējāmies paplašināt un papildināt Kubernetes iespējas, bet kurām neatradām gatavu un vienkāršu risinājumu. Mums ir nepieciešamie risinājumi Open Source projektu veidā, un arī šī runa ir veltīta tiem.

Saskaņā ar tradīciju mēs esam priecīgi iepazīstināt reportāžas video (50 minūtes, daudz informatīvāks par rakstu) un galvenais kopsavilkums teksta formā. Aiziet!

Kodols un papildinājumi K8s

Kubernetes maina jau sen iedibināto nozari un pieejas administrācijai:

• Paldies viņam abstrakcijas, mēs vairs nedarbojamies ar tādiem jēdzieniem kā konfigurācijas iestatīšana vai komandas palaišana (Chef, Ansible...), bet izmantojam konteineru grupēšanu, pakalpojumus utt.
• Mēs varam sagatavot pieteikumus, nedomājot par niansēm konkrēta vietne, uz kura tas tiks palaists: pliks metāls, viena no pakalpojumu sniedzēju mākonis utt.
• Ar K8 jūs nekad neesat bijis tik pieejams labākā prakse par infrastruktūras organizēšanu: mērogošanas paņēmieni, pašatveseļošanās, kļūdu tolerance utt.

Tomēr, protams, viss nav tik gludi: Kubernetes atnesa arī savus jaunus izaicinājumus.

Kubernetes nē ir kombains, kas atrisina visas visu lietotāju problēmas. kodols Kubernetes ir atbildīgs tikai par minimālo nepieciešamo funkciju kopumu katrs klasteris:

Kubernetes kodols definē pamata primitīvu kopu konteineru grupēšanai, datplūsmas pārvaldībai un tā tālāk. Mēs par tiem runājām sīkāk ziņojums pirms 2 gadiem.

Savukārt K8s piedāvā lieliskas iespējas paplašināt pieejamās funkcijas, kas palīdz aizvērt citas - specifisks — lietotāju vajadzības. Par Kubernetes papildinājumiem ir atbildīgi klasteru administratori, kuriem ir jāinstalē un jākonfigurē viss nepieciešamais, lai klasteris būtu “pareizā formā” [lai atrisinātu viņu īpašās problēmas]. Kādi ir šie papildinājumi? Apskatīsim dažus piemērus.

Papildinājumu piemēri

Pēc Kubernetes instalēšanas mēs varam būt pārsteigti, ka tīklošana, kas ir tik nepieciešama podiņu mijiedarbībai gan mezglā, gan starp mezgliem, nedarbojas pati par sevi. Kubernetes kodols negarantē nepieciešamos savienojumus; tā vietā tas nosaka tīklu saskarne (CNI) trešo pušu papildinājumiem. Mums ir jāinstalē viens no šiem papildinājumiem, kas būs atbildīgs par tīkla konfigurāciju.

Tuvs piemērs ir datu uzglabāšanas risinājumi (lokālais disks, tīkla bloka ierīce, Ceph...). Sākotnēji tie bija kodolā, bet ar adventi CSI situācija mainās uz kaut ko līdzīgu jau aprakstītajam: interfeiss ir Kubernetes, un tā ieviešana ir trešās puses moduļos.

Citi piemēri:

• Iekļūšana- kontrolieri (skatiet viņu pārskatu mūsu nesenais raksts).
• sertificēts menedžeris:

  

• Operatori ir vesela pievienojumprogrammu klase (kas ietver minēto sertifikātu pārvaldnieku), tie definē primitīvu(s) un kontrolieri(-us). Viņu darba loģiku ierobežo tikai mūsu iztēle un tas ļauj gatavus infrastruktūras komponentus (piemēram, DBVS) pārvērst primitīvos, ar kuriem strādāt ir daudz vieglāk (nekā ar konteineru komplektu un to iestatījumiem). Ir uzrakstīts milzīgs skaits operatoru - pat ja daudzi no tiem vēl nav gatavi ražošanai, tas ir tikai laika jautājums:

  

• Metrika - vēl viens piemērs tam, kā Kubernetes atdalīja saskarni (Metrics API) no ieviešanas (trešās puses papildinājumi, piemēram, Prometheus adapteris, Datadog klastera aģents...).
• Par uzraudzība un statistika, kur praksē ir vajadzīgas ne tikai Prometejs un Grafana, bet arī kube-state-metrics, node-exporter utt.

Un tas nav pilnīgs papildinājumu saraksts... Piemēram, uzņēmumā Flant, kuru mēs šobrīd uzstādām 29 papildinājumi (visi kopā veido 249 Kubernetes objektus). Vienkārši sakot, mēs nevaram redzēt klastera dzīvi bez papildinājumiem.

Automatizācija

Operatori ir paredzēti, lai automatizētu ikdienas darbības, ar kurām saskaramies katru dienu. Šeit ir reāli piemēri, kuriem operatora rakstīšana būtu lielisks risinājums:

1. Lietojumprogrammai ir privāts (t.i., nepieciešams pieteikšanās) reģistrs ar attēliem. Tiek pieņemts, ka katram podam ir piešķirts īpašs noslēpums, kas ļauj veikt autentifikāciju reģistrā. Mūsu uzdevums ir nodrošināt, lai šis noslēpums tiktu atrasts nosaukumu telpā, lai podi varētu lejupielādēt attēlus. Lietojumprogrammu var būt daudz (katrai no tām ir nepieciešams noslēpums), un ir lietderīgi regulāri atjaunināt pašus noslēpumus, tāpēc tiek izslēgta iespēja noslēpumus izkārtot ar roku. Šeit palīgā nāk operators: mēs izveidojam kontrolieri, kas gaidīs, līdz parādīsies nosaukumvieta, un, pamatojoties uz šo notikumu, pievienos nosaukumvietai noslēpumu.
2. Ļaut pēc noklusējuma piekļuve internetam no podiem ir aizliegta. Bet dažreiz tas var būt nepieciešams: ir loģiski, ka piekļuves atļauju mehānisms darbojas vienkārši, neprasot īpašas prasmes, piemēram, ar noteiktas etiķetes klātbūtni nosaukumu telpā. Kā operators var mums šeit palīdzēt? Tiek izveidots kontrolleris, kas gaida, līdz nosaukumvietā parādīsies etiķete, un pievieno atbilstošu interneta piekļuves politiku.
3. Līdzīga situācija: pieņemsim, ka mums vajadzēja pievienot noteiktu piesārņojums, ja tam ir līdzīga etiķete (ar kādu prefiksu). Darbības ar operatoru ir acīmredzamas...

Jebkurā klasterī ir jāatrisina rutīnas uzdevumi, un pareizi to var izdarīt, izmantojot operatorus.

Apkopojot visus aprakstītos stāstus, nonācām pie secinājuma, ka ērtam darbam Kubernetes nepieciešams: A) instalēt papildinājumus, b) attīstīt operatorus (ikdienas admin uzdevumu risināšanai).

Kā uzrakstīt Kubernetes paziņojumu?

Kopumā shēma ir vienkārša:

... bet tad izrādās, ka:

• Kubernetes API ir diezgan nenozīmīga lieta, kuras apgūšana prasa daudz laika;
• arī programmēšana nav piemērota visiem (kā vēlamā valoda tika izvēlēta Go valoda, jo tai ir īpašs ietvars - Operatora SDK);
• Līdzīga situācija ir ar pašu karkasu.

Apakšējā līnija: lai uzrakstītu kontrolieri (operatoram) ir tērē ievērojamus resursus pētīt materiālus. Tas būtu attaisnojams "lieliem" operatoriem - piemēram, MySQL DBVS. Bet, ja atcerēsimies iepriekš aprakstītos piemērus (noslēpumu izpaušana, piekļuve internetam...), ko arī vēlamies izdarīt pareizi, tad sapratīsim, ka iztērētās pūles atsvērs mums šobrīd nepieciešamo rezultātu:

Kopumā rodas dilemma: tērēt daudz resursu un atrast pareizo rīku paziņojumu rakstīšanai vai darīt to vecmodīgi (bet ātri). Lai to atrisinātu - lai atrastu kompromisu starp šīm galējībām - mēs izveidojām savu projektu: čaulas operators (skatiet arī viņa nesenais paziņojums uz centrmezgla).

Apvalka operators

Kā viņš strādā? Klasterim ir pods, kurā ir Go binārs ar čaulas operatoru. Blakus viņam ir komplekts āķi (sīkāka informācija par tiem - skatīt zemāk). Pats čaulas operators abonē noteiktus attīstība Kubernetes API, pēc kuras parādīšanās tas palaiž atbilstošos āķus.

Kā čaulas operators zina, kurus āķus izsaukt par kādiem notikumiem? Šo informāciju čaulas operatoram pārraida paši āķi, un viņi to dara ļoti vienkārši.

Āķis ir Bash skripts vai jebkurš cits izpildāms fails, kas pieņem vienu argumentu --config un atbild ar JSON. Pēdējais nosaka, kuri objekti to interesē un uz kādiem notikumiem (šiem objektiem) ir jāreaģē:

Es ilustrēšu viena no mūsu piemēriem čaulas operatora ieviešanu - noslēpumu sadalīšanu, lai piekļūtu privātam reģistram ar lietojumprogrammu attēliem. Tas sastāv no diviem posmiem.

Prakse: 1. Uzrakstiet āķi

Pirmkārt, āķī mēs apstrādāsim --config, norādot, ka mūs interesē nosaukumvietas un konkrēti to izveides brīdis:

[[ $1 == "--config" ]] ; then
  cat << EOF
{
  "onKubernetesEvent": [
    {
      "kind": "namespace",
      "event": ["add"]
    }
  ]
}
EOF
…

Kā izskatītos loģika? Arī pavisam vienkārši:

…
else
  createdNamespace=$(jq -r '.[0].resourceName' $BINDING_CONTEXT_PATH)
  kubectl create -n ${createdNamespace} -f - << EOF
Kind: Secret
...
EOF
fi

Pirmais solis ir noskaidrot, kura nosaukumvieta tika izveidota, un otrais ir izveidot to, izmantojot kubectl noslēpums šai nosaukumvietai.

Prakse: 2. Attēla salikšana

Atliek tikai nodot izveidoto āķi apvalka operatoram - kā to izdarīt? Pats čaulas operators nāk kā Docker attēls, tāpēc mūsu uzdevums ir pievienot āķi īpašam direktorijam šajā attēlā:

FROM flant/shell-operator:v1.0.0-beta.1
ADD my-handler.sh /hooks

Atliek tikai to salikt un nospiest:

$ docker build -t registry.example.com/my-operator:v1 .
$ docker push registry.example.com/my-operator:v1

Pēdējais pieskāriens ir attēla izvietošana klasterī. Lai to izdarītu, rakstīsim Izvietošanas:

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: my-operator
spec:
  template:
    spec:
      containers:
      - name: my-operator
        image: registry.example.com/my-operator:v1 # 1
      serviceAccountName: my-operator              # 2

Ir divi punkti, kuriem jāpievērš uzmanība:

1. jaunizveidotā attēla norāde;
2. Šis ir sistēmas komponents, kuram (vismaz) ir vajadzīgas tiesības abonēt notikumus pakalpojumā Kubernetes un piešķirt noslēpumus nosaukumvietām, tāpēc mēs izveidojam pakalpojuma kontu (un noteikumu kopu) āķim.

Rezultāts - mēs atrisinājām savu problēmu radiniekiem par Kubernetes tādā veidā, kas izveido operatoru noslēpumu sadalīšanai.

Citas čaulas operatora funkcijas

Lai ierobežotu jūsu izvēlētā tipa objektus, ar kuriem darbosies āķis, tos var filtrēt, izvēloties atbilstoši noteiktām etiķetēm (vai izmantojot matchExpressions):

"onKubernetesEvent": [
  {
    "selector": {
      "matchLabels": {
        "foo": "bar",
       },
       "matchExpressions": [
         {
           "key": "allow",
           "operation": "In",
           "values": ["wan", "warehouse"],
         },
       ],
     }
     …
  }
]

Ar nosacījumu deduplikācijas mehānisms, kas - izmantojot jq filtru - ļauj pārvērst lielus JSON objektus mazos, kur paliek tikai tie parametri, kurus mēs vēlamies uzraudzīt, lai veiktu izmaiņas.

Kad tiek izsaukts āķis, čaulas operators to palaiž garām objekta dati, ko var izmantot jebkurai vajadzībai.

Notikumi, kas izraisa āķus, neaprobežojas tikai ar Kubernetes notikumiem: čaulas operators nodrošina atbalstu zvana āķi pēc laika (līdzīgi kā crontab tradicionālajā plānotājā), kā arī īpašs notikums onStartup. Visus šos notikumus var apvienot un piešķirt vienam un tam pašam āķim.

Un vēl divas čaulas operatora funkcijas:

1. Tas strādā asinhroni. Tā kā tika saņemts Kubernetes notikums (piemēram, objekts, kas tiek izveidots), klasterī varēja notikt citi notikumi (piemēram, tas pats objekts tika dzēsts), un āķiem tas ir jāņem vērā. Ja āķis tika izpildīts ar kļūdu, tad pēc noklusējuma tā būs pārzvanīt līdz veiksmīgai pabeigšanai (šo uzvedību var mainīt).
2. Tas eksportē metriku par Prometheus, ar kuru jūs varat saprast, vai čaulas operators darbojas, uzziniet katra āķa kļūdu skaitu un pašreizējo rindas lielumu.

Lai apkopotu šo ziņojuma daļu:

Papildinājumu instalēšana

Ērtam darbam ar Kubernetes tika pieminēta arī nepieciešamība instalēt papildinājumus. Es jums par to pastāstīšu, izmantojot piemēru par mūsu uzņēmuma ceļu uz to, kā mēs to darām tagad.

Ar Kubernetes sākām strādāt ar vairākiem klasteriem, kuru vienīgais papildinājums bija Ingress. Katrā klasterī tas bija jāinstalē atšķirīgi, un mēs izveidojām vairākas YAML konfigurācijas dažādām vidēm: tukšs metāls, AWS...

Tā kā bija vairāk kopu, bija vairāk konfigurāciju. Turklāt mēs paši uzlabojām šīs konfigurācijas, kā rezultātā tās kļuva diezgan neviendabīgas:

Lai visu sakārtotu, sākām ar skriptu (install-ingress.sh), kas par argumentu izmantoja klastera veidu, kurā mēs izvietosim, ģenerēja nepieciešamo YAML konfigurāciju un izlaida to Kubernetes.

Īsāk sakot, mūsu tālākais ceļš un ar to saistītie argumenti bija šādi:

• lai strādātu ar YAML konfigurācijām, ir nepieciešams veidņu dzinējs (pirmajos posmos tas ir vienkāršs sed);
• palielinoties klasteru skaitam, radās nepieciešamība pēc automātiskās atjaunināšanas (agrākais risinājums bija ievietot skriptu Git, atjaunināt to izmantojot cron un palaist);
• līdzīgs skripts bija vajadzīgs Prometejam (install-prometheus.sh), tomēr tas ir ievērojams ar to, ka tas prasa daudz vairāk ievades datu, kā arī to glabāšanas (labā nozīmē - centralizēti un klasterī), un daži dati (paroles) varētu tikt ģenerēti automātiski:

  

• Pastāvīgi pieauga risks ieviest kaut ko nepareizu arvien lielākam skaitam klasteru, tāpēc mēs sapratām, ka instalētāji (t.i., divi skripti: Ingress un Prometheus) bija nepieciešama inscenēšana (vairāki zari Gitā, vairāki kroni, lai tos atjauninātu atbilstošajos: stabilajos vai testa klasteros);
• с kubectl apply ar to ir kļuvis grūti strādāt, jo tas nav deklaratīvs un var tikai izveidot objektus, bet nevar pieņemt lēmumus par to statusu/dzēst;
• Mums trūka dažas funkcijas, kuras mēs tobrīd nemaz nebijām ieviesuši:
  • pilnīga kontrole pār klasteru atjauninājumu rezultātiem,
  • dažu parametru automātiska noteikšana (instalācijas skriptu ievade), pamatojoties uz datiem, ko var iegūt no klastera (atklāšana),
  • tā loģiskā attīstība nepārtrauktas atklāšanas veidā.

Visu šo uzkrāto pieredzi īstenojām sava cita projekta ietvaros - papildinājumu operators.

Addon-operators

Tā pamatā ir jau pieminētais čaulas operators. Visa sistēma izskatās šādi:

Apvalka operatora āķiem ir pievienots:

• vērtību glabāšana,
• Stūres diagramma,
• sastāvdaļa, kas uzrauga vērtību krātuvi un - jebkādu izmaiņu gadījumā - lūdz Helmu pārrullēt diagrammu.

Tādējādi mēs varam reaģēt uz notikumu Kubernetes, palaist āķi un no šī āķa veikt izmaiņas krātuvē, pēc tam diagramma tiks atkārtoti lejupielādēta. Iegūtajā diagrammā mēs sadalām āķu kopu un diagrammu vienā komponentā, ko mēs saucam modulis:

Var būt daudz moduļu, un tiem mēs pievienojam globālos āķus, globālo vērtību krātuvi un komponentu, kas uzrauga šo globālo veikalu.

Tagad, kad kaut kas notiek Kubernetes, mēs varam uz to reaģēt, izmantojot globālo āķi un kaut ko mainīt globālajā veikalā. Šīs izmaiņas tiks pamanītas un izraisīs visu klastera moduļu izlaišanu:

Šī shēma atbilst visām iepriekš minētajām pievienojumprogrammu instalēšanas prasībām:

• Helms ir atbildīgs par šablonu veidošanu un deklarativitāti.
• Automātiskās atjaunināšanas problēma tika atrisināta, izmantojot globālo āķi, kas pēc grafika tiek novirzīts uz reģistru un, ja tajā tiek parādīts jauns sistēmas attēls, to izlaiž (t.i., “pats”).
• Iestatījumu glabāšana klasterī tiek īstenota, izmantojot ConfigMap, kurā ir krātuvju primārie dati (palaišanas laikā tie tiek ielādēti krātuvēs).
• Problēmas ar paroļu ģenerēšanu, atklāšanu un nepārtrauktu atklāšanu tika atrisinātas, izmantojot āķus.
• Uzstādīšana tiek panākta, pateicoties tagiem, kurus Docker atbalsta no kastes.
• Rezultāts tiek uzraudzīts, izmantojot metriku, pēc kuras mēs varam saprast statusu.

Visa šī sistēma Go ir ieviesta viena bināra formātā, ko sauc par addon-operator. Tas padara diagrammu vienkāršāku:

Šīs diagrammas galvenā sastāvdaļa ir moduļu komplekts (zemāk izcelts pelēkā krāsā). Tagad mēs varam ar nelielu piepūli uzrakstīt moduli vajadzīgajam papildinājumam un būt droši, ka tas tiks instalēts katrā klasterī, tiks atjaunināts un reaģēs uz nepieciešamajiem notikumiem klasterī.

"Flant" lietojumi papildinājumu operators uz 70+ Kubernetes klasteriem. Pašreizējais statuss - alfa versija. Tagad mēs gatavojam dokumentāciju beta versijas izlaišanai, bet pagaidām repozitorijā pieejami piemēri, uz kuras pamata jūs varat izveidot savu papildinājumu.

Kur es varu iegūt moduļus addon-operatoram? Bibliotēkas izdošana mums ir nākamais posms; plānojam to paveikt vasarā.

Videoklipi un slaidi

Video no izrādes (~50 minūtes):

Ziņojuma prezentācija:

PS

Citi ziņojumi mūsu emuārā:

• «Datu bāzes un Kubernetes"; (Dmitrijs Stoļarovs; 8. gada 2018. novembris vietnē HighLoad++);
• «Monitorings un Kubernetes"; (Dmitrijs Stoļarovs; 28. gada 2018. maijā, RootConf);
• «CI/CD labākā prakse ar Kubernetes un GitLab"; (Dmitrijs Stoļarovs; 7. gada 2017. novembris vietnē HighLoad++);
• «Mūsu pieredze ar Kubernetes mazos projektos"; (Dmitrijs Stoļarovs; 6. gada 2017. jūnijs, RootConf).

Jūs varētu interesēt arī šādas publikācijas:

• «Iepazīstinām ar čaulas operatoru: operatoru izveide Kubernetes ir kļuvusi vienkāršāka'.

Avots: www.habr.com