🥇 אונדזער דערפאַרונג פון ארבעטן מיט דאַטן אין עטק קובערנעטעס קנויל גלייַך (אָן K8s API)

ינקריסינגלי, קלייאַנץ בעטן אונדז צו צושטעלן אַקסעס צו די Kubernetes קנויל צו קענען צו אַקסעס סערוויסעס אין דעם קנויל: צו קענען גלייַך פאַרבינדן צו עטלעכע דאַטאַבייס אָדער סערוויס, צו פאַרבינדן אַ היגע אַפּלאַקיישאַן מיט אַפּלאַקיישאַנז אין דעם קנויל ...

פֿאַר בייַשפּיל, עס איז אַ נויט צו פאַרבינדן פון דיין היגע מאַשין צו אַ סערוויס memcached.staging.svc.cluster.local. מיר צושטעלן דעם פיייקייט ניצן אַ VPN אין דעם קנויל צו וואָס דער קליענט קאַנעקץ. צו טאָן דאָס, מיר מעלדן סובנעץ פון פּאָדס, באַדינונגס און שטופּן קנויל דנס צו דעם קליענט. אזוי, ווען אַ קליענט פרוווט צו פאַרבינדן צו די סערוויס memcached.staging.svc.cluster.local, די בעטן גייט צו די קנויל דנס און אין ענטפער נעמט די אַדרעס פון דעם דינסט פון די קנויל סערוויס נעץ אָדער די פּאָד אַדרעס.

מיר קאַנפיגיער K8s קלאַסטערז ניצן kubeadm, ווו די פעליקייַט סערוויס סובנעט איז 192.168.0.0/16, און די נעץ פון פּאָדס איז 10.244.0.0/16. יוזשאַוואַלי אַלץ אַרבעט גוט, אָבער עס זענען אַ פּאָר פון פונקטן:

סובנעט 192.168.*.* אָפט געניצט אין קליענט אָפיס נעטוואָרקס, און אפילו מער אָפט אין דעוועלאָפּערס היים נעטוואָרקס. און דעמאָלט מיר באַקומען קאָנפליקט: היים ראָוטערס אַרבעט אויף דעם סובנעט און די וופּן פּושיז די סובנעץ פון דעם קנויל צו דעם קליענט.
מיר האָבן עטלעכע קלאַסטערז (פּראָדוקציע, בינע און / אָדער עטלעכע דעוו קלאַסטערז). דערנאָך, דורך פעליקייַט, אַלע פון זיי וועלן האָבן די זעלבע סובנעץ פֿאַר פּאָדס און באַדינונגס, וואָס קריייץ גרויס שוועריקייטן פֿאַר סיימאַלטייניאַס אַרבעט מיט סערוויסעס אין עטלעכע קלאַסטערז.

מיר האָבן לאַנג צוריק אנגענומען די פיר פון ניצן פאַרשידענע סובנעץ פֿאַר באַדינונגס און פּאָדס אין איין פּרויעקט - אין אַלגעמיין, אַזוי אַז אַלע קלאַסטערז האָבן פאַרשידענע נעטוואָרקס. אָבער, עס זענען אַ גרויס נומער פון קלאַסטערז אין אָפּעראַציע וואָס איך וואָלט נישט וועלן צו ראָולד איבער פֿון קראַצן, ווייַל זיי לויפן פילע באַדינונגס, סטייטפול אַפּלאַקיישאַנז, אאז"ו ו.

און דעמאָלט מיר געפרעגט זיך: ווי צו טוישן די סובנעט אין אַ יגזיסטינג קנויל?

זוכן פון דיסיזשאַנז

די מערסט פּראָסט פיר איז צו ריקריייט אַלע סערוויסעס מיט טיפּ ClusterIP. ווי אַן אָפּציע, קענען רעקאָמענדירן און דאס:

די פאלגענדע פּראָצעס האט אַ פּראָבלעם: נאָך אַלץ קאַנפיגיערד, די פּאָדס קומען אַרויף מיט די אַלט IP ווי אַ דנס נאַמעסערווער אין /etc/resolv.conf.
זינט איך נאָך האט נישט געפֿינען די לייזונג, איך האט צו באַשטעטיק די גאנצע קנויל מיט kubeadm באַשטעטיק און אָנהייבן עס ווידער.

אָבער דאָס איז נישט פּאַסיק פֿאַר אַלעמען ... דאָ זענען מער דיטיילד הקדמה פֿאַר אונדזער פאַל:

פלאַנאַל איז געניצט;
עס זענען קלאַסטערז ביידע אין די וואלקנס און אויף ייַזנוואַרג;
איך וואָלט ווי צו ויסמיידן שייַעך-דיפּלויינג אַלע סערוויסעס אין דעם קנויל;
עס איז אַ נויט צו טאָן אַלץ מיט אַ מינימום נומער פון פּראָבלעמס;
Kubernetes ווערסיע איז 1.16.6 (אָבער, ווייַטער סטעפּס וועט זיין ענלעך פֿאַר אנדערע ווערסיעס);
די הויפּט אַרבעט איז צו ענשור אַז אין אַ קנויל דיפּלויד ניצן kubeadm מיט אַ סערוויס סובנעט 192.168.0.0/16, פאַרבייַטן עס מיט 172.24.0.0/16.

און עס איז פּונקט אַזוי געשען אַז מיר האָבן שוין לאַנג אינטערעסירט צו זען וואָס און ווי אין קובערנעטעס איז סטאָרד אין וכו', וואָס קענען זיין געטאן מיט אים... אַזוי מיר געדאַנק: "פארוואס נישט נאָר דערהייַנטיקן די דאַטן אין עטק, ריפּלייסינג די אַלט IP אַדרעסעס (סובנעט) מיט נייַע? »

ווייל געזוכט פאַרטיק מכשירים פֿאַר ארבעטן מיט דאַטן אין עטק, מיר האָבן ניט געפֿונען עפּעס וואָס גאָר סאַלווד די פּראָבלעם. (אגב, אויב איר וויסן וועגן קיין יוטילאַטיז פֿאַר ארבעטן מיט דאַטן גלייַך אין עטק, מיר וואָלט אָפּשאַצן די לינקס.) אָבער, אַ גוט סטאַרטינג פונט איז עטקדהעלפער פֿון OpenShift (דאַנק צו זיין מחברים!).

דעם נוצן קענען פאַרבינדן צו עטק ניצן סערטיפיקאַץ און לייענען דאַטן פֿון דאָרט ניצן קאַמאַנדז ls, get, dump.

לייג עטקדהעלפּער

דער ווייַטער געדאַנק איז לאַדזשיקאַל: "וואָס סטאָפּפּינג איר פון אַדינג דעם נוצן דורך אַדינג די פיייקייט צו שרייַבן דאַטן צו עטק?"

עס איז געווארן אַ מאַדאַפייד ווערסיע פון עטקדהעלפּער מיט צוויי נייַע פאַנגקשאַנז changeServiceCIDR и changePodCIDR. אויף איר איר קענען זען די קאָד דאָ.

וואָס טאָן די נייַע פֿעיִקייטן? אַלגערידאַם changeServiceCIDR:

שאַפֿן אַ דעסעריאַליזער;
צונויפנעמען אַ רעגולער אויסדרוק צו פאַרבייַטן CIDR;
מיר גיין דורך אַלע סערוויסעס מיט די ClusterIP טיפּ אין דעם קנויל:
- דעקאָדע די ווערט פון עטק אין אַ גיין כייפעץ;
- ניצן אַ רעגולער אויסדרוק מיר פאַרבייַטן די ערשטער צוויי ביטעס פון די אַדרעס;
- באַשטימען די סערוויס אַן IP אַדרעס פון די נייַע סובנעט;
- שאַפֿן אַ סיריאַליזער, גער די Go כייפעץ אין פּראָטאָבוף, שרייַבן נייַע דאַטן צו עטק.

פונקציאָנירן changePodCIDR יסענשאַלי ענלעך changeServiceCIDR - נאָר אַנשטאָט פון עדיטינג די סערוויס באַשרייַבונג, מיר טאָן דאָס פֿאַר די נאָדע און טוישן .spec.PodCIDR צו אַ נייַע סובנעט.

פיר

טוישן דינסט CIDR

דער פּלאַן פֿאַר ימפּלאַמענינג די אַרבעט איז זייער פּשוט, אָבער עס ינוואַלווז דאַונטיים בשעת אַלע פּאָדס אין דעם קנויל זענען ריקריייטיד. נאָך דיסקרייבינג די הויפּט סטעפּס, מיר וועלן אויך טיילן געדאנקען וועגן ווי, אין טעאָריע, די דאַונטיים קענען זיין מינאַמייזד.

פּריפּעראַטאָרי סטעפּס:

ינסטאָלינג די נייטיק ווייכווארג און אַסעמבאַל די פּאַטשט עטקדהעלפּער;
באַקאַפּ עטק און /etc/kubernetes.

קורץ קאַמף פּלאַן פֿאַר טשאַנגינג סערוויס סידר:

טשאַנגינג די אַפּיסערווער און קאָנטראָללער-פאַרוואַלטער מאַנאַפעסץ;
רעיסווס פון סערטיפיקאַץ;
טשאַנגינג ClusterIP באַדינונגס אין עטק;
ריסטאַרט אַלע פּאָדס אין דעם קנויל.

די פאלגענדע איז אַ גאַנץ סיקוואַנס פון אַקשאַנז אין דעטאַל.

1. ינסטאַלירן עטק-קליענט פֿאַר דאַטן דאַמפּ:

apt install etcd-client

2. בויען עטקדהעלפּער:

ינסטאַלירן גאָלאַנג:

GOPATH=/root/golang
mkdir -p $GOPATH/local
curl -sSL https://dl.google.com/go/go1.14.1.linux-amd64.tar.gz | tar -xzvC $GOPATH/local
echo "export GOPATH="$GOPATH"" >> ~/.bashrc
echo 'export GOROOT="$GOPATH/local/go"' >> ~/.bashrc
echo 'export PATH="$PATH:$GOPATH/local/go/bin"' >> ~/.bashrc

מיר ראַטעווען פֿאַר זיך etcdhelper.go, אראפקאפיע דיפּענדאַנסיז, קלייַבן:

wget https://raw.githubusercontent.com/flant/examples/master/2020/04-etcdhelper/etcdhelper.go
go get go.etcd.io/etcd/clientv3 k8s.io/kubectl/pkg/scheme k8s.io/apimachinery/pkg/runtime
go build -o etcdhelper etcdhelper.go

3. מאַכן אַ באַקאַפּ עטק:

backup_dir=/root/backup
mkdir ${backup_dir}
cp -rL /etc/kubernetes ${backup_dir}
ETCDCTL_API=3 etcdctl --cacert=/etc/kubernetes/pki/etcd/ca.crt --key=/etc/kubernetes/pki/etcd/server.key --cert=/etc/kubernetes/pki/etcd/server.crt --endpoints https://192.168.199.100:2379 snapshot save ${backup_dir}/etcd.snapshot

4. טוישן די סערוויס סובנעט אין די קובערנעטעס קאָנטראָל פלאַך מאַנאַפעסץ. אין טעקעס /etc/kubernetes/manifests/kube-apiserver.yaml и /etc/kubernetes/manifests/kube-controller-manager.yaml טוישן די פּאַראַמעטער --service-cluster-ip-range צו אַ נייַע סובנעט: 172.24.0.0/16 אַנשטאָט פון 192.168.0.0/16.

5. זינט מיר טוישן די סערוויס סובנעט צו וואָס kubeadm אַרויסגעבן סערטיפיקאַץ פֿאַר אַפּיסערווער (אַרייַנגערעכנט), זיי דאַרפֿן צו זיין ריסווד:

לאָמיר זען וואָס דאָומיינז און IP אַדרעסעס די קראַנט באַווייַזן איז ארויס פֿאַר:

openssl x509 -noout -ext subjectAltName </etc/kubernetes/pki/apiserver.crt
X509v3 Subject Alternative Name:
    DNS:dev-1-master, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, DNS:apiserver, IP Address:192.168.0.1, IP Address:10.0.0.163, IP Address:192.168.199.100

לאָמיר צוגרייטן אַ מינימאַל קאַנפיגיעריישאַן פֿאַר kubeadm:

cat kubeadm-config.yaml
apiVersion: kubeadm.k8s.io/v1beta1
kind: ClusterConfiguration
networking:
  podSubnet: "10.244.0.0/16"
  serviceSubnet: "172.24.0.0/16"
apiServer:
  certSANs:
  - "192.168.199.100" # IP-адрес мастер узла

לאָמיר ויסמעקן די אַלט קרט און שליסל, ווייַל אָן דעם די נייַ באַווייַזן וועט נישט זיין ארויס:
```
rm /etc/kubernetes/pki/apiserver.{key,crt}
```
לאָמיר אַרויסגעבן סערטיפיקאַץ פֿאַר די אַפּי סערווער:
```
kubeadm init phase certs apiserver --config=kubeadm-config.yaml
```

לאָמיר קאָנטראָלירן אַז די באַווייַזן איז ארויס פֿאַר די נייַע סובנעט:

openssl x509 -noout -ext subjectAltName </etc/kubernetes/pki/apiserver.crt
X509v3 Subject Alternative Name:
    DNS:kube-2-master, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:172.24.0.1, IP Address:10.0.0.163, IP Address:192.168.199.100

נאָך שייַעך-אַרויסגעבן די אַפּי סערווער באַווייַזן, ריסטאַרט זייַן קאַנטיינער:
```
docker ps | grep k8s_kube-apiserver | awk '{print $1}' | xargs docker restart
```
זאל ס רעגענערירן די קאָנפיגוראַטיאָן פֿאַר admin.conf:
```
kubeadm alpha certs renew admin.conf
```
זאל ס רעדאַגירן די דאַטן אין etcd:
```
./etcdhelper -cacert /etc/kubernetes/pki/etcd/ca.crt -cert /etc/kubernetes/pki/etcd/server.crt -key /etc/kubernetes/pki/etcd/server.key -endpoint https://127.0.0.1:2379 change-service-cidr 172.24.0.0/16 
```
ווארענונג! אין דעם מאָמענט, פעלד האַכלאָטע סטאַפּס ארבעטן אין דעם קנויל, זינט אין יגזיסטינג פּאָדס אין /etc/resolv.conf די אַלט CoreDNS אַדרעס (kube-dns) איז רעגיסטרירט, און kube-proxy ענדערונגען די iptables כּללים פון די אַלט סובנעט צו די נייַע. ווייַטער אין דעם אַרטיקל עס איז געשריבן וועגן מעגלעך אָפּציעס צו מינאַמייז דאַונטיים.
זאל ס פאַרריכטן ConfigMap ס אין די נאַמעספּאַסע kube-system:
```
kubectl -n kube-system edit cm kubelet-config-1.16
```
- פאַרבייַטן דאָ clusterDNS צו די נייַע IP אַדרעס פון די kube-dns סערוויס: kubectl -n kube-system get svc kube-dns.
```
kubectl -n kube-system edit cm kubeadm-config
```
- מיר וועלן פאַרריכטן עס data.ClusterConfiguration.networking.serviceSubnet צו אַ נייַע סובנעט.
זינט די kube-dns אַדרעס איז פארענדערט, עס איז נייטיק צו דערהייַנטיקן די קובעלעט קאַנפיגיעריישאַן אויף אַלע נאָודז:
```
kubeadm upgrade node phase kubelet-config && systemctl restart kubelet
```

אַלע וואָס בלייבט איז צו ריסטאַרט אַלע פּאָדס אין דעם קנויל:

kubectl get pods --no-headers=true --all-namespaces |sed -r 's/(S+)s+(S+).*/kubectl --namespace 1 delete pod 2/e'

מינאַמייז דאַונטיים

געדאנקען וועגן ווי צו מינאַמייז דאַונטיים:

נאָך טשאַנגינג די קאָנטראָל פלאַך מאַנאַפעסץ, שאַפֿן אַ נייַע kube-dns דינסט, פֿאַר בייַשפּיל, מיט דעם נאָמען kube-dns-tmp און נייַ אַדרעס 172.24.0.10.
צו מאַכן if אין עטקדהעלפּער, וואָס וועט נישט מאָדיפיצירן די kube-dns דינסט.
פאַרבייַטן די אַדרעס אין אַלע קובעלעץ ClusterDNS צו אַ נייַע, בשעת די אַלט דינסט וועט פאָרזעצן צו אַרבעטן סיימאַלטייניאַסלי מיט די נייַע.
וואַרטן ביז די פּאָדס מיט אַפּלאַקיישאַנז ראָולד איבער זיך פֿאַר נאַטירלעך סיבות אָדער אין אַ מסכים צייט.
ויסמעקן דינסט kube-dns-tmp און טוישן serviceSubnetCIDR פֿאַר די קובע-דנס דינסט.

דער פּלאַן וועט לאָזן איר צו מינאַמייז דאַונטיים צו ~ אַ מינוט - פֿאַר דער געדויער פון די באַזייַטיקונג פון די סערוויס kube-dns-tmp און טשאַנגינג די סובנעט פֿאַר די דינסט kube-dns.

מאָדיפיקאַטיאָן פּאָדנעטוואָרק

אין דער זעלביקער צייט, מיר באַשלאָסן צו קוקן ווי צו מאָדיפיצירן פּאָדנעטוואָרק מיט די ריזאַלטינג עטקדהעלפּער. די סיקוואַנס פון אַקשאַנז איז ווי גייט:

פיקסיר קאַנפיגיעריישאַנז אין kube-system;
פיקסיר די קובע-קאָנטראָללער-פאַרוואַלטער באַשייַמפּערלעך;
טוישן פּאָדסידר גלייַך אין עטק;
רעבאָאָט אַלע קנויל נאָודז.

איצט מער וועגן די אַקשאַנז:

1. מאָדיפיצירן קאָנפיגמאַפּס אין די נאַמעספּאַסע kube-system:

kubectl -n kube-system edit cm kubeadm-config

- קערעקטינג data.ClusterConfiguration.networking.podSubnet צו אַ נייַע סובנעט 10.55.0.0/16.

kubectl -n kube-system edit cm kube-proxy

- קערעקטינג data.config.conf.clusterCIDR: 10.55.0.0/16.

2. מאָדיפיצירן די קאָנטראָללער-פאַרוואַלטער באַשייַמפּערלעך:

vim /etc/kubernetes/manifests/kube-controller-manager.yaml

- קערעקטינג --cluster-cidr=10.55.0.0/16.

3. קוק אין די קראַנט וואַלועס .spec.podCIDR, .spec.podCIDRs, .InternalIP, .status.addresses פֿאַר אַלע קנויל נאָודז:

kubectl get no -o json | jq '[.items[] | {"name": .metadata.name, "podCIDR": .spec.podCIDR, "podCIDRs": .spec.podCIDRs, "InternalIP": (.status.addresses[] | select(.type == "InternalIP") | .address)}]'

[
  {
    "name": "kube-2-master",
    "podCIDR": "10.244.0.0/24",
    "podCIDRs": [
      "10.244.0.0/24"
    ],
    "InternalIP": "192.168.199.2"
  },
  {
    "name": "kube-2-master",
    "podCIDR": "10.244.0.0/24",
    "podCIDRs": [
      "10.244.0.0/24"
    ],
    "InternalIP": "10.0.1.239"
  },
  {
    "name": "kube-2-worker-01f438cf-579f9fd987-5l657",
    "podCIDR": "10.244.1.0/24",
    "podCIDRs": [
      "10.244.1.0/24"
    ],
    "InternalIP": "192.168.199.222"
  },
  {
    "name": "kube-2-worker-01f438cf-579f9fd987-5l657",
    "podCIDR": "10.244.1.0/24",
    "podCIDRs": [
      "10.244.1.0/24"
    ],
    "InternalIP": "10.0.4.73"
  }
]

4. פאַרבייַטן פּאָדסידר דורך מאַכן ענדערונגען גלייַך צו עטק:

./etcdhelper -cacert /etc/kubernetes/pki/etcd/ca.crt -cert /etc/kubernetes/pki/etcd/server.crt -key /etc/kubernetes/pki/etcd/server.key -endpoint https://127.0.0.1:2379 change-pod-cidr 10.55.0.0/16

5. לאָמיר קאָנטראָלירן אַז פּאָדסידר האט טאַקע געביטן:

kubectl get no -o json | jq '[.items[] | {"name": .metadata.name, "podCIDR": .spec.podCIDR, "podCIDRs": .spec.podCIDRs, "InternalIP": (.status.addresses[] | select(.type == "InternalIP") | .address)}]'

[
  {
    "name": "kube-2-master",
    "podCIDR": "10.55.0.0/24",
    "podCIDRs": [
      "10.55.0.0/24"
    ],
    "InternalIP": "192.168.199.2"
  },
  {
    "name": "kube-2-master",
    "podCIDR": "10.55.0.0/24",
    "podCIDRs": [
      "10.55.0.0/24"
    ],
    "InternalIP": "10.0.1.239"
  },
  {
    "name": "kube-2-worker-01f438cf-579f9fd987-5l657",
    "podCIDR": "10.55.1.0/24",
    "podCIDRs": [
      "10.55.1.0/24"
    ],
    "InternalIP": "192.168.199.222"
  },
  {
    "name": "kube-2-worker-01f438cf-579f9fd987-5l657",
    "podCIDR": "10.55.1.0/24",
    "podCIDRs": [
      "10.55.1.0/24"
    ],
    "InternalIP": "10.0.4.73"
  }
]

6. לאָמיר רעבאָאָט אַלע קנויל נאָודז איינער דורך איינער.

7. אויב איר לאָזן בייַ מינדסטער איין נאָדע אַלט פּאָדסידר, דעמאָלט kube-controller-manager וועט נישט קענען צו אָנהייבן, און פּאָדס אין דעם קנויל וועט נישט זיין סקעדזשולד.

אין פאַקט, טשאַנגינג פּאָדסידר קענען זיין געטאן אפילו סימפּלער (למשל, אַזוי). אָבער מיר געוואלט צו לערנען ווי צו אַרבעטן מיט עטק גלייך, ווייַל עס זענען קאַסעס ווען עדיטינג Kubernetes אַבדזשעקץ אין עטק - דער בלויז מעגלעך וואַריאַנט. (פֿאַר בייַשפּיל, איר קענען נישט נאָר טוישן די סערוויס פעלד אָן דאַונטיים spec.clusterIP.)

גאַנץ

דער אַרטיקל דיסקוטירט די מעגלעכקייט פון ארבעטן מיט דאַטן אין עטק גלייַך, ד.ה. בייפּאַסינג די Kubernetes API. מאל דעם צוגאַנג אַלאַוז איר צו טאָן "טריקי טינגז." מיר טעסטעד די אַפּעריישאַנז געגעבן אין דעם טעקסט אויף פאַקטיש ק8ס קלאַסטערז. אָבער, זייער סטאַטוס פון גרייטקייַט פֿאַר וויידספּרעד נוצן איז PoC (דערווייַז פון באַגריף). דעריבער, אויב איר ווילן צו נוצן אַ מאַדאַפייד ווערסיע פון די עטקדהעלפּער נוצן אויף דיין קלאַסטערז, טאָן דאָס אויף דיין אייגענע ריזיקירן.

פּס

לייענען אויך אויף אונדזער בלאָג:

מקור: www.habr.com

אונדזער דערפאַרונג מיט דאַטן אין עטק Kubernetes קנויל גלייַך (אָן K8s API)