Helm Security

Ny votoatin'ny tantara momba ny mpitantana fonosana malaza indrindra ho an'ny Kubernetes dia azo aseho amin'ny alalan'ny emoji:

• ny boaty dia Helm (izay zavatra akaiky indrindra amin'ny famoahana Emoji farany);
• hidy - fiarovana;
• ny lehilahy kely no vahaolana amin'ny olana.

Raha ny marina dia ho sarotra kokoa ny zava-drehetra, ary feno antsipiriany ara-teknika ny tantara Ahoana ny fomba fanaovana Helm azo antoka.

• Fohy ny atao hoe Helm raha toa ka tsy fantatrao na adinonao. Inona no olana voavahany ary aiza no misy azy ao anatin'ny tontolo iainana.
• Andeha hojerentsika ny rafitra Helm. Tsy misy resaka momba ny fiarovana sy ny fomba hanaovana fitaovana na vahaolana azo antoka kokoa raha tsy mahazo ny maritrano ny singa.
• Andeha isika hiresaka momba ireo singa Helm.
• Ny fanontaniana mirehitra indrindra dia ny ho avy - ny dikan-teny vaovao an'ny Helm 3. 

Ny zava-drehetra ato amin'ity lahatsoratra ity dia mihatra amin'ny Helm 2. Ity dikan-teny ity dia eo am-pamokarana amin'izao fotoana izao ary azo inoana fa ilay iray ampiasainao amin'izao fotoana izao, ary io no dikan-teny misy ny loza ateraky ny fiarovana.

Momba ny mpandahateny: Alexander Khayorov (allexx) dia nivoatra nandritra ny 10 taona, manampy amin'ny fanatsarana votoaty Moscow Python Conf++ ary niditra tao amin'ny komity Helm Summit. Ankehitriny izy dia miasa ao amin'ny Chainstack amin'ny maha-mpitarika fampandrosoana azy - ity dia savorovoro eo amin'ny mpitantana ny fampandrosoana sy ny olona iray tompon'andraikitra amin'ny famoahana famoahana farany. Izany hoe, eo amin'ny sehatry ny ady no misy azy, izay misy ny zava-drehetra manomboka amin'ny famoronana vokatra ka hatramin'ny fiasany.

Chainstack dia fanombohana kely, mivoatra mavitrika izay ny iraka dia ny ahafahan'ny mpanjifa manadino ny fotodrafitrasa sy ny fahasarotan'ny fampandehanana ny rindranasa decentralized; any Singapore ny ekipan'ny fampandrosoana. Aza mangataka Chainstack hivarotra na hividy cryptocurrency, fa manolora hiresaka momba ny rafitra blockchain orinasa, dia hamaly anao izy ireo.

fiarovan-doha

Ity dia mpitantana fonosana (tabilao) ho an'ny Kubernetes. Ny fomba intuitive indrindra sy manerana izao rehetra izao hitondrana rindranasa amin'ny kluster Kubernetes.

Mazava ho azy fa miresaka momba ny fomba fiasa ara-drafitra sy indostrialy kokoa noho ny famoronana ny YAML anao manokana sy ny fanoratana fitaovana kely izahay.

Helm no tsara indrindra amin'izao fotoana izao ary malaza.

Nahoana no Helm? Voalohany indrindra satria tohanan'ny CNCF. Cloud Native dia fikambanana lehibe ary izy no ray aman-dreny amin'ny tetikasa Kubernetes, sns, Fluentd sy ny hafa.

Zava-dehibe iray hafa dia ny hoe Helm dia tetikasa malaza be. Rehefa nanomboka niresaka momba ny fomba hahazoana antoka ny Helm aho tamin'ny Janoary 2019, dia nanana kintana arivo tao amin'ny GitHub ilay tetikasa. Tamin'ny volana Mey dia 12 arivo izy ireo.

Maro ny olona liana amin'ny Helm, ka na dia mbola tsy mampiasa azy aza ianao dia hahazo tombony amin'ny fahalalana ny fiarovana azy. Zava-dehibe ny fiarovana.

Ny ekipan'ny Helm fototra dia tohanan'ny Microsoft Azure ary noho izany dia tetikasa azo antoka, tsy mitovy amin'ny maro hafa. Ny famoahana ny Helm 3 Alpha 2 tamin'ny tapaky ny volana jolay dia manondro fa betsaka ny olona miasa amin'ny tetikasa, ary manana faniriana sy hery izy ireo hamolavola sy hanatsara ny Helm.

Helm dia mamaha olana fototra maro amin'ny fitantanana fampiharana ao amin'ny Kubernetes.

• fonosana fampiharana. Na dia ny fampiharana toy ny "Hello, World" ao amin'ny WordPress aza dia efa misy serivisy maromaro, ary tianao ny hanangona azy ireo miaraka.
• Mitantana ny fahasarotana ateraky ny fitantanana ireo fampiharana ireo.
• Tsingerin'ny fiainana tsy mifarana aorian'ny fametrahana na fametrahana ny fampiharana. Mitohy ny fiainana, mila havaozina, ary manampy amin'izany i Helm ary miezaka mitondra ny fepetra sy ny politika mety amin'izany.

Bagging voalamina amin'ny fomba mazava izy io: misy metadata mifanaraka tanteraka amin'ny asan'ny mpitantana fonosana mahazatra ho an'ny Linux, Windows na MacOS. Izany hoe, fitehirizana, fiankinan-doha amin'ny fonosana isan-karazany, fampahalalana meta ho an'ny rindranasa, toe-javatra, endri-javatra fanamafisana, fanondroana fampahalalana, sns. Helm dia ahafahanao mahazo sy mampiasa izany rehetra izany ho an'ny fampiharana.

Fitantanana ny fahasarotana. Raha manana fampiharana maro mitovy karazana ianao, dia ilaina ny fanamafisana. Avy amin'io ny môdely, fa mba hialana amin'ny fomba hamoronana môdely, azonao atao ny mampiasa izay atolotry ny Helm ivelan'ny boaty.

Application Lifecycle Management - Raha ny hevitro dia io no fanontaniana tena mahaliana sy tsy voavaha. Izany no nahatonga ahy tany Helm tamin'ny andro taloha. Nila nanara-maso ny fiainan'ny fampiharana izahay ary naniry ny hamindra ny tsingerin'ny CI/CD sy ny fampiharana amin'ity paradigma ity.

Helm dia ahafahanao:

• mitantana ny fametrahana, mampiditra ny foto-kevitry ny fanamafisana sy ny fanavaozana;
• manatanteraka soa aman-tsara rollback;
• mampiasa farango ho an'ny hetsika samihafa;
• ampio fanamarinana fampiharana fanampiny ary valio ny valiny.

Ankoatra izany Misy "batterie" - zavatra matsiro be dia be azo ampidirina amin'ny endrika plugins, manamora ny fiainanao. Ny plugins dia azo soratana tsy miankina, mitoka-monina izy ireo ary tsy mitaky maritrano mirindra. Raha te hampihatra zavatra ianao, dia manoro hevitra aho ny hanao izany ho toy ny plugin, ary mety hampiditra azy any ambony.

Helm dia mifototra amin'ny foto-kevitra telo lehibe:

• Chart Repo - famaritana sy filaharana mety ho an'ny fanehoanao. 
• config - izany hoe ny soatoavina izay hampiharina (soratra, sanda isa, sns.).
• Release manangona ireo singa roa ambony, ary miaraka izy ireo mivadika ho Famotsorana. Ny famoahana dia azo adika, amin'izay dia mahatratra ny tsingerin'ny fiainana voalamina: kely amin'ny fotoana fametrahana ary lehibe amin'ny fotoana fanavaozana, fampidinana na famerenana.

Helm architecture

Ny kisary dia mampiseho ny maritrano avo lenta amin'ny Helm.

Mamelà ahy hampahatsiahy anao fa ny Helm dia zavatra mifandraika amin'ny Kubernetes. Noho izany, tsy afaka manao raha tsy misy cluster Kubernetes (mahitsizoro). Ny singa kube-apiserver dia mipetraka amin'ny tompony. Raha tsy misy Helm dia manana Kubeconfig izahay. Ny Helm dia mitondra binary kely iray, raha azonao atao ny miantso azy io, Helm CLI utility, izay apetraka amin'ny solosaina, solosaina, mainframe - amin'ny zavatra rehetra.

Tsy ampy anefa izany. Ny Helm dia manana singa mpizara antsoina hoe Tiller. Izy io dia maneho ny tombontsoan'ny Helm ao anatin'ny cluster; fampiharana ao anatin'ny cluster Kubernetes izy io, toy ny hafa rehetra.

Ny singa manaraka amin'ny Chart Repo dia tahiry misy tabilao. Misy fitehirizana ofisialy, ary mety misy fitehirizana manokana an'ny orinasa na tetikasa iray.

fifandraisana

Andeha hojerentsika ny fomba ifandraisan'ireo singa maritrano rehefa te-hametraka fampiharana mampiasa Helm isika.

• Miresaka izahay Helm install, midira ao amin'ny tahiry (Chart Repo) ary makà tabilao Helm.

• Ny fitaovana Helm (Helm CLI) dia mifandray amin'ny Kubeconfig mba hamantarana izay cluster hifandraisana. 
• Rehefa nahazo an'io fampahalalana io ny fitaovana dia manondro an'i Tiller, izay hita ao amin'ny cluster misy antsika, ho fampiharana. 
• Miantso an'i Kube-apiserver i Tiller hanao hetsika ao amin'ny Kubernetes, hamorona zavatra sasany (serivisy, pods, kopia, tsiambaratelo, sns.).

Manaraka izany, hanasarotra ny kisary isika mba hahitana ny vector fanafihana izay azon'ny rafitra Helm manontolo amin'ny ankapobeny. Ary avy eo dia hiezaka ny hiaro azy isika.

Vector fanafihana

Ny teboka voalohany mety ho malemy dia privilege API-ny mpampiasa. Amin'ny ampahany amin'ny tetika dia mpijirika nahazo fidirana admin amin'ny Helm CLI ity.

Mpampiasa API tsy manana tombontsoa mety hampidi-doza koa raha any amin'ny toerana akaiky azy. Ny mpampiasa toy izany dia hanana toe-javatra hafa, ohatra, azo amboarina amin'ny anaran'ny cluster iray ao amin'ny toe-javatra Kubeconfig.

Ny vector fanafihana mahaliana indrindra dia mety ho dingana iray mipetraka ao anaty cluster any akaikin'i Tiller ary afaka miditra ao. Mety ho mpizara tranonkala na microservice izay mahita ny tontolon'ny tambajotran'ny cluster.

Ny karazana fanafihana hafahafa, saingy miha-malaza, dia misy ny Chart Repo. Mety misy loharanon-karena tsy azo antoka ny tabilao iray noforonin'ny mpanoratra tsy marim-pototra, ary hofenoinao amin'ny alalan'ny finoana izany. Na afaka manolo ny tabilao izay alainao avy amin'ny tahiry ofisialy ary, ohatra, mamorona loharano amin'ny endrika politika ary mampitombo ny fidirana.

Andao hiezaka ny hisoroka ny fanafihana avy amin'ireo lafiny efatra ireo ary hamantatra hoe aiza no misy olana amin'ny rafitra Helm, ary aiza, angamba, tsy misy.

Andao hanitatra ny kisary, ampio singa bebe kokoa, fa mitazona ny singa fototra rehetra.

Ny Helm CLI dia mifandray amin'ny Chart Repo, mifandray amin'ny Kubeconfig, ary ny asa dia nafindra any amin'ny cluster mankany amin'ny singa Tiller.

Ny Tiller dia aseho amin'ny zavatra roa:

• Tiller-deploy svc, izay mampiseho serivisy iray;
• Tiller-deploy pod (ao amin'ny kisary amin'ny kopia tokana amin'ny kopia iray), izay mandeha ny entana manontolo, izay miditra amin'ny cluster.

Ny protocols sy tetika samihafa dia ampiasaina amin'ny fifandraisana. Amin'ny lafiny fiarovana, tena mahaliana anay ny:

• Ny mekanika ahafahan'ny Helm CLI miditra ny repo tabilao: inona ny protocol, misy ny fanamarinana ary inona no azo atao amin'izany.
• Ny protocol izay i Helm CLI, mampiasa kubectl, dia mifandray amin'i Tiller. Ity dia mpizara RPC napetraka ao anaty cluster.
• Ny Tiller mihitsy dia azo idirana amin'ny microservices izay mipetraka ao amin'ny cluster ary mifandray amin'ny Kube-apiserver.

Andeha hodinihintsika araka ny filaharany ireo sehatra rehetra ireo.

RBAC

Tsy misy dikany ny miresaka momba ny fiarovana ho an'ny Helm na serivisy hafa ao anatin'ny cluster raha tsy alefa ny RBAC.

Toa tsy io no tolo-kevitra farany indrindra, fa azoko antoka fa mbola maro ny olona mbola tsy nahafahan'ny RBAC na dia tamin'ny famokarana aza, satria be dia be ary zavatra maro no mila amboarina. Mamporisika anao hanao izany anefa aho.

https://rbac.dev/ — mpisolovava tranonkala ho an'ny RBAC. Izy io dia misy fitaovana mahaliana be dia be izay hanampy anao hanangana RBAC, asehoy ny antony maha-tsara azy ary ny fomba hiainana miaraka aminy amin'ny famokarana.

Hiezaka aho hanazava ny fomba fiasan'i Tiller sy RBAC. Ny Tiller dia miasa ao anatin'ny cluster amin'ny kaonty serivisy iray. Amin'ny ankapobeny, raha tsy namboarina ny RBAC dia ity no superuser. Amin'ny fanamafisana fototra, Tiller dia ho admin. Izany no antony ilazana matetika fa ny Tiller dia tionelina SSH mankany amin'ny cluster anao. Raha ny marina dia marina izany, ka afaka mampiasa kaonty serivisy manokana ianao fa tsy ny kaonty serivisy Default amin'ny kisary etsy ambony.

Rehefa manomboka Helm ianao ary mametraka izany amin'ny mpizara voalohany dia azonao atao ny mametraka ny kaonty serivisy amin'ny fampiasana --service-account. Izany dia ahafahanao mampiasa mpampiasa manana zo ambany indrindra takiana. Marina fa tsy maintsy mamorona "garland" toy izany ianao: Role sy RoleBinding.

Indrisy fa tsy hanao izany ho anao i Helm. Mila manomana andiana RoleBindings sy RoleBindings ho an'ny kaonty serivisy ianao na ny administratera cluster Kubernetes anao mialoha mba handalo Helm.

Mipetraka ny fanontaniana - inona no maha samy hafa ny Role sy ClusterRole? Ny mahasamihafa azy dia ny ClusterRole dia miasa ho an'ny espace rehetra, fa tsy toy ny Roles sy RoleBindings mahazatra, izay miasa ho an'ny namespace manokana ihany. Azonao atao ny manamboatra politika ho an'ny cluster manontolo sy ny namespaces rehetra, na natao manokana ho an'ny namespace tsirairay.

Tsara ny manamarika fa ny RBAC dia mamaha olana lehibe iray hafa. Maro ny olona mitaraina fa ny Helm, indrisy, dia tsy multitenancy (tsy manohana multitenancy). Raha misy ekipa maromaro mandany cluster ary mampiasa Helm, dia tsy azo atao ny mametraka politika sy mametra ny fidirana ao anatin'ity cluster ity, satria misy kaonty serivisy iray izay iasan'ny Helm, ary mamorona ny loharano rehetra ao amin'ny cluster avy ao ambaniny. , izay tena mahasosotra indraindray. Marina izany - toy ny rakitra binary mihitsy, toy ny dingana, Helm Tiller dia tsy manana hevitra momba ny multitenancy.

Na izany aza, misy fomba tsara ahafahanao mihazakazaka Tiller imbetsaka ao anaty cluster. Tsy misy olana amin'izany, azo atomboka amin'ny sehatra rehetra ny Tiller. Noho izany, azonao atao ny mampiasa RBAC, Kubeconfig ho contexte, ary mametra ny fidirana amin'ny Helm manokana.

Ho toy izao izany.

Ohatra, misy Kubeconfig roa miaraka amin'ny contexte ho an'ny ekipa samihafa (espace roa): X Team ho an'ny ekipa fampandrosoana sy ny cluster admin. Ny klustern'ny admin dia manana ny Tiller midadasika azy manokana, izay hita ao amin'ny anaran'ny rafitra Kube, kaonty serivisy mandroso mifanaraka amin'izany. Ary toerana misy anarana mitokana ho an'ny ekipan'ny fampandrosoana, ho afaka hametraka ny tolotr'izy ireo amin'ny toerana misy anarana manokana izy ireo.

Fomba azo ampiasaina ity, tsy noana hery loatra i Tiller ka hisy fiantraikany be amin'ny teti-bolanao izany. Io no iray amin'ireo vahaolana haingana.

Aza misalasala manitsy an'i Tiller misaraka ary omeo ny Kubeconfig miaraka amin'ny contexte ho an'ny ekipa, ho an'ny developer manokana na ho an'ny tontolo iainana: Dev, Staging, Production (azo antoka fa ho ao anaty cluster iray ihany ny zava-drehetra, saingy azo atao izany).

Manohy ny tantarantsika, andao hiova amin'ny RBAC ary hiresaka momba ny ConfigMaps.

ConfigMaps

Ny Helm dia mampiasa ConfigMaps ho fitahirizana angona. Raha niresaka momba ny maritrano izahay dia tsy nisy tahiry na taiza na taiza mba hitahiry vaovao momba ny famoahana, ny fanamafisana, ny famerenana indray, sns. ConfigMaps no ampiasaina amin'izany.

Ny olana lehibe amin'ny ConfigMaps dia fantatra - tsy azo antoka izy ireo amin'ny fitsipika; tsy azo atao ny mitahiry angon-drakitra saro-pady. Miresaka momba ny zavatra rehetra tsy tokony hihoatra ny serivisy isika, ohatra, ny tenimiafina. Ny fomba mahazatra indrindra ho an'ny Helm amin'izao fotoana izao dia ny hifindra avy amin'ny ConfigMaps mankany amin'ny tsiambaratelo.

Izany dia atao amin'ny fomba tsotra. Atsipazo ny fametahana Tiller ary mariho fa ho tsiambaratelo ny fitahirizana. Avy eo isaky ny fametrahana dia tsy hahazo ConfigMap ianao, fa tsiambaratelo.

Azonao atao ny miady hevitra fa ny tsiambaratelo dia hevitra hafahafa ary tsy azo antoka. Na izany aza, ilaina ny mahatakatra fa ny mpamorona Kubernetes mihitsy no manao izany. Manomboka amin'ny version 1.10, i.e. Efa elaela izay no azo natao, fara faharatsiny, tao amin'ny rahona ho an'ny daholobe, ny mampifandray ny fitehirizana marina amin'ny fitahirizana tsiambaratelo. Ny ekipa izao dia miasa amin'ny fomba hizarana tsara kokoa ny fidirana amin'ny tsiambaratelo, pods tsirairay, na sampana hafa.

Tsara kokoa ny mamindra ny fitahirizana Helm amin'ny tsiambaratelo, ary izy ireo kosa dia voaro amin'ny afovoany.

Mazava ho azy fa hijanona izany fetra fitahirizana data 1 MB. Helm eto dia mampiasa etcd ho fitahirizana zaraina ho an'ny ConfigMaps. Ary teo izy ireo dia nihevitra fa ity dia angon-drakitra mety ho an'ny replication, sns. Misy fifanakalozan-kevitra mahaliana momba an'io ao amin'ny Reddit, manoro hevitra aho ny hahita ity vakiteny mampihomehy ity amin'ny faran'ny herinandro na mamaky ny nalaina eto.

Chart Repos

Ny tabilao no tena marefo ara-tsosialy ary mety ho lasa loharanon'ny "Lehilahy eo afovoany", indrindra raha mampiasa vahaolana tahiry ianao. Voalohany indrindra, miresaka momba ny repository izay mibaribary amin'ny HTTP.

Tena mila mampiharihary Helm Repo amin'ny HTTPS ianao - ity no safidy tsara indrindra ary tsy lafo.

Tandremo mekanika sonia tabilao. Ny teknolojia dia tsotra toy ny helo. Io no zavatra ampiasainao ao amin'ny GitHub, milina PGP mahazatra misy fanalahidin'ny daholobe sy tsy miankina. Amboary ary ho azo antoka, manana ny fanalahidy ilaina sy manao sonia ny zava-drehetra, fa izany no tena tabilao.

Ankoatra izany, Manohana TLS ny mpanjifa Helm (tsy amin'ny dikan'ny HTTP amin'ny lafiny server, fa ny TLS mifamaly). Afaka mampiasa fanalahidin'ny mpizara sy mpanjifa ianao mba hifandraisana. Raha ny marina, tsy mampiasa mekanika toy izany aho satria tsy tiako ny mari-pankasitrahana. Amin'ny ankapobeny, chartmuseum - ny fitaovana fototra amin'ny fametrahana Helm Repo ho an'ny Helm 2 - manohana ny fanamarinana fototra ihany koa. Afaka mampiasa auth fototra ianao raha mety sy mangina kokoa.

Misy ihany koa ny plugin helm-gcs, izay ahafahanao mampiantrano Chart Repos amin'ny Google Cloud Storage. Tena mety izany, miasa tsara ary tena azo antoka, satria ireo mekanika voalaza etsy ambony dia recycle.

Raha mamela HTTPS na TLS ianao, mampiasa mTLS, ary mamela ny auth fototra hampihenana ny risika, dia hahazo fantsona fifandraisana azo antoka miaraka amin'ny Helm CLI sy Chart Repo ianao.

gRPC API

Ny dingana manaraka dia tena zava-dehibe - ny fiarovana ny Tiller, izay hita ao amin'ny cluster ary, amin'ny lafiny iray, mpizara, amin'ny lafiny iray, dia miditra amin'ny singa hafa izy ary manandrana mody ho olona.

Araka ny efa nolazaiko, Tiller dia serivisy iray mampiseho ny gRPC, ny mpanjifa Helm dia tonga amin'izany amin'ny alàlan'ny gRPC. Amin'ny alàlan'ny default, mazava ho azy, TLS dia kilemaina. Fanontaniana azo iadian-kevitra ny antony nanaovana an'io, toa nanatsotra ny fanamboarana tany am-piandohana aho.

Ho an'ny famokarana eny fa na dia ny filalaovana aza dia manoro hevitra aho ny hamela ny TLS amin'ny gRPC.

Raha ny hevitro, tsy toy ny mTLS ho an'ny tabilao, dia mety eto izany ary atao tsotra izao - mamorona fotodrafitrasa PQI, mamorona taratasy fanamarinana, manokatra Tiller, mamindra ny taratasy fanamarinana mandritra ny fanombohana. Aorian'izany dia azonao atao ny manatanteraka ny baikon'ny Helm rehetra, manolotra ny tenanao miaraka amin'ny taratasy fanamarinana sy fanalahidy manokana.

Amin'izany fomba izany dia hiaro ny tenanao amin'ny fangatahana rehetra amin'ny Tiller avy any ivelan'ny cluster ianao.

Noho izany, niantoka ny fantsom-pifandraisana mankany Tiller izahay, efa niresaka momba ny RBAC izahay ary nanitsy ny zon'ny apiserver Kubernetes, mampihena ny sehatra ahafahany mifandray.

Helm voaaro

Andeha hojerentsika ny kisary farany. Izy io dia rafitra mitovy amin'ny zana-tsipìka mitovy.

Ny fifandraisana rehetra izao dia azo alaina soa aman-tsara amin'ny maitso:

• ho an'ny Chart Repo dia mampiasa TLS na mTLS sy auth fototra izahay;
• mTLS ho an'ny Tiller, ary aseho ho serivisy gRPC miaraka amin'ny TLS, mampiasa taratasy fanamarinana izahay;
• mampiasa kaonty serivisy manokana miaraka amin'ny Role sy RoleBinding ny cluster. 

Nahazo antoka tanteraka ny cluster izahay, saingy nisy olona marani-tsaina nilaza hoe:

"Tsy misy afa-tsy vahaolana azo antoka tanteraka - solosaina maty, izay hita ao anaty boaty simenitra ary ambenan'ny miaramila."

Misy fomba samihafa hanodinana angon-drakitra sy hitadiavana vectors fanafihana vaovao. Na izany aza, matoky aho fa ireo tolo-kevitra ireo dia hahatratra ny fenitra indostrialy fototra momba ny fiarovana.

Bonus

Ity ampahany ity dia tsy mifandray mivantana amin'ny fiarovana, fa ilaina ihany koa. Hasehoko anao ireo zavatra mahaliana izay tsy fantatry ny olona vitsivitsy. Ohatra, ny fomba fitadiavana tabilao - ofisialy sy tsy ofisialy.

Ao amin'ny repository github.com/helm/charts Ankehitriny dia misy tabilao 300 eo ho eo sy renirano roa: stable sy incubator. Na iza na iza mandray anjara dia mahafantatra tsara ny fahasarotan'ny fandehanana avy amin'ny incubator mankany amin'ny stable, ary ny mora ny manidina avy ao amin'ny stable. Na izany aza, tsy ity no fitaovana tsara indrindra hikaroka tabilao ho an'ny Prometheus sy izay rehetra tianao, noho ny antony tsotra iray - tsy vavahadin-tserasera ahafahanao mikaroka fonosana.

Saingy misy serivisy hub.helm.sh, izay mahatonga azy ho mora kokoa ny fitadiavana tabilao. Ny tena zava-dehibe dia misy tahiry ivelany maro hafa ary efa ho 800 ny ody. Fanampin'izay, azonao atao ny mampifandray ny fitahirizanao raha toa ka tsy te handefa ny tabilao ho stable ianao.

Andramo ny hub.helm.sh ary andao hiara-hivoatra. Ity serivisy ity dia eo ambanin'ny tetikasa Helm, ary azonao atao mihitsy aza ny mandray anjara amin'ny UI-ny raha toa ianao ka mpamorona eo anoloana ary te hanatsara ny endriny fotsiny.

Te-hisarika ny sainao koa aho Open Service Broker API fampidirana. Toa sarotra sy manjavozavo izany, saingy mamaha ny olana atrehin'ny tsirairay. Mamelà ahy hanazava amin'ny ohatra tsotra.

Misy kluster Kubernetes izay tiantsika hampiasana fampiharana mahazatra - WordPress. Amin'ny ankapobeny dia ilaina ny angon-drakitra ho an'ny fiasa feno. Misy vahaolana maro samihafa, ohatra, azonao atao ny manomboka ny serivisy statefull anao manokana. Tsy dia mety loatra izany, fa maro ny olona manao izany.

Ny hafa, toa anay ao amin'ny Chainstack, dia mampiasa angon-drakitra voatanisa toa ny MySQL na PostgreSQL ho an'ny mpizara azy. Izany no mahatonga ny angonay hita any amin'ny toerana iray ao amin'ny rahona.

Saingy misy olana mitranga: mila mampifandray ny serivisy amin'ny angon-drakitra isika, mamorona tsiron'ny database, mamindra ny fahazoan-dàlana ary mitantana azy io. Izany rehetra izany dia matetika ataon'ny administrateur na developer amin'ny tanana. Ary tsy misy olana rehefa vitsy ny fampiharana. Rehefa be dia be izy ireo dia mila mitambatra. Misy mpijinja toy izany - Service Broker izany. Izany dia ahafahanao mampiasa plugin manokana ho an'ny cluster rahona ho an'ny daholobe ary manafatra loharano avy amin'ny mpamatsy amin'ny alàlan'ny Broker, toy ny API. Mba hanaovana izany dia azonao atao ny mampiasa fitaovana Kubernetes teratany.

Tena tsotra. Azonao atao ny manontany, ohatra, Managed MySQL ao Azure miaraka amin'ny ambaratonga fototra (azo amboarina izany). Amin'ny fampiasana ny Azure API, ny angon-drakitra dia hamboarina sy homanina hampiasaina. Tsy mila mitsabaka amin'izany ianao, ny plugin no tompon'andraikitra amin'izany. Ohatra, ny OSBA (Azure plugin) dia hamerina ny fahazoan-dàlana amin'ny serivisy ary handefa izany amin'ny Helm. Afaka mampiasa WordPress amin'ny cloud MySQL ianao, fa tsy mifandray amin'ny angon-drakitra voatantana mihitsy ary tsy manahy momba ny serivisy feno ao anatiny.

Azontsika atao ny milaza fa ny Helm dia miasa toy ny lakaoly izay, amin'ny lafiny iray, mamela anao hametraka serivisy, ary amin'ny lafiny iray, mandany ny loharanon'ny mpamatsy rahona.

Azonao atao ny manoratra ny plugin anao manokana ary mampiasa ity tantara manontolo ity eo an-toerana. Avy eo ianao dia hanana plugin anao manokana ho an'ny mpamatsy Cloud orinasa. Manoro hevitra aho hanandrana ity fomba ity, indrindra raha manana ambaratonga lehibe ianao ary te-hametraka haingana ny dev, staging, na ny fotodrafitrasa manontolo ho an'ny endri-javatra iray. Hanamora ny fiainana ho an'ny asanao na DevOps izany.

Ny fahitana iray hafa izay efa nolazaiko dia ny Helm-gcs plugin, izay ahafahanao mampiasa Google-buckets (fitehirizana zavatra) hitahiry ny sarin'ny Helm.

Didy efatra ihany no ilainao hanombohana mampiasa azy:

1. mametraka ny plugin;
2. manomboka izany;
3. apetraho ny lalana mankany amin'ny siny, izay hita ao amin'ny gcp;
4. mamoaka tabilao amin'ny fomba mahazatra.

Ny tsara tarehy dia ny fomba gcp teratany dia hampiasaina amin'ny fanomezan-dàlana. Afaka mampiasa kaonty serivisy ianao, kaonty developer, na inona na inona tianao. Tena mety izy io ary tsy misy fandaniana amin'ny fandidiana. Raha toa ianao, toa ahy, mampiroborobo ny filozofia opsless, dia mety tsara izany, indrindra ho an'ny ekipa kely.

safidy

Tsy ny Helm ihany no vahaolana amin'ny fitantanana serivisy. Be dia be ny fanontaniana momba izany, izay angamba no nahatonga ny dikan-teny fahatelo niseho haingana. Mazava ho azy fa misy safidy hafa.

Ireo dia mety ho vahaolana manokana, ohatra, Ksonnet na Metaparticle. Azonao atao ny mampiasa ny fitaovana fitantanana fotodrafitrasa mahazatra anao (Ansible, Terraform, Chef, sns.) ho an'ny tanjona mitovy amin'izay noresahiko.

Farany dia misy vahaolana Framework Operator, izay mitombo ny lazany.

Ny Framework Operator no safidy Helm ambony hodinihina.

Izy io dia teratany kokoa amin'ny CNCF sy Kubernetes, fa ny sakana amin'ny fidirana dia ambony lavitra, mila manao fandaharana bebe kokoa ianao ary mamaritra ny manifests kely kokoa.

Misy addons isan-karazany, toy ny Draft, Scaffold. Manamora ny fiainana izy ireo, ohatra, manatsotra ny tsingerin'ny fandefasana sy fandefasana Helm ho an'ny mpamorona mba hametraka tontolo fitsapana. Nantsoiko hoe mpanome hery izy ireo.

Ity misy tabilao hita maso misy ny zava-drehetra.

Ao amin'ny x-axis ny haavon'ny fifehezanao manokana ny zava-mitranga, eo amin'ny ordinate - ny haavon'ny maha-teratany an'i Kubernetes. Helm version 2 dia mianjera eo afovoany. Ao amin'ny dikan-3, tsy dia lehibe loatra, fa ny fifehezana sy ny haavon'ny maha-teratany dia nohatsaraina. Ny vahaolana amin'ny ambaratonga Ksonnet dia mbola ambany na dia amin'ny Helm 2 aza. Na izany aza, mendrika hojerena izy ireo mba hahafantarana ny zavatra hafa eto amin'izao tontolo izao. Mazava ho azy fa ho eo ambany fifehezanao ny mpitantana ny fandrindrana anao, saingy tsy teratany avy amin'ny Kubernetes izy io.

Ny Framework Operator dia tena teratany amin'ny Kubernetes ary ahafahanao mitantana azy io amin'ny fomba kanto kokoa sy amim-pitandremana (fa tadidio ny ambaratonga fidirana). Izany kosa dia mety amin'ny fampiharana manokana sy ny famoronana fitantanana ho azy, fa tsy ny mpijinja faobe amin'ny famonosana fampiharana marobe amin'ny fampiasana Helm.

Manatsara kely fotsiny ny mpanelanelana, mameno ny fizotran'ny asa, na manapaka zoro amin'ny fantsona CI/CD.

Ny hoavin'i Helm

Ny vaovao tsara dia ho avy ny Helm 3. Efa nivoaka ny version alpha an'ny Helm 3.0.0-alpha.2, azonao andramana. Tena stable izy io, saingy voafetra ihany ny fampiasa.

Nahoana ianao no mila Helm 3? Voalohany indrindra, ity dia tantara momba ny fanjavonan'i Tiller, ho singa iray. Izany, araka ny efa azonao, dia dingana goavana, satria amin'ny fomba fijery ny fiarovana ny maritrano, ny zava-drehetra dia tsotra.

Rehefa noforonina ny Helm 2, izay tamin'ny fotoan'ny Kubernetes 1.8 na taloha kokoa aza, dia maro tamin'ireo hevitra no tsy matotra. Ohatra, ny foto-kevitra CRD dia ampiharina amin'izao fotoana izao, ary ny Helm mampiasa CRDmitahiry rafitra. Azo atao ny mampiasa afa-tsy ny mpanjifa fa tsy mitazona ny ampahany amin'ny server. Noho izany, ampiasao ny baiko Kubernetes teratany mba hiasa amin'ny rafitra sy loharano. Dingana goavana izany.

Hiseho fanohanana ireo tahiry OCI teratany (Open Container Initiative). Ity dia hetsika goavana, ary ny Helm no tena liana amin'ny famoahana ny sariny. Tonga amin'ny teboka fa, ohatra, ny Docker Hub dia manohana fenitra OCI maro. Tsy maminavina aho, fa angamba ireo mpamatsy tahiry Docker mahazatra dia hanomboka hanome anao fahafahana hampiantrano ny tabilao Helm anao.

Ny tantara mampiady hevitra amiko dia Fanohanana Lua, ho toy ny maotera modely amin'ny fanoratana soratra. Tsy mpankafy an'i Lua aho, fa ity dia mety ho endri-javatra azo atao. In-3 nojereko izany - tsy ilaina ny mampiasa Lua. Noho izany, ireo izay te-hampiasa an'i Lua, ireo izay tia an'i Go, midira ao amin'ny toby lehibe misy anay ary ampiasao ny go-tmpl amin'izany.

Farany, ny tena tsy hitako dia ny firongatry ny schema sy ny fanamarinana karazana data. Tsy hisy olana intsony amin'ny int na string, tsy ilaina ny mametaka aotra amin'ny teny roa. Hisy schema JSONS hiseho izay ahafahanao mamaritra mazava an'io ho an'ny soatoavina.

Havaozina mafy modely amin'ny hetsika. Efa nofaritana ara-kevitra izany. Jereo ny sampana Helm 3, ary ho hitanao hoe firy ny hetsika sy ny farango ary ny zavatra hafa nampiana, izay hanatsotra be ary, amin'ny lafiny iray, manampy ny fanaraha-maso ny fizotran'ny fametrahana sy ny fihetsik'izy ireo.

Ny Helm 3 dia ho tsotra kokoa, azo antoka kokoa ary mahafinaritra kokoa, tsy hoe satria tsy tia Helm 2 isika, fa satria lasa mandroso kokoa i Kubernetes. Noho izany, afaka mampiasa ny fivoaran'ny Kubernetes i Helm ary mamorona mpitantana tsara ho an'ny Kubernetes momba izany.

Vaovao tsara hafa koa izany DevOpsConf Alexander Khayorov dia hilaza aminao, azo antoka ve ny container? Avelao izahay hampahatsiahy anao fa ny fihaonambe momba ny fampidirana ny fampandrosoana, ny fitsapana ary ny fizotran'ny asa dia hatao ao Moskoa 30 Septambra sy 1 Oktobra. Mbola afaka manao izany hatramin'ny 20 aogositra manolotra tatitra ary lazao anay ny traikefanao momba ny vahaolana iray amin'ny maro ny asan'ny fomba fiasa DevOps.

Araho ny toeram-pisavana sy ny vaovao ao amin'ny lisitry ny mailaka и fantsona telegrama.

Source: www.habr.com