Kubernetes အစုအဝေးရှိ အပေါက်များကို ပြင်ဆင်ခြင်း။ DevOpsConf မှ အစီရင်ခံစာနှင့် စာသားမှတ်တမ်း

Southbridge ဖြေရှင်းချက်ဗိသုကာနှင့် Slurm ဆရာ Pavel Selivanov သည် DevOpsConf 2019 တွင် မိတ်ဆက်ပွဲတစ်ခု ပေးခဲ့သည်။ ဤဟောပြောပွဲသည် Kubernetes "Slurm Mega" ၏ ​​နက်ရှိုင်းသောသင်တန်း၏ ခေါင်းစဉ်များထဲမှ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။

Slurm Basic- Kubernetes မိတ်ဆက် မော်စကိုမြို့၌ နိုဝင်ဘာ ၁၈ ရက်မှ ၂၀ ရက်အထိ ကျင်းပမည်ဖြစ်သည်။
Slurm Mega- Kubernetes ၏ ပါးပြင်အောက်တွင် ကြည့်နေသည်။ မော်စကို၊ နိုဝင်ဘာ ၂၂-၂၄။
Slurm အွန်လိုင်း- Kubernetes သင်တန်းနှစ်ခုလုံး အမြဲရရှိနိုင်သည်။

ဖြတ်တောက်မှုအောက်တွင် အစီရင်ခံစာ၏ စာသားမှတ်တမ်းဖြစ်သည်။

ကောင်းသောနေ့လည်ခင်းပါ လုပ်ဖော်ကိုင်ဖက်များနှင့် စာနာကြသူများ။ ဒီနေ့တော့ လုံခြုံရေးအကြောင်းပြောမယ်။

ဒီနေ့ ခန်းမထဲမှာ လုံခြုံရေး အစောင့်တွေ အများကြီး ရှိနေတာကို တွေ့လိုက်ရတယ်။ ကျွန်ုပ်သည် သင့်အတွက် ထုံးစံအတိုင်း လုံခြုံရေးလောကမှ စည်းကမ်းချက်များကို အသုံးပြုပါက သင့်အား ကြိုတင်တောင်းပန်အပ်ပါသည်။

လွန်ခဲ့သော ခြောက်လခန့်က အများသူငါ Kubernetes အစုအဝေးတစ်ခုကို တွေ့လိုက်ရသည်။ အများသူငှာ ဆိုသည်မှာ namespace ၏ nth အရေအတွက် ရှိသည်၊ ဤ namespaces များတွင် အသုံးပြုသူများသည် ၎င်းတို့၏ namespace တွင် သီးခြားခွဲထားသည်။ ဤအသုံးပြုသူများအားလုံးသည် မတူညီသောကုမ္ပဏီများမှ သက်ဆိုင်ပါသည်။ ကောင်းပြီ၊ ဤအစုအဝေးကို CDN အဖြစ် အသုံးပြုသင့်သည်ဟု ယူဆပါသည်။ ဆိုလိုသည်မှာ ၎င်းတို့သည် သင့်အား အစုအဝေးတစ်ခု ပေးသည်၊ ၎င်းတို့သည် သင့်အား ထိုနေရာတွင် အသုံးပြုသူတစ်ဦးကို ပေးသည်၊ သင်သည် ထိုနေရာသို့သွား၍ သင်၏အမည်နေရာကို သွားရန်၊ သင်၏မျက်နှာစာများကို ဖြန့်ကျက်ထားသည်။

ကျွန်ုပ်၏ယခင်ကုမ္ပဏီသည် ထိုသို့သောဝန်ဆောင်မှုကို ရောင်းချရန် ကြိုးစားခဲ့သည်။ ပြီးတော့ ဒီဖြေရှင်းချက်က သင့်တော်သလား၊ မသင့်တော်ဘူးလားဆိုတာကို ကြည့်ဖို့ အစုလိုက်အပြုံလိုက်ကို ထိုးခိုင်းခိုင်းတယ်။

ကျွန်တော် ဒီအစုအဝေးကို ရောက်လာတယ်။ ကျွန်ုပ်အား အကန့်အသတ်ရှိသော အခွင့်အရေး၊ အကန့်အသတ်ရှိသော အမည်နေရာ ပေးထားပါသည်။ လုံခြုံမှုဆိုတာ ဘာလဲဆိုတာကို ဟိုကလူတွေ နားလည်တယ်။ Kubernetes တွင် Role-based access control (RBAC) အကြောင်း ဖတ်ပြီး - ဖြန့်ကျက်ခြင်းမှ သီးခြားခွဲထုတ်ခြင်းမပြုနိုင်စေရန် ၎င်းကို လိမ်ထားပါသည်။ ဖြန့်ကျက်ခြင်းမပြုဘဲ pod တစ်ခုကိုဖွင့်ခြင်းဖြင့် ဖြေရှင်းရန်ကြိုးစားခဲ့သည့်ပြဿနာကို ကျွန်ုပ်မမှတ်မိတော့သော်လည်း pod တစ်ခုမျှသာ စတင်လိုပါသည်။ ကံကောင်းစေရန်အတွက်၊ ကျွန်ုပ်သည် အစုအဝေးတွင် အဘယ်အခွင့်အရေး၊ ကျွန်ုပ်လုပ်နိုင်သည်၊ ကျွန်ုပ်လုပ်နိုင်သည်နှင့် ၎င်းတို့သည် ထိုနေရာတွင် လွဲချော်နေသည်ကို မြင်ရန် ဆုံးဖြတ်ခဲ့သည်။ တစ်ချိန်တည်းမှာပင်၊ RBAC တွင် ၎င်းတို့ မှားယွင်းစွာ ပြင်ဆင်ထားသည်ကို ကျွန်ုပ်ပြောပြပါမည်။

ထို့ကြောင့် နှစ်မိနစ်အကြာတွင် ကျွန်ုပ်သည် ၎င်းတို့၏ အစုအဝေးသို့ စီမံခန့်ခွဲသူတစ်ဦးကို လက်ခံရရှိကာ၊ အနီးနားရှိ အမည်နေရာများအားလုံးကို ကြည့်လိုက်ရာ၊ ဝန်ဆောင်မှုကို ဝယ်ယူပြီး အသုံးပြုပြီးသော ကုမ္ပဏီများ၏ ထုတ်လုပ်မှုဆိုင်ရာ မျက်နှာစာများကို ထိုနေရာတွင် မြင်တွေ့ခဲ့ရသည်။ တစ်စုံတစ်ယောက်၏ ရှေ့သို့သွားကာ ပင်မစာမျက်နှာပေါ်တွင် ဆဲဆိုစကားအချို့ တင်ခြင်းမပြုရန် တားနိုင်ခဲ့သည်။

ငါဒါကိုဘယ်လိုလုပ်ခဲ့သလဲ၊ မင်းကိုဘယ်လိုကာကွယ်ရမလဲဆိုတာကို ဥပမာတွေနဲ့ ပြောပြမယ်။

ဒါပေမယ့် အရင်ဆုံး ကိုယ့်ကိုကိုယ် မိတ်ဆက်ပါရစေ။ ကျွန်တော့်နာမည် Pavel Selivanov ပါ။ ကျွန်တော်က Southbridge မှာ ဗိသုကာတစ်ယောက်ပါ။ Kubernetes၊ DevOps နှင့် ဆန်းကြယ်သော အရာများအားလုံးကို ကျွန်ုပ်နားလည်ပါသည်။ Southbridge အင်ဂျင်နီယာတွေနဲ့ ကျွန်တော် ဒီအရာအားလုံးကို တည်ဆောက်နေပြီး တိုင်ပင်နေပါတယ်။

ကျွန်ုပ်တို့၏ အဓိကလုပ်ဆောင်မှုများအပြင်၊ ကျွန်ုပ်တို့သည် Slurms ဟုခေါ်သော ပရောဂျက်များကို မကြာသေးမီက စတင်လုပ်ဆောင်ခဲ့သည်။ ကျွန်ုပ်တို့သည် Kubernetes နှင့် လက်တွဲလုပ်ဆောင်နိုင်သော စွမ်းရည်ကို အခြားလူများအား K8s နှင့်လည်း လုပ်ဆောင်တတ်စေရန် သင်ပေးရန်အတွက် လူများထံ အနည်းငယ်ယူဆောင်လာရန် ကြိုးစားနေပါသည်။

ဒီနေ့ ဘာအကြောင်းပြောရမလဲ။ အစီရင်ခံစာ၏ ခေါင်းစဉ်သည် Kubernetes အစုအဝေး၏ လုံခြုံရေးအကြောင်း ထင်ရှားသည်။ ဒါပေမယ့် ဒီအကြောင်းအရာက အရမ်းကြီးကျယ်တယ်လို့ ချက်ချင်းပဲ ပြောချင်တယ် - ဒါကြောင့် ကျွန်တော် လုံးဝ မပြောမယ့် အရာကို ချက်ချင်း ရှင်းလင်းချင်ပါတယ်။ အင်တာနက်မှာ အကြိမ်တစ်ရာသုံးထားပြီးဖြစ်တဲ့ ဟက်ကာအသုံးအနှုန်းတွေအကြောင်း မပြောတော့ပါဘူး။ RBAC အမျိုးမျိုးနှင့် လက်မှတ်များ။

Kubernetes အစုအဝေးရှိ လုံခြုံရေးအတွက် ကျွန်ုပ်နှင့် လုပ်ဖော်ကိုင်ဖက်များအား နာကျင်စေမည့်အရာများအကြောင်း ပြောပြပါမည်။ Kubernetes အစုအဝေးများကို ပံ့ပိုးပေးသော ဝန်ဆောင်မှုပေးသူများနှင့် ကျွန်ုပ်တို့ထံ လာပေးသည့် ဖောက်သည်များကြားတွင် ဤပြဿနာများကို ကျွန်ုပ်တို့ တွေ့မြင်ရပါသည်။ အခြားသော အတိုင်ပင်ခံ စီမံခန့်ခွဲရေး ကုမ္ပဏီများမှ ကျွန်ုပ်တို့ထံ ရောက်ရှိလာသော ဖောက်သည်များထံမှပင်။ ဆိုလိုသည်မှာ၊ အဖြစ်ဆိုး၏အတိုင်းအတာသည် အမှန်တကယ်ပင် အလွန်ကြီးမားပါသည်။

ဒီနေ့ပြောပြမယ့် အချက်သုံးချက်ရှိပါတယ်-

1. အသုံးပြုသူအခွင့်အရေးနှင့် ပေါ့ဒ်အခွင့်အရေးများ။ အသုံးပြုသူအခွင့်အရေးနှင့် pod rights သည် တူညီသောအရာမဟုတ်ပါ။
2. အစုအဖွဲ့နှင့်ပတ်သက်သော အချက်အလက်များကို စုဆောင်းခြင်း။ ဤအစုအဝေးတွင် အထူးအခွင့်အရေးများမရှိဘဲ သင်လိုအပ်သော အချက်အလက်အားလုံးကို စုဆောင်းနိုင်ကြောင်း ကျွန်ုပ်ပြပါမည်။
3. အစုအဖွဲ့အပေါ် DoS တိုက်ခိုက်မှု။ အကယ်၍ ကျွန်ုပ်တို့သည် အချက်အလက်များကို မစုဆောင်းနိုင်ပါက မည်သည့်ကိစ္စတွင်မဆို အစုအဝေးတစ်ခုကို ထားရှိနိုင်ပါမည်။ အစုလိုက်ထိန်းချုပ်မှုဒြပ်စင်များပေါ်တွင် DoS တိုက်ခိုက်မှုများအကြောင်း ကျွန်ုပ်ပြောပါမည်။

ကျွန်တော်ပြောမယ့် ယေဘူယျအချက်တစ်ချက်ကတော့ ကျွန်တော် ဒီအရာအားလုံးကို စမ်းသပ်ခဲ့ရာက အားလုံးအဆင်ပြေတယ်လို့ ကျွန်တော်သေချာပေါက်ပြောနိုင်ပါတယ်။

Kubespray ကို အသုံးပြု၍ Kubernetes အစုအဝေးတစ်ခု တပ်ဆင်ခြင်းကို အခြေခံအဖြစ် ကျွန်ုပ်တို့ခံယူသည်။ မည်သူမဆိုမသိပါက၊ ဤသည်မှာ အမှန်တကယ်အားဖြင့် Ansible အတွက် အခန်းကဏ္ဍတစ်ခုဖြစ်သည်။ ကျွန်ုပ်တို့သည် ၎င်းကို ကျွန်ုပ်တို့၏လုပ်ငန်းတွင် အဆက်မပြတ်အသုံးပြုသည်။ ကောင်းသောအချက်မှာ မည်သည့်နေရာတွင်မဆို လှိမ့်နိုင်သည်- သံအပိုင်းအစများ သို့မဟုတ် တိမ်တိုက်တစ်ခုသို့ လှိမ့်နိုင်သည်။ တပ်ဆင်ခြင်းနည်းလမ်းတစ်ခုသည် အရာအားလုံးအတွက် မူအရအလုပ်လုပ်သည်။

ဤအစုအဝေးတွင် Kubernetes v1.14.5 ရှိပါမည်။ ကျွန်ုပ်တို့စဉ်းစားမည့် Cube အစုအဝေးတစ်ခုလုံးကို namespaces များအဖြစ် ပိုင်းခြားထားပြီး namespace တစ်ခုစီသည် သီးခြားအဖွဲ့တစ်ခုမှဖြစ်ပြီး၊ ဤအဖွဲ့၏အဖွဲ့ဝင်များသည် namespace တစ်ခုစီသို့ ဝင်ရောက်နိုင်သည်။ ၎င်းတို့သည် မတူညီသော အမည်နေရာများသို့ မသွားနိုင်ကြပါ။ သို့သော် အစုအဖွဲ့တစ်ခုလုံးအတွက် လုပ်ပိုင်ခွင့်ရှိသည့် စီမံခန့်ခွဲသူအကောင့်တစ်ခု ရှိပါသည်။

ကျွန်ုပ်တို့ ပထမဆုံးလုပ်ရမည့်အရာမှာ အစုအဖွဲ့အတွက် စီမံခန့်ခွဲပိုင်ခွင့်များရရှိရန် ကတိပြုပါသည်။ Kubernetes အစုအဝေးကို ချိုးဖျက်မည့် အထူးပြင်ဆင်ထားသည့် ပေါ့ဒ်တစ်ခု လိုအပ်ပါသည်။ ကျွန်ုပ်တို့လုပ်ဆောင်ရန်မှာ ၎င်းကို Kubernetes အစုအဝေးတွင် အသုံးချရန်ဖြစ်သည်။

kubectl apply -f pod.yaml

ဤ pod သည် Kubernetes အစုအဝေး၏ သခင်တစ်ဦးထံသို့ ရောက်ရှိမည်ဖြစ်သည်။ ဤနောက်တွင် အစုအဖွဲ့သည် admin.conf ဟုခေါ်သော ဖိုင်တစ်ခု ကျွန်ုပ်တို့ထံ ပျော်ရွှင်စွာ ပြန်လည်ရောက်ရှိပါမည်။ Cube တွင်၊ ဤဖိုင်သည် စီမံခန့်ခွဲသူလက်မှတ်များအားလုံးကို သိမ်းဆည်းထားပြီး တစ်ချိန်တည်းတွင် အစုအဖွဲ့ API ကို စီစဉ်သတ်မှတ်ပေးသည်။ Kubernetes အစုအဝေးများ၏ 98% ကို စီမံခန့်ခွဲသူထံ ဝင်ရောက်ခွင့်ရရန် ဤမျှလွယ်ကူသည်။

ထပ်ခါထပ်ခါ၊ ဤ pod ကို သင်၏အစုအဝေးရှိ developer တစ်ဦးမှ ပြုလုပ်ထားခြင်းဖြစ်ပြီး ၎င်း၏အဆိုပြုချက်များကို namespace သေးသေးတစ်ခုအဖြစ် အသုံးချနိုင်ကာ ၎င်းအားလုံးကို RBAC မှ ချုပ်နှောင်ထားသည်။ သူ့မှာ အခွင့်အရေးမရှိဘူး။ သို့သော် လက်မှတ်ပြန်ရခဲ့သည်။

ယခုလည်း အထူးပြင်ဆင်ထားသော ဘူးတစ်လုံးအကြောင်း။ ကျွန်ုပ်တို့သည် မည်သည့်ပုံတွင်မဆို လုပ်ဆောင်ပါသည်။ debian:jessie ကို ဥပမာတစ်ခုအနေနဲ့ ယူကြည့်ရအောင်။

ကျွန်ုပ်တို့တွင် ဤအရာရှိသည်။

tolerations:
-   effect: NoSchedule 
    operator: Exists 
nodeSelector: 
    node-role.kubernetes.io/master: "" 

သည်းခံခြင်းဆိုတာဘာလဲ။ Kubernetes အစုအဝေးတစ်ခုရှိ မာစတာများကို များသောအားဖြင့် taint ဟုခေါ်သော အရာဖြင့် အမှတ်အသားပြုကြသည်။ ပြီးတော့ ဒီ “ရောဂါပိုး” ရဲ့ အနှစ်သာရကတော့ pods တွေကို master node တွေမှာ တာဝန်ပေးလို့မရဘူးလို့ ဆိုပါတယ်။ သို့သော်၎င်းသည် "ရောဂါပိုး" ကိုခံနိုင်ရည်ရှိကြောင်းမည်သူမှညွှန်ပြရန်အနှောက်အယှက်မရှိပါ။ Toleration အပိုင်းသည် အချို့သော node များတွင် NoSchedule ရှိလျှင် ကျွန်ုပ်တို့၏ node သည် ထိုကဲ့သို့သော ကူးစက်မှုကို သည်းခံနိုင်သည်ဟု ဆိုရုံမျှဖြင့် ပြဿနာမရှိပါ။

ထို့အပြင် ကျွန်ုပ်တို့၏လက်အောက်ခံသည် ခံနိုင်ရည်ရှိရုံသာမက သခင်ကို အတိအကျပစ်မှတ်ထားလိုသည်ဟု ကျွန်ုပ်တို့ပြောပါသည်။ သခင်တွေဆီမှာ အရသာအရှိဆုံးအရာ ဖြစ်လို့ လက်မှတ်တွေ အားလုံးပါပဲ။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် nodeSelector ဟုဆိုသည်နှင့် ကျွန်ုပ်တို့တွင် မာစတာများပေါ်တွင် စံတံဆိပ်တစ်ခု ရှိသည်၊ ၎င်းသည် အစုအဝေးရှိ node များအားလုံးမှ masters ဖြစ်သည့် အဆိုပါ node များကို အတိအကျ ရွေးချယ်ရန် ခွင့်ပြုသည်။

ဤအပိုင်းနှစ်ပိုင်းဖြင့် သူသည် သခင်ထံသို့ သေချာပေါက် ရောက်လိမ့်မည်။ ထိုအရပ်၌ နေခွင့်ရလိမ့်မည်။

ဒါပေမယ့် ဆရာကြီးဆီ လာရုံနဲ့ မလုံလောက်ပါဘူး။ ဒါက ငါတို့ကို ဘာမှပေးမှာမဟုတ်ဘူး။ ဒီတော့ နောက်တစ်ခုက ဒီနှစ်ခုရှိတယ်၊

hostNetwork: true 
hostPID: true 

ကျွန်ုပ်တို့စတင်လိုက်သော ကျွန်ုပ်တို့၏ pod သည် kernel namespace၊ network namespace တွင်နှင့် PID namespace တွင်နေထိုင်မည်ကိုကျွန်ုပ်တို့သတ်မှတ်ပါသည်။ pod ကို master တွင်စတင်ပြီးသည်နှင့်၎င်းသည်ဤ node ၏အစစ်အမှန်၊ တိုက်ရိုက်ထုတ်လွှင့်မှုများအားလုံးကိုမြင်နိုင်သည်၊ အသွားအလာအားလုံးကိုနားထောင်ပြီးလုပ်ငန်းစဉ်အားလုံး၏ PID ကိုကြည့်ရှုနိုင်မည်ဖြစ်သည်။

နောက်တော့ အသေးအမွှားကိစ္စပါ။ etcd ကိုယူ၍ သင်အလိုရှိသောအရာကိုဖတ်ပါ။

စိတ်ဝင်စားစရာအကောင်းဆုံးအရာမှာ မူရင်းအတိုင်းရှိနေသော ဤ Kubernetes အင်္ဂါရပ်ဖြစ်သည်။

volumeMounts:
- mountPath: /host 
  name: host 
volumes:
- hostPath: 
    path: / 
    type: Directory 
  name: host 

၎င်း၏အနှစ်သာရမှာ၊ ဤအစုအဝေးအတွက် လုပ်ပိုင်ခွင့်မရှိသော်လည်း၊ ကျွန်ုပ်တို့သည် hostPath အမျိုးအစား၏ volume တစ်ခုကို ဖန်တီးလိုသည်ဟု ကျွန်ုပ်တို့ဖွင့်ဆိုနိုင်သည်မှာ ပေါ့ဒ်တွင်ပြောနိုင်သည်။ ဆိုလိုသည်မှာ ကျွန်ုပ်တို့စတင်မည့် host မှလမ်းကြောင်းကိုယူ၍ အသံအတိုးအကျယ်အဖြစ်ယူပါသည်။ ပြီးတော့ အဲဒါကို host လို့ခေါ်တယ်။ ကျွန်ုပ်တို့သည် ဤ hostPath တစ်ခုလုံးကို pod အတွင်းတွင်တပ်ဆင်ထားသည်။ ဤဥပမာတွင် /host directory သို့။

ငါထပ်လုပ်မယ်။ ကျွန်ုပ်တို့သည် pod အား မာစတာထံသို့လာရန်၊ ဟို့ကွန်ရက်နှင့် hostPID ကို ထိုနေရာတွင်ရယူပါ - ဤ pod အတွင်းရှိ မာစတာ၏အမြစ်တစ်ခုလုံးကို တပ်ဆင်ရန် ကျွန်ုပ်တို့ပြောခဲ့သည်။

Debian တွင် ကျွန်ုပ်တို့တွင် bash လည်ပတ်နေပြီး ဤ bash သည် root အောက်တွင် အလုပ်လုပ်သည်ကို သင်နားလည်ပါသည်။ ဆိုလိုသည်မှာ Kubernetes အစုအဝေးတွင် မည်သည့်အခွင့်အရေးမှ မရှိဘဲ မာစတာပေါ်တွင် အမြစ်ကို ကျွန်ုပ်တို့ ရရှိခဲ့ပါသည်။

ထို့နောက် အလုပ်တစ်ခုလုံးသည် sub directory /host /etc/kubernetes/pki သို့သွားရမည်၊ ကျွန်ုပ်မမှားပါက၊ အစုအဖွဲ့၏ မာစတာလက်မှတ်များအားလုံးကို ကောက်ယူပြီး ထို့ကြောင့် အစုအဝေးစီမံခန့်ခွဲသူ ဖြစ်လာမည်ဖြစ်သည်။

ဤနည်းဖြင့် ကြည့်ပါက၊ ဤအရာများသည် အသုံးပြုသူတွင် မည်သည့်အခွင့်အရေးကိုမျှ မခွဲခြားဘဲ pods တွင် အန္တရာယ်အရှိဆုံးအခွင့်အရေးအချို့ဖြစ်သည်-

အကယ်၍ ကျွန်ုပ်သည် အစုအဝေး၏ အမည်နေရာအချို့တွင် ပေါ့ဒ်ကို လုပ်ဆောင်ရန် အခွင့်အရေးရှိပါက၊ ဤ pod သည် မူရင်းအတိုင်း ဤအခွင့်အရေးများရှိသည်။ ကျွန်ုပ်သည် အခွင့်ထူးခံ pods များကို သုံးနိုင်သည်၊ ၎င်းတို့သည် ယေဘူယျအားဖြင့် အခွင့်အရေးအားလုံးဖြစ်သည်၊ လက်တွေ့အားဖြင့် node ပေါ်တွင် root လုပ်နိုင်သည်။

ကျွန်တော်အကြိုက်ဆုံးကတော့ Root user ပါ။ ထို့အပြင် Kubernetes တွင် ဤ Run As Non-Root ရွေးချယ်ခွင့်ရှိသည်။ ၎င်းသည် ဟက်ကာတစ်ဦးထံမှ အကာအကွယ်တစ်မျိုးဖြစ်သည်။ "Moldavian Virus" ဆိုတာ ဘာလဲ သိလား။ အကယ်၍ သင်သည် ဟက်ကာတစ်ဦးဖြစ်ပြီး ကျွန်ုပ်၏ Kubernetes အစုအဝေးသို့ ရောက်ရှိလာပါက၊ ညံ့ဖျင်းသော စီမံခန့်ခွဲသူများ၊ ကျွန်ုပ်တို့မေးပါ - “ကျေးဇူးပြု၍ ကျွန်ုပ်၏ အစုအဝေးကို ဟက်ခ်လုပ်မည်၊ root မဟုတ်သည့်အဖြစ် လုပ်ဆောင်မည့် သင်၏ pods များကို ညွှန်ပြပါ။ မဟုတ်ပါက၊ သင်သည် root အောက်ရှိ သင်၏ pod တွင် လုပ်ငန်းစဉ်ကို run ပြီး ၎င်းသည် ကျွန်ုပ်ကို hack ရန် အလွန်လွယ်ကူပါသည်။ ကျေးဇူးပြုပြီး ကိုယ့်ကိုယ်ကို ကာကွယ်ပါ။"

လက်ခံလမ်းကြောင်း volume သည် Kubernetes အစုအဝေးမှ လိုချင်သောရလဒ်ရရှိရန် အမြန်ဆုံးနည်းလမ်းဖြစ်သည်။

ဒါပေမယ့် ဒါတွေအားလုံးနဲ့ ဘာလုပ်ရမလဲ။

Kubernetes နှင့်တွေ့သော သာမန်စီမံခန့်ခွဲသူတိုင်းထံ ရောက်ရှိလာသင့်သော အတွေးမှာ- "ဟုတ်ပါတယ်၊ ငါမင်းကိုပြောခဲ့တယ် Kubernetes က အလုပ်မလုပ်ပါဘူး။ အဲဒီထဲမှာ အပေါက်တွေရှိတယ်။ ပြီးတော့ Cube တစ်ခုလုံးက မိုက်မဲတာပဲ” တကယ်တော့၊ စာရွက်စာတမ်းကိစ္စတစ်ခုရှိတယ်၊ အဲဒါကိုကြည့်ရင် အပိုင်းတစ်ခုရှိတယ်။ Pod လုံခြုံရေးမူဝါဒ.

ဤအရာသည် yaml အရာဝတ္ထုတစ်ခုဖြစ်သည် - ၎င်းကို Kubernetes အစုအဝေးတွင် ဖန်တီးနိုင်သည် - pods ၏ဖော်ပြချက်တွင် အထူးလုံခြုံရေးကဏ္ဍများကို ထိန်းချုပ်ပေးသည်။ အမှန်မှာ၊ ၎င်းသည် မည်သည့် hostNetwork၊ hostPID၊ စတင်ချိန်တွင် pods များရှိ အချို့သော volume အမျိုးအစားများကို အသုံးပြုရန် အခွင့်အရေးများကို ထိန်းချုပ်ပါသည်။ Pod Security Policy ၏အကူအညီဖြင့် ဤအရာအားလုံးကို ဖော်ပြနိုင်ပါသည်။

Pod Security Policy ၏ စိတ်ဝင်စားစရာအကောင်းဆုံးအချက်မှာ Kubernetes အစုအဝေးတွင်၊ PSP ထည့်သွင်းသူတိုင်းသည် မည်သည့်နည်းဖြင့်မျှ ဖော်ပြခြင်းမပြုရုံသာမက ၎င်းတို့ကို ပုံသေအားဖြင့် ရိုးရှင်းစွာပိတ်ထားခြင်းပင်ဖြစ်သည်။ ဝင်ခွင့်ပလပ်အင်ကို အသုံးပြု၍ Pod လုံခြုံရေးမူဝါဒကို ဖွင့်ထားသည်။

ကောင်းပြီ၊ Pod လုံခြုံရေးမူဝါဒကို အစုအဝေးတွင် ဖြန့်ကျက်ကြည့်ရအောင်၊ စီမံခန့်ခွဲသူများသာ ဝင်ရောက်ခွင့်ရှိသည့် namespace တွင် ကျွန်ုပ်တို့တွင် ဝန်ဆောင်မှု pods အချို့ရှိသည်ဆိုကြပါစို့။ ဆိုကြပါစို့၊ အခြားကိစ္စများတွင် pods များသည် အကန့်အသတ်ရှိသော အခွင့်အရေးများရှိသည်။ အဘယ်ကြောင့်ဆိုသော် ဖြစ်နိုင်ခြေရှိသော developer အများစုသည် သင်၏ cluster တွင် အခွင့်ထူးခံ pod များကို လုပ်ဆောင်ရန် မလိုအပ်ပါ။

ပြီးတော့ အရာအားလုံးက ငါတို့နဲ့ အဆင်ပြေနေပုံရတယ်။ ကျွန်ုပ်တို့၏ Kubernetes အစုအဝေးကို နှစ်မိနစ်အတွင်း ဟက်ကင်းလုပ်နိုင်မည်မဟုတ်ပေ။

ပြဿနာတစ်ခုရှိတယ်။ ဖြစ်နိုင်ချေများသည်မှာ သင့်တွင် Kubernetes အစုအဝေးတစ်ခုရှိပါက၊ ထို့နောက် စောင့်ကြည့်စစ်ဆေးခြင်းကို သင်၏အစုအဝေးတွင် ထည့်သွင်းထားသည်။ မင်းရဲ့အစုအဖွဲ့ကို စောင့်ကြည့်နေတယ်ဆိုရင် အဲဒါကို Prometheus လို့ ခေါ်မယ်လို့ ခန့်မှန်းဖို့တောင် ငါသွားဦးမယ်။

ငါပြောမယ့်အရာက Prometheus အော်ပရေတာနဲ့ Prometheus တို့ရဲ့ သန့်ရှင်းတဲ့ပုံစံနဲ့ ပေးပို့တဲ့ Prometheus အတွက် အကျုံးဝင်မှာဖြစ်ပါတယ်။ မေးခွန်းက စီမံခန့်ခွဲသူတစ်ဦးကို အစုအဝေးသို့ အမြန်မခေါ်နိုင်ပါက၊ ပိုမိုကြည့်ရှုရန် လိုအပ်သည်ဟု ဆိုလိုခြင်းဖြစ်သည်။ ပြီးတော့ မင်းရဲ့စောင့်ကြည့်မှုအကူအညီနဲ့ ငါရှာနိုင်တယ်။

Habré တွင် တူညီသော ဆောင်းပါးများကို လူတိုင်း ဖတ်ဖူးကြမည် ဖြစ်ကောင်း ဖြစ်နိုင်ပြီး စောင့်ကြည့်မှု သည် စောင့်ကြည့်ရေး အမည်နေရာ တွင် တည်ရှိသည်။ Helm chart သည် လူတိုင်းအတွက် တူညီသည်ဟု အကြမ်းဖျင်းခေါ်သည်။ Stable/prometheus ကို ပဲ့စင်တပ်ဆင်ရင် အကြမ်းဖျင်းအားဖြင့် တူညီတဲ့ နာမည်တွေနဲ့ အဆုံးသတ်မယ်လို့ ထင်ပါတယ်။ သင့်အစုအဝေးရှိ DNS အမည်ကိုပင် ခန့်မှန်းရန် မလိုအပ်ပါ။ စံမို့လို့ပါ။

နောက်တစ်ခုတွင် သင်သည် အချို့သော pod တစ်ခုကို run နိုင်သော အချို့သော dev ns တစ်ခုရှိသည်။ ပြီးတော့ ဒီ pod ကနေ ဒီလိုမျိုးလုပ်ရတာ အရမ်းလွယ်ပါတယ်

$ curl http://prometheus-kube-state-metrics.monitoring 

prometheus-kube-state-metrics သည် Kubernetes API ကိုယ်တိုင်မှ မက်ထရစ်များကို စုဆောင်းသည့် Prometheus တင်ပို့သူများထဲမှ တစ်ခုဖြစ်သည်။ အဲဒီမှာဒေတာတွေအများကြီးရှိတယ်၊ မင်းရဲ့အစုအဝေးမှာလည်ပတ်နေတဲ့အရာ၊ အဲဒါကဘာလဲ၊ မင်းမှာဘယ်လိုပြဿနာတွေရှိနေလဲ။

ရိုးရှင်းသောဥပမာအနေဖြင့်

kube_pod_container_info{namespace=“kube-system”၊pod=”kube-apiserver-k8s- 1″၊container=”kube-apiserver”၊image=

"gcr.io/google-containers/kube-apiserver:v1.14.5"

,image_id=»docker-pullable://gcr.io/google-containers/kube- apiserver@sha256:e29561119a52adad9edc72bfe0e7fcab308501313b09bf99df4a96 38ee634989″,container_id=»docker://7cbe7b1fea33f811fdd8f7e0e079191110268f2 853397d7daf08e72c22d3cf8b»} 1

အခွင့်ထူးမခံသော pod မှ ရိုးရှင်းသော curl တောင်းဆိုမှုပြုလုပ်ခြင်းဖြင့်၊ သင်သည် အောက်ပါအချက်အလက်များကို ရရှိနိုင်ပါသည်။ သင်အသုံးပြုနေသည့် Kubernetes ဗားရှင်းကို သင်မသိပါက၊ ၎င်းသည် သင့်အား အလွယ်တကူ ပြောပြလိမ့်မည်။

ပြီးတော့ စိတ်ဝင်စားစရာအကောင်းဆုံးကတော့ kube-state-metrics တွေအပြင် Prometheus ကိုယ်တိုင်လည်း အလွယ်တကူဝင်ရောက်ကြည့်ရှုနိုင်ပါတယ်။ သင်သည် ထိုနေရာမှ မက်ထရစ်များကို စုဆောင်းနိုင်သည်။ သင်သည် ထိုနေရာမှ မက်ထရစ်များကိုပင် တည်ဆောက်နိုင်သည်။ သီအိုရီအရပင်၊ ၎င်းကို ရိုးရိုးရှင်းရှင်းပိတ်ပစ်မည့် Prometheus ရှိ အစုအဝေးတစ်ခုမှ ထိုသို့သောမေးခွန်းကို သင်တည်ဆောက်နိုင်သည်။ သင်၏စောင့်ကြည့်မှုသည် အစုအဝေးမှ လုံးဝအလုပ်မလုပ်တော့ပါ။

ဤနေရာတွင် ပြင်ပစောင့်ကြည့်မှု တစ်ခုခုက သင်၏စောင့်ကြည့်မှုကို စောင့်ကြည့်ခြင်းရှိမရှိ မေးခွန်းပေါ်လာသည်။ ကိုယ့်အတွက် ဘာအကျိုးဆက်မှ မရှိဘဲ Kubernetes အစုအဝေးမှာ လည်ပတ်ဖို့ အခွင့်အလမ်း ရခဲ့တယ်။ စောင့်ကြည့်မှုတစ်ခုမှမရှိတော့တဲ့အတွက် ငါအဲဒီမှာ လည်ပတ်နေတယ်ဆိုတာ မင်းတောင်သိမှာမဟုတ်ဘူး။

PSP ကဲ့သို့ပင်၊ ဤဖန်စီနည်းပညာများ - Kubernetes၊ Prometheus - ၎င်းတို့သည် အလုပ်မလုပ်ဘဲ အပေါက်များနှင့် ပြည့်နေသောကြောင့် ပြဿနာဖြစ်နေပုံရသည်။ တကယ်မဟုတ်ဘူး။

ဒီလိုမျိုးရှိပါတယ်- ကွန်ရက်မူဝါဒ.

အကယ်၍ သင်သည် သာမန်စီမံခန့်ခွဲသူဖြစ်ပါက၊ ၎င်းသည် အစုအဝေးတွင် အများအပြားရှိနေပြီဖြစ်သော အခြား yaml တစ်ခုသာဖြစ်ကြောင်း ကွန်ရက်မူဝါဒအကြောင်း သင်သိနိုင်ဖွယ်ရှိသည်။ အချို့သော Network Policies များသည် လုံးဝမလိုအပ်ပါ။ Network Policy ဆိုသည်မှာ Kubernetes ၏ yaml firewall ဖြစ်သည်ကို သင်ဖတ်လျှင်ပင်၊ ၎င်းသည် namespaces အကြား၊ pods များကြားတွင် ဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားနိုင်သည်၊ ထို့နောက် Kubernetes ရှိ yaml ဖော်မတ်ရှိ firewall သည် လာမည့် abstractions များအပေါ် အခြေခံထားကြောင်း သေချာပေါက် ဆုံးဖြတ်လိုက်သည် ။ ... မဟုတ်ဘူး မဟုတ်ဘူး ။ ဒါက သေချာပေါက် မလိုအပ်ပါဘူး။

သင်၏ Kubernetes ကို အသုံးပြု၍ အလွန်လွယ်ကူပြီး ရိုးရှင်းသော firewall နှင့် အလွန်အသေးစိတ်ကျသော firewall တစ်ခုကို တည်ဆောက်နိုင်သည်ဟု သင်၏လုံခြုံရေးကျွမ်းကျင်သူများကို သင်မပြောပြခဲ့လျှင်ပင်။ ဒါကို သူတို့မသိသေးရင် သင့်ကိုအနှောက်အယှက်မပေးဘူးဆိုရင်- "ကောင်းပြီ၊ ငါ့ကိုပေး၊ ပေး..." ထို့နောက် မည်သို့ပင်ဆိုစေ၊ သင်၏အစုအဝေးမှ ဆွဲထုတ်နိုင်သော အချို့သောဝန်ဆောင်မှုနေရာများသို့ ဝင်ရောက်ခွင့်ကို ပိတ်ဆို့ရန် Network Policy လိုအပ်ပါသည်။ ခွင့်ပြုချက်မရှိဘဲ။

ငါပေးခဲ့သည့်ဥပမာတွင်အတိုင်း၊ သင်သည် မည်သည့်အခွင့်အရေးမှမရှိဘဲ Kubernetes အစုအဝေးရှိ မည်သည့် namespace မှ kube state မက်ထရစ်များကို ဆွဲထုတ်နိုင်သည်။ ကွန်ရက်မူဝါဒများသည် စောင့်ကြည့်ရေး namespace သို့ အခြားသော namespace များအားလုံးမှ ဝင်ရောက်ခွင့်ကို ပိတ်ထားပြီး၊ ဝင်ရောက်ခွင့်မရှိ၊ ပြဿနာမရှိပါ။ တည်ရှိနေသော ဇယားများအားလုံးတွင်၊ အော်ပရေတာအတွင်းရှိ စံ Prometheus နှင့် Prometheus နှစ်ခုစလုံးတွင် ၎င်းတို့အတွက် ကွန်ရက်မူဝါဒများကို ရိုးရှင်းစွာဖွင့်ရန် ပဲ့စင်တန်ဖိုးများတွင် ရွေးချယ်စရာတစ်ခုရှိသည်။ ၎င်းကိုဖွင့်ရန်သာ လိုအပ်ပြီး ၎င်းတို့သည် လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။

ဒီမှာတကယ်ပြဿနာတစ်ခုရှိတယ်။ သာမာန်မုတ်ဆိတ်မွေးစီမံခန့်ခွဲသူဖြစ်သောကြောင့် ကွန်ရက်မူဝါဒများ မလိုအပ်ဟု သင်ဆုံးဖြတ်နိုင်ဖွယ်ရှိသည်။ Habr ကဲ့သို့သော အရင်းအမြစ်များဆိုင်ရာ ဆောင်းပါးအမျိုးအစားအားလုံးကို ဖတ်ရှုပြီးနောက်၊ အထူးသဖြင့် အိမ်ရှင်-ဂိတ်ဝေးမုဒ်တွင် ဖလန်နယ်သည် သင်ရွေးချယ်နိုင်သည့် အကောင်းဆုံးအရာဖြစ်ကြောင်း သင်ဆုံးဖြတ်ခဲ့သည်။

အဘယ်သို့ပြုသနည်း

သင်၏ Kubernetes အစုအဝေးတွင်ရှိသော ကွန်ရက်ဖြေရှင်းချက်ကို ပြန်လည်အသုံးချရန် ကြိုးစားနိုင်ပြီး ၎င်းကို ပိုမိုလုပ်ဆောင်နိုင်သောအရာတစ်ခုဖြင့် အစားထိုးရန် ကြိုးစားပါ။ တူညီသော Calico အတွက်၊ ဥပမာ။ ဒါပေမယ့် Kubernetes အလုပ်လုပ်တဲ့ အစုအဝေးမှာ ကွန်ရက်ဖြေရှင်းချက်ပြောင်းလဲခြင်းရဲ့တာဝန်ဟာ အသေးအဖွဲမဟုတ်ကြောင်း ချက်ချင်းပြောချင်ပါတယ်။ အဲဒါကို နှစ်ကြိမ်ဖြေရှင်းခဲ့တယ် (ဒါပေမယ့် သီအိုရီအရတော့ အကြိမ်ရေ) ဒါပေမယ့် Slurms မှာ ဘယ်လိုလုပ်ရမလဲဆိုတာတောင် ပြခဲ့တယ်။ ကျွန်ုပ်တို့၏ကျောင်းသားများအတွက် Kubernetes အစုအဝေးတွင် ကွန်ရက်ဖြေရှင်းချက်ကို မည်သို့ပြောင်းလဲရမည်ကို ပြသခဲ့သည်။ မူအရ၊ ထုတ်လုပ်မှုအစုအဝေးတွင် အချိန်ဆိုင်းခြင်းမရှိကြောင်း သေချာအောင် သင်ကြိုးစားနိုင်သည်။ ဒါပေမယ့် မင်းအောင်မြင်မှာမဟုတ်ဘူး။

ပြီးတော့ ပြဿနာက တကယ်ကို ရိုးရိုးရှင်းရှင်းနဲ့ ဖြေရှင်းတယ်။ အစုအဝေးတွင် လက်မှတ်များရှိပြီး သင့်လက်မှတ်များသည် တစ်နှစ်အတွင်း သက်တမ်းကုန်မည်ကို သင်သိပါသည်။ ကောင်းပြီ၊ ပုံမှန်အားဖြင့်၊ အစုအဝေးရှိ လက်မှတ်များပါသည့် ပုံမှန်ဖြေရှင်းနည်းတစ်ခု - ကျွန်ုပ်တို့ ဘာကြောင့် စိုးရိမ်နေရသနည်း၊ ကျွန်ုပ်တို့သည် အနီးနားတွင် အစုအဝေးအသစ်တစ်ခုကို ပြုစုပျိုးထောင်ပေးမည်၊ အဟောင်းကို ပုပ်သွားစေပြီး အရာအားလုံးကို ပြန်လည်အသုံးချပါမည်။ မှန်ပါတယ်၊ ပုပ်သွားတဲ့အခါ တစ်ရက်လောက် ထိုင်ရလိမ့်မယ်၊ ဒါပေမယ့် ဒီမှာက အစုအဝေးအသစ်တစ်ခုပါ။

အစုအသစ်တစ်ခုကို ပြုစုပျိုးထောင်သောအခါ၊ တစ်ချိန်တည်းတွင် ဖလန်နယ်အစား Calico ကို ထည့်သွင်းပါ။

မင်းရဲ့ လက်မှတ်တွေကို နှစ်တစ်ရာ ထုတ်ပေးပြီး အစုအဖွဲ့ကို ပြန်အသုံးချတော့မှာ မဟုတ်ရင် ဘာလုပ်ရမလဲ။ Kube-RBAC-Proxy ကဲ့သို့သော အရာတစ်ခုရှိသည်။ ၎င်းသည် အလွန်ကောင်းမွန်သော ဖွံ့ဖြိုးတိုးတက်မှုဖြစ်ပြီး၊ ၎င်းသည် Kubernetes အစုအဝေးရှိ မည်သည့် pod သို့မဆို ဘေးတွဲကွန်တိန်နာအဖြစ် သင့်အား ထည့်သွင်းနိုင်စေမည်ဖြစ်သည်။ ထို့အပြင် ၎င်းသည် Kubernetes ကိုယ်တိုင်မှ RBAC မှတဆင့် ဤ pod သို့ တရားဝင်ခွင့်ပြုချက်ကို ပေါင်းထည့်သည်။

ပြဿနာတစ်ခုရှိတယ်။ ယခင်က ဤ Kube-RBAC-Proxy ဖြေရှင်းချက်ကို အော်ပရေတာ၏ Prometheus တွင် တည်ဆောက်ခဲ့သည်။ ဒါပေမယ့် နောက်တော့ သူသွားပြီ။ ယခု ခေတ်သစ်ဗားရှင်းများသည် သင့်တွင် ကွန်ရက်မူဝါဒတစ်ခုရှိ၍ ၎င်းတို့ကိုအသုံးပြု၍ ပိတ်လိုက်ခြင်းဟူသောအချက်ကို အားကိုးသည်။ ဒါကြောင့် ဇယားကို နည်းနည်းပြန်ရေးရပါလိမ့်မယ်။ အမှန်တော့ သွားကြည့်တာ ပါ ဤသိုလှောင်ခန်း၊ ၎င်းကို ဆိုက်ကားများအဖြစ် အသုံးပြုနည်းနမူနာများ ရှိပြီး ဇယားများကို အနည်းဆုံး ပြန်လည်ရေးသားရမည်ဖြစ်ပါသည်။

နောက်ထပ်ပြဿနာလေးတစ်ခုရှိသေးတယ်။ Prometheus သည် မည်သူ့ကိုမျှ ၎င်း၏ မက်ထရစ်များကို ထုတ်ပေးသည့် တစ်ခုတည်းသော တစ်ခုတည်းသော မဟုတ်ပါ။ ကျွန်ုပ်တို့၏ Kubernetes အစုအဝေး၏ အစိတ်အပိုင်းများအားလုံးသည် ၎င်းတို့၏ကိုယ်ပိုင်မက်ထရစ်များကို ပြန်ပေးနိုင်သည်။

ဒါပေမယ့် ကျွန်တော်ပြောခဲ့သလိုပဲ၊ သင်က အစုအဝေးကို ဝင်ရောက်ပြီး အချက်အလက်တွေ မစုဆောင်းနိုင်ဘူးဆိုရင် အနည်းဆုံးတော့ ထိခိုက်မှုတစ်ခုခုတော့ လုပ်နိုင်ပါတယ်။

ထို့ကြောင့် Kubernetes အစုအဝေးကို မည်ကဲ့သို့ ပျက်စီးစေမည့် နည်းလမ်းနှစ်ခုကို ကျွန်ုပ် အမြန်ပြသပါမည်။

ငါမင်းကို ဒီလိုပြောရင် မင်းရယ်လိမ့်မယ်၊ ဒါက တကယ့်ဘဝဖြစ်ရပ်နှစ်ခုပဲ။

နည်းလမ်းတစ်ခု။ အရင်းအမြစ်များ ကုန်ဆုံးခြင်း။

နောက်ထပ် အထူးအစီအစဉ်တစ်ခုကို စတင်လိုက်ရအောင်။ ဤကဲ့သို့ ကဏ္ဍတစ်ခု ရှိပါမည်။

resources: 
    requests: 
        cpu: 4 
        memory: 4Gi 

သင်သိသည့်အတိုင်း၊ တောင်းဆိုချက်များသည် တောင်းဆိုချက်များနှင့် သီးခြား pods အတွက် host တွင် သီးသန့်ထားရှိသော CPU နှင့် memory ပမာဏဖြစ်သည်။ ကျွန်ုပ်တို့တွင် Kubernetes အစုအဝေးတစ်ခုတွင် လေးခု-core host တစ်ခုရှိပြီး၊ CPU pod လေးခုသည် တောင်းဆိုမှုများဖြင့် ထိုနေရာသို့ရောက်ရှိလာပါက၊ တောင်းဆိုချက်များရှိသည့် pods များကို ဤ host သို့ လာနိုင်မည်မဟုတ်ပါ။

အဲဒီလို pod ကို run လိုက်ရင် command ကို run မယ်-

$ kubectl scale special-pod --replicas=...

ထို့နောက် Kubernetes အစုအဝေးသို့ အခြားမည်သူမျှ အသုံးပြုနိုင်တော့မည် မဟုတ်ပါ။ အဘယ်ကြောင့်ဆိုသော် node များအားလုံး တောင်းဆိုမှုများ ကုန်ဆုံးသွားမည်ဖြစ်သည်။ ထို့ကြောင့် သင်၏ Kubernetes အစုအဝေးကို ကျွန်ုပ်ရပ်တန့်လိုက်ပါမည်။ ညနေမှာ ဒီလိုလုပ်ရင် တပ်ချထားတာတွေကို အချိန်အတော်ကြာအောင် ရပ်တန့်နိုင်ပါတယ်။

Kubernetes စာရွက်စာတမ်းကို ထပ်မံကြည့်ရှုပါက၊ ဤအရာကို Limit Range ဟုခေါ်သည်။ ၎င်းသည် အစုလိုက်အရာဝတ္ထုများအတွက် အရင်းအမြစ်များကို သတ်မှတ်ပေးသည်။ yaml တွင် Limit Range အရာဝတ္ထုတစ်ခုကို ရေးသားနိုင်ပြီး အချို့သော namespaces များတွင် အသုံးချနိုင်သည် - ထို့နောက် ဤ namespace တွင် သင့်တွင် pods အတွက် ပုံသေ၊ အများဆုံးနှင့် အနည်းဆုံး အရင်းအမြစ်များရှိသည်ဟု သင်ပြောနိုင်ပါသည်။

ထိုအရာ၏အကူအညီဖြင့်၊ အဖွဲ့များ၏ သီးခြားထုတ်ကုန်အမည်နေရာများတွင် အသုံးပြုသူများကို ၎င်းတို့၏ pods များပေါ်ရှိ ဆိုးရွားသည့်အရာအားလုံးကို ညွှန်ပြနိုင်သည့်စွမ်းရည်ကို ကန့်သတ်နိုင်သည်။ သို့သော် ကံမကောင်းစွာဖြင့်၊ CPU တစ်ခုထက်ပို၍ တောင်းဆိုမှုများဖြင့် pods များကို မဖွင့်နိုင်ဟု သုံးစွဲသူအား သင်ပြောသော်လည်း၊ ထိုသို့သော အံ့သြဖွယ်စကေးအမိန့်တစ်ခု ရှိပါသည်၊ သို့မဟုတ် ၎င်းတို့သည် ဒက်ရှ်ဘုတ်မှတဆင့် စကေးကို ပြုလုပ်နိုင်ပါသည်။

နံပါတ်နှစ်နည်းလမ်းက ဒီကနေလာတာပါ။ ကျွန်ုပ်တို့သည် 11 pods ကိုဖွင့်ပါ။ အဲဒါ ဆယ့်တစ်ဘီလီယံ။ ဒီလို နံပါတ်တွေ ရလာတာကြောင့် မဟုတ်ဘဲ ကိုယ်တိုင် မြင်လိုက်ရလို့ ဖြစ်ပါတယ်။

ဖြစ်ရပ်မှန်ဇာတ်လမ်း။ ညနေ ရုံးဆင်းတော့မည်။ ထောင့်စွန်းမှာထိုင်နေတဲ့ developer အဖွဲ့တစ်ဖွဲ့ကို သူတို့ရဲ့လက်ပ်တော့နဲ့ တစ်ခုခုလုပ်နေတာကို ကျွန်တော်မြင်တယ်။ ငါက ယောက်ျားတွေဆီသွားပြီး “မင်း ဘာဖြစ်သွားတာလဲ” လို့ မေးတယ်။

အနည်းငယ်စောပြီး ညနေ ကိုးနာရီခန့်တွင် developer တစ်ဦးက အိမ်ပြန်ရန် ပြင်ဆင်နေပါသည်။ ပြီးတော့ ငါဆုံးဖြတ်ခဲ့တယ်- "ငါ အခု ငါ့လျှောက်လွှာကို အတိုင်းအတာတစ်ခုအထိ ချဲ့လိုက်မယ်။" တစ်ချက်နှိပ်လိုက်ပေမယ့် အင်တာနက်က နည်းနည်းနှေးသွားတယ်။ တစ်ချက်နှိပ်လိုက်၊ တစ်ချက်နှိပ်ပြီး Enter နှိပ်လိုက်ပါ။ တတ်နိုင်သမျှ နှိုက်ခဲ့တယ်။ ထို့နောက် အင်တာနက်သည် အသက်ဝင်လာသည် - အရာအားလုံးသည် ဤနံပါတ်အထိ အတိုင်းအတာတစ်ခုအထိ တိုးလာသည်။

မှန်ပါသည်၊ ဤဇာတ်လမ်းသည် Kubernetes တွင်မဖြစ်ခဲ့ပါ၊ ထိုအချိန်က Nomad ဖြစ်သည်။ Nomad ကို စကေးချိန်ဖို့ ကြိုးစားမှုကနေ ရပ်တန့်ဖို့ တစ်နာရီကြာ ကြိုးစားပြီးနောက် Nomad က သူ့အနေနဲ့ အတိုင်းအတာကို ရပ်တန့်မှာမဟုတ်ဘဲ တခြားဘာမှ မလုပ်တော့ပါဘူးလို့ ပြန်ဖြေလိုက်ပါတယ်။ "ပင်ပန်းနေပြီ ငါထွက်သွားတော့မယ်။" ပြီးတော့ သူက ကောက်ကွေးတယ်။

ထုံးစံအတိုင်း၊ Kubernetes တွင်လည်း အလားတူကြိုးစားခဲ့သည်။ Kubernetes သည် ဆယ့်တစ်ဘီလီယံ pods နှင့် မကျေနပ်ကြောင်း၊ ၎င်းက “ကျွန်တော် မလုပ်နိုင်ပါဘူး။ အတွင်းခံအကာအရံများကို ကျော်လွန်နေပါသည်။" ဒါပေမယ့် အလုံးရေ ၁,၀၀၀,၀၀၀,၀၀၀ ပဲ ပေးနိုင်တယ်။

တစ်ဘီလီယံကို တုံ့ပြန်သည့်အနေဖြင့် Cube သည် သူ့အလိုလို ဆုတ်မသွားပေ။ သူတကယ်စကေးစပြုနေပါပြီ။ လုပ်ငန်းစဉ်တွေ ပိုကြာလေလေ၊ အကွက်အသစ်တွေ ဖန်တီးဖို့ အချိန်ပိုယူလေပါပဲ။ ဒါပေမယ့် ဖြစ်စဉ်က ဆက်သွားနေသေးတယ်။ တစ်ခုတည်းသောပြဿနာမှာ ကျွန်ုပ်သည် ကျွန်ုပ်၏ namespace တွင် pods များကို အကန့်အသတ်မရှိ ဖွင့်နိုင်ပါက၊ တောင်းဆိုချက်များနှင့် ကန့်သတ်ချက်များမရှိလျှင်ပင် ဤတာဝန်များအကူအညီဖြင့် node များသည် CPU တွင် memory တွင် ပေါင်းထည့်လာမည့် အချို့သောအလုပ်များဖြင့် pods အများအပြားကို စတင်နိုင်မည်ဖြစ်သည်။ pods အများအပြားကို ငါဖွင့်သောအခါ၊ ၎င်းတို့ထံမှ အချက်အလက်များသည် သိုလှောင်မှုထဲသို့ ရောက်သွားသင့်သည်၊ ဆိုလိုသည်မှာ၊ စသည်တို့ဖြစ်သည်။ အချက်အလက်များ အလွန်အကျွံရောက်ရှိသောအခါ၊ သိုလှောင်မှုသည် အလွန်နှေးကွေးစွာ ပြန်စလာသည် - နှင့် Kubernetes သည် မှုန်မှိုင်းလာသည်။

နောက်ထပ်ပြဿနာတစ်ခု... သင်သိသည့်အတိုင်း Kubernetes ထိန်းချုပ်မှုဒြပ်စင်များသည် အဓိကအရာတစ်ခုမဟုတ်သော်လည်း အစိတ်အပိုင်းများစွာရှိသည်။ အထူးသဖြင့်၊ ထိန်းချုပ်သူမန်နေဂျာ၊ အချိန်ဇယားဆွဲသူ အစရှိသည်တို့ ရှိပါသည်။ ဒီကောင်တွေ အားလုံးဟာ မလိုအပ်တဲ့၊ မိုက်မဲတဲ့ အလုပ်တွေကို တပြိုင်နက်တည်း စလုပ်ကြပြီး အချိန်ကြာလာတာနဲ့အမျှ အချိန်ပိုယူလာမယ်။ ထိန်းချုပ်သူမန်နေဂျာသည် အကွက်အသစ်များကို ဖန်တီးပေးလိမ့်မည်။ Scheduler သည် ၎င်းတို့အတွက် node အသစ်တစ်ခုကို ရှာဖွေရန် ကြိုးစားမည်ဖြစ်သည်။ မကြာမီ သင့်အစုအဝေးရှိ node အသစ်များ ကုန်ဆုံးသွားဖွယ်ရှိသည်။ Kubernetes အစုအဝေးသည် ပိုမိုနှေးကွေးပြီး အလုပ်မလုပ်တော့ပါ။

ဒါပေမယ့် ဒီထက်ပိုပြီး သွားဖို့ ဆုံးဖြတ်လိုက်တယ်။ သင်သိသည့်အတိုင်း Kubernetes တွင် ဝန်ဆောင်မှုဟုခေါ်သော အရာတစ်ခုရှိသည်။ ကောင်းပြီ၊ သင့်အစုအဝေးများတွင် ပုံမှန်အားဖြင့်၊ ဝန်ဆောင်မှုသည် IP ဇယားများကို အသုံးပြု၍ အလုပ်လုပ်ပါသည်။

ဥပမာအားဖြင့် သင်သည် Pods တစ်ဘီလီယံကို အသုံးပြုပြီး ဝန်ဆောင်မှုအသစ်များဖန်တီးရန် Kubernetis အား ဇာတ်ညွှန်းကိုသုံးပါ-

for i in {1..1111111}; do
    kubectl expose deployment test --port 80  
        --overrides="{"apiVersion": "v1", 
           "metadata": {"name": "nginx$i"}}"; 
done 

အစုအဝေးအားလုံးတွင်၊ iptables စည်းမျဉ်းအသစ်များ ပိုများလာပြီး ခန့်မှန်းခြေအားဖြင့် တပြိုင်နက်တည်း ထုတ်ပေးမည်ဖြစ်သည်။ ထို့အပြင်၊ ဝန်ဆောင်မှုတစ်ခုစီအတွက် တစ်ဘီလီယံ iptables စည်းမျဉ်းများကို ထုတ်ပေးမည်ဖြစ်သည်။

ထောင်ပေါင်းများစွာ၊ ဆယ်ဂဏန်းအထိ ဒီအရာအားလုံးကို စစ်ဆေးခဲ့တယ်။ ပြဿနာကတော့ ဒီ threshold မှာ ssh ကို node မှာလုပ်ရတာ တော်တော်ပြဿနာရှိလို့ပါပဲ။ ထုပ်ပိုးမှုများသည် ကွင်းဆက်များစွာကို ဖြတ်သန်းနေရသောကြောင့် အလွန်မကောင်းကြောင်း ခံစားရတော့သည် ။

ထို့အပြင် ၎င်းကိုလည်း Kubernetes ၏အကူအညီဖြင့် ဖြေရှင်းထားသည်။ အဲဒီလို Resource quota object ရှိတယ်။ အစုအဝေးရှိ namespace အတွက် ရနိုင်သောအရင်းအမြစ်များနှင့် အရာဝတ္ထုအရေအတွက်ကို သတ်မှတ်ပေးသည်။ Kubernetes အစုအဝေး၏ namespace တစ်ခုစီတွင် yaml object တစ်ခုကို ဖန်တီးနိုင်သည်။ ဤအရာဝတ္တုကို အသုံးပြု၍ ဤ namespace အတွက် ခွဲဝေသတ်မှတ်ထားသော တောင်းဆိုချက်များနှင့် ကန့်သတ်ချက်များ အများအပြားရှိသည်ဟု ကျွန်ုပ်တို့ပြောနိုင်သည်၊ ထို့နောက် ဤ namespace တွင် ဝန်ဆောင်မှု 10 ခုနှင့် pods 10 ခုကို ဖန်တီးနိုင်သည်ဟု ပြောနိုင်ပါသည်။ ပြီးတော့ developer တစ်ခုတည်းက အနည်းဆုံး ညနေခင်းတွေမှာ သူ့ကိုယ်သူ အံကြိတ်နိုင်ပါတယ်။ Kubernetes က သူ့ကိုပြောပါလိမ့်မယ်- "အရင်းအမြစ်က ခွဲတမ်းထက်ကျော်လွန်နေတာကြောင့် မင်းရဲ့ pods တွေကို အဲဒီပမာဏနဲ့ တိုင်းတာလို့ မရဘူး။" ဒါပဲ၊ ပြဿနာ ပြေလည်သွားပြီ။ Documentation လေးပါ။.

ဒီကိစ္စမှာ ပြဿနာတစ်ခုပေါ်လာတယ်။ Kubernetes တွင် namespace တစ်ခုဖန်တီးရန် မည်မျှခက်ခဲလာသည်ကို သင်ခံစားရသည်။ ၎င်းကိုဖန်တီးရန်၊ ကျွန်ုပ်တို့သည် အရာများစွာကို ထည့်သွင်းစဉ်းစားရန် လိုအပ်ပါသည်။

အရင်းအမြစ်ခွဲတမ်း + ကန့်သတ်အပိုင်းအခြား + RBAC
• namespace ဖန်တီးပါ။
• အတွင်းတွင် ကန့်သတ်ဘောင်တစ်ခု ဖန်တီးပါ။
• အရင်းအမြစ်ခွဲတမ်းအတွင်း ဖန်တီးပါ။
• CI အတွက် ဝန်ဆောင်မှုအကောင့်တစ်ခု ဖန်တီးပါ။
• CI နှင့် သုံးစွဲသူများအတွက် အခန်းကဏ္ဍပေါင်းစပ်ခြင်းကို ဖန်တီးပါ။
• လိုအပ်သော ဝန်ဆောင်မှု pods များကို ရွေးချယ်နိုင်သည်။

ထို့ကြောင့် ကျွန်ုပ်၏တိုးတက်မှုများကို မျှဝေရန် ဤအခွင့်အရေးကို ရယူလိုပါသည်။ SDK အော်ပရေတာလို့ခေါ်တဲ့ အရာတစ်ခုရှိပါတယ်။ ၎င်းသည် Kubernetes အစုအဝေးအတွက် ၎င်းအတွက် အော်ပရေတာများရေးသားရန် နည်းလမ်းတစ်ခုဖြစ်သည်။ Ansible ကို အသုံးပြု၍ ထုတ်ပြန်ချက်များကို ရေးသားနိုင်သည်။

အစပိုင်းတွင် ၎င်းကို Ansible ဖြင့်ရေးသားခဲ့ပြီး၊ ထို့နောက်တွင် SDK အော်ပရေတာတစ်ခုရှိနေသည်ကိုတွေ့ခဲ့ရပြီး Ansible အခန်းကဏ္ဍကို အော်ပရေတာအဖြစ်ပြန်လည်ရေးသားခဲ့သည်။ ဤထုတ်ပြန်ချက်သည် သင့်အား အမိန့်တစ်ခုဟုခေါ်သော Kubernetes အစုအဝေးတွင် အရာတစ်ခုကို ဖန်တီးနိုင်စေပါသည်။ command တစ်ခုအတွင်း၊ ၎င်းသည် သင့်အား yaml တွင် ဤ command အတွက် ပတ်ဝန်းကျင်ကို ဖော်ပြရန် ခွင့်ပြုသည်။ အသင်းပတ်ဝန်းကျင်အတွင်း၊ ကျွန်ုပ်တို့သည် အရင်းအမြစ်များစွာကို ခွဲဝေချထားကြောင်း ဖော်ပြနိုင်စေပါသည်။

ကျစ်လျစ်သေးသွယ် ဤရှုပ်ထွေးသောလုပ်ငန်းစဉ်တစ်ခုလုံးကို ပိုမိုလွယ်ကူစေသည်။.

နိဂုံးချုပ်သည်။ ဒါတွေအားလုံးနဲ့ ဘာလုပ်ရမလဲ။
ပထမ။ Pod Security Policy က ကောင်းပါတယ်။ Kubernetes တပ်ဆင်သူများ ယနေ့အချိန်အထိ ၎င်းတို့ကို အသုံးမပြုသော်လည်း၊ ၎င်းတို့ကို သင့်အစုအဝေးများတွင် အသုံးပြုရန် လိုအပ်နေသေးသည်။

ကွန်ရက်မူဝါဒသည် မလိုအပ်သော အင်္ဂါရပ်တစ်ခုမျှသာ မဟုတ်ပါ။ ဒါက အစုအဖွဲ့တစ်ခုအတွက် တကယ်လိုအပ်တဲ့အရာပါ။

LimitRange/ResourceQuota - ၎င်းကို အသုံးပြုရန် အချိန်တန်ပါပြီ။ ဒါကို ကျွန်တော်တို့ စတင်အသုံးပြုနေတာ ကြာပြီဖြစ်ပြီး လူတိုင်းသုံးနေကြတယ်ဆိုတာ သေချာနေတာ ကြာပါပြီ။ ဒါက ရှားရှားပါးပါး ဖြစ်သွားတယ်။

အစီရင်ခံစာအတွင်း ကျွန်ုပ်ဖော်ပြခဲ့သည့်အရာများအပြင်၊ အစုအဝေးကို တိုက်ခိုက်နိုင်စေမည့် အထောက်အထားမဲ့အင်္ဂါရပ်များ ရှိပါသည်။ မကြာသေးမီက ထုတ်ပြန်ခဲ့သည်။ Kubernetes အားနည်းချက်များကို ကျယ်ပြန့်စွာ ခွဲခြမ်းစိတ်ဖြာခြင်း။.

တစ်ချို့အရာတွေက အရမ်းဝမ်းနည်းပြီး နာကျင်စရာကောင်းတယ်။ ဥပမာအားဖြင့်၊ အချို့သောအခြေအနေများတွင် Kubernetes အစုအဝေးရှိ cubelets များသည် warlocks directory ၏ အကြောင်းအရာများကို ခွင့်ပြုချက်မရှိဘဲ အသုံးပြုသူတစ်ဦးအား ပေးနိုင်ပါသည်။

ဒီမှာ ငါမင်းကိုပြောခဲ့သမျှကို ဘယ်လိုမျိုးပွားရမလဲဆိုတဲ့ ညွှန်ကြားချက်တွေရှိတယ်။ ResourceQuota နှင့် Pod Security Policy ပုံသဏ္ဌာန်တူသည့် ထုတ်လုပ်မှုနမူနာများပါရှိသော ဖိုင်များရှိပါသည်။ သငျသညျဤအရာအားလုံးကိုထိနိုင်ပါတယ်။

အားလုံးကိုကျေးဇူးတင်ပါတယ်။

source: www.habr.com