成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

如何用 Ansible 部署 Kubernetes 集群到 OpenStack

jiekechoo / 749人閱讀

摘要:測試后,使用來發(fā)布。部署軟件組件,啟動虛擬機,將虛擬機分類到和節(jié)點,然后部署密鑰清單。集群自動化集群配置由三個控制。自簽證書簽署的服務器端證書和它的密鑰文件。

我們之前聊了把OpenStack跑在K8S上,如何基于Kubernetes在TCP云端創(chuàng)建私有云解決方法,運用在生產或在OpenStack啟動虛擬化。今天換個姿勢,我們來看看如何在OpenStack虛擬機上運行Kubernetes集群。

最近的Austin OpenStack峰會上,參會者中對容器感興趣的人數(shù)之多,讓我印象深刻。幾乎所有跟容器相關的會議現(xiàn)在都意識到了它的優(yōu)點。通過將應用程序容器化,就能夠將主機操作系統(tǒng)虛擬化。這也就意味著,你可以在主機操作系統(tǒng)中為每個容器創(chuàng)建隔離環(huán)境,比如文件系統(tǒng),網絡堆棧和進程空間,令容器之間互相可見。此外,容器又是輕量級、輕便的,不僅僅跨操作系統(tǒng),還可以跨云端。這些功能令開發(fā)者可以快速構建,部署,運輸和擴容應用程序,而這些動作在虛擬機環(huán)境中是不可能實現(xiàn)的。

在峰會上,我有幸將自己參與的一個對我們團隊有很大幫助的項目呈現(xiàn)給觀眾們看??梢渣c擊這里查看我的presentation:這里。

這個項目是為了在我們的OpenStack Kilo 環(huán)境中建立起一個自動Kubernetes部署。在這篇博客帖中,我會描述我們的解決方法,并且在Github上面提供代碼回購的總覽。你可以利用其中一些代碼來創(chuàng)建你自己的Kubernetes集群自動部署。記住,軟件只在開發(fā)環(huán)境被測試,對于任何生產部署,都要確認你跟往常一樣進行了必要的盡職調查。

首先要回答的問題就是kubernetes和ansible是什么,為什么要選擇他們?

Kubernetes(K8S)是一個通過調用API來編排和管理Docker容器的平臺。除了基本的編排功能,它還有持續(xù)驅動控制進程的功能,面向用戶指定所需的狀態(tài)。當使用這個平臺的時候,你能將你的應用程序容器分組到一個叫pod的組合單元。pod是一個分享網絡和存儲的容器組。當你創(chuàng)建Docker容器的時候,默認設置下,每個容器都會獲得自己的網絡命名空間也就是它自己的TCP/IP堆棧。Kubernetes用-net=”|”設置到Docker里,以此將所有的pod容器的網絡空間結合到一起。這個設置令容器可以再次使用另一個容器的網絡堆棧。K8S通過創(chuàng)建一個pod層面保持容器和它自己的網絡堆棧來完成,所有的pod容器被配置來重新使用保持容器的網絡空間。

在pod層面,Kubernetes提供各種services,比如調度,副本,自我修復,監(jiān)控,命名/發(fā)現(xiàn),身份識別,驗證授權等等。Kubernetes也有可以讓開發(fā)者寫自己模塊的插件模版,然后在這個平臺上面創(chuàng)建services。就像這篇博客寫得,Kubernetes是最先進的、可編寫和管理Docker容器的開源平臺之一。

我們選擇Ansible是因為它是當下最火、最直接、最容易使用的自動化平臺之一。它運行代理較少,在基礎架構上使用ssh來登錄系統(tǒng),執(zhí)行你在playbook文件中描述的策略。這些策略被模式化為一個yaml格式的任務清單。在沒有自動化的時候,這些就是必須由管理員來執(zhí)行部署基礎設施軟件的手動任務。

這篇博客帖描述了在OpenStack虛擬機上面運行的Kubernetes集群。一個K8S集群有一個master節(jié)點,這個節(jié)點運行API server和一套運行在pod容器上的worker節(jié)點。設置使用的是Ansible(>2.0),Ubuntu和Neutron網絡。測試后,使用OpenStack kilo來發(fā)布。Ansible部署K8S軟件組件,啟動虛擬機,將虛擬機分類到master和worker節(jié)點,然后部署Kubernetes密鑰清單。我們使用neutron來給OpenStack虛擬機和K8S pod容器提供網絡連接。所有在測試環(huán)境中的虛擬機都運行Ubuntu 14.04 服務器操作系統(tǒng)。

下圖展示的是運行中的各種軟件組件,以及他們是如何在集群中交互的。我會把這個圖表作為資料來闡述自動進程,當你瀏覽這篇博客的時候,看到這個框圖就會覺得說得通了。

設置

這個設置是假設你已經有一個OpenStack云運行核心services,比如Nova,Neutron,Glance和Keystone。你還需要>2.X的ansible版本在一個有憑證和網絡連通ssh到計算節(jié)點和虛擬機。這個ansible節(jié)點也需要能夠訪問openStack API。我在我的Macbook上面用這些命令安裝了ansible:

sudo easy_install pip
sudo pip install ansible

在你安裝了ansible之后,用命令行:“ansible-version”來驗證它的版本。它應該輸出一個2.X發(fā)布版本。

Kubernetes集群Deployment

自動化集群配置由三個ansible playbooks控制。你可以點擊這里拉取playbooks,模版和代碼:這里。這三個playbooks是:

·      launch-instances.yml — launches kubernetescluster instances
·      deploy-docker.yml  — deploys docker onall of the cluster instances
·      deploy-kubernetes.yml — deploys kubernetescontrol and worker software components and brings up the cluster

所有的playbooks 從一個叫做settings.yml的文件中獲取他們輸入變量,這是根據(jù)設置文件參考的。設置文件中的節(jié)點代碼字典和他們的原數(shù)據(jù)(也叫做標簽)在集群指定節(jié)點的名字,標簽在應用程序啟動的時候被注入到節(jié)點里面。這些標簽在運行playbooks的時候,被云庫存腳本(這里)用來將節(jié)點分類為master和worker。比如,標簽為ansible-_host_groups的節(jié)點是k8s_master會被分類為master節(jié)點,而標簽值等于k8s_worker會被分類為workers。設置文件也包括名為os_cloud_profile的代碼字典,它給ansible提供nova虛擬機啟動設置。為了開啟實例,如下運行playbook:

ansible-playbook -i hosts launch-instances.yml.

如果一切進行順利,你會看到所有的Nova實例已經在OpenStack云上準確無誤地創(chuàng)建好了。這些實例會提供底層基礎設施來運行K8S集群。在增加實例之后,你可以運行剩下的playbooks來部署Docker和Kubernetes。在playbook運行的時候,使用名為‘inventory.py’庫存腳本來分類節(jié)點,這樣control和worker組件就會被部署到正確的虛擬機上。
按如下所示運行playbook:

ansible-playbook -i scripts/inventory.py deploy-docker.yml
ansible-playbook -i scripts/inventory.py deploy-kubernetes.yml

K8S集群的控制面板包括了API服務器,調度器,etcd數(shù)據(jù)庫和kube controller manager通過一個master密鑰清單文件。這個文件名為master-manifest.j2可以在模版文件夾里面找到。K8S控制面板軟件的版本是由設置文件決的。這個名為deploy-kubernetes.yml的playbook是第一次下載和部署kubelet和kube-proxy二進制,并且在所有節(jié)點上開啟這兩個services。然后master-manifest模版文件就會在master節(jié)點上被部署到一個叫做/etc/kubernetes/manifest的config目錄。這個目錄被kubelet daemon進程監(jiān)視,它開啟了所有的提供控制面板services的Docker容器。當你使用Docker ps命令的時候,你會看到kube-apiserver,kube-controller-manager,etcd和kube-schedules進程在master節(jié)點里運行在他們自己的容器上。

API服務器被配置來使用HTTPS服務API。SSL所需的證書是通過將make-ca-cert.sh腳本作為playbook任務之一來運行生成的。這個腳本在每個節(jié)點上的證書目錄中生成了以下證書。這個在每個節(jié)點上都有生成,因為Docker daemon也使用相同的服務器證書來配置TLS。cert文件目錄值在設置文件中也是可配置的。

ca.pem——自簽CA證書

Server.crt/server.key——簽署的kube服務器端證書和它的密鑰文件。這個cert文件也可以被Docker Daemon進程用來確??蛻舳税踩L問。

cert.pem/key.pem——簽署的客戶端證書和它的密鑰文件。kubectl和docker客戶使用。
在客戶機上面,你可以在repo里面找到這些certs文件夾。在客戶機里用convention.env為每個節(jié)點都創(chuàng)建了Docker環(huán)境文件。你可以追蹤這個環(huán)境變量的來源,然后運行Docker客戶端而不是Docker主機。比如,為了在名為master1的master節(jié)點上運行Docker命令,第一步就是執(zhí)行“source master1.env”,然后運行命令。同樣,對于kubectl客戶端來說,config文件是由必要的憑證和集群master IP地址來創(chuàng)建的。Config文件可以在$HOME/.kube/config中找。這樣你可以在集群上的終端窗口運行kubectl命令。

在這篇博客帖中,我會描述如何使用OpenStack neutron service來連接K8S pods。這跟GCE的設置有些相似。其實也可以選擇其他的,比如Flannel,使用UDP封裝在現(xiàn)有租戶neutron中為路由pod創(chuàng)建一個覆蓋網絡選項。使用neutron為pod網絡刪除這個為容器覆蓋又覆蓋的網絡構架。

要重點注意的是在K8S中每個pod(也就是一組容器)都有一個IP地址。這就區(qū)別于在Docker中的網絡模版,在這里每個容器有主機的私有IP地址。為了讓K8S網絡運行起來,pod的IP地址必須是不需要NAT的,可路由的。這也就意味著兩件事情:

a)當一個pod容器與其它pod中的容器交流的時候,通信必須是直接路由,不需要NAT的。
b)當一個pod容器與虛擬機的IP地址交流的時候,通信必須是直接路由,不需要NAT的。

為了完成以上目的,第一步就是,在每個節(jié)點中名為docker0的默認docker橋被一個名為cbr0的Linux橋所替代。跨過所有節(jié)點,一個IP模塊被分配給pod網絡,比如說/16。這個模塊被抽象化了,節(jié)點到pod的映射被創(chuàng)建在一個設置文件里。在以上圖表中,我把10.1.0.0/16分配給pod網絡,然后創(chuàng)建了以下映射:

node1 : 10.1.1.1/24

node2: 10.1.2.1/24

nodeN: 10.1.n.1/24

create-bridge.sh(create-bridge.sh)腳本創(chuàng)建cbr0,然后使用在設置文件中定義好的映射來配置pod子網絡的IP地址。

第二步就是配置租戶路由器到路由流量,再到pod子網絡。比如在以上的框圖中,租戶路由器肯定是被配置到路徑中,再配置流量到pod子網絡10.1.1.0/24,配置到位于private-subnet#1上node#1的以太網絡地址。同樣的,路徑必須添加在集群中指向每個節(jié)點的目的站來路由流量到pod網絡。使用add_neutron_routes.py腳本完成這個步驟。

第三步就是添加IP tables規(guī)則到冒充流量,從pod子網絡到為出站連接的網絡。這是因為neutron租戶路由器不知道它需要從pod子網絡SNAT流量。

最后一步就是打開在每個節(jié)點的Linux內核上的IP轉發(fā),到路徑包,再到網橋容器網絡。這些任務都由playbook deploy-kubernetes.yml執(zhí)行的。

運行這個playbook的最終結果就是,neutron網絡現(xiàn)在被編程來進行pods到網絡間的路由通信。

注意:默認狀態(tài)下,作為一個抗欺騙安全措施,neutron在超管理器上安裝iptables防火墻規(guī)則,來控制流量在虛擬機端口的來去。所以,當路由流量注入pod網絡到虛擬機的端口,它是被超管理器防火墻過濾過的。所幸,有一個叫做AllowedAddressPairs的neutron擴展,它允許如pod子網絡的Havana發(fā)布版本,來通過虛擬機監(jiān)控程序防火墻。

暴露Pod Services

出于實用性目的,每個pod必須放在服務抽象的前面。這個服務使用可以連接到pod容器里面運行的應用程序,來提供穩(wěn)定的IP地址。這是因為pod能夠在任意節(jié)點上被調度,而且可以從分配好的node_pod_cidr范圍獲取任意IP地址。同樣的,當你擴展/縮減這些pods來容納流量變化,或者當運行失敗的pods通過平臺再次創(chuàng)建,他們的IP地址就會改變。從客戶角度來看,服務抽象要確保pods的IP地址保持固定。要重點注意的是,對于服務來說,CIDR,也就是cluster_cidr,只在每個節(jié)點本地存活,并不需要被neutron租戶路由器路由。這個服務IP流量被K8S用proxy功能(kube-proxy)分布到備份pod,proxy功能通常用iptables在每個節(jié)點中實施。
這個穩(wěn)定的service IP可以用Kubernetes的NodePort性能暴露到外面。節(jié)點端口所做的事情就是,它使用worker節(jié)點的IP地址和一個高TCP端口31000,來暴露服務IP地址和端口到外部。所以如果你分配一個浮動IP到節(jié)點,應用程序會在那個IP和它的節(jié)點IP提供流量。如果你使用一個neutron負載平衡器,那就添加worker節(jié)點成員,編寫vip分布流量到節(jié)點端口。這個方法在以上框圖中已經闡述。

服務發(fā)現(xiàn)

服務發(fā)現(xiàn)可以使用DNS集群add-on服務實現(xiàn)完全自動化??梢允褂胹kydns-manifest和skydns-service來部署。K8S會自動給每個在集群中定義的服務分配一個DNS名字。所以運行在pod里面的程序可以查找集群DNS服務器來解決服務名稱和位置。集群DNS服務支持A和SRV記錄查找。

結論

我希望這篇博客帖子闡明了如何用Ansible在OpenStack上創(chuàng)建Kubernetes集群。

原文鏈接

(如果需要轉載,請聯(lián)系我們哦,尊重知識產權人人有責;)

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉載請注明本文地址:http://systransis.cn/yun/32454.html

相關文章

  • Kubernetes在上汽集團云平臺及AI方面的應用

    摘要:截至目前,已服務了上汽集團集團本部上汽乘用車上汽大通吉安物流賽客出行等余家汽車企業(yè)。經過這一兩年的嘗試及探索,上汽集團帆一尚行正式將列為產品線的重要產品,用以支撐整個容器平臺的運行。最終在平臺應用的層面,上汽集團也選擇了進行應用于落地。 帆一尚行成立于2015年,是上汽集團的全資子公司,建設有上海、南京、鄭州(在建)三個數(shù)據(jù)中心,擁有超過4000臺物理服務器,10PB的數(shù)據(jù)存儲,總面積...

    jayce 評論0 收藏0
  • 使用Kubespray安裝k8s集群

    摘要:使用安裝集群本文撰寫時,的分支不穩(wěn)定,請使用版本來安裝,具體來說就是切換到最新的上。確保每個都安裝了在每個上開啟,修改,然后重啟??蓞⒖歼@篇文章執(zhí)行找一臺服務器,用來執(zhí)行,的原理是通過連接到各個執(zhí)行命令安裝集群。 GitHub: https://github.com/chanjarste... 使用Kubespray安裝k8s集群 本文撰寫時,Kubespray的master分支不穩(wěn)定...

    svtter 評論0 收藏0
  • 使用Kubespray安裝k8s集群

    摘要:使用安裝集群本文撰寫時,的分支不穩(wěn)定,請使用版本來安裝,具體來說就是切換到最新的上。確保每個都安裝了在每個上開啟,修改,然后重啟??蓞⒖歼@篇文章執(zhí)行找一臺服務器,用來執(zhí)行,的原理是通過連接到各個執(zhí)行命令安裝集群。 GitHub: https://github.com/chanjarste... 使用Kubespray安裝k8s集群 本文撰寫時,Kubespray的master分支不穩(wěn)定...

    LdhAndroid 評論0 收藏0
  • 何選擇云計算基礎設施自動化的最佳工具?

    摘要:企業(yè)將業(yè)務遷移到云平臺的最大好處之一是可以降低工作和運營成本,其中一個最重要的因素是云計算基礎設施的自動化和配置。幸運的是,有許多云計算基礎設施自動化工具可用于幫助加快流程。企業(yè)需要深入了解將工作負載遷移到公共云的正確步驟,并因此降低成本。云遷移不會自行發(fā)生,在遷移項目成功之前并不能完成工作和任務。企業(yè)將業(yè)務遷移到云平臺的最大好處之一是可以降低工作和運營成本,其中一個最重要的因素是云計算基礎...

    KitorinZero 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<