Видаляємо застарілу feature branch в кластері Kubernetes
Привіт! Feature branch (aka deploy preview, review app) - це коли деплоїться не тільки master гілка, а й кожен pull request на унікальний URL. Можна перевірити чи працює код у production-оточенні, фічу можна показати іншим програмістам чи продуктологам. Поки ви працюєте в pull request'і, кожен новий commit поточний deploy для старого коду видаляється, а новий deploy для нового коду викочується. Питання можуть виникнути тоді, коли ви смердили pull request в master гілку. Feature branch вам більше не потрібна, але ресурси Kubernetes все ще знаходяться у кластері.
Ще про feature branch'і
Один з підходів як зробити feature branch'і в Kubernetes - використовувати namespace'и. Якщо коротко, production конфігурації виглядає так:
Загалом, я написав Оператор Kubernetes (Додаток, який має доступ до ресурсів кластера), посилання на проект на Github. Він видаляє namespace'и, які відносяться до старих feature branch'ам. У Kubernetes, якщо видалити namespace, інші ресурси в namespace також видаляються автоматично.
$ kubectl get pods --all-namespaces | grep -e "-pr-"
NAMESPACE ... AGE
habr-back-end-pr-264 ... 4d8h
habr-back-end-pr-265 ... 5d7h
Про те як впровадити feature branch'і в кластер, можна почитати тут и тут.
Мотивація
Давайте подивимося на типовий життєвий цикл pull request'a з безперервною інтеграцією (continuous integration):
Пухаємо новий commit у гілку.
На білді, запускаються лінтери та/або тести.
На льоту формуються конфігурації Kubernetes pull request'a (наприклад, готовий шаблон підставляється його номер).
За допомогою kubectl apply конфігурації потрапляють у кластер (deploy).
Pull request зливається в master гілку.
Поки ви працюєте в pull request'і, кожен новий commit поточний deploy для старого коду видаляється, а новий deploy для нового коду викочується. Але коли pull request зливається в master гілку, буде білдиться тільки master гілка. У результаті виходить, що про pull request ми вже забули, а його ресурси Kubernetes все ще знаходяться в кластері.
Параметр namespaceSubstring потрібен, щоб відфільтрувати namespace'и для pull request'ів від інших namespace'ів. Наприклад, якщо в кластері є такі namespace'и: habr-back-end, habr-front-end, habr-back-end-pr-17, habr-back-end-pr-33, тоді кандидатами на вилучення будуть habr-back-end-pr-17, habr-back-end-pr-33.
Параметр afterDaysWithoutDeploy потрібно, щоб видаляти старі namespace'и. Наприклад, якщо namespace створено 3 дня 1 час назад, а в параметрі вказано 3 дня, цей namespace буде видалено. Працює і у зворотний бік, якщо namespace створено 2 дня 23 часа назад, а в параметрі вказано 3 дня, цей namespace не буде видалено.
Є ще один параметр, він відповідає за те, як часто сканувати всі namespace'и і перевіряти на дні без deploy'я. checkEveryMinutes. За умовчанням він дорівнює 30 минутам.
кубектл - Інтерфейс командного рядка для керування кластером.
Піднімаємо Kubernetes кластер локально:
$ minikube start --vm-driver=docker
minikube v1.11.0 on Darwin 10.15.5
Using the docker driver based on existing profile.
Starting control plane node minikube in cluster minikube.
вказуємо kubectl використовувати локальний кластер за замовчуванням:
$ kubectl config use-context minikube
Switched to context "minikube".
Завантажуємо конфігурації для production-середовища:
Так як production конфігурації налаштовані перевіряти старі namespace'и, а в нашому ново піднятому кластері їх немає, замінимо змінну оточення IS_DEBUG на true. При такому значенні параметр afterDaysWithoutDeploy не враховується і namespace'и не перевіряються на дні без deploy'я, тільки на входження підрядка (-pr-).
Якщо ви на Linux:
$ sed -i 's|false|true|g' stale-feature-branch-production-configs.yml
Якщо ви на macOS:
$ sed -i "" 's|false|true|g' stale-feature-branch-production-configs.yml
$ kubectl get pods --namespace stale-feature-branch-operator
NAME ... STATUS ... AGE
stale-feature-branch-operator-6bfbfd4df8-m7sch ... Running ... 38s
Якщо заглянути до його логів, він готовий обробляти ресурси StaleFeatureBranch:
Оператор відреагував і готовий перевіряти namespace'и:
$ kubectl logs stale-feature-branch-operator-6bfbfd4df8-m7sch -n stale-feature-branch-operator
... "msg":"Stale feature branch is being processing.","namespaceSubstring":"-pr-","afterDaysWithoutDeploy":1,"checkEveryMinutes":1,"isDebug":"true"}
Встановлюємо fixtures, що містять два namespace'а (project-pr-1, project-pr-2) та їх deployments, services, ingress, і так далі:
$ kubectl apply -f https://raw.githubusercontent.com/dmytrostriletskyi/stale-feature-branch-operator/master/fixtures/first-feature-branch.yml -f https://raw.githubusercontent.com/dmytrostriletskyi/stale-feature-branch-operator/master/fixtures/second-feature-branch.yml
...
namespace/project-pr-1 created
deployment.apps/project-pr-1 created
service/project-pr-1 created
horizontalpodautoscaler.autoscaling/project-pr-1 created
secret/project-pr-1 created
configmap/project-pr-1 created
ingress.extensions/project-pr-1 created
namespace/project-pr-2 created
deployment.apps/project-pr-2 created
service/project-pr-2 created
horizontalpodautoscaler.autoscaling/project-pr-2 created
secret/project-pr-2 created
configmap/project-pr-2 created
ingress.extensions/project-pr-2 created
Перевіряємо, що всі ресурси вище успішно створені:
$ kubectl get namespace,pods,deployment,service,horizontalpodautoscaler,configmap,ingress -n project-pr-1 && kubectl get namespace,pods,deployment,service,horizontalpodautoscaler,configmap,ingress -n project-pr-2
...
NAME ... READY ... STATUS ... AGE
pod/project-pr-1-848d5fdff6-rpmzw ... 1/1 ... Running ... 67s
NAME ... READY ... AVAILABLE ... AGE
deployment.apps/project-pr-1 ... 1/1 ... 1 ... 67s
...
Тому що ми включили debug, namespace'и project-pr-1 и project-pr-2, отже і всі інші ресурси, повинні будуть відразу видалитись не враховуючи параметр afterDaysWithoutDeploy. У логах оператора видно:
$ kubectl logs stale-feature-branch-operator-6bfbfd4df8-m7sch -n stale-feature-branch-operator
... "msg":"Namespace should be deleted due to debug mode is enabled.","namespaceName":"project-pr-1"}
... "msg":"Namespace is being processing.","namespaceName":"project-pr-1","namespaceCreationTimestamp":"2020-06-16 18:43:58 +0300 EEST"}
... "msg":"Namespace has been deleted.","namespaceName":"project-pr-1"}
... "msg":"Namespace should be deleted due to debug mode is enabled.","namespaceName":"project-pr-2"}
... "msg":"Namespace is being processing.","namespaceName":"project-pr-2","namespaceCreationTimestamp":"2020-06-16 18:43:58 +0300 EEST"}
... "msg":"Namespace has been deleted.","namespaceName":"project-pr-2"}
Якщо перевірити наявність ресурсів, вони будуть у статусі Terminating (процес видалення) або вже видалені (висновок команди порожній).
$ kubectl get namespace,pods,deployment,service,horizontalpodautoscaler,configmap,ingress -n project-pr-1 && kubectl get namespace,pods,deployment,service,horizontalpodautoscaler,configmap,ingress -n project-pr-2
...
Можете повторити процес створення fixtures кілька разів і переконайтеся, що вони будуть видалені протягом хвилини.
Альтернативи
Що можна зробити замість оператора, який працює у кластері? Підходів кілька, всі вони неідеальні (і їхні недоліки суб'єктивні), і кожен сам вирішує, що найкраще підійде на конкретному проекті:
Видалити feature branch під час білда безперервної інтеграції master гілки.
Для цього треба знати, який pull request відноситься до commit'у, який білдиться. Оскільки feature branch namespace містить ідентифікатор pull request'a — його номер, або назву гілки, ідентифікатор завжди доведеться вказувати в commit'e.
Білди master гілок фейля. Наприклад, у вас такі етапи: завантажити проект, запустити тести, зібрати проект, зробити реліз, надіслати повідомлення, очистити feature branch останнього pull request'a. Якщо білд з'явиться на надсиланні повідомлення, вам доведеться видаляти всі ресурси в кластері руками.
Без належного контексту, видалення feature branch'і у master білді неочевидне.
Можливо це не ваш підхід. Наприклад, в Дженкінс, лише один вид пайплайну підтримує можливість зберігати його конфігурації у вихідному коді. При використанні webhook'ів потрібно написати свій скрипт для їхньої обробки. Цей скрипт доведеться розміщувати в інтерфейсі Jenkins'а, що важко підтримувати.