🥇CRI-O како замена за Docker како средина за извршување на Kubernetes: поставување на CentOS 8

Здраво! Јас се викам Сергеј, јас сум DevOps во Surf. Одделот DevOps во Surf има за цел не само да воспостави интеракција помеѓу специјалистите и да ги интегрира работните процеси, туку и активно да ги истражува и имплементира тековните технологии и во сопствената инфраструктура и во инфраструктурата на клиентите.

Подолу ќе зборувам малку за промените во технолошкиот оџак за контејнери со кои наидовме додека ја проучувавме дистрибуцијата CentOS 8 и за тоа што е тоа CRI-O и како брзо да поставите извршна околина за Кубернети.

Зошто Docker не е вклучен во CentOS 8?

По инсталирањето на најновите големи изданија РЕЛ 8 или CentOS 8 не може а да не се забележи: овие дистрибуции и официјални складишта не ја содржат апликацијата пристанишен работник, кои идеолошки и функционално ги заменуваат пакетите Подман, Билдах (присутно во дистрибуцијата стандардно) и CRI-O. Ова се должи на практичната имплементација на стандардите развиени, меѓу другото, од Red Hat како дел од проектот Open Container Initiative (OCI).

Целта на OCI, која е дел од Фондацијата Линукс, е да создаде отворени индустриски стандарди за формати на контејнери и работни времиња кои решаваат неколку проблеми одеднаш. Прво, тие не беа во спротивност со филозофијата на Linux (на пример, во делот дека секоја програма треба да изврши една акција, и пристанишен работник е еден вид на се-во-едно комбинација). Второ, тие би можеле да ги отстранат сите постоечки недостатоци во софтверот пристанишен работник. Трето, тие би биле целосно компатибилни со деловните барања на водечките комерцијални платформи за распоредување, управување и сервисирање на контејнеризирани апликации (на пример, Red Hat OpenShift).

Ограничувања пристанишен работник а предностите на новиот софтвер веќе се детално опишани во овој напис, а детален опис на целиот софтверски стек понуден во рамките на проектот OCI и неговите архитектонски карактеристики може да се најдат во официјалната документација и написите од самата Red Hat (не е лошо Член во Red Hat блог) и во трети лица осврти.

Важно е да се забележи каква функционалност имаат компонентите на предложениот оџак:

Подман — директна интеракција со контејнерите и складирање на слики преку процесот runC;
Билдах — склопување и поставување слики во регистарот;
CRI-O — извршна средина за системи за оркестрација на контејнери (на пример, Kubernetes).

Мислам дека за да се разбере општата шема на интеракција помеѓу компонентите на оџакот, препорачливо е да се обезбеди дијаграм за поврзување овде Кубернети c работи C и библиотеки на ниско ниво со користење CRI-O:

CRI-O и Кубернети придржувајте се до истиот циклус на ослободување и поддршка (матрицата за компатибилност е многу едноставна: главните верзии Кубернети и CRI-O се совпаѓаат), а тоа, земајќи го предвид фокусот на целосно и сеопфатно тестирање на работата на овој оџак од страна на програмерите, ни дава за право да очекуваме максимална остварлива стабилност во работењето под какви било сценарија за употреба (релативната леснотија е исто така корисна овде CRI-O во споредба со пристанишен работник поради намерно ограничување на функционалноста).

При инсталирање Кубернети „правилен начин“ начин (според OCI, се разбира) со користење CRI-O на CentOS 8 Наидовме на мали потешкотии, кои, сепак, успешно ги надминавме. Со задоволство ќе ги споделам со вас инструкциите за инсталација и конфигурација, што вкупно ќе потрае околу 10 минути.

Како да се распореди Kubernetes на CentOS 8 користејќи ја рамката CRI-O

Предуслови: присуство на најмалку еден хост (2 јадра, 4 GB RAM, најмалку 15 GB складирање) со инсталиран CentOS 8 (се препорачува инсталациониот профил „Сервер“), како и записи за него во локалниот DNS (како последно средство, можете да поминете со запис во /etc/hosts). И не заборавајте оневозможи замена.

Ние ги извршуваме сите операции на домаќинот како root корисник, бидете внимателни.

Во првиот чекор, ќе го конфигурираме ОС, ќе инсталираме и конфигурираме прелиминарни зависности за CRI-O.
- Ајде да го ажурираме ОС:
```
dnf -y update
```
- Следно, треба да го конфигурирате заштитниот ѕид и SELinux. Овде сè зависи од средината во која ќе работат нашиот домаќин или домаќини. Можете или да поставите заштитен ѕид според препораките од документација, или, ако сте на доверлива мрежа или користите заштитен ѕид од трета страна, сменете ја стандардната зона во доверлива или исклучете го заштитниот ѕид:
```
firewall-cmd --set-default-zone trusted

firewall-cmd --reload
```
  За да го исклучите заштитниот ѕид, можете да ја користите следнава команда:
```
systemctl disable --now firewalld
```
  SELinux треба да се исклучи или да се префрли на „попустлив“ режим:
```
setenforce 0

sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config
```
- Вчитајте ги потребните модули и пакети на јадрото, конфигурирајте го автоматското вчитување на модулот „br_netfilter“ при стартување на системот:
```
modprobe overlay

modprobe br_netfilter

echo "br_netfilter" >> /etc/modules-load.d/br_netfilter.conf

dnf -y install iproute-tc
```
- За да го активираме препраќањето пакети и правилното процесирање на сообраќајот, ќе ги направиме соодветните поставки:
```
cat > /etc/sysctl.d/99-kubernetes-cri.conf <<EOF
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF
```
  примени ги направените поставки:
```
sysctl --system
```
- поставете ја потребната верзија CRI-O (главна верзија CRI-O, како што веќе споменавме, одговарајте на потребната верзија Кубернети), од најновата стабилна верзија Кубернети моментално 1.18:
```
export REQUIRED_VERSION=1.18
```
  додадете ги потребните складишта:
```
dnf -y install 'dnf-command(copr)'

dnf -y copr enable rhcontainerbot/container-selinux

curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable/CentOS_8/devel:kubic:libcontainers:stable.repo

curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION/CentOS_8/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo
```
- сега можеме да инсталираме CRI-O:
```
dnf -y install cri-o
```
  Обрнете внимание на првата нијанса со која се среќаваме за време на процесот на инсталација: треба да ја уредите конфигурацијата CRI-O пред да ја започнете услугата, бидејќи потребната заедничка компонента има различна локација од наведената:
```
sed -i 's//usr/libexec/crio/conmon//usr/bin/conmon/' /etc/crio/crio.conf
```
  Сега можете да го активирате и стартувате демонот CRI-O:
```
systemctl enable --now crio
```
  Можете да го проверите статусот на демонот:
```
systemctl status crio
```
Инсталација и активирање Кубернети.
- Ајде да го додадеме потребното складиште:
```
cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-$basearch
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
exclude=kubelet kubeadm kubectl
EOF
```
  Сега можеме да инсталираме Кубернети (верзија 1.18, како што е споменато погоре):
```
dnf install -y kubelet-1.18* kubeadm-1.18* kubectl-1.18* --disableexcludes=kubernetes
```
- Втората важна нијанса: бидејќи не користиме демон пристанишен работник, но ние го користиме демонот CRI-O, пред лансирање и иницијализација Кубернети треба да ги направите соодветните поставки во конфигурациската датотека /var/lib/kubelet/config.yaml, откако прво го создадовте саканиот директориум:
```
mkdir /var/lib/kubelet

cat <<EOF > /var/lib/kubelet/config.yaml
apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
cgroupDriver: systemd
EOF
```
- Третата важна точка со која се среќаваме при инсталацијата: и покрај фактот што го наведовме користениот драјвер cгрупа, и неговата конфигурација преку аргументите поминати кубелет е застарена (како што е експлицитно наведено во документацијата), треба да додадеме аргументи во датотеката, инаку нашиот кластер нема да се иницијализира:
```
cat /dev/null > /etc/sysconfig/kubelet

cat <<EOF > /etc/sysconfig/kubelet
KUBELET_EXTRA_ARGS=--container-runtime=remote --cgroup-driver=systemd --container-runtime-endpoint='unix:///var/run/crio/crio.sock'
EOF
```
- Сега можеме да го активираме демонот кубелет:
```
sudo systemctl enable --now kubelet
```
  За приспособување контролен авион или работник јазли за неколку минути, можете да ги користите со оваа скрипта.
Време е да го иницијализираме нашиот кластер.
- За да го иницијализирате кластерот, извршете ја командата:
```
kubeadm init --pod-network-cidr=10.244.0.0/16
```
  Задолжително запишете ја командата за приклучување на кластерот „kubeadm join…“, кој од вас се бара да го користите на крајот од излезот, или барем на наведените токени.
- Ајде да го инсталираме приклучокот (CNI) за Pod мрежата. Препорачувам користење Американ. Можеби попопуларно Фланел има проблеми со компатибилноста со nftables, да и Американ - единствената имплементација на CNI препорачана и целосно тестирана од проектот Кубернети:
```
kubectl --kubeconfig /etc/kubernetes/admin.conf apply -f https://docs.projectcalico.org/v3.15/manifests/calico.yaml 
```
- За да поврзете работник јазол со нашиот кластер, треба да го конфигурирате според упатствата 1 и 2 или да користите скрипта, потоа извршете ја командата од излезот „kubeadm init...“ што го запишавме во претходниот чекор:
```
kubeadm join $CONTROL_PLANE_ADDRESS:6443 --token $TOKEN 
    --discovery-token-ca-cert-hash $TOKEN_HASH
```
- Ајде да провериме дали нашиот кластер е иницијализиран и почнал да работи:
```
kubectl --kubeconfig=/etc/kubernetes/admin.conf get pods -A
```
Подготвени! Веќе можете да вдомите носивост на вашиот кластер K8s.

Што не чека напред

Се надевам дека горенаведените упатства помогнаа да заштедите време и нерви.
Исходот на процесите што се случуваат во индустријата често зависи од тоа како тие се прифатени од најголемиот дел од крајните корисници и развивачите на друг софтвер во соодветната ниша. Сè уште не е сосема јасно до што ќе доведат иницијативите на OCI за неколку години, но ние ќе гледаме со задоволство. Можете да го споделите вашето мислење токму сега во коментарите.

Останете со нас!

Оваа статија се појави благодарение на следните извори:

Дел за траење на контејнерите Кубернетес документација

Страница Проект CRI-O на Интернет

Статии од блогот на Red Hat: оваа, ова и многу други

Извор: www.habr.com

CRI-O како замена за Docker како средина за извршување за Kubernetes: поставување на CentOS 8

Зошто Docker не е вклучен во CentOS 8?

Како да се распореди Kubernetes на CentOS 8 користејќи ја рамката CRI-O

Што не чека напред

Додадете коментар Откажи одговор