发表于 |

背景

之前 liqiang 同学写了一篇博客:Status 还是 State 用于总结日常工作中遇到的相似词的区别。这两天看代码,经常能够看到两个词:provider 和 provisioner,作为一个英语渣渣,很难准确的理解两个词的区别。

字典解释

provider 字典中的解释为:

  1. 供应者(商)
  2. 提供者(商)
  3. 供养人

provisioner 字典中的解释为:

  1. 粮食供应者

看上去从字面上也是一个意思,那么我们来找个实际场景看看。

实际场景

Terraform

在 Terraform 概念中,同时存在 provider 和 provisioner 两个概念:

is used to create, manage, and update infrastructure resources such as physical machines, VMs, network switches, containers, and more. Almost any infrastructure type can be represented as a resource in Terraform.
1
2

A provider is responsible for understanding API interactions and exposing resources. Providers generally are an IaaS (e.g. AWS, GCP, Microsoft Azure, OpenStack), PaaS (e.g. Heroku), or SaaS services (e.g. Terraform Cloud, DNSimple, CloudFlare).
1
Provisioners are used to execute scripts on a local or remote machine as part of resource creation or destruction. Provisioners can be used to bootstrap a resource, cleanup before destroy, run configuration management, etc.

这里的 provider 对应 供应商 的含义是可以正确理解的,不同的供应商提供不同的插件。

provisioner 在这里指的是定义的资源可使用的插件,如 remote-exec,file,chef 等等,跟供应商关系不大。

Vagrant Docker

在搜索过程中,看到有人在 SO 上问了这么个问题 Vagrant - Docker provider vs. docker provisioner

下面的高票回答:

1
Docker provisioner help to prepare environment: build and pull images, run containers if you need multiple containers running for your vagrant machine. Docker provider is running vagrant machine in docker container (instead of VM/cloud as other providers do).

虽然感觉说的不是很清楚,但是也可以看出 provider 是有明确分类的,而 provisioner 更像是具体的动作种类,比如创建、删除、更新等。

CSI

在 k8s CSI 中,也有 provisioner 的概念,这里主要是指具体的“置备动作执行者”。

当然 provisioner 也有多个,根据具体的存储供应商的不同,提供不同的 provisioner。

Cluster-API

在 Cluster-API 中,不同厂家为了支持 Cluster-API,会实现不同的 provider,比如 cluster-api-provider-aws, cluster-api-provider-vspher 等。

总结

根据实际的情况,provider 主要是用来区分供应者,是谁来提供某个事物,通常以公司区分。

provisioner 使用场景不多,主要是涉及到具体的功能执行,我这里理解为“置备动作执行者”,虽然也可以进行分类,但是主要意思应该是前者比较多一些。

发表于 |

背景

上一篇博客讲了 Cluster-API 的相关概念,现在我们来找一个 provider 实现看看具体里面做了啥,因为对 vmware 产品中的概念比较熟悉,就找了 cluster-api-provider-vsphere 。

以下内容均对应 clusterapi v1alpha1 版本。

clusterctl 命令

cluster-api provider 提供了命令行 clusterctl 用于给我们快速创建 bootstrap 集群用于创建目标 k8s 集群,我们来执行一下看看具体做了哪些工作:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
root@yiran-workstation:~/go/src/github.com/kubernetes-sigs/cluster-api-provider-vsphere 
master ✗ $ clusterctl create cluster \                                                       
  --provider vsphere \
  --bootstrap-type kind \
  --cluster ./out/management-cluster/cluster.yaml \
  --machines ./out/management-cluster/machines.yaml \
  --provider-components ./out/management-cluster/provider-components.yaml \
  --addon-components ./out/management-cluster/addons.yaml \
  --kubeconfig-out ./out/management-cluster/kubeconfig
I0816 17:28:05.815156   14562 createbootstrapcluster.go:27] Preparing bootstrap cluster
I0816 17:29:15.292547   14562 clusterdeployer.go:78] Applying Cluster API stack to bootstrap cluster
I0816 17:29:15.292619   14562 applyclusterapicomponents.go:26] Applying Cluster API Provider Components
I0816 17:29:16.492405   14562 clusterdeployer.go:83] Provisioning target cluster via bootstrap cluster
I0816 17:29:16.505317   14562 applycluster.go:36] Creating cluster object management-cluster in namespace "default"
I0816 17:29:16.518456   14562 clusterdeployer.go:92] Creating control plane machine in namespace "default"
I0816 17:29:16.548814   14562 applymachines.go:36] Creating machines in namespace "default" # 因为众所周知的“网络”问题,导致我的 Pod image 无法拉取,所以就卡在这里了。。。
...

可以看到这个命令一共做了如下的事情:

  1. 创建 bootstrap 集群
  2. 安装 Provider 组件
  3. 创建目标 k8s 集群,创建 Cluster CR,Machine CR

这里因为“网络”问题我无法继续下去了,那么我们来看下命令行的具体实现。

这个命令最终是由 provider 提供的,在 provider 中需要实现 2个接口来辅助信息的获取:

1
2
3
4
5
6
type Deployer interface {
	// TODO: This requirement can be removed once after: https://github.com/kubernetes-sigs/cluster-api/issues/158
	GetIP(cluster *clusterv1.Cluster, machine *clusterv1.Machine) (string, error)
	// TODO: This requirement can be removed after: https://github.com/kubernetes-sigs/cluster-api/issues/160
	GetKubeConfig(cluster *clusterv1.Cluster, master *clusterv1.Machine) (string, error)
}

在 Bootstrap 集群中,会运行 2个 StatefulSet ,分别对应的是 Cluster-api-control-manager 和 provider-control-manager。其中跟 Hypervisor 打交道的逻辑全部在 provider-control-manager 中实现。

Cluster

创建流程:

删除流程:

在 Cluster Controller 中,最终所有的调度任务都会通过 actuator 完成,actuator 需要实现以下接口:

1
2
3
4
5
6
type Actuator interface {
	// Reconcile creates or applies updates to the cluster.
	Reconcile(*clusterv1.Cluster) error
	// Delete the cluster.
	Delete(*clusterv1.Cluster) error
}

来看下 vsphere 的实现:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
func (a *Actuator) Reconcile(cluster *clusterv1.Cluster) (opErr error) {
	ctx, err := context.NewClusterContext(&context.ClusterContextParams{
		Cluster:          cluster,
		Client:           a.client,
		CoreClient:       a.coreClient,
		ControllerClient: a.controllerClient,
		Logger:           klogr.New().WithName("[cluster-actuator]"),
	})
	if err != nil {
		return err
	}

	defer func() {
		opErr = actuators.PatchAndHandleError(ctx, "Reconcile", opErr)
	}()

	ctx.Logger.V(6).Info("reconciling cluster")

	if err := a.reconcilePKI(ctx); err != nil {
		return err
	}

	if err := a.reconcileCloudConfigSecret(ctx); err != nil {
		return err
	}

	if err := a.reconcileReadyState(ctx); err != nil {
		return err
	}

	return nil
}

如果在 actuator 中遇到需要等待或重新调度的情况,比如目标虚拟机未创建完成,目标集群未 ready 的情况,需要返回 clusterErr.RequeueAfterError ,从而重新调度。比如在配置 secret 时,如果无法获取目标集群的 k8s client,那么表示集群还未配置完成:

1
2
3
4
5
6
7
func (a *Actuator) reconcileCloudConfigSecret(ctx *context.ClusterContext) error {
	client, err := kubeclient.New(ctx)
	if err != nil {
		ctx.Logger.Error(err, "target cluster is not ready")
		return &clusterErr.RequeueAfterError{RequeueAfter: config.DefaultRequeue}
	}
...

machine

创建流程:

删除流程:

在 v1alpha1 版本中,machine actuator 负责 2件事情:

  1. 虚拟机构建;
  2. k8s 集群构建(cloud-init 或 ssh)

在 vsphere 中,创建虚拟机和 k8s 集群构建两件事情时一起完成的,大概流程如下:

  1. 生成配置信息,如证书
  2. 判断目标 k8s 集群是否需要初始化(kubeadm init)
  3. 根据是否需要初始化及是否为 controlplane,生成对应 cloud-init 配置文件
  4. 克隆虚拟机,并将 cloud-init 配置文件作为 guestinfo.userdata 放入虚拟机配置参数中
  5. 虚拟机开机,通过 vmtoolsd 获取 guestinfo.userdata 信息,并作为 cloud-init 参数进行配置
  6. k8s 集群构建完成(我在实际测试中,发现并没有自动创建 CNI 插件,不知道是不是 bug)
  7. vsphere 克隆虚拟机为异步任务,提交克隆虚拟机任务后,得到 task id,后续判断虚拟机是否存在会用到;

Cloud-init or SSH

Cloud-init

在 vsphere provider 中,k8s 部署是通过 cloud-init 实现的,因为之前对 cloud-init 并不了解,这里大概看了下实现方式。

首先在克隆虚拟机时,给目标虚拟机添加了 guestinfo.userdata 字段作为虚拟机配置参数,这个参数是配置在 Hypervisor 层面的,理论上存在虚拟机隔离性,那么虚拟机内部应该无法感知这个参数,这时候就需要一个工具:vmtools。各个虚拟化平台都会提供一个 vmtools 或类似的工具,用于给虚拟机提供一些高级功能,如:获取 IP、设置主机名、配置 NTP/DNS Server、执行特定命令等等。这些都是根据 vmtools 的实现方式不同支持的功能也不同。

vmware vmtools 在安装后,vsphere 可以获取到虚拟机的 IP 等信息,同时,在虚拟机内部会安装一些命令,比如:

1
2
3
4
5
6
7
 $ which vmtoolsd     
/usr/bin/vmtoolsd
root@yiran-workstation:~/project/cluster-api-provider-vsphere 
7d21730f ✔ $ vmware-*
vmware-checkvm             vmware-hgfsclient          vmware-toolbox-cmd         vmware-vgauth-cmd        
vmware-config-tools.pl     vmware-namespace-cmd       vmware-uninstall-tools.pl  vmware-vmblock-fuse      
vmware-guestproxycerttool  vmware-rpctool             vmware-user-suid-wrapper   vmware-xferlogs

vsphere provider 代码中并没有很明确的给出参数是如何传递的,通过不断的寻找,我找到了这个项目: https://github.com/vmware/cloud-init-vmware-guestinfo ,在这里我们可以看到获取 Hypervisor 层面虚拟机的额外配置:

1
2
3
4
5
6
7
8
def get_guestinfo_value(key):
    '''
    Returns a guestinfo value for the specified key.
    '''
    LOG.debug("Getting guestinfo value for key %s", key)
    try:
        (stdout, stderr) = util.subp(
            [VMTOOLSD, "--cmd", "info-get guestinfo." + key])

那么后续的步骤就可以想象的到了,全靠 cloud-init ,这里因为对 cloud-init 了解不多,之后有机会去学习下。

SSH

SSH 是我们日常远程连接服务器最常用的方式了,通过用户名,密码(或密钥)来进行 SSH 连接,之后都是通过 Shell 脚本的方式实现 k8s 集群部署,当然 Shell 脚本最终调用的命令是 kubeadm。

总结

通过阅读 vsphere provider 代码,我们大概了解了实现一个 Cluster-API provider 需要做哪些事情,最主要的资源控制工作都是在 Cluster-API 实现的,而 provider 主要根据各个场景不同,通过 actuator 实现对应工作,代码量和实现方式上也是千差万别。比如 aws 全部代码可能要 2w 行,而 IBM 的加一起可能不到2k,全看各家的重视程度了。

在写这篇博客的间隙,Cluster-API 开始了 alpha2 的实质性工作: https://github.com/kubernetes-sigs/cluster-api/blob/master/docs/developer/v1alpha1-compared-to-v1alpha2.md ,还没有了解具体的改动,等 beta 之后再看吧。

吐槽:

因为 Cluster-API 处于 v1alpha1 阶段,master 分支代码改动非常大,前几天看的代码今天再看就跟记忆中对不上了,之后看代码的时候一定要注意去一个稳定分支上看,免得费时费力。

发表于 |

背景

在当前 Kubernetes 生态中,生命周期管理相关工具官方的有 kubeadm、kubespray(部署集群部分通过 kubeadm) ,开源社区还有很多其他的实现,我们可以通过这类工具来实现 k8s 集群的部署,升级,增删节点,但是使用一个工具的前提是:基础设施已经准备完成。只有当基础设施准备完成后,kubeadm 之类工具才可以正常工作。

当我们在部署 Kubernetes 集群时,节点可能在任何环境上,比如 AWS、OpenStack、Vsphere、Azure 等,那么想要自动化配置基础设施,通常我们根据自己的环境不同,编写不通的代码来支持我们的虚拟化(or 服务器)场景。

基础设施包括不限于:

  • OS 安装
  • Load Balance 配置
  • 网络配置
  • IP 分配

Cluster-API

Kubernetes 社区针对基础设施问题,发起了一个项目:cluster-api,目前处于 alpha1 版本,项目目标:

  1. 使用声明式API管理 Kubernetes 集群的生命周期
  2. 支持多种环境,私有云或公有云
  3. 使用社区中现有的工具完成相应功能

功能简述

  1. 无需创建额外基础设施前提下创建 bootstrap cluster
  2. 通过 bootstrap cluster 创建目标 k8s 集群

工作流程

  1. cluster-api 使用声明式 API 管理 k8s 集群,需要环境中先存在一个 k8s 集群,通常成为 bootstrap cluster,若不存在,也可通过提供的命令行工具 clusterctl 创建 bootstrap cluster
  2. 在 bootstrap cluster 中,部署 CRD 及相应的 cluster api 控制器及 provider 控制器
  3. 在 bootstrap cluster 中,开始创建我们真正想要创建的资源:k8s 集群
    创建资源类型为 Cluster、Machine 或 MachineDeployment ,对应的控制器会自动为我们创建好虚拟机
  4. 在虚拟机创建完成后,通过 kubeadm 创建 k8s 集群

具体实现

虚拟机创建

目前看到的几个 Cluster-API Provider 项目实现,虚拟机均通过克隆的方式创建出来的。

虚拟机创建失败处理

百度:每次等待 30s 查询一次,重试10次,若仍未成功,则创建失败

腾讯:每 2s 查询一次,若不成功,则一直循环

vsphere:提交虚拟机创建任务后未检查是否正确创建,未发现重试逻辑

OpenStack:每 10s 检测一次,若超过设定 timeout ,则创建失败

虚拟机控制方式

如果虚拟化平台支持 Cloud-init(或类似功能),后续 k8s 部署通过 Cloud-init 实现;

若虚拟化平台不支持,则 bootstrap cluster 中的 Pod 通过 ssh 方式进入倒虚拟机内部执行命令。

通过 Clout-init 实现的好处是Controller 只需要控制虚拟机开机即可,后续无需再主动与虚拟机进行通信,由 Cloud-init 自行触发部署 k8s集群任务;若没有 Cloud-init,则 Controller 在提交虚拟机创建任务后,需要循环等待虚拟机是否正常,等待正常后还需通过 ssh 主动与虚拟机进行连接控制,过于繁琐。

总结

Cluster API 目前还处于 Alpha1 版本,但是已经有很多厂家对其进行适配了,目前看到完成度比较高的公有云是 AWS,私有云是 Vsphere,之后好好读一下 Vsphere 的代码,了解下具体实现。

发表于 |

背景

在看一个新项目的时候,通常我都会了解下这个项目的代码量,然后心里给个预期,大概需要多久了解这个项目。

wc

在以前,我一般都是使用 find 配合 wc 来完成,比如:

1
2
3
4
root@yiran-workstation:/tmp/cloc 
 $ find . -name "*.go" | xargs wc -l {} 
  81 ./installer.go
  81 total

显示有一个 installer.go 的文件,一共有 81行。但是这里有个问题,就是 wc 是不会统计代码里面的具体内容的,比如注释、空白行等。

这时候我们就需要一个更高级的工具了: cloc

cloc

cloc 是一个 Perl 语言实现的项目,用途就像它的名字全称:Count Lines of Code。

使用方法的话最简单的直接加上项目路径:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
root@yiran-workstation:~/go/src/github.com/kubermatic/kubeone 
master ✗ $ pwd        
/root/go/src/github.com/kubermatic/kubeone
root@yiran-workstation:~/go/src/github.com/kubermatic/kubeone 
master ✗ $ cloc .                   
     292 text files.
     274 unique files.                                          
      78 files ignored.

github.com/AlDanial/cloc v 1.70  T=0.80 s (269.1 files/s, 32223.3 lines/s)
-------------------------------------------------------------------------------
Language                     files          blank        comment           code
-------------------------------------------------------------------------------
Go                             122           2861           2791          14374
Markdown                        38           1003              0           3172
YAML                            41             14            158            524
Bourne Shell                     5             44             89            206
Python                           4             66             76            186
XML                              4              0              0            100
make                             1             17             13             52
-------------------------------------------------------------------------------
SUM:                           215           4005           3127          18614
-------------------------------------------------------------------------------

可以看到统计结果,其中默认会按照语言分类。

如果是 Golang 的项目,且使用了 vendor ,那么可以通过 --exclude-dir 来过滤掉某些路径:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
aster ✗ $ cloc . 
    3304 text files.
    3170 unique files.                                          
     429 files ignored.

github.com/AlDanial/cloc v 1.70  T=12.40 s (232.7 files/s, 101850.0 lines/s)
--------------------------------------------------------------------------------
Language                      files          blank        comment           code
--------------------------------------------------------------------------------
Go                             2501         101422         113437        1007168
Markdown                        108           2688              0           6786
Protocol Buffers                 53           3006           9076           5133
YAML                            108            305            377           4032
Bourne Shell                     38            381            839           1897
JSON                              7              0              0           1748
Assembly                         35            271            320           1603
Python                            5            277            113            588
make                             23            165            162            556
Bourne Again Shell                3             45             56            378
XML                               4              0              0            106
C                                 1              8              7             24
--------------------------------------------------------------------------------
SUM:                           2886         108568         124387        1030019
--------------------------------------------------------------------------------
root@yiran-workstation:~/go/src/github.com/kubernetes-sigs/cluster-api-provider-vsphere 
master ✗ $ ls    
boilerplate.go.txt  cmd                 config           Dockerfile  go.mod  hack     Makefile  OWNERS_ALIASES  PROJECT    RELEASE.md  SECURITY_CONTACTS
build               code-of-conduct.md  CONTRIBUTING.md  docs        go.sum  LICENSE  OWNERS    pkg             README.md  scripts     vendor
root@yiran-workstation:~/go/src/github.com/kubernetes-sigs/cluster-api-provider-vsphere 
master ✗ $ cloc . --exclude-dir=vendor
     234 text files.
     234 unique files.                                          
      73 files ignored.

github.com/AlDanial/cloc v 1.70  T=0.55 s (294.2 files/s, 26466.9 lines/s)
-------------------------------------------------------------------------------
Language                     files          blank        comment           code
-------------------------------------------------------------------------------
Go                              64           1110           1355           5106
YAML                            37            150            302           1907
Bourne Shell                    22            256            475           1125
Markdown                        17            332              0            895
Python                           5            277            113            588
make                             9             57            112            177
JSON                             4              0              0            131
XML                              4              0              0            106
-------------------------------------------------------------------------------
SUM:                           162           2182           2357          10035
-------------------------------------------------------------------------------
root@yiran-workstation:~/go/src/github.com/kubernetes-sigs/cluster-api-provider-vsphere 
master ✗ $

有时候仅仅按照语言分类还不够,我们想看到具体的那些文件代码量比较大,可以使用 --by-file 参数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
root@yiran-workstation:~/go/src/github.com/kubermatic/kubeone 
master ✗ $ cloc . --by-file |head -n 30
     292 text files.
     274 unique files.                                          
      78 files ignored.

github.com/AlDanial/cloc v 1.70  T=0.70 s (307.5 files/s, 36823.9 lines/s)
--------------------------------------------------------------------------------------------------------------------
File                                                                             blank        comment           code
--------------------------------------------------------------------------------------------------------------------
./pkg/templates/machinecontroller/deployment.go                                     52             24            762
./pkg/apis/kubeone/v1alpha1/zz_generated.conversion.go                              86             54            614
./pkg/apis/kubeone/validation/validation_test.go                                    22             12            530
./pkg/cmd/config.go                                                                 81             42            477
./pkg/apis/kubeadm/v1beta2/zz_generated.deepcopy.go                                 53             60            443
./pkg/apis/kubeadm/v1beta1/zz_generated.deepcopy.go                                 53             60            439
./pkg/templates/weave/weave-net.go                                                  32             13            433
./pkg/config/cluster.go                                                             80             69            417
./pkg/terraform/config.go                                                           76             30            368
./pkg/templates/canal/daemonset.go                                                   9             42            344
./pkg/yamled/document_test.go                                                      113             15            344
./pkg/apis/kubeone/v1alpha1/zz_generated.deepcopy.go                                47             53            340
./pkg/apis/kubeone/zz_generated.deepcopy.go                                         47             53            340
./pkg/templates/machinecontroller/webhook.go                                        35             22            332
./pkg/installer/installation/prerequisites.go                                       73             21            281
./pkg/templates/canal/prerequisites.go                                              16             40            257
./pkg/upgrader/upgrade/preflight_checks.go                                          44             30            247
./pkg/yamled/document.go                                                            70             31            240
./pkg/upgrader/upgrade/preflight_checks_test.go                                     14             12            237
./pkg/templates/metricsserver/deployment.go                                         22             13            227
./pkg/templates/externalccm/packet.go                                               20             12            222
./docs/quickstart-vsphere.md                                                        59              0            222

发表于 |

背景

如果在 PC 上安装过 Linux,那么通常会遇到过硬件设备无法发现的问题,这类问题最终都可以通过 google 来解决掉。那么当我们在服务器场景下,如何做到设备自动发现且在设备发现后执行某些动作呢?

最近看了几个关于存储系统的 Operator 部分实现,记录一下。

命令行

最简单的肯定是我们写一个循环,永远检测我们要发现的设备,比如 lsblk 可以列举当前服务器所有 block 设备,那么我们就在循环内部执行 lsblk,diff 每次执行的结果,如果有新的设备,那么执行某些操作。

lsblk 是通过读取 /sys/block 下的具体目录判断的,那么我么也可以直接读取该路径下的目录来实现。

如果是网络设备也是一样,我们可以在循环内部执行 ip link list 来获取所有网络设备。

UDEV

照常先引用维基百科的解释:

udev 是Linux kernel 2.6系列的设备管理器。它主要的功能是管理/dev目錄底下的设备节点。它同时也是用来接替devfs及hotplug的功能,这意味着它要在添加/删除硬件时处理/dev目录以及所有用户空间的行为,包括加载firmware时。

如果你的 OS 是通过 systemd 来管理所有进程的话,那么可以发现一个服务叫做 systemd-udevd ,这个是 udev 的守护进程:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@node90 19:58:10 ~]$systemctl status systemd-udevd
● systemd-udevd.service - udev Kernel Device Manager
   Loaded: loaded (/usr/lib/systemd/system/systemd-udevd.service; static; vendor preset: disabled)
   Active: active (running) since Fri 2019-06-14 15:25:55 CST; 1 months 18 days ago
     Docs: man:systemd-udevd.service(8)
           man:udev(7)
 Main PID: 698 (systemd-udevd)
   Status: "Processing with 56 children at max"
    Tasks: 1
   Memory: 24.0M
   CGroup: /system.slice/systemd-udevd.service
           └─698 /usr/lib/systemd/systemd-udevd

Aug 02 10:29:17 node90 python[4395]: detected unhandled Python exception in '/usr/lib/python2.7/site-packages/cpuinfo/cpuinfo.py'
Aug 02 10:29:17 node90 python[4395]: can't communicate with ABRT daemon, is it running? [Errno 2] No such file or directory
Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.

udev 可以让我们对硬件的使用限制大大减少,除了常见的硬件发现,还有一个场景就是网卡改名,比如 82599 网卡,在 CentOS 上大概率识别为 enp4s0f1 之类的网卡名,如果我们想要统一服务器网卡名称,那么我们可以通过设置 udev 规则,匹配 mac 地址来做到,这里不细说。

我们来说说 udev 自动发现设备。udev 提供了完整的工具集,可以共我们使用,比如 udevadm:

1
2
3
4
5
6
7
8
9
10
11
12
13
[root@node 20:02:41 ~]$udevadm --help
udevadm [--help] [--version] [--debug] COMMAND [COMMAND OPTIONS]

Send control commands or test the device manager.

Commands:
  info          Query sysfs or the udev database
  trigger       Request events from the kernel
  settle        Wait for pending udev events
  control       Control the udev daemon
  monitor       Listen to kernel and udev events
  test          Test an event run
  test-builtin  Test a built-in command

我们可以通过 udevadm 来查看硬件设备的具体信息,也可以通过 udevadm 来进行显示的设备监控。

除了通过 udevadm 命令,我们还可以通过编写 udev 配置文件来实现设备发现后的具体动作,在 /etc/udev/rules.d/ 路径下可以防止我们自己的配置文件。

比如我们想实现功能:节点上插入磁盘后,执行某条命令,那么我们可以这么定义:

1
2
3
4
5
6
[root@node90 20:05:21 rules.d]$pwd
/etc/udev/rules.d
[root@node 20:06:29 rules.d]$cat 98-disk-udev.rules 
KERNEL=="sd[a-z]", SUBSYSTEM=="block", ACTION=="add", RUN+="echo add"

KERNEL=="sd[a-z]", SUBSYSTEM=="block", ACTION=="remove", RUN+="echo remove"

这个规则具体含义为:

  • 当检测到设备 sd[a-z] , 类型为 block且动作为 add ,那么执行 echo add 操作。

  • 当检测到设备 sd[a-z] ,类型为 block且动作为 remove ,那么执行 echo add 操作。

我们来看一个具体的例子,执行 udevadm monito 来监控节点设备,然后插入一块 scsi 磁盘:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
[root@node 20:14:04 rules.d]$udevadm monitor
monitor will print the received events for:
UDEV - the event which udev sends out after rule processing
KERNEL - the kernel uevent
KERNEL[4250923.838205] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0 (scsi)
KERNEL[4250923.838232] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0 (scsi)
KERNEL[4250923.838241] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/scsi_disk/6:0:0:0 (scsi_disk)
KERNEL[4250923.838248] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/scsi_device/6:0:0:0 (scsi_device)
KERNEL[4250923.838344] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/scsi_generic/sg6 (scsi_generic)
KERNEL[4250923.838355] add      /devices/virtual/bdi/8:96 (bdi)
KERNEL[4250923.838364] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/bsg/6:0:0:0 (bsg)
UDEV  [4250923.844166] add      /devices/virtual/bdi/8:96 (bdi)
UDEV  [4250923.844180] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0 (scsi)
UDEV  [4250923.844189] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0 (scsi)
UDEV  [4250923.844196] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/scsi_device/6:0:0:0 (scsi_device)
UDEV  [4250923.844203] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/scsi_disk/6:0:0:0 (scsi_disk)
UDEV  [4250923.848018] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/scsi_generic/sg6 (scsi_generic)
UDEV  [4250923.851041] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/bsg/6:0:0:0 (bsg)
KERNEL[4250923.882845] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/block/sdg (block)
KERNEL[4250923.882863] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/block/sdg/sdg1 (block)
UDEV  [4250928.290659] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/block/sdg (block)
UDEV  [4250928.379634] add      /devices/pci0000:00/0000:00:1f.2/ata6/host6/target6:0:0/6:0:0:0/block/sdg/sdg1 (block)

可以看到 udev 监控到了设备名称,设备 pci id 以及设备触发的动作,这里与我们定义的规则相对应。

具体使用

命令行

在 OpenShift 的 local storage operator 中,是通过不断的执行 lsblk 比较结果来判断的,相关代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
// Run and create disk config
func (d *DiskMaker) Run(stop <-chan struct{}) {
	ticker := time.NewTicker(checkDuration)
	defer ticker.Stop()

	err := os.MkdirAll(d.symlinkLocation, 0755)
	if err != nil {
		klog.Errorf("error creating local-storage directory %s: %v", d.symlinkLocation, err)
		os.Exit(-1)
	}

	for {
		select {
		case <-ticker.C:
			diskConfig, err := d.loadConfig()
			if err != nil {
				klog.Errorf("error loading configuration: %v", err)
				break
			}
			d.symLinkDisks(diskConfig)
		case <-stop:
			klog.Infof("exiting, received message on stop channel")
			os.Exit(0)
		}
	}
}

func (d *DiskMaker) symLinkDisks(diskConfig *DiskConfig) {
	cmd := exec.Command("lsblk", "--list", "-o", "NAME,MOUNTPOINT", "--noheadings")
	var out bytes.Buffer
	var err error
	cmd.Stdout = &out
	err = cmd.Run()
	if err != nil {
		msg := fmt.Sprintf("error running lsblk: %v", err)
		e := newEvent(ErrorRunningBlockList, msg, "")
		d.eventSync.report(e, d.localVolume)
		klog.Errorf(msg)
		return
	}
	deviceSet, err := d.findNewDisks(out.String())
	if err != nil {
		msg := fmt.Sprintf("error reading blocklist: %v", err)
		e := newEvent(ErrorReadingBlockList, msg, "")
		d.eventSync.report(e, d.localVolume)
		klog.Errorf(msg)
		return
	}

	if len(deviceSet) == 0 {
		klog.V(3).Infof("unable to find any new disks")
		return
	}
	...

UDEV

在 Rook 项目中,除了通过 lsblk 来获取设备,还监控了 udev 规则,具体代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83

// Scans `udevadm monitor` output for block sub-system events. Each line of
// output matching a set of substrings is sent to the provided channel. An event
// is returned if it passes any matches tests, and passes all exclusion tests.
func rawUdevBlockMonitor(c chan string, matches, exclusions []string) {
	defer close(c)

	// stdbuf -oL performs line bufferred output
	// 后台执行 udevadm monitor 命令
	cmd := exec.Command("stdbuf", "-oL", "udevadm", "monitor", "-u", "-k", "-s", "block")
	stdout, err := cmd.StdoutPipe()
	if err != nil {
		logger.Warningf("Cannot open udevadm stdout: %v", err)
		return
	}

	err = cmd.Start()
	if err != nil {
		logger.Warningf("Cannot start udevadm monitoring: %v", err)
		return
	}

    // 通过 bufio.NewScanner 实时获取 udevadm monitor 命令输出结果
	scanner := bufio.NewScanner(stdout)
	for scanner.Scan() {
		text := scanner.Text()
		logger.Debugf("udevadm monitor: %s", text)
		// 对输出结果进行正则匹配
		match, err := matchUdevEvent(text, matches, exclusions)
		if err != nil {
			logger.Warningf("udevadm filtering failed: %v", err)
			return
		}
		if match {
		    // 若匹配成功,则将结果发送到对应 channel,即 events
			c <- text
		}
	}

	if err := scanner.Err(); err != nil {
		logger.Warningf("udevadm monitor scanner error: %v", err)
	}

	logger.Info("udevadm monitor finished")
}

// Monitors udev for block device changes, and collapses these events such that
// only one event is emitted per period in order to deal with flapping.
func udevBlockMonitor(c chan string, period time.Duration) {
	defer close(c)

	// return any add or remove events, but none that match device mapper
	// events. string matching is case-insensitve
	// 定义 events channel,用于传输匹配结果
	events := make(chan string)
	go rawUdevBlockMonitor(events,
	    // 正则表达式,用于获取设备名称
		[]string{"(?i)add", "(?i)remove"},
		[]string{"(?i)dm-[0-9]+", "(?i)rbd[0-9]+"})

	for {
	    // 死循环,不断从 events channel 中获取匹配后的结果
		event, ok := <-events
		if !ok {
			return
		}
		timeout := time.NewTimer(period)
		for {
		    // 这里如果在 timeout 时间周期内,出现多次 events,貌似会丢弃掉后续 event 信息,不知道出于什么考虑。。
			select {
			case <-timeout.C:
				break
			case _, ok := <-events:
				if !ok {
					return
				}
				continue
			}
			break
		}
		c <- event
	}
}

参考链接

发表于 |

背景

自己玩 K8S 以来,搭建的环境没有10几套,也有5,6套了,当环境测试完成后,基本上直接删除掉了,也没有想着一直维护,最近在维护一个集群的时候,想要删除一个节点,发现自己一直不知道如何删除节点,特此记录。

平滑移除

获取节点列表

1
kubectl get node

设置不可调度

由于节点目前处于正常工作状态,集群中新建资源还是有可能创建到该节点的,所以先将节点设置为不可调度:

1
kubectl cordon $node_name

将节点上资源调度到其他节点

目前集群已经不会分配新的资源在该节点上了,但是节点还运行着现有的业务,所以我们需要将节点上的业务分配到其他节点:

1
kubectl drain $node_name

注意:DaemonSet Pod 和 Static Pod 是不会在集群中其他节点重建的。

移除节点

当前集群中已经没有任何资源分配在节点上了,那么我们可以直接移除节点:

1
kubectl delete $node_name

至此,我们平滑移除了一个 k8s 节点。如果移除的是一个 master 节点,那么记得之后还要添加一个新的 master 节点到集群中,避免集群可靠性降低。

参考链接

发表于 |

背景

最近使用到了 heap 这个数据结构,记录一下在 Python 和 Golang 中最基本的使用方法~

堆(英语:Heap)是计算机科学中的一種特別的樹狀数据结构。若是滿足以下特性,即可稱為堆積:「給定堆積中任意節點P和C,若P是C的母節點,那麼P的值會小於等於(或大於等於)C的值」。若母節點的值恆小於等於子節點的值,此堆積稱為最小堆積(min heap);反之,若母節點的值恆大於等於子節點的值,此堆積稱為最大堆積(max heap)。在堆積中最頂端的那一個節點,稱作根節點(root node),根節點本身沒有母節點(parent node)。

Python

create

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
In [1]: import heapq

In [2]: a = [1,3,2,5,4]

In [3]: heapq.heapify(a)

In [4]: a
Out[4]: [1, 3, 2, 5, 4]

In [5]: b = []

In [6]: heapq.heappu
heapq.heappush     heapq.heappushpop

In [6]: heapq.heappush(b, 1)

In [7]: heapq.heappush(b, 3)

In [8]: heapq.heappush(b, 2)

In [9]: heapq.heappush(b, 5)

In [10]: heapq.heappush(b, 4)

In [11]: b
Out[11]: [1, 3, 2, 5, 4]

read

1
2
3
4
5
6
7
8
In [28]: b
Out[28]: [1, 3, 2, 5, 4]

In [29]: heapq.nlargest(3, b)
Out[29]: [5, 4, 3]

In [30]: heapq.nsmallest(2, b)
Out[30]: [1, 2]

update

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
In [32]: heapq.heappush(b, 6)

In [33]: b
Out[33]: [1, 3, 2, 5, 4, 6]

In [39]: heapq.heapreplace(b, 7)
Out[39]: 1

In [40]: b
Out[40]: [2, 3, 6, 5, 4, 6, 7]

In [41]: a = [6,8,7,9]

In [42]: heapq.heapify(a)

In [43]: b
Out[43]: [2, 3, 6, 5, 4, 6, 7]

In [45]: c = heapq.merge(a,b)

In [46]: list(c)
Out[46]: [2, 3, 6, 6, 5, 4, 6, 7, 8, 7, 9]

delete

1
2
3
4
5
6
7
8
In [50]: b
Out[50]: [2, 3, 6, 5, 4, 6, 7]

In [51]: heapq.heappop(b)
Out[51]: 2

In [52]: b
Out[52]: [3, 4, 6, 5, 7, 6]

Golang

Golang 中没有 heapq 这种封装好的库可以直接使用,不过有 container/heap ,提供了同样的方法,只是我们需要先对我们的操作对象实现搜有的 heap.Interface 方法。

Constructor

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
// This example demonstrates an integer heap built using the heap interface.
package main

import (
	"container/heap"
	"fmt"
)

// An IntHeap is a min-heap of ints.
type IntHeap []int

func (h IntHeap) Len() int           { return len(h) }
func (h IntHeap) Less(i, j int) bool { return h[i] < h[j] }
func (h IntHeap) Swap(i, j int)      { h[i], h[j] = h[j], h[i] }

func (h *IntHeap) Push(x interface{}) {
	// Push and Pop use pointer receivers because they modify the slice's length,
	// not just its contents.
	*h = append(*h, x.(int))
}

// 取最后一个元素,在 `container/heap.Pop` 中,将堆顶的元素放置在最后,然后调用 `container/heap.Down` 将当前堆顶元素下沉到适当位置。
func (h *IntHeap) Pop() interface{} {
	old := *h
	n := len(old)
	x := old[n-1]
	*h = old[0 : n-1]
	return x
}

// // An IntHeap is a max-heap of ints.
type MaxHeap struct {
	IntHeap
}

func (h MaxHeap) Less(i, j int) bool { return h.IntHeap[i] > h.IntHeap[j] }

create

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
// This example demonstrates an integer heap built using the heap interface.
package main

import (
	"container/heap"
	"fmt"
)

// This example inserts several ints into an IntHeap, checks the minimum,
// and removes them in order of priority.
func main() {
	h := &IntHeap{2, 1, 5}
	heap.Init(h)
	heap.Push(h, 3)
	fmt.Printf("minimum: %d\n", (*h)[0])
	for h.Len() > 0 {
		fmt.Printf("%d ", heap.Pop(h))
	}
}

read

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
package main

import (
	"container/heap"
	"fmt"
)


func main() {
	h := &IntHeap{2, 1, 5}
	heap.Init(h)
	heap.Push(h, 3)
	fmt.Printf("minimum: %d\n", (*h)[0])
	for h.Len() > 0 {
		fmt.Printf("%d ", heap.Pop(h))
	}
	fmt.Println()

	h1 := &MaxHeap{[]int{2, 1, 5}}
	heap.Init(h1)
	heap.Push(h1, 3)
	fmt.Printf("maximum: %d\n", h1.IntHeap[0])
	for h1.Len() > 0 {
		fmt.Printf("%d ", heap.Pop(h1))
	}
	fmt.Println()

}

update

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
package main

import (
	"container/heap"
	"fmt"
)


func main() {
	h := &IntHeap{2, 1, 5}
	heap.Init(h)
	heap.Push(h, 3)
	for h.Len() > 0 {
		fmt.Printf("%d ", heap.Pop(h))
	}
	fmt.Println()

}

delete

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
// This example demonstrates an integer heap built using the heap interface.
package main

import (
	"container/heap"
	"fmt"
)

// An IntHeap is a min-heap of ints.
type IntHeap []int

func (h IntHeap) Len() int           { return len(h) }
func (h IntHeap) Less(i, j int) bool { return h[i] < h[j] }
func (h IntHeap) Swap(i, j int)      { h[i], h[j] = h[j], h[i] }

func (h *IntHeap) Push(x interface{}) {
	// Push and Pop use pointer receivers because they modify the slice's length,
	// not just its contents.
	*h = append(*h, x.(int))
}

func (h *IntHeap) Pop() interface{} {
	old := *h
	n := len(old)
	x := old[n-1]
	*h = old[0 : n-1]
	return x
}

// This example inserts several ints into an IntHeap, checks the minimum,
// and removes them in order of priority.
func main() {
	h := &IntHeap{2, 1, 5}
	heap.Init(h)
	heap.Push(h, 3)
	fmt.Println(h)
	heap.Remove(h, 2)
	for h.Len() > 0 {
		fmt.Printf("%d ", heap.Pop(h))
	}
}

总结

Heap 的使用场景有:优先级队列、TopK 等等。

参考链接

发表于 |

背景

我一直在维护一个公司内部的 OS 发行版,是基于 CentOS 的,最近接到了一个需求,是需要更新 Kernel 及一些软件包,但是遇到了无法安装 OS 的问题,记录一下解决方式。

定制 OS

关于定制 OS,在之前的博客中已经提到过几次了,CentOS 是比较容易改动的一个发行版,因为有着 RHEL 红(爸)帽(爸),有着完善的文档可以参考。

主要需要注意的是两点:

  1. 分区方式
  2. 软件包选择

今天遇到的问题是第二点。

先说下前提,由于是 2B 产品,所以对于每次的 BaseOS 版本升级都非常谨慎,每次 BaseOS 版本都会进行各种测试。但是如果仅仅是升级部分所需要的软件包,就不用这么麻烦了,我们可以定制自己所需要的软件组(group),来进行安装/升级。

问题

这次接到的需要是升级 Kernel、libiscsi、qemu 三个软件,后两个是虚拟化相关的,相关依赖较少;kernel 是跟 BaseOS 版本关联性很大的。

比如 CentOS 7.6 中,kernel 版本为:kernel-3.10.0-957.el7.x86_64.rpm,这个版本对 selinux 等相关软件是有依赖要求的,我在这里翻车了。

解决

像往常一样,将对应的 rpm 放置到了对应的 yum 源中,更新 yum 源,制作 ISO,在安装过程中报错:

报错显示是软件源出了问题,但是没有更多的信息了,这时候我们可以通过 console 连接到其他的 pty 中,查看对应的日志,比如 CentOS 默认的日志在: /tmp/packaging.log 中:

我们可以看到日志中提示 kernel 与当前软件源中的 selinux-policy-targeted 冲突,因为安装 OS 所用的软件源就是 ISO ,所以这里肯定是我们打包 ISO 时遗漏了依赖关系导致的,我们将对应的 Kernel 所需依赖更新,重新构建 ISO 就可以了。

发表于 |

背景

在对现有服务进行容器话改造的过程中,随着对 K8S 使用程度越来越深,也渐渐的遇到了一些坑,所以开一篇博客,记录自己所遇到的坑,应该会长期更新。

更新记录

  • 2019.07.13 02:00 来自加班中的 yiran
  • 2019.07.19 06:52 早起不想去公司的 yiran

coredns 无法解析域名

在 Kubernetes 环境中,使用 kubeadm 工具部署的集群,会自动部署 coredns 作为集群的域名服务,每当我们创建了自己的 service,都可以通过域名直接访问,不用再考虑自己多个 Pod 的 IP 不同如何连接的问题。

最近遇到多个环境出现无法解析域名的问题,具体现象如下:

  1. 集群部署完成后,部署 daemonset 资源,每个节点均运行一个 busybox;
  2. 在 busybox 中对 kubernetes 默认域名进行解析,查看解析结果。

正常情况应该是所有的 busybox 都可以正常解析才对,但是最近几个环境中均出现了 3 个node 中1个node 上的 pod 无法解析的问题,示例代码如下:

daemonset.yaml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
apiVersion: "extensions/v1beta1"
kind: "DaemonSet"
metadata:
  name: "ds"
  namespace: "default"
spec:
  template:
    metadata:
      labels:
        app: ds
    spec:
      tolerations:
      - key: node-role.kubernetes.io/master
        effect: NoSchedule
      containers:
      - name: "apply-sysctl"
        image: "busybox:1.28.4"
        imagePullPolicy: IfNotPresent
        command:
        - "/bin/sh"
        - "-c"
        - |
          set -o errexit
          set -o xtrace
          while true
          do
            sleep 2s
            date
            echo "diu~"
          done

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
[root@node11 21:28:40 ~]$for i in `kubectl get pod  -o wide  |grep ds | awk '{print $1}'`;do kubectl exec $i nslookup kubernetes;echo ;done
Server:    10.96.0.10
Address 1: 10.96.0.10

nslookup: can't resolve 'kubernetes'
command terminated with exit code 1

Server:    10.96.0.10
Address 1: 10.96.0.10 kube-dns.kube-system.svc.cluster.local

Name:      kubernetes
Address 1: 10.96.0.1 kubernetes.default.svc.cluster.local

Server:    10.96.0.10
Address 1: 10.96.0.10 kube-dns.kube-system.svc.cluster.local

Name:      kubernetes
Address 1: 10.96.0.1 kubernetes.default.svc.cluster.local

在第一个节点的 Pod 解析时失效,最后命令执行 1min 超时退出。

经过查看发现节点的 NetFilter 相关系统配置未生效,导致 iptables 相关功能失效,具体可以参考 issue

解决方式:

1
echo '1' > /proc/sys/net/bridge/bridge-nf-call-iptables

Flannel OOM

在配置好集群业务后,发现业务时不时的出现中断情况,最开始排查业务自身问题,未发现 Pod 出现重启或异常的日志,开始排查 k8s 状态,发现在节点 /var/log/messages 日志中,Flannel 一直处于 OOM 状态,惨不忍睹。

之前还略微惊奇,Flannel 默认的计算资源中,内存只要 50MiB,且上限也是 50MiB,没有给自己留一丝余地,看到 issue 中的描述,感觉这个不是一个偶发事件,最终我将 Flannel 的内存调整为 250MiB 后,未出现 OOM 情况。

issue 中提到的 kubectl patch 命令未自动生效,我通过更新 ds 配置,然后依次手动删除节点上的 Flannel Pod 使其生效。

Nginx Ingress

Nginx Ingress 有多个版本,在编写 Ingress 规则的时候一定要看清自己集群中的 Nginx Ingress 版本,我最开始就是因为这个看错了文档。。

主要的版本有: kubernetes/ingress-nginx , nginxinc/kubernetes-ingress with NGINXnginxinc/kubernetes-ingress with NGINX PLUS ,具体的对比规则可以在 Github 中了解。

kubernetes/ingress-nginx 中,默认 ssl-redirect 参数是 true ,如果自己的服务不支持 https,那么需要显示的声明该参数为 false 才可以,这里需要注意一下。

在配置 nginx 参数的时候,要注意语法,正确的书写方式如下:

1
2
3
4
5
6
7
8
9
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"networking.k8s.io/v1beta1","kind":"Ingress","metadata":{"annotations":{"kubernetes.io/ingress.class":"nginx","nginx.ingress.kubernetes.io/proxy-read-timeout":"3600","nginx.ingress.kubernetes.io/proxy-send-timeout":"3600","nginx.ingress.kubernetes.io/ssl-redirect":"true","nginx.ingress.kubernetes.io/use-regex":"true","nginx.org/websocket-services":"websockify"},"name":"websockify","namespace":"default"},"spec":{"rules":[{"http":{"paths":[{"backend":{"serviceName":"websockify","servicePort":8000},"path":"/websockify"}]}}]}}
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/proxy-read-timeout: "3600"
    nginx.ingress.kubernetes.io/proxy-send-timeout: "3600"

相关 issue 链接: https://github.com/kubernetes/ingress-nginx/issues/2007

Docker 稳定性

在修改 Docker 配置后,需要重启 Docker.service 使配置生效,在一次重启操作中,直接导致物理节点宕机,自动重启了。。。

重启后观察物理节点日志,未发现异常日志,目前待复现调查,很坑很诡异。

Helm values 为空更新错误

今天在给应用编写 Helm Charts 的时候,在 Values 中通过 resources.requests.cpu 方式指定了 cpu 和内存,在测试的时候忘记填写具体数值了,像这面这样:

values:

1
2
3
4
5
6
7
8
9
10
11
# Default values for test.
# This is a YAML-formatted file.
# Declare variables to be passed into your templates.

resources:
  limits:
   cpu:
   memory:
  requests:
   cpu:
   memory:

在 helm templates 中定义 daemonset,指定使用 resources 字段。

直接执行 helm 命令安装成功了:

1
2
3
4
5
6
7
8
9
10
11
[root@node11 20:44:09 test]$helm install . --name-template test
NAME: test
LAST DEPLOYED: 2019-07-15 20:44:18.151073881 +0800 CST m=+0.092592446
NAMESPACE: default
STATUS: deployed

NOTES:
1. Get the application URL by running these commands:
  export POD_NAME=$(kubectl get pods -l "app=test,release=test" -o jsonpath="{.items[0].metadata.name}")
  echo "Visit http://127.0.0.1:8080 to use your application"
  kubectl port-forward $POD_NAME 8080:80

我们查看创建出来的 daemonset 资源状态:

daemonset/test

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

Name:           test
Selector:       app=test
Node-Selector:  <none>
Pods Status:  3 Running / 0 Waiting / 0 Succeeded / 0 Failed
Pod Template:
  Labels:  app=test
  Containers:
   test:
    Image:      harbor.zdyxry.com/test/test:0.1.2
    Port:       10402/TCP
    Host Port:  10402/TCP
    Command:
      /bin/sh
      -c
    Args:
      gunicorn -b :10402 -k gevent test.main:flask_app -w 2 --timeout 40 --pid /var/run/test.pid
    Limits:
      cpu:     0
      memory:  0
    Requests:
      cpu:        0
      memory:     0
    Environment:  <none>

这时候我在检查资源的时候发现自己忘记设置资源了,我计划通过更新 values 数值来更新 daemonset:

1
2
3
4
5
6
7
8
9
10
11
# Default values for test.
# This is a YAML-formatted file.
# Declare variables to be passed into your templates.

resources:
  limits:
   cpu: 100m
   memory: 100Mi
  requests:
   cpu: 100m
   memory: 100Mi

执行 helm upgrade 时候报错:

1
2
[root@node11 20:49:36 test]$helm upgrade test .
Error: UPGRADE FAILED: error validating "": error validating data: [unknown object type "nil" in DaemonSet.spec.template.spec.containers[0].resources.limits.cpu, unknown object type "nil" in DaemonSet.spec.template.spec.containers[0].resources.limits.memory, unknown object type "nil" in DaemonSet.spec.template.spec.containers[0].resources.requests.cpu, unknown object type "nil" in DaemonSet.spec.template.spec.containers[0].resources.requests.memory]

根据报错信息可以看到这个字段之前是 nil ,现在我们要更新为有效类型更新失败,只能通过 helm uninstall 卸载后再次安装修复该问题。

这个问题只在 daemonset 类型下会出现。

Flannel 网卡丢失

在通常情况下,我们的 k8s 节点都只有单一的网络环境,也就是有一块网卡,在部署 Flannel 插件的时候,默认会找默认路由所在的网卡,并将其绑定在上面。

由于内部测试环境较为特殊,我将其绑定在一个 ovs port 上,这个具体配置在 flannel yaml 中:

1
2
3
4
5
6
7
8
9
containers:
- name: kube-flannel
  image: quay.io/coreos/flannel:v0.11.0-amd64
  command:
  - /opt/bin/flanneld
  args:
  - --ip-masq
  - --kube-subnet-mgr
  - --iface=port-storage  # 在这里我强制指定了 iface

正常运行时时没有问题的,但是对 ovs port 进行了 ifdown 操作后,在 OS 层面就无法找到这个 ovs port 了,flannel 默认的 flannel.1 这个 link 也丢失了,当我尝试 ifup ovs port,这个 port 正常恢复工作了,但是 flannel.1 无法自动恢复,目前找到的办法是手动重建 flannel pod。

猜测这个动作在 flannel 的init 相关步骤执行的,在之后 container 正常运行时没有考虑 flannel.1 不存在的情况。

总结

使用经验通常是踩了一个又一个坑过来的~

发表于 |

背景

先介绍下 Kubespray,Kubespray 是 K8S SIG 下的项目,目标是帮助用户创建 生产环境级别 的 k8s 集群。

是通过 Ansible Playbook 实现的,是的,这又是一个 Ansible 项目,其中 YAML 文件就有 15k 行,名副其实的大项目。

花费了几天时间陆陆续续看完了整个项目,大概了解了其中的工作流程,具体内容不提,感觉 Ansible 90% 的使用例子都可以在这个项目中找到,是一个值得阅读的项目。

之前写过一篇当时理解的最佳实践,今天趁此机会再总结下最近使用 Ansible 的一些经验。

Tag

使用 tag 对 ansible task 进行划分,比如在重启某些服务的时候,我们只希望在初次安装的时候重启,在后续升级的时候不进行重启,那么我们就可以对这个重启服务的 task 进行tag 区分。

tag 使用示例如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
[root@node111 16:35:56 ansible]$tree . 
.
├── ansible.cfg
├── inventory
├── templates
│   └── src.j2
└── test.yaml

1 directory, 4 files
[root@node111 16:35:58 ansible]$cat test.yaml 
- hosts: cluster
  gather_facts: no
  become: yes
  become_user: root
  become_method: sudo
  tasks:
  - yum:
      name: "{{ item }}"
      state: present
    loop:
    - httpd
    - memcached
    tags:
    - packages
  
  - template:
      src: templates/src.j2
      dest: /etc/foo.conf
    tags:
    - configuration
[root@node111 16:36:01 ansible]$ansible-playbook -i inventory  test.yaml --tags configuration -v
Using /root/ansible/ansible.cfg as config file

PLAY [cluster] ******************************************************************************************************************************************************************************************************************************************************

TASK [template] *****************************************************************************************************************************************************************************************************************************************************
ok: [172.16.30.111] => {"changed": false, "checksum": "7b4cbb07f7e174316e4d892321682317e43a206c", "dest": "/etc/foo.conf", "gid": 0, "group": "root", "mode": "0644", "owner": "root", "path": "/etc/foo.conf", "size": 14, "state": "file", "uid": 0}
ok: [172.16.30.112] => {"changed": false, "checksum": "7b4cbb07f7e174316e4d892321682317e43a206c", "dest": "/etc/foo.conf", "gid": 0, "group": "root", "mode": "0644", "owner": "root", "path": "/etc/foo.conf", "size": 14, "state": "file", "uid": 0}
ok: [172.16.30.113] => {"changed": false, "checksum": "7b4cbb07f7e174316e4d892321682317e43a206c", "dest": "/etc/foo.conf", "gid": 0, "group": "root", "mode": "0644", "owner": "root", "path": "/etc/foo.conf", "size": 14, "state": "file", "uid": 0}

PLAY RECAP **********************************************************************************************************************************************************************************************************************************************************
172.16.30.111              : ok=1    changed=0    unreachable=0    failed=0   
172.16.30.112              : ok=1    changed=0    unreachable=0    failed=0   
172.16.30.113              : ok=1    changed=0    unreachable=0    failed=0

roles/meta 管理依赖

在 playbook 中存在多个 roles,且其中有相互依赖关系时,合理使用 meta 配置,填写其所依赖的 roles。注意,被依赖的 roles 会优先执行,示例如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
[root@node111 16:49:12 ansible]$tree . 
.
├── ansible.cfg
├── inventory
├── roles
│   ├── a
│   │   ├── defaults
│   │   ├── files
│   │   ├── handlers
│   │   ├── meta
│   │   │   └── main.yaml
│   │   ├── tasks
│   │   │   └── main.yaml
│   │   ├── templates
│   │   └── vars
│   └── b
│       ├── defaults
│       ├── files
│       ├── handlers
│       ├── meta
│       ├── tasks
│       │   └── main.yaml
│       ├── templates
│       └── vars
├── templates
│   └── src.j2
└── test.yaml

18 directories, 7 files
[root@node111 16:49:18 ansible]$cat roles/a/tasks/main.yaml 
---
- name: a
  debug:
    msg: "a"
[root@node111 16:49:25 ansible]$cat roles/a/meta/main.yaml 
---
dependencies:
  - { role: b }
[root@node111 16:49:33 ansible]$cat roles/b/tasks/main.yaml 
---
- name: b
  debug:
    msg: "b"
[root@node111 16:49:40 ansible]$ansible-playbook -i inventory  test.yaml -v
Using /root/ansible/ansible.cfg as config file

PLAY [cluster] ******************************************************************************************************************************************************************************************************************************************************

TASK [b : b] ********************************************************************************************************************************************************************************************************************************************************
ok: [172.16.30.111] => {
    "msg": "b"
}
ok: [172.16.30.112] => {
    "msg": "b"
}
ok: [172.16.30.113] => {
    "msg": "b"
}

TASK [a : a] ********************************************************************************************************************************************************************************************************************************************************
ok: [172.16.30.111] => {
    "msg": "a"
}
ok: [172.16.30.112] => {
    "msg": "a"
}
ok: [172.16.30.113] => {
    "msg": "a"
}

PLAY RECAP **********************************************************************************************************************************************************************************************************************************************************
172.16.30.111              : ok=2    changed=0    unreachable=0    failed=0   
172.16.30.112              : ok=2    changed=0    unreachable=0    failed=0   
172.16.30.113              : ok=2    changed=0    unreachable=0    failed=0   

You have new mail in /var/spool/mail/root
[root@node111 16:50:05 ansible]$

参数声明

在一个大型项目中,我们无论是服务的数量还是各个服务对应的参数数量都是极其惊人的,那么我们就要合理的管理相应参数,这里 kubespray 项目给出了一个很好的示例,先来看下 kubespray 的组织结构(简化版):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
inventory/
├── local
│   └── group_vars -> ../sample/group_vars
└── sample
    └── group_vars
        ├── all
        └── k8s-cluster
roles
├── container-engine
│   ├── containerd
│   │   ├── defaults
│   │   ├── handlers
│   │   ├── tasks
│   │   └── templates
│   ├── docker
│   │   ├── defaults
│   │   ├── files
│   │   ├── handlers
│   │   ├── meta
│   │   ├── tasks
│   │   ├── templates
│   │   └── vars
│   └── meta
├── kubespray-defaults
│   ├── defaults
│   ├── meta
│   └── tasks

在 kubespray 中,参数定义有三个位置:

  1. inventory/sample/group_vars
  2. roles/kubespray-defaults/defaults
  3. roles//defaults
  4. 使用 set_fact 关键字声明

上述三个位置是按照参数粒度划分,参数粒度越细,越靠后。

举个例子:

  • bin_dir 这个参数,是一个全局参数,管理下载的二进制文件路径,它在 inventory/samle/group_vars 中定义;
  • etcd_kubeadm_enabled 参数,决定是否通过 kubeadm 来创建 etcd 集群,是集群粒度的,在 roles/kubesray-defaults/defaults 中定义;
  • docker_fedora_repo_base_url 是 docker 在下载镜像时指定的 repo,是一个容器运行时粒度的参数,那么它就在 roles/container-ngine/docker/defaults 中定义
  • 执行某些命令后,我们希望对命令结果进行过滤或判断,那么我们通常会使用 regster,但是 register 的声明周期仅限于该 playbook,而且他们的优先级也是不同的,具体可以看下官方文档

可能跟大多数项目不同,kubespray 中涉及的参数数量很多,不知道是否是这个原因,专门使用了 roles/kubespray-defaults 这个 role 来声明参数。不过它的这种参数划分方式是我们值得学习的。

Handler 触发

当我们更新了配置文件之后,我们想要重启相应服务,这时候可以使用 notify 配合 handlers 来完成相应操作,而且 handler
的方式也可以保证我们代码最大程度的重用。

loop_control

当我们在 playbook 中定义了某个变量为 list 类型,我们想要遍历变量,并且针对每个变量的操作都进行错误处理,我们可以采用 loop_control 关键字配合 include 来实现,比如:

1
2
3
4
- include_tasks: docker_plugin.yml
  loop: "{{ docker_plugins }}"
  loop_control:
    loop_var: docker_plugin

循环 device_plugins ,每个变量为 docker_plugin ,将 docker_plugin 传递到 docker_plugin.yml

不建议的操作

在 ansible 中使用复杂的语法规则

在 kubespray 中,随处可见一些很复杂的语法夹杂在 playbook 中,看到一个比较头疼的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
279	
280	dashboard_image_repo: "gcr.io/google_containers/kubernetes-dashboard-{{ image_arch }}"
281	dashboard_image_tag: "v1.10.1"
282	
283	image_pull_command: "{{ docker_bin_dir }}/docker pull"
284	image_info_command: "{{ docker_bin_dir }}/docker images -q | xargs {{ docker_bin_dir }}/docker inspect -f \"{{ '{{' }} if .RepoTags {{ '}}' }}{{ '{{' }} (index .RepoTags 0) {{ '}}' }}{{ '{{' }} end {{ '}}' }}{{ '{{' }} if .RepoDigests {{ '}}' }},{{ '{{' }} (index .RepoDigests 0) {{ '}}' }}{{ '{{' }} end {{ '}}' }}\" | tr '\n' ','"
285	
286	downloads:
287	  netcheck_server:
288	    enabled: "{{ deploy_netchecker }}"
289	    container: true
290	    repo: "{{ netcheck_server_image_repo }}"
291	    tag: "{{ netcheck_server_image_tag }}"
292	    sha256: "{{ netcheck_server_digest_checksum|default(None) }}"

284 行获取 image_info_command ,这里真的是一点可维护性都没有,初步看很难看出这里到底是 ansible 语法,还是 shell 语法,还是 go template 语法,如果我们要通过这么复杂的方式来获取一个参数,为什么不干脆写一个脚本来完成这个事情呢? 搞不懂。

总结

看完 kubespray 了解了 k8s 集群部署的步骤之外,Ansible 的一些高级用法或者说经验是之后需要改善的,收获多多。