CRI-O ווי אַ פאַרבייַט פֿאַר דאָקקער ווי אַ רונטימע סוויווע פֿאַר Kubernetes: סעטאַפּ אויף CentOS 8

העלא! מייַן נאָמען איז סערגיי, איך בין דעוואָפּס ביי סורף. די DevOps אָפּטיילונג ביי סורף יימז ניט בלויז צו פאַרלייגן ינטעראַקשאַן צווישן ספּעשאַלאַסץ און ויסשטימען אַרבעט פּראַסעסאַז, אָבער אויך צו אַקטיוולי פאָרשונג און ינסטרומענט קראַנט טעקנאַלאַדזשיז ביידע אין זיין אייגענע ינפראַסטראַקטשער און אין דער קונה ס ינפראַסטראַקטשער.

ונטער איך וועל רעדן אַ ביסל וועגן די ענדערונגען אין די טעכנאָלאָגיע אָנלייגן פֿאַר קאַנטיינערז וואָס מיר האָבן געפּלאָנטערט בשעת לערנען די פאַרשפּרייטונג CentOS 8 און וועגן וואָס עס איז CRI-O און ווי צו געשווינד שטעלן אַ עקסעקוטאַבלע סוויווע פֿאַר Kubernetes.

פארוואס איז דאָקער ניט אַרייַנגערעכנט אין CentOS 8?

נאָך ינסטאָלינג די לעצטע הויפּט ריליסיז רעל 8 אָדער CentOS 8 מען קען נישט העלפֿן אָבער באַמערקן: די דיסטריביושאַנז און באַאַמטער ריפּאַזאַטאָריז אַנטהאַלטן נישט די אַפּלאַקיישאַן דאָקקער, וואָס אידעאָלאָגיש און פאַנגקשאַנאַלי פאַרבייַטן פּאַקאַדזשאַז פּאָדמאַן, בילדאַה (פאָרשטעלן אין די פאַרשפּרייטונג דורך פעליקייַט) און CRI-O. דאָס איז רעכט צו דער פּראַקטיש ימפּלאַמענטיישאַן פון סטאַנדאַרדס דעוועלאָפּעד, צווישן אנדערע, דורך Red Hat ווי אַ טייל פון די Open Container Initiative (OCI) פּרויעקט.

דער ציל פון OCI, וואָס איז טייל פון די לינוקס וויקיפּעדיע, איז צו שאַפֿן אָפֿן ינדאַסטרי סטאַנדאַרדס פֿאַר קאַנטיינער פֿאָרמאַטירונגען און רונטימעס וואָס סאָלווע עטלעכע פּראָבלעמס אין אַמאָל. ערשטער, זיי האָבן נישט סויסער די פילאָסאָפיע פון ​​לינוקס (למשל, אין דעם טייל אַז יעדער פּראָגראַם זאָל דורכפירן איין קאַמף, און דאָקקער איז אַ מין פון אַלע-אין-איין פאַרבינדן). צווייטנס, זיי קען עלימינירן אַלע יגזיסטינג דיפישאַנסיז אין די ווייכווארג דאָקקער. דריטנס, זיי וואָלט זיין גאָר קאַמפּאַטאַבאַל מיט די געשעפט רעקווירעמענץ פון לידינג געשעפט פּלאַטפאָרמס פֿאַר דיפּלויינג, אָנפירונג און סערווינג קאַנטיינערייזד אַפּלאַקיישאַנז (למשל, Red Hat OpenShift).

לימיטיישאַנז דאָקקער און די אַדוואַנטידזשיז פון די נייַע ווייכווארג האָבן שוין דיסקרייבד אין עטלעכע דעטאַל אין דעם אַרטיקל, און אַ דיטיילד באַשרייַבונג פון די גאנצע ווייכווארג אָנלייגן געפֿינט אין די OCI פּרויעקט און זייַן אַרקאַטעקטשעראַל פֿעיִקייטן קענען זיין געפֿונען אין דער באַאַמטער דאַקיומענטיישאַן און אַרטיקלען פון Red Hat זיך (ניט אַ שלעכט אַרטיקל אין Red Hat בלאָג) און אין דריט-פּאַרטיי באריכטן.

עס איז וויכטיק צו טאָן וואָס פאַנגקשאַנאַליטי די קאַמפּאָונאַנץ פון די פארגעלייגט אָנלייגן האָבן:

• פּאָדמאַן - דירעקט ינטעראַקשאַן מיט קאַנטיינערז און בילד סטאָרידזש דורך די runC פּראָצעס;
• בילדאַה - פֿאַרזאַמלונג און ופּלאָאַדינג בילדער צו די רעגיסטרי;
• CRI-O - אַן עקסעקוטאַבלע סוויווע פֿאַר קאַנטיינער אָרקעסטראַטיאָן סיסטעמען (למשל, Kubernetes).

איך טראַכטן אַז צו פֿאַרשטיין די אַלגעמיינע סכעמע פון ​​ינטעראַקשאַן צווישן די קאַמפּאָונאַנץ פון די אָנלייגן, עס איז קעדייַיק צו צושטעלן אַ קשר דיאַגראַמע דאָ Kubernetes c runC און נידעריק-מדרגה לייברעריז ניצן CRI-O:

CRI-O и Kubernetes אַדכיר צו דער זעלביקער מעלדונג און שטיצן ציקל (די קאַמפּאַטאַבילאַטי מאַטריץ איז זייער פּשוט: הויפּט ווערסיעס Kubernetes и CRI-O צונויפפאַלן), און דאָס, גענומען אין חשבון די פאָקוס אויף גאַנץ און פולשטענדיק טעסטינג פון די אָפּעראַציע פון ​​דעם אָנלייגן דורך דעוועלאָפּערס, גיט אונדז די רעכט צו דערוואַרטן די מאַקסימום אַטשיוואַבאַל פעסטקייַט אין אָפּעראַציע אונטער קיין נוצן סינעריאָוז (רעלאַטיוו לייטנאַס איז אויך וווילטויק דאָ CRI-O קאַמפּערד מיט דאָקקער רעכט צו אַ ציל-פאַנגקשאַנאַל באַגרענעצונג פון פאַנגקשאַנאַליטי).

ווען ינסטאָלינג Kubernetes "רעכט וועג" וועג (לויט צו OCI, פון לויף) ניצן CRI-O אויף CentOS 8 מי ר האב ן זי ך געטראפ ן עטלעכ ע קלײנ ע שװעריקײטן , װעלכ ע מי ר האב ן אבע ר דערפאלג . איך וועל זיין צופרידן צו טיילן מיט איר ינסטראַקשאַנז פֿאַר ינסטאַלירונג און קאַנפיגיעריישאַן, וואָס אין גאַנץ וועט נעמען וועגן 10 מינוט.

ווי צו צעוויקלען Kubernetes אויף CentOS 8 ניצן די CRI-O פריימווערק

פּרירעקוואַזאַץ: בייַזייַן פון לפּחות איין באַלעבאָס (2 קאָרעס, 4 גיגאבייט באַראַן, לפּחות 15 גיגאבייט סטאָרידזש) מיט אינסטאַלירן CentOS 8 (די "סערווער" ייַנמאָנטירונג פּראָפיל איז רעקאַמענדיד), ווי געזונט ווי איינסן פֿאַר עס אין די היגע דנס (ווי אַ לעצטע ריזאָרט, איר קענען באַקומען דורך מיט אַ פּאָזיציע אין /etc/hosts). און טאָן ניט פאַרגעסן דיסייבאַל ויסבייַטן.

מיר דורכפירן אַלע אַפּעריישאַנז אויף דער באַלעבאָס ווי דער וואָרצל באַניצער, זיין אָפּגעהיט.

1. אין דער ערשטער שריט, מיר וועלן קאַנפיגיער די אַס, ינסטאַלירן און קאַנפיגיער פּרילימאַנערי דיפּענדאַנסיז פֿאַר CRI-O.
   • לאָמיר דערהייַנטיקן די אַס:

     dnf -y update
     

   • דערנאָך איר דאַרפֿן צו קאַנפיגיער די פיירוואַל און SELinux. דאָ אַלץ דעפּענדס אויף די סוויווע אין וואָס אונדזער באַלעבאָס אָדער מחנות וועט אַרבעטן. איר קענען אָדער שטעלן אַרויף אַ פיירוואַל לויט די רעקאַמאַנדיישאַנז פון דאַקיומענטיישאַן, אָדער, אויב איר זענט אויף אַ טראַסטיד נעץ אָדער נוצן אַ דריט-פּאַרטיי פיירוואַל, טוישן די פעליקייַט זאָנע צו טראַסטיד אָדער קער אַוועק די פיירוואַל:

     firewall-cmd --set-default-zone trusted
     
     firewall-cmd --reload

     צו קער אַוועק די פיירוואַל איר קענען נוצן די פאלגענדע באַפֿעל:

     systemctl disable --now firewalld
     

     SELinux דאַרף זיין אויסגעדרייט אַוועק אָדער סוויטשט צו "פּערמיסיוו" מאָדע:

     setenforce 0
     
     sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config

   • לאָדן די נויטיק קערן מאַדזשולז און פּאַקאַדזשאַז, קאַנפיגיער די אָטאַמאַטיק לאָודינג פון די "br_netfilter" מאָדולע ביי סיסטעם סטאַרטאַפּ:

     modprobe overlay
     
     modprobe br_netfilter
     
     echo "br_netfilter" >> /etc/modules-load.d/br_netfilter.conf
     
     dnf -y install iproute-tc
     

   • צו אַקטאַווייט פּאַקאַט פאָרווערדינג און ריכטיק פאַרקער פּראַסעסינג, מיר מאַכן די צונעמען סעטטינגס:

     cat > /etc/sysctl.d/99-kubernetes-cri.conf <<EOF
     net.bridge.bridge-nf-call-iptables = 1
     net.ipv4.ip_forward = 1
     net.bridge.bridge-nf-call-ip6tables = 1
     EOF
     

     צולייגן די סעטטינגס:

     sysctl --system

   • שטעלן די פארלאנגט ווערסיע CRI-O (הויפּט ווערסיע CRI-O, ווי שוין דערמאנט, גלייַכן די פארלאנגט ווערסיע Kubernetes), זינט די לעצטע סטאַביל ווערסיע Kubernetes איצט 1.18:

     export REQUIRED_VERSION=1.18
     

     לייג די נייטיק ריפּאַזאַטאָריז:

     dnf -y install 'dnf-command(copr)'
     
     dnf -y copr enable rhcontainerbot/container-selinux
     
     curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable/CentOS_8/devel:kubic:libcontainers:stable.repo
     
     curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION/CentOS_8/devel:kubic:libcontainers:stable:cri-o:$REQUIRED_VERSION.repo

   • איצט מיר קענען ינסטאַלירן CRI-O:

     dnf -y install cri-o
     

     באַצאָלן ופמערקזאַמקייַט צו דער ערשטער נואַנס וואָס מיר טרעפן בעשאַס די ינסטאַלירונג פּראָצעס: איר דאַרפֿן צו רעדאַגירן די קאַנפיגיעריישאַן CRI-O איידער איר אָנהייבן די דינסט, זינט די פארלאנגט קאַנמאָן קאָמפּאָנענט האט אַ אַנדערש אָרט ווי די ספּעסאַפייד איינער:

     sed -i 's//usr/libexec/crio/conmon//usr/bin/conmon/' /etc/crio/crio.conf

     איצט איר קענען אַקטאַווייט און אָנהייבן די דיימאַן CRI-O:

     systemctl enable --now crio
     

     איר קענען קאָנטראָלירן די דעמאָן סטאַטוס:

     systemctl status crio
     

2. ייַנמאָנטירונג און אַקטאַוויישאַן Kubernetes.
   • לאָמיר לייגן די פארלאנגט ריפּאַזאַטאָרי:

     cat <<EOF > /etc/yum.repos.d/kubernetes.repo
     [kubernetes]
     name=Kubernetes
     baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-$basearch
     enabled=1
     gpgcheck=1
     repo_gpgcheck=1
     gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
     exclude=kubelet kubeadm kubectl
     EOF
     

     איצט מיר קענען ינסטאַלירן Kubernetes (ווערסיע 1.18, ווי דערמאנט אויבן):

     dnf install -y kubelet-1.18* kubeadm-1.18* kubectl-1.18* --disableexcludes=kubernetes

   • די רגע וויכטיק נואַנס: זינט מיר טאָן ניט נוצן אַ דיימאַן דאָקקער, אָבער מיר נוצן די דיימאַן CRI-O, איידער קאַטער און יניטיאַליזיישאַן Kubernetes איר דאַרפֿן צו מאַכן די צונעמען סעטטינגס אין די קאַנפיגיעריישאַן טעקע /var/lib/kubelet/config.yaml, נאָך ערשטער באשאפן דעם געוואלט וועגווייַזער:

     mkdir /var/lib/kubelet
     
     cat <<EOF > /var/lib/kubelet/config.yaml
     apiVersion: kubelet.config.k8s.io/v1beta1
     kind: KubeletConfiguration
     cgroupDriver: systemd
     EOF

   • די דריט וויכטיק פונט אַז מיר טרעפן בעשאַס ינסטאַלירונג: טראָץ דער פאַקט אַז מיר האָבן אנגעוויזן די שאָפער געניצט cgroup, און זייַן קאַנפיגיעריישאַן דורך די אַרגומענטן דורכגעגאנגען קובעלעט איז אַוטדייטיד (ווי איז בפירוש סטייטיד אין די דאַקיומענטיישאַן), מיר דאַרפֿן צו לייגן אַרגומענטן צו דער טעקע, אַנדערש אונדזער קנויל וועט נישט ינישאַלייז:

     cat /dev/null > /etc/sysconfig/kubelet
     
     cat <<EOF > /etc/sysconfig/kubelet
     KUBELET_EXTRA_ARGS=--container-runtime=remote --cgroup-driver=systemd --container-runtime-endpoint='unix:///var/run/crio/crio.sock'
     EOF

   • איצט מיר קענען אַקטאַווייט די דיימאַן קובעלעט:

     sudo systemctl enable --now kubelet
     

     צו קאַסטאַמייז קאָנטראָל-אַעראָפּאָרט אָדער אַרבעטער נאָודז אין מינוט, איר קענען נוצן מיט דעם שריפט.

3. עס איז צייט צו ינישאַלייז אונדזער קנויל.
   • צו ינישאַלייז דעם קנויל, לויפן די באַפֿעל:

     kubeadm init --pod-network-cidr=10.244.0.0/16
     

     זייט זיכער צו שרייַבן די באַפֿעל צו פאַרבינדן די קנויל "קובעאַדם פאַרבינדן ...", וואָס איר זענט געבעטן צו נוצן אין די סוף פון די רעזולטאַט, אָדער לפּחות די ספּעסיפיעד טאָקענס.

   • לאָמיר ינסטאַלירן די פּלוגין (CNI) פֿאַר די פּאָד נעץ. איך רעקאָמענדירן ניצן קאַליקאָ. עפשער מער פאָלקס פלאַנאַל האט קאַמפּאַטאַבילאַטי ישוז מיט נפטאַבלעס, יא און קאַליקאָ - די בלויז CNI ימפּלאַמענטיישאַן רעקאַמענדיד און גאָר טעסטעד דורך די פּרויעקט Kubernetes:

     kubectl --kubeconfig /etc/kubernetes/admin.conf apply -f https://docs.projectcalico.org/v3.15/manifests/calico.yaml 

   • צו פאַרבינדן אַ אַרבעטער נאָדע צו אונדזער קנויל, איר דאַרפֿן צו קאַנפיגיער עס לויט ינסטראַקשאַנז 1 און 2, אָדער נוצן שריפט, און לויפן די באַפֿעל פֿון די "kubeadm init ..." רעזולטאַט וואָס מיר געשריבן אין די פריערדיקע שריט:

     kubeadm join $CONTROL_PLANE_ADDRESS:6443 --token $TOKEN 
         --discovery-token-ca-cert-hash $TOKEN_HASH

   • לאָמיר קאָנטראָלירן אַז אונדזער קנויל איז יניטיאַלייזד און סטאַרטעד ארבעטן:

     kubectl --kubeconfig=/etc/kubernetes/admin.conf get pods -A
     

   גרייט! איר קענען שוין באַלעבאָס פּיילאָודז אויף דיין K8s קנויל.

וואָס אַווייץ אונדז פאָרויס

איך האָפֿן אַז די ינסטראַקשאַנז אויבן געהאָלפֿן איר שפּאָרן עטלעכע צייט און נערוועס.
די אַוטקאַם פון פּראַסעסאַז וואָס פאַלן אין די אינדוסטריע אָפט דעפּענדס אויף ווי זיי זענען אנגענומען דורך די פאַרנעם פון סוף ניצערס און דעוועלאָפּערס פון אנדערע ווייכווארג אין די קאָראַספּאַנדינג נישע. עס איז נאָך נישט גאָר קלאָר וואָס די OCI ינישאַטיווז וועט פירן צו אין אַ ביסל יאָרן, אָבער מיר וועלן וואַך מיט פאַרגעניגן. איר קענען טיילן דיין מיינונג רעכט איצט אין די באַמערקונגען.

האלט ווייטער מיט!

דער אַרטיקל איז ארויס דאַנק צו די פאלגענדע מקורים:

• אָפּטיילונג וועגן קאַנטיינער רונטימע Kubernetes דאַקיומענטיישאַן
• בלאַט CRI-O פּרויעקט אויף דער אינטערנעץ
• Red Hat בלאָג אַרטיקלען: דעם איינער, דעם און פילע אנדערע

מקור: www.habr.com