🥇शेल-अपरेटरको परिचय दिँदै: Kubernetes को लागि अपरेटरहरू सिर्जना गर्न कहिल्यै सजिलो भएको छैन

हाम्रो ब्लगमा पहिले नै लेखहरू भइसकेका छन् Kubernetes मा अपरेटर क्षमताहरु अनि कसरी एक साधारण अपरेटर आफै लेख्नुहोस्। यस पटक हामी तपाईंको ध्यानमा हाम्रो खुला स्रोत समाधान प्रस्तुत गर्न चाहन्छौं, जसले अपरेटरहरूको सिर्जनालाई सुपर-सजिलो स्तरमा लैजान्छ - जाँच गर्नुहोस्। शेल अपरेटर!

किन?

शेल-अपरेटरको विचार एकदम सरल छ: Kubernetes वस्तुहरूबाट घटनाहरूको सदस्यता लिनुहोस्, र जब यी घटनाहरू प्राप्त हुन्छन्, बाह्य कार्यक्रम सुरु गर्नुहोस्, घटनाको बारेमा जानकारी प्रदान गर्दै:

यसको आवश्यकता तब देखा पर्‍यो जब, क्लस्टरहरूको सञ्चालनको क्रममा, साना कार्यहरू देखा पर्न थाले कि हामी वास्तवमै सही तरीकाले स्वचालित गर्न चाहन्छौं। यी सबै साना कार्यहरू सरल ब्यास स्क्रिप्टहरू प्रयोग गरेर हल गरिएको थियो, यद्यपि, तपाईंलाई थाहा छ, यो Golang मा अपरेटरहरू लेख्न राम्रो छ। स्पष्ट रूपमा, प्रत्येक यस्तो सानो कार्यको लागि अपरेटरको पूर्ण-स्तरीय विकासमा लगानी अप्रभावी हुनेछ।

15 मिनेटमा अपरेटर

Kubernetes क्लस्टरमा के स्वचालित हुन सक्छ र शेल-अपरेटरले कसरी मद्दत गर्न सक्छ भन्ने उदाहरण हेरौं। एउटा उदाहरण निम्न हुनेछ: डकर रजिस्ट्री पहुँच गर्न गोप्य प्रतिकृति।

निजी रजिस्ट्रीबाट छविहरू प्रयोग गर्ने पोडहरूले तिनीहरूको मेनिफेस्टमा रजिस्ट्री पहुँच गर्नको लागि डाटाको साथ गोप्य लिंक समावेश गर्नुपर्छ। यो गोप्य पोडहरू सिर्जना गर्नु अघि प्रत्येक नेमस्पेसमा सिर्जना गर्नुपर्छ। यो म्यानुअल रूपमा गर्न सकिन्छ, तर यदि हामीले गतिशील वातावरणहरू सेट अप गर्यौं भने, एउटा अनुप्रयोगको लागि नेमस्पेस धेरै हुनेछ। र यदि त्यहाँ 2-3 अनुप्रयोगहरू छैनन् भने ... रहस्यहरूको संख्या धेरै ठूलो हुन्छ। र रहस्यको बारेमा अर्को कुरा: म समय समयमा रजिस्ट्री पहुँच गर्न कुञ्जी परिवर्तन गर्न चाहन्छु। अन्ततः, म्यानुअल सञ्चालन समाधानको रूपमा पूर्ण रूपमा प्रभावहीन - हामीले गोप्यहरूको सिर्जना र अद्यावधिकलाई स्वचालित गर्न आवश्यक छ।

सरल स्वचालन

एक शेल स्क्रिप्ट लेखौं जुन प्रत्येक N सेकेन्डमा एक पटक चल्छ र गोप्य उपस्थितिको लागि नेमस्पेसहरू जाँच गर्दछ, र यदि त्यहाँ कुनै गोप्य छैन भने, त्यसपछि यो सिर्जना हुन्छ। यस समाधानको फाइदा यो हो कि यो क्रोनमा शेल लिपि जस्तो देखिन्छ - सबैको लागि एक क्लासिक र बुझ्ने दृष्टिकोण। नकारात्मक पक्ष यो हो कि यसको प्रक्षेपणहरू बीचको अन्तरालमा नयाँ नेमस्पेस सिर्जना गर्न सकिन्छ र केही समयको लागि यो गोप्य रूपमा रहनेछ, जसले पोडहरू सुरू गर्न त्रुटिहरू निम्त्याउनेछ।

शेल अपरेटर संग स्वचालन

हाम्रो स्क्रिप्ट सही तरिकाले काम गर्न को लागी, क्लासिक क्रोन लन्च लाई प्रक्षेपण संग प्रतिस्थापन गर्न आवश्यक छ जब एक नेमस्पेस थपिन्छ: यस अवस्थामा, तपाइँ यसलाई प्रयोग गर्नु अघि गोप्य बनाउन सक्नुहुन्छ। शेल-अपरेटर प्रयोग गरेर यसलाई कसरी कार्यान्वयन गर्ने हेरौं।

पहिले, स्क्रिप्ट हेरौं। शेल-अपरेटर सर्तहरूमा लिपिहरूलाई हुक भनिन्छ। झण्डाको साथ चलाउँदा प्रत्येक हुक --config शेल-अपरेटरलाई यसको बाइन्डिङको बारेमा जानकारी दिन्छ, अर्थात्। कुन घटनाहरूमा यो सुरु गर्नुपर्छ। हाम्रो अवस्थामा हामी प्रयोग गर्नेछौं onKubernetesEvent:

#!/bin/bash
if [[ $1 == "--config" ]] ; then
cat <<EOF
{
"onKubernetesEvent": [
  { "kind": "namespace",
    "event":["add"]
  }
]}
EOF
fi

यहाँ वर्णन गरिएको छ कि हामी घटनाहरू थप्न इच्छुक छौं (add) प्रकारका वस्तुहरू namespace.

अब तपाईले कोड थप्नु पर्छ जुन घटना घट्दा कार्यान्वयन हुनेछ:

#!/bin/bash
if [[ $1 == "--config" ]] ; then
  # конфигурация
cat <<EOF
{
"onKubernetesEvent": [
{ "kind": "namespace",
  "event":["add"]
}
]}
EOF
else
  # реакция:
  # узнать, какой namespace появился
  createdNamespace=$(jq -r '.[0].resourceName' $BINDING_CONTEXT_PATH)
  # создать в нём нужный секрет
  kubectl create -n ${createdNamespace} -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  ...
data:
  ...
EOF
fi

महान! परिणाम एक सानो, सुन्दर लिपि थियो। यसलाई "पुनर्जीवित" गर्न, त्यहाँ दुई चरणहरू बाँकी छन्: छवि तयार गर्नुहोस् र क्लस्टरमा सुरू गर्नुहोस्।

हुकको साथ छवि तयार गर्दै

यदि तपाइँ स्क्रिप्ट हेर्नुभयो भने, तपाइँ आदेशहरू प्रयोग गरिएको देख्न सक्नुहुन्छ kubectl и jq। यसको मतलब यो हो कि छविमा निम्न चीजहरू हुनुपर्छ: हाम्रो हुक, एक शेल-अपरेटर जसले घटनाहरू सुन्नेछ र हुक चलाउनेछ, र हुक (kubectl र jq) द्वारा प्रयोग गरिएका आदेशहरू। Hub.docker.com सँग पहिले नै तयार-निर्मित छवि छ जसमा shell-operator, kubectl र jq प्याकेज गरिएको छ। सबै बाँकी एक साधारण हुक थप्न छ Dockerfile:

$ cat Dockerfile
FROM flant/shell-operator:v1.0.0-beta.1-alpine3.9
ADD namespace-hook.sh /hooks

$ docker build -t registry.example.com/my-operator:v1 . 
$ docker push registry.example.com/my-operator:v1

क्लस्टरमा चलिरहेको छ

हुकलाई फेरि हेरौं र यस पटक क्लस्टरमा कुन कार्यहरू र कुन वस्तुहरूसँग यसले प्रदर्शन गर्छ लेख्नुहोस्:

नेमस्पेस सिर्जना घटनाहरूको सदस्यता लिन्छ;
नामस्थानमा एउटा गोप्य सिर्जना गर्दछ जहाँ यो सुरू गरिएको छ।

यो बाहिर जान्छ कि पोड जसमा हाम्रो छवि सुरु हुनेछ यी कार्यहरू गर्न अनुमति हुनुपर्छ। यो तपाईंको आफ्नै सेवा खाता सिर्जना गरेर गर्न सकिन्छ। अनुमति ClusterRole र ClusterRoleBinding को रूपमा गरिनु पर्छ, किनभने हामी सम्पूर्ण क्लस्टरबाट वस्तुहरूमा रुचि राख्छौं।

YAML मा अन्तिम विवरण यस्तो देखिन्छ:

---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: monitor-namespaces-acc

---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
  name: monitor-namespaces
rules:
- apiGroups: [""]
  resources: ["namespaces"]
  verbs: ["get", "watch", "list"]
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "list", "create", "patch"]

---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: monitor-namespaces
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: monitor-namespaces
subjects:
  - kind: ServiceAccount
    name: monitor-namespaces-acc
    namespace: example-monitor-namespaces

तपाईले साधारण डिप्लोयमेन्टको रूपमा भेला गरिएको छवि सुरू गर्न सक्नुहुन्छ:

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: my-operator
spec:
  template:
    spec:
      containers:
      - name: my-operator
        image: registry.example.com/my-operator:v1
      serviceAccountName: monitor-namespaces-acc

सुविधाको लागि, एउटा छुट्टै नेमस्पेस सिर्जना गरिएको छ जहाँ शेल-अपरेटर सुरू गरिनेछ र सिर्जना गरिएका प्रकटहरू लागू गरिनेछ:

$ kubectl create ns example-monitor-namespaces
$ kubectl -n example-monitor-namespaces apply -f rbac.yaml
$ kubectl -n example-monitor-namespaces apply -f deployment.yaml

यति मात्र हो: शेल-अपरेटरले सुरु गर्नेछ, नेमस्पेस सिर्जना घटनाहरूको सदस्यता लिनेछ र आवश्यक पर्दा हुक चलाउनेछ।

त्यसैले, एक साधारण शेल लिपि Kubernetes को लागि एक वास्तविक अपरेटर मा परिणत भयो र क्लस्टरको भागको रूपमा काम गर्दछ। र यो सबै गोलाङमा अपरेटरहरू विकास गर्ने जटिल प्रक्रिया बिना:

यस विषयमा अर्को दृष्टान्त छ ...

हामी निम्न प्रकाशनहरू मध्ये एकमा थप विवरणमा यसको अर्थ प्रकट गर्नेछौं।

फिल्टरिङ

ट्र्याकिङ वस्तुहरू राम्रो छ, तर त्यहाँ प्रायः प्रतिक्रिया गर्न आवश्यक छ केहि वस्तु गुणहरू परिवर्तन गर्दै, उदाहरणका लागि, डिप्लोइमेन्टमा प्रतिकृतिहरूको संख्या परिवर्तन गर्न वा वस्तु लेबलहरू परिवर्तन गर्न।

जब घटना आइपुग्छ, शेल-अपरेटरले वस्तुको JSON manifest प्राप्त गर्दछ। हामी यस JSON मा रुचि राख्ने गुणहरू चयन गर्न र हुक चलाउन सक्छौं मात्र जब तिनीहरू परिवर्तन हुन्छन्। यसका लागि फिल्ड छ jqFilter, जहाँ तपाईंले JSON manifest मा लागू हुने jq अभिव्यक्ति निर्दिष्ट गर्न आवश्यक छ।

उदाहरण को लागी, डिप्लोयमेन्ट वस्तुहरु को लागी लेबल मा परिवर्तन को प्रतिक्रिया को लागी, तपाईले फिल्ड फिल्टर गर्न आवश्यक छ labels मैदान बाहिर metadata। कन्फिगरेसन यस्तो हुनेछ:

cat <<EOF
{
"onKubernetesEvent": [
{ "kind": "deployment",
  "event":["update"],
  "jqFilter": ".metadata.labels"
}
]}
EOF

यो jqFilter अभिव्यक्तिले डिप्लोयमेन्टको लामो JSON प्रकटलाई लेबलहरूसहित छोटो JSON मा परिणत गर्छ:

shell-operator ले हुक चलाउनेछ जब यो छोटो JSON परिवर्तन हुन्छ, र अन्य गुणहरूमा परिवर्तनहरूलाई बेवास्ता गरिनेछ।

हुक प्रक्षेपण सन्दर्भ

हुक कन्फिगरेसनले तपाईंलाई घटनाहरूका लागि धेरै विकल्पहरू निर्दिष्ट गर्न अनुमति दिन्छ - उदाहरणका लागि, कुबेरनेटबाट घटनाहरूका लागि २ विकल्पहरू र २ कार्यक्रमहरू:

{"onKubernetesEvent":[
  {"name":"OnCreatePod",
  "kind": "pod",
  "event":["add"]
  },
  {"name":"OnModifiedNamespace",
  "kind": "namespace",
  "event":["update"],
  "jqFilter": ".metadata.labels"
  }
],
"schedule": [
{ "name":"every 10 min",
  "crontab":"* */10 * * * *"
}, {"name":"on Mondays at 12:10",
"crontab": "* 10 12 * * 1"
]}

एउटा सानो डिग्रेशन: हो, शेल-अपरेटरले समर्थन गर्दछ चलिरहेको crontab शैली स्क्रिप्ट। थप विवरणहरू फेला पार्न सकिन्छ कागजात.

हुक किन सुरु भयो भनेर छुट्याउनको लागि, शेल-अपरेटरले अस्थायी फाइल सिर्जना गर्छ र हुकमा चल्ने बाटोमा यसलाई पास गर्छ। BINDING_CONTEXT_TYPE। फाइलले हुक चलाउनुको कारणको JSON विवरण समावेश गर्दछ। उदाहरण को लागी, प्रत्येक 10 मिनेट हुक निम्न सामग्री संग चल्नेछ:

[{ "binding": "every 10 min"}]

... र सोमबार यो यो संग सुरु हुनेछ:

[{ "binding": "every 10 min"}, { "binding": "on Mondays at 12:10"}]

गर्न onKubernetesEvent त्यहाँ थप JSON ट्रिगरहरू हुनेछ, किनभने यसले वस्तुको विवरण समावेश गर्दछ:

[
 {
 "binding": "onCreatePod",
 "resourceEvent": "add",
 "resourceKind": "pod",
 "resourceName": "foo",
 "resourceNamespace": "bar"
 }
]

फिल्डहरूको सामग्री तिनीहरूको नामबाट बुझ्न सकिन्छ, र थप विवरणहरू पढ्न सकिन्छ कागजात। क्षेत्रबाट स्रोत नाम प्राप्त गर्ने एउटा उदाहरण resourceName jq प्रयोग गर्नु पहिले नै हुकमा देखाइएको छ जसले रहस्यहरू प्रतिकृति गर्दछ:

jq -r '.[0].resourceName' $BINDING_CONTEXT_PATH

तपाईं समान तरिकामा अन्य क्षेत्रहरू प्राप्त गर्न सक्नुहुन्छ।

के अर्को छ?

परियोजना भण्डारमा, मा / उदाहरण निर्देशिकाहरू, त्यहाँ हुकहरूको उदाहरणहरू छन् जुन क्लस्टरमा चल्न तयार छन्। तपाईंको आफ्नै हुकहरू लेख्दा, तपाईंले तिनीहरूलाई आधारको रूपमा प्रयोग गर्न सक्नुहुन्छ।

प्रोमेथियस प्रयोग गरेर मेट्रिक्स सङ्कलन गर्नको लागि समर्थन छ - उपलब्ध मेट्रिक्स खण्डमा वर्णन गरिएको छ मेट्रिक्स.

तपाईले अनुमान गर्न सक्नुहुन्छ, शेल-अपरेटर Go मा लेखिएको छ र खुला स्रोत इजाजतपत्र (Apache 2.0) अन्तर्गत वितरण गरिएको छ। हामी कुनै पनि विकास सहयोगको लागि आभारी हुनेछौं GitHub मा परियोजना: र ताराहरू, र मुद्दाहरू, र पुल अनुरोधहरू।

गोप्यताको पर्दा उठाउँदै, हामी तपाईंलाई पनि सूचित गर्नेछौं कि शेल-अपरेटर हो सानो हाम्रो प्रणालीको अंश जसले Kubernetes क्लस्टरमा स्थापित एड-अनहरू अद्यावधिक राख्न र विभिन्न स्वचालित कार्यहरू गर्न सक्छ। यो प्रणाली बारे थप पढ्नुहोस् भन्यो शाब्दिक सोमबार सेन्ट पीटर्सबर्ग मा HighLoad++ 2019 मा - हामी छिट्टै यस रिपोर्टको भिडियो र ट्रान्सक्रिप्ट प्रकाशित गर्नेछौं।

हामीसँग यो प्रणालीको बाँकी भाग खोल्ने योजना छ: एडअन-अपरेटर र हुक र मोड्युलहरूको हाम्रो संग्रह। वैसे, addon-operator पहिले नै छ GitHub मा उपलब्ध छ, तर यसको लागि कागजात अझै बाटोमा छ। मोड्युलहरूको संग्रहको रिलीज गर्मीको लागि योजना गरिएको छ।

रहनुहोस्!

PS

हाम्रो ब्लगमा पनि पढ्नुहोस्:

स्रोत: www.habr.com

शेल-अपरेटरको परिचय दिँदै: Kubernetes को लागि अपरेटरहरू सिर्जना गर्न सजिलो भयो