🥇Kubernetes אָפּעראַטאָר אין פּיטהאָן אָן פראַמעוואָרקס און SDK

Go דערווייַל האט אַ מאָנאָפּאָל אויף די פּראָגראַממינג שפּראַכן מענטשן קלייַבן צו שרייַבן סטייטמאַנץ פֿאַר Kubernetes. עס זענען אָביעקטיוו סיבות פֿאַר דעם, אַזאַ ווי:

עס איז אַ שטאַרק פריימווערק פֿאַר דעוועלאָפּינג אָפּערייטערז אין Go - אָפּעראַטאָר סדק.
שפּיל-טשאַנגינג אַפּלאַקיישאַנז ווי Docker און Kubernetes זענען געשריבן אין Go. שרייבן דיין אָפּעראַטאָר אין Go מיטל רעדן די זעלבע שפּראַך מיט די יקאָוסיסטאַם.
הויך פאָרשטעלונג פון Go אַפּלאַקיישאַנז און פּשוט מכשירים פֿאַר ארבעטן מיט קאַנקעראַנסי אויס פון די קעסטל.

NB: דורך דעם וועג, ווי צו שרייַבן דיין אייגענע דערקלערונג אין Go, מיר שוין דיסקרייבד אין איינע פֿון אונדזערע איבערזעצונגען פֿון אויסלענדישע מחברים.

אָבער וואָס אויב איר זענט פּריווענטיד פון לערנען גיין דורך פעלן פון צייט אָדער, פשוט, מאָוטאַוויישאַן? דער אַרטיקל גיט אַ ביישפּיל פון ווי איר קענען שרייַבן אַ גוטע דערקלערונג מיט איינער פון די מערסט פאָלקס שפּראַכן וואָס כּמעט יעדער דעוואָפּס ינזשעניר ווייסט - פּיטהאָן.

טרעפן: קאַפּיער - קאָפּיע אָפּעראַטאָר!

ווי אַ ביישפּיל, באַטראַכטן דעוועלאָפּינג אַ פּשוט ויסזאָגונג דיזיינד צו נאָכמאַכן אַ קאָנפיגמאַפּ, אָדער ווען אַ נייַע נאָמען איז ארויס אָדער ווען איינער פון צוויי ענטיטיז ענדערונגען: קאָנפיגמאַפּ און סעקרעט. פֿון אַ פּראַקטיש פונט פון מיינונג, דער אָפּעראַטאָר קענען זיין נוציק פֿאַר פאַרנעם אַפּדייטינג פון אַפּלאַקיישאַן קאַנפיגיעריישאַנז (דורך אַפּדייטינג די ConfigMap) אָדער פֿאַר אַפּדייטינג סוד דאַטן - פֿאַר בייַשפּיל, שליסלען פֿאַר ארבעטן מיט די דאָקקער רעגיסטרי (ווען אַדינג סעקרעט צו די נאַמעספּאַסע).

אזוי, וואָס אַ גוט אָפּעראַטאָר זאָל האָבן:

ינטעראַקשאַן מיט דער אָפּעראַטאָר איז געפירט אויס ניצן מנהג ריסאָרס דעפֿיניציעס (דערנאָך ריפערד צו ווי CRD).
דער אָפּעראַטאָר קענען זיין קאַנפיגיערד. צו טאָן דאָס, מיר וועלן נוצן באַפֿעלן שורה פלאַגס און סוויווע וועריאַבאַלז.
די בויען פון די דאָקקער קאַנטיינער און העלם טשאַרט איז דיזיינד אַזוי אַז יוזערז קענען לייכט (ממש מיט איין באַפֿעל) ינסטאַלירן די אָפּעראַטאָר אין זייער Kubernetes קנויל.

קרד

כּדי דער אָפּעראַטאָר זאָל וויסן וואָס רעסורסן צו קוקן פֿאַר און ווו צו קוקן, מיר דאַרפֿן צו שטעלן אַ הערשן פֿאַר אים. יעדער הערשן וועט זיין רעפּריזענטיד ווי אַ איין CRD כייפעץ. וואָס פעלדער זאָל דעם CRD האָבן?

מיטל טיפּ, וואָס מיר וועלן קוקן פֿאַר (ConfigMap אָדער Secret).
רשימה פון נאָמען ספּייסאַז, אי ן װעלכ ן ד י מיטלע ן זאל ן זי ך געפינע ן .
סעלעקטאָר, דורך וואָס מיר וועלן זוכן פֿאַר רעסורסן אין די נאַמעספּאַסע.

לאָמיר באַשרייַבן די CRD:

apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: copyrator.flant.com
spec:
  group: flant.com
  versions:
  - name: v1
    served: true
    storage: true
  scope: Namespaced
  names:
    plural: copyrators
    singular: copyrator
    kind: CopyratorRule
    shortNames:
    - copyr
  validation:
    openAPIV3Schema:
      type: object
      properties:
        ruleType:
          type: string
        namespaces:
          type: array
          items:
            type: string
        selector:
          type: string

און מיר וועלן מאַכן עס גלייך פּשוט הערשן - צו זוכן אין די נאָמען פּלאַץ מיט דעם נאָמען default אַלע קאָנפיגמאַפּ מיט לאַבעלס ווי copyrator: "true":

apiVersion: flant.com/v1
kind: CopyratorRule
metadata:
  name: main-rule
  labels:
    module: copyrator
ruleType: configmap
selector:
  copyrator: "true"
namespace: default

גרייט! איצט מיר דאַרפֿן צו עפעס באַקומען אינפֿאָרמאַציע וועגן אונדזער הערשן. לאָזן מיר מאַכן אַ רעזערוואַציע גלייך אַז מיר וועלן נישט שרייַבן ריקוועס צו די קנויל אַפּי סערווירער זיך. צו טאָן דאָס, מיר וועלן נוצן אַ פאַרטיק פּיטהאָן ביבליאָטעק kubernetes-client:

import kubernetes
from contextlib import suppress


CRD_GROUP = 'flant.com'
CRD_VERSION = 'v1'
CRD_PLURAL = 'copyrators'


def load_crd(namespace, name):
    client = kubernetes.client.ApiClient()
    custom_api = kubernetes.client.CustomObjectsApi(client)

    with suppress(kubernetes.client.api_client.ApiException):
        crd = custom_api.get_namespaced_custom_object(
            CRD_GROUP,
            CRD_VERSION,
            namespace,
            CRD_PLURAL,
            name,
        )
    return {x: crd[x] for x in ('ruleType', 'selector', 'namespace')}

ווי אַ רעזולטאַט פון פליסנדיק דעם קאָד, מיר באַקומען די פאלגענדע:

{'ruleType': 'configmap', 'selector': {'copyrator': 'true'}, 'namespace': ['default']}

גרויס: מיר געראטן צו באַקומען אַ הערשן פֿאַר די אָפּעראַטאָר. און רובֿ ימפּאָרטאַנטלי, מיר האָבן געטאן וואָס איז גערופן די קובערנעטעס וועג.

סוויווע וועריאַבאַלז אָדער פלאַגס? מיר נעמען אַלץ!

זאל ס מאַך אויף צו די הויפּט אָפּעראַטאָר קאַנפיגיעריישאַן. עס זענען צוויי יקערדיק אַפּראָוטשיז צו קאַנפיגיער אַפּלאַקיישאַנז:

נוצן באַפֿעלן שורה אָפּציעס;
נוצן סוויווע וועריאַבאַלז.

באַפֿעלן שורה אָפּציעס לאָזן איר צו לייענען סעטטינגס מער פלעקסאַבאַל, מיט דאַטן טיפּ שטיצן און וואַלאַדיישאַן. די נאָרמאַל ביבליאָטעק פון Python האט אַ מאָדולע argparser, וואָס מיר וועלן נוצן. דעטאַילס און ביישפילן פון זייַן קייפּאַבילאַטיז זענען בנימצא אין באַאַמטער דאַקיומענטיישאַן.

פֿאַר אונדזער פאַל, דאָס איז ווי אַ ביישפּיל פון באַשטעטיקן לייענען באַפֿעלן שורה פלאַגס:

   parser = ArgumentParser(
        description='Copyrator - copy operator.',
        prog='copyrator'
    )
    parser.add_argument(
        '--namespace',
        type=str,
        default=getenv('NAMESPACE', 'default'),
        help='Operator Namespace'
    )
    parser.add_argument(
        '--rule-name',
        type=str,
        default=getenv('RULE_NAME', 'main-rule'),
        help='CRD Name'
    )
    args = parser.parse_args()

אויף די אנדערע האַנט, מיט ינווייראַנמענאַל וועריאַבאַלז אין Kubernetes, איר קענען לייכט אַריבערפירן סערוויס אינפֿאָרמאַציע וועגן די פּאָד אין דעם קאַנטיינער. פֿאַר בייַשפּיל, מיר קענען באַקומען אינפֿאָרמאַציע וועגן די נאַמעספּאַסע אין וואָס די פּאָד איז פליסנדיק מיט די פאלגענדע קאַנסטראַקשאַן:

env:
- name: NAMESPACE
  valueFrom:
     fieldRef:
         fieldPath: metadata.namespace

אָפּעראַטאָר לאָגיק

צו פֿאַרשטיין ווי צו באַזונדער מעטהאָדס פֿאַר ארבעטן מיט ConfigMap און Secret, מיר וועלן נוצן ספּעציעל מאַפּס. דערנאָך מיר קענען פֿאַרשטיין וואָס מעטהאָדס מיר דאַרפֿן צו שפּור און שאַפֿן די כייפעץ:

LIST_TYPES_MAP = {
    'configmap': 'list_namespaced_config_map',
    'secret': 'list_namespaced_secret',
}

CREATE_TYPES_MAP = {
    'configmap': 'create_namespaced_config_map',
    'secret': 'create_namespaced_secret',
}

ווייַטער, איר דאַרפֿן צו באַקומען געשעענישן פון די אַפּי סערווער. זאל אונדז ינסטרומענט עס ווי גייט:

def handle(specs):
    kubernetes.config.load_incluster_config()
    v1 = kubernetes.client.CoreV1Api()

    # Получаем метод для слежения за объектами
    method = getattr(v1, LIST_TYPES_MAP[specs['ruleType']])
    func = partial(method, specs['namespace'])

    w = kubernetes.watch.Watch()
    for event in w.stream(func, _request_timeout=60):
        handle_event(v1, specs, event)

נאָך באקומען די געשעעניש, מיר מאַך אויף צו די הויפּט לאָגיק פון פּראַסעסינג עס:

# Типы событий, на которые будем реагировать
ALLOWED_EVENT_TYPES = {'ADDED', 'UPDATED'}


def handle_event(v1, specs, event):
    if event['type'] not in ALLOWED_EVENT_TYPES:
        return

    object_ = event['object']
    labels = object_['metadata'].get('labels', {})

    # Ищем совпадения по selector'у
    for key, value in specs['selector'].items():
        if labels.get(key) != value:
            return
    # Получаем активные namespace'ы
    namespaces = map(
        lambda x: x.metadata.name,
        filter(
            lambda x: x.status.phase == 'Active',
            v1.list_namespace().items
        )
    )
    for namespace in namespaces:
        # Очищаем метаданные, устанавливаем namespace
        object_['metadata'] = {
            'labels': object_['metadata']['labels'],
            'namespace': namespace,
            'name': object_['metadata']['name'],
        }
        # Вызываем метод создания/обновления объекта
        methodcaller(
            CREATE_TYPES_MAP[specs['ruleType']],
            namespace,
            object_
        )(v1)

די הויפּט לאָגיק איז גרייט! איצט מיר דאַרפֿן צו פּעקל אַלע דעם אין איין פּיטהאָן פּעקל. מיר צוגרייטן די טעקע setup.py, שרייַבן מעטאַ אינפֿאָרמאַציע וועגן דעם פּרויעקט דאָרט:

from sys import version_info

from setuptools import find_packages, setup

if version_info[:2] < (3, 5):
    raise RuntimeError(
        'Unsupported python version %s.' % '.'.join(version_info)
    )


_NAME = 'copyrator'
setup(
    name=_NAME,
    version='0.0.1',
    packages=find_packages(),
    classifiers=[
        'Development Status :: 3 - Alpha',
        'Programming Language :: Python',
        'Programming Language :: Python :: 3',
        'Programming Language :: Python :: 3.5',
        'Programming Language :: Python :: 3.6',
        'Programming Language :: Python :: 3.7',
    ],
    author='Flant',
    author_email='[email protected]',
    include_package_data=True,
    install_requires=[
        'kubernetes==9.0.0',
    ],
    entry_points={
        'console_scripts': [
            '{0} = {0}.cli:main'.format(_NAME),
        ]
    }
)

NB: דער kubernetes קליענט פֿאַר פּיטהאָן האט זיין אייגענע ווערסיע. מער אינפֿאָרמאַציע וועגן קאַמפּאַטאַבילאַטי צווישן קליענט ווערסיעס און Kubernetes ווערסיעס קענען זיין געפֿונען אין קאַמפּאַטאַבילאַטי מאַטריץ.

איצט אונדזער פּרויעקט קוקט ווי דאָס:

copyrator
├── copyrator
│   ├── cli.py # Логика работы с командной строкой
│   ├── constant.py # Константы, которые мы приводили выше
│   ├── load_crd.py # Логика загрузки CRD
│   └── operator.py # Основная логика работы оператора
└── setup.py # Оформление пакета

דאָקער און העלם

די דאָקערפילע וועט זיין ינקרעדאַבלי פּשוט: נעמען די באַזע פּיטהאָן-אַלפּיין בילד און ינסטאַלירן אונדזער פּעקל. לאָמיר אָפּלייגן זיין אַפּטאַמאַזיישאַן ביז בעסער צייט:

FROM python:3.7.3-alpine3.9

ADD . /app

RUN pip3 install /app

ENTRYPOINT ["copyrator"]

דיפּלוימאַנט פֿאַר די אָפּעראַטאָר איז אויך זייער פּשוט:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: {{ .Chart.Name }}
spec:
  selector:
    matchLabels:
      name: {{ .Chart.Name }}
  template:
    metadata:
      labels:
        name: {{ .Chart.Name }}
    spec:
      containers:
      - name: {{ .Chart.Name }}
        image: privaterepo.yourcompany.com/copyrator:latest
        imagePullPolicy: Always
        args: ["--rule-type", "main-rule"]
        env:
        - name: NAMESPACE
          valueFrom:
            fieldRef:
              fieldPath: metadata.namespace
      serviceAccountName: {{ .Chart.Name }}-acc

צום סוף, איר דאַרפֿן צו שאַפֿן אַ צונעמען ראָלע פֿאַר דער אָפּעראַטאָר מיט די נייטיק רעכט:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: {{ .Chart.Name }}-acc

---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
  name: {{ .Chart.Name }}
rules:
  - apiGroups: [""]
    resources: ["namespaces"]
    verbs: ["get", "watch", "list"]
  - apiGroups: [""]
    resources: ["secrets", "configmaps"]
    verbs: ["*"]
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: {{ .Chart.Name }}
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: {{ .Chart.Name }}
subjects:
- kind: ServiceAccount
  name: {{ .Chart.Name }}

גאַנץ

אַזוי, אָן מורא, טייַנע אָדער לערנען Go, מיר זענען ביכולת צו בויען אונדזער אייגענע אָפּעראַטאָר פֿאַר Kubernetes אין פּיטהאָן. פון קורס, עס נאָך האט פּלאַץ צו וואַקסן: אין דער צוקונפֿט עס וועט קענען צו פּראָצעס קייפל כּללים, אַרבעט אין קייפל פֿעדעם, ינדיפּענדאַנטלי מאָניטאָר ענדערונגען אין די קרדס ...

צו געבן איר אַ נעענטער קוק אין דעם קאָד, מיר האָבן עס אין ציבור ריפּאַזאַטאָרי. אויב איר ווילט ביישפילן פון מער ערנסט אָפּערייטערז ימפּלאַמענאַד ניצן Python, איר קענען ווענדן דיין ופמערקזאַמקייט צו צוויי אָפּערייטערז פֿאַר דיפּלויינג mongodb (первый и צווייט).

פּס און אויב איר זענט צו פויל צו האַנדלען מיט Kubernetes events אָדער איר זענט פשוט מער צוגעוווינט צו נוצן Bash, אונדזער קאָלעגעס האָבן צוגעגרייט אַ פאַרטיק לייזונג אין די פאָרעם שאָל-אָפּעראַטאָר (מיר מודיע אין אפריל).

פּפּס

לייענען אויך אויף אונדזער בלאָג:

מקור: www.habr.com

Kubernetes Operator אין Python אָן פראַמעוואָרקס און SDK