🥇Ievads Helm 3 | ProHoster

Piezīme. tulk.: šī gada 16. maijs iezīmē nozīmīgu pavērsienu Kubernetes - Helm pakotņu pārvaldnieka attīstībā. Šajā dienā tika prezentēts projekta topošās galvenās versijas pirmais alfa laidiens - 3.0. Tā izlaišana ienesīs Helm nozīmīgas un ilgi gaidītas izmaiņas, uz kurām daudzi Kubernetes kopienā saista lielas cerības. Mēs paši esam viens no tiem, jo mēs aktīvi izmantojam Helm lietojumprogrammu izvietošanai: esam to integrējuši mūsu CI/CD ieviešanas rīkā. werf un laiku pa laikam mēs sniedzam savu ieguldījumu augšteces attīstībā. Šajā tulkojumā ir apvienotas 7 piezīmes no oficiālā Helm emuāra, kas ir veltītas Helm 3 pirmajam alfa izlaidumam un stāsta par projekta vēsturi un Helm 3 galvenajām iezīmēm. To autors ir Mets “bacongobbler” Fišers, Microsoft darbinieks. un viens no galvenajiem Helm uzturētājiem.

15. gada 2015. oktobrī piedzima projekts, kas tagad pazīstams kā Helm. Tikai gadu pēc tās dibināšanas Helmas kopiena pievienojās Kubernetes, vienlaikus aktīvi strādājot pie Helm 2. 2018. gada jūnijā Helm pievienojās CNCF kā attīstības (inkubācijas) projekts. Ātri pārejiet uz mūsdienām, un jaunā Helm 3 pirmā alfa versija ir ceļā. (šis izlaidums jau ir noticis maija vidū - apm. tulk.).

Šajā rakstā es runāšu par to, kur tas viss sākās, kā mēs nokļuvām tur, kur esam šodien, iepazīstināšu ar dažām unikālajām funkcijām, kas pieejamas pirmajā Helm 3 alfa laidienā, un paskaidrošu, kā mēs plānojam virzīties uz priekšu.

Kopsavilkums

Helmas izveides vēsture;
maigas atvadas no Tillera;
diagrammu krātuves;
izlaišanas vadība;
izmaiņas diagrammu atkarībās;
bibliotēku diagrammas;
ko tālāk?

Helmas vēsture

Dzimšana

Helm 1 sākās kā Deisa izveidots atvērtā pirmkoda projekts. Mēs bijām mazs startup uzsūcas Microsoft 2017. gada pavasarī. Mūsu citam atvērtā pirmkoda projektam, ko sauc arī par Deisu, bija rīks deisctl, kas tika izmantota (cita starpā), lai instalētu un darbinātu Deis platformu Flotes klasteris. Tajā laikā Fleet bija viena no pirmajām konteineru orķestrēšanas platformām.

2015. gada vidū mēs nolēmām mainīt kursu un pārcēlām Deis (tolaik pārdēvēja par Deis Workflow) no Fleet uz Kubernetes. Viens no pirmajiem, kas tika pārveidots, bija instalācijas rīks. deisctl. Mēs to izmantojām, lai instalētu un pārvaldītu Deis Workflow flotes klasterī.

Helm 1 tika izveidots pēc slavenu pakotņu pārvaldnieku, piemēram, Homebrew, apt un yum, tēla. Tās galvenais mērķis bija vienkāršot tādus uzdevumus kā iesaiņošana un lietojumprogrammu instalēšana vietnē Kubernetes. Helms oficiāli tika prezentēts 2015. gadā KubeCon konferencē Sanfrancisko.

Mūsu pirmais mēģinājums ar Helmu izdevās, taču tas nebija bez nopietniem ierobežojumiem. Viņš paņēma Kubernetes manifestu komplektu, kas papildināts ar ģeneratoriem kā ievada YAML blokus. (priekšējais jautājums)* un ielādēja rezultātus Kubernetes.

* Piezīme. tulk.: no pirmās Helm versijas YAML sintakse tika izvēlēta, lai aprakstītu Kubernetes resursus, un, rakstot konfigurācijas, tika atbalstītas Jinja veidnes un Python skripti. Vairāk par to un Helmas pirmās versijas uzbūvi kopumā rakstījām nodaļā “Īsa Helmas vēsture” šo materiālu.

Piemēram, lai YAML failā aizstātu lauku, manifestam bija jāpievieno šāda konstrukcija:

#helm:generate sed -i -e s|ubuntu-debootstrap|fluffy-bunny| my/pod.yaml

Tas ir lieliski, ka mūsdienās pastāv veidņu dzinēji, vai ne?

Daudzu iemeslu dēļ šim agrīnajam Kubernetes instalētājam bija nepieciešams cieti kodēts manifesta failu saraksts un tika izpildīta tikai neliela, fiksēta notikumu secība. To bija tik grūti izmantot, ka Deis Workflow R&D komandai bija grūti, mēģinot pārnest savu produktu uz šo platformu – tomēr idejas sēklas jau bija iesētas. Mūsu pirmais mēģinājums bija lieliska mācību iespēja: mēs sapratām, ka esam patiesi aizrautīgi ar pragmatisku rīku izveidi, kas risina mūsu lietotāju ikdienas problēmas.

Pamatojoties uz pagātnes kļūdu pieredzi, mēs sākām izstrādāt Helm 2.

Stūres izgatavošana 2

2015. gada beigās Google komanda ar mums sazinājās. Viņi strādāja pie līdzīga Kubernetes rīka. Kubernetes izvietošanas pārvaldnieks bija esoša rīka ports, kas tika izmantots pakalpojumam Google Cloud Platform. "Vai mēs vēlētos," viņi jautāja, "pavadīt dažas dienas, lai apspriestu līdzības un atšķirības?"

2016. gada janvārī Helm un Deployment Manager komandas tikās Sietlā, lai apmainītos ar idejām. Sarunas beidzās ar vērienīgu plānu: apvienot abus projektus, lai izveidotu Helm 2. Kopā ar Deisu un Google puiši no plkst. SkipBox (tagad daļa no Bitnami — aptuveni tulk.), un mēs sākām strādāt pie Helm 2.

Mēs vēlējāmies saglabāt Helm lietošanas ērtumu, taču pievienojiet tālāk norādīto.

diagrammu veidnes pielāgošanai;
klasteru iekšēja vadība komandām;
pasaules klases diagrammu repozitorijs;
stabils pakotnes formāts ar paraksta iespēju;
stingra apņemšanās nodrošināt semantisko versiju veidošanu un saglabāt atgriezenisku saderību starp versijām.

Lai sasniegtu šos mērķus, Helmas ekosistēmai ir pievienots otrs elements. Šo klastera iekšējo komponentu sauca par Tiller, un tas bija atbildīgs par Helm diagrammu instalēšanu un to pārvaldību.

Kopš Helm 2 izlaišanas 2016. gadā Kubernetes ir pievienojis vairākus nozīmīgus jauninājumus. Pievienota uz lomu balstīta piekļuves kontrole (RBAC), kas galu galā aizstāja uz atribūtiem balstītu piekļuves kontroli (ABAC). Tika ieviesti jauni resursu veidi (tolaik izvietošana vēl bija beta versijā). Tika izgudrotas pielāgotas resursu definīcijas (sākotnēji sauktas par Trešās puses resursiem vai TPR). Un pats galvenais, ir izveidojies paraugprakses kopums.

Visu šo izmaiņu laikā Helm turpināja uzticīgi apkalpot Kubernetes lietotājus. Pēc trim gadiem un daudziem jauniem papildinājumiem bija skaidrs, ka ir pienācis laiks veikt būtiskas izmaiņas kodu bāzē, lai nodrošinātu, ka Helm varētu turpināt apmierināt augošās ekosistēmas vajadzības.

Maigas atvadas no Tillera

Helm 2 izstrādes laikā mēs ieviesām Tiller kā daļu no mūsu integrācijas ar Google izvietošanas pārvaldnieku. Tiller spēlēja svarīgu lomu komandām, kas strādāja kopējā klasterī: tas ļāva dažādiem speciālistiem, kas izmanto infrastruktūru, mijiedarboties ar vienu un to pašu izlaidumu kopu.

Tā kā Kubernetes 1.6 versijā pēc noklusējuma tika iespējota uz lomu balstīta piekļuves kontrole (RBAC), darbs ar Tiller ražošanas procesā kļuva grūtāks. Ņemot vērā iespējamo drošības politiku milzīgo skaitu, mūsu nostāja ir bijusi pēc noklusējuma piedāvāt pieļaujamu konfigurāciju. Tas ļāva iesācējiem eksperimentēt ar Helm un Kubernetes, vispirms neiedziļinoties drošības iestatījumos. Diemžēl šī atļauju konfigurācija var nodrošināt lietotāju ar pārāk plašu atļauju klāstu, kas viņam nebija vajadzīgas. Instalējot Tiller vairāku nomnieku klasterī, DevOps un SRE inženieriem bija jāapgūst papildu darbības.

Uzzinot, kā kopiena izmanto Helm konkrētās situācijās, mēs sapratām, ka Tiller laidienu pārvaldības sistēmai nav jāpaļaujas uz klastera iekšējo komponentu, lai uzturētu stāvokļus vai darbotos kā centrālais izlaišanas informācijas centrs. Tā vietā mēs varētu vienkārši saņemt informāciju no Kubernetes API servera, ģenerēt diagrammu klienta pusē un saglabāt instalēšanas ierakstu Kubernetes.

Tillera galveno mērķi varēja sasniegt bez Tillera, tāpēc viens no mūsu pirmajiem lēmumiem attiecībā uz Helm 3 bija pilnībā atteikties no Tillera.

Līdz ar Tillera aiziešanu Helmas drošības modelis ir radikāli vienkāršots. Helm 3 tagad atbalsta visas pašreizējās Kubernetes mūsdienu drošības, identitātes un autorizācijas metodes. Stūres atļaujas tiek noteiktas, izmantojot kubeconfig failu. Klasteru administratori var ierobežot lietotāju tiesības līdz jebkuram precizitātes līmenim. Izlaidumi joprojām tiek saglabāti klasterī, un pārējā Helm funkcionalitāte paliek neskarta.

Diagrammu krātuves

Augstā līmenī diagrammu repozitorijs ir vieta, kur diagrammas var uzglabāt un koplietot. Helm klients iepako un nosūta diagrammas uz repozitoriju. Vienkārši sakot, diagrammu repozitorijs ir primitīvs HTTP serveris ar failu index.yaml un dažām iepakotām diagrammām.

Lai gan Charts Repository API, kas atbilst lielākajai daļai pamata krātuves prasību, ir dažas priekšrocības, ir arī daži trūkumi:

Diagrammu krātuves nav saderīgas ar lielāko daļu drošības ieviešanu, kas nepieciešama ražošanas vidē. Standarta API autentifikācijai un autorizācijai ir ārkārtīgi svarīgi ražošanas scenārijos.
Helmas diagrammas izcelsmes rīki, ko izmanto, lai parakstītu, pārbaudītu diagrammas integritāti un izcelsmi, ir diagrammas publicēšanas procesa izvēles daļa.
Vairāku lietotāju scenārijos vienu un to pašu diagrammu var augšupielādēt cits lietotājs, tādējādi dubultojot vietas daudzumu, kas nepieciešams viena un tā paša satura glabāšanai. Lai atrisinātu šo problēmu, ir izstrādātas viedākas krātuves, taču tās neietilpst oficiālajā specifikācijā.
Viena indeksa faila izmantošana meklēšanai, metadatu glabāšanai un diagrammu izgūšanai ir apgrūtinājusi drošu vairāku lietotāju ieviešanu.

Projekts Docker izplatīšana (pazīstams arī kā Docker Registry v2) ir Docker Registry pēctecis un būtībā darbojas kā rīku komplekts Docker attēlu iesaiņošanai, nosūtīšanai, uzglabāšanai un piegādei. Daudzi lieli mākoņpakalpojumi piedāvā uz izplatīšanu balstītus produktus. Pateicoties šai pastiprinātajai uzmanībai, Distribution projekts ir guvis labumu no gadiem ilgiem uzlabojumiem, drošības paraugprakses un lauka testēšanas, kas padarīja to par vienu no veiksmīgākajiem neapdziedātajiem varoņiem atvērtā pirmkoda pasaulē.

Bet vai zinājāt, ka izplatīšanas projekts tika izstrādāts, lai izplatītu jebkāda veida saturu, ne tikai konteineru attēlus?

Pateicoties pūlēm Atvērt konteineru iniciatīvu (vai OCI), stūres diagrammas var ievietot jebkurā izplatīšanas instancē. Pagaidām šis process ir eksperimentāls. Pieteikšanās atbalsts un citas funkcijas, kas nepieciešamas pilnam Helm 3, ir darbs, taču mēs ar prieku varam mācīties no atklājumiem, ko OCI un izplatīšanas komandas ir veikušas gadu gaitā. Pateicoties viņu mentoringam un norādījumiem, mēs uzzinām, kā ir nodrošināt ļoti pieejamu pakalpojumu plašā mērogā.

Ir pieejams detalizētāks apraksts par dažām gaidāmajām izmaiņām Helm diagrammu krātuvēs по ссылке.

Izlaidumu pārvaldība

Programmā Helm 3 lietojumprogrammas stāvokli klasterī izseko objektu pāris:

izlaišanas objekts — apzīmē lietojumprogrammas gadījumu;
izlaiduma versijas noslēpums - apzīmē vēlamo lietojumprogrammas stāvokli noteiktā brīdī (piemēram, jaunas versijas izlaišana).

Zvans helm install izveido izlaišanas objektu un laidiena versijas noslēpumu. Zvaniet helm upgrade pieprasa izlaišanas objektu (ko tas var mainīt) un izveido jaunas laidiena versijas noslēpumu, kas satur jaunās vērtības un sagatavotu manifestu.

Izlaiduma objekts satur informāciju par laidienu, kur laidiens ir konkrēta nosauktas diagrammas un vērtību instalācija. Šis objekts apraksta augstākā līmeņa metadatus par laidienu. Izlaiduma objekts saglabājas visā lietojumprogrammas dzīves ciklā un ir visu laidiena versiju noslēpumu īpašnieks, kā arī visi objekti, kas ir tieši izveidoti Helm diagrammā.

Laidiena versijas noslēpums saista laidienu ar virkni labojumu (instalēšana, atjauninājumi, atcelšana, dzēšana).

Helm 2 pārskatīšanas bija ļoti konsekventas. Zvaniet helm install izveidots v1, sekojošais atjauninājums (upgrade) - v2 utt. Izlaiduma un izlaiduma versijas noslēpums ir sakļauts vienā objektā, kas pazīstams kā pārskatīšana. Pārskati tika glabāti tajā pašā nosaukumvietā kā Tiller, kas nozīmēja, ka katrs laidiens bija "globāls" nosaukumvietas ziņā; rezultātā varēja izmantot tikai vienu nosaukuma gadījumu.

Programmā Helm 3 katrs laidiens ir saistīts ar vienu vai vairākiem laidiena versijas noslēpumiem. Izlaiduma objekts vienmēr apraksta pašreizējo Kubernetes laidienu. Katrs laidiena versijas noslēpums apraksta tikai vienu šī laidiena versiju. Piemēram, jaunināšana izveidos jaunas laidiena versijas noslēpumu un pēc tam mainīs laidiena objektu, lai norādītu uz šo jauno versiju. Atcelšanas gadījumā varat izmantot iepriekšējās laidiena versijas noslēpumus, lai atgrieztu laidienu uz iepriekšējo stāvokli.

Pēc tam, kad Tiller ir pamests, Helm 3 izlaiduma datus glabā tajā pašā nosaukumvietā, kurā atrodas izlaidums. Šīs izmaiņas ļauj instalēt diagrammu ar tādu pašu laidiena nosaukumu citā nosaukumvietā, un dati tiek saglabāti starp klasteru atjauninājumiem/atsāknēšanu programmā etcd. Piemēram, varat instalēt WordPress nosaukumvietā "foo" un pēc tam nosaukumvietā "bar", un abus laidienus var nosaukt par "wordpress".

Izmaiņas diagrammu atkarībās

Iepakotas diagrammas (izmantojot helm package) lietošanai ar Helm 2 var instalēt ar Helm 3, tomēr diagrammu izstrādes darbplūsma ir pilnībā pārveidota, tāpēc ir jāveic dažas izmaiņas, lai turpinātu diagrammu izstrādi ar Helm 3. Jo īpaši ir mainījusies diagrammu atkarības pārvaldības sistēma.

Diagrammas atkarības pārvaldības sistēma ir pārvietota no requirements.yaml и requirements.lock par Chart.yaml и Chart.lock. Tas nozīmē, ka diagrammas, kas izmantoja komandu helm dependency, nepieciešama noteikta iestatīšana, lai darbotos Helm 3.

Apskatīsim piemēru. Pievienosim atkarību Helm 2 diagrammai un redzēsim, kas mainās, pārejot uz Helm 3.

2. stūrē requirements.yaml izskatījās šādi:

dependencies:
- name: mariadb
  version: 5.x.x
  repository: https://kubernetes-charts.storage.googleapis.com/
  condition: mariadb.enabled
  tags:
    - database

Stūrē 3 tā pati atkarība tiks atspoguļota jūsu Chart.yaml:

dependencies:
- name: mariadb
  version: 5.x.x
  repository: https://kubernetes-charts.storage.googleapis.com/
  condition: mariadb.enabled
  tags:
    - database

Diagrammas joprojām tiek lejupielādētas un ievietotas direktorijā charts/, tātad apakšdiagrammas (apakšdiagrammas), kas atrodas katalogā charts/, turpinās strādāt bez izmaiņām.

Iepazīstinām ar bibliotēku diagrammām

Helm 3 atbalsta diagrammu klasi, ko sauc par bibliotēku diagrammām (bibliotēkas diagramma). Šo diagrammu izmanto citas diagrammas, taču tā pati nerada nekādus izlaišanas artefaktus. Bibliotēkas diagrammas veidnes var deklarēt tikai elementus define. Cits saturs tiek vienkārši ignorēts. Tas ļauj lietotājiem atkārtoti izmantot un koplietot koda fragmentus, ko var izmantot vairākās diagrammās, tādējādi izvairoties no dublēšanās un saglabājot principu. DRY.

Bibliotēkas diagrammas ir deklarētas sadaļā dependencies failā Chart.yaml. To instalēšana un pārvaldība neatšķiras no citām diagrammām.

dependencies:
  - name: mylib
    version: 1.x.x
    repository: quay.io

Mēs priecājamies par lietošanas gadījumiem, ko šis komponents pavērs diagrammu izstrādātājiem, kā arī par labāko praksi, kas var parādīties no bibliotēku diagrammām.

Ko tālāk?

Helm 3.0.0-alpha.1 ir pamats, uz kura mēs sākam veidot jaunu Helm versiju. Rakstā es aprakstīju dažas interesantas Helm 3 iezīmes. Daudzas no tām joprojām ir attīstības sākuma stadijā, un tas ir normāli; Alfa versijas mērķis ir pārbaudīt ideju, apkopot atsauksmes no agrīnajiem lietotājiem un apstiprināt mūsu pieņēmumus.

Tiklīdz iznāks alfa versija (atcerieties, ka tas ir jau noticis — apm. tulk.), mēs sāksim pieņemt Helm 3 ielāpus no kopienas. Jums ir jāizveido spēcīgs pamats, kas ļauj izstrādāt un pieņemt jaunas funkcionalitātes, un lietotāji var justies iesaistīti procesā, atverot biļetes un veicot labojumus.

Esmu mēģinājis izcelt dažus no galvenajiem Helm 3 uzlabojumiem, taču šis saraksts nekādā ziņā nav pilnīgs. Pilnajā Helm 3 ceļvedī ir iekļautas tādas funkcijas kā uzlabotas atjaunināšanas stratēģijas, dziļāka integrācija ar OCI reģistriem un JSON shēmu izmantošana diagrammu vērtību apstiprināšanai. Mēs arī plānojam iztīrīt kodu bāzi un atjaunināt tās daļas, kas pēdējos trīs gadus ir atstātas novārtā.

Ja jūtat, ka esam kaut ko palaiduši garām, mēs labprāt uzklausīsim jūsu domas!

Pievienojieties mūsu diskusijai Slack kanāli:

#helm-users jautājumiem un vienkāršai komunikācijai ar sabiedrību;
#helm-dev lai apspriestu izvilkšanas pieprasījumus, kodu un kļūdas.

Varat arī tērzēt mūsu iknedēļas publiskajos izstrādātāju zvanos ceturtdienās plkst. 19:30 MSK. Sanāksmes ir veltītas, lai apspriestu jautājumus, pie kuriem strādā galvenie izstrādātāji un sabiedrība, kā arī nedēļas diskusiju tēmas. Ikviens var pievienoties un piedalīties sanāksmē. Saite pieejama Slack kanālā #helm-dev.

PS no tulka

Lasi arī mūsu emuārā:

Avots: www.habr.com

Iepazīstinām ar Helm 3