🥇 ינטראָודוסינג Kubernetes CCM (Cloud Controller Manager) פֿאַר Yandex.Cloud

אין המשך צו די לעצטע CSI שאָפער מעלדונג פֿאַר Yandex.Cloud, מיר אַרויסגעבן אן אנדער עפֿן מקור פּרויעקט פֿאַר דעם וואָלקן - וואָלקן קאָנטראָללער מאַנאַגער. CCM איז פארלאנגט ניט בלויז פֿאַר די קנויל ווי אַ גאַנץ, אָבער אויך פֿאַר די CSI שאָפער זיך. דעטאַילס וועגן זייַן ציל און עטלעכע ימפּלאַמענטיישאַן פֿעיִקייטן זענען אונטער די דורכשניט.

הקדמה

פארוואס איז דאָס?

די מאטיוון וואָס פּראַמפּטיד אונדז צו אַנטוויקלען CCM פֿאַר Yandex.Cloud גאָר צונויפפאַלן מיט די שוין דיסקרייבד אין מעלדן CSI דריווערס. מיר האַלטן פילע Kubernetes קלאַסטערז פון פאַרשידענע וואָלקן פּראַוויידערז, פֿאַר וואָס מיר נוצן אַ איין געצייַג. עס ימפּלאַמאַנץ פילע קאַנוויניאַנסיז "בייפּאַסינג" די געראטן סאַלושאַנז פון די פּראַוויידערז. יאָ, מיר האָבן אַ גאַנץ ספּעציפיש פאַל און דאַרף, אָבער די דיוועלאַפּמאַנץ באשאפן ווייַל פון זיי קען זיין נוציק פֿאַר אנדערע יוזערז.

וואָס פּונקט איז CCM?

טיפּיקאַללי, מיר צוגרייטן די סוויווע אַרום אונדז פֿאַר דעם קנויל פון אַרויס - פֿאַר בייַשפּיל, ניצן Terraform. אבער מאל עס איז אַ נויט צו פירן די וואָלקן סוויווע אַרום אונדז פון קנויל. די מעגלעכקייט איז צוגעשטעלט, און עס איז עס וואָס איז ימפּלאַמענאַד קקם.

ספּאַסיפיקלי, קלאָוד קאָנטראָללער מאַנאַגער גיט פינף הויפּט טייפּס פון ינטעראַקשאַן:

ינסטאַנסיז - ימפּלאַמאַנץ אַ 1:1 שייכות צווישן אַ נאָדע כייפעץ אין Kubernetes (Node) און אַ ווירטואַל מאַשין אין די וואָלקן שפּייַזער. פֿאַר דעם מיר:
- פּלאָמבירן אין די פעלד spec.providerID אין די כייפעץ Node. למשל, פֿאַר OpenStack CCM דעם פעלד האט די פאלגענדע פֿאָרמאַט: openstack:///d58a78bf-21b0-4682-9dc6-2132406d2bb0. איר קענען זען די נאָמען פון די וואָלקן שפּייַזער און די יינציק UUID פון די סערווער (ווירטואַל מאַשין אין OpenStack) פון די כייפעץ;
- דערגאַנג nodeInfo אין די כייפעץ Node אינפֿאָרמאַציע וועגן די ווירטואַל מאַשין. פֿאַר בייַשפּיל, מיר ספּעציפיצירן בייַשפּיל טיפּ אין AWS;
- מיר קאָנטראָלירן די בייַזייַן פון אַ ווירטואַל מאַשין אין די וואָלקן. פֿאַר בייַשפּיל, אויב אַ כייפעץ Node געגאנגען אין אַ שטאַט NotReady, איר קענען קאָנטראָלירן צי די ווירטואַל מאַשין יגזיסץ אין די וואָלקן שפּייַזער דורך providerID. אויב עס איז נישט דאָרט, ויסמעקן די כייפעץ Node, װעלכע ר װאל ט אנדער ש פארבליב ן אי ן דע ר קנו ל אײביק ;
Zones - שטעלט די דורכפאַל פעלד פֿאַר די כייפעץ Node, אַזוי אַז די סקעדזשולער קענען אויסקלייַבן אַ נאָדע פֿאַר די פּאָד לויט די מקומות און זאָנעס אין די וואָלקן שפּייַזער;
LoadBalancer - ווען קריייטינג אַ כייפעץ Service מיט טיפּ LoadBalancer קריייץ אַ מין פון באַלאַנסער וואָס וועט פירן פאַרקער פון אַרויס צו די קנויל נאָודז. פֿאַר בייַשפּיל, אין Yandex.Cloud איר קענען נוצן NetworkLoadBalancer и TargetGroup פֿאַר די צוועקן;
מאַרשרוט - בויען אַ נעץ צווישן נאָודז, ווייַל לויט Kubernetes רעקווירעמענץ, יעדער פּאָד מוזן האָבן זיין אייגענע IP אַדרעס און קענען דערגרייכן קיין אנדערע פּאָד. פֿאַר די צוועקן, איר קענען נוצן אַ אָוווערליי נעץ (VXLAN, GENEVE) אָדער שטעלן אַ רוטינג טיש גלייַך אין די ווירטואַל נעץ פון די וואָלקן שפּייַזער:
באַנד - אַלאַוז דינאַמיש אָרדערינג פון פּוו ניצן פּווק און סק. טכילעס, די פאַנגקשאַנאַליטי איז געווען טייל פון CCM, אָבער רעכט צו זיין גרויס קאַמפּלעקסיטי עס איז אריבערגעפארן צו אַ באַזונדער פּרויעקט, Container Storage Interface (CSI). מיר האָבן גערעדט וועגן CSI מער ווי אַמאָל писали און, ווי שוין דערמאנט, אפילו באפרייט CSI שאָפער.

ביז אַהער, אַלע קאָד ינטעראַקטינג מיט די וואָלקן איז געווען ליגן אין די הויפּט Git ריפּאַזאַטאָרי פון די Kubernetes פּרויעקט ביי k8s.io/kubernetes/pkg/cloudprovider/providers, אָבער זיי באַשלאָסן צו פאַרלאָזן דעם רעכט צו דער ינקאַנוויניאַנס פון ארבעטן מיט אַ גרויס קאָד באַזע. אַלע אַלט ימפּלאַמענטיישאַנז זענען אריבערגעפארן צו באַזונדער ריפּאַזאַטאָרי. פֿאַר די קאַנוויניאַנס פון ווייַטער שטיצן און אַנטוויקלונג, אַלע פּראָסט קאַמפּאָונאַנץ זענען אויך אריבערגעפארן צו באַזונדער ריפּאַזאַטאָרי.

ווי מיט CSI, פילע גרויס וואָלקן פּראַוויידערז האָבן שוין דיזיינד זייער CCMs צו לעווערידזש וואלקנס אויף Kubernetes. אויב דער סאַפּלייער טוט נישט האָבן CCM, אָבער אַלע די נייטיק פאַנגקשאַנז זענען בארעכטיגט דורך אַפּי, איר קענען ינסטרומענט CCM זיך.

צו שרייַבן דיין אייגענע ימפּלאַמענטיישאַן פון CCM, עס איז גענוג צו ינסטרומענט פארלאנגט גיין ינטערפייסיז.

И דאָס איז וואָס מיר האָבן.

ימפּלעמענטאַטיאָן

ווי ביסטו געקומען צו דעם

מיר סטאַרטעד אַנטוויקלונג (אָדער גאַנץ, אפילו נוצן) מיט גרייט(!) קקם פֿאַר Yandex.Cloud מיט אַ יאָר צוריק.

אָבער, אין דעם ימפּלאַמענטיישאַן מיר זענען פעלנדיק:

אָטענטאַקיישאַן דורך JWT IAM טאָקען;
סערוויס קאָנטראָללער שטיצן.

אין העסקעם מיט דעם מחבר (דליסין) אין טעלעגראַם, מיר פאָרקט יאַנדעקס-וואָלקן-קאָנטראָללער-פאַרוואַלטער און צוגעגעבן די פעלנדיק פאַנגקשאַנז.

שליסל פֿעיִקייטן

דערווייַל, CCM שטיצט די פאלגענדע ינטערפייסיז:

ינסטאַנסיז;
Zones;
LoadBalancer.

אין דער צוקונפֿט, ווען Yandex.Cloud סטאַרץ ארבעטן מיט אַוואַנסירטע VPC קייפּאַבילאַטיז, מיר וועלן לייגן אַ צובינד ראָוטעס.

LoadBalanacer ווי הויפּט אַרויסרופן

טכילעס, מיר געפרוווט, ווי אנדערע CCM ימפּלאַמאַנץ, צו שאַפֿן אַ פּאָר פון LoadBalancer и TargetGroup פֿאַר אַלעמען Service מיט טיפּ LoadBalancer. אָבער, Yandex.Cloud דיסקאַווערד איין טשיקאַווע באַגרענעצונג: איר קענען נישט נוצן TargetGroups מיט ינטערסעקטינג Targets (זוג SubnetID - IpAddress).

דעריבער, ין די באשאפן CCM, אַ קאָנטראָללער איז לאָנטשט, וואָס ווען אַבדזשעקץ טוישן Node קאַלעקץ אינפֿאָרמאַציע וועגן אַלע ינטערפייסיז אויף יעדער ווירטואַל מאַשין, גרופּעס זיי לויט צו זייער געהערן צו זיכער NetworkID, קריייץ דורך TargetGroup אויף NetworkID, און אויך מאָניטאָרס שייכות. דערנאָך, ווען קריייטינג אַ כייפעץ Service מיט טיפּ LoadBalanacer מיר פשוט צוטשעפּען אַ פאַר - באשאפן TargetGroup צו נייַ NetworkLoadBalanacerבין.

ווי צו אָנהייבן ניצן?

CCM שטיצט Kubernetes ווערסיע 1.15 און העכער. אין אַ קנויל, פֿאַר עס צו אַרבעטן, עס ריקווייערז אַז די פאָן --cloud-provider=external איז באַשטימט צו true פֿאַר קוב-אַפּיסערווער, קוב-קאָנטראָללער-פאַרוואַלטער, קוב-סקעדזשולער און אַלע קובעלעץ.

אַלע נייטיק סטעפּס פֿאַר די ינסטאַלירונג זיך זענען דיסקרייבד אין רעאַדמע. ייַנמאָנטירונג בוילז אַראָפּ צו שאַפֿן אַבדזשעקץ אין Kubernetes פֿון מאַניפעסץ.

צו נוצן CCM איר וועט אויך דאַרפֿן:

אָנווייַזן אין די באַשייַמפּערלעך די וועגווייַזער אידענטיפיצירן (folder-id) Yandex.Cloud;
סערוויס חשבון פֿאַר ינטעראַקטינג מיט די Yandex.Cloud API. אין די מאַניפעסטאָ Secret איז נייטיק אַריבערפירן אָטערייזד שליסלען פון די סערוויס חשבון. אין די דאַקיומענטיישאַן דיסקרייבד, ווי צו שאַפֿן אַ סערוויס חשבון און באַקומען שליסלען.

מיר וועלן זיין צופרידן צו באַקומען דיין באַמערקונגען און נייע ישוזאויב איר טרעפן קיין פראבלעמען!

רעזולטאַטן פון

מיר האָבן שוין ניצן די ימפּלאַמענאַד CCM אין פינף Kubernetes קלאַסטערז אין די לעצטע צוויי וואָכן און פּלאַנירן צו יקספּאַנד זייער נומער צו 20 אין די קומענדיק חודש. מיר רעקאָמענדירן נישט צו נוצן CCM פֿאַר גרויס און קריטיש ק8ס ינסטאַליישאַנז.

ווי אין דעם פאַל פון CSI, מיר וועלן זיין צופרידן אויב יאַנדעקס דעוועלאָפּערס נעמען אויף די אַנטוויקלונג און שטיצן פון דעם פּרויעקט - מיר זענען גרייט צו אַריבערפירן די ריפּאַזאַטאָרי אויף זייער בקשה צו האַנדלען מיט טאַסקס וואָס זענען מער באַטייַטיק פֿאַר אונדז.

פּס

לייענען אויך אויף אונדזער בלאָג:

מקור: www.habr.com

ינטראָדוסינג Kubernetes CCM (Cloud Controller Manager) פֿאַר Yandex.Cloud