🕒 🔕 🙇🏿 यह फुटपाथ कंटेनर यहाँ [कुबेरनेट्स पर] कैसे मिला? 🏪 👩‍👩‍👦 👩🏾‍⚖️

लगभग। ट्रांस। : इस लेख के साथ, डॉव जोन्स के एक इंजीनियर स्कॉट राहनर द्वारा लिखित, हम कई सामग्रियों की श्रृंखला जारी रखते हैं जो बताते हैं कि कुबेरनेट कैसे काम करता है, इसके मूल घटक कैसे काम करते हैं, परस्पर जुड़े हुए हैं और उपयोग किए जाते हैं। इस बार यह कुबेरनेट्स में एक हुक बनाने के लिए नमूना कोड के साथ एक व्यावहारिक नोट है, लेखक द्वारा "बहाने पर" स्वचालित रूप से साइडकार कंटेनर बनाने के लिए प्रदर्शित किया गया है।

(इंटरनेट पर मिली गॉर्डन ए। मैक्सवेल की फोटो।)

जब मैंने साइडकार कंटेनर और सर्विस मेष का अध्ययन करना शुरू किया, तो मुझे यह समझने की आवश्यकता थी कि प्रमुख तंत्र कैसे काम करता है - एक साइडकार कंटेनर का स्वचालित सम्मिलन। दरअसल, इस्तियो या कंसूल जैसी प्रणालियों का उपयोग करने के मामले में, जब आवेदन के साथ कंटेनर को तैनात किया जाता है, तो पहले से ही कॉन्फ़िगर किया गया Envoy कंटेनर अचानक इसकी फली में दिखाई देता है (एक समान स्थिति Conduit के साथ होती है, जिसे हमने वर्ष की शुरुआत में लिखा था - लगभग अनुवाद।) । क्या? कैसे? इसलिए मेरा शोध शुरू हुआ ...

जो लोग नहीं जानते हैं, उनके लिए एक साइड-कंटेनर एक कंटेनर होता है, जो किसी भी तरह से इस एप्लिकेशन को "सहायता" करने के लिए आवेदन के कंटेनरों के बगल में तैनात किया जाता है। इस तरह के उपयोग का एक उदाहरण यातायात के प्रबंधन और TLS सत्रों को समाप्त करने के लिए एक प्रॉक्सी है, स्ट्रीमिंग लॉग्स और मेट्रिक्स के लिए एक कंटेनर, सुरक्षा समस्याओं को स्कैन करने के लिए एक कंटेनर ... विचार प्रत्येक तर्क के लिए अलग-अलग कंटेनरों का उपयोग करके व्यावसायिक तर्क से संपूर्ण अनुप्रयोग के विभिन्न पहलुओं को अलग करना है। समारोह।

आगे बढ़ने से पहले, मैं अपनी उम्मीदों को रेखांकित करूंगा। इस लेख का उद्देश्य डॉकर, कुबेरनेट्स, सेवा जाल आदि की पेचीदगियों और उपयोग परिदृश्यों की व्याख्या करना नहीं है, बल्कि इन प्रौद्योगिकियों की क्षमताओं का विस्तार करने के लिए एक शक्तिशाली दृष्टिकोण का प्रदर्शन करना है। लेख उन लोगों के लिए है जो पहले से ही इन प्रौद्योगिकियों के उपयोग से परिचित हैं या, कम से कम, उनके बारे में बहुत कुछ पढ़ चुके हैं। कार्रवाई में व्यावहारिक भाग की कोशिश करने के लिए, आपको पहले से कॉन्फ़िगर किए गए डॉकर और कुबेरनेट्स के साथ एक मशीन की आवश्यकता होगी। ऐसा करने का सबसे आसान तरीका है https://docs.docker.com/docker-for-windows/kubernetes/ (एक विंडोज़ मैनुअल जो मैक के लिए डॉकर के साथ काम करता है)। (नोट perev .: लिनक्स और * निक्स-सिस्टम के उपयोगकर्ताओं के विकल्प के रूप में हम मिनिक्यूब की पेशकश कर सकते हैं।)

कुल मिलाकर तस्वीर

आरंभ करने के लिए, आइए कुबेरनेट पर एक नज़र डालें:

क्यूब आर्क को CC बाय 4.0 के तहत लाइसेंस दिया गया

जब आप कुबेरनेट्स के लिए कुछ तैनात करने का इरादा रखते हैं, तो आपको ऑब्जेक्ट को क्यूब-अपीज़र पर भेजना होगा। यह सबसे अधिक बार तर्क करने के लिए या एक YAML फ़ाइल को kubectl से गुजरते हुए किया जाता है। इस स्थिति में, API सर्वर डेटा को सीधे वॉर्ड में रखने और संबंधित कार्यों को शेड्यूल करने से पहले कई चरणों से गुजरता है:

यह अनुक्रम यह समझना महत्वपूर्ण है कि साइडकार कंटेनर सम्मिलन कैसे काम करता है। विशेष रूप से, आपको प्रवेश नियंत्रण पर ध्यान देने की आवश्यकता है, जिसमें कुबेरनेट्स सत्यापन करते हैं और यदि आवश्यक हो, तो उन्हें संग्रहीत करने से पहले वस्तुओं को संशोधित करता है (इस चरण के बारे में अधिक जानकारी के लिए, इस आलेख में अध्याय "पहुंच नियंत्रण" देखें - लगभग। अनुवाद। अनुवाद।) कुबेरनेट्स आपको वेबहूक को पंजीकृत करने की अनुमति देता है जो उपयोगकर्ता द्वारा परिभाषित सत्यापन और म्यूटेशन कर सकता है ।

हालांकि, आपके हुक बनाने और पंजीकरण करने की प्रक्रिया इतनी सरल और अच्छी तरह से प्रलेखित नहीं है। मुझे दस्तावेज़ीकरण पढ़ने और फिर से पढ़ने, साथ ही साथ इस्तियो और कौंसल कोड का विश्लेषण करने में कई दिन बिताने पड़े। और जब यह कुछ एपीआई प्रतिक्रियाओं के लिए कोड में आया, तो मैंने यादृच्छिक परीक्षण और त्रुटि करते हुए कम से कम आधा दिन बिताया।

परिणाम प्राप्त होने के बाद, मुझे लगता है कि आप सभी के साथ इसे साझा नहीं करना अनुचित होगा। यह सरल है और एक ही समय में प्रभावी है।

कोड

नाम webhook खुद के लिए बोलता है - यह एक HTTP समापन बिंदु है जो कुबेरनेट्स में परिभाषित एपीआई को लागू करता है। आप एक API सर्वर बना रहे हैं जिसे Kubernetes Deployments से निपटने से पहले कॉल कर सकते हैं। मुझे यहां कठिनाइयों से निपटना था, क्योंकि केवल कुछ उदाहरण उपलब्ध हैं, जिनमें से कुछ कुबेरनेट्स की सिर्फ इकाई परीक्षण हैं, अन्य एक विशाल कोड बेस के बीच में छिपे हुए हैं ... और सभी गो में लिखे गए हैं। लेकिन मैंने एक और किफायती विकल्प चुना - Node.js:

const app = express(); app.use(bodyParser.json()); app.post('/mutate', (req, res) => { console.log(req.body) console.log(req.body.request.object) let adminResp = {response:{ allowed: true, patch: Buffer.from("[{ \"op\": \"add\", \"path\": \"/metadata/labels/foo\", \"value\": \"bar\" }]").toString('base64'), patchType: "JSONPatch", }} console.log(adminResp) res.send(adminResp) }) const server = https.createServer(options, app);

( index.js )

एपीआई के लिए रास्ता - इस मामले में /mutate - मनमाना हो सकता है (यह भविष्य में केवल कुबेरनेट्स को दिए गए YAML के अनुरूप होना चाहिए)। एपीआई सर्वर से प्राप्त JSON को देखना और समझना उसके लिए महत्वपूर्ण है। इस मामले में, हम JSON से कुछ भी नहीं निकाल रहे हैं, लेकिन यह अन्य परिदृश्यों में काम आ सकता है। उपरोक्त कोड में, हम JSON अपडेट करते हैं। इसके लिए दो चीजों की जरूरत है:

JSON पैच जानें और समझें।
बेस 64 के साथ एन्कोड किए गए बाइट्स के एक सरणी में एक JSON पैच अभिव्यक्ति को सही ढंग से परिवर्तित करें।

एक बार यह हो जाने के बाद, आपको बस इतना करना होगा कि एपीआई सर्वर की प्रतिक्रिया बहुत ही साधारण वस्तु से हो। इस मामले में, हम किसी भी पॉड में लेबल foo=bar जोड़ते हैं जो हमारे पास आता है।

तैनाती

खैर, हमारे पास कोड है जो कुबेरनेट एपीआई सर्वर के अनुरोधों को स्वीकार करता है और उन्हें जवाब देता है, लेकिन इसे कैसे तैनात किया जाए? और इन अनुरोधों को पुनर्निर्देशित करने के लिए कुबेरनेट्स कैसे प्राप्त करें? आप इस तरह के समापन बिंदु को कुबेरनेट्स एपीआई सर्वर तक पहुंच सकते हैं। सबसे सरल तरीका है कि कोड को कुबेरनेट समूह में ही तैनात किया जाए, जो हम इस उदाहरण में करेंगे। मैंने उदाहरण को यथासंभव सरल बनाने की कोशिश की, इसलिए सभी कार्यों के लिए मैं केवल डॉकर और कुबेकल का उपयोग करता हूं। चलो एक कंटेनर बनाकर शुरू करते हैं जिसमें कोड चलेगा:

 FROM node:8 USER node WORKDIR /home/node COPY index.js . COPY package.json . RUN npm install #       TLS CMD node index.js

( डॉकरीफाइल )

जाहिर है, यहां सब कुछ बहुत सरल है। नोड से समुदाय की छवि लें और उसमें कोड ड्रॉप करें। अब आप एक साधारण सभा कर सकते हैं:

 docker build . -t localserver

अगला कदम कुबेरनेट्स में एक तैनाती बनाने के लिए है:

 apiVersion: apps/v1 kind: Deployment metadata: name: webhook-server spec: replicas: 1 selector: matchLabels: component: webhook-server template: metadata: labels: component: webhook-server spec: containers: - name: webhook-server imagePullPolicy: Never image: localserver

( तैनाती। श्यामल )

ध्यान दें कि जिस छवि को हमने अभी बनाया है, हम उससे कैसे जुड़े? यह बस एक फली हो सकती है, और कुछ और जिसे हम कुबेरनेट में एक सेवा से जोड़ सकते हैं। अब इस सेवा को परिभाषित करें:

 apiVersion: v1 kind: Service metadata: name: webhook-service spec: ports: - port: 443 targetPort: 8443 selector: component: webhook-server

तो कुबेरनेट्स में, एक समापन बिंदु एक आंतरिक नाम के साथ दिखाई देता है जो हमारे कंटेनर को इंगित करता है। अंतिम चरण कुबेरनेट्स को यह बताना है कि हम चाहते हैं कि एपीआई सर्वर इस सेवा को कॉल करे जब यह परिवर्तन करने के लिए तैयार हो:

 apiVersion: admissionregistration.k8s.io/v1beta1 kind: MutatingWebhookConfiguration metadata: name: webhook webhooks: - name: webhook-service.default.svc failurePolicy: Fail clientConfig: service: name: webhook-service namespace: default path: "/mutate" #    base64-  rootCA.crt #    `cat rootCA.crt | base64 | tr -d '\n'` #    .  caBundle: "==" rules: - operations: [ "CREATE" ] apiGroups: [""] apiVersions: ["v1"] resources: ["pods"]

( हुक.यामल )

यहाँ नाम और रास्ता कोई भी हो सकता है, लेकिन मैंने उन्हें यथासंभव सार्थक बनाने की कोशिश की। पथ बदलने का अर्थ होगा जावास्क्रिप्ट में संबंधित कोड को संशोधित करना। Webhook failurePolicy Policy भी failurePolicy - यह निर्धारित करता है कि क्या हुक या त्रुटि वापस आने पर ऑब्जेक्ट को बचाया जाना चाहिए या नहीं। इस मामले में, हम कुबेरनेट्स को प्रसंस्करण जारी नहीं रखने के लिए कह रहे हैं। अंत में, नियम: वे बदलेंगे जिनके आधार पर एपीआई आपको कुबेरनेट से कार्रवाई की उम्मीद करता है। इस मामले में, चूंकि हम एक साइडकार कंटेनर के सम्मिलन का अनुकरण करने की कोशिश कर रहे हैं, हमें पॉड बनाने के लिए अनुरोधों को रोकना होगा।

वह सब है! इतना सरल ... लेकिन सुरक्षा के बारे में क्या? आरबीएसी एक ऐसा पहलू है जो लेख में शामिल नहीं है। मुझे लगता है कि आप उदाहरण के लिए मिनिक्यूब या कुबेरनेट्स में चल रहे हैं, जो विंडोज / मैक के लिए डॉकर के साथ आता है। हालांकि, मैं आपको एक और आवश्यक तत्व के बारे में बताऊंगा। Kubernetes API सर्वर HTTPS के साथ केवल समापन बिंदु तक पहुंचता है, इसलिए एप्लिकेशन को SSL प्रमाणपत्र की आवश्यकता होती है। आपको कुबेरनेट्स को यह बताने की भी आवश्यकता होगी कि रूट प्रमाणपत्र का प्रमाणीकरण प्राधिकारी कौन है।

टीएलएस

केवल प्रदर्शन उद्देश्यों के लिए (!!!), मैंने रूट CA बनाने के लिए Dockerfile कुछ कोड जोड़ा और इसका उपयोग प्रमाण पत्र पर हस्ताक्षर करने के लिए किया:

 RUN openssl genrsa -out rootCA.key 4096 RUN openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt \ -subj "/C=US/ST=New Jersey/L=Princeton /O=Dow Jones/OU=PIB/CN=*.default.svc/emailAddress=scott.rahner@dowjones.com" RUN openssl genrsa -out webhook.key 4096 RUN openssl req -new -key webhook.key -out webhook.csr \ -subj "/C=US/ST=New Jersey/L=Princeton /O=Dow Jones/OU=PIB/CN=webhook-service.default.svc/emailAddress=scott.rahner@dowjones.com" RUN openssl x509 -req -in webhook.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out webhook.crt -days 1024 -sha256 RUN cat rootCA.crt | base64 | tr -d '\n'

( डॉकरीफाइल )

कृपया ध्यान दें: अंतिम चरण मूल CA के साथ एकल लाइन को प्रदर्शित करने के लिए है जो base64 में एन्कोडेड है। यह वही है जो हुक कॉन्फ़िगरेशन के लिए आवश्यक है, इसलिए आपके आगे के परीक्षणों में, इस लाइन को caBundle फ़ाइल के caBundle फ़ील्ड में कॉपी करना सुनिश्चित करें। Dockerfile प्रमाणपत्र को सीधे Dockerfile फेंक WORKDIR , इसलिए जावास्क्रिप्ट बस उन्हें वहां से ले जाता है और सर्वर के लिए इसका उपयोग करता है:

 const privateKey = fs.readFileSync('webhook.key').toString(); const certificate = fs.readFileSync('webhook.crt').toString(); //… const options = {key: privateKey, cert: certificate}; const server = https.createServer(options, app);

अब कोड HTTPS लॉन्च का समर्थन करता है, और कुबेरनेट्स को यह भी बताया कि हमें कहां ढूंढना है और कौन से ट्रस्ट को भरोसा करना है। यह केवल एक क्लस्टर में इसे एम्बेड करने के लिए ही रहता है:

 kubectl create -f deployment.yaml kubectl create -f service.yaml kubectl create -f hook.yaml

संक्षेप में प्रस्तुत करना

Deployment.yaml एक कंटेनर लॉन्च करता है जो HTTPS पर हुक एपीआई का कार्य करता है और ऑब्जेक्ट को संशोधित करने के लिए JSON पैच देता है।
Service.yaml कंटेनर के लिए एक समापन बिंदु प्रदान करता है - webhook-service.default.svc ।
Hook.yaml एपीआई सर्वर को बताता है कि हमें कहां खोजना है: https://webhook-service.default.svc/mutate ।

चलो व्यापार में कोशिश करो!

सब कुछ एक क्लस्टर में तैनात है - यह कार्रवाई में कोड की कोशिश करने का समय है, जिसे हम एक नई फली / तैनाती को जोड़कर करेंगे। यदि सब कुछ सही ढंग से काम करता है, तो हुक को एक अतिरिक्त लेबल foo जोड़ना होगा:

 apiVersion: apps/v1 kind: Deployment metadata: name: test spec: replicas: 1 selector: matchLabels: component: test template: metadata: labels: component: test spec: containers: - name: test image: node:8 command: [ "/bin/sh", "-c", "--" ] args: [ "while true; do sleep 30; done;" ]

( test.yaml )

 kubectl create -f test.yaml

ठीक है, हमने deployment.apps test created देखा है। deployment.apps test created ... लेकिन क्या यह काम किया?

 kubectl describe pods test Name: test-6f79f9f8bd-r7tbd Namespace: default Node: docker-for-desktop/192.168.65.3 Start Time: Sat, 10 Nov 2018 16:08:47 -0500 Labels: component=test foo=bar

अद्भुत! यद्यपि test.yaml को एक एकल लेबल ( component ) दिया गया था, जिसके परिणामस्वरूप फली को दो: component और foo ।

घर का पाठ

लेकिन रुकिए! क्या हम इस कोड का उपयोग करने के लिए एक फुटपाथ कंटेनर बनाने जा रहे हैं? मैंने चेतावनी दी है कि मैं दिखाऊंगा कि कैसे सीडर जोड़ने के लिए ... और अब, ज्ञान और कोड के साथ: https://github.com/dowjones/k8s-webhook - प्रयोग करने के लिए स्वतंत्र महसूस करें और यह पता लगाएं कि आपके स्वचालित रूप से सम्मिलित किए गए कैसे बनाने के लिए। यह काफी सरल है: आपको बस सही JSON पैच तैयार करने की आवश्यकता है, जो परीक्षण परिनियोजन में एक अतिरिक्त कंटेनर जोड़ देगा। हैप्पी ऑर्केस्ट्रेशन!

अनुवादक से पी.एस.

हमारे ब्लॉग में भी पढ़ें:

“ तो कुबेरनेट्स में एक फली क्या है? ";
" कुबेरनेट्स में उच्च उपलब्धता कैसे प्रदान की जाती है ";
" कुबेरनेट्स अनुसूचक वास्तव में कैसे काम करता है?" ";
"कुबेरनेट्स में क्या होता है जब कुबेटेल रन शुरू होता है?" भाग 1 और भाग 2 ;
" कुबेरनेट्स पर आरबीएसी को समझना ";
" छोटी परियोजनाओं में कुबेरनेट्स के साथ हमारा अनुभव " (वीडियो रिपोर्ट, जिसमें कुबेरनेट्स के तकनीकी उपकरण का परिचय शामिल है) ;
“ सेवा जाल क्या है और मुझे इसकी आवश्यकता क्यों है? "।

यह फुटपाथ कंटेनर यहाँ [कुबेरनेट्स पर] कैसे मिला?