Golang ရှိ Kubernetes အတွက် အော်ပရေတာတစ်ခု ရေးနေသည်။

မှတ်ချက်။ ဘာသာပြန်: အော်ပရေတာများသည် Kubernetes အတွက် အရန်ဆော့ဖ်ဝဲများဖြစ်ပြီး အချို့သောဖြစ်ရပ်များ ဖြစ်ပေါ်လာသည့်အခါ အစုလိုက်အရာဝတ္တုများပေါ်တွင် ပုံမှန်လုပ်ဆောင်ချက်များကို အလိုအလျောက်လုပ်ဆောင်ရန် ဒီဇိုင်းထုတ်ထားသည်။ အော်ပရေတာတွေအကြောင်း ရေးထားပြီးသား ဤဆောင်းပါးတွင်သူတို့အလုပ်၏ အခြေခံသဘောတရားများနှင့် အခြေခံမူများအကြောင်း ဆွေးနွေးခဲ့ကြပါသည်။ သို့သော် ထိုအကြောင်းအရာသည် Kubernetes အတွက် အဆင်သင့်လုပ်ထားသော အစိတ်အပိုင်းများ လည်ပတ်မှုဘက်ခြမ်းမှ ပိုမိုအမြင်သာ ဖြစ်နေပါက၊ ယခုတင်ပြထားသော ဆောင်းပါးအသစ်၏ ဘာသာပြန်ဆိုမှုသည် အော်ပရေတာအသစ်ကို အကောင်အထည်ဖော်ခြင်းဖြင့် ပဟေဋ္ဌိဖြစ်နေသော developer/DevOps အင်ဂျင်နီယာတစ်ဦး၏ အမြင်ဖြစ်နေပါပြီ။

ကုဒ်ကိုလေ့လာပြီး Kubernetes အတွက် အော်ပရေတာဖန်တီးခြင်းဆိုင်ရာ စာရွက်စာတမ်းများကို ရှာဖွေရန် ကြိုးစားပြီးနောက် လက်တွေ့ဘဝနမူနာတစ်ခုဖြင့် ဤပို့စ်ကို ရေးသားရန် ဆုံးဖြတ်ခဲ့သည်။

ဖော်ပြမည့် ဥပမာမှာ ဤအရာဖြစ်သည်- ကျွန်ုပ်တို့၏ Kubernetes အစုအဝေးတွင် တစ်ခုစီ Namespace အသင်း၏ sandbox ပတ်ဝန်းကျင်ကို ကိုယ်စားပြုပြီး အသင်းများသည် ၎င်းတို့၏ကိုယ်ပိုင် sandbox များတွင်သာ ကစားနိုင်စေရန် ၎င်းတို့ထံ ဝင်ရောက်ခွင့်ကို ကန့်သတ်လိုပါသည်။

အသုံးပြုသူတစ်ဦးကို အဖွဲ့တစ်ဖွဲ့ သတ်မှတ်ပေးခြင်းဖြင့် သင်အလိုရှိသောအရာကို ရရှိနိုင်ပါသည်။ RoleBinding သီးခြား Namespace и ClusterRole တည်းဖြတ်ပိုင်ခွင့်နှင့်အတူ။ YAML ကိုယ်စားပြုပုံသည် ဤကဲ့သို့ဖြစ်လိမ့်မည်-

---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: kubernetes-team-1
  namespace: team-1
subjects:
- kind: Group
  name: kubernetes-team-1
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: edit
apiGroup: rbac.authorization.k8s.io

(rolebinding.yamlတွင် ကုန်ကြမ်း)

တစ်ခုဖန်တီးပါ။ RoleBinding ၎င်းကို သင်ကိုယ်တိုင် ပြုလုပ်နိုင်သော်လည်း ရာဂဏန်းနေရာများ အမှတ်အသားကို ဖြတ်ကျော်ပြီးနောက် ၎င်းသည် ပျင်းစရာကောင်းသည့် အလုပ်ဖြစ်လာသည်။ ဤနေရာတွင် Kubernetes အော်ပရေတာများသည် အဆင်ပြေလာရာ—သူတို့သည် သင့်အား အရင်းအမြစ်ပြောင်းလဲမှုများအပေါ် အခြေခံ၍ Kubernetes အရင်းအမြစ်များကို အလိုအလျောက်ဖန်တီးနိုင်စေမည်ဖြစ်သည်။ ငါတို့ကိစ္စမှာ ငါတို့ဖန်တီးချင်တယ်။ RoleBinding ဖန်တီးနေစဉ် Namespace.

ပထမဦးစွာ function ကိုသတ်မှတ်ကြပါစို့ main၎င်းသည် ကြေညာချက်ကို လုပ်ဆောင်ရန် လိုအပ်သော တပ်ဆင်မှုကို လုပ်ဆောင်ပြီးနောက် ထုတ်ပြန်ချက်လုပ်ဆောင်ချက်ကို ခေါ်သည်-

(မှတ်ချက်။ ဘာသာပြန်: ဤနေရာနှင့် ကုဒ်ရှိ မှတ်ချက်များအောက်တွင် ရုရှားဘာသာသို့ ဘာသာပြန်ပါသည်။ ထို့အပြင်၊ Habr အပြင်အဆင်အတွင်း ပိုမိုကောင်းမွန်စွာဖတ်ရှုနိုင်စေရန် ရည်ရွယ်ချက်အတွက် [Go တွင်အကြံပြုထားသည့်] တက်ဘ်များအစား ကွက်လပ်များအဖြစ် ကွက်လပ်များကို ပြုပြင်ထားပါသည်။ စာရင်းတစ်ခုစီပြီးနောက် အင်္ဂလိပ်ဘာသာမှတ်ချက်များနှင့် တဘ်များကို သိမ်းဆည်းထားသည့် GitHub တွင် မူရင်းလင့်ခ်များရှိသည်။)

func main() {
  // Устанавливаем вывод логов в консольный STDOUT
  log.SetOutput(os.Stdout)

  sigs := make(chan os.Signal, 1) // Создаем канал для получения сигналов ОС
  stop := make(chan struct{})     // Создаем канал для получения стоп-сигнала

  // Регистрируем получение SIGTERM в канале sigs
  signal.Notify(sigs, os.Interrupt, syscall.SIGTERM, syscall.SIGINT) 

  // Goroutines могут сами добавлять себя в WaitGroup,
 // чтобы завершения их выполнения дожидались
  wg := &sync.WaitGroup{} 

  runOutsideCluster := flag.Bool("run-outside-cluster", false, "Set this flag when running outside of the cluster.")
  flag.Parse()
  // Создаем clientset для взаимодействия с кластером Kubernetes
  clientset, err := newClientSet(*runOutsideCluster)

  if err != nil {
    panic(err.Error())
  }

  controller.NewNamespaceController(clientset).Run(stop, wg)

  <-sigs // Ждем сигналов (до получения сигнала более ничего не происходит)
  log.Printf("Shutting down...")

  close(stop) // Говорим goroutines остановиться
  wg.Wait()   // Ожидаем, что все остановлено
}

(main.goတွင် ကုန်ကြမ်း)

ကျွန်ုပ်တို့သည် အောက်ပါအတိုင်း လုပ်ဆောင်သည်-

1. အော်ပရေတာ၏ ပြတ်သားစွာရပ်စဲမှုကိုဖြစ်စေရန်အတွက် တိကျသောလည်ပတ်မှုစနစ်အချက်ပြမှုများအတွက် ကိုင်တွယ်ကိရိယာကို စီစဉ်သတ်မှတ်ပေးပါသည်။
2. ကျွန်တော်တို WaitGroupအပလီကေးရှင်းကိုမပိတ်မီ gooutines အားလုံးကို သပ်ရပ်စွာရပ်တန့်ရန်။
3. ဖန်တီးခြင်းဖြင့် ကျွန်ုပ်တို့သည် အစုအဝေးသို့ ဝင်ရောက်ခွင့်ကို ပေးပါသည်။ clientset.
4. စတင်လိုက်ပါ NamespaceControllerကျွန်ုပ်တို့၏ယုတ္တိဗေဒအားလုံးသည် မည်သည့်အရာတွင် ရှိနေမည်နည်း။

ယခု ကျွန်ုပ်တို့သည် ယုတ္တိဗေဒအတွက် အခြေခံတစ်ခု လိုအပ်ပြီး ကျွန်ုပ်တို့၏အခြေအနေတွင်၊ ဤအရာသည် ဖော်ပြခဲ့သည်။ NamespaceController:

// NamespaceController следит через Kubernetes API за изменениями
// в пространствах имен и создает RoleBinding для конкретного namespace.
type NamespaceController struct {
  namespaceInformer cache.SharedIndexInformer
  kclient           *kubernetes.Clientset
}

// NewNamespaceController создает новый NewNamespaceController
func NewNamespaceController(kclient *kubernetes.Clientset) *NamespaceController {
  namespaceWatcher := &NamespaceController{}

  // Создаем информер для слежения за Namespaces
  namespaceInformer := cache.NewSharedIndexInformer(
    &cache.ListWatch{
      ListFunc: func(options metav1.ListOptions) (runtime.Object, error) {
        return kclient.Core().Namespaces().List(options)
      },
      WatchFunc: func(options metav1.ListOptions) (watch.Interface, error) {
        return kclient.Core().Namespaces().Watch(options)
      },
    },
    &v1.Namespace{},
    3*time.Minute,
    cache.Indexers{cache.NamespaceIndex: cache.MetaNamespaceIndexFunc},
  )

  namespaceInformer.AddEventHandler(cache.ResourceEventHandlerFuncs{
    AddFunc: namespaceWatcher.createRoleBinding,
  })

  namespaceWatcher.kclient = kclient
  namespaceWatcher.namespaceInformer = namespaceInformer

  return namespaceWatcher
}

(controller.goတွင် ကုန်ကြမ်း)

ဤတွင်ကျွန်ုပ်တို့ configure SharedIndexInformer(ကက်ရှ်တစ်ခုအသုံးပြုခြင်း) သည် namespaces အပြောင်းအလဲအတွက် ထိရောက်စွာ စောင့်မျှော်နိုင်မည်ဖြစ်သည်။ (ဆောင်းပါးတွင် သတင်းပေးသူများအကြောင်း ဆက်လက်ဖတ်ရှုပါရန်။Kubernetes အစီအစဉ်ဆွဲသူသည် အမှန်တကယ် မည်သို့အလုပ်လုပ်သနည်း။"- အနီးစပ်ဆုံး ဘာသာပြန်). အဲဒါပြီးရင် ကျွန်တော်တို့ ချိတ်ဆက်တယ်။ EventHandler သတင်းပေးသူထံ ၊ သို့မှသာ namespace ပေါင်းထည့်သောအခါ (Namespace) function ဟုခေါ်သည်။ createRoleBinding.

နောက်တစ်ဆင့်မှာ ဤလုပ်ဆောင်ချက်ကို သတ်မှတ်ရန်ဖြစ်သည်။ createRoleBinding:

func (c *NamespaceController) createRoleBinding(obj interface{}) {
  namespaceObj := obj.(*v1.Namespace)
  namespaceName := namespaceObj.Name

  roleBinding := &v1beta1.RoleBinding{
    TypeMeta: metav1.TypeMeta{
      Kind:       "RoleBinding",
      APIVersion: "rbac.authorization.k8s.io/v1beta1",
    },
    ObjectMeta: metav1.ObjectMeta{
      Name:      fmt.Sprintf("ad-kubernetes-%s", namespaceName),
      Namespace: namespaceName,
    },
    Subjects: []v1beta1.Subject{
      v1beta1.Subject{
        Kind: "Group",
        Name: fmt.Sprintf("ad-kubernetes-%s", namespaceName),
      },
    },
    RoleRef: v1beta1.RoleRef{
      APIGroup: "rbac.authorization.k8s.io",
        Kind:     "ClusterRole",
        Name:     "edit",
    },
  }

  _, err := c.kclient.Rbac().RoleBindings(namespaceName).Create(roleBinding)

  if err != nil {
    log.Println(fmt.Sprintf("Failed to create Role Binding: %s", err.Error()))
  } else {
    log.Println(fmt.Sprintf("Created AD RoleBinding for Namespace: %s", roleBinding.Name))
  }
}

(controller.goတွင် ကုန်ကြမ်း)

ကျွန်ုပ်တို့သည် namespace ကိုရယူသည်။ obj ၎င်းကို အရာဝတ္ထုတစ်ခုအဖြစ် ပြောင်းလဲပါ။ Namespace. ပြီးရင် ငါတို့ သတ်မှတ်တယ်။ RoleBindingပေးထားသည့်အရာဝတ္ထုကို အသုံးပြု၍ အစတွင်ဖော်ပြထားသော YAML ဖိုင်အပေါ်အခြေခံသည်။ Namespace နှင့်ဖန်တီးမှု RoleBinding. နောက်ဆုံးတွင်၊ ဖန်တီးမှုအောင်မြင်သည်ဖြစ်စေ၊

နောက်ဆုံးသတ်မှတ်ရမယ့် function က Run:

// Run запускает процесс ожидания изменений в пространствах имён
// и действия в соответствии с этими изменениями.
func (c *NamespaceController) Run(stopCh <-chan struct{}, wg *sync.WaitGroup) {
  // Когда эта функция завершена, пометим как выполненную
  defer wg.Done()

  // Инкрементируем wait group, т.к. собираемся вызвать goroutine
  wg.Add(1)

  // Вызываем goroutine
  go c.namespaceInformer.Run(stopCh)

  // Ожидаем получения стоп-сигнала
  <-stopCh
}

(controller.goတွင် ကုန်ကြမ်း)

ဒီမှာပြောနေတာ WaitGroupgooutine ကိုဖွင့်ပြီး ခေါ်ဆိုလိုက်ပါ။ namespaceInformer၊ အရင်က သတ်မှတ်ခဲ့တာ။ ရပ်တန့်အချက်ပြမှုရောက်ရှိသောအခါ, ၎င်းသည်လုပ်ဆောင်ချက်ကိုအဆုံးသတ်လိမ့်မည်, အသိပေးပါ။ WaitGroupလုပ်ဆောင်ခြင်းမပြုတော့ဘဲ၊ ဤလုပ်ဆောင်ချက်သည် ထွက်ပါမည်။

Kubernetes အစုအဝေးတွင် ဤထုတ်ပြန်ချက်ကို တည်ဆောက်ခြင်းနှင့် လုပ်ဆောင်ခြင်းဆိုင်ရာ အချက်အလက်ကို တွင် တွေ့နိုင်ပါသည်။ GitHub ရှိ သိုလှောင်မှုများ.

ဒါပဲ ဖန်တီးပေးတဲ့ အော်ပရေတာအတွက်ပါ။ RoleBinding ဘယ်တော့လဲ Namespace Kubernetes အစုအဝေးတွင်၊ အဆင်သင့်ဖြစ်ပါပြီ။

source: www.habr.com