ഗോലാങ്ങിലെ കുബെർനെറ്റസിനായി ഒരു ഓപ്പറേറ്റർ എഴുതുന്നു

കുറിപ്പ്. വിവർത്തനം.: ചില ഇവന്റുകൾ സംഭവിക്കുമ്പോൾ ക്ലസ്റ്റർ ഒബ്‌ജക്‌റ്റുകളിലെ പതിവ് പ്രവർത്തനങ്ങളുടെ നിർവ്വഹണം ഓട്ടോമേറ്റ് ചെയ്യാൻ രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന കുബർനെറ്റസിന്റെ സഹായ സോഫ്റ്റ്‌വെയറാണ് ഓപ്പറേറ്റർമാർ. ഓപ്പറേറ്റർമാരെ കുറിച്ച് ഞങ്ങൾ ഇതിനകം എഴുതിയിട്ടുണ്ട് ഈ ലേഖനം, അവിടെ അവർ അവരുടെ പ്രവർത്തനത്തിന്റെ അടിസ്ഥാന ആശയങ്ങളെയും തത്വങ്ങളെയും കുറിച്ച് സംസാരിച്ചു. എന്നാൽ കുബർനെറ്റസിനായി റെഡിമെയ്ഡ് ഘടകങ്ങൾ പ്രവർത്തിപ്പിക്കുന്നതിന്റെ വശത്ത് നിന്നുള്ള കാഴ്ചയാണ് ആ മെറ്റീരിയലെങ്കിൽ, ഇപ്പോൾ നിർദ്ദേശിച്ചിരിക്കുന്ന പുതിയ ലേഖനത്തിന്റെ വിവർത്തനം ഇതിനകം തന്നെ ഒരു പുതിയ ഓപ്പറേറ്റർ നടപ്പിലാക്കുന്നതിൽ ആശയക്കുഴപ്പത്തിലായ ഒരു ഡവലപ്പർ/DevOps എഞ്ചിനീയറുടെ കാഴ്ചപ്പാടാണ്.

കുബെർനെറ്റസിനായി ഒരു ഓപ്പറേറ്റർ സൃഷ്ടിക്കുന്നതിനുള്ള ഡോക്യുമെന്റേഷൻ കണ്ടെത്താനുള്ള എന്റെ ശ്രമങ്ങൾക്ക് ശേഷം ഒരു യഥാർത്ഥ ജീവിത ഉദാഹരണത്തോടെ ഈ പോസ്റ്റ് എഴുതാൻ ഞാൻ തീരുമാനിച്ചു, അത് കോഡ് പഠിച്ചു.

വിവരിക്കുന്ന ഉദാഹരണം ഇതാണ്: ഞങ്ങളുടെ കുബർനെറ്റസ് ക്ലസ്റ്ററിൽ, ഓരോന്നും Namespace ഒരു ടീമിന്റെ സാൻഡ്‌ബോക്‌സ് പരിതസ്ഥിതിയെ പ്രതിനിധീകരിക്കുന്നു, ടീമുകൾക്ക് അവരുടെ സ്വന്തം സാൻഡ്‌ബോക്‌സുകളിൽ മാത്രം കളിക്കാൻ കഴിയുന്ന തരത്തിൽ അവരിലേക്കുള്ള ആക്‌സസ് പരിമിതപ്പെടുത്താൻ ഞങ്ങൾ ആഗ്രഹിച്ചു.

ഒരു ഉപയോക്താവിന് ഉള്ള ഒരു ഗ്രൂപ്പിനെ നിയോഗിക്കുന്നതിലൂടെ നിങ്ങൾക്ക് ആവശ്യമുള്ളത് നേടാനാകും RoleBinding പ്രത്യേകം Namespace и ClusterRole എഡിറ്റിംഗ് അവകാശങ്ങൾക്കൊപ്പം. YAML പ്രാതിനിധ്യം ഇതുപോലെ കാണപ്പെടും:

---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: kubernetes-team-1
  namespace: team-1
subjects:
- kind: Group
  name: kubernetes-team-1
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: edit
apiGroup: rbac.authorization.k8s.io

(റോൾബൈൻഡിംഗ്.yamlഅകത്ത് അസംസ്കൃതമായ)

ഒരെണ്ണം ഉണ്ടാക്കുക RoleBinding നിങ്ങൾക്ക് ഇത് സ്വമേധയാ ചെയ്യാൻ കഴിയും, എന്നാൽ നൂറ് നെയിംസ്‌പെയ്‌സ് കടന്നതിന് ശേഷം, ഇത് മടുപ്പിക്കുന്ന ജോലിയായി മാറുന്നു. ഇവിടെയാണ് കുബർനെറ്റ്സ് ഓപ്പറേറ്റർമാർ ഉപയോഗപ്രദമാകുന്നത് - ഉറവിടങ്ങളിലെ മാറ്റങ്ങളെ അടിസ്ഥാനമാക്കി കുബർനെറ്റ്സ് ഉറവിടങ്ങൾ സൃഷ്ടിക്കുന്നത് ഓട്ടോമേറ്റ് ചെയ്യാൻ അവർ നിങ്ങളെ അനുവദിക്കുന്നു. ഞങ്ങളുടെ കാര്യത്തിൽ, ഞങ്ങൾ സൃഷ്ടിക്കാൻ ആഗ്രഹിക്കുന്നു RoleBinding സൃഷ്ടിക്കുമ്പോൾ Namespace.

ഒന്നാമതായി, നമുക്ക് ഫംഗ്ഷൻ നിർവചിക്കാം mainഇത് സ്റ്റേറ്റ്മെന്റ് പ്രവർത്തിപ്പിക്കുന്നതിന് ആവശ്യമായ സജ്ജീകരണം ചെയ്യുകയും തുടർന്ന് സ്റ്റേറ്റ്മെന്റ് പ്രവർത്തനത്തെ വിളിക്കുകയും ചെയ്യുന്നു:

(കുറിപ്പ്. വിവർത്തനം.: ഇവിടെയും താഴെയും കോഡിലെ അഭിപ്രായങ്ങൾ റഷ്യൻ ഭാഷയിലേക്ക് വിവർത്തനം ചെയ്തിട്ടുണ്ട്. കൂടാതെ, Habr ലേഔട്ടിനുള്ളിലെ മികച്ച വായനാക്ഷമതയ്ക്കായി മാത്രം [Go-ൽ ശുപാർശ ചെയ്‌ത] ടാബുകൾക്ക് പകരം സ്‌പെയ്‌സുകളിലേക്ക് ഇൻഡന്റേഷൻ ശരിയാക്കി. ഓരോ ലിസ്റ്റിംഗിനും ശേഷം, GitHub-ൽ ഒറിജിനലിലേക്കുള്ള ലിങ്കുകൾ ഉണ്ട്, അവിടെ ഇംഗ്ലീഷ് ഭാഷയിലുള്ള അഭിപ്രായങ്ങളും ടാബുകളും സംഭരിച്ചിരിക്കുന്നു.)

func main() {
  // Устанавливаем вывод логов в консольный STDOUT
  log.SetOutput(os.Stdout)

  sigs := make(chan os.Signal, 1) // Создаем канал для получения сигналов ОС
  stop := make(chan struct{})     // Создаем канал для получения стоп-сигнала

  // Регистрируем получение SIGTERM в канале sigs
  signal.Notify(sigs, os.Interrupt, syscall.SIGTERM, syscall.SIGINT) 

  // Goroutines могут сами добавлять себя в WaitGroup,
 // чтобы завершения их выполнения дожидались
  wg := &sync.WaitGroup{} 

  runOutsideCluster := flag.Bool("run-outside-cluster", false, "Set this flag when running outside of the cluster.")
  flag.Parse()
  // Создаем clientset для взаимодействия с кластером Kubernetes
  clientset, err := newClientSet(*runOutsideCluster)

  if err != nil {
    panic(err.Error())
  }

  controller.NewNamespaceController(clientset).Run(stop, wg)

  <-sigs // Ждем сигналов (до получения сигнала более ничего не происходит)
  log.Printf("Shutting down...")

  close(stop) // Говорим goroutines остановиться
  wg.Wait()   // Ожидаем, что все остановлено
}

(main.goഅകത്ത് അസംസ്കൃതമായ)

ഞങ്ങൾ ഇനിപ്പറയുന്നവ ചെയ്യുന്നു:

1. നിർദിഷ്ട ഓപ്പറേറ്റിംഗ് സിസ്റ്റം സിഗ്നലുകൾക്കായി ഞങ്ങൾ ഒരു ഹാൻഡ്‌ലർ കോൺഫിഗർ ചെയ്യുന്നു.
2. ഞങ്ങൾ ഉപയോഗിക്കുന്നു WaitGroupആപ്ലിക്കേഷൻ അവസാനിപ്പിക്കുന്നതിന് മുമ്പ് എല്ലാ ഗോറൂട്ടീനുകളും മനോഹരമായി നിർത്തുക.
3. സൃഷ്ടിക്കുന്നതിലൂടെ ഞങ്ങൾ ക്ലസ്റ്ററിലേക്ക് ആക്സസ് നൽകുന്നു clientset.
4. ലോഞ്ച് NamespaceController, അതിൽ നമ്മുടെ എല്ലാ യുക്തിയും സ്ഥിതിചെയ്യും.

ഇപ്പോൾ നമുക്ക് യുക്തിക്ക് ഒരു അടിസ്ഥാനം ആവശ്യമാണ്, ഞങ്ങളുടെ കാര്യത്തിൽ ഇത് സൂചിപ്പിച്ചതാണ് NamespaceController:

// NamespaceController следит через Kubernetes API за изменениями
// в пространствах имен и создает RoleBinding для конкретного namespace.
type NamespaceController struct {
  namespaceInformer cache.SharedIndexInformer
  kclient           *kubernetes.Clientset
}

// NewNamespaceController создает новый NewNamespaceController
func NewNamespaceController(kclient *kubernetes.Clientset) *NamespaceController {
  namespaceWatcher := &NamespaceController{}

  // Создаем информер для слежения за Namespaces
  namespaceInformer := cache.NewSharedIndexInformer(
    &cache.ListWatch{
      ListFunc: func(options metav1.ListOptions) (runtime.Object, error) {
        return kclient.Core().Namespaces().List(options)
      },
      WatchFunc: func(options metav1.ListOptions) (watch.Interface, error) {
        return kclient.Core().Namespaces().Watch(options)
      },
    },
    &v1.Namespace{},
    3*time.Minute,
    cache.Indexers{cache.NamespaceIndex: cache.MetaNamespaceIndexFunc},
  )

  namespaceInformer.AddEventHandler(cache.ResourceEventHandlerFuncs{
    AddFunc: namespaceWatcher.createRoleBinding,
  })

  namespaceWatcher.kclient = kclient
  namespaceWatcher.namespaceInformer = namespaceInformer

  return namespaceWatcher
}

(controller.goഅകത്ത് അസംസ്കൃതമായ)

ഇവിടെ ഞങ്ങൾ കോൺഫിഗർ ചെയ്യുന്നു SharedIndexInformer, ഇത് ഫലത്തിൽ (ഒരു കാഷെ ഉപയോഗിച്ച്) നെയിംസ്‌പെയ്‌സിലെ മാറ്റങ്ങൾക്കായി കാത്തിരിക്കും (ലേഖനത്തിൽ വിവരം നൽകുന്നവരെ കുറിച്ച് കൂടുതൽ വായിക്കുക "കുബർനെറ്റസ് ഷെഡ്യൂളർ യഥാർത്ഥത്തിൽ എങ്ങനെയാണ് പ്രവർത്തിക്കുന്നത്?"- ഏകദേശം. വിവർത്തനം). ഇതിനുശേഷം ഞങ്ങൾ ബന്ധിപ്പിക്കുന്നു EventHandler വിവരമറിയിക്കുന്നയാൾക്ക്, അങ്ങനെ ഒരു നെയിംസ്പേസ് ചേർക്കുമ്പോൾ (Namespace) ഫംഗ്ഷൻ എന്ന് വിളിക്കുന്നു createRoleBinding.

ഈ ഫംഗ്ഷൻ നിർവചിക്കുക എന്നതാണ് അടുത്ത ഘട്ടം createRoleBinding:

func (c *NamespaceController) createRoleBinding(obj interface{}) {
  namespaceObj := obj.(*v1.Namespace)
  namespaceName := namespaceObj.Name

  roleBinding := &v1beta1.RoleBinding{
    TypeMeta: metav1.TypeMeta{
      Kind:       "RoleBinding",
      APIVersion: "rbac.authorization.k8s.io/v1beta1",
    },
    ObjectMeta: metav1.ObjectMeta{
      Name:      fmt.Sprintf("ad-kubernetes-%s", namespaceName),
      Namespace: namespaceName,
    },
    Subjects: []v1beta1.Subject{
      v1beta1.Subject{
        Kind: "Group",
        Name: fmt.Sprintf("ad-kubernetes-%s", namespaceName),
      },
    },
    RoleRef: v1beta1.RoleRef{
      APIGroup: "rbac.authorization.k8s.io",
        Kind:     "ClusterRole",
        Name:     "edit",
    },
  }

  _, err := c.kclient.Rbac().RoleBindings(namespaceName).Create(roleBinding)

  if err != nil {
    log.Println(fmt.Sprintf("Failed to create Role Binding: %s", err.Error()))
  } else {
    log.Println(fmt.Sprintf("Created AD RoleBinding for Namespace: %s", roleBinding.Name))
  }
}

(controller.goഅകത്ത് അസംസ്കൃതമായ)

നമുക്ക് നെയിംസ്പേസ് ഇപ്രകാരം ലഭിക്കുന്നു obj അതിനെ ഒരു വസ്തുവാക്കി മാറ്റുകയും ചെയ്യുക Namespace. അപ്പോൾ ഞങ്ങൾ നിർവചിക്കുന്നു RoleBinding, നൽകിയിരിക്കുന്ന ഒബ്ജക്റ്റ് ഉപയോഗിച്ച് തുടക്കത്തിൽ സൂചിപ്പിച്ച YAML ഫയലിനെ അടിസ്ഥാനമാക്കി Namespace സൃഷ്ടിക്കുകയും ചെയ്യുന്നു RoleBinding. അവസാനം, സൃഷ്ടി വിജയകരമാണോ എന്ന് ഞങ്ങൾ രേഖപ്പെടുത്തുന്നു.

നിർവചിക്കേണ്ട അവസാന ഫംഗ്ഷൻ Run:

// Run запускает процесс ожидания изменений в пространствах имён
// и действия в соответствии с этими изменениями.
func (c *NamespaceController) Run(stopCh <-chan struct{}, wg *sync.WaitGroup) {
  // Когда эта функция завершена, пометим как выполненную
  defer wg.Done()

  // Инкрементируем wait group, т.к. собираемся вызвать goroutine
  wg.Add(1)

  // Вызываем goroutine
  go c.namespaceInformer.Run(stopCh)

  // Ожидаем получения стоп-сигнала
  <-stopCh
}

(controller.goഅകത്ത് അസംസ്കൃതമായ)

ഇവിടെ നമ്മൾ സംസാരിക്കുന്നു WaitGroupഞങ്ങൾ ഗൊറൗട്ടിൻ സമാരംഭിക്കുകയും തുടർന്ന് വിളിക്കുകയും ചെയ്യുന്നു namespaceInformer, മുമ്പ് നിർവചിക്കപ്പെട്ടത്. സ്റ്റോപ്പ് സിഗ്നൽ എത്തുമ്പോൾ, അത് പ്രവർത്തനം അവസാനിപ്പിക്കും, അറിയിക്കുക WaitGroup, അത് ഇനി എക്സിക്യൂട്ട് ചെയ്യില്ല, ഈ ഫംഗ്ഷൻ പുറത്തുകടക്കും.

ഒരു കുബർനെറ്റസ് ക്ലസ്റ്ററിൽ ഈ പ്രസ്താവന നിർമ്മിക്കുന്നതും പ്രവർത്തിപ്പിക്കുന്നതും സംബന്ധിച്ച വിവരങ്ങൾ കണ്ടെത്താനാകും GitHub-ലെ റിപ്പോസിറ്ററികൾ.

അത് സൃഷ്ടിക്കുന്ന ഓപ്പറേറ്റർക്കുള്ളതാണ് RoleBinding എപ്പോൾ Namespace കുബർനെറ്റസ് ക്ലസ്റ്ററിൽ, തയ്യാറാണ്.

അവലംബം: www.habr.com