werf - vårt verktøy for CI/CD i Kubernetes (gjennomgang og videorapport)

27. mai, i hovedsalen på DevOpsConf 2019-konferansen, som arrangeres som en del av festivalen RIT++ 2019Som en del av delen om kontinuerlig levering ble det gitt en rapport med tittelen «werf – vårt verktøy for CI/CD i Kubernetes». Den snakker om disse problemene og utfordringene alle står overfor når de distribuerer til Kubernetes, samt nyanser som kanskje ikke er umiddelbart merkbare. Ved å undersøke mulige løsninger viser vi hvordan dette implementeres i et åpen kildekode-verktøy werf.

Siden presentasjonen har vårt verktøy (tidligere kjent som dapp) passert en historisk milepæl i 1000 stjerner på GitHub – Vi håper at det voksende brukerfellesskapet vil gjøre livet enklere for mange DevOps-ingeniører.

Så, la oss introdusere video av rapporten (~47 minutter, mye mer informativt enn artikkelen) og hovedsammendraget i tekstform. La oss sette i gang!

Levering av kode til Kubernetes

Rapporten vil snakke mer om CI/CD i Kubernetes enn Werf, noe som antyder at programvaren vår er pakket i Docker-containere. (Jeg snakket om dette i 2016-rapport), og K8-er vil bli brukt til å kjøre den i produksjon. (mer om dette i 2017 år).

Hvordan ser levering ut i Kubernetes?

• Det finnes et Git-repository med koden og instruksjoner for å bygge den. Applikasjonen er innebygd i et Docker-image og publisert i Docker-registeret.
• Det samme depotet inneholder også instruksjoner om hvordan du distribuerer og kjører applikasjonen. I distribusjonsfasen sendes disse instruksjonene til Kubernetes, som henter det nødvendige bildet fra registeret og kjører det.
• I tillegg finnes det vanligvis tester. Noen av dem kan kjøres når du publiserer avbildningen. Du kan også (ved å bruke de samme instruksjonene) distribuere en kopi av applikasjonen (i et separat K8s-navnerom eller en separat klynge) og kjøre tester der.
• Til slutt trenger du et CI-system som mottar hendelser fra Git (eller knappetrykk) og kaller alle de angitte stadiene: bygge, publisere, distribuere, teste.

Det er noen viktige merknader her:

1. Fordi vi har uforanderlig infrastruktur (uforanderlig infrastruktur), et applikasjonsbilde som brukes i alle stadier (oppsett, produksjon osv.), det må være én. Jeg snakket mer detaljert om dette og med eksempler. her.
2. Siden vi følger infrastruktur som kode-tilnærmingen (IaC), applikasjonskoden, instruksjoner for montering og oppstart bør være plassert nøyaktig i ett arkiv. For mer informasjon, se i den samme rapporten.
3. Leveringskjede (leveranse) Vi ser det vanligvis slik: applikasjonen blir satt sammen, testet og utgitt (utgivelsesfase) og det er det – leveransen har funnet sted. Men i realiteten får brukeren det du rullet ut, no da du leverte den til produksjon, og da han kunne dra dit og denne produksjonen fungerte. Så jeg tror at leveringskjeden slutter bare på driftsstadiet (løpe), eller for å være mer presis, selv i det øyeblikket koden ble tatt ut av produksjon (erstattet med en ny).

La oss gå tilbake til den ovennevnte Kubernetes-leveringsordningen: den ble ikke bare oppfunnet av oss, men også av bokstavelig talt alle som håndterte dette problemet. Faktisk kalles dette mønsteret nå GitOps. (du kan lese mer om begrepet og ideene bak det her)La oss se på stadiene i ordningen.

Byggefase

Det ser ut til at det ikke er noe å si om å bygge Docker-bilder i 2019, når alle vet hvordan man skriver Dockerfiles og kjører dem. docker buildHer er nyansene jeg vil trekke oppmerksomhet til:

1. Vekt på bildet det er viktig, så bruk det flertrinns, for å bare la det være igjen i bildet som virkelig trengs for at applikasjonen skal fungere.
2. Antall lag må minimeres ved å kombinere kjeder av RUN-kommanderer etter mening.
3. Dette skaper imidlertid problemer. feilsøking, fordi når samlingen krasjer, må du finne den nødvendige kommandoen fra kjeden som forårsaket problemet.
4. Monteringshastighet er viktig fordi vi ønsker å rulle ut endringer raskt og se resultatet. For eksempel ønsker vi ikke å gjenoppbygge avhengigheter i språkbiblioteker hver gang vi bygger applikasjonen.
5. Ofte trenger du fra ett Git-repository mange bilder, som kan løses med et sett med Dockerfiler (eller navngitte stadier i én fil) og et Bash-skript med deres sekvensielle samling.

Dette var bare toppen av isfjellet som alle står overfor. Men det finnes andre problemer, inkludert:

1. Ofte trenger vi noe på monteringsstadiet montere (for eksempel mellomlagre resultatet av en kommando som apt i en tredjepartskatalog).
2. Vi ønsker Ansible i stedet for å skrive i shell.
3. Vi ønsker bygge uten Docker (Hvorfor trenger vi en ekstra virtuell maskin der vi må konfigurere alt for dette, når vi allerede har en Kubernetes-klynge der vi kan kjøre containere?).
4. Parallell montering, som kan forstås på forskjellige måter: forskjellige kommandoer fra en Dockerfile (hvis flertrinnsfunksjonalitet brukes), flere commits fra ett repository, flere Dockerfiler.
5. Distribuert monteringVi ønsker å samle noe i pods som er "flyktige" fordi hurtigbufferen deres forsvinner, noe som betyr at det må lagres et separat sted.
6. Til slutt ga jeg navnet på toppen av begjær automagiDet ville være ideelt å gå til depotet, skrive inn en kommando og få et ferdig image, satt sammen med en forståelse av hvordan og hva man skal gjøre riktig. Personlig er jeg imidlertid ikke sikker på om alle nyansene kan forutses på denne måten.

Og her er prosjektene:

• moby/byggesett — en samler fra Docker Inc (allerede integrert i nåværende versjoner av Docker), som prøver å løse alle disse problemene;
• Kaniko — en bygger fra Google som lar deg bygge uten Docker;
• Buildpacks.io — CNCFs forsøk på å utføre automagi, og spesielt en interessant løsning med rebase for lag;
• og en rekke andre verktøy, som for eksempel buildah, ekteverktøy/bilde...

... og se på hvor mange stjerner de har på GitHub. Så, på den ene siden, docker build det finnes og kan gjøre noe, men i virkeligheten problemet er ikke fullstendig løst — bevis på dette er den parallelle utviklingen av alternative montører, som hver løser en del av problemene.

Montering i kaien

Så vi måtte werf (formerly berømt som dapp) — Åpen kildekode-verktøyet til selskapet «Flant», som vi har laget i mange år. Det hele startet for omtrent 5 år siden med Bash-skript som optimaliserte sammenstillingen av Dockerfiles, og de siste 3 årene har fullverdig utvikling blitt utført innenfor rammen av ett prosjekt med et eget Git-repository. (først i Ruby, og deretter omskrev på Go, og samtidig omdøpt)Hvilke monteringsproblemer løses i werf?

Problemene som er markert med blått er allerede implementert, parallell montering er gjort i én vert, og problemene som er markert med gult er planlagt fullført innen slutten av sommeren.

Publiseringsstadium i registeret (publisering)

Vi har rekruttert docker push… — hva kan være vanskelig med å laste inn et bilde i registeret? Og her oppstår spørsmålet: «Hvilken tagg skal jeg sette på bildet?» Det oppstår fordi vi har Gitflow (eller en annen Git-strategi) og Kubernetes, og bransjen ønsker at det som skjer i Kubernetes skal følge det som skjer i Git. Fordi Git er vår eneste kilde til sannhet.

Hva er så vanskelig med det? Sørg for reproduserbarhet: fra en Git-commit, som er uforanderlig av natur (uforanderlig), til Docker-avbildningen, som skal forbli den samme.

Det er også viktig for oss bestemme opprinnelsen, fordi vi ønsker å forstå hvilken commit applikasjonen som kjører i Kubernetes ble bygget fra (da kan vi gjøre diffs og sånt).

Merkestrategier

Den første er enkel git-taggenVi har et register med et bilde merket som 1.0I Kubernetes finnes det en fase og en produksjonsprosess, der dette bildet distribueres. I Git foretar vi commits og legger på et tidspunkt inn en tag. 2.0Vi kompilerer den i henhold til instruksjonene fra depotet og plasserer den i registeret med taggen 2.0Vi ruller det ut til scenen, og hvis alt er bra, så til produksjon.

Problemet med denne tilnærmingen er at vi først setter taggen, og først deretter testet og rullet den ut. Hvorfor? For det første er det rett og slett ulogisk: vi gir ut en versjon av programvaren som vi ikke engang har testet ennå (vi kan ikke gjøre noe annet, fordi vi må sette taggen for å teste den). For det andre fungerer ikke denne tilnærmingen med Gitflow.

Det andre alternativet - git commit + tagDet er en tagg i hovedgrenen 1.0; for det i registeret — et bilde distribuert til produksjon. I tillegg har Kubernetes-klyngen forhåndsvisnings- og stagingkonturer. Deretter følger vi Gitflow: i hovedgrenen for utvikling (develop) vi lager nye funksjoner, noe som resulterer i en commit med identifikatoren #c1Vi samler den inn og publiserer den i registeret ved hjelp av denne identifikatoren (#c1). Med samme identifikator ruller vi ut for forhåndsvisning. Vi gjør det samme med commits #c2 и #c3.

Når vi innså at det var nok funksjoner, begynte vi å stabilisere alt. I Git opprettet vi en gren. release_1.1 (på basen #c3 av develop). Det er ikke nødvendig å bygge denne utgivelsen, slik det ble gjort i forrige fase. Derfor kan vi ganske enkelt rulle den ut til staging. Vi fikser feil i #c4 og på samme måte ruller vi ut til staging. Parallelt, samtidig, pågår utvikling i develop, hvor endringer med jevne mellomrom tas fra release_1.1På et tidspunkt får vi en commit som vi er fornøyde med, bygget og sendt til staging (#c25).

Så gjør vi en sammenslåing (med spoling fremover) av release-grenen (release_1.1) i master. Vi la en tagg med den nye versjonen på denne commiten (1.1). Men dette bildet er allerede bygget i registeret, så for å ikke bygge det på nytt, legger vi ganske enkelt til en ny tagg til det eksisterende bildet (nå har det tagger i registeret #c25 и 1.1Etter det ruller vi det ut til produksjon.

Det er en ulempe at bare ett bilde distribueres til staging (#c25), og i produksjon - som om det var annerledes (1.1), men vi vet at «fysisk» er dette det samme bildet fra registeret.

Den virkelige ulempen er at det ikke er støtte for merge-commits; du må spole fremover.

Vi kan gå videre og gjøre et triks ... La oss se på et eksempel på en enkel Dockerfile:

FROM ruby:2.3 as assets
RUN mkdir -p /app
WORKDIR /app
COPY . ./
RUN gem install bundler && bundle install
RUN bundle exec rake assets:precompile
CMD bundle exec puma -C config/puma.rb

FROM nginx:alpine
COPY --from=assets /app/public /usr/share/nginx/www/public

La oss bygge en fil fra den i henhold til følgende prinsipp: vi tar:

• SHA256 fra ID-ene til bildene som ble brukt (ruby:2.3 и nginx:alpine), som er sjekksummer av innholdet deres;
• alle lag (RUN, CMD og så videre.);
• SHA256 fra filer som ble lagt til.

... og ta sjekksummen (SHA256 igjen) fra en slik fil. Dette er signatur alt som definerer innholdet i et Docker-bilde.

La oss gå tilbake til diagrammet og i stedet for commits vil vi bruke slike signaturer, dvs. merke bilder med signaturer.

Når vi for eksempel trenger å slå sammen endringer fra en utgivelse til en master, kan vi gjøre en ekte merge-commit: den vil ha en annen identifikator, men samme signatur. Med samme identifikator vil vi rulle ut imaget til produksjon.

Ulempen er at det nå er umulig å bestemme hvilken commit som ble sendt til produksjon – sjekksummer fungerer bare én vei. Dette problemet løses med et ekstra metadatalag – jeg vil fortelle deg mer om det senere.

Tagging i werf

Hos Werf har vi gått enda lenger og forbereder oss på å lage en distribuert bygging med en hurtigbuffer som ikke er lagret på én enkelt maskin... Så vi har to typer Docker-bilder som bygges, vi kaller dem scene и bilde.

Werf Git-repositoriet inneholder spesifikke byggeinstruksjoner som beskriver de ulike stadiene i byggingen (før installasjon, installere, førOppsett, oppsett). Vi setter sammen det første trinnbildet med en signatur definert som en sjekksum for de første trinnene. Deretter legger vi til kildekoden, for det nye trinnbildet beregner vi sjekksummen... Disse operasjonene gjentas for alle trinn, som et resultat av dette får vi et sett med trinnbilder. Deretter lager vi det endelige bildet, som også inneholder metadata om opprinnelsen. Og vi tagger dette bildet på forskjellige måter (detaljer senere).

La oss si at det etter dette dukker opp en ny commit, der bare applikasjonskoden er endret. Hva vil skje? En patch vil bli opprettet for kodeendringene, og et nytt stageimage vil bli utarbeidet. Signaturen vil bli definert som en sjekksum av det gamle stageimaget og den nye patchen. Et nytt sluttimage vil bli dannet fra dette imaget. Lignende oppførsel vil oppstå med endringer på andre stadier.

Dermed er scenebilder en cache som kan lagres på en distribuert måte, og bildebildene som opprettes fra den lastes inn i Docker-registeret.

Rengjøring av registeret

Vi snakker ikke om å slette lag som henger igjen etter at tagger er slettet – dette er en standardfunksjon i selve Docker Registry. Vi snakker om en situasjon der mange Docker-tagger hoper seg opp, og vi forstår at vi ikke lenger trenger noen av dem, men de tar opp plass (og/eller vi betaler for det).

Hva er rengjøringsstrategiene?

1. Du kan bare ikke gjøre noe ikke rengjørNoen ganger er det faktisk enklere å betale litt for ekstra plass enn å løse opp i en stor floke av merkelapper. Men dette fungerer bare opp til et visst punkt.
2. Full tilbakestillingHvis du sletter alle bildene og bare gjenoppbygger de nåværende i CI-systemet, kan det oppstå et problem. Hvis containeren startes på nytt i produksjon, lastes et nytt bilde for den – et som ikke har blitt testet av noen ennå. Dette ødelegger ideen om uforanderlig infrastruktur.
3. Blå grønnEtt register har begynt å overfylles – vi laster inn bilder i et annet. Samme problem som i forrige metode: når kan vi tømme registeret som har begynt å overfylles?
4. Etter tidSlette alle bilder som er eldre enn 1 måned? Men det vil definitivt være en tjeneste som ikke har blitt oppdatert på en måned...
5. manuelt avgjøre hva som allerede kan slettes.

Det finnes to virkelig levedyktige alternativer: å ikke rense eller en kombinasjon av blågrønn + manuell. I sistnevnte tilfelle snakker vi om følgende: når du forstår at det er på tide å rense registeret, opprett et nytt og legg til alle nye images i det i, for eksempel, en måned. Og etter en måned, se på hvilke pods i Kubernetes som fortsatt bruker det gamle registeret, og flytt dem også til det nye registeret.

Hva har vi kommet til? werfVi samler inn:

1. Git head: alle tagger, alle grener, forutsatt at alt som er tagget i Git, trenger vi i bildene (og hvis ikke, må vi slette det i selve Git);
2. alle pods som for øyeblikket er distribuert til Kubernetes;
3. gamle ReplicaSets (det som nylig ble rullet ut), og vi planlegger også å skanne Helm-utgivelser og velge de nyeste imagene der.

... og lage en hviteliste fra dette settet – en liste over bilder vi ikke vil slette. Vi renser alt annet, finner deretter foreldreløse scenebilder og sletter dem også.

Implementeringsfase

Pålitelig deklarativitet

Det første punktet jeg vil trekke oppmerksomhet til i utrullingen er utrullingen av den oppdaterte ressurskonfigurasjonen som er deklarativt deklarert. Det originale YAML-dokumentet som beskriver Kubernetes-ressurser, avviker alltid sterkt fra resultatet som faktisk fungerer i klyngen. Fordi Kubernetes legger til konfigurasjonen:

1. identifikatorer;
2. tjenesteinformasjon;
3. sett med standardverdier;
4. seksjon med gjeldende status;
5. endringer gjort som en del av opptaks-webhooken;
6. resultatet av arbeidet til ulike kontrollere (og planleggeren).

Derfor, når en ny ressurskonfigurasjon vises (nytt), kan vi ikke bare ta den og overskrive den nåværende «live»-konfigurasjonen (leve). For å gjøre dette må vi sammenligne nytt med den tidligere brukte konfigurasjonen (sist brukt) og rull videre leve mottatt oppdatering.

Denne tilnærmingen kalles 2-veis sammenslåingDen brukes for eksempel i Helm.

Det finnes også 3-veis sammenslåing, som utmerker seg ved at:

• sammenligne sist brukt и nytt, vi ser på hva som ble fjernet;
• sammenligne nytt и leve, vi ser på hva som er lagt til eller endret;
• vi bruker den summerte lappen til leve.

Vi distribuerer over 1000 applikasjoner med Helm, så vi lever i utgangspunktet med toveis sammenslåing. Det er imidlertid en rekke problemer som vi har løst med oppdateringene våre som hjelper Helm med å fungere ordentlig.

Ekte utrullingsstatus

Etter at CI-systemet vårt har generert en ny konfigurasjon for Kubernetes for neste hendelse, sender det den videre for applikasjon. (søke) inn i en klynge – ved hjelp av Helm eller kubectl applyDeretter skjer den allerede beskrevne N-veis sammenslåingen, som Kubernetes API reagerer godkjent på overfor CI-systemet, og CI-systemet reagerer overfor brukeren.

Det er imidlertid et stort problem: Vellykket applikasjon betyr ikke vellykket utrullingHvis Kubernetes forstår hvilke endringer som må implementeres og implementerer dem, vet vi ennå ikke hva resultatet vil bli. For eksempel kan det være vellykket å oppdatere og starte pods på nytt i frontend, men ikke i backend, og vi vil få forskjellige versjoner av kjørende applikasjonsavbildninger.

For å gjøre alt riktig, krever denne ordningen en ekstra lenke - en spesiell tracker som vil motta statusinformasjon fra Kubernetes API og overføre den for videre analyse av tingenes reelle tilstand. Vi opprettet et åpen kildekode-bibliotek i Go - cubedog (se kunngjøringen hennes her), - som løser dette problemet og er innebygd i werf.

Oppførselen til denne trackeren på werf-nivå konfigureres ved hjelp av annoteringer som plasseres på Deployments eller StatefulSets. Hovedannoteringen er fail-mode — forstår følgende betydninger:

• IgnoreAndContinueDeployProcess — vi ignorerer problemene med utrullingen av denne komponenten og fortsetter utrullingen;
• FailWholeDeployProcessImmediately - en feil i denne komponenten stopper utrullingsprosessen;
• HopeUntilEndOfDeployProcess – Vi håper at denne komponenten vil fungere innen utrullingen er ferdig.

For eksempel denne kombinasjonen av ressurser og annotasjonsverdier fail-mode:

Når du distribuerer for første gang, er det ikke sikkert at databasen (MongoDB) er klar ennå – distribusjonene vil krasje. Men du kan vente til den starter, så vil distribusjonen fortsatt gå gjennom.

Det finnes to merknader til for kubedog i werf:

• failures-allowed-per-replica – antall fall som er tillatt for hver replika;
• show-logs-until — regulerer tidspunktet frem til hvor werf viser (i stdout) logger fra alle distribuerte pods. Som standard er dette PodIsReady (for å ignorere meldinger vi sannsynligvis ikke ønsker når poden begynner å få trafikk), men verdiene ControllerIsReady и EndOfDeploy.

Hva annet ønsker vi oss av utplasseringen?

I tillegg til de to punktene som allerede er nevnt, ønsker vi:

• å se logger - og bare de nødvendige, ikke alle;
• spor fremgang, fordi hvis en jobb henger «stille» i flere minutter, er det viktig å forstå hva som skjer der;
• иметь automatisk tilbakerulling i tilfelle noe går galt (og derfor er det kritisk å vite den faktiske statusen for utrullingen). Utrullingen må være atomær: enten går den helt til slutten, eller så går alt tilbake til forrige tilstand.

Resultater av

For oss som selskap er et CI-system og et verktøy tilstrekkelig for å implementere alle de beskrevne nyansene på ulike stadier av leveransen (bygg, publiser, distribuer) werf.

I stedet for en konklusjon:

Med Werf har vi gjort gode fremskritt i å løse et stort antall problemer for DevOps-ingeniører, og vi ville vært glade om det bredere fellesskapet i det minste prøvde dette verktøyet i praksis. Det vil være lettere å oppnå gode resultater sammen.

Videoer og lysbilder

Video fra forestillingen (~47 minutter):

Presentasjon av rapporten:

PS

Andre rapporter om Kubernetes på bloggen vår:

• «Autoskalering og ressursadministrasjon i Kubernetes» (Dmitry Stolyarov; 27. april 2019 på "Strachka");
• «Utvide og komplettere Kubernetes» (Andrey Polovov; 8. april 2019 på Saint HighLoad++);
• «Databaser og Kubernetes» (Dmitry Stolyarov; 8. november 2018 på HighLoad++);
• «Overvåking og Kubernetes» (Dmitry Stolyarov; 28. mai 2018 på RootConf);
• «CI/CD Best Practices med Kubernetes og GitLab» (Dmitry Stolyarov; 7. november 2017 på HighLoad++);
• «Vår erfaring med Kubernetes i små prosjekter» (Dmitry Stolyarov; 6. juni 2017 på RootConf).

Kilde: www.habr.com