लोड संतुलन, स्केलेबिलिटी सुनिश्चित करने और दोष सहिष्णुता बढ़ाने के लिए, सहायक उपकरणों का उपयोग किया जा सकता है - ऑर्केस्ट्रेटर। उनमें से, कुबेरनेट्स सेवा अब बहुत लोकप्रिय है। व्यवहार में इसे आज़माने का सबसे आसान तरीका है कि इसे क्लाउड में तैनात किया जाए, जिसे हम आज करेंगे।

नोट: हम हैकर पत्रिका से लेखों के पूर्ण संस्करणों के प्रकाशन की श्रृंखला जारी रखते हैं। लेखक की वर्तनी और विराम चिह्न सहेजे गए।

AKS का विस्तार करें

हम एज़्योर पोर्टल पर जाते हैं , "संसाधन बनाएँ" पर क्लिक करें और कुबेरनेट्स सेवा नामक एक सेवा खोजें।

अपने स्वाद के लिए नाम और उपसर्ग DNS चुनें। नाम प्रभावित करता है कि आप अपने क्लस्टर तक कैसे पहुंचेंगे, लेकिन उपसर्ग इसके FQDN पते को प्रभावित करता है।

सबसे सस्ती आभासी मशीन वर्तमान में $ 30 प्रति माह खर्च करती है।

दूसरा कदम सर्विस प्रिंसिपल बनाना है। सेवा प्रधान एक प्रकार का सेवा खाता है जिसके अंतर्गत कुछ विशिष्ट कार्य किए जा सकते हैं। फायदा यह है कि ऐसे खाते के अधिकार सीमित हो सकते हैं। इसके अलावा, आप ऐसे किसी भी खाते को बना सकते हैं (जबकि नियमित खातों की संख्या सदस्यता द्वारा सीमित है)। आप ऐप पंजीकरण के बीच सक्रिय निर्देशिका में बनाए गए सेवा प्रमुख खाते पा सकते हैं।

RBAC (भूमिका-आधारित अभिगम नियंत्रण) विशिष्ट संसाधनों (या संसाधन समूहों) तक सीमित या पहुंच प्रदान करने की क्षमता है। यही है, आप यह भेद कर सकते हैं कि आपकी सदस्यता के किन उपयोगकर्ताओं के पास अधिकार हैं और जो नहीं करते हैं।

फिलहाल, प्रक्रिया में लगभग 20 मिनट लगते हैं, लेकिन सब कुछ कॉन्फ़िगरेशन पर निर्भर हो सकता है।

लिंक का पालन करके आधिकारिक गाइड का पता लगाएं
पोर्टल का उपयोग करके AKS क्लस्टर बनाएं
सीएलआई का उपयोग करके एक एकेएस क्लस्टर बनाना

काम करने के लिए, हमें एज़्योर कमांड लाइन - सीएलआई (कमांड लाइन इंटरफ़ेस) की आवश्यकता है। यह विंडोज के तहत और मैकओएस या लिनक्स के तहत दोनों को स्थापित किया जा सकता है। व्यक्तिगत रूप से, मैं एज़्योर क्लाउड शेल का उपयोग करना पसंद करता हूं। यह वह कमांड लाइन है जो ब्राउज़र में लोड एज़्योर पोर्टल पेज से चलती है। काम करने के लिए, इसे बनाई गई बूँद भंडारण की आवश्यकता होती है। इसकी लागत प्रति माह कुछ सेंट होगी और इसलिए मैं अपनी कार पर सीएलआई स्थापित करने के बारे में चिंता नहीं करना पसंद करता हूं।

कुबेरनेट्स विभिन्न कंटेनर प्रौद्योगिकियों का समर्थन करता है, लेकिन चलो सबसे लोकप्रिय एक को देखते हैं - डॉकर। docker.hub आपको मुफ्त में एक निजी docker छवि संग्रहीत करने की अनुमति देता है। यदि आपको अधिक आवश्यकता है, तो आप उन्हें पैसे के लिए रख सकते हैं। लेकिन पैसे के लिए, एक निजी डॉकटर छवि को एज़्योर कंटेनर रजिस्ट्री में रखा जा सकता है। अब कीमतें $ 5 प्रति माह (मूल SKU के लिए) से शुरू होती हैं।

मैंने myservice नाम के तहत एक ACR सेवा बनाई। यदि आप भी एसीआर का उपयोग करने का निर्णय लेते हैं, तो एक सेवा बनाते हुए आपको इसकी कुंजी प्राप्त करने की आवश्यकता होगी।

तब कमांड चलाकर लॉग इन करना संभव हो जाएगा:

docker login myservice.azurecr.io 

पोर्टल से लिया गया उपयोगकर्ता नाम (myservice) और पासवर्ड डालें (PJSeyO9 = lCMRDI7dGkz68wjhFGRGxSY3)

अब परियोजना के साथ निर्देशिका में जाकर, वांछित टैग के साथ इसे चिह्नित करते हुए एक छवि बनाना संभव होगा। और इसके बाद इसे क्लाउड सेवा में भेजें:

 docker build -t myservice.azurecr.io/myservice . docker push myservice.azurecr.io/myservice 

राज, रहस्य ... हम छवि तक पहुंच प्रदान करते हैं और सेटिंग्स को बचाते हैं।

तैनात AKS के साथ काम करते समय, आपको उसके क्रेडिट प्राप्त करने की आवश्यकता होती है। अन्यथा, kubectl कमांड निष्पादित नहीं करेगा। AKS तक पहुँचने के लिए, निम्नलिखित कमांड निष्पादित की जाती है:

 az aks get-credentials --resource-group KubernetesGroup --name verycoolcluster 

एक निजी कंटेनर में docker रिपॉजिटरी में स्थित docker छवि को एक्सेस करने के लिए, आपको एक सीक्रेट बनाने की आवश्यकता है। यदि आपकी कोई सार्वजनिक छवि है, तो आप इस चरण को छोड़ सकते हैं।

एक गुप्त फ़ाइल बनाने के लिए, आपको निम्न फ़ॉर्म की एक कमांड चलानी होगी:

 kubectl create secret docker-registry regcred --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email> 

यदि आपकी छवि docker रिपॉजिटरी में है, तो <your-रजिस्ट्री-सर्वर> का मान https://index.docker.io/v1/ होगा

एज़्योर कंटेनर रजिस्ट्री के लिए, FQDN <रजिस्ट्री-नाम> .azurecr.io होगा

यही है, मेरे मामले में कंटेनर के लिए एक रहस्य बनाने के लिए, मैंने किया:

 kubectl create secret docker-registry regcred --docker-server="myservice.azurecr.io" --docker-username="myservice" --docker-password="PJSeyO9=lCMRDI7dGkz68wjhFGRGxSY3" --docker-email="asommer@yandex.ru" 

अब आप कमांड का उपयोग करके बनाई गई गुप्त फ़ाइल की सामग्री देख सकते हैं:

 kubectl get secret regcred --output=yaml 

जानकारी

यदि आप AKS का उपयोग करते हैं, तो आप एक गुप्त फ़ाइल नहीं बना सकते हैं, लेकिन AKS सेवा को किसी अन्य तरीके से - किसी विशेष स्क्रिप्ट को निष्पादित करके एक्सेस प्रदान करें। आप इसे निम्न पृष्ठ से ले सकते हैं:

Azure कंटेनर सेवा से Azure कंटेनर रजिस्ट्री के साथ प्रमाणीकरण

 #!/bin/bash AKS_RESOURCE_GROUP=KubernetesGroup AKS_CLUSTER_NAME=verycoolcluster ACR_RESOURCE_GROUP=MyACRGroup ACR_NAME=myservice # Get the id of the service principal configured for AKS CLIENT_ID=$(az aks show --resource-group $AKS_RESOURCE_GROUP --name $AKS_CLUSTER_NAME --query "servicePrincipalProfile.clientId" --output tsv) # Get the ACR registry resource id ACR_ID=$(az acr show --name $ACR_NAME --resource-group $ACR_RESOURCE_GROUP --query "id" --output tsv) # Create role assignment az role assignment create --assignee $CLIENT_ID --role Reader --scope $ACR_ID 

आप केवल AKS * और ACR * वैरिएबल के मानों को संशोधित कर सकते हैं, फिर स्क्रिप्ट की प्रतिलिपि बना सकते हैं और इसे Azure CLI या क्लाउड शेल में पेस्ट कर सकते हैं।

कुबेरनेट्स में एक सुरक्षित क्रेडेंशियल स्टोर है। यही है, आप सेटिंग्स के साथ एक फ़ाइल बना सकते हैं और बाहर से इन सेटिंग्स तक पहुंच मुश्किल होगी। इस फ़ाइल में आमतौर पर डेटाबेस कनेक्शन स्ट्रिंग्स और कुछ प्रकार के क्रेडिट होते हैं। यदि आपके पास आवेदन में ऐसी कोई जानकारी नहीं है (क्या यह सच है?), तो आप इस चरण को छोड़ सकते हैं।

कमांड लाइन से सेटिंग फाइल बनाने के लिए, हमें सबसे पहले vi कमांड पर विचार करना होगा।

 vi < > 

एक फ़ाइल बनाएगा यदि वह गायब है या एक मौजूदा को खोलता है

दर्ज किए गए परिवर्तनों को सहेजने के लिए ESC और फिर ZZ दबाएं

केवल ESC को बचाने के बाद और बाहर निकलने के क्रम में: q!

बहुत छोटा विवरण, लेकिन यह पर्याप्त होना चाहिए। मैं यह जोड़ सकता हूं कि इंसर्ट की बहुत उपयोगी हो सकती है।

तो, एज़्योर क्लाउड शेल के माध्यम से, एक मनमाना नाम (उदाहरण के लिए, appsettings.json) और आपके द्वारा आवश्यक सामग्री के साथ एक फ़ाइल बनाएं। आइए मानते हैं:

 { "ConnectionString": "some secret string goes there" } 

और आपके द्वारा कमांड निष्पादित करने के बाद:

 kubectl create secret generic secret-appsettings --from-file=/home/youraccount/appsettings.json 

यह कमांड गुप्त-एपसेटिंग नामक सेटिंग्स के साथ एक रहस्य बनाएगा
आप पता लगा सकते हैं कि कौन से रास्ते को बदलने के लिए / घर / youraccount के साथ pwd कमांड के साथ

परिनियोजन बनाएँ

नियुक्तियां स्टेटलेस सेवाओं के लिए हैं। वे बताते हैं कि पॉड्स और रेप्लिकासेट्स कैसे बनाए जाएंगे और उन्हें कैसे अपडेट किया जाएगा। फली कंटेनरों (या एकल कंटेनर) का एक समूह है जो समान वातावरण में काम करता है। रेप्लिकासेट का उद्देश्य यह नियंत्रित करना है कि फली की निर्दिष्ट संख्या लॉन्च की जाएगी और लगातार काम करेगी।
पहले से बनाए गए के आधार पर, मैं एक परिनियोजन बना देता हूँ। iL फ़ाइल जो 3 उप बनाएगी। फ़ाइल में निम्न कोड है (मैं आपको याद दिलाता हूं कि याम्ल में रिक्त स्थान बहुत महत्वपूर्ण हैं):

 apiVersion: apps/v1beta1 kind: Deployment metadata: name: mydeployment spec: replicas: 3 minReadySeconds: 10 strategy: type: RollingUpdate rollingUpdate: maxUnavailable: 1 maxSurge: 1 template: metadata: labels: app: myapp spec: containers: - name: app image: myservice.azurecr.io/myservice:latest ports: - containerPort: 80 name: http protocol: TCP imagePullPolicy: Always env: - name: "ASPNETCORE_ENVIRONMENT" value: "Production" volumeMounts: - name: secrets mountPath: /app/secrets readOnly: true imagePullSecrets: - name: regcred volumes: - name: secrets secret: secretName: secret-appsettings 

कोड पर विचार करें। शुरुआत प्रतिकृतियों की संख्या और अद्यतन रणनीति का वर्णन करती है। तब परिनियोजन को एक नाम (myapp) दिया जाता है और कंटेनर छवि का संदर्भ दिया जाता है। पोर्ट पंजीकृत हैं। 80 http के लिए मानक पोर्ट है। इसके बाद ASP.NET कोर पर्यावरण सेटिंग्स हैं। फिर निजी डॉकटर छवि और हमारे द्वारा हाल ही में बनाई गई गुप्त एप्लिकेशन सेटिंग्स का श्रेय मुहिम शुरू की गई।

  strategy: type: RollingUpdate rollingUpdate: maxUnavailable: 1 maxSurge: 1 

यह टुकड़ा अपग्रेड प्रक्रिया के लिए जिम्मेदार है। maxSurge - अपडेट करने पर (इकाइयों या प्रतिशत में) मौजूदा लोगों की संख्या में अधिक संख्या में बनाए गए। अधिकतमउपलब्ध - अद्यतन प्रक्रिया के दौरान अनुपलब्ध अधिकतम संख्या के चूल्हे।
कमांड का उपयोग करके तैनाती बनाई जा सकती है:

 kubectl apply -f deploy.yaml 

इनग्रेस से मिलिए

क्लस्टर सेवाओं तक पहुंच प्रदान करने और लोड संतुलन को व्यवस्थित करने के लिए, इनग्रेस नामक सेवा का उपयोग किया जाता है। एक काफी लोकप्रिय समाधान नग्नेक्स पर आधारित अंतर्ग्रहण है। इसे स्थापित करने का सबसे आसान तरीका कुबेरनेट्स पैकेज मैनेजर का उपयोग करना है जिसे हेल्म कहा जाता है। एज़्योर क्लाउड शेल का लाभ यह है कि इसमें पहले से ही हेल्म स्थापित है। नगनेक्स-इंग्रेस स्थापित करने के लिए क्या किया जाना बाकी है। दर्ज करें:

 helm init 

थोड़ा रुको और अमल करो:

 helm install stable/nginx-ingress --namespace kube-system --set rbac.create=false 

LetsEncrypt के साथ SSL प्रमाणपत्र बनाना

चूंकि SSL प्रमाणपत्र कुछ डोमेन नाम से जुड़ा है, इसलिए हम अपना DNS संसाधन नाम सेट करेंगे।

निम्न कमांड चलाएँ और बाहरी IP लें

 kubectl get service -l app=nginx-ingress --namespace kube-system 

सब्स्टीट्यूट आईपी और नाम हमने निम्नलिखित स्क्रिप्ट में उपडोमेन के लिए आविष्कार किया था

 #!/bin/bash # Public IP address of your ingress controller IP="168.63.19.2" # Name to associate with public IP address DNSNAME="myservice-ingress" # Get the resource-id of the public ip PUBLICIPID=$(az network public-ip list --query "[?ipAddress!=null]|[?contains(ipAddress, '$IP')].[id]" --output tsv) # Update public ip address with DNS name az network public-ip update --ids $PUBLICIPID --dns-name $DNSNAME 

हम बस इस स्क्रिप्ट को कॉपी करते हैं, इसे कमांड लाइन में पेस्ट करते हैं और इस तरह से निष्पादित करते हैं। उपडोमेन के नाम के रूप में, मैंने एक बहुत ही "मूल" नाम सेट किया है - myservice-ingress

कमांड लाइन में निम्नलिखित स्क्रिप्ट को कॉपी और पेस्ट करके उसी तरह से प्रमाणपत्र प्रबंधक स्थापित करें। यहां, यहां तक ​​कि कुछ विशेष को बदलने की आवश्यकता नहीं है।

 helm install \ --name cert-manager \ --namespace kube-system \ stable/cert-manager \ --set ingressShim.defaultIssuerName=letsencrypt-prod \ --set ingressShim.defaultIssuerKind=ClusterIssuer \ --set rbac.create=false \ --set serviceAccount.create=false 

जानकारी

यदि हमारे पास आरबीएसी के साथ एक क्लस्टर है, तो स्क्रिप्ट अलग होगी।

 helm install stable/cert-manager --set ingressShim.defaultIssuerName=letsencrypt-staging --set ingressShim.defaultIssuerKind=ClusterIssuer 

यदि प्रमाणपत्र फ़ाइल उपलब्ध है, तो आप इसे कुछ इस तरह से जोड़ सकते हैं:

 kubectl create secret tls tls-secret --cert CERT.crt --key KEY-FOR-CERT.key 

लेकिन चूंकि हमारे पास कोई हस्ताक्षरित CA प्रमाणपत्र नहीं है, इसलिए हमें एक नखरे के साथ थोड़ा नृत्य करना होगा। हम LetsEncrypt नामक एक मुफ्त सेवा का उपयोग करके एक CA बनाएंगे । LetsEncrypt एक प्रमाणपत्र प्राधिकरण है जो मुफ़्त में प्रमाणपत्र जारी करता है। ऐसा परोपकारी संगठन, जिसका लक्ष्य इंटरनेट को सुरक्षित करना है।

तो, क्लस्टर-जारीकर्ता.इमाइल फ़ाइल बनाएँ। यह उस संगठन का वर्णन करता है जिसने प्रमाण पत्र जारी किया था।

 apiVersion: certmanager.k8s.io/v1alpha1 kind: ClusterIssuer metadata: name: letsencrypt-prod spec: acme: server: https://acme-v02.api.letsencrypt.org/directory email: youeemail@yourdomain.ru privateKeySecretRef: name: letsencrypt-prod http01: {} 

आपको केवल ई-मेल को अपने पते से बदलना होगा और आप यह कर सकते हैं:

 kubectl apply -f cluster-issuer.yaml 

फिर हम सर्टिफिकेट बनाते हैं। सत्यम सर्टिफिकेट फाइल, जो कि ClusterIssuer के नाम को निर्दिष्ट करता है और वह डोमेन जिसके लिए प्रमाणपत्र का इरादा है - myservice-ingress.westeurope.cloudapp.azure.com

 apiVersion: certmanager.k8s.io/v1alpha1 kind: Certificate metadata: name: tls-prod-secret spec: secretName: tls-prod-secret dnsNames: - myservice-ingress.westeurope.cloudapp.azure.com acme: config: - http01: ingressClass: nginx domains: - myservice-ingress.westeurope.cloudapp.azure.com issuerRef: name: letsencrypt-prod kind: ClusterIssuer 

हम बाहर ले:

 kubectl apply -f certificate.yaml 

सेवा सृजन और उन्नति

कुबेरनेट्स चार अलग-अलग प्रकार की सेवाएं बना सकते हैं।
डिफ़ॉल्ट सेवा क्लस्टर है। इस सेवा तक पहुंच केवल आंतरिक आईपी के माध्यम से क्लस्टर से संभव है।

NodePort स्वचालित रूप से क्लस्टर सेवा बनाता है। NodePort तक पहुंच निम्नलिखित मार्ग से बाहरी रूप से संभव है:

LoadBalancer लोड बैलेंसर स्वचालित रूप से NodePort और ClusterIP सेवाएँ बनाते हुए, बाहर से सेवा तक पहुँच प्रदान करता है।

बाहरी नाम सेवा को बाहरी नाम से जोड़ता है।

मूल सेवा हमारे लिए पर्याप्त है:

 apiVersion: v1 kind: Service metadata: name: myservice spec: type: ClusterIP ports: - port: 80 name: http targetPort: http selector: app: myapp 

चयनकर्ता के मूल्य के साथ हम अपनी तैनाती के नाम का संकेत देते हैं।
यह एक सेवा बनाने के लिए बनी हुई है

 kubectl apply -f service.yaml 

और एक अंतिम चरण के रूप में, हम एक अंतर्ग्रहण बनाते हैं जिसके साथ मैंने इस लेख में पहले से ही आपको थोड़ा अधिक पेश किया था। याम्ल में हम क्लस्टर-जारीकर्ता का नाम और प्रमाण पत्र निर्दिष्ट करेंगे। हमने उन्हें पहले बनाया था।

 apiVersion: extensions/v1beta1 kind: Ingress metadata: name: myingress annotations: kubernetes.io/ingress.class: nginx certmanager.k8s.io/cluster-issuer: letsencrypt-prod nginx.ingress.kubernetes.io/rewrite-target: / spec: tls: - hosts: - myservice-ingress.westeurope.cloudapp.azure.com secretName: tls-prod-secret rules: - host: myservice-ingress.westeurope.cloudapp.azure.com http: paths: - path: / backend: serviceName: myservice servicePort: 80 

एक ही कुबेटेल लागू कमांड का उपयोग करने के बाद प्रवेश करने के कुछ समय बाद, हमारा माइक्रोसेवा https: // myservice-ingress.westeurope.cloudapp.azure.com पर उपलब्ध होना चाहिए। Https के आगे ब्राउज़र के एड्रेस बार में लॉक पर क्लिक करके, आप यह सत्यापित कर सकते हैं कि प्रमाणपत्र मान्य है और CA द्वारा जारी किया गया है।

हम आपको याद दिलाते हैं कि यह हैकर पत्रिका के एक लेख का पूर्ण संस्करण है। इसके लेखक एलेक्सी सोमर हैं ।