Що з'явилося раніше – курка чи яйце? Досить дивний початок для статті про Infrastructure-as-Code, чи не так?
Що таке яйце?
Найчастіше Infrastructure-as-Code (IaC) – декларативний спосіб подання інфраструктури. У ньому ми описуємо стан, який хочемо отримати, починаючи від залізної частини, до конфігурації ПЗ. Тому IaC використовується для:
- Resource Provision. Це VMs, S3, VPC і т.д. Основні інструменти для роботи: и .
- . Основні інструменти: , Chef і т.д.
Будь-який код лежить у git-репозиторіях. І рано чи пізно тимлід вирішить, що треба навести лад у них. І рефакторитиме він. І створить певну структуру. І побачить він, що це добре.
Також добре, що вже існує и провайдер для Terraform (і це Software Configuration). З їхньою допомогою можна керувати всім проектом: членами команди, CI/CD, git-flow і т.д.
Звідки взялося яйце?
Ось ми й поступово підходимо до головного питання.
Насамперед треба починати з репозиторію, який описує структуру інших репозиторіїв, у тому числі себе. І звичайно, в рамках GitOps потрібно додати CI, щоб автоматично зміни виконувались.
Якщо Git ще не створено?
- Як його зберігати у Git?
- Як прикрутити CI?
- Якщо Gitlab ми теж розвертаємо за допомогою IaC та ще й у Kubernetes?
- І GitLab Runner теж у Kubernetes?
- А Kubernetes у хмарному провайдері?
Що з'явилося раніше: GitLab, на який я завантажу свій код, або код, який описує те, який GitLab мені потрібний?
Курка з яйцями
«3 з динозавром» []
Спробуємо приготувати страву, використовуючи як хмарний провайдер. .
TL, д-р
А можна, щоб одразу і в одну команду?
$ export MY_SELECTEL_TOKEN=<token>
$ curl https://gitlab.com/chicken-or-egg/mks/make/-/snippets/2002106/raw | bashІнгредієнти:
- Обліковий запис від my.selectel.ru;
- Токен від облікового запису;
- Навички Kubernetes;
- Навички Helm;
- Навички Terraform;
- Helm chart GitLab;
- Helm chart GitLab Runner.
рецепт:
- Отримати MY_SELECTEL_TOKEN із панелі my.selectel.ru.
- Створити кластер Kubernetes, передавши в нього токен від облікового запису.
- Отримати KUBECONFIG від створеного кластера.
- Встановити GitLab в Kubernetes.
- Отримати GitLab-token від створеного GitLab для користувача корінь.
- Створити структуру проектів у GitLab за допомогою GitLab-token.
- Запустити наявний код у GitLab.
- ?
- Profit!
Крок 1. Токен можна отримати у розділі .
Крок 2. Готуємо наш Terraform для «запікання» кластера з 2 нід. Якщо ви впевнені в тому, що у вас вистачить на всі ресурси, то можна включити автоквоти:
provider "selectel" {
token = var.my_selectel_token
}
variable "my_selectel_token" {}
variable "username" {}
variable "region" {}
resource "selectel_vpc_project_v2" "my-k8s" {
name = "my-k8s-cluster"
theme = {
color = "269926"
}
quotas {
resource_name = "compute_cores"
resource_quotas {
region = var.region
zone = "${var.region}a"
value = 16
}
}
quotas {
resource_name = "network_floatingips"
resource_quotas {
region = var.region
value = 1
}
}
quotas {
resource_name = "load_balancers"
resource_quotas {
region = var.region
value = 1
}
}
quotas {
resource_name = "compute_ram"
resource_quotas {
region = var.region
zone = "${var.region}a"
value = 32768
}
}
quotas {
resource_name = "volume_gigabytes_fast"
resource_quotas {
region = var.region
zone = "${var.region}a"
# (20 * 2) + 50 + (8 * 3 + 10)
value = 130
}
}
}
resource "selectel_mks_cluster_v1" "k8s-cluster" {
name = "k8s-cluster"
project_id = selectel_vpc_project_v2.my-k8s.id
region = var.region
kube_version = "1.17.9"
}
resource "selectel_mks_nodegroup_v1" "nodegroup_1" {
cluster_id = selectel_mks_cluster_v1.k8s-cluster.id
project_id = selectel_mks_cluster_v1.k8s-cluster.project_id
region = selectel_mks_cluster_v1.k8s-cluster.region
availability_zone = "${var.region}a"
nodes_count = 2
cpus = 8
ram_mb = 16384
volume_gb = 15
volume_type = "fast.${var.region}a"
labels = {
"project": "my",
}
}Додаємо користувача до проекту:
resource "random_password" "my-k8s-user-pass" {
length = 16
special = true
override_special = "_%@"
}
resource "selectel_vpc_user_v2" "my-k8s-user" {
password = random_password.my-k8s-user-pass.result
name = var.username
enabled = true
}
resource "selectel_vpc_keypair_v2" "my-k8s-user-ssh" {
public_key = file("~/.ssh/id_rsa.pub")
user_id = selectel_vpc_user_v2.my-k8s-user.id
name = var.username
}
resource "selectel_vpc_role_v2" "my-k8s-role" {
project_id = selectel_vpc_project_v2.my-k8s.id
user_id = selectel_vpc_user_v2.my-k8s-user.id
}Вихідні дані:
output "project_id" {
value = selectel_vpc_project_v2.my-k8s.id
}
output "k8s_id" {
value = selectel_mks_cluster_v1.k8s-cluster.id
}
output "user_name" {
value = selectel_vpc_user_v2.my-k8s-user.name
}
output "user_pass" {
value = selectel_vpc_user_v2.my-k8s-user.password
}Запускаємо:
$ env
TF_VAR_region=ru-3
TF_VAR_username=diamon
TF_VAR_my_selectel_token=<token>
terraform plan -out planfile
$ terraform apply -input=false -auto-approve planfile
Крок 3. Отримуємо кубконфіг.
Щоб програмно завантажити KUBECONFIG, потрібно отримати токен від OpenStack:
openstack token issue -c id -f value > tokenІ вже з цим токеном зробити запит у Managed Kubernetes Selectel API. k8s_id видає тераформа:
curl -XGET -H "x-auth-token: $(cat token)" "https://ru-3.mks.selcloud.ru/v1/clusters/$(cat k8s_id)/kubeconfig" -o kubeConfig.yamlКубконфіг також можна отримати за допомогою панелі.
Крок 4. Після того, як кластер запекся і у нас є доступ до нього, можна додати зверху yaml за смаком.
Я волію додавати:
- простір імен,
- storage class,
- pod security policy та інше.
для Selectel можна брати з .
Так як спочатку я вибрав кластер у зоні ru-3a, то і Storage Class мені потрібний із цієї зони.
kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
name: fast.ru-3a
annotations:
storageclass.kubernetes.io/is-default-class: "true"
provisioner: cinder.csi.openstack.org
parameters:
type: fast.ru-3a
availability: ru-3a
allowVolumeExpansion: trueКрок 5. Ставимо балансувальник навантаження.
Будемо використовувати стандартний для багатьох nginx-ingress. Інструкцій щодо його встановлення вже достатньо, так що не будемо на цьому затримуватись.
$ helm repo add nginx-stable https://helm.nginx.com/stable
$ helm upgrade nginx-ingress nginx-stable/nginx-ingress -n ingress --install -f ../internal/K8S-cluster/ingress/values.ymlЧекаємо, коли він отримає зовнішній IP приблизно 3-4 хвилини:
Отримали зовнішній IP:
Крок 6. Встановлюємо GitLab.
$ helm repo add gitlab https://charts.gitlab.io
$ helm upgrade gitlab gitlab/gitlab -n gitlab --install -f gitlab/values.yml --set "global.hosts.domain=gitlab.$EXTERNAL_IP.nip.io"Знову чекаємо, коли всі піди піднімуться.
kubectl get po -n gitlab
NAME READY STATUS RESTARTS AGE
gitlab-gitaly-0 0/1 Pending 0 0s
gitlab-gitlab-exporter-88f6cc8c4-fl52d 0/1 Pending 0 0s
gitlab-gitlab-runner-6b6867c5cf-hd9dp 0/1 Pending 0 0s
gitlab-gitlab-shell-55cb6ccdb-h5g8x 0/1 Init:0/2 0 0s
gitlab-migrations.1-2cg6n 0/1 Pending 0 0s
gitlab-minio-6dd7d96ddb-zd9j6 0/1 Pending 0 0s
gitlab-minio-create-buckets.1-bncdp 0/1 Pending 0 0s
gitlab-postgresql-0 0/2 Pending 0 0s
gitlab-prometheus-server-6cfb57f575-v8k6j 0/2 Pending 0 0s
gitlab-redis-master-0 0/2 Pending 0 0s
gitlab-registry-6bd77b4b8c-pb9v9 0/1 Pending 0 0s
gitlab-registry-6bd77b4b8c-zgb6r 0/1 Init:0/2 0 0s
gitlab-shared-secrets.1-pc7-5jgq4 0/1 Completed 0 20s
gitlab-sidekiq-all-in-1-v1-54dbcf7f5f-qbq67 0/1 Pending 0 0s
gitlab-task-runner-6fd6857db7-9x567 0/1 Pending 0 0s
gitlab-webservice-d9d4fcff8-hp8wl 0/2 Pending 0 0s
Waiting gitlab
./wait_gitlab.sh ../internal/gitlab/gitlab/.pods
waiting for pod...
waiting for pod...
waiting for pod...Піди піднялися:
Крок 7. Отримуємо GitLab-token.
Спочатку дізнаємося пароль для входу:
kubectl get secret -n gitlab gitlab-gitlab-initial-root-password -o jsonpath='{.data.password}' | base64 --decodeТепер авторизуємось і отримаємо токен:
python3 get_gitlab_token.py root $GITLAB_PASSWORD http://gitlab.gitlab.$EXTERNAL_IP.nip.ioКрок 8. Наводимо Git-репозиторії до правильної ієрархії за допомогою Gitlab Provider.
cd ../internal/gitlab/hierarchy && terraform apply -input=false -auto-approve planfileНа жаль, у terraform GitLab provider є плаваючий . Тоді доведеться видалити конфліктуючі проекти руками, щоб tf.state полагодився. Потім перезапустіть команду `$make all`
Крок 9. Переносимо локальні репозиторії на сервер.
$ make push
[master (root-commit) b61d977] Initial commit
3 files changed, 46 insertions(+)
create mode 100644 .gitignore
create mode 100644 values.yml
Enumerating objects: 5, done.
Counting objects: 100% (5/5), done.
Delta compression using up to 8 threads
Compressing objects: 100% (5/5), done.
Writing objects: 100% (5/5), 770 bytes | 770.00 KiB/s, done.
Total 5 (delta 0), reused 0 (delta 0)Готово:
Висновок
Ми досягли того, що з нашої локальної машини можемо декларативно керувати всім. Тепер хочеться перенести всі ці завдання до CI і лише натискати кнопочки. Для цього потрібно передати наші локальні стани (Terraform state) у CI. Про те, як це зробити, у наступній частині.
Підписуйтесь на наш щоб не пропустити виходи нових статей!
Джерело: habr.com