רוק אָדער נישט רוק, דאָס איז די קשיא

אין די אָנהייב פון דעם חודש, אויף מאי 3, אַ הויפּט מעלדונג פון אַ "פאַרוואַלטונג סיסטעם פֿאַר פונאנדערגעטיילט דאַטן סטאָרידזש אין Kubernetes" איז מודיע - רוקן 1.0.0. מער ווי אַ יאָר צוריק מיר שוין ארויס אַלגעמיינע איבערבליק פון Rook. דערנאָך האָט מען אונדז געבעטן צו רעדן וועגן זײַן דערפאַרונג נוצן אין פיר - און איצט, פּונקט אין צייט פֿאַר אַזאַ אַ באַטייטיק מיילסטאָון אין דער געשיכטע פון ​​די פּרויעקט, מיר זענען צופרידן צו טיילן אונדזער אַקיומיאַלייטיד ימפּרעססיאָנס.

אין קורץ, רוק איז אַ גאַנג אָפּערייטערז פֿאַר Kubernetes, וואָס נעמען פול קאָנטראָל פון די דיפּלוימאַנט, פאַרוואַלטונג, אָטאַמאַטיק אָפּזוך פון דאַטן סטאָרידזש סאַלושאַנז אַזאַ ווי Ceph, EdgeFS, Minio, Cassandra, CockroachDB.

אין דער מאָמענט די מערסט דעוועלאָפּעד (און די איינציגסטע в סטאַביל בינע) די לייזונג איז רוק-סעף-אָפּעראַטאָר.

טאָן: צווישן די באַטייַטיק ענדערונגען אין די Rook 1.0.0 מעלדונג שייַכות צו Ceph, מיר קענען טאָן שטיצן פֿאַר Ceph Nautilus און די פיייקייט צו נוצן NFS פֿאַר CephFS אָדער RGW באַקאַץ. וואָס שטייט אויס צווישן אנדערע איז די מאַטשוריישאַן פון EdgeFS שטיצן צו די ביתא מדרגה.

אַזוי, אין דעם אַרטיקל מיר:

• לאָמיר ענטפֿערן די קשיא וועגן וואָס אַדוואַנטידזשיז מיר זען אין ניצן Rook צו צעוויקלען Ceph אין אַ קובערנעטעס קנויל;
• מיר וועלן טיילן אונדזער דערפאַרונג און ימפּרעססיאָנס פון ניצן רוק אין פּראָדוקציע;
• לאמיר אייך זאגן פארוואס מיר זאגן "יא!" צו רוק, און וועגן אונזערע פלענער פאר אים.

לאמיר אנהייבן מיט אלגעמיינע באגריפן און טעאריע.

"איך האָבן אַ מייַלע פון ​​איין רוק!" (אומבאַקאַנט שאָך שפּילער)

איינער פון די הויפּט אַדוואַנטידזשיז פון Rook איז אַז ינטעראַקשאַן מיט דאַטן סטאָרז איז דורכגעקאָכט דורך קובערנעטעס מעקאַניזאַמז. דעם מיטל אַז איר ניט מער דאַרפֿן צו נאָכמאַכן די קאַמאַנדז צו קאַנפיגיער Ceph פֿון די בלאַט אין די קאַנסאָול.

— צי איר ווילן צו צעוויקלען CephFS אין אַ קנויל? נאָר שרייַבן אַ YAML טעקע!
- וואס? צי איר אויך ווילן צו צעוויקלען אַ כייפעץ קראָם מיט S3 API? שרייב נאר א צווייטע יאמל פייל!

רוק איז באשאפן לויט אַלע די כּללים פון אַ טיפּיש אָפּעראַטאָר. ינטעראַקשאַן מיט אים אַקערז ניצן CRD (Custom Resource Definitions), אין וואָס מיר באַשרייַבן די קעראַקטעריסטיקס פון סעף ענטיטיז מיר דאַרפֿן (זינט דאָס איז דער בלויז סטאַביל ימפּלאַמענטיישאַן, דורך פעליקייַט דעם אַרטיקל וועט רעדן וועגן Ceph, סייַדן בפירוש סטייטיד אַנדערש). לויט די ספּעסיפיעד פּאַראַמעטערס, דער אָפּעראַטאָר וועט אויטאָמאַטיש ויספירן די קאַמאַנדז נייטיק פֿאַר קאַנפיגיעריישאַן.

לאָמיר קוקן אין די ספּעסיפיקס ניצן דעם ביישפּיל פון קריייטינג אַ אָבדזשעקט סטאָר, אָדער גאַנץ - CephObjectStoreUser.

apiVersion: ceph.rook.io/v1
kind: CephObjectStore
metadata:
  name: {{ .Values.s3.crdName }}
  namespace: kube-rook
spec:
  metadataPool:
    failureDomain: host
    replicated:
      size: 3
  dataPool:
    failureDomain: host
    erasureCoded:
      dataChunks: 2
      codingChunks: 1
  gateway:
    type: s3
    sslCertificateRef:
    port: 80
    securePort:
    instances: 1
    allNodes: false
---
apiVersion: ceph.rook.io/v1
kind: CephObjectStoreUser
metadata:
  name: {{ .Values.s3.crdName }}
  namespace: kube-rook
spec:
  store: {{ .Values.s3.crdName }}
  displayName: {{ .Values.s3.username }}

די פּאַראַמעטערס אנגעוויזן אין די ליסטינג זענען גאַנץ נאָרמאַל און קוים דאַרפֿן באַמערקונגען, אָבער עס איז ווערט צו באַצאָלן ספּעציעל ופמערקזאַמקייט צו די אַלאַקייטיד צו מוסטער וועריאַבאַלז.

דער אַלגעמיין אַרבעט סכעמע קומט צו דעם פאַקט אַז מיר "באַשטעלן" רעסורסן דורך אַ ימל טעקע, פֿאַר וואָס דער אָפּעראַטאָר עקסאַקיוץ די נויטיק קאַמאַנדז און קערט אונדז אַ "ניט-אַזוי-פאַקטיש" סוד מיט וואָס מיר קענען ווייַטער אַרבעטן (זע אונטן). און פֿון די וועריאַבאַלז ליסטעד אויבן, די באַפֿעל און סוד נאָמען וועט זיין קאַמפּיילד.

וואָס מין פון מאַנשאַפֿט איז דאָס? ווען קריייטינג אַ באַניצער פֿאַר אַבדזשעקץ סטאָרידזש, דער רוק אָפּעראַטאָר אין די פּאָד וועט טאָן די פאלגענדע:

radosgw-admin user create --uid="rook-user" --display-name="{{ .Values.s3.username }}"

דער רעזולטאַט פון עקסאַקיוטינג דעם באַפֿעל וועט זיין אַ JSON סטרוקטור:

{
    "user_id": "rook-user",
    "display_name": "{{ .Values.s3.username }}",
    "keys": [
        {
           "user": "rook-user",
           "access_key": "NRWGT19TWMYOB1YDBV1Y",
           "secret_key": "gr1VEGIV7rxcP3xvXDFCo4UDwwl2YoNrmtRlIAty"
        }
    ],
    ...
}

Keys - וואָס צוקונפֿט אַפּלאַקיישאַנז וועט דאַרפֿן צו אַקסעס אַבדזשעקץ סטאָרידזש דורך די S3 API. דער רוק אָפּעראַטאָר סאַלעקץ זיי ליב און לייגט זיי אין זיין נאָמען אין די פאָרעם פון אַ סוד מיט דעם נאָמען rook-ceph-object-user-{{ $.Values.s3.crdName }}-{{ $.Values.s3.username }}.

צו נוצן די דאַטן פון דעם סוד, נאָר לייגן עס צו דעם קאַנטיינער ווי ינווייראַנמענאַל וועריאַבאַלז. ווי אַ בייַשפּיל, איך וועט געבן אַ מוסטער פֿאַר דזשאָב, אין וואָס מיר אויטאָמאַטיש שאַפֿן באַקאַץ פֿאַר יעדער באַניצער סוויווע:

{{- range $bucket := $.Values.s3.bucketNames }}
apiVersion: batch/v1
kind: Job
metadata:
  name: create-{{ $bucket }}-bucket-job
  annotations:
    "helm.sh/hook": post-install
    "helm.sh/hook-weight": "2"
spec:
  template:
    metadata:
      name: create-{{ $bucket }}-bucket-job
    spec:
      restartPolicy: Never
      initContainers:
      - name: waitdns
        image: alpine:3.6
        command: ["/bin/sh", "-c", "while ! getent ahostsv4 rook-ceph-rgw-{{ $.Values.s3.crdName }}; do sleep 1; done" ]
      - name: config
        image: rook/ceph:v1.0.0
        command: ["/bin/sh", "-c"]
        args: ["s3cmd --configure --access_key=$(ACCESS-KEY) --secret_key=$(SECRET-KEY) -s --no-ssl --dump-config | tee /config/.s3cfg"]
        volumeMounts:
        - name: config
          mountPath: /config
        env:
        - name: ACCESS-KEY
          valueFrom:
            secretKeyRef:
              name: rook-ceph-object-user-{{ $.Values.s3.crdName }}-{{ $.Values.s3.username }}
              key: AccessKey
        - name: SECRET-KEY
          valueFrom:
            secretKeyRef:
              name: rook-ceph-object-user-{{ $.Values.s3.crdName }}-{{ $.Values.s3.username }}
              key: SecretKey
      containers:
      - name: create-bucket
        image: rook/ceph:v1.0.0
        command: 
        - "s3cmd"
        - "mb"
        - "--host=rook-ceph-rgw-{{ $.Values.s3.crdName }}"
        - "--host-bucket= "
        - "s3://{{ $bucket }}"
        ports:
        - name: s3-no-sll
          containerPort: 80
        volumeMounts:
        - name: config
          mountPath: /root
      volumes:
      - name: config
        emptyDir: {}
---
{{- end }}

אַלע אַקשאַנז ליסטעד אין דעם אַרבעט זענען דורכגעקאָכט אין די פריימווערק פון Kubernetes. די סטראַקטשערז דיסקרייבד אין YAML טעקעס זענען סטאָרד אין אַ Git ריפּאַזאַטאָרי און ריוזד פילע מאָל. מיר זען דעם ווי אַ ריזיק פּלוס פֿאַר DevOps ענדזשאַנירז און די CI / CD פּראָצעס ווי אַ גאַנץ.

צופרידן מיט רוק און ראַדאָס

ניצן די Ceph + RBD קאָמבינאַציע ימפּאָוזאַז זיכער ריסטריקשאַנז אויף מאַונטינג וואַליומז צו פּאָדס.

אין באַזונדער, די נאַמעספּאַסע מוזן אַנטהאַלטן אַ סוד פֿאַר אַקסעס Ceph אין סדר פֿאַר סטייטפול אַפּלאַקיישאַנז צו פונקציאָנירן. עס איז גוט אויב איר האָבן 2-3 ינווייראַנמאַנץ אין זייער נאָמען ספּייסאַז: איר קענען נאָכמאַכן דעם סוד מאַניואַלי. אָבער וואָס אויב פֿאַר יעדער שטריך אַ באַזונדער סוויווע מיט זיין אייגענע נאָמען איז באשאפן פֿאַר דעוועלאָפּערס?

מיר סאַלווד דעם פּראָבלעם זיך ניצן שאָל-אָפּעראַטאָר, וואָס אויטאָמאַטיש קאַפּיד סיקריץ צו נייַע נאָמען ספּייסאַז (אַ ביישפּיל פון אַזאַ אַ קרוק איז דיסקרייבד אין דעם אַרטיקל).

#! /bin/bash

if [[ $1 == “--config” ]]; then
   cat <<EOF
{"onKubernetesEvent":[
 {"name": "OnNewNamespace",
  "kind": "namespace",
  "event": ["add"]
  }
]}
EOF
else
    NAMESPACE=$(kubectl get namespace -o json | jq '.items | max_by( .metadata.creationTimestamp ) | .metadata.name')
    kubectl -n ${CEPH_SECRET_NAMESPACE} get secret ${CEPH_SECRET_NAME} -o json | jq ".metadata.namespace="${NAMESPACE}"" | kubectl apply -f -
fi

אָבער, ווען ניצן Rook דעם פּראָבלעם פשוט טוט נישט עקסיסטירן. די מאַונטינג פּראָצעס אַקערז ניצן זייַן אייגענע דריווערס באזירט אויף Flexvolum אָדער קסי (נאָך אין ביתא בינע) און דעריבער טוט נישט דאַרפן סיקריץ.

רוק אויטאָמאַטיש סאַלווז פילע פּראָבלעמס, וואָס ינקעראַדזשאַז אונדז צו נוצן עס אין נייַע פּראַדזשעקס.

סידזש פון רוק

לאָמיר פאַרענדיקן דעם פּראַקטיש טייל דורך דיפּלייינג Rook און Ceph אַזוי מיר קענען דורכפירן אונדזער אייגענע יקספּעראַמאַנץ. צו מאַכן עס גרינגער צו שטורעם דעם ימפּרעגנאַבאַל טורעם, די דעוועלאָפּערס האָבן צוגעגרייט אַ העלם פּעקל. לאָמיר עס אראפקאפיע:

$ helm fetch rook-master/rook-ceph --untar --version 1.0.0

אין טעקע rook-ceph/values.yaml איר קענען געפֿינען פילע פאַרשידענע סעטטינגס. די מערסט וויכטיק זאַך איז צו ספּעציפיצירן טאָלעריישאַנז פֿאַר אַגענץ און זוכן. מיר דיסקרייבד אין דעטאַל פֿאַר וואָס די טאַינט / טאָלעריישאַנז מעקאַניזאַם קענען זיין געוויינט דעם אַרטיקל.

אין קורץ, מיר טאָן ניט וועלן די קליענט אַפּלאַקיישאַן פּאָדס צו זיין ליגן אויף די זעלבע נאָודז ווי די דאַטן סטאָרידזש דיסקס. די סיבה איז פּשוט: אַזוי די אַרבעט פון רוק אגענטן וועט נישט ווירקן די אַפּלאַקיישאַן זיך.

אַזוי, עפענען די טעקע rook-ceph/values.yaml מיט דיין באַליבסטע רעדאַקטאָר און לייגן די פאלגענדע בלאָק אין די סוף:

discover:
  toleration: NoExecute
  tolerationKey: node-role/storage
agent:
  toleration: NoExecute
  tolerationKey: node-role/storage
  mountSecurityMode: Any

פֿאַר יעדער נאָדע רעזערווירט פֿאַר דאַטן סטאָרידזש, לייגן די קאָראַספּאַנדינג טאַם:

$ kubectl taint node ${NODE_NAME} node-role/storage="":NoExecute

דערנאָך ינסטאַלירן די העלם טשאַרט מיט דעם באַפֿעל:

$ helm install --namespace ${ROOK_NAMESPACE} ./rook-ceph

איצט איר דאַרפֿן צו שאַפֿן אַ קנויל און ספּעציפיצירן דעם אָרט אָסד:

apiVersion: ceph.rook.io/v1
kind: CephCluster
metadata:
  clusterName: "ceph"
  finalizers:
  - cephcluster.ceph.rook.io
  generation: 1
  name: rook-ceph
spec:
  cephVersion:
    image: ceph/ceph:v13
  dashboard:
    enabled: true
  dataDirHostPath: /var/lib/rook/osd
  mon:
    allowMultiplePerNode: false
    count: 3
  network:
    hostNetwork: true
  rbdMirroring:
    workers: 1
  placement:
    all:
      tolerations:
      - key: node-role/storage
        operator: Exists
  storage:
    useAllNodes: false
    useAllDevices: false
    config:
      osdsPerDevice: "1"
      storeType: filestore
    resources:
      limits:
        memory: "1024Mi"
      requests:
        memory: "1024Mi"
    nodes:
    - name: host-1
      directories:
      - path: "/mnt/osd"
    - name: host-2
      directories:
      - path: "/mnt/osd"
    - name: host-3
      directories:
      - path: "/mnt/osd"

קאָנטראָלירונג Ceph סטאַטוס - דערוואַרטן צו זען HEALTH_OK:

$ kubectl -n ${ROOK_NAMESPACE} exec $(kubectl -n ${ROOK_NAMESPACE} get pod -l app=rook-ceph-operator -o name -o jsonpath='{.items[0].metadata.name}') -- ceph -s

אין דער זעלביקער צייט, לאָמיר קאָנטראָלירן אַז די פּאָדס מיט די קליענט אַפּלאַקיישאַן טאָן ניט סוף אַרויף אויף נאָודז רעזערווירט פֿאַר Ceph:

$ kubectl -n ${APPLICATION_NAMESPACE} get pods -o custom-columns=NAME:.metadata.name,NODE:.spec.nodeName

דערצו, נאָך קאַמפּאָונאַנץ קענען זיין קאַנפיגיערד ווי געוואלט. מער דעטאַילס וועגן זיי זענען געוויזן אין דאַקיומענטיישאַן. פֿאַר אַדמיניסטראַציע, מיר רעקאָמענדירן צו ינסטאַלירן די דאַשבאָרד און מכשירים.

רוק ס און כוקס: איז רוק גענוג פֿאַר אַלץ?

ווי איר קענען זען, די אַנטוויקלונג פון Rook איז אין פול סווינג. אָבער עס זענען נאָך פּראָבלעמס וואָס טאָן ניט לאָזן אונדז גאָר פאַרלאָזן די מאַנואַל קאַנפיגיעריישאַן פון Ceph:

• קיין רוקן דרייווער קענען ניט אַרויספירן מעטריקס אויף די נוצן פון מאָונטעד בלאַקס, וואָס דיפּרייווז אונדז מאָניטאָרינג.
• Flexvolum און CSI טאָן ניט וויסן ווי טוישן די גרייס פון וואַליומז (ווי קעגן צו דער זעלביקער רבד), אַזוי רוק איז דיפּרייווד פון אַ נוציק (און מאל קריטיקאַלי דארף!) געצייַג.
• רוק איז נאָך נישט ווי פלעקסאַבאַל ווי רעגולער סעף. אויב מיר ווילן צו קאַנפיגיער די בעקן פֿאַר CephFS מעטאַדאַטאַ צו זיין סטאָרד אויף SSD, און די דאַטן זיך צו זיין סטאָרד אויף הדד, מיר דאַרפֿן צו פאַרשרייַבן באַזונדער גרופּעס פון דעוויסעס אין CRUSH מאַפּס מאַניואַלי.
• טראָץ דער פאַקט אַז רוק-סעף-אָפּעראַטאָר איז געהאלטן סטאַביל, עס זענען דערווייַל עטלעכע פראבלעמען ווען אַפּגריידינג Ceph פון ווערסיע 13 צו 14.

פיינדינגז

"איצט רוק איז פארמאכט פון די דרויסנדיק וועלט דורך פּאָנז, אָבער מיר גלויבן אַז איין טאָג זי וועט שפּילן אַ באַשטימענדיק ראָלע אין דער שפּיל!" (ציטירן ינווענטיד ספּאַסיפיקלי פֿאַר דעם אַרטיקל)

די Rook פּרויעקט האט בלי וואַן אונדזער הערצער - מיר גלויבן אַז [מיט אַלע זייַן פּראָס און קאָנס] עס באשטימט פארדינט דיין ופמערקזאַמקייַט.

אונדזער צוקונפֿט פּלאַנז קאָכן אַראָפּ צו מאַכן רוק-סעף אַ מאָדולע פֿאַר אַדדאָן-אָפּעראַטאָר, וואָס וועט מאַכן זייַן נוצן אין אונדזער סך קובערנעטעס קלאַסטערז אפילו סימפּלער און מער באַקוועם.

פּס

לייענען אויך אויף אונדזער בלאָג:

• «רוק - "זיך-דינסט" דאַטן ווערכאַוס פֿאַר Kubernetes";
• «קריייטינג פּערסיסטענט סטאָרידזש מיט פּראַוויזשאַנז אין Kubernetes באזירט אויף Ceph";
• «דאַטאַבייסיז און קובערנעטעס (יבערבליק און ווידעא באַריכט)";
• «ינטראָודוסינג שאָל אָפּעראַטאָר: קריייטינג אָפּערייטערז פֿאַר Kubernetes איז פּונקט גרינגער";
• «אָפּערייטערז פֿאַר Kubernetes: ווי צו לויפן סטאַטעפול אַפּלאַקיישאַנז'.

מקור: www.habr.com