Kubernetes עצות און טריקס: וועגן היגע אַנטוויקלונג און טעלעפּרעסענסע

מיר זענען ינקריסינגלי געפרעגט וועגן דעוועלאָפּינג מיקראָ באַדינונגס אין Kubernetes. דעוועלאָפּערס, ספּעציעל ינטערפּראַטאַד שפּראַכן, ווילן צו געשווינד ריכטיק קאָד אין זייער באַליבסטע IDE און זען די רעזולטאַט אָן ווארטן פֿאַר בויען / דיפּלוימאַנט - פשוט דרינגלעך F5. און ווען עס געקומען צו אַ מאַנאַליטיק אַפּלאַקיישאַן, עס איז גענוג צו לאָוקאַלי ינסטאַלירן אַ דאַטאַבייס און אַ וועב סערווער (אין דאָקקער, ווירטואַלבאָקס ...), און דעמאָלט גלייך הנאה אַנטוויקלונג. מיט די קאַטינג פון מאַנאַליטס אין מיקראָסערוויסעס און די אָנקומען פון קובערנעטעס, מיט די אויסזען פון דיפּענדאַנסיז אויף יעדער אנדערער, ​​אַלץ עס איז געווען אַ ביסל מער שווער. די מער פון די מיקראָ באַדינונגס, די מער פּראָבלעמס. צו געניסן פון אַנטוויקלונג ווידער, איר דאַרפֿן צו כאַפּן מער ווי איין אָדער צוויי דאָקקער קאַנטיינערז, און מאל אפילו מער ווי אַ טוץ ... אין אַלגעמיין, דאָס אַלץ קען נעמען גאַנץ אַ פּלאַץ פון צייט, ווייַל עס דאַרף אויך זיין דערהייַנטיקט. .

אין פאַרשידענע צייט מיר געפרוווט פאַרשידענע סאַלושאַנז צו דעם פּראָבלעם. און איך וועל אָנהייבן מיט די אַקיומיאַלייטיד וואָרקאַראָונדס אָדער פשוט "קראַטשיז".

1. קראַטשיז

רובֿ IDEs האָבן די פיייקייט צו רעדאַגירן קאָד גלייַך אויף די סערווער ניצן FTP / SFTP. דער וועג איז זייער קלאָר ווי דער טאָג און מיר מיד באַשלאָסן צו נוצן עס. זייַן עסאַנס בוילז אַראָפּ צו די פאלגענדע:

1. אין די פּאָד פון אַנטוויקלונג ינווייראַנמאַנץ (דעוו / אָפּשאַצונג), אַן נאָך קאַנטיינער איז לאָנטשט מיט SSH אַקסעס און פאָרווערדינג די עפנטלעך SSH שליסל פון די דעוועלאָפּער וואָס וועט טוען / צעוויקלען די אַפּלאַקיישאַן.
2. אין דער ערשטער בינע (אין דעם קאַנטיינער prepare-app) אַריבערפירן די קאָד צו emptyDirצו האָבן אַקסעס צו די קאָד פֿון די אַפּלאַקיישאַן קאַנטיינערז און די SSH סערווער.

צו בעסער פֿאַרשטיין די טעכניש ימפּלאַמענטיישאַן פון אַזאַ אַ סכעמע, איך וועל צושטעלן פראַגמאַנץ פון די ינוואַלווד YAML קאַנפיגיעריישאַנז אין Kubernetes.

קאָנפיגוראַטיאָנס

1.1. וואַלועס.יאַמל

ssh_pub_key:
  vasya.pupkin: <ssh public key in base64> 

דאָ vasya.pupkin איז די ווערט פון די בייַטעוודיק ${GITLAB_USER_LOGIN}.

1.2. deployment.yaml

...
{{ if eq .Values.global.debug "yes" }}
      volumes:
      - name: ssh-pub-key
        secret:
          defaultMode: 0600
          secretName: {{ .Chart.Name }}-ssh-pub-key
      - name: app-data
        emptyDir: {}
      initContainers:
      - name: prepare-app
{{ tuple "backend" . | include "werf_container_image" | indent 8 }}
        volumeMounts:
        - name: app-data
          mountPath: /app-data
        command: ["bash", "-c", "cp -ar /app/* /app-data/" ]
{{ end }}
      containers:
{{ if eq .Values.global.debug "yes" }}
      - name: ssh
        image: corbinu/ssh-server
        volumeMounts:
        - name: ssh-pub-key
          readOnly: true
          mountPath: /root/.ssh/authorized_keys
          subPath: authorized_keys
        - name: app-data
          mountPath: /app
        ports:
        - name: ssh
          containerPort: 22
          protocol: TCP
{{ end }}
      - name: backend
        volumeMounts:
{{ if eq .Values.global.debug "yes" }}
        - name: app-data
          mountPath: /app
{{ end }}
        command: ["/usr/sbin/php-fpm7.2", "--fpm-config", "/etc/php/7.2/php-fpm.conf", "-F"]
...

1.3. סוד.יאַמל

{{ if eq .Values.global.debug "yes" }}
apiVersion: v1
kind: Secret
metadata:
  name: {{ .Chart.Name }}-ssh-pub-key
type: Opaque
data:
  authorized_keys: "{{ first (pluck .Values.global.username .Values.ssh_pub_key) }}"
{{ end }}

לעצט פאַרבינדן

נאָך וואָס אַלע וואָס בלייבט איז צו אַריבערפירן פארלאנגט gitlab-ci.yml וועריאַבאַלז:

dev:
  stage: deploy
  script:
   - type multiwerf && source <(multiwerf use 1.0 beta)
   - type werf && source <(werf ci-env gitlab --tagging-strategy tag-or-branch --verbose)
   - werf deploy
     --namespace ${CI_PROJECT_NAME}-stage
     --set "global.env=stage"
     --set "global.git_rev=${CI_COMMIT_SHA}"
     --set "global.debug=yes"
     --set "global.username=${GITLAB_USER_LOGIN}"
 tags:
   - build

וואָילאַ: דער דעוועלאָפּער וואָס לאָנטשט די דיפּלוימאַנט קענען פאַרבינדן דורך דינסט נאָמען (ווי צו סיקיורלי געבן אַקסעס צו דעם קנויל, מיר האָבן שוין געזאָגט) פֿון דיין דעסקטאַפּ דורך SFTP און רעדאַגירן די קאָד אָן ווארטן פֿאַר עס צו זיין איבערגעגעבן צו די קנויל.

דאָס איז אַ גאָר ארבעטן לייזונג, אָבער פֿון אַ ימפּלאַמענטיישאַן פונט פון מיינונג עס האט קלאָר ווי דער טאָג דיסאַדוואַנטידזשיז:

• די נויט צו ראַפינירן די העלם טשאַרט, וואָס מאכט עס שווער צו לייענען אין דער צוקונפֿט;
• קענען נאָר זיין געוויינט דורך דער מענטש וואס דיפּלויד די דינסט;
• איר דאַרפֿן צו געדענקען צו סינגקראַנייז עס מיט די היגע וועגווייַזער מיט די קאָד און יבערגעבן עס צו Git.

2. טעלעפּרעסענסע

פּרויעקט טעלעפּרעסענסע עס איז געווען באקאנט פֿאַר אַ לאַנג צייַט, אָבער מיר, ווי זיי זאָגן, "האט נישט באַקומען אַרום צו עמעס טריינג עס אין פיר." אָבער, די פאָדערונג האט געטאן זיין אַרבעט און איצט מיר זענען צופרידן צו טיילן אונדזער דערפאַרונג, וואָס קען זיין נוציק פֿאַר לייענער פון אונדזער בלאָג - ספּעציעל זינט עס זענען געווען קיין אנדערע מאַטעריאַלס וועגן טעלעפּרעסענסע אויף די כאַב.

אין קורץ, אַלץ איז געווען ניט אַזוי סקערי. מיר שטעלן אַלע אַקשאַנז וואָס דאַרפן דורכפירונג פון די דעוועלאָפּער אין אַ העלם טשאַרט טעקסט טעקע גערופן NOTES.txt. אזוי, נאָך דיפּלויינג די סערוויס צו Kubernetes, דער דעוועלאָפּער זעט ינסטראַקשאַנז פֿאַר קאַטער די היגע דעוו סוויווע אין די GitLab אַרבעט קלאָץ:

!!! Разработка сервиса локально, в составе Kubernetes !!!

* Настройка окружения
* * Должен быть доступ до кластера через VPN
* * На локальном ПК установлен kubectl ( https://kubernetes.io/docs/tasks/tools/install-kubectl/ )
* * Получить config-файл для kubectl (скопировать в ~/.kube/config)
* * На локальном ПК установлен telepresence ( https://www.telepresence.io/reference/install )
* * Должен быть установлен Docker
* * Необходим доступ уровня reporter или выше к репозиторию https://gitlab.site.com/group/app
* * Необходимо залогинится в registry с логином/паролем от GitLab (делается один раз):

#########################################################################
docker login registry.site.com
#########################################################################

* Запуск окружения

#########################################################################
telepresence --namespace {{ .Values.global.env }} --swap-deployment {{ .Chart.Name  }}:backend --mount=/tmp/app --docker-run -v `pwd`:/app -v /tmp/app/var/run/secrets:/var/run/secrets -ti registry.site.com/group/app/backend:v8
#########################################################################

מיר וועלן נישט וווינען אין דעטאַל אויף די סטעפּס דיסקרייבד אין דעם לימעד ... מיט אַ ויסנעם פון די לעצטע. וואָס כאַפּאַנז בעשאַס די קאַטער פון טעלעפּרעסענסע?

אַרבעט מיט טעלעפּרעסענסע

ביי סטאַרטאַפּ (ניצן די לעצטע באַפֿעל ספּעסיפיעד אין די ינסטראַקשאַנז אויבן), מיר שטעלן:

• נאַמעספּאַסע אין וואָס די מיקראָסערוויס איז פליסנדיק;
• נעמען פון די דיפּלוימאַנט און קאַנטיינער וואָס מיר ווילן צו דורכנעמען.

די רוען טענות זענען אַפּשאַנאַל. אויב אונדזער דינסט ינטעראַקץ מיט און פֿאַר די Kubernetes API סערוויס אַקאַונט באשאפן, מיר דאַרפֿן צו אָנקלאַפּן סערטיפיקאַץ / טאָקענס אויף אונדזער דעסקטאַפּ. צו טאָן דאָס, נוצן די אָפּציע --mount=true (אָדער --mount=/dst_path), וואָס וועט אָנקלאַפּן די וואָרצל (/) פון די Kubernetes קאַנטיינער צו אונדזער דעסקטאַפּ. נאָך דעם, מיר קענען (דיפּענדינג אויף די אַס און ווי די אַפּלאַקיישאַן איז לאָנטשט) נוצן די "קיז" פֿון דעם קנויל.

ערשטער, לאָמיר זען די מערסט וניווערסאַל אָפּציע פֿאַר פליסנדיק אַ אַפּלאַקיישאַן - אין אַ דאָקקער קאַנטיינער. צו טאָן דאָס מיר וועלן נוצן די שליסל --docker-run און אָנקלאַפּן די וועגווייַזער מיט די קאָד אין דעם קאַנטיינער: -v `pwd`:/app

ביטע טאָן אַז דאָס אַסומז פליסנדיק פֿון די פּרויעקט וועגווייַזער. די אַפּלאַקיישאַן קאָד וועט זיין מאָונטעד אין די וועגווייַזער /app אין אַ קאַנטיינער.

ווייַטער: -v /tmp/app/var/run/secrets:/var/run/secrets - צו אָנקלאַפּן די וועגווייַזער מיט די באַווייַזן / סימען אין אַ קאַנטיינער.

דעם אָפּציע איז לעסאָף נאכגעגאנגען דורך די בילד אין וואָס די אַפּלאַקיישאַן וועט לויפן. NB: ווען איר בויען אַ בילד, איר מוזן ספּעציפיצירן CMD אָדער ENTRYPOINT!

וואָס פּונקט וועט פּאַסירן ווייַטער?

• אין Kubernetes, פֿאַר די ספּעסיפיעד דיפּלוימאַנט, די נומער פון רעפּלאַקאַז וועט זיין געביטן צו 0. אַנשטאָט, אַ נייַ דיפּלוימאַנט וועט זיין לאָנטשט - מיט אַ פאַרטרעטער קאַנטיינער. backend.
• 2 קאַנטיינערז וועט קאַטער אויף די דעסקטאַפּ: דער ערשטער מיט טעלעפּרעסענסע (עס וועט פּראַקסי ריקוועס פון / צו Kubernetes), די רגע מיט די אַפּלאַקיישאַן איז דעוועלאָפּעד.
• אויב מיר עקסאַקירן אין דעם קאַנטיינער מיט די אַפּלאַקיישאַן, אַלע די ENV וועריאַבאַלז טראַנספערד דורך העלם בעשאַס דיפּלוימאַנט וועט זיין בארעכטיגט צו אונדז, און אַלע סערוויסעס וועלן אויך זיין בארעכטיגט. אַלע וואָס בלייבט איז צו רעדאַגירן די קאָד אין דיין באַליבסטע IDE און הנאה די רעזולטאַט.
• אין די סוף פון די אַרבעט, איר נאָר דאַרפֿן צו פאַרמאַכן דעם וואָקזאַל אין וואָס טעלעפּרעסענסע איז פליסנדיק (ענדיקן די סעסיע מיט קטרל + C) - דאָקער קאַנטיינערז וועט האַלטן אויף די דעסקטאַפּ, און אין Kubernetes אַלץ וועט צוריקקומען צו זיין ערשט שטאַט. אַלע וואָס בלייבט איז צו יבערגעבן, אַרויסגעבן די מר און אַריבערפירן עס צו אָפּשאַצונג / צונויפגיסן / ... (דיפּענדינג אויף דיין וואָרקפלאָוז).

אויב מיר טאָן נישט וועלן צו לויפן די אַפּלאַקיישאַן אין אַ דאָקקער קאַנטיינער - פֿאַר בייַשפּיל, מיר אַנטוויקלען נישט אין PHP, אָבער אין Go, און נאָך בויען עס לאָוקאַלי - די קאַטער פון טעלעפּרעסענסע וועט זיין אפילו סימפּלער:

telepresence --namespace {{ .Values.global.env }} --swap-deployment {{ .Chart.Name  }}:backend --mount=true

אויב די אַפּלאַקיישאַן אַקסעס די Kubernetes API, איר דאַרפֿן צו אָנקלאַפּן די שליסל וועגווייַזער (https://www.telepresence.io/howto/volumes). עס איז אַ נוצן פֿאַר לינוקס וואָרצל:

proot -b $TELEPRESENCE_ROOT/var/run/secrets/:/var/run/secrets bash

נאָך לאָנטשינג טעלעפּרעסענסע אָן די אָפּציע --docker-run אַלע ינווייראַנמענאַל וועריאַבאַלז וועט זיין בארעכטיגט אין דעם קראַנט וואָקזאַל, אַזוי די אַפּלאַקיישאַן מוזן זיין לאָנטשט אין עס.

NB: ווען איר נוצן, פֿאַר בייַשפּיל, PHP, איר מוזן געדענקען צו דיסייבאַל פאַרשידן אָפּ_קאַטשע, אַפּק און אנדערע אַקסעלערייטערז פֿאַר אַנטוויקלונג - אַנדערש עדיטינג די קאָד וועט נישט פירן צו דער געוואלט רעזולטאַט.

רעזולטאַטן פון

לאקאלע אַנטוויקלונג מיט Kubernetes איז אַ פּראָבלעם וועמענס לייזונג איז גראָוינג אין פּראָפּאָרציע צו די פאַרשפּרייטן פון דעם פּלאַטפאָרמע. באקומען באַטייַטיק ריקוועס פון דעוועלאָפּערס (פון אונדזער קלייאַנץ), מיר אנגעהויבן צו סאָלווע זיי מיט די ערשטער בנימצא מיטלען, וואָס, אָבער, נישט באַווייַזן זיך איבער די לאַנג-טערמין. צומ גליק, דאָס איז קלאָר ווי דער טאָג ניט נאָר איצט און ניט נאָר פֿאַר אונדז, אַזוי עס זענען שוין מער פּאַסיק מיטלען אין דער וועלט, און טעלעפּרעסענסע איז די מערסט באַרימט פון זיי (אגב, עס איז אויך skaffold פֿון גוגל). אונדזער דערפאַרונג פון ניצן עס איז נאָך נישט אַזוי גרויס, אָבער עס שוין גיט אונדז סיבה צו רעקאָמענדירן עס צו אונדזער "חברים אין די קראָם" - פּרובירן עס!

פּס

אנדערע פון ​​די K8s עצות און טריקס סעריע:

• «עצות און טריקס פון קובערנעטעס: מנהג טעות בלעטער אין NGINX Ingress";
• «טראַנספערינג רעסורסן פליסנדיק אין אַ קנויל צו העלם 2 פאַרוואַלטונג";
• «וועגן נאָדע אַלאַקיישאַן און לאָודז אויף אַ וועב אַפּלאַקיישאַן";
• «אַקסעס צו דעוו זייטלעך";
• «פאַרגיכערן באָאָטסטראַפּ פֿאַר גרויס דאַטאַבייסיז'.

מקור: www.habr.com