发表于 |

背景

上周体验了 Podman 来管理容器的构建、生命周期管理等。Podman 自身是可以通过 Dockerfile 来进行容器镜像的构建,并且也支持容器镜像的 pull/push/login 等操作,Buildah 能够带来什么好处,我们为什么要使用它?

注意:本文章所采用环境为 CentOS7,需要除了 Buildah 工具外,还需要安装 containers-common 用于配置容器。

What

我们现在使用的容器管理工具无论是 Podman 还是 Docker,都是符合 OCI 规范的,他们操作的镜像也需要符合 OCI 规范,Buildah 介绍很简单: A tool that facilitates building OCI images

Buildah 功能列表:

  1. 创建容器
  2. 通过 Dockerfile 或者一个处于运行状态的容器(指 Buildah 自身创建的容器,Podman 不可见
  3. 挂载/卸载镜像文件系统
  4. 使用更新后挂载的镜像文件系统作为文件系统层创建新的镜像

Buildah 与 Podman 的关系

在官方说法中,Buildah 与 Podman 是相辅相成的关系,有很多共同点:它们都不需要 root 权限;都可以通过 Dockerfile 来构建容器镜像;都采用 fork-exec 模型;都不需要守护进程等等。 Buildah 主要的优势在于可以在没有 Doclerfiles 的情况下创建容器镜像,这也造成了从 Docker 切换到 Buildah 的用户使用成本会稍微高一些,因为部分概念发生了改变,主要有以下这些对比:

Command Podman Behavior Buildah Behavior
build Calls buildah bud Provides the build-using-dockerfile (bud) command that emulates Docker’s build command.
commit Commits a Podman container into a container image. Does not work on a Buildah container. Once committed the resulting image can be used by either Podman or Buildah. Commits a Buildah container into a container image. Does not work on a Podman container. Once committed, the resulting image can be used by either Buildah or Podman.
mount Mounts a Podman container. Does not work on a Buildah container. Mounts a Buildah container. Does not work on a Podman container.
pull and push Pull or push an image from a container image registry. Functionally the same as Buildah. Pull or push an image from a container image registry. Functionally the same as Podman.
run Run a process in a new container in the same manner as docker run. Runs the container in the same way as the RUN command in a Dockerfile.
rm Removes a Podman container. Does not work on a Buildah container. Removes a Buildah container. Does not work on a Podman container.
rmi, images, tag Equivalent on both projects. Equivalent on both projects.
containers and ps ps is used to list Podman containers. The containers command does not exist. containers is used to list Buildah containers. The ps command does not exist.

How

从 Dockerfile 构建镜像

buildah 提供了 build-using-dockerfile 命令支持从 Dockerfile 构建镜像,命令等同于 docker buildpodman build

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
root@yiran-30-250:/tmp/buildah
 $ cat Dockerfile  # 编写 Dockerfile
FROM centos

MAINTAINER <zdyxry@gmail.com>

CMD echo "hello yiran"
root@yiran-30-250:/tmp/buildah
 $ buildah bud -t yiran . # 使用 `bud` 命令构建镜像,等同于 `docker build`
STEP 1: FROM centos
STEP 2: MAINTAINER <zdyxry@gmail.com>
STEP 3: CMD echo "hello yiran"
STEP 4: COMMIT yiran
Getting image source signatures
Copying blob 9e607bb861a7 skipped: already exists
Copying blob 5f70bf18a086 skipped: already exists
Copying config ebaeed04e2 done
Writing manifest to image destination
Storing signatures
ebaeed04e23610d304c74d1e3bc0c428162e6e7eac529dce1376d8b284604b85
root@yiran-30-250:/tmp/buildah
 $ buildah images
REPOSITORY                 TAG      IMAGE ID       CREATED              SIZE
localhost/yiran            latest   ebaeed04e236   3 seconds ago        227 MB
docker.io/library/centos   latest   0f3e07c0138f   2 weeks ago          227 MB
root@yiran-30-250:/tmp/buildah
 $ podman images # 构建出来的镜像保存在 `/var/lib/containers/storage` ,因此 Podman 可以直接使用
REPOSITORY                 TAG      IMAGE ID       CREATED              SIZE
localhost/yiran            latest   ebaeed04e236   7 seconds ago        227 MB
docker.io/library/centos   latest   0f3e07c0138f   2 weeks ago          227 MB
root@yiran-30-250:/tmp/buildah
 $ podman run localhost/yiran:latest
hello yiran

从容器中构建镜像

这是 Buildah 最常使用方式,buildah 配合 Host 的命令操作来达到简化镜像构建的目的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
root@yiran-30-250:/tmp/buildah
 $ buildah from centos
centos-working-container
root@yiran-30-250:/tmp/buildah
 $ buildah run centos-working-container yum install httpd -y
Complete!
root@yiran-30-250:/tmp/buildah
 $ echo "Hi yiran" > index.html
You have new mail.
root@yiran-30-250:/tmp/buildah
 $ buildah copy centos-working-container index.html /var/www/html/index
062e7183713e39f9788fe12ef40c298aa69e394df5ee9699aa6c136fb32f3144
root@yiran-30-250:/tmp/buildah
 $ buildah config --entrypoint "/usr/sbin/httpd -DFOREGROUND" centos-working-container      
root@yiran-30-250:/tmp/buildah
 $ buildah commit centos-working-container  yiran-httpd
Getting image source signatures
Copying blob 9e607bb861a7 skipped: already exists
Copying blob a6d6842abbd9 done
Copying config daa1399f36 done
Writing manifest to image destination
Storing signatures
bdaa1399f36944ff74e6fe20c5b346aece51f5edb9c47907027ac4d877ccf179c
root@yiran-30-250:/tmp/buildah
 $ buildah images
REPOSITORY                 TAG      IMAGE ID       CREATED          SIZE
localhost/yiran-httpd      latest   daa1399f3694   7 seconds ago    277 MB
localhost/yiran            latest   ebaeed04e236   13 minutes ago   227 MB
<none>                     <none>   975b7fcdfccc   13 minutes ago   227 MB
<none>                     <none>   8cafad8a1ab0   15 minutes ago   227 MB
docker.io/library/centos   latest   0f3e07c0138f   2 weeks ago      227 MB
root@yiran-30-250:/tmp/buildah
 $ podman images
REPOSITORY                 TAG      IMAGE ID       CREATED          SIZE
localhost/yiran-httpd      latest   daa1399f3694   15 seconds ago   277 MB
localhost/yiran            latest   ebaeed04e236   13 minutes ago   227 MB
<none>                     <none>   975b7fcdfccc   13 minutes ago   227 MB
<none>                     <none>   8cafad8a1ab0   15 minutes ago   227 MB
docker.io/library/centos   latest   0f3e07c0138f   2 weeks ago      227 MB
root@yiran-30-250:/tmp/buildah
 $ podman run -p 8080:80 localhost/yiran-httpd:latest
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.88.0.5. Set the 'ServerName' directive globally to suppress this message

上述操作解释如下:

  1. buildah from 命令创建一个新的处于运行中的容器
  2. buildah run <container id> 在容器中执行命令
  3. echo yiran > index.html 在主机上执行的命令,生成文件,该文件保存在主机上
  4. buildah copy 将主机上的文件拷贝到容器中,等同于 Dockerfile 中的 COPY
  5. buildah config --entrypoint 给容器配置 entrypoint,等同于 Dockerfile 中的 ENTRYPOINT
  6. buildah commit 将该容器制作为镜像,保存在 /var/lib/containers/

挂载镜像

buildah 提供了 buildah mount 命令,可以将运行中容器挂载到 Host 的文件系统上,我们可以直接在 Host 上对容器内文件进行操作:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
root@yiran-30-250:/tmp/buildah
 $ buildah images
REPOSITORY                  TAG      IMAGE ID       CREATED          SIZE
localhost/yiran-httpd       latest   daa1399f3694   25 minutes ago   277 MB
localhost/yiran             latest   ebaeed04e236   39 minutes ago   227 MB
docker.io/library/centos    latest   0f3e07c0138f   2 weeks ago      227 MB
root@yiran-30-250:/tmp/buildah
 $ buildah from localhost/yiran-httpd
yiran-httpd-working-container
root@yiran-30-250:/tmp/buildah
 $ buildah mount yiran-httpd-working-container
/var/lib/containers/storage/overlay/75d42aaf05bfb855d59c7ae32ac138acd17c6a40f56cd541b16bffad6c720e9b/merged
root@yiran-30-250:/tmp/buildah
 $ cat /var/lib/containers/storage/overlay/75d42aaf05bfb855d59c7ae32ac138acd17c6a40f56cd541b16bffad6c720e9b/merged/var/www/html/index
Hi yiran

我们除了可以直接操作容器内文件,也可以在 Host 上给容器安装一些软件,如 dnf、make 等工具:

1
2
dnf install --installroot=<container mountpoint>
make install DESTDIR=<container mountpoint>

这里面临一个问题:如果在构建镜像的时候依赖于我们 Host 的环境,那么就无法达到我们想要的构建环境隔离了。这个问题可以通过使用多个容器共同构建来解决。

假设如果我们需要 gcc 环境,那么我们可以准备两个容器:其中一个包含 gcc ,并用它来编译,编译完成后在另一个纯净的容器中安装,最终只需要 commit 纯净的容器就可以。

这里的好处是 buildah 方式构建镜像,不会像 Dockerfile 一样包含很多层,只有执行 buildah commit 的时候产生一层镜像文件,我们也不需要考虑清理编译环境等问题。

Why

了解了基本的使用,那么我们需要知道为什么要使用 Buildah。

首先如果不使用 Buildah,对于整个容器工具链来说是完全 Ok 的,哪怕是不使用 Docker,仅凭 podman build 命令配合 Dockerfile 也是足够的,我们可以构建我们所需要的任意镜像。

使用 Buildah 能带来什么好处呢?我理解是我们可以通过更多的手段去构建镜像,不局限于 Dockerfile 中有限的关键字,我们有了更多的可能性,这就足够了。无论是 Buildah 原生命令还是通过 buildah mount 挂载到本地文件系统,都让我们可以更舒服的构建镜像,我们从维护一个 Dockerfile 转变为维护一个 Shell 脚本。

当然无论使用哪种方式,我们都需要知道 OCI 镜像标准是什么,这是最基本的。

Shell 脚本示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
#!/usr/bin/env bash

set -o errexit

# Create a container
container=$(buildah from fedora:28)
mountpoint=$(buildah mount $container)

buildah config --label maintainer="yiran <zdyxry@gmail.com>" $container

curl -sSL http://ftpmirror.gnu.org/hello/hello-2.10.tar.gz \
     -o /tmp/hello-2.10.tar.gz
tar xvzf src/hello-2.10.tar.gz -C ${mountpoint}/opt

pushd ${mountpoint}/opt/hello-2.10
./configure
make
make install DESTDIR=${mountpoint}
popd

chroot $mountpoint bash -c "/usr/local/bin/hello -v"

buildah config --entrypoint "/usr/local/bin/hello" $container
buildah commit --format docker $container hello
buildah unmount $container

参考链接

发表于 |

背景

CentOS8 在9月24号正式 Release 了,比 RHEL8 要推迟了4个月。这次的更新感觉比 CentOS7 的更新要来的重要,内核更新到了4.x,网络管理彻底替换了 network.service,防火墙管理等等,还包括去除了 Docker 作为默认的容器化管理工具,使用 Podman、Buildah、Skopeo 进行了替换,这里来体验下 Podman。

本篇文章所有环境基于 CentOS8。

Podman

为啥不用 Docker 了?我个人觉得 Docker 目前使用上最大的问题就是需要运行一个守护进程,虽然需要 root 用户也是一个问题,但是对于我个人来说还好。随着 K8S 定义 CRI 标准,且 Docker 的稳定性一直是个问题(虽然最近有在往好的趋势发展),但越来越多人使用 CRI-O 来替代 Docker,Docker 在被大家所抛弃(- -

Podman 创建的容器不需要守护进程,且可以用普通用户创建容器。Podman 中的大部分命令的使用方式与 Docker 相同,可以看左 alias docker=podman

Podman 的缺点:

  1. 仅在 Linux 下支持,无法像 Docker 一样支持 Windows 和 MacOS
  2. 缺少 docker-compose 工具替代品,哪怕有 k8s Pod 概念(虽然有 podman-compose,但是他还没有release 1.0版本,使用需谨慎
  3. 更新频繁(使用这类工具是有些心累的。。

安装

Podman 可以直接使用 dnf 继续安装,需要注意的是,在 CentOS 中 Podman 依赖于 containers-common,这里会附带很多配置信息到 /etc/containers,后续会用到:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
yiran@yiran-centos8:~ 
 $ sudo dnf install podman                      
Last metadata expiration check: 0:03:31 ago on Wed 02 Oct 2019 11:57:25 AM CST.
Package podman-1.0.0-2.git921f98f.module_el8.0.0+58+91b614e7.x86_64 is already installed.
Dependencies resolved.
Nothing to do.
Complete!
yiran@yiran-centos8:~ 
 $ dnf info podman        
Installed Packages
Name         : podman
Version      : 1.0.0
Release      : 2.git921f98f.module_el8.0.0+58+91b614e7
Arch         : x86_64
Size         : 37 M
Source       : podman-1.0.0-2.git921f98f.module_el8.0.0+58+91b614e7.src.rpm
Repo         : @System
From repo    : AppStream
Summary      : Manage Pods, Containers and Container Images
URL          : https://github.com/containers/libpod
License      : ASL 2.0
Description  : Manage Pods, Containers and Container Images
             : libpod provides a library for applications looking to use
             : the Container Pod concept popularized by Kubernetes.

配置

安装完成后,来看下 Podman RPM 中附带了些什么文件:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
yiran@yiran-centos8:~ 
 $ rpm -ql podman  |grep -v '/usr/share/man/'  # 去除 man 手册中内容
/etc/cni/net.d/87-podman-bridge.conflist
/usr/bin/podman
/usr/lib/.build-id
/usr/lib/.build-id/37
/usr/lib/.build-id/37/e7f04d352e5dbde603e9701baedb0b1be6bc37
/usr/lib/.build-id/9a
/usr/lib/.build-id/9a/2b43332ca5756f9e2a086bae9b953009ef5a37
/usr/lib/systemd/system/io.podman.service
/usr/lib/systemd/system/io.podman.socket
/usr/lib/tmpfiles.d/podman.conf
/usr/libexec/podman/conmon
/usr/share/bash-completion/completions/podman
/usr/share/containers/libpod.conf
/usr/share/licenses/podman
/usr/share/licenses/podman/LICENSE

可以看到只有一个配置文件是在 /etc/cni 路径下的,与 Bridge 的配置有关:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
yiran@yiran-centos8:~ 
 $ cat /etc/cni/net.d/87-podman-bridge.conflist
{
    "cniVersion": "0.3.0",
    "name": "podman",
    "plugins": [
      {
        "type": "bridge",
        "bridge": "cni0",
        "isGateway": true,
        "ipMasq": true,
        "ipam": {
            "type": "host-local",
            "subnet": "10.88.0.0/16",
            "routes": [
                { "dst": "0.0.0.0/0" }
            ]
        }
      },
      {
        "type": "portmap",
        "capabilities": {
          "portMappings": true
        }
      }
    ]
}

在上面我们有提到,Podman 依赖的 containers-common RPM 中包含了很多配置文件,我们一个一个的来看一下:

registries.conf

/etc/containers/registries.conf 用于保存 registries 相关配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
yiran@yiran-centos8:~ 
 $ cat /etc/containers/registries.conf         
# This is a system-wide configuration file used to
# keep track of registries for various container backends.
# It adheres to TOML format and does not support recursive
# lists of registries.

# The default location for this configuration file is /etc/containers/registries.conf.

# The only valid categories are: 'registries.search', 'registries.insecure', 
# and 'registries.block'.

[registries.search]
registries = ['registry.redhat.io', 'quay.io', 'docker.io']

# If you need to access insecure registries, add the registry's fully-qualified name.
# An insecure registry is one that does not have a valid SSL certificate or only does HTTP.
[registries.insecure]
registries = []


# If you need to block pull access from a registry, uncomment the section below
# and add the registries fully-qualified name.
#
# Docker only
[registries.block]
registries = []

mounts.conf

/usr/share/containers/mounts.conf 在执行 podman run 或者 podman build 命令时自动挂载的路径,该路径只会在容器运行时挂载,不会提交到容器镜像中。

1
2
3
yiran@yiran-centos8:~ 
 $ cat /usr/share/containers/mounts.conf                               
/usr/share/rhel/secrets:/run/secrets

seccomp.json

/usr/share/containers/seccomp.json 是容器内允许的 seccomp 规则白名单。 seccomp(secure computing)是一种安全保护机制,一般情况下,程序可以使用所有的 syscall,但是为了避免安全问题发生,通常会指定相应的规则来保证。

1
2
3
4
5
6
7
8
yiran@yiran-centos8:~ 
 $ cat /usr/share/containers/seccomp.json

{
	"defaultAction": "SCMP_ACT_ERRNO",
	"archMap": [...],
	"syscalls": [...]
}

policy.json

/etc/containers/policy.json 证书安全相关配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
yiran@yiran-centos8:~ 
 $ cat /etc/containers/policy.json      
{
    "default": [
        {
            "type": "insecureAcceptAnything"
        }
    ],
    "transports":
        {
            "docker-daemon":
                {
                    "": [{"type":"insecureAcceptAnything"}]
                }
        }
}

使用

镜像

构建
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
yiran@yiran-centos8:~/podman/hello 
 $ pwd                                                                                                                                  1 ↵
/home/yiran/podman/hello
yiran@yiran-centos8:~/podman/hello 
 $ cat Dockerfile 
FROM docker.io/library/centos:latest

RUN echo 'hello'
yiran@yiran-centos8:~/podman/hello 
 $ podman build -t hello:1.0 .    
STEP 1: FROM docker.io/library/centos:latest
STEP 2: RUN echo 'hello'
hello
--> 895ce449f0b3f1f2d8a0d2dca280cb46f4c69bb2824c93bb0e72eb49987c9050
STEP 3: COMMIT hello:1.0
--> 618f931bc244f2eaff53d9f2bcb1df97c5ddac501088d5919450a57f995173af
yiran@yiran-centos8:~/podman/hello 
 $ podman images               
REPOSITORY                             TAG      IMAGE ID       CREATED          SIZE
localhost/hello                        1.0      618f931bc244   8 seconds ago    210 MB
<none>                                 <none>   895ce449f0b3   13 seconds ago   210 MB
docker.io/library/nginx                latest   f949e7d76d63   2 weeks ago      130 MB
docker.io/library/centos               latest   67fa590cfc1c   7 weeks ago      210 MB
registry.fedoraproject.org/f27/httpd   latest   18f01f6f77ef   15 months ago    426 MB
搜索
1
2
3
4
5
6
7
yiran@yiran-centos8:~ 
 $ podman search mongo |head -n 5
INDEX       NAME                                                 DESCRIPTION                                       STARS   OFFICIAL   AUTOMATED
quay.io     quay.io/hellofresh/delete-old-ahoy-mongo-dbs                                                           0                  
quay.io     quay.io/ukhomeofficedigital/mongo-34                                                                   0                  
quay.io     quay.io/utilitywarehouse/mongo-burs                                                                    0                  
quay.io     quay.io/ukhomeofficedigital/mongo                                                                      0
拉取
1
2
3
4
5
6
7
8
9
10
11
12
yiran@yiran-centos8:~ 
 $ podman image pull nginx
Trying to pull registry.redhat.io/nginx:latest...Failed
Trying to pull quay.io/nginx:latest...Failed
Trying to pull docker.io/nginx:latest...Getting image source signatures
Copying blob b8f262c62ec6: 25.84 MiB / 25.84 MiB [=========================] 13s
Copying blob e9218e8f93b1: 22.48 MiB / 22.48 MiB [=========================] 13s
Copying blob 7acba7289aa3: 202 B / 202 B [=================================] 13s
Copying config f949e7d76d63: 6.51 KiB / 6.51 KiB [==========================] 0s
Writing manifest to image destination
Storing signatures
f949e7d76d63befffc8eec2cbf8a6f509780f96fb3bacbdc24068d594a77f043

除了像 Docker 一样从网络拉取镜像,Podman 为了方便用户从 Docker 迁移过来,Podman 支持从本地的 docker daemon 中直接拉取镜像,如果没有 domain 的话,目前会自动补全 docker.io/library/ 前缀。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
yiran@yiran-centos8:~ 
 $ docker images |grep yiran
harbor.yiran.com/yiran_tuna/leader-elector                                   0.5                           129c97fdb20d        3 years ago         169MB
yiran@yiran-centos8:~ 
 $ podman pull docker-daemon:harbor.yiran.com/yiran_tuna/leader-elector:0.5
Getting image source signatures
Copying blob bf87964bccfd done
Copying blob 5f70bf18a086 done
Copying blob 3efb68385a82 done
Copying blob 5f70bf18a086 done
Copying blob 42755cf4ee95 done
Copying blob ce31f2e01592 done
Copying blob 5f70bf18a086 skipped: already exists
Copying config 129c97fdb2 done
Writing manifest to image destination
Storing signatures
129c97fdb20d5fb7a0c569994f710c2b0d5292219f189f4f66c313f7bed9f434

看上去一切都很美好,但是要注意下面这种错误:

1
ERRO[0005] Error pulling image ref //testimg:latest: Error committing the finished image: error adding layer with blob "sha256:caed8f108bf6721dc2709407ecad964c83a31c8008a6a21826aa4ab995df5502": Error processing tar file(exit status 1): there might not be enough IDs available in the namespace (requested 4000000:4000000 for /testfile): lchown /testfile: invalid argument

因为 Podman 可以用普通用户运行容器,平时操作时也都是普通用户,这时候我们就面临一个UID & GID 映射的问题,默认的 subuid 的上限是 65536,这个可以自己做相应的调整:

1
2
3
4
5
6
yiran@yiran-centos8:~/podman/hello 
 $ cat /etc/subuid
yiran:100000:65536
yiran@yiran-centos8:~/podman/hello 
 $ cat /etc/subgid
yiran:100000:65536

不只是在镜像拉取过程中,在操作文件时,也需要关注 UID & GID 的问题,这个是之前使用 Docker 忽略的点。

列出
1
2
3
4
5
yiran@yiran-centos8:~ 
 $ podman images
REPOSITORY                 TAG      IMAGE ID       CREATED       SIZE
docker.io/library/nginx    latest   f949e7d76d63   7 days ago    130 MB
docker.io/library/centos   latest   67fa590cfc1c   6 weeks ago   210 MB
检查
1
2
3
4
5
6
7
8
9
10
11
12
yiran@yiran-centos8:~ 
 $ podman image inspect docker.io/library/nginx |head -n 10
[
    {
        "Id": "f949e7d76d63befffc8eec2cbf8a6f509780f96fb3bacbdc24068d594a77f043",
        "Digest": "sha256:066edc156bcada86155fd80ae03667cf3811c499df73815a2b76e43755ebbc76",
        "RepoTags": [
            "docker.io/library/nginx:latest"
        ],
        "RepoDigests": [
            "docker.io/library/nginx@sha256:066edc156bcada86155fd80ae03667cf3811c499df73815a2b76e43755ebbc76"
        ],
删除
1
2
3
4
5
6
7
yiran@yiran-centos8:~ 
 $ podman image rm docker.io/library/nginx                 
f949e7d76d63befffc8eec2cbf8a6f509780f96fb3bacbdc24068d594a77f043
yiran@yiran-centos8:~ 
 $ podman images                          
REPOSITORY                 TAG      IMAGE ID       CREATED       SIZE
docker.io/library/centos   latest   67fa590cfc1c   6 weeks ago   210 MB

容器

运行
1
2
3
4
5
6
7
8
9
yiran@yiran-centos8:~ 
 $ podman images                             
REPOSITORY                 TAG      IMAGE ID       CREATED       SIZE
docker.io/library/centos   latest   67fa590cfc1c   6 weeks ago   210 MB
yiran@yiran-centos8:~ 
 $ podman run -it docker.io/library/centos sh
sh-4.2# cat /etc/centos-release
CentOS Linux release 7.6.1810 (Core) 
sh-4.2# exit
停止
1
2
3
4
5
6
7
8
9
10
11
yiran@yiran-centos8:~ 
 $ sudo podman ps                                                                                               
[sudo] password for yiran: 
CONTAINER ID  IMAGE                                        COMMAND               CREATED        STATUS            PORTS                   NAMES
af3d9001ad32  registry.fedoraproject.org/f27/httpd:latest  container-entrypo...  8 minutes ago  Up 8 minutes ago  0.0.0.0:8080->8080/tcp  elastic_goldwasser
yiran@yiran-centos8:~ 
 $ sudo podman stop af3d9001ad32
af3d9001ad3211f5503742ca3cca8ddca542e27d7b9e54099c56ab7e04778503
yiran@yiran-centos8:~ 
 $ sudo podman ps               
CONTAINER ID  IMAGE  COMMAND  CREATED  STATUS  PORTS  NAMES
删除
1
2
3
4
5
6
7
8
9
10
yiran@yiran-centos8:~ 
 $ sudo podman ps -a
CONTAINER ID  IMAGE                                        COMMAND               CREATED        STATUS                     PORTS                   NAMES
af3d9001ad32  registry.fedoraproject.org/f27/httpd:latest  container-entrypo...  8 minutes ago  Exited (0) 29 seconds ago  0.0.0.0:8080->8080/tcp  elastic_goldwasser
yiran@yiran-centos8:~ 
 $ sudo podman rm af3d9001ad32                                                                                       
af3d9001ad3211f5503742ca3cca8ddca542e27d7b9e54099c56ab7e04778503
yiran@yiran-centos8:~ 
 $ sudo podman ps -a          
CONTAINER ID  IMAGE  COMMAND  CREATED  STATUS  PORTS  NAMES
checkpoint/restore

Podman 提供了类似于 git 的功能,能够对 container 进行 checkpoint(commit),并且可以 restore(checkout),虽然 demo 视频 很美好,但是我本地想通过快照(虚拟化功能)的方式来验证,却发现因为 CRIU 的版本过低不支持该功能,等后续深度使用后再研究下这个功能的原理。

健康检查

Podman 1.2.0 版本提供了 healthcheck 功能,我们在运行容器时,可以通过参数 --healthcheck-command 来指定健康检查的方式,然后通过 podman healthcheck 命令来检测:

1
2
3
4
5
6
$ sudo podman run -dt --name hc1 --healthcheck-command 'CMD-SHELL curl http://localhost || exit 1' --healthcheck-interval=0 quay.io/libpod/alpine_nginx:latest
d25ee6faaf6e5e12c09e734b1ac675385fe4d4e8b52504dd01a60e1b726e3edb
$ sudo podman healthcheck run hc1
Healthy
$ echo $?
0

--healthcheck-command 命令是在容器内执行的,所以我们需要保证容器镜像中存在相应命令; --healthcheck-interval 如果设置为 0 则不自动检查。

systemd

由于 Podman 没有 daemon ,所以没办法像 docker 一样通过指定参数 --restart=always 在 docker 进程启动时自动拉起镜像。 Podman 通过 systemd 来支持该功能。

首先,我们需要准备一个已经可以正常运行的容器:

1
2
3
4
yiran@yiran-centos8:~ 
 $ podman ps 
CONTAINER ID  IMAGE                                  COMMAND               CREATED                 STATUS                     PORTS  NAMES
cf6b656d4ab0  docker.io/library/envoy:latest  /usr/bin/mongod -...  Less than a second ago  Up Less than a second ago         smtx-mongodb

编写 systemd 配置文件,通常默认路径为: /usr/lib/systemd/system/

1
2
3
4
5
6
7
8
9
10
11
12
yiran@yiran-centos8:~ 
 $ cat /usr/lib/systemd/system/envoy.service 
[Unit]
After=network.target

[Service]
Restart=always
ExecStart=/usr/bin/podman start -a envoy
ExecStop=/usr/bin/podman stop -t 10 envoy

[Install]
WantedBy=multi-user.target

编写完成后,我们需要执行下 systemctl daemon-reload 重新加载一次配置,然后就可以通过 systemctl 来控制容器的启停、开机自启动了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
yiran@yiran-centos8:~ 
 $ systemctl start envoy
yiran@yiran-centos8:~ 
 $ systemctl enable envoy
Created symlink from /etc/systemd/system/multi-user.target.wants/envoy.service to /usr/lib/systemd/system/envoy.service.
[root@node99 16:28:12 ~]$systemctl status envoy
● envoy.service
   Loaded: loaded (/usr/lib/systemd/system/envoy.service; enabled; vendor preset: disabled)
  Drop-In: /etc/systemd/system/envoy.service.d
           └─cgroup.conf
   Active: active (running) since Sat 2019-10-12 20:09:34 CST; 3h 41min left
 Main PID: 47684 (podman)
   CGroup: /system.slice/system-zbs.slice/system-zbs-others.slice/envoy.service
           └─47684 /usr/bin/podman start -a envoy

Pod

创建及使用

Podman 除了像 Docker 一样提供基本的容器管理,还提供了 K8S 中的 Pod 功能(得对的起名字啊)。
对于最终要运行在 k8s 环境的同学来说,Podman 非常适合,可以很大的减少环境不通导致的工作量:Podman 的 YAML 和 k8s pod yaml 文件格式是兼容的。

首先,我们来创建一个 Pod:

1
2
3
yiran@yiran-centos8:~ 
 $ sudo podman pod create --name postgresql -p 5432 -p 9187
error adding Infra Container: unable to pull k8s.gcr.io/pause:3.1: unable to pull image: Error determining manifest MIME type for docker://k8s.gcr.io/pause:3.1: pinging docker registry returned: Get https://k8s.gcr.io/v2/: dial tcp 64.233.189.82:443: i/o timeout

了解 K8S Pod 的同学应该知道 google_containers/pause容器,它主要的作用是 namespace 控制和启动 init 进程,即 PID 为1。在 Podman 中也是如此,这里需要 pull pause 镜像,但是喜闻乐见的 timeout。。。。

(此处开始折腾网络)

我们重新来走一次 demo :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
yiran@yiran-centos8:~ 
 $ sudo podman pod create --name postgresql -p 5432 -p 9187  # 创建 Pod,并映射端口
17020cd16ae689f5d4e0f17468c67c3f9d3b8aa424d9e463dc8b187bb80bd328
yiran@yiran-centos8:~ 
 $ sudo podman pod ls                                      
POD ID         NAME         STATUS    CREATED         # OF CONTAINERS   INFRA ID
17020cd16ae6   postgresql   Running   7 seconds ago   1                 5f38e2d70484
yiran@yiran-centos8:~ 
 $ sudo podman pod ps 
POD ID         NAME         STATUS    CREATED          # OF CONTAINERS   INFRA ID
17020cd16ae6   postgresql   Running   23 seconds ago   1                 5f38e2d70484
yiran@yiran-centos8:~ 
 $ sudo podman run -d --pod postgresql -e POSTGRES_PASSWORD=password postgres:latest # 运行 postgresql
bb00b1087b3e86f5f8915deb9a826875f4a1f063b30ef6eb743c3ad6b155a823
yiran@yiran-centos8:~ 
 $ sudo podman run -d --pod postgresql -e DATA_SOURCE_NAME="postgresql://postgres:password@localhost:5432/postgres?sslmode=disable"  wrouesnel/postgres_exporter # 运行 postgres exporter
f1197be2aa8be6169e0a0cf3b235b951dafdc4e98afe6753c661a9871038c17c

首先我们创建了一个 Pod,端口映射是在 Pod 这个级别配置的,然后在这个 Pod 中,我们创建了两个 container,分别是:postgres 和 postgres_exporter ,其中 postgres_exporter 主要是暴露 metrics 用于 Prometheus 抓取进行监控。

我们可以通过 curl 相应端口来验证是否正常工作:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
iran@yiran-centos8:~ 
 $ sudo podman ps -a              
CONTAINER ID  IMAGE                                                          COMMAND               CREATED        STATUS            PORTS                                           NAMES
f1197be2aa8b  docker.io/wrouesnel/postgres_exporter:latest                   /postgres_exporte...  4 minutes ago  Up 4 minutes ago                                                  quizzical_mcclintock
bb00b1087b3e  docker.io/library/postgres:latest                              docker-entrypoint...  4 minutes ago  Up 4 minutes ago                                                  kind_spence
5f38e2d70484  registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.1                        5 minutes ago  Up 5 minutes ago  0.0.0.0:5432->5432/tcp, 0.0.0.0:9187->9187/tcp  17020cd16ae6-infra
yiran@yiran-centos8:~ 
 $ curl localhost:9187/metrics                                                                                                                                 
# HELP go_gc_duration_seconds A summary of the GC invocation durations.
# TYPE go_gc_duration_seconds summary
go_gc_duration_seconds{quantile="0"} 0
go_gc_duration_seconds{quantile="0.25"} 0
go_gc_duration_seconds{quantile="0.5"} 0
go_gc_duration_seconds{quantile="0.75"} 0
go_gc_duration_seconds{quantile="1"} 0
go_gc_duration_seconds_sum 0

可以看到已经正确的获取到了相应 metrics 数值,可以通过 podman pod top 来获取当前进程状态:

1
2
3
4
5
6
7
8
9
10
yiran@yiran-centos8:~ 
 $ sudo podman pod top postgresql             
USER                PID   PPID   %CPU    ELAPSED           TTY   TIME   COMMAND
0                   1     0      0.000   6m15.74147022s    ?     0s     /pause 
postgres            1     0      0.000   5m45.755275073s   ?     0s     postgres 
postgres            51    1      0.000   5m44.755304824s   ?     0s     postgres: checkpointer    
postgres            52    1      0.000   5m44.755329093s   ?     0s     postgres: background writer    
postgres            53    1      0.000   5m44.755350888s   ?     0s     postgres: walwriter    
postgres            54    1      0.000   5m44.75537351s    ?     0s     postgres: logical replication launcher    
postgres_exporter   1     0      0.000   5m34.767207535s   ?     0s     /postgres_exporter

在 Podman 中,可以简单的将 Pod 理解为 docker-compose 中的一组容器,并且可以通过 podman pod start/stop 来控制这组容器的启停:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
yiran@yiran-centos8:~ 
 $ sudo podman pod stop postgresql                                                                      
17020cd16ae689f5d4e0f17468c67c3f9d3b8aa424d9e463dc8b187bb80bd328
yiran@yiran-centos8:~ 
 $ sudo podman pod ls              
POD ID         NAME         STATUS   CREATED         # OF CONTAINERS   INFRA ID
17020cd16ae6   postgresql   Exited   8 minutes ago   3                 5f38e2d70484
yiran@yiran-centos8:~ 
 $ sudo podman pod ps 
POD ID         NAME         STATUS   CREATED         # OF CONTAINERS   INFRA ID
17020cd16ae6   postgresql   Exited   8 minutes ago   3                 5f38e2d70484
yiran@yiran-centos8:~ 
 $ curl localhost:9187/metrics
curl: (7) Failed to connect to localhost port 9187: Connection refused
yiran@yiran-centos8:~ 
 $ sudo podman pod start postgresql                                                                                                                                                                            7 ↵
17020cd16ae689f5d4e0f17468c67c3f9d3b8aa424d9e463dc8b187bb80bd328
yiran@yiran-centos8:~ 
 $ curl localhost:9187/metrics      
# HELP go_gc_duration_seconds A summary of the GC invocation durations.
# TYPE go_gc_duration_seconds summary
go_gc_duration_seconds{quantile="0"} 0
go_gc_duration_seconds{quantile="0.25"} 0
go_gc_duration_seconds{quantile="0.5"} 0
k8s 联动

通过 podman generate 命令可以生成 k8s 可用的 YAML 文件:

1
2
3
4
020cd16ae689f5d4e0f17468c67c3f9d3b8aa424d9e463dc8b187bb80bd328
yiran@yiran-centos8:~ 
 $ sudo podman generate kube postgresql > postgresql.yaml
no matching entries in passwd file

嗯,又遇到了一个错误,在 Github 上有看到相关 issue,先忽略吧。

使用 podman play 命令可以直接创建完整的 Pod 及其所拥有的容器:

1
podman play kube postgresql.yaml

总结

如果从 Docker 迁移过来,有以下几点很纠结:

  1. 说好的 rootless,但是如果你想要进行端口映射,那么还是要老老实实 sudo 的
  2. 虽然 systemd 大法好,但是如果 container 直接被删除了,我要单独的管理 systemd service 配置文件(貌似可以通过 OCI hook 实现
  3. 更新真的太快了

很多同学都在说 学不动了,纠结归纠结,学还是要学的,说不定最后 真香 了呢。

上述所有功能示例都可以通过官方 Demo 项目运行:https://github.com/containers/Demos/blob/master/podman_cli/README.md。

参考链接

发表于 |

背景

前段时间在写 Cluster API Provider 的时候,经常会使用 context 传递参数,当时只是按照其他项目中的方式快速的实现,并没有认真的了解 context 具体包含什么,为了解决什么问题,这次来聊一下。

P.S. 虽然写了一周的 Golang,但是对于标准库有什么还一无所知,找时间应该认真过一遍的。。

定义与使用

先看定义:

Package context defines the Context type, which carries deadlines, cancellation signals, and other request-scoped values across API boundaries and between processes.

  • 当一个 goroutine 调用其他 goroutine,随着层级变多,我们想要在外层达到控制的效果
  • 在必要场景下传递 必需 的数据

其中 Context 这个 interface 中定义了 4 个方法,具体如下:

1
2
3
4
5
6
type Context interface {
	Deadline() (deadline time.Time, ok bool)
	Done() <-chan struct{}
	Err() error
	Value(key interface{}) interface{}
}

context 包中实现了4个函数,平时也都是使用这些函数:

  1. func WithCancel(parent Context) (ctx Context, cancel CancelFunc)
  2. func WithDeadline(parent Context, d time.Time) (Context, CancelFunc)
  3. func WithTimeout(parent Context, timeout time.Duration) (Context, CancelFunc)
  4. func WithValue(parent Context, key, val interface{}) Context

可以看到 Cancel,Deadline,Timeout 都会返回一个 CancelFunc 函数,哪怕我们设定的时间还没到,我们也可以直接使用 CancelFunc 去设置 Context。

在 context 使用上有官方文档,且有很多博主已经写过很详细的博客,这里只是列一个简单的例子:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
package main

import (
	"context"
	"fmt"
	"time"
)

func main() {
	// Pass a context with a timeout to tell a blocking function that it
	// should abandon its work after the timeout elapses.
	ctx, cancel := context.WithTimeout(context.Background(), 200*time.Millisecond)
	defer cancel()

	select {
	case <-time.After(1 * time.Second): // 等待 1s
		fmt.Println("overslept")
	case <-ctx.Done():  // 只有当 Channel 关闭时才会返回非空,也就是到了设定的 Timeout 数值
		fmt.Println(ctx.Err()) // prints "context deadline exceeded"
	}

}

注意事项

  1. 不要把 Context 放到结构体中,以参数传递,在作为参数传递时,需要将其作为第一个参数传递
  2. 如果 Context 传递内容不确定,那么可以传递 context.Background()context.TODO(),不要传递 nil
  3. 不建议使用 context.Value 传递数据
  4. Context 是通过 通知 来达到 控制 目的
  5. Context 并非是全局的,只查询自身及父context 的数据,同理在 Cancel 也是一样的

(可能存在的)问题

在搜索过程中,看到一篇博客提到了 context 的一些问题:

  • 传播性
    • 当我们有一个包含了100个函数的调用栈,当我们想要通过 context 来达到控制目的时,那么我们需要将 context 作为函数的第一个参数不断的传递下去。
  • 什么时候使用 context.TODO
  • context.Value 不该用
    • 非静态的
    • 需要在指定功能上使用特定的 key/value
    • 容易发生 key 冲突
  • 效率低下

总结

虽然上面说了那么多,比如上面提到的不应该用 context.Value ,在 ClusterAPI 中有很多使用 context.Value 传值的地方,该用还是用嘛。

参考链接

发表于 |

背景

平时看过文章标题比较多的都是说“像容器一样运行虚拟机”,大家都想要有虚拟机的隔离性,又想要容器的便捷性,也有一些开源项目比如 Firecracker 或 KataContainer 在做。今天反过来,来看看如何“像虚拟机一样运行容器”。

为啥要把容器搞得像虚拟机一样呢?我平时用到容器比较多的地方就是在 CI 集成部分,通过 docker 快速搭建环境,进行单元测试或集成测试,测试完成后清理镜像,简单方便。但是在CD 部分,就有一点比较头疼的问题,就是调试。zouquan 同学之前在知乎上提了一个问题:容器化环境里如何方便的进行debug和测试?,回答中的一个总结很好的描述了这个问题的关键: 虽然我在本地开发,但我的应用就像在 k8s 里一样。

那怎么在容器中开发像是在本地一样呢?肯定不能每次改了代码都走一遍 build,push,deploy 的流程,上面问题的回答中给出的是借助各种工具来达成这样的效果,我不像要用那些奇奇怪怪的工作(学不动了),那么只能想办法把容器搞的跟虚拟机一样了。

最近看到了 weaveworks/footloose 项目,这个项目的简介就是我的最原始的需求:Containers that look like Virtual Machines。先来看看这个项目的示例(开源项目中examples 写的好真是上手快)。

功能示例

Ansible 远程控制

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
[root@yiran ansible]# footloose config create --replicas 1 # 指定 machine 副本数为 1
[root@yiran ansible]# footloose create                     # 创建目标资源
INFO[0000] Creating SSH key: cluster-key ...            
INFO[0000] Docker Image: quay.io/footloose/centos7:0.6.1 present locally 
INFO[0000] Creating machine: cluster-node0 ...          
INFO[0001] Machine cluster-node0 is already created...  
[root@yiran ansible]# cat ansible.cfg                      # 在 ansible 配置文件中指定 inventory 及连接参数
[defaults]
inventory=inventory.txt
remote_user=root
debug=no

[privilege_escalation]
become=no

[root@yiran ansible]# cat inventory.txt 
[all]
cluster-node0 ansible_connection=docker                    # 编写对应 machine 连接方式

[root@yiran ansible]# ansible -m ping all                  # 验证 ansible 通信
cluster-node0 | SUCCESS => {
    "changed": false, 
    "ping": "pong"
}

可以看到,通过 footloose 创建一个 machine(容器),可以支持我们远程连接,通过 Ansible 来控制,那么我们来试试 Ansible Playbook 的效果:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
---
- name: Install nginx
  hosts: cluster-node0

  tasks:
  - name: Add epel-release repo
    yum:
      name: epel-release
      state: latest

  - name: Install nginx
    yum:
      name: nginx
      state: latest

  - name: Insert Index Page
    copy:
      content: "welcome to footloose nginx ansible example"
      dest: /usr/share/nginx/html/index.html

  - name: Start NGiNX
    service:
      name: nginx
      state: started

执行结果:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
[root@yiran ansible]# ansible-playbook  example1.yml

PLAY [Install nginx] ********************************

TASK [Gathering Facts] *********************************
ok: [cluster-node0]

TASK [Add epel-release repo] *******************************
changed: [cluster-node0]

TASK [Install nginx] ********************************
changed: [cluster-node0]

TASK [Insert Index Page] ***********************************
changed: [cluster-node0]

TASK [Start NGiNX] **********************************
changed: [cluster-node0]

PLAY RECAP ************************
cluster-node0              : ok=5    changed=4    unreachable=0    failed=0   

[root@yiran ansible]# ansible all -m raw -a 'systemctl status nginx'
cluster-node0 | SUCCESS | rc=0 >>
● nginx.service - The nginx HTTP and reverse proxy server
   Loaded: loaded (/usr/lib/systemd/system/nginx.service; disabled; vendor preset: disabled)
   Active: active (running) since Thu 2019-09-19 08:51:26 UTC; 10s ago
  Process: 437 ExecStart=/usr/sbin/nginx (code=exited, status=0/SUCCESS)
  Process: 436 ExecStartPre=/usr/sbin/nginx -t (code=exited, status=0/SUCCESS)
  Process: 435 ExecStartPre=/usr/bin/rm -f /run/nginx.pid (code=exited, status=0/SUCCESS)
 Main PID: 438 (nginx)
   CGroup: /docker/6b8bd7e41a6a303d5cc023e2c2e576773649e4a5188f4ef15b0ad3079e148b49/system.slice/nginx.service
           ├─438 nginx: master process /usr/sbin/ngin
           ├─439 nginx: worker proces
           ├─440 nginx: worker proces
           ├─441 nginx: worker proces
           └─442 nginx: worker proces

Sep 19 08:51:26 node0 systemd[1]: Starting The nginx HTTP and reverse proxy server...
Sep 19 08:51:26 node0 nginx[436]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
Sep 19 08:51:26 node0 nginx[436]: nginx: configuration file /etc/nginx/nginx.conf test is successful
Sep 19 08:51:26 node0 systemd[1]: Started The nginx HTTP and reverse proxy server.

可以执行 Ansible Playbook,那几乎意味着我们可以执行任何操作,我们可以通过 ansible rsync 模块直接将代码同步到容器中,也可以通过 Playbook 在容器中执行一些配置来达到我们对环境的修改,可以说是很方便了。

SSH 连接

既然可以通过 Ansible 进行控制,那么我们肯定也可以通过 ssh 进行连接,可以通过 footloose 提供的默认命令 footloose ssh

1
2
3
4
5
6
[root@yiran ansible]# footloose ssh root@node0
Last login: Thu Sep 19 08:57:17 2019 from gateway
[root@node0 ~]# hostname
node0
[root@node0 ~]# logout
Connection to localhost closed.

Host 端口映射

在容器使用的过程中,我们通常需要跑一些对外提供端口的服务,这时候就需要进行 Host 端口映射,先来看下 footloose 的配置文件,这里我们指定了 machine的数量是 2,并且指定了容器的 22 端口映射到 host 的 2222端口,依次递增:

1
2
3
4
5
6
7
8
9
10
11
cluster:
  name: cluster
  privateKey: cluster-key
machines:
- count: 2
  spec:
    image: quay.io/footloose/centos7
    name: node%d
    portMappings:
    - containerPort: 22
      hostPort: 2222

创建对应 machine 资源:

1
2
3
4
5
[root@yiran simple-hostPort]# footloose create
INFO[0000] Creating SSH key: cluster-key ...            
INFO[0000] Pulling image: quay.io/footloose/centos7 ... 
INFO[0013] Creating machine: cluster-node0 ...          
INFO[0014] Creating machine: cluster-node1 ...

通过 netstat 查看 Host 端口情况,这里可以看到 footloose 使用的是 docker 作为容器管理入口:

1
2
3
[root@yiran simple-hostPort]# netstat -antp |grep 222
tcp6       0      0 :::2222                 :::*                    LISTEN      42227/docker-proxy  
tcp6       0      0 :::2223                 :::*                    LISTEN      42540/docker-proxy

这时候就可以使用普通的 ssh 命令连接到容器中了:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
[root@yiran simple-hostPort]# ssh root@127.0.0.1 -p 2222 -i cluster-key hostname
The authenticity of host '[127.0.0.1]:2222 ([127.0.0.1]:2222)' can't be established.
ECDSA key fingerprint is SHA256:a6w9oFXMxjPCIXV42C44ogH9uaOILQiAdo/nlGdOnoc.
ECDSA key fingerprint is MD5:6b:a8:78:08:78:63:d4:26:b8:11:9e:3c:31:24:ad:6e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[127.0.0.1]:2222' (ECDSA) to the list of known hosts.
node0
[root@yiran simple-hostPort]# ssh root@127.0.0.1 -p 2223 -i cluster-key hostname
The authenticity of host '[127.0.0.1]:2223 ([127.0.0.1]:2223)' can't be established.
ECDSA key fingerprint is SHA256:o5cVIJ1MBlw/J/OcNcjZxjqogiIVe03HhU0ZYZEuyPM.
ECDSA key fingerprint is MD5:06:a6:4f:09:4c:23:1e:17:ee:f6:fe:f1:fd:35:e1:ba.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[127.0.0.1]:2223' (ECDSA) to the list of known hosts.
node1
[root@yiran simple-hostPort]# footloose show
NAME            HOSTNAME   PORTS      IP           IMAGE                       CMD          STATE     BACKEND
cluster-node0   node0      2222->22   172.17.0.2   quay.io/footloose/centos7   /sbin/init   Running   
cluster-node1   node1      2223->22   172.17.0.3   quay.io/footloose/centos7   /sbin/init   Running

写了三个使用场景,那么我们来看看 footloose 是怎么实现的。

代码实现

machine 创建:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
// CreateMachine creates and starts a new machine in the cluster.
func (c *Cluster) CreateMachine(machine *Machine, i int) error {
	name := machine.ContainerName()

	publicKey, err := c.publicKey(machine) # 获取当前主机的公钥
	...

	cmd := "/sbin/init"                    # 指定容器运行命令
	if machine.spec.Cmd != "" {
		cmd = machine.spec.Cmd
	}

	if machine.IsIgnite() {                # 判断 backend
		...
	} else {                              
		runArgs := c.createMachineRunArgs(machine, name, i)
		_, err := docker.Create(machine.spec.Image,
			runArgs,
			[]string{cmd},
		)
		if err != nil {
			return err
		}

		if len(machine.spec.Networks) > 1 { # 当容器有多个网络配置时,依次进行 bridge 连接
			for _, network := range machine.spec.Networks[1:] {
				log.Infof("Connecting %s to the %s network...", name, network)
				if network == "bridge" {
					if err := docker.ConnectNetwork(name, network); err != nil {
						return err
					}
				} else {
					if err := docker.ConnectNetworkWithAlias(name, network, machine.Hostname()); err != nil {
						return err
					}
				}
			}
		}

		if err := docker.Start(name); err != nil {
			return err
		}

		// Initial provisioning.
		if err := containerRunShell(name, initScript); err != nil {
			return err
		}
		if err := copy(name, publicKey, "/root/.ssh/authorized_keys"); err != nil {
			return err
		}
	}

	return nil
}

解这看下 createMachineRunArgs 里面的实现:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
func (c *Cluster) createMachineRunArgs(machine *Machine, name string, i int) []string {
	runArgs := []string{ # 根据已有参数,进行 docker 的命令行拼接
		"-it",
		"--label", "works.weave.owner=footloose",
		"--label", "works.weave.cluster=" + c.spec.Cluster.Name,
		"--name", name,
		"--hostname", machine.Hostname(),
		"--tmpfs", "/run",              # 注意这里传入的参数部分
		"--tmpfs", "/run/lock",
		"--tmpfs", "/tmp:exec,mode=777",
		"-v", "/sys/fs/cgroup:/sys/fs/cgroup:ro", 
	}

	for _, volume := range machine.spec.Volumes { # 卷挂载
		...
	}

	for _, mapping := range machine.spec.PortMappings { # 端口映射
		...
	}

	if machine.spec.Privileged {
		runArgs = append(runArgs, "--privileged")
	}

	if len(machine.spec.Networks) > 0 { # 网络连接
		...
	}

	return runArgs
}

这里需要注意的是,在 docker 命令行最终执行时,添加了 --tmpfs /run --tmpfs /run/lock --tmpfs /tmp:exec,mode=777 参数,并且将 Host 的 cgroup 配置路径通过只读权限传递给了容器,后面有用到。

其他的启动,停止,删除等操作也都是拼接为 docker 的命令行然后执行处理的,这里不过多描述。

那么有个问题,在容器内部,pid 为1 的进程应该是我们运行容器时传递的参数,也就时说,当我们执行的进程结束时,容器也就退出了:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@yiran ~]# docker run centos sleep 6000
Unable to find image 'centos:latest' locally
latest: Pulling from library/centos
d8d02d457314: Already exists 
Digest: sha256:307835c385f656ec2e2fec602cf093224173c51119bbebd602c53c3653a3d6eb
Status: Downloaded newer image for centos:latest

# 新开 termimal
[root@yiran ~]# docker ps |grep -i centos
6337dc1ad054        centos                      "sleep 6000"        13 minutes ago      Up 13 minutes                              heuristic_haibt
[root@yiran ~]# docker exec -it  6337dc1ad054 bash
[root@6337dc1ad054 /]# ps -ef
UID         PID   PPID  C STIME TTY          TIME CMD
root          1      0  0 10:29 ?        00:00:00 sleep 6000
root         23      0  3 10:43 pts/0    00:00:00 bash
root         36     23  0 10:43 pts/0    00:00:00 ps -ef

来看下 footloose 创建的 machine 是如何保证容器持久运行的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[root@yiran ansible]# 
[root@yiran ansible]# docker ps 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
[root@yiran ansible]# footloose create
INFO[0000] Docker Image: quay.io/footloose/centos7:0.6.1 present locally 
INFO[0000] Creating machine: cluster-node0 ...          
[root@yiran ansible]# footloose show
NAME            HOSTNAME   PORTS       IP           IMAGE                             CMD          STATE     BACKEND
cluster-node0   node0      32773->22   172.17.0.2   quay.io/footloose/centos7:0.6.1   /sbin/init   Running   docker
[root@yiran ansible]# docker ps 
CONTAINER ID        IMAGE                             COMMAND             CREATED             STATUS              PORTS                   NAMES
8ba9af085e53        quay.io/footloose/centos7:0.6.1   "/sbin/init"        8 seconds ago       Up 7 seconds        0.0.0.0:32773->22/tcp   cluster-node0
[root@yiran ansible]# footloose ssh node0
[root@node0 ~]# ps -ef
UID         PID   PPID  C STIME TTY          TIME CMD
root          1      0  0 10:46 ?        00:00:00 /sbin/init
root         17      1  0 10:46 ?        00:00:00 /usr/lib/systemd/systemd-journald
root         50      1  0 10:46 ?        00:00:00 /usr/sbin/sshd -D
root         58     50  0 10:46 ?        00:00:00 sshd: root@pts/1
dbus         60      1  0 10:46 ?        00:00:00 /usr/bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation
root         61      1  0 10:46 ?        00:00:00 /usr/lib/systemd/systemd-logind
root         62     58  0 10:46 pts/1    00:00:00 -bash
root         75     62  0 10:46 pts/1    00:00:00 ps -ef

可以看到在 machine 中, pid 为1 的进程是 init,这个初始化参数是写死在代码里面的,因为 machine 中存在 init 进程,也就保证了我们之后的进程都是在 init 进程树下的,我们可以通过 systemd 对服务进行管理,直到我们的从容器外部将容器杀死。

前面使用过程中,一直忽略了一点,就是我们的容器镜像内部有什么不同么?看下 Dockerfile 里面的内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
master ✗ $ cat Dockerfile          
FROM centos:7 # base 镜像是 centos7

ENV container docker

RUN yum -y install sudo procps-ng net-tools iproute iputils wget && yum clean all # 安装必要的debug 工具

# 在 centos7 中,init 切换为 systemd 管理,针对容器中删除部分 systemd 配置
RUN (cd /lib/systemd/system/sysinit.target.wants/; for i in *; do [ $i == \
systemd-tmpfiles-setup.service ] || rm -f $i; done); \
rm -f /lib/systemd/system/multi-user.target.wants/*;\
rm -f /etc/systemd/system/*.wants/*;\
rm -f /lib/systemd/system/local-fs.target.wants/*; \
rm -f /lib/systemd/system/sockets.target.wants/*udev*; \
rm -f /lib/systemd/system/sockets.target.wants/*initctl*; \
rm -f /lib/systemd/system/basic.target.wants/*;\
rm -f /lib/systemd/system/anaconda.target.wants/*;\
rm -f /lib/systemd/system/*.wants/*update-utmp*;

# 为了支持 ssh 连接,安装 openssh
RUN yum -y install openssh-server && yum clean all

# 暴露 22 端口
EXPOSE 22

# https://www.freedesktop.org/wiki/Software/systemd/ContainerInterface/
STOPSIGNAL SIGRTMIN+3

CMD ["/bin/bash"]

可以看到 footloose 支持的镜像在官方的 CentOS7 的基础上进行了部分配置,比如 systemd、openssh、端口暴露等,来让容器更像是一台虚拟机。

总结

为了方便的进行持续集成,我们引入了容器;为了更方便的进行调试/测试,我们让容器装作虚拟机的样子,也是无奈。

参考链接

发表于 |

背景

自己对于密码技术相关的知识一直都是零散的,刚接触 k8s 的时候遇到了好多证书问题都是靠临时搜索解决的,不成体系。

liqiang 同学推荐了《图解密码技术》,趁着中秋假期看完了做了读书笔记,记录一下。

密码

环游密码世界

口令:password, passcode, pin
编码:encode
密码:cryptography

对称密码是指在加密和解密时使用同一密钥的方式。

公钥密码是指在加密和解密时使用不同密钥的方式,又称为非对称加密。

将对称密码和公钥密码结合起来的密码方式称为混合密码系统。

单项散列函数,用于保证完整性:“数据时正确的而不是伪造的”,没有被篡改过。

数字签名能够保证数据不会被篡改,也防止发送者的否认。

伪随机数生成器是一种能够模拟产生随机数列的算法,同时承担着密钥生成的重要职责。

隐写术隐藏的是消息本身,而密码隐藏的是内容,应用场景:数字水印。

密码与信息安全常识:

  1. 不要使用保密的密码算法
  2. 使用低强度的密码比不进行任何加密更危险
  3. 任何密码总有一天都会被破解
  4. 密码只是信息安全的一部分

历史上的密码

凯撒密码,通过平移字母顺序达到加密效果,平移字母个数为密钥。
简单替换密码,通过维护字母对照表达到加密效果。

密钥空间,所有可用密钥的总数就是密钥空间的大小,空间越大,暴力破解越困难。

频率分析破译:通过分析语言中高频使用字母及单词达到破译效果。

Enigma :通过增加通信密码的方式保证安全性。
问题:

  1. 通信密码连续输入2词并加密
  2. 通信密码是认为设定的
  3. 必须有每日密码本

对称密码

将显示世界中的东西映射为比特序列的操作称为编码。

XOR,异或,相同为0 ,不同为1。

比特序列的异或,将明文 A 用密钥 B 进行加密,得到密文 A XOR B,将密文 A XOR B 用密钥 B 进行解密,得到明文 A。

一次性密码本,又称为维纳没密码,通过生成随机比特序列与明文异或加密。

理论上无法破解的原因:无法判断暴力破解的结果是否是争取的明文。
无法使用的原因:

  1. 密钥的发送
  2. 密钥的保存,密钥长度与明文长度相等。
  3. 密钥的重用
  4. 密钥的同步
  5. 密钥的生成,需要真正的随机数

DES(Data Encryption Standard),可被短时间破译,不推荐使用。

DES 将64 比特的明文加密成64比特的密文,密钥长度是56比特,从规格上说,DES 的密钥长度是64 比特,但由于每隔7 比特会设置一个用于错误校验的比特,因此实质上密钥长度是56比特。

DES 以每 64 比特的明文为最小单位进行加密,属于分组密钥的一种。

DES 结构,又称为 Feistel 网络,在很多密码算法中都有应用。

加密步骤:

  1. 将输入的数据等分为左右两部分
  2. 将输入的右侧直接发送到输出的右侧
  3. 将输入的右侧发送到轮函数
  4. 轮函数根据右侧数据和子密钥,计算出一串看上去是随机的比特序列
  5. 将上一步得到的比特序列与左侧数据进行 XOR 运算,并将结果作为加密后的左侧
  6. 因为上述使用将右侧数据作为密钥的一部分,因此需要指定规则(如每两轮)对输入数据的左右进行数据对调

DES 加密时无论使用任何函数作为轮函数都可以正确解密,也就是说,轮函数无需考虑解密的问题,可以被设计的任意复杂。

三重 DES,为了增加 DES 的强度,将DES 重复3次所得到的一种密码算法。

加密过程为:加密,解密,加密,这么做的目的是为了能够让三重DES 兼容普通的 DES。

AES(Advanced Encryption Standard)取代DES。通过评选,最终选择 Rijndael。

Rijndael 分组成都为 128 比特,密钥长度可以以32比特为单位在128 比特到256 比特的范围内进行选择,在AES 规格中,密钥长度只有 128,192,256 比特三种。

AES 使用 SPN 结构。
加密过程:

  1. SubBytes 处理,输入分组为 128 比特,16 字节,首先逐个字节的对16字节的输入数据进行SubBytes 处理,可以简单的理解为“简单替换密码” 中的 256 个字母的版本
  2. ShiftRows 处理,将 SubBytes 的输出以字节为单位进行打乱处理,注意,打乱处理是有规律的
  3. MixColumns 处理,对一个4字节的值进行比特运算,将其变为另一个4字节的值
  4. AddRoundKey 处理,将 MixColumns 的输出与轮密钥进行XOR
  5. 重复上述4步,需要重复 10 - 14 轮计算。

相比 Feistel 网络,SPN 优势:

  • 加密锁需要的轮数更少
  • 所有处理均按照字节为单位进行,速度更快

劣势:

  • 无法使用同一种结构实现加密和解密

分组密码的模式

分组密码是每次只能处理特定长度的一块数据的一类密码算法,一个分组的比特书就称为分组长度。

例如 DES 和三重 DES 的分组长度都是 64 比特,也就是会所一次只能加密64 比特的明文,并生成64 比特的密文。

当对一段很长的明文进行加密时,的呆的方法就称为分组密钥的模式。
主要模式有以下5种:

  • ECB 模式,电子密码本模式
  • CBC 模式,密码分组链接模式
  • CFB 模式,密文反馈模式
  • OFB 模式,输出反馈模式
  • CTR 模式,计数器模式

ECB 模式,将明文分组加密之后的结果直接称为密文分组,若分组内容小于分组长度时,则自动向上填充。

弱点:可以在步破译密文的情况下操纵明文。

CBC 模式,首先将明文分组与前一个密文分组进行 XOR 运算,然后再进行加密。

CFB 模式,前一个密文分组会被送回到密码算法的输入端,即初始化向量通过加密算法与明文分组进行异或运算,得到密文分组。

OFB 模式,密码算法的输出会反馈到密码算法的输入中,通过将明文分组和密码算法的输出进行异或运算来产生密文分组。

CTR 模式,通过将逐次累加的计数器进行加密来生成密钥流的流密码。每个分组对应一个逐次累加的计数器,并通过对计数器进行加密来生成密钥流,也就是说,最终的密钥分组时通过将计数器加密得到的比特序列与明文分组进行异或运算得到的。

公钥密码

公钥密码是密码学历史上最伟大的发明,是数学史上最伟大的发现。

公钥密码解决的问题:密钥发送。

在公钥密码中,密钥氛围加密密钥和解密密钥两种,发送者用加密密钥对消息进行加密,接收者用解密密钥对密文进行解密。

注意:

  1. 发送者只需要加密密钥
  2. 接收者值需要解密密钥
  3. 解密密钥步可以被窃听者窃取
  4. 加密密钥被窃听者获取也没问题

RSA 是一种公钥密码算法,被用于公钥密码和数字签名。
加密公式:对代表明文的数字的 E 次方球 mod N 的结果,结果就是密文。其中 E 和 N 是 RSA 加密的密钥,也就是E 和 N 的组合就是公钥。

解密公式:对代表密文的数字的 D 次方球 mod N 就可以得到明文,其中 N 与加密算法中的N 是相同的。

生成密钥对流程:

  1. 求 N
    1. 准备两个很大的质数,假设为 p 和 q,并将其相乘,结果为 N
  2. 求 L
    1. L 是 p-1 和 q-1 的最小公倍数
  3. 求 E
    1. E 是一个比 1 大,比 L 小的数,E 和 L 的最大公约数必须为 1
  4. 求 D
    1. 1 < D < L
    2. E * D mod L = 1

混合密码系统

公钥密码劣势:

  1. 公钥密钥处理速度远远低于对称密码
  2. 公钥密码难以抵御中间人攻击

混合密码主要解决上述问题 1。有以下机制:

  1. 用对称密码加密消息
  2. 通过伪随机数生成器生成对称密码加密中使用的会话密钥
  3. 用公钥密码加密会话密钥
  4. 从混合密码系统外部赋予公钥密码加密时使用的密钥

认证

单向散列函数

单向散列函数有一个输入和一个输出,输入称为消息,输出称为散列值,函数可以根据消息的内容计算出散列值,可以根据散列值来检查消息的完整性。

特性:

  1. 根据任意长度的消息计算出固定长度的散列值
  2. 能够快速计算出散列值
  3. 消息不同散列值也不同
  4. 具备单向性

实际应用:

  1. 检测软件是否被篡改
  2. 基于口令的加密
  3. 消息认证码
  4. 数字签名
  5. 伪随机数生成器
  6. 一次性口令

具体例子:

  1. MD4,MD5
  2. SHA-1,SHA-256,SHA-384,SHA-512
  3. RIPEMD-160
  4. AHS,SHA-3

单向散列函数能够辨别出篡改,但是无法辨别出伪装。当我们想要确定文件的所有者时谁,需要进行认证。用于认证的技术包括消息验证码和数字签名。消息认证码能够想通信对象保证消息没有被篡改,而数字签名不仅能够向通信对象保证消息没有被篡改,还能够向所有第三方作出这样的保证。

消息认证码

在消息传递时,需要关注完整性和认证两个性质。

消息认证码是一种确认完整性并进行认证的技术,简称 MAC。消息认证码的输入包括任意长度的消息和一个发送者与接收者之间共享的密钥,它可以输出固定长度的数据,这个数据称为 MAC 值。简单理解:消息认证码是一种与密钥相关联的单向散列函数。

无法解决的问题:

  1. 对第三方证明
  2. 防止否认

数字签名

为什么要使用数字签名:

  • 消息认证码的局限性
  • 消息认证码无法防止否认,发送者与接收者共享同一个密钥,对第三方来说,无法确认消息是谁发送的

签名的生成和验证

  • 生成消息签名的行为
    • 由消息的发送者完成,意味着“发送者认可该消息的内容”
    • 发送者使用签名密钥生成消息的签名
    • 签名密钥只能由签名人持有
  • 验证消息签名的行为
    • 一般由消息的接收者完成,也可以由需要验证消息的第三方来完成
    • 接收者使用验证密钥进行密钥的验证
    • 验证密钥无法生成签名
    • 验证密钥可以是任何由需要验证签名的人持有

公钥密钥使用公钥加密,使用私钥解密;

数字签名使用私钥签发,使用公钥验证。

缺点:

  • 无法判断公钥是否属于签发者

证书

公钥证书与驾照类似,记录着姓名、组织、邮箱地址等个人信息以及属于此人的公钥,并由认证机构施加数字签名,公钥证书简称证书。

典型使用流程:

  1. 接收者生成密钥对
  2. 接收者在认证结构 Trent 注册自己的公钥
  3. 认证结构 Trent 用自己的私钥对 Bob 的公钥施加数字签名并生成证书
  4. 发送者得到带有认证机构 Trent 的数字签名的接收者的公钥(证书)
  5. 发送者使用认证机构 Trent 的公钥验证数字签名,确认接收者公钥的合法性
  6. 发送者使用接收者的公钥加密消息并发送到接收者
  7. 接收者使用自己的私钥解密密文得到发送者的消息

公钥基础设施是为了能够更有效的运用公钥而指定的一系列规范和规格的总称,简称 PKI。

组成要素:

  1. 用户—使用 PKI 的人
  2. 认证机构—颁发证书的人
  3. 仓库—保存证书的数据库

密钥、随机数与应用技术

密钥

密钥就是一个巨大的数字,数字本身不重要,重要的是密钥空间的大小,空间越大,暴力破解就越困难,空间的大小是由密钥长度决定的。

密钥与明文是等价的,明文的价值就是密钥的价值。

密钥的用途:

  • 在对称密码中,由于发送者和接收者之间需要共享密钥,因此对称密钥又称为共享密钥密码。
  • 在公钥密码中,加密和解密使用的是不同的密钥,加密的是公钥,解密的是私钥,私钥也称为私密密钥,公钥与私钥也称为密钥对。
  • 对称密码和公钥密钥的密钥都是用于确保机密性的密钥,相对的,消息认证码和数字签名所使用的密钥,则是用于认证的密钥。

密钥的管理:

  • 生成密钥
    • 用随机数生成密钥
    • 用口令生成密钥
  • 配送密钥
    • 事先共享密钥
    • 使用公钥密码
    • Diffie-Hellman 密钥交换
  • 更新密钥
    • 用当前密钥的散列值作为下一个密钥
  • 保存密钥
    • 人类无法记住密钥
    • 保存在保险柜等安全的地方
    • 将密钥加密后保存
    • 减少需要保管的密钥数量
  • 作废密钥
    • 删除密钥的同时,需要将对应的加密后文件一同删除

如何生成安全的口令

  • 使用只有自己才能知道的信息
    • 不要使用对自己重要的事物的名字
    • 不要使用关于自己的信息
    • 不要使用别人见过的信息
  • 将多个不同的口令分开使用
  • 有效利用笔记
  • 理解口令的局限性

随机数

为了不让攻击者看穿而使用随机数。

应用场景:

  • 生成密钥
    • 用于对称密码和消息认证码
  • 生成密钥对
    • 用于公钥密码和数字签名
  • 生成初始化向量
    • 用于分组密码的 CBC、CFB、OFB 模式
  • 生成 nonce
    • 用于防御重放攻击以及分组密码的 CTR 模式等
  • 生成盐
    • 用于基于口令的密码等

随机数的性质:

  • 随机性—不存在统计学偏差,完全杂乱的数列
  • 不可预测行—不能从过去的数列推测出下一个出现的数
  • 不可重现性—除非将数列本身保存下来,否则不能重现相同的数列

PGP

PGP(Pretty Good Privary)是一款密码软件,支持多平台。

功能列表:

  1. 对称密码
  2. 公钥密码
  3. 数字签名
  4. 单向散列函数
  5. 证书
  6. 压缩
  7. 文本数据
  8. 大文件的拆分和拼合
  9. 钥匙串管理

加密流程:

解密流程:

SSL/TLS

SSL(Secure Socket Layer)
TLS(Transport Layer Security)

当 Web 浏览器发送请求时,请求的数据会作为客户端请求发送给服务器,如果通信内容被窃听者所窃取,那么窃听者就会得到请求数据。可以使用 SSL/TLS 作为对通信进行加密的协议,然后再次智商承载 HTTP。通过将两种协议进行叠加,我们就可以对HTTP 的通信进行加密,防止窃听。通过 SSL/TLS 进行通信时,URL 以 https 开头。

解决问题:

  • 机密性问题
    • 解决方式:对称密码、伪随机数生成器、公钥密码
  • 完整性问题
    • 解决方式:消息认证码
  • 认证问题
    • 解决方式:数字签名

SSL 与 TLS 区别:
SSL 是 1994年由王晶公司设计的一种协议,于1995年发布了3.0 版本。
TLS 设市 IETF 基于 SSL 3.0 版本的基础上设计的协议,在 1999年发布了 TLS 1.0 版本,实际上相当于 SSL 3.1。2006 年发布 TLS 1.1 版本,在对称密码算法中加入了 AES 支持。

SSL/TLS 使用到的密码技术:

  • 公钥密码
    • 加密预备主密码
  • 单向散列函数
    • 构成伪随机数生成器
  • 数字签名
    • 验证服务器和客户端的证书
  • 伪随机数生成器
    • 生成预备主密码
    • 根据主密码生成密钥
    • 生成初始化向量
  • 对称密码
    • 确保片段的机密性
  • 消息认证码
    • 确保片段的完整性并进行认证

密码技术与现实社会

密码的作用是为了确保机密性,将明文转换为密文。转换之后,密文不需要保护了,需要保护的是加密时使用的密钥。通过保护较短的密钥来保护较长的明文,称为机密性的压缩。

单向散列函数时用于确认完整性的,不必检查较长的明文的完整性,只要检查散列值就能确认,这种做法称为完整性的压缩。

消息认证码和数字签名都是用于认证的技术,通过较短的认证富豪来对较长的消息进行认证,称为认证的压缩。

只有完美的密码,没有完美的人。

发表于 |

背景

最近在写 k8s Operator,在看示例的时候看到 controller 都会设置 Finalizers,今天来聊一聊 Finalizers 和相关实现。

Finalizers

Finalizers 允许 Operator 控制器实现异步的 pre-delete hook。比如你给 API 类型中的每个对象都创建了对应的外部资源,你希望在 k8s 删除对应资源时同时删除关联的外部资源,那么可以通过 Finalizers 来实现。

Finalizers 是由字符串组成的列表,当 Finalizers 字段存在时,相关资源不允许被强制删除。存在 Finalizers 字段的的资源对象接收的第一个删除请求设置 metadata.deletionTimestamp 字段的值, 但不删除具体资源,在该字段设置后, finalizer 列表中的对象只能被删除,不能做其他操作。

metadata.deletionTimestamp 字段非空时,controller watch 对象并执行对应 finalizers 的动作,当所有动作执行完后,需要清空 finalizers ,之后 k8s 会删除真正想要删除的资源。

Operator finalizers 使用

介绍了 Finalizers 概念,那么我们来看看在 Operator 中如何使用,在 Operator Controller 中,最重要的逻辑就是 Reconcile 方法,finalizers 也是在 Reconcile 中实现的。要注意的是,设置了 Finalizers 会导致 k8s 的 delete 动作转为设置 metadata.deletionTimestamp 字段,如果你通过 kubectl get 命令看到资源存在这个字段,则表示资源正在删除(deleting)。

有以下几点需要理解:

  1. 如果资源对象未被删除且未设置 finalizers,则添加 finalizer并更新 k8s 资源对象;
  2. 如果正在删除资源对象并且 finalizers 仍然存在于 finalizers 列表中,则执行 pre-delete hook并删除 finalizers ,更新资源对象;
  3. 由于以上两点,需要确保 pre-delete hook是幂等的。

kuberbuilder 示例

我们来看一个 kubebuilder 官方示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
func (r *CronJobReconciler) Reconcile(req ctrl.Request) (ctrl.Result, error) {
    ctx := context.Background()
    log := r.Log.WithValues("cronjob", req.NamespacedName)

    var cronJob batch.CronJob
    if err := r.Get(ctx, req.NamespacedName, &cronJob); err != nil {
        log.Error(err, "unable to fetch CronJob")
        return ctrl.Result{}, ignoreNotFound(err)
    }

    // 声明 finalizer 字段,类型为字符串
    myFinalizerName := "storage.finalizers.tutorial.kubebuilder.io"

    // 通过检查 DeletionTimestamp 字段是否为0 判断资源是否被删除
    if cronJob.ObjectMeta.DeletionTimestamp.IsZero() {
        // 如果为0 ,则资源未被删除,我们需要检测是否存在 finalizer,如果不存在,则添加,并更新到资源对象中
        if !containsString(cronJob.ObjectMeta.Finalizers, myFinalizerName) {
            cronJob.ObjectMeta.Finalizers = append(cronJob.ObjectMeta.Finalizers, myFinalizerName)
            if err := r.Update(context.Background(), cronJob); err != nil {
                return ctrl.Result{}, err
            }
        }
    } else {
        // 如果不为 0 ,则对象处于删除中
        if containsString(cronJob.ObjectMeta.Finalizers, myFinalizerName) {
            // 如果存在 finalizer 且与上述声明的 finalizer 匹配,那么执行对应 hook 逻辑
            if err := r.deleteExternalResources(cronJob); err != nil {
                // 如果删除失败,则直接返回对应 err,controller 会自动执行重试逻辑
                return ctrl.Result{}, err
            }

            // 如果对应 hook 执行成功,那么清空 finalizers, k8s 删除对应资源
            cronJob.ObjectMeta.Finalizers = removeString(cronJob.ObjectMeta.Finalizers, myFinalizerName)
            if err := r.Update(context.Background(), cronJob); err != nil {
                return ctrl.Result{}, err
            }
        }

        return ctrl.Result{}, err
    }
}

func (r *Reconciler) deleteExternalResources(cronJob *batch.CronJob) error {
    //
    // 删除 crobJob关联的外部资源逻辑
    //
    // 需要确保实现是幂等的
}

func containsString(slice []string, s string) bool {
    for _, item := range slice {
        if item == s {
            return true
        }
    }
    return false
}

func removeString(slice []string, s string) (result []string) {
    for _, item := range slice {
        if item == s {
            continue
        }
        result = append(result, item)
    }
    return
}

cluster-api-provider-vsphere 实现

看完了示例,我们来招一个具体项目看看,cluster-api-provider-vsphere 是 cluster-api 相关项目,用于提供 vsphere 相关资源创建的 Operator,采用 kubebuilder 来实现的。

vspheremachine_controller.go 中实现了 Reconcile 方法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
// Reconcile ensures the back-end state reflects the Kubernetes resource state intent.
func (r *VSphereMachineReconciler) Reconcile(req ctrl.Request) (_ ctrl.Result, reterr error) {
	...
	// Always close the context when exiting this function so we can persist any VSphereMachine changes.
	defer func() {
		if err := machineContext.Patch(); err != nil && reterr == nil {
			reterr = err
		}
	}()

	// Handle deleted machines
	if !vsphereMachine.ObjectMeta.DeletionTimestamp.IsZero() {
		return r.reconcileDelete(machineContext)
	}

	// Handle non-deleted machines
	return r.reconcileNormal(machineContext)
}

Reconcile 中检测了 DeletionTimestamp 是否为0 ,如果不为0 ,则表示资源处于正在删除中,那么来看下 reconcileDelete 实现:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
func (r *VSphereMachineReconciler) reconcileDelete(ctx *context.MachineContext) (reconcile.Result, error) {
	ctx.Logger.Info("Handling deleted VSphereMachine")

	var vmService services.VirtualMachineService = &govmomi.VMService{}

    // 执行删除虚拟机逻辑
	vm, err := vmService.DestroyVM(ctx)
	if err != nil {
        // 如果删除失败,则直接返回错误,controller 会自动重试
		return reconcile.Result{}, errors.Wrapf(err, "failed to destroy VM")
	}

	// 重新调度删除虚拟机逻辑,直到虚拟机状态处于 notfound 状态
	if vm.State != infrav1.VirtualMachineStateNotFound {
		ctx.Logger.V(6).Info("requeuing operation until vm state is reconciled", "expected-vm-state", infrav1.VirtualMachineStateNotFound, "actual-vm-state", vm.State)
		return reconcile.Result{RequeueAfter: config.DefaultRequeue}, nil
	}

	// pre-delete hook执行成功,也就是上面的删除虚拟机逻辑执行成功,则清空 Finalizers
	ctx.VSphereMachine.Finalizers = clusterutilv1.Filter(ctx.VSphereMachine.Finalizers, infrav1.MachineFinalizer)

	return reconcile.Result{}, nil
}

可以看到整体逻辑与示例的使用是一致的,主要通过这种方式来达到 pre-delete hook 的效果。

k8s-initializer-finalizer-practice

在搜索相关资料的时候,看到有人在 SO 上问了如何使用的问题,其中有个回答中附上了一个练习项目,项目很小,很适合了解 Finalizers 概念。

相关逻辑如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
}else{
	customdeployment:=obj.(*crdv1alpha1.CustomDeployment).DeepCopy()
	fmt.Println("Event..............................")
	if customdeployment.DeletionTimestamp != nil{
		// check if it has finalizer
		if customdeployment.GetFinalizers()!=nil{
			finalizers:=customdeployment.GetFinalizers()

			// check if first finalizer match with deletepod.crd.emruz.com
			if finalizers[0]=="deletepods.crd.emruz.com"{
				//
				_,err:=myutil.PatchCustomDeployment(c.clientset,customdeployment, func(deployment *crdv1alpha1.CustomDeployment) *crdv1alpha1.CustomDeployment {
					// delete pods under this deployment
					err:=myutil.DeletePods(c.kubeclient,c.podLabel)
					if err!=nil{
						fmt.Println("Failed to remove all pods. Reason: ",err)
						return nil
					}
					// pods sucessfully removed. remove the finalizer
					customdeployment.ObjectMeta=myutil.RemoveFinalizer(customdeployment.ObjectMeta)
					return customdeployment
				})
				if err!=nil{
					return err
				}
			}
           }

总结

在开发 Operator 时,pre-delete hook 是一个很常见的需求,目前只发现了 Finalizers 适合实现这个功能,需要好好掌握。

参考链接

发表于 |

背景

最近手头上的 Cluster-API 的项目要告一段落, Cluster-API 发布了 v0.2.1 版本 ,正式放出了 YAML 配置文件,看到了点有意思的事情,觉得需要记录一下。

K8S Leader

看过之前 K8S 实战系列的朋友应该记得我写过一篇 K8S 高可用部署的文章,在文章中只是讲了具体的操作步骤,没有提到 k8s 是如何保证自己多个组件之间协作的。

我们这里有一个 3 个master 节点的集群:

1
2
3
4
5
[root@node70 21:01:01 ~]$kubectl get node
NAME     STATUS   ROLES    AGE   VERSION
node70   Ready    master   64d   v1.15.0
node71   Ready    master   64d   v1.15.0
node72   Ready    master   64d   v1.15.0

我们都知道 k8s 核心组件,其中 apiserver 只用于接收 api 请求,不会主动进行各种动作,所以他们在每个节点都运行并且都可以接收请求,不会造成异常;kube-proxy 也是一样,只用于做端口转发,不会主动进行动作执行。

但是 scheduler, controller-manager 不同,他们参与了 Pod 的调度及具体的各种资源的管控,如果同时有多个 controller-manager 来对 Pod 资源进行调度,结果太美不敢看,那么 k8s 是如何做到正确运转的呢?

k8s 所有功能都是通过 services 对外暴露接口,而 services 对应的是具体的 endpoints ,那么来看下 scheduler 和 controller-manager 的 endpoints 是什么:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
[root@node70 21:04:46 ~]$kubectl -n kube-system describe endpoints kube-scheduler
Name:         kube-scheduler
Namespace:    kube-system
Labels:       <none>
Annotations:  control-plane.alpha.kubernetes.io/leader:
                {"holderIdentity":"node70_ed12bf09-7aa3-47d6-9546-97752bb589b5","leaseDurationSeconds":15,"acquireTime":"2019-09-11T05:31:58Z","renewTime"...
Subsets:
Events:  <none>
[root@node70 21:05:25 ~]$kubectl -n kube-system describe endpoints kube-controller-manager
Name:         kube-controller-manager
Namespace:    kube-system
Labels:       <none>
Annotations:  control-plane.alpha.kubernetes.io/leader:
                {"holderIdentity":"node71_c8deeaea-2d66-4459-90ee-65c28563062f","leaseDurationSeconds":15,"acquireTime":"2019-09-12T12:44:15Z","renewTime"...
Subsets:
Events:
  Type    Reason          Age   From                     Message
  ----    ------          ----  ----                     -------
  Normal  LeaderElection  22m   kube-controller-manager  node71_c8deeaea-2d66-4459-90ee-65c28563062f became leader

可以看到关键字 control-plane.alpha.kubernetes.io/leader ,这两个组件是通过 leader 选举来从集群中多个节点选择一个执行具体动作,如果我们去看 /etc/kubernetes/manifests/ 下的配置文件,会看到这行配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    component: kube-controller-manager
    tier: control-plane
  name: kube-controller-manager
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-controller-manager
    - --allocate-node-cidrs=true
...
    - --leader-elect=true

通过在 YAML 中添加 leader-elect=true 来决定是否进行选主逻辑。而这个参数也是在执行 kubeadm 部署集群时就自动配置好了,无需手动配置。

Deployment Leader

我们先来说说 Deployment,Deployment 是从 ReplicaSet 进化来的,主要增加的功能有滚动更新、回滚、扩容所容等,可以说是我们日常使用 K8S 最常见的资源类型了。

那么当我们通过创建 Deployment 间接创建 ReplicaSet 时,我们有时候并不想所有的 ReplicaSet 中的 Pod 运行统一的逻辑。这时候我们就需要一种方式来选择(通知)某一个 Pod ,来确定这个 Pod 提供特殊功能,其他的 Pod 提供普通功能,也就是跟上述 k8s 实现方式一样,通过Leader 选举完成需求。

Leader 选举有很多方式,或是代码中内嵌选举逻辑,或者通过第三方服务,但是有两个的特点:

  1. Leader 在同一时间内是唯一的
  2. 当 Leader 所在 Pod 发生异常时,其他 Pod 要可以随时变为 Leader 。

Leader 选举实现方式

代码内嵌选主逻辑

在 Golang 中,k8s client-go 这个package 针对 Leader 相关功能进行了封装,支持3种锁资源,endpoint,configmap,lease,方便使用。

代码仓库:https://github.com/kubernetes/client-go/tree/master/tools/leaderelection

因为这次主要不是说具体实现,再加上我也没看过代码,这里先掠过。

SideCar

相比于代码中内嵌选主逻辑,使用 sidecar 就不用担心跨语言的问题了,使用起来也简单许多,我们现在用的这个项目实现:https://github.com/kubernetes-retired/contrib/blob/master/election/README.md

使用方式:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
  creationTimestamp: "2019-07-12T07:35:32Z"
  generation: 6
  labels:
    app: yiran-test
  name: yiran-test
  namespace: default
spec:
  selector:
    matchLabels:
      app: yiran-test
  template:
    metadata:
      annotations:
        kubectl.kubernetes.io/restartedAt: "2019-09-09T10:58:51+08:00"
      creationTimestamp: null
      labels:
        app: yiran-test
    spec:
      containers:
      - args:
        - --election=elect-yiran-test
        - --http=0.0.0.0:4444
        image: leader-elector:0.5
        imagePullPolicy: IfNotPresent
        name: leader-elector
      - args:
        ...

在 Deployment 或 DaemonSet 中,添加 sidecar 指定端口,最终会在所有的 Pod 中选择一个 Leader 。
在业务代码中,只需要访问端口 4444 ,即可获取当前 Pod 中 Leader 信息,目前是通过 hostname 作为唯一标示的。

如果看了这个项目的代码,会发现它也是使用的 client go 中的实现,只是增加了一层 http server:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
func getCurrentLeader(electionId, namespace string, c client.Interface) (string, *api.Endpoints, error) {
	endpoints, err := c.Endpoints(namespace).Get(electionId)
	if err != nil {
		return "", nil, err
	}
	val, found := endpoints.Annotations[leaderelection.LeaderElectionRecordAnnotationKey]
	if !found {
		return "", endpoints, nil
	}
	electionRecord := leaderelection.LeaderElectionRecord{}
	if err := json.Unmarshal([]byte(val), &electionRecord); err != nil {
		return "", nil, err
	}
	return electionRecord.HolderIdentity, endpoints, err
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
func main() {
	flags.Parse(os.Args)
	validateFlags()

	kubeClient, err := makeClient()
	if err != nil {
		glog.Fatalf("error connecting to the client: %v", err)
	}

	fn := func(str string) {
		leader.Name = str
		fmt.Printf("%s is the leader\n", leader.Name)
	}

	e, err := election.NewElection(*name, *id, *namespace, *ttl, fn, kubeClient)
	if err != nil {
		glog.Fatalf("failed to create election: %v", err)
	}
	go election.RunElection(e)

	if len(*addr) > 0 {
		http.HandleFunc("/", webHandler)
		http.ListenAndServe(*addr, nil)
	} else {
		select {}
	}
}

是否开启选举参数

那么我们说了这么多,在实际使用中是否应该开启选举参数呢?
这里要说一下我在文章开头提到的有意思的事情,我们来看下cluster-api 的 YAML 文件:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
apiVersion: apps/v1
kind: Deployment
metadata:
  ...
spec:
  replicas: 1
  ...
  template:
    metadata:
      ...
    spec:
      containers:
      - args:
        - --enable-leader-election
        command:
        - /manager
        image: us.gcr.io/k8s-artifacts-prod/cluster-api/cluster-api-controller:v0.2.1
        name: manager
        ...

创建的资源类型是 Deployment,replicas 设置为1,传递了参数 --enable-leader-election,当时我觉得有些奇怪,replicas是1 啊,也就是说一共只有1个 Pod,为啥还要开启 Leader 选举逻辑呢?如果说是为了之后的扩容那可以理解,但是在这份配置文件里,应该完全没必要。把这段配置发给 liqiang同学 看,他也觉得有些怪怪的。

秉着不懂就问的精神,我去 Slack #cluster-api 中提出了我的疑问,得到了以下回复,我格式化一下:

1
2
3
4
5
6
7
8
9
10
@cha: 
it's mostly set for best practice. If you scale up the system will still work. If you don't enable leader election and scale up you will have race conditions


@cha:
but you're right. If you're running a single manager you don't need to enable leader election


@jdetiber:
With a Deployment you do, because on rolling out a change it will spin up the new RS in parallel with the other so there will be 2 pods running at the same time for a short while

其中 @cha 的回复跟我预想的差不多,主要处于之后的扩容考虑,需要防止竞争情况出现。但是 @jdetiber 提到了一点很关键,当 Deployment 进行滚动升级的时候,哪怕设置了 Replicas 为1,也会存在短时间同时存在 2 个 Pod 的情况,那么肯定会导致我们的代码逻辑错误,很重要(感叹号)。

总结

其实今天这篇文章主要是想记录下上面这段话的,自己在平时使用 k8s 过程中,貌似也仅仅是知道这些功能并使用,真正要开发部分功能时,考虑的边界条件太少了。虽然知道 Deployment 滚动升级会有同时存在 2 个 Pod 的情况,却完全没有想到需要配置 Leader 选举参数来保证代码正确运行,涨知识了。

参考链接

发表于 |

背景

最近工作上每天疲于应付各种事情,周末实在不想继续做工作相关的事情,想起一直想了解的自动化测试框架 httprunner,就阅读下。之前一直有关注作者 debugtalk 的博客,收获很多。

随着公司的发展,自己也做过很多的工作,其中就包含测试,但是自己当时大部分都是手工测试,虽然会针对其中的部分进行代码编写,但是不成体系。虽然后来就没有继续负责测试工作了,但是对于测试还是很感兴趣,平时开发过程中,最多也就是使用 unittest 或 pytest 来编写单测,这次通过阅读 httprunner 代码来感受下测试框架。

P.S. 在使用及了解 httprunner 之前,最好先了解下 unittest。

httprunner

HttpRunner 是一款面向 HTTP(S) 协议的通用测试框架,只需编写维护一份 YAML/JSON 脚本,即可实现自动化测试、性能测试、线上监控、持续集成等多种测试需求。

一句话总结就是 api 自动化测试,其中用到了以下的开源项目:

  1. requests
  2. locust
  3. unittest

requests 和 unittest 可以说是 python 开发者用的比较多的两个项目。locust 是一个 api 压力测试,这个我们公司也有用到。

介绍完了项目,我们来跟着官方文档了解运行流程。

执行流程

文档中的 快速上手 章节与章节名称很配,真心是 快速上手 ,通过一个又一个的示例来了解具体的功能使用,循序渐进,简直完美。不过又一点不好的地方是 demo 示例的代码不再 httprunner 中,而是在 docs 项目中,使用起来不是很方便,如果有 Dockerfile 来支撑,就更好了。

在 httprunner 项目中,项目的包管理是通过 poetry 进行的,比 setuptools 要清晰很多。

首先来看命令,httprunner 随着项目的演进,支持的命令行有 4个,其中 3 个是重复的,1个是压力测试:

1
2
3
4
5
[tool.poetry.scripts]
hrun = "httprunner.cli:main_hrun"
ate = "httprunner.cli:main_hrun"
httprunner = "httprunner.cli:main_hrun"
locusts = "httprunner.cli:main_locust"

我们以 hrun 为例,从 argparse 接收到的参数均作为参数传递给 HttpRunner,然后执行实例化 HttpRunner,通过 HttpRunner.run 进行用例的执行:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
runner = HttpRunner(
    failfast=args.failfast,
    save_tests=args.save_tests,
    report_template=args.report_template,
    report_dir=args.report_dir,
    log_level=args.log_level,
    log_file=args.log_file
)
try:
    for path in args.testcase_paths:
        runner.run(path, dot_env_path=args.dot_env_path)
except Exception:
    color_print("!!!!!!!!!! exception stage: {} !!!!!!!!!!".format(runner.exception_stage), "YELLOW")
    raise

我们来看下 runner.run 做了啥:

1
2
3
4
5
6
7
def run(self, path_or_tests, dot_env_path=None, mapping=None):
    if validator.is_testcase_path(path_or_tests):
        return self.run_path(path_or_tests, dot_env_path, mapping)
    elif validator.is_testcases(path_or_tests):
        return self.run_tests(path_or_tests)
    else:
        raise exceptions.ParamsError("Invalid testcase path or testcases: {}".format(path_or_tests))

这里只是进行了一层判断,判断传入的参数是一个路径还是具体的用例,因为我们主要是了解整个执行流程,所以我们直接假设传入的是测试用例,来看看 self.run_tests

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
def run_tests(self, tests_mapping):
    """ run testcase/testsuite data
    """
    project_mapping = tests_mapping.get("project_mapping", {})
    if self.save_tests:
        utils.dump_logs(tests_mapping, project_mapping, "loaded")

    # parse tests
    self.exception_stage = "parse tests"
    parsed_testcases = parser.parse_tests(tests_mapping)

    if self.save_tests:
        utils.dump_logs(parsed_testcases, project_mapping, "parsed")

    # add tests to test suite
    self.exception_stage = "add tests to test suite"
    test_suite = self._add_tests(parsed_testcases)

    # run test suite
    self.exception_stage = "run test suite"
    results = self._run_suite(test_suite)

    # aggregate results
    self.exception_stage = "aggregate results"
    self._summary = self._aggregate(results)

    # generate html report
    self.exception_stage = "generate html report"
    report.stringify_summary(self._summary)

    if self.save_tests:
        utils.dump_logs(self._summary, project_mapping, "summary")

    report_path = report.render_html_report(
        self._summary,
        self.report_template,
        self.report_dir
    )

    return report_path

先来看下具体的执行函数 self._run_suite

1
2
3
4
5
6
7
8
9
10
11
def _run_suite(self, test_suite):
    tests_results = []

    for testcase in test_suite:
        testcase_name = testcase.config.get("name")
        logger.log_info("Start to run testcase: {}".format(testcase_name))

        result = self.unittest_runner.run(testcase)
        tests_results.append((testcase, result))

    return tests_results

真正执行用例执行的是 self.unittest_runner ,而 self.unittest_runner = unittest.TextTestRunner(**kwargs),也就是说这里的 testcase 其实是 unittest.suite.TestSuite 或者 unittest.case.TestCase

这里跟预想中的出现了偏差,我以为这里是自己实现的测试执行及结果比对的方法,没想到调用的是 unittest,那么怎么从一个 testcase 变为 unittest 可执行对象的,应该就是在 self._add_tests 中实现的了:

1
2
3
4
5
6
7
8
9
10
def _add_tests(self, testcases):
    """ initialize testcase with Runner() and add to test suite.

    Args:
        testcases (list): testcases list.

    Returns:
        unittest.TestSuite()

    """

这个函数略长,这里分开说,从注释中可以知道,最终 unittest 执行的是 unittest.TestSuite ,看下具体的逻辑:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
test_suite = unittest.TestSuite() #定义 test_suite 返回值
for testcase in testcases:
    config = testcase.get("config", {})
    test_runner = runner.Runner(config) # 实例化 Runner,后续主要执行逻辑都在 Runner 中
    TestSequense = type('TestSequense', (unittest.TestCase,), {}) # 通过 type 声明一个 `unittest.TestCase` 的子类

    tests = testcase.get("teststeps", [])
    for index, test_dict in enumerate(tests):
        times = test_dict.get("times", 1)
        try:
            times = int(times)
        except ValueError:
            raise exceptions.ParamsError(
                "times should be digit, given: {}".format(times))

        for times_index in range(times):
            # suppose one testcase should not have more than 9999 steps,
            # and one step should not run more than 999 times.
            test_method_name = 'test_{:04}_{:03}'.format(index, times_index)
            test_method = _add_test(test_runner, test_dict) 
            setattr(TestSequense, test_method_name, test_method) # 将上面的 test_method 定义为 TestSequense 属性

    loaded_testcase = self.test_loader.loadTestsFromTestCase(TestSequense) # 利用 TestLoader 来找到符合条件的方法,默认 TestLoader 寻找前缀为 `test` 
    setattr(loaded_testcase, "config", config)
    setattr(loaded_testcase, "teststeps", tests)
    setattr(loaded_testcase, "runner", test_runner)
    test_suite.addTest(loaded_testcase) # 将 `TestLoader.loadTestsFromTestCase` 找到的 testcase 添加到 `test_suite` 中,并最终返回

看完上面这里,有一个比较重要的就是 _add_test 做了啥:

1
2
3
4
5
6
7
8
9
10
11
12
def _add_test(test_runner, test_dict):
    """ add test to testcase.
    """
    def test(self):
        try:
            test_runner.run_test(test_dict)
        except exceptions.MyBaseFailure as ex:
            self.fail(str(ex))
        finally:
            self.meta_datas = test_runner.meta_datas
    ...
    return test

先忽略其他代码,可以看到 _add_test 最终返回的是一个函数,这个函数名称是 test ,结合上面的 self.test_loader.loadTestsFromTestCase ,可以知道这个函数就是最终执行的方法。

看完这里,回到 run_tests 中,在 self._run_suite 执行完之后,就进行结果汇总、生成报告了,那么具体的请求是怎么发送出去的,结果又是怎么校验的?猜测是在 runner.Runner 中实现的,接着来看。

用例请求及校验

在上面提到,最终 _add_test 返回的函数中,执行的内容只有一个,就是 test_runner.run_test ,那么我们来看看 run_test

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
def run_test(self, test_dict):
        """ run single teststep of testcase.
            test_dict may be in 3 types.

        Args:
            test_dict (dict):

                # teststep
                {
                    "name": "teststep description",
                    "variables": [],        # optional
                    "request": {
                        "url": "http://127.0.0.1:5000/api/users/1000",
                        "method": "GET"
                    }
                }

                # nested testcase
                {
                    "config": {...},
                    "teststeps": [
                        {...},
                        {...}
                    ]
                }

                # TODO: function
                {
                    "name": "exec function",
                    "function": "${func()}"
                }

        """
        self.meta_datas = None
        if "teststeps" in test_dict:
            # nested testcase
            test_dict.setdefault("config", {}).setdefault("variables", {})
            test_dict["config"]["variables"].update(
                self.session_context.session_variables_mapping)
            self._run_testcase(test_dict)
        else:
            # api
            try:
                self._run_test(test_dict)
            except Exception:
                # log exception request_type and name for locust stat
                self.exception_request_type = test_dict["request"]["method"]
                self.exception_name = test_dict.get("name")
                raise
            finally:
                self.meta_datas = self.__get_test_data()

这里的注释虽然很长,但是很清晰的告诉我们这个函数做了什么,他允许传递的参数是嵌套的,所以这里先做了层判断,我们以最简单的来假设,直接看 self._run_test

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
def _run_test(self, test_dict):
        # clear meta data first to ensure independence for each test
        self.__clear_test_data() # 清空测试结果及 session 信息

        # check skip
        self._handle_skip_feature(test_dict) # 根据测试用例关键字执行相应跳过逻辑

        ... # N 多准备工作

        # setup hooks
        setup_hooks = test_dict.get("setup_hooks", [])
        if setup_hooks:
            self.do_hook_actions(setup_hooks, "setup") # 与大部分框架一样,支持 pre hook

        ... # N 多准备工作

        # request
        resp = self.http_client_session.request( # 根据用例发出请求
            method,
            parsed_url,
            name=(group_name or test_name),
            **parsed_test_request
        )
        resp_obj = response.ResponseObject(resp)

        # teardown hooks
        teardown_hooks = test_dict.get("teardown_hooks", []) # 支持 post hook
        if teardown_hooks:
            self.session_context.update_test_variables("response", resp_obj)
            self.do_hook_actions(teardown_hooks, "teardown")

        # extract
        extractors = test_dict.get("extract", {})
        extracted_variables_mapping = resp_obj.extract_response(extractors)
        self.session_context.update_session_variables(extracted_variables_mapping)

        # validate
        validators = test_dict.get("validate") or test_dict.get("validators") or []
        try:
            self.session_context.validate(validators, resp_obj) # 结果校验
        except (exceptions.ParamsError, exceptions.ValidationFailure, exceptions.ExtractFailure):
            err_msg = "{} DETAILED REQUEST & RESPONSE {}\n".format("*" * 32, "*" * 32)
            ...

            raise

        finally:
            self.validation_results = self.session_context.validation_results

具体的 http 请求时通过 self.http_client_session.request 发送的,通过 self.session_context.validate 进行结果校验,来看下具体的校验方式:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
for validator in validators:
    # validator should be LazyFunction object
    if not isinstance(validator, parser.LazyFunction):
        raise exceptions.ValidationFailure(
            "validator should be parsed first: {}".format(validators))

    # evaluate validator args with context variable mapping.
    validator_args = validator.get_args()
    check_item, expect_item = validator_args
    check_value = self.__eval_validator_check( # 准备参数
        check_item,
        resp_obj
    )
    expect_value = self.__eval_validator_expect(expect_item) # 准备参数
    validator.update_args([check_value, expect_value])

    comparator = validator.func_name
    ...

    try:
        validator.to_value(self.test_variables_mapping) # 执行校验
        validator_dict["check_result"] = "pass"
        validate_msg += "\t==> pass"
        logger.log_debug(validate_msg)
    except (AssertionError, TypeError):
        ...

    self.validation_results.append(validator_dict)

前面都是在准备参数,最终执行完 validator.to_value 如果没有异常,就直接标记 check_resultpass 了,那么我们需要看看这里的 to_value 做了什么,感觉这个方法名称不太好,跟实际做的事情感觉不匹配。

1
2
3
4
5
6
7
8
9
def to_value(self, variables_mapping=None):
    """ parse lazy data with evaluated variables mapping.
        Notice: variables_mapping should not contain any variable or function.
    """
    variables_mapping = variables_mapping or {}
    args = parse_lazy_data(self._args, variables_mapping)
    kwargs = parse_lazy_data(self._kwargs, variables_mapping)
    self.cache_key = self.__prepare_cache_key(args, kwargs)
    return self._func(*args, **kwargs)

看到这里可能会感觉迷糊下,咦,为什么这里执行了 self._funcself._func 是什么时候定义的,它做了啥?
我们在编写测试用例的时候 validate 通常是eq,gt,lt 等字段,如果把他们直接当作函数执行肯定不行的,那么一定存在一个映射关系将这些关键字转换为对应的函数。

看到这里其实我们漏掉了一个比较重要的步骤,就是 run_tests 中的 parse_tests 。其实很多时候默认的配置是不足以支撑我们真正逻辑的运行的,往往我们需要根据已有配置来扩充信息,达到满足执行要求的状态,接下来我们来看下测试用例准备工作。

用例解析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

def parse_tests(tests_mapping):
    
    project_mapping = tests_mapping.get("project_mapping", {})
    testcases = []

    for test_type in tests_mapping:

        if test_type == "testsuites":
            ...

        elif test_type == "testcases":
            for testcase in tests_mapping["testcases"]:
                parsed_testcase = _parse_testcase(testcase, project_mapping)
                testcases.append(parsed_testcase)

        elif test_type == "apis":
            ...

    return testcases

这里同样对 test_type 进行了判断,如果不是 testcases ,则会进行处理,我们还是假设最简单的 testcases,可以看到调用了 _parse_testcase 方法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
def _parse_testcase(testcase, project_mapping, session_variables_set=None):
    testcase.setdefault("config", {})
    prepared_config = __prepare_config(
        testcase["config"],
        project_mapping,
        session_variables_set
    )
    prepared_testcase_tests = __prepare_testcase_tests(
        testcase["teststeps"],
        prepared_config,
        project_mapping,
        session_variables_set
    )
    return {
        "config": prepared_config,
        "teststeps": prepared_testcase_tests
    }

从官方文档可以知道,每个 testcase 中的 config 其实是全局配置,所以这里先解析了 config,然后将其作为参数传递给了 __prepare_testcase_tests 用来准备对应的 testcase,最终返回准备好的测试用例及配置,那么跟着看下 __prepare_testcase_tests,这个函数很长很长,先忽略其他部分,先来看这段:

1
2
3
4
5
6
7
# unify validators' format
if "validate" in test_dict:
    ref_raw_validators = test_dict.pop("validate", [])
    test_dict["validate"] = [
        validator.uniform_validator(_validator)
        for _validator in ref_raw_validators
    ]

如果存在 validate ,那么将其转换为 validator.uniform_validator 组成的列表,彷佛抓到了什么,我们来看下 validator.uniform_validator

1
2
3
4
5
6
7
8
9
10
def uniform_validator(validator):
    ...
    # uniform comparator, e.g. lt => less_than, eq => equals
    comparator = get_uniform_comparator(comparator)

    return {
        "check": check_item,
        "expect": expect_value,
        "comparator": comparator
    }

最终返回的是一个字典,其中的 comparatorget_uniform_comparator 返回值,继续看:

1
2
3
4
5
6
7
8
9
10
def get_uniform_comparator(comparator):
    """ convert comparator alias to uniform name
    """
    if comparator in ["eq", "equals", "==", "is"]:
        return "equals"
    elif comparator in ["lt", "less_than"]:
        return "less_than"
    ...
    else:
        return comparator

终于找到了校验关键字的映射关键字,那么我们继续回头看 __prepare_testcase_tests

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
# convert validators to lazy function
validators = test_dict.pop("validate", [])
prepared_validators = []
for _validator in validators:
    function_meta = {
        "func_name": _validator["comparator"],
        "args": [
            _validator["check"],
            _validator["expect"]
        ],
        "kwargs": {}
    }
    prepared_validators.append(
        LazyFunction(
            function_meta,
            functions,
            teststep_variables_set
        )
    )
test_dict["validate"] = prepared_validators

# convert variables and functions to lazy object.
# raises VariableNotFound if undefined variable exists in test_dict
prepared_test_dict = prepare_lazy_data(
    test_dict,
    functions,
    teststep_variables_set
)
prepared_testcase_tests.append(prepared_test_dict)

在这里针对刚刚得到的关键字对应函数名称又进行了一次封装,现在的 test_dict["validate"] 就是一个 LazyFunction 组成的列表了,回想最开始我们为啥要看用例解析这部分的代码,因为我们发现在函数校验那里没找到真正执行的函数,我们来看下 LazyFunction 的构造函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
def __init__(self, function_meta, functions_mapping=None, check_variables_set=None):
    """ init LazyFunction object with function_meta

    Args:
        function_meta (dict): function name, args and kwargs.
            {
                "func_name": "func",
                "args": [1, 2]
                "kwargs": {"a": 3, "b": 4}
            }

    """
    self.functions_mapping = functions_mapping or {}
    self.check_variables_set = check_variables_set or set()
    self.cache_key = None
    self.__parse(function_meta)

重点在最后一个行,self.__parse(function_meta)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
def __parse(self, function_meta):
    """ init func as lazy functon instance

    Args:
        function_meta (dict): function meta including name, args and kwargs
    """
    self._func = get_mapping_function(
        function_meta["func_name"],
        self.functions_mapping
    )
    self.func_name = self._func.__name__
    self._args = prepare_lazy_data(
        function_meta.get("args", []),
        self.functions_mapping,
        self.check_variables_set
    )
    self._kwargs = prepare_lazy_data(
        function_meta.get("kwargs", {}),
        self.functions_mapping,
        self.check_variables_set
    )

    ...

在这里找到了我们一直想找的 self._func 定义,看函数名是通过 func_name 从一个 map 中返回真正的函数,来看看是不是这样:

1
2
3
4
5
6
7
8
9
10
11
12
def get_mapping_function(function_name, functions_mapping):
    
    ...

    try:
        # check if HttpRunner builtin functions
        from httprunner import loader
        built_in_functions = loader.load_builtin_functions()
        return built_in_functions[function_name]
    except KeyError:
        pass
    ...
1
2
3
4
5
from httprunner import built_in, exceptions, logger, parser, utils, validator
def load_builtin_functions():
    """ load built_in module functions
    """
    return load_module_functions(built_in)
1
2
3
4
5
6
7
8
def load_module_functions(module):
    module_functions = {}

    for name, item in vars(module).items():
        if validator.is_function(item):
            module_functions[name] = item

    return module_functions

一路追下来,具体的实现应该在 built_in.py 没跑:

1
2
3
4
5
6
7
def equals(check_value, expect_value):
    assert check_value == expect_value

def less_than(check_value, expect_value):
    assert check_value < expect_value

...

Ok,到这里我们终于了解了用例的解析工作做了什么,同时也解答了我们上面遗留下来的疑问,结果校验执行的是什么。

总结

在公司内部同样有着测试框架,是基于 Robot Framework 进行开发的,但是我被 Robot 的代码量劝退了。。。httprunner 项目整体来看代码量不大,很适合作为初步了解自动化测试的框架来阅读。

根据作者自述,项目起源于大疆内部的测试需求,之后转为开源项目,不知道作者现在是否是因为离开了大疆还是其他原因,现在 httprunner 的社区感觉很差,明明是有公司使用的,但是并没有积极参与,作者一个人承担了几乎100% 的代码开发任务,感觉是一个不健康的社区。

希望自己有机会的话也参与进去,不希望这样一个项目 掉。

P.S.

其实这篇博客应该是在周五晚上完成的,但是写着写着发现自己对于项目中的整体流程无法理顺,今天又用了大半天的时间重新读了代码,一点一点记录下来。

嗯,写博客的好处之一。

发表于 |

背景

在日常开发时,有时候需要保证自己代码的健壮性,需要模拟各种故障测试,比如:磁盘、网络、端口等,今天来汇总一下平时使用最多的几种故障模拟方法

磁盘

插入拔出

服务器的存储控制器如果是直通模式,那么在 OS 中能够直接获取到磁盘插入与拔出事件,有时候我们需要检测到相应的事件来自动化的做某些动作,具体的实现方式见之前的文章 Linux 下磁盘设备自动发现方式

那么我们写完了代码想要测试,不想去机房物理操作,怎么模拟呢?

Hypervisor

如果你的代码部署的机器是一台虚拟机,那么在 Hypervisor 层面一般都会有对应的接口来完成相应的操作。

比如 Vsphere ESXi 中可以直接编辑虚拟机,在磁盘选项中有一个“移除”按钮,可以直接移除磁盘:

再比如 KVM 下,可以通过 Libvirt 接口来 detach 磁盘

当然对于插入动作,Hypervisor 也会提供对应的功能。

物理服务器

如果 OS 不是在 Hypervisor 上,而是直接安装在了物理服务器上,我们怎么做呢?

通常我们服务器上的磁盘都是 SCSI 设备,会实现完整的 SCSI(接口),可以通过修改相应设备的标置文件来达到目的。

示例:
节点存在设备 /dev/sda ,修改标置文件,在系统中会发现磁盘已经被移除了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
[root@yiran ~]# lsblk
NAME            MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
sda               8:0    0   10G  0 disk
sr0              11:0    1  4.3G  0 rom  /run/media/root/CentOS 7 x86_64
vda             252:0    0  100G  0 disk
├─vda1          252:1    0    1G  0 part /boot
└─vda2          252:2    0   99G  0 part
  ├─centos-root 253:0    0   50G  0 lvm  /
  ├─centos-swap 253:1    0  3.9G  0 lvm
  └─centos-home 253:2    0 45.1G  0 lvm  /home
[root@yiran ~]# ls /sys/block/sda/device/delete
/sys/block/sda/device/delete
[root@yiran ~]# echo 1 > /sys/block/sda/device/delete
[root@yiran ~]# lsblk
NAME            MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
sr0              11:0    1  4.3G  0 rom  /run/media/root/CentOS 7 x86_64
vda             252:0    0  100G  0 disk
├─vda1          252:1    0    1G  0 part /boot
└─vda2          252:2    0   99G  0 part
  ├─centos-root 253:0    0   50G  0 lvm  /
  ├─centos-swap 253:1    0  3.9G  0 lvm
  └─centos-home 253:2    0 45.1G  0 lvm  /home

如果我们新开一个终端,可以通过 udevadm 命令查看到设备移除过程:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
[root@yiran ~]# udevadm monitor
monitor will print the received events for:
UDEV - the event which udev sends out after rule processing
KERNEL - the kernel uevent

KERNEL[1255.635671] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/bsg/2:0:0:0 (bsg)
KERNEL[1255.636247] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_generic/sg1 (scsi_generic)
KERNEL[1255.636265] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_device/2:0:0:0 (scsi_device)
KERNEL[1255.636357] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_disk/2:0:0:0 (scsi_disk)
UDEV  [1255.637109] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/bsg/2:0:0:0 (bsg)
KERNEL[1255.638351] remove   /devices/virtual/bdi/8:0 (bdi)
UDEV  [1255.638369] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_device/2:0:0:0 (scsi_device)
KERNEL[1255.638385] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/block/sda (block)
UDEV  [1255.638397] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_disk/2:0:0:0 (scsi_disk)
KERNEL[1255.638417] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0 (scsi)
UDEV  [1255.639174] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_generic/sg1 (scsi_generic)
UDEV  [1255.639192] remove   /devices/virtual/bdi/8:0 (bdi)
UDEV  [1255.641850] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/block/sda (block)
UDEV  [1255.642914] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0 (scsi)
KERNEL[1255.643143] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0 (scsi)
UDEV  [1255.643608] remove   /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0 (scsi)

说完了拔出磁盘,那么该如何插入呢?最简单的办法肯定是重启 OS,毕竟我们不是真正的拔出了设备,重启 OS 之后设备肯定会重新发现。我们也可以通过修改对应的标置文件来手动重新执行设备扫描动作:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[root@yiran ~]# lsblk
NAME            MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
sr0              11:0    1  4.3G  0 rom  /run/media/root/CentOS 7 x86_64
vda             252:0    0  100G  0 disk
├─vda1          252:1    0    1G  0 part /boot
└─vda2          252:2    0   99G  0 part
  ├─centos-root 253:0    0   50G  0 lvm  /
  ├─centos-swap 253:1    0  3.9G  0 lvm
  └─centos-home 253:2    0 45.1G  0 lvm  /home
[root@yiran ~]# for i in `ls /sys/class/scsi_host/`;do echo "- - -" > /sys/class/scsi_host/$i/scan;done
[root@yiran ~]# lsblk
NAME            MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
sda               8:0    0   10G  0 disk
sr0              11:0    1  4.3G  0 rom  /run/media/root/CentOS 7 x86_64
vda             252:0    0  100G  0 disk
├─vda1          252:1    0    1G  0 part /boot
└─vda2          252:2    0   99G  0 part
  ├─centos-root 253:0    0   50G  0 lvm  /
  ├─centos-swap 253:1    0  3.9G  0 lvm
  └─centos-home 253:2    0 45.1G  0 lvm  /home

同样,在另一个终端可以看到 udev 事件:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
[root@yiran ~]# udevadm monitor
monitor will print the received events for:
UDEV - the event which udev sends out after rule processing
KERNEL - the kernel uevent

KERNEL[1506.675351] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0 (scsi)
KERNEL[1506.675416] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0 (scsi)
KERNEL[1506.675523] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_disk/2:0:0:0 (scsi_disk)
KERNEL[1506.675562] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_device/2:0:0:0 (scsi_device)
KERNEL[1506.676417] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_generic/sg1 (scsi_generic)
KERNEL[1506.676555] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/bsg/2:0:0:0 (bsg)
UDEV  [1506.677524] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0 (scsi)
KERNEL[1506.677662] add      /devices/virtual/bdi/8:0 (bdi)
UDEV  [1506.682939] add      /devices/virtual/bdi/8:0 (bdi)
KERNEL[1506.682968] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/block/sda (block)
UDEV  [1506.683015] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0 (scsi)
UDEV  [1506.683036] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_disk/2:0:0:0 (scsi_disk)
UDEV  [1506.683053] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_device/2:0:0:0 (scsi_device)
UDEV  [1506.689442] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/scsi_generic/sg1 (scsi_generic)
UDEV  [1506.690861] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/bsg/2:0:0:0 (bsg)
UDEV  [1506.711146] add      /devices/pci0000:00/0000:00:07.0/virtio3/host2/target2:0:0/2:0:0:0/block/sda (block)

延迟

为了测试软件在高 IO 延迟下的表现,现在我们需要给一块磁盘设置指定的 IO 延迟(latency),可以使用 dm-delay 来实现:

dm-delay具体参数为:<device> <offset> <delay> [<write_device> <write_offset> <write_delay>]

1
2
3
4
5
[root@node90 10:45:54 ~]$modprobe brd rd_nr=1 rd_size=10485760 # 创建10G ram disk
[root@node90 10:46:23 ~]$blockdev --getsize /dev/ram0
20971520 
[root@node90 10:46:23 ~]$size=$(blockdev --getsize /dev/ram0) # Size in 512-bytes sectors
[root@node90 10:46:23 ~]$echo "0 $size delay /dev/ram0 0 500" | dmsetup create delayed # 设置读延迟 500
1
2
3
4
5
6
7
8
9
10
11
12
13
14
[root@node90 10:45:54 ~]cat fio.conf
[random]
filename=/dev/dm-0
readwrite=randread
blocksize=4k
ioengine=sync
direct=1
time_based=1
runtime=10
[root@node90 10:45:54 ~]fio fio.conf
...
clat (usec): min=500769, max=502110, avg=501122.35, stdev=357.23 #写入延迟 500ms 
     lat (usec): min=500770, max=502111, avg=501123.45, stdev=357.20 
...

通过 dm-delay,我们可以来进行各种排列组合来模拟磁盘状态,如:读延迟高,写延迟正常;读延迟高,写延迟高;读延迟低,写延迟高等。

IO 中断

dm-delay 支持设置 IO 中断,具体命令为:

1
2
$ sudo dmsetup suspend /dev/dm-0
$ sudo dmsetup resume  /dev/dm-0

若在执行 fio 过程中设置 IO 中断, 会看到 iops 为0 的现象:

1
2
3
[root@node90 10:45:54 ~]fio fio.conf
Starting 1 process
Jobs: 1 (f=1): [r(1)] [0.0% done] [0KB/0KB/0KB /s] [0/0/0 iops] [eta 34d:09h:15m:48s]

IO Error

有时我们也要求验证磁盘突然出现 IO Error 情况,可以通过 dm-flakey 实现:

1
2
3
4
5
6
7
8
[root@node90 11:06:44 ~]$modprobe brd rd_nr=1 rd_size=10485760 #10G
[root@node90 11:06:58 ~]$size=$(blockdev --getsize /dev/ram0)
[root@node90 11:06:58 ~]$echo "0 $size flakey /dev/ram0 0 60 0" | dmsetup create flakey
[root@node90 11:06:59 ~]$size=$(blockdev --getsize /dev/ram0)
[root@node90 11:07:06 ~]$echo "0 $size flakey /dev/ram0 0 30 30"  | dmsetup reload flakey
[root@node90 11:07:06 ~]$dmsetup resume flakey
[root@node90 11:07:06 ~]$dmsetup table flakey
0 20971520 flakey 1:0 0 30 30 0

若在执行 fio 过程中设置 IO Error,则会看到以下错误:

1
2
3
4
5
6
7
8
[root@node90 10:45:54 ~]fio fio.conf
Starting 1 process
fio: io_u error on file /dev/dm-0: Input/output error: read offset=647606272, buflen=4096
fio: pid=24184, err=5/file:io_u.c:1708, func=io_u error, error=Input/output error

random: (groupid=0, jobs=1): err= 5 (file:io_u.c:1708, func=io_u error, error=Input/output error): pid=24184: Sat Aug 31 11:09:45 2019
  cpu          : usr=0.00%, sys=0.00%, ctx=0, majf=0, minf=69
...

网络

在故障场景中,最常见的应该就是网络故障,尤其是现在分布式应用的场景很多,另一点原因是网络相关的工具很多,可以很方便的使用。

故障

最简单的网络故障应该就是连接中断,也就是各个节点之间无法联通了,我们可以直接通过 ifdown <nic name> 来将网卡置为 down,或者如果不在意其他网卡状态的话,可以直接 systemctl stop network 停止网络服务,来模拟无法联通情况。

有时候我们不想模拟网卡故障,想要模拟固定节点之间的网络故障,那么可以通过 iptables 来实现:

1
2
iptables -I INPUT -s 172.11.30.14 -j DROP
iptables -I OUTPUT -d 172.11.30.14 -j DROP

将指定 IP 的所有连接都丢弃。

延迟

网络延迟模拟可以通过 tc 来实现,命令很简单,找到指定的网卡名称,并执行:

1
[root@yiran ~]# tc qdisc add dev eth0 root netem delay 8ms

新开终端,在其他节点 ping 设置了网络延迟的节点:

1
2
3
4
5
6
7
8
9
10
11
root@yiran-30-250:~
 $ ping 192.168.30.246
PING 192.168.30.246 (192.168.30.246) 56(84) bytes of data.
64 bytes from 192.168.30.246: icmp_seq=1 ttl=64 time=8.76 ms
64 bytes from 192.168.30.246: icmp_seq=2 ttl=64 time=8.40 ms
64 bytes from 192.168.30.246: icmp_seq=3 ttl=64 time=8.38 ms
64 bytes from 192.168.30.246: icmp_seq=4 ttl=64 time=8.38 ms
^C
--- 192.168.30.246 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 8.381/8.485/8.769/0.198 ms

可以看到延迟稳定在 8ms 左右。

除了 tc 工具外,前几天看到了一个 Golang 实现的 L4 网络代理项目,可以模拟延迟和丢包,具体关于故障模拟的代码如下:

1
2
3
4
5
6
7
8
func (t *TCPServer) doWrite(bytes []byte, conn goetty.IOSession, ctl *conf.CtlUnit) {
	if ctl.DelayMs > 0 {
		log.Infof("Delay <%d>ms write to <%s>", ctl.DelayMs, t.proxyUnit.Target)
		time.Sleep(time.Millisecond * time.Duration(ctl.DelayMs))
	}

	conn.WriteAndFlush(bytes)
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
for {
		_, err = session.Read()
		if err != nil {
			log.Infof("Read from client<%s> failure.err=%+v", session.RemoteAddr(), err)
			break
		} else {
			// write to target
			ctl := t.proxyUnit.Ctl
			bytes := in.RawBuf()[in.GetReaderIndex():in.GetWriteIndex()]
			if 0 == ctl.Out.LossRate {
				log.Debugf("write %d bytes to <%s>", len(bytes), conn.RemoteAddr())
				t.doWrite(bytes, conn, ctl.Out)
			} else {
				if t.rnd.Intn(100) > ctl.Out.LossRate {
					log.Debugf("write %d bytes to <%s>", len(bytes), conn.RemoteAddr())
					t.doWrite(bytes, conn, ctl.Out)
				} else {
					log.Debugf("Loss write %d bytes to <%s>", len(bytes), conn.RemoteAddr())
				}
			}
		}

		in.SetReaderIndex(in.GetWriteIndex())
    }

端口

占用

在使用 Zookeeper 这类有状态应用时,除了通过 service 是否处于 running 来判断服务是否运行外,还需要判断节点的 zk 角色是否符合预期,如 leader 或 follower。

前几天又一个场景需要造出 Zookeeper 处于运行中,但是角色状态处于异常状态,我通过 nc 来实现的:

1
[root@yiran ~]# nc -kl 2181

现将端口占用,然后启动 Zookeeper,就可以了。

总结

故障模拟的主要使用场景是产品的自动化测试中,平时主要是辅助开发来自测,不需要记住具体参数,但是最好了解到什么场景下有什么工具可以使用,省时省力。

参考链接

发表于 |

背景

今天继续来聊一聊 cluster-api,在上周看 cluster-api-provider-vsphere 代码的时候吐槽过,cluster-api 最近因为 v1alpha2 版本的开发,变化太快,几乎每天都在变,那么我们就来看看 v1alpha2 具体做了什么。

Cluster-API v1alpha2

虽然目前 v1alpha2 还没有正式的 release,但是已经趋于稳定,且两个主要的 provider:aws 和 vsphere 都在进行 v1alpha2 版本的适配(最近每天都有 pr 更新)。我们先来了解下为啥要进行 v1alpha2 改动,改动的目的是啥。

在 v1alpha1 版本中,cluster-api 要求 provider 实现从节点置备到 k8s 部署的全套流程,cluster-api 自身只负责具体的 API 定义及相关控制,在 provider 实现上也不是一个标准的 Operator,(至少)我从概念的理解上比较吃力,每个 provider 需要实现对应 cluster 与 machine 的 actuator ,开发起来要求对 cluster-api 项目本身很熟悉。

其次,每个 provider 都包含了 k8s 集群部署的流程,虽然大部分实现最终都是使用 kubeadm 工具,但是使用方式千差万别,有 cloud-init、有 ssh 配合密钥、有 ssh 配合密码等等。这部分 provider 中的代码完全都是重复的,可以复用的。

上面提到的一些缺点,在 v1alpha2 版本中进行了改进,对各个组件进行了拆分,现在使用 cluster-api 需要 3 个控制器:

  1. Core(cluster-api)
  2. Bootstrap(kubeadm)
  3. Infrastructure(aws, gcp, azure, vsphere, etc)

下面来说说各个控制器负责什么。

Core(cluster-api)

核心控制器,也就是 cluster-api 项目自身,相比于 v1alpha1 版本 v1alpha2 各个方面简直可爱,来看看具体的改动:

clusterctl

在 v1alpha1 中,clusterctl 因为耦合了最终的 provider 项目,命令行是由对应的 provider 提供,在 v1alpha2 中完全由 cluster-api 维护。具体代码在 cmd/clusterctl 下,整体结构感觉跟 kubeadm 很像。

API

仍然包含两个主要的 CRD:cluster 和 machine,针对两个资源进行了阶段定义,根据注释就很好 cluster 和 machine 会处于哪些状态:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
const (
	// MachinePhasePending is the first state a Machine is assigned by
	// Cluster API Machine controller after being created.
	MachinePhasePending = MachinePhase("pending")

	// MachinePhaseProvisioning is the state when the
	// Machine infrastructure is being created.
	MachinePhaseProvisioning = MachinePhase("provisioning")

	// MachinePhaseProvisioned is the state when its
	// infrastructure has been created and configured.
	MachinePhaseProvisioned = MachinePhase("provisioned")

	// MachinePhaseRunning is the Machine state when it has
	// become a Kubernetes Node in a Ready state.
	MachinePhaseRunning = MachinePhase("running")

	// MachinePhaseDeleting is the Machine state when a delete
	// request has been sent to the API Server,
	// but its infrastructure has not yet been fully deleted.
	MachinePhaseDeleting = MachinePhase("deleting")

	// MachinePhaseDeleted is the Machine state when the object
	// and the related infrastructure is deleted and
	// ready to be garbage collected by the API Server.
	MachinePhaseDeleted = MachinePhase("deleted")

	// MachinePhaseFailed is the Machine state when the system
	// might require user intervention.
	MachinePhaseFailed = MachinePhase("failed")

	// MachinePhaseUnknown is returned if the Machine state cannot be determined.
	MachinePhaseUnknown = MachinePhase("")
)

Controller

cluster-api 不再负责具体的 API 所有资源的定义,而是通过设置资源的 owner 来达到最终 cluster 包含 machine 的效果。

用 AWS 官方示例展示:

cluster.yaml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
---
apiVersion: cluster.x-k8s.io/v1alpha2
kind: Cluster
metadata:
  name: ${CLUSTER_NAME}
spec:
  clusterNetwork:
    pods:
      cidrBlocks: ["192.168.0.0/16"]
  infrastructureRef:
    apiVersion: infrastructure.cluster.x-k8s.io/v1alpha2
    kind: AWSCluster
    name: ${CLUSTER_NAME}
---
apiVersion: infrastructure.cluster.x-k8s.io/v1alpha2
kind: AWSCluster
metadata:
  name: ${CLUSTER_NAME}
spec:
  region: ${AWS_REGION}
  sshKeyName: ${SSH_KEY_NAME}

在执行完 kubectl apply -f cluster.yaml 后, aws cluster 控制器会等待 cluster-api 控制器将 AWSClusterCluster 资源进行关联后进行下一步操作,这样最终能够达到 Cluster 资源是所有资源的 owner,也可以获得到所有资源的具体的 Spec 和 Status 信息。

(等版本 release 之后好好了解下其中的关系。

Boostrap(kubeadm)

相比 cluster-api 的复杂,目前 Bootstrap 的唯一实现 CABPK 是一个分拆出来的独立项目,这个项目的主要目的是通过 ClusterMachine 及对应的 Infrastructure ClusterMachine 信息,来生成 cloud-init 配置(Userdata)。

目前 v1alpha2 统一部署 k8s 集群的方式为 cloud-init ,通过 CABPK 项目生成对应 Machine 的 cloud-init 配置,在部署虚拟机的时候传递 Userdata,达到自动配置的效果。也就是说如果你的 Hypervisor 不支持 cloud-init,就没办法使用 cluster-api v1alpha2 进行部署,只能通过 v1alpha1 的方式,在 Infrastructure 控制器做所有事情。

需要注意的是,在 Infrastructure 控制器工作前,需要保证 Bootstrap 控制器正常工作,生成用于最终创建虚拟机的 cloud-init 配置。

Infrastructure

前面说的两个控制器都是社区官方维护的,下面来说下各个厂家(provider)维护的 Infrastructure 控制器(最近几天都在搞这个)。

v1alpha2 版本要求各个 provider 实现一个标准且完整的 Operator。包含对应的 Cluster,Machine。以下还是使用 cluster-api-provider-vsphere 具体,截止到 20190823 ,对应 PR 还处于未完成状态。

API

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

// VSphereClusterSpec defines the desired state of VSphereCluster
type VSphereClusterSpec struct {
	Server string `json:"server,omitempty"`
	Username string `json:"username,omitempty"`
	Password string `json:"password,omitempty"`
	Insecure *bool `json:"insecure,omitempty"`
	SSHAuthorizedKeys []string `json:"sshAuthorizedKeys,omitempty"`
	CloudProviderConfiguration cloud.Config `json:"cloudProviderConfiguration,omitempty"`
}

// VSphereClusterStatus defines the observed state of VSphereClusterSpec
type VSphereClusterStatus struct {
	Ready bool `json:"ready"`
	APIEndpoints []APIEndpoint `json:"apiEndpoints,omitempty"`
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
// VSphereMachineSpec defines the desired state of VSphereMachine
type VSphereMachineSpec struct {
	MachineRef string `json:"machineRef,omitempty"`
	Template string `json:"template"`
	Datacenter string `json:"datacenter"`
	Network NetworkSpec `json:"network"`
	NumCPUs int32 `json:"numCPUs,omitempty"`
	NumCoresPerSocket int32 `json:"numCoresPerSocket,omitempty"`
	MemoryMiB int64 `json:"memoryMiB,omitempty"`
	DiskGiB int32 `json:"diskGiB,omitempty"`
	TrustedCerts [][]byte `json:"trustedCerts,omitempty"`
	NTPServers []string `json:"ntpServers,omitempty"`
}

// VSphereMachineStatus defines the observed state of VSphereMachine
type VSphereMachineStatus struct {
	Ready bool `json:"ready"`
	Addresses []v1.NodeAddress `json:"addresses,omitempty"`
	TaskRef string `json:"taskRef,omitempty"`
	Network []NetworkStatus `json:"networkStatus,omitempty"`
	ErrorReason *errors.MachineStatusError `json:"errorReason,omitempty"`
	ErrorMessage *string `json:"errorMessage,omitempty"`
}

定义 VSphereCluster 与 VSphereMachine CRD,这里根据自己需要定义相关参数就好,比如如果不想支持自定义目标虚拟机配置,那么就不用提供 CPU、Memory 等配置。

Controller

来分别看看 cluster controller 与 machine controller 做了啥。

Cluster Controller

Reconcile 的实现中,先获取 VSphereCluster 信息:

1
2
3
4
5
6
7
8
vsphereCluster := &infrav1.VSphereCluster{}
err := r.Get(parentContext, req.NamespacedName, vsphereCluster)
if err != nil {
	if apierrors.IsNotFound(err) {
		return reconcile.Result{}, nil
	}
	return reconcile.Result{}, err
   }

然后获取 VSphereCluster 关联的 Cluster 信息:

1
2
3
4
5
6
7
8
9
// util 由 cluster-api 提供
cluster, err := util.GetOwnerCluster(parentContext, r.Client, vsphereCluster.ObjectMeta)
if err != nil {
	return reconcile.Result{}, err
}
if cluster == nil {
	logger.Info("Waiting for Cluster Controller to set OwnerRef on VSphereCluster")
	return reconcile.Result{RequeueAfter: 10 * time.Second}, nil
   }

在获取了足够的信息之后,针对这些信息,创建了 context(这里 aws 是叫 scope,是一个东西),判断是否包含 DeletionTimestamp 来决定进行什么调度,是 reconcileDelete 还是 reconcileNormal

1
2
3
4
5
6
7
8
func reconcileDelete(ctx *context.ClusterContext) (reconcile.Result, error) {
	ctx.Logger.Info("Reconciling VSphereCluster delete")

	// Cluster is deleted so remove the finalizer.
	ctx.VSphereCluster.Finalizers = util.Filter(ctx.VSphereCluster.Finalizers, infrav1.ClusterFinalizer)

	return reconcile.Result{}, nil
}

在所有的 provider 中,都对相应资源进行了 Finalizer 配置,方便后续在资源删除前进行一些额外的操作,这里 vsphere 还没有具体的实现。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
func reconcileNormal(ctx *context.ClusterContext) (reconcile.Result, error) {
	ctx.Logger.Info("Reconciling VSphereCluster")

	vsphereCluster := ctx.VSphereCluster

	// If the VSphereCluster doesn't have our finalizer, add it.
	if !util.Contains(vsphereCluster.Finalizers, infrav1.ClusterFinalizer) {
		vsphereCluster.Finalizers = append(vsphereCluster.Finalizers, infrav1.ClusterFinalizer)
	}

	// Set APIEndpoints so the Cluster API Cluster Controller can pull them
	vsphereCluster.Status.APIEndpoints = []infrav1.APIEndpoint{
		{
			Host: "", // vsphereCluster.Status.Network.APIServerELB.DNSName,
			Port: 0,
		},
	}

	// No errors, so mark us ready so the Cluster API Cluster Controller can pull it
	vsphereCluster.Status.Ready = true

	return reconcile.Result{}, nil
}

reconcileNormal 中对集群进行 Finalizer 判断,然后这里直接更新了 vsphereCluster.Status 具体字段,应该是还没实现完成。

Machine Controller

与 Cluster 相比,Machine 包含了具体的虚拟机创建动作,相应需要的信息也会多一些,除了通过 VSphereMachine获取关联 Machine 以外,还通过 Machine 获取了 Cluster 信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
// Fetch the Machine.
	machine, err := util.GetOwnerMachine(parentContext, r.Client, vsphereMachine.ObjectMeta)
	if err != nil {
		return reconcile.Result{}, err
	}
	if machine == nil {
		logger.Info("Waiting for Machine Controller to set OwnerRef on VSphereMachine")
		return reconcile.Result{RequeueAfter: 10 * time.Second}, nil
	}

	logger = logger.WithName(fmt.Sprintf("machine=%s", machine.Name))

	// Fetch the Cluster.
	cluster, err := util.GetClusterFromMetadata(parentContext, r.Client, machine.ObjectMeta)
	if err != nil {
		logger.Info("Machine is missing cluster label or cluster does not exist")
		return reconcile.Result{}, nil
    }

与 Cluster 一样,也会进行 DeletionTimestamp 判断,来看下 reconcileNormal 的实现:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
func (r *VSphereMachineReconciler) reconcileNormal(ctx *context.MachineContext) (reconcile.Result, error) {
	// 如果 VSphereMachine 的状态一场,则直接返回
	if ctx.VSphereMachine.Status.ErrorReason != nil || ctx.VSphereMachine.Status.ErrorMessage != nil {
		ctx.Logger.Info("Error state detected, skipping reconciliation")
		return reconcile.Result{}, nil
	}

	// 如果 VSphereMachine 没有 Finalizer,则添加
	if !util.Contains(ctx.VSphereMachine.Finalizers, infrav1.MachineFinalizer) {
		ctx.VSphereMachine.Finalizers = append(ctx.VSphereMachine.Finalizers, infrav1.MachineFinalizer)
	}

	if !ctx.Cluster.Status.InfrastructureReady {
		ctx.Logger.Info("Cluster infrastructure is not ready yet, requeuing machine")
		return reconcile.Result{RequeueAfter: waitForClusterInfrastructureReadyDuration}, nil
	}

	// 在真正创建虚拟机之前,需要确保 cloud-init 配置已经生成
	if ctx.Machine.Spec.Bootstrap.Data == nil {
		ctx.Logger.Info("Waiting for bootstrap data to be available")
		return reconcile.Result{RequeueAfter: 10 * time.Second}, nil
	}

    // 这里缺少真正创建虚拟机的实现
	return reconcile.Result{}, nil
}

vsphere 所有关于虚拟机的操作都在这里,感兴趣的可以看看。

main.go

看完了具体实现逻辑,那么去看下控制器入口: main.go

1
2
3
4
5
6
7
8
9
10
11
12
func init() {
	_ = clientgoscheme.AddToScheme(scheme)
	_ = infrav1.AddToScheme(scheme)
	// +kubebuilder:scaffold:scheme

	if v, err := time.ParseDuration(os.Getenv(syncPeriodEnvVar)); err == nil {
		defaultSyncPeriod = v
	}
	if v, err := time.ParseDuration(os.Getenv(requeuePeriodEnvVar)); err == nil {
		defaultRequeuePeriod = v
	}
}

需要注意的是 init 函数,这里应该加上 _ = clusterv1.AddToScheme(scheme) ,否则在真正创建对应资源的时候,会报 no kind is registered for the type 的错误。(对 Operator 还不太熟,这里具体原因未了解)

总结

相对来说 v1alpha2 版本改动范围较大,但是真香。各个逻辑部分比之前容易理解的多,且provider 实现也比之前简单许多(虽然还是比较麻烦)。

但是恰恰因为是 alpha 版本,再次吐槽,改动真的是太频繁了,按照项目中 Milestone 规划,在 20190831 就要 release v1alpha2 了,但是目前完成度还只有 58% 。而且目前看到除了 aws 和 vmware 对这个项目参与的比较积极,其他项目都处于假死状态,不知道后续是否会有其他厂家参与进来共同完善。

P.S.

  • cluster-api 相关项目使用 kubebuilder 辅助构建的,随着 kubebuilder v2 正式发布,相关代码结构改动较大,最好花费些时间了解下 kubebuilder v2。
  • 目前 provider 中 aws 完善度是最高的,但是 aws 中的概念是真的复杂,概念劝退