Orquesta de rendimiento

No es falso decir que las mejores personas
ganar alegría a través del sufrimiento.
Ludwig van Beethoven

Soy Sergey, trabajo en Yandex. Dinero en un equipo de investigación de rendimiento. Quiero contarles el comienzo de una historia sobre nuestro camino hacia el uso de la orquestación: cómo elegimos los instrumentos y lo que tomamos en cuenta. Todos los eventos del artículo tienen lugar en tiempo real, por lo que ustedes, queridos lectores, siguen el desarrollo de la situación casi en vivo.

¿Por qué necesitamos un conductor en el equipo?

¿Quién es un conductor? De fr. diriger - administrar, dirigir, liderar - en el mundo de la música - esta es una persona, el líder del aprendizaje y la interpretación de la música de conjunto. En nuestro caso, este lugar está ocupado por sistemas de orquestación y automatización.

Su papel no es diferente del papel del director de orquesta en la música: son necesarios para ayudar al equipo, dirigir y organizar su obra.

Como regla general, un equipo tiene un cierto conjunto de capacidades, llamémosles servidores en los que implementan sus proyectos.

El enfoque para obtener y operar estos servidores es diverso. Algunos ejemplos

• El equipo realiza una solicitud, por ejemplo, al grupo de operaciones, para proporcionarles recursos con ciertos parámetros.
• El grupo de operación les proporciona la cantidad requerida (nube o metal desnudo ("metal desnudo") y se compromete a mantenerlos en buenas condiciones de acuerdo con el SLA. El ajuste también lo realiza el equipo de operaciones.
• El equipo recibe solo recursos en la nube o bare metal del grupo de operación; realiza su propia configuración.
• El equipo mismo "compra" recursos y los apoya / configura de forma completamente independiente.

Nuestro equipo utiliza servidores que necesitan soporte: actualice el sistema operativo, instale nuevos paquetes, etc.

Para nosotros, los distinguimos en dos tipos principales:

• grupo de tanques
• grupo de servicio

El grupo de tanques consta de hosts con Yandex.Tank.

El grupo de servicios incluye todo lo relacionado con el mantenimiento: estos son varios servicios para proporcionar soporte para el ciclo de lanzamiento, generar informes automáticos, etc.

En un momento, todo se volvió inconveniente para administrar todo esto manualmente, y pensamos en automatizar todo el proceso, comenzando por "cargar" los servidores y terminando con el desarrollo, diseño y lanzamiento de nuestro servicio interno.

¿Por qué se necesita un director, incluso si la orquesta misma puede tocar?

Para empezar, dominamos Ansible y comenzamos a "verter" nuestros servidores básicos para que sean menos dependientes de los administradores del sistema: todos ganan aquí, adquirimos nuevas habilidades y liberamos a los administradores de la parte del trabajo que siempre tienen sin nosotros. Nos esforzamos por desarrollar nuestro equipo fuera de nuestra especialidad y autonomía tanto como sea posible.

La compañía ha estado trabajando con Ansible durante mucho tiempo ya establecida y regulada, por lo que integramos fácilmente nuestra solución en este proceso.

El alojamiento ahora consta de tres roles de Ansible:

• el primer rol instala el sistema operativo,
• el segundo despliega la configuración básica para el host, la autorización LDAP, por ejemplo,
• y el tercero instala Yandex.Tank y las dependencias relacionadas en el contenedor docker.

Pasemos a los servicios que usamos dentro del equipo.

Para nuestras tareas, utilizamos igualmente Kotlin y Python, y un poco más de Golang. Para unificar el desarrollo y la implementación de nuestros servicios, decidimos empacarlos en contenedores acoplables. Esto le da libertad para elegir un lenguaje de programación y al mismo tiempo regula el formato de entrega uniforme de su aplicación.

Un pequeño comentario sobre ipv6 en Docker

Algunos de los servicios con los que interactuamos están disponibles solo a través de ipv6, por lo que tuve que descubrir cómo hacer ipv6 para contenedores.

De acuerdo con la documentación para ipv6 en el sitio web oficial de Docker, ipv6 se habilita agregando parámetros a daemon.json:

{ "ipv6": true, "fixed-cidr-v6": "2001:db8:1::/64" } 

En este caso, el proveedor debe emitir la subred ipv6, que fixed-cidr-v6. en fixed-cidr-v6.
Sin embargo, elegimos otra opción: ipv6 NAT, y he aquí por qué:

• Ahora docker no se puede usar solo con ipv6.
• La presencia de una dirección globalmente enrutable en cada contenedor significa que todos los puertos (incluso los no publicados) estarán disponibles para todos si no se realiza un filtrado adicional.
• proxy de userland para puertos de publicación, iptables solo para ipv4 .

ipv6 NAT es un contenedor acoplable que administra las reglas en ip6tables y las edita cuando se agrega un nuevo contenedor.

Para que esta solución funcione correctamente, se tuvieron que realizar varias manipulaciones. Asegúrese de inicializar ip6table_nat en el sistema. La presencia de un módulo instalado en el sistema no garantiza que, al inicio, el módulo se cargará en el núcleo. Nos encontramos con esto cuando recibimos este error al iniciar un contenedor con NAT en un host nuevo:

 2019/01/22 14:59:54 running [/sbin/ip6tables -t filter -N DOCKER --wait]: exit status 3: modprobe: can't change directory to '/lib/modules': No such file or directory ip6tables v1.6.2: can't initialize ip6tables table `filter': Table does not exist (do you need to insmod?) 

El problema se resolvió después de agregar la inicialización a la función Ansible usando el módulo modprobe y cargarlo al inicio usando lineinfile:

 - name: Add ip6table_nat module modprobe: name: ip6table_nat state: present - name: Add ip6table_nat to boot lineinfile: path: /etc/modules line: 'ip6table_nat' 

Por cierto, hay un buen artículo sobre Haber, que describe breve y claramente las ventajas y desventajas de un método particular para trabajar con ipv6 en Docker.

Pero volviendo a nuestra pregunta formulada al principio:
¿Por qué se necesita un director, incluso si la orquesta misma puede tocar?

Ahora todos saben cómo jugar en nuestro equipo:

• se crea el proceso de "llenar" los servidores,
• El desarrollo y despliegue de servicios están unificados.

Surge una pregunta razonable: ¿cómo implementar, actualizar y controlar nuestros servicios en contenedores acoplables de manera eficiente y lo más automatizada posible?

A pesar de que cada miembro de la orquesta conoce su propia parte, puede extraviarse, alejarse de la idea original. Aquí llegamos al hecho de que sin un director de orquesta, nuestra orquesta no ensayará y tocará armoniosamente. El conductor es responsable de todos los parámetros de rendimiento, para garantizar que todo esté unido por un solo ritmo y estado de ánimo.

¿Cómo conseguir un buen conductor con una inversión mínima?

El tema de la orquestación está bien desarrollado en el mercado. Pero primero, hablemos sobre las herramientas de apoyo que pueden ayudar al conductor.

Consul es un sistema que proporciona dos funciones principales:

• descubrimiento de servicio
• almacenamiento distribuido de valor-clave.

En nuestra orquesta, el Cónsul será responsable de registrar los servicios y almacenar sus configuraciones. Hay dos opciones de registro:

• Activo: esto es cuando el servicio en sí se registra utilizando la API HTTP;
• Pasivo: el servicio debe registrarse manualmente.

Vault es un repositorio que estandariza y unifica el almacenamiento seguro y trabaja con secretos: contraseñas, certificados.
Estos son los beneficios que obtendremos con esta herramienta:

• Un único centro para crear y guardar secretos, gestionando su ciclo de vida a través de la API HTTP.
• Transit Secrets Engine: cifrado-descifrado de datos sin guardarlos. La capacidad de transmitir datos en forma cifrada a través de canales de comunicación no seguros.
• Políticas de acceso convenientes para configurar.
• Auditar el acceso a los secretos.
• Capacidad para crear su propia CA (Autoridad de certificación) para administrar certificados autofirmados dentro de su infraestructura.

Teniendo en cuenta todos nuestros requisitos, dos opciones se adaptaron al papel de director: Kubernetes y Nomad.

Kubernetes

Cuántos artículos y libros ya se han escrito sobre él (este, por ejemplo), se han informado informes que escribiré en resumen: esta es una combinación universal que puede hacer casi cualquier cosa. Pagar por ello no siempre es fácil de configurar y soportar un clúster en Kubernetes.

Nómada

La herramienta es de HashiCorp, una compañía conocida por el cónsul y la bóveda mencionados anteriormente.

Nomad nos pareció bastante simple de instalar y configurar que Kubernetes. Un archivo binario funciona tanto en modo servidor como en modo cliente. Al mismo tiempo, Nomad cubre la lista completa de tareas que queremos que resuelva: administración de clústeres, planificador rápido, soporte para centros múltiples. Además, cuando usamos cónsul y bóveda, obtenemos una integración más estrecha para orquestar nuestros servicios.

Lo que ahora está en el trabajo:

• preparó los servidores para el despliegue de cónsul,
• la configuración del clúster nómada se ingresará en Cónsul, con lo cual el nómada se implementará automáticamente,
• Paralelamente, instalaremos una bóveda para guardar secretos.

La pregunta en la sala es si vale la pena tener un director para tales tareas o si una orquesta es buena sin ella. Cuéntanos en los comentarios lo que piensas sobre esto.

Suscríbase a nuestro blog y manténgase en contacto: pronto le diremos qué sucedió al final y si configuramos el clúster nómada, como queríamos.

Visite nuestra acogedora sala de chat de telegramas donde siempre puede pedir consejos, ayudar a colegas y simplemente hablar sobre investigación de desempeño y más.