[Amazon Web Services, Microsoft Azure, DevOps, Google Cloud Platform, Kubernetes] Девопсу на заметку: готовим Helm правильно
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Несколько несложных, но полезных рецептов для практикующих кубероводов
(источник фото - https://unsplash.com/photos/XWNbUhUINB8йл Когда-то давно, когда ножей не знали, х@#$ говядину рубили... ой нет, это другая сказка, простите. Вот, правильная эта. Когда-то давно, деды сказывают, для обновления сервиса в среде инженерам приходилось самим писать скрипты для деплоймента, а некоторые даже запускали их сами из консоли, руками. Были даже причудливые инструменты вроде ClusterSSH, чтобы делать сеанс одновременной игры на всех нодах кластера.Но неотвратимо наступающая тотальная контейнеризация, ввод в обиход универсального понятия "workload", и "оркестризация" привели к появлению и распространению Kubernetes, на котором на данный момень работает примерно 3/4 мировых production сред.Kubernetes ввёл в обиход концепцию управления конфигурацией при помощи дескрипторов - kubectl apply что в переводе означает "я не хочу объяснять что делать, я говорю как хочу чтобы в среде всё стало - а ты делай что должен, блестящий металлический зад!".Как с любой инновацией, выход на базовый уровень оркестрации привёл к осознанию того, что дескрипторы должен делать не человек руками, а другой "металлический зад", которому задачу ставить можно на ещё более высоком уровне - "накати обновление сервиса Ы на среду Ъ, согласно правилам подготовки конфигурации среды". Поэтому Helm стал де-факто стандартом в автоматизированных деплойментах Kubernetes, добавляя новые интересные возможности, которые идут гораздо дальше простой альтернативы выполнению kubectl apply -f ...Ниже мы рассмотрим несколько примеров того, что можно получить от Helm по сравнению с простой командой kubectl apply, с чем разработчик сталкивается в реальной жизни. Мы покажем, как организовать доставку новых версий сервисов в разные среды, описывая параметры так, что не требуется копипастных повторений, которые ведут к ошибкам. Мы также увидим несколько других полезных приёмов - для удобного управления секретами и организации надёжных пайплайнов. Итак, напомним, что Helm в принципе может делать три основные вещи:
- сделать дескрипторы по шаблонам
- накатить дескрипторы на кластер
- использовать репозитории charts - взять шаблоны дескрипторов из центральной среды
В данном тексте мы фокусируемся на первых двух моментах, шаблонах и состоянии кластера, не затрагивая репозитории.Шаблонизатор Helm работает примерно так:
Другими словами, Helm берёт исходники:
- файлы, текстовые и бинарные
- шаблоны .yaml
- значения из одного или нескольких .yaml файлов, и, возможно, командной строки
и производит файлы .yaml для того, чтобы применить их на кластер Kubernetes. При этом файлы вставляются в Secrets и ConfigMaps, а значения занимают свои места в шаблонах.Получившиеся дескрипторы можно скормить в кластер непосредственно через kubectl, или же (что открывает новые возможности) наложить их через Helm. Helm имеет встроенные средства управления состоянием кластера - несколько последних сделанных деплойментов сохраняются в отдельном Secret, что даёт возможность полного и точного отката при ошибке - то есть обеспечивает атомарность операции и целостность кластера.Рассмотрим некоторые полезные техники Helm для решения типичных задач, с которыми девопс инженер сталкивается за пределами простого, понятного, нежно-розового мира hello world:
- управление конфигурацией множества сред
- использование секретов
- повышение стабильности пайплайнов
Конфигурация множества средСкорее всего, ваши сервисы работают в нескольких средах. Простейшим разделением может быть Test и Production, но на практике всё бывает чуть сложнее. Тестовые среды бывают разных видов: некоторые из них одноразовые, нестабильные и экспериментальные, выполняющие код из новых пулл реквестов, который может часто ломаться. Другие тестовые среды предназначены, например, для приёмочного тестирования реальными пользователями (по уровню ответственности не Production - но весьма похожие). Такие среды обычно используются несколькими командами, поэтому все ожидают от них стабильности.Production-среды имеют общие моменты, характерные для production, например реальный секретный ключ для платёжной системы. Но, тем не менее, могут различаться в других аспектах: например по региону, среда для "канареечных" релизов для тестов на малой группе, или по регионам. Или же может быть несколько production сред для каждого клиента или их группы, если ваш сервис больше похож на SaaS.12 заповедейВозможно, вы слышали о 12 заповедях - наборе "золотых" правил для организации сервисов, которым контейнерные оркестрации типа Kubernetes соответствуют чуть менее чем полностью. Под номером 3 сформулирована важность сохранения настроек и конфигураций в самой среде, а не в приложении.Однако в скрижалях с 12 заповедями не сообщается подробностей - как именно передать эти значения в среды прозрачным, безопасным и контролируемым образом и где все это хранить. Особенно когда вам нужно поддерживать много сред, похожих по одним аспектам, но разных по другим. И как быть с некоторыми значениями конфигурации, которые лучше держать в секрете? Чтобы успешно справиться со всей этой сложностью с помощью Helm, необходимо внести некоторые улучшения в стандартную компоновку chart.
Код с конфигурацией - как мясное с молочным? Иногда встречаются еретические варианты трактовки третьей заповеди, когда некоторые юноши понимают сохранение настроек не в приложении буквально, насмотревшись на картинку из манифеста, которая слева.Они решают, что заповедь запрещает мешать молочное с мясным хранить конфигурацию приложения в том же гит-репозитории что и его код.Истинно говорю вам, они заблуждаются! Третья заповедь - про то, что артефакт сервиса (результат build) должен быть один и тот же, и не содержать конфигурации, которая считывается при запуске из среды - в коей среде она должна присутствовать. Каждый новый билд порождает неизменяемые (immutable) контейнер(ы) с кодом, и Helm chart, который можно применить для любой среды - от локального docker-desktop до production кластера в AWS.При этом код конфигурации, в нашем случае - шаблоны и файлы Helm chart, с полным набором настроек для всех сред, за исключением секретных значений, проще хранить вместе с кодом сервиса. В особенности, если вам всё-таки удалось сделать гармоничную (микро)сервисную архитектуру, и у каждого сервиса есть возможность обновляться независимо. Если такой возможности нет - не льстите себе, у вас распределённый монолит, а не (микро)сервисы. Чтобы сделать всё красиво и надёжно, мы прежде всего хотим устранить избыточность и дублирование схожих элементов конфигурации и шаблонов и сделать их такими же простыми, как приложение, работающее на ноутбуке разработчика. Следовательно:
- мы не хотим, чтобы конфигурация нашего приложения зависела от способа его развертывания - запуск контейнера на лаптопе разработчика и запуск в оркестраторе не должны по сути отличаться
- ... ведь в подавляющем большинстве случаев все, что нужно сервису - это просто набор из нескольких файлов конфигурации в одном, доступном ему каталоге (conf или properties)
- а ещё больше мы не хотим ничего копипастить - это ведёт к визуальному мусору, глупым ошибкам, повышению затрат на поддержку - поэтому
- каждое значение конфигурации и/или файл должны храниться в одном и только в одном месте,
- если значения или файлы различаются в зависимости от среды, в каждой среде сохраняются только отличающиеся части,
- добавление файла в конфигурацию должно требовать именно этого - добавление файла: никаких изменений в пицот других yaml-ов!
Мы будем хранить конфигурации всех наших сред в диаграмме Helm как часть chart. Пример ниже, дополнительные каталоги выделены (+).
/env // (+) значения для сред
/<chart-name> // chart
/files // (+) конфигурационные файлы и их шаблоны
/templates // шаблоны Helm
Chart.yaml // заглавный файл chart
values.yaml // значения по умолчанию
Файлы со значениями для средДавайте посмотрим подробнее на структуру ваших сред. Допустим у вас есть два типа, TEST и PROD для тестовых и продакшен сред, соответственно. тип TEST делится на две разновидности -STABLE и -PR (пул реквест, нестабильная среда), а для типа PROD у вас разновидности это регионы, EU и US.Получается примерно такая структура для /env (значения для сред) и /files (файлы конфигурации):
/env
TEST.yaml // общие значения для всех тестовых сред
TEST-PR.yaml // только для PR/нестабильной
TEST-STABLE.yaml // только для стабильной
PROD.yaml // общие значения для всех продакшен сред
PROD-EU.yaml // продакшен EU
PROD-US.yaml // продакшен US
/files /TEST // общие файлы для всех тестовых сред
/TEST-PR // ...
/TEST-STABLE // ... /PROD // общие файоы для всех продакшен сред
/PROD-EU // ...
/PROD-US // ...
/shared // файлы общие для всех сред
values.yaml // значения общие для всех сред
Теперь посмотрим что внутри /files - текстовые и бинарные файлы конфигурации.
...
/PROD /binary /text
/PROD-EU /binary /text
...
/shared /binary /text /secret-text
Если какого-то типа файлов нет для комбинации тип/разновидность среды, то директория может отсутствовать.Не все типы файлов представлены на всех уровнях, но всему есть причина, давайте подробнее рассмотрим.
1. Мы предполагаем что секретные файлы только текстовые а не бинарные. Почему? Потому что так проще их хранить. Секретный двоичный файл (например .p12 сертификат) становится не особо секретным, если зашифровать его секретным ключом с достаточной (скажем 120+ бит) энтропией - и можно хранить его просто в гите, даже если он размеров в несколько (десятков) килобайт. Для этого можно использовать SOPS, Ansible Vault . С точки зрения безопасности - то, что лежит у вас в гите - это просто рандомный набор битов. А вот ключ, отпирающий этот бинарник, мы будем хранить в строгом секрете - как и все другие-остальные пароли.Disclaimer: описанное выше решение была одобрено, как минимум в одном частном случае, отделом информационной безопасности одной очень крупной международной финансовой организации, для хранения service identity в JKS java keystore: сам JKS файл с приватным ключом и сертификатом мог храниться среди остальных файлов конфигурации, если пароль к нему был в секрете и 120+ бит энтропии. Обязательно проконсультируйтесь с вашим отделом безопасности, прежде чем приступать к реализации вашего решения. В самом худшем случае, вам придётся добавить реализацию хранения секретных файлов в vault целиком, доставать их в переменные окружения и вставлять их в Kubernetes Secret опять же целиком, в виде base64 кодировки. Но я надеюсь, что вы справитесь!2. С другой стороны, вряд ли будут секретные текстовые файлы, которые при этом не общие (shared) для всех сред. Обычно такой файл - это шаблон (например конфигурация пула соединений к базе данных), в который надо вставить несколько секретных значений, например пароль пользователя. Ниже мы чуть подробнее раскроем тему секретов в шаблонах.
Итак, когда структура выше подготовлена, всё работает примерно так - значения из нескольких файлов сначала превращаются в один плоский yaml, накладываясь друг на друга, в порядке уменьшающегося приоритета:
- среда - разновидность (TEST-STABLE.yaml)
- среда - тип (TEST.yaml)
- общие значения (values.yaml)
Helm позволяет это сделать, указав файлы со значениями как последовательность опций --values:
helm upgrade --install <chart> path/to/<chart> --strict \
--values env/<env>.yaml --values env/<env>-<flavour>.yaml
В .yaml-файлах разновидности и типа среды содержатся атрибуты, например TEST-STABLE.yaml среди прочего содержит:
envFlavour: STABLE
а TEST.yaml содержит
envClass: TEST
В плоском финальном наборе значений всё это объединяется, для того чтобы, как мы увидим в следующем разделе, можно было удобно используем эти значения, чтобы взять нужные файлы из /files.Один ConfigMap и один Secret для всех файловСмотрим внимательно - вот одна, единая конфигурация для одного единственного ConfigMap и одного Secret, куда поместятся все ваши файлы. Бинарные файлы и текстовые несекретные файлы пойдут в ConfigMap, а секретные текстовые файлы в Secret.
# это нужно для вложенных range
{{- $self := . -}}
список директорий, откуда берутся файлы - среда-разновидность, среда-тип и потом общие файлы из shared
{{ $sources := (list "shared" .Values.envClass (printf "%s-%s" .Values.envFlavour .Values.envClass ) }}
apiVersion: v1
kind: ConfigMap
metadata:
name: myapp
# вставить несекретные текстовые файлы как шаблоны
data:
{{ range $env := $sources }}
{{ range $path, $bytes := $self.Files.Glob (printf "files/%s/text/*" $env) }}
{{ base $path }}: {{ tpl ($self.Files.Get $path) $ | quote }}
{{ end }}
{{ end }}
# вставить двоичные файлы
binaryData:
{{ range $env := $sources }}
{{ range $path, $bytes := $self.Files.Glob (printf "files/%s/binary/*" $env) }}
{{ base $path }}: {{ $self.Files.Get $path | b64enc | quote }}
{{ end }}
{{ end }}
apiVersion: v1
kind: Secret
metadata:
name: myapp
labels:
type: Opaque
data:
# вставить секретные текстовые файлы как шаблоны
{{ range $env := $sources }}
{{ range $path, $bytes := $self.Files.Glob (printf "files/%s/secret-text/*" $env) }}
{{ base $path }}: {{ tpl ($self.Files.Get $path) $ | b64enc | quote }}
{{ end }}
{{ end }}
И это всё что нужно! Ничего не надо менять, если добавляется новый файл. Как только файл оказывается в нужном месте, он будет автоматически найден и добавлен в дескриптор, никаких изменений не требуется.Тотальная шаблонизацияИмеющие опыт с Helm, возможно, задаются вопросом, к чему все эти хитрые танцы, если у Helm уже есть набор функций для ConfigMaps и Secrets?А вот почему. Заметили маленькую функцию tpl, применяемую на каждый файл? Правильно, именно поэтому она нужна, чтобы каждый текстовый файл обрабатывался как отдельный шаблон - вы можете вставлять ссылки на значения как {{ .Values.myValue }} в любое место ваших текстовых файлов конфигурации. Шаблон может использоваться для любого типа конфигурации, .properties, yaml, HOCON, например:
akka {
persistence {
cassandra {
keyspace = {{ .Values.cassandra.keyspace | quote }}
table = "{{ .Values.cassandra.tablePrefix }}messages"</code></pre><h3>Коварные кавычки</h3><p>Кавычки в значении могут оказаться как лишними, так и наоборот, в зависимости от формата файла.</p><p>Каким-то значениям, содержащим скобки, запятые и прочее, что может смутить парсер конфигурации, полезно быть взятым в кавычки:</p><pre><code>databasePassword: {{ .Values.databasePassword | quote }}</code></pre><p>Для других значений, например в файле .properties, кавычки наоборот, вредны, поэтому их можно убрать вот так:</p><pre><code>param/username={{ .Values.username | trimAll """ }}</code></pre><h3>Проецируемые тома (projected volumes)</h3><p>С точки зрения работающего сервиса всё равно, являются ли файлы секретными или нет: в контексте запущенного контейнера это просто файлы в одном и том же контексте безопасности, к которым есть доступ только у процесса в контейнере. Поэтому ничего страшного нет в том, чтобы положить всех файлы - текстовые, бинарные, содержащие секреты и не содержащие - в один каталог контейнера. </p><p>Для этого в Kubernetes удачно завезли projected volumes - проецируемые тома, которые можно собирать из нескольких <em>ConfigMaps</em> и <em>Secrets</em>.</p><pre><code>volumes:
name: properties
projected:
defaultMode: 0640
sources:
- configMap:
name: myapp
- secret:
name: myapp</code></pre><p>Очень просто смонтировать такой "сборный" том в директорию <em>/conf </em>вашего приложения.</p><h3>Линтер </h3><p>Не вредно бывает запускать линтер для проверки chart на вменяемость, чтобы при ошибке пайплайн падал не в момент деплоймента, а существенно раньше.</p><p>У Helm есть для этого команды lint и template:</p><pre><code>helm lint --debug path/to/<chart> --strict --values env/<env>.yaml \
-values env/<env>-<flavour>.yaml
helm template <chart> path/to/<chart> --strict --values env/<env>.yaml \
-values env/<env>-<flavour>.yaml
В процессе подготовки chart в пайплайне эти команды должны выполниться для всех валидных комбинаций типа и разновидности сред.Но совершенству нет пределов (почти) - можно пойти ещё на шаг дальше и использовать yamllint для валидации yaml-дескрипторов. Это позволит отловить проблемы, которые иначе не получается ловить - например два файла с одним и тем же именем, которые оказались в PROD и PROD-EU, будут дважды вставлены в ConfigMap, что приведёт к ошибке при деплойменте.Управление секретамиТеперь немного про то, как обращаться с секретами - например ключами платных API, паролями для баз данных и паролями от TLS-сертификатов, которые мы не хотим показывать никому, кроме самого сервиса. Обычно секретные значения хранятся в отдельном сервисе, типа Heroku Vault, Azure Vault, Google Cloud KMS и подобных. В Helm даже есть плагин для управления секретами, но в большинстве компаний управление секретами централизовано, и инженерам не позволено, да и не нужно, трогать секреты из production.Когда пайплайн запускает обновление сервиса в подобной среде, то сам пайплайн имеет возможность считать секреты и вставить их в конфигурационные файлы. В большинстве случаев (Gitlab, Circle, Azure, ...) секреты становятся переменными среды, и всё что требуется - это вставить их в шаблон в самом начале.Для этого мы добавим секцию в values.yaml
# secrets
database_username: "${UserNameSecret}"
database_password: "${DatabasePasswordSecret}"
И в нашем пайплайне используем envsubst или нечто похожее:
cat <chart>/values.yaml | envsubst > <chart>/values-injected.yaml
mv <chart>/values-injected.yaml <chart>/values.yaml
Такой подход позволяет ссылаться на секреты просто как {{ .Value.xxx }} в любом шаблоне, вставляя их туда куда им положено быть.
Но полезно помнить, однако, что ничто автоматически не предотвратит ошибочное вставление секретного значения в несекретный текстовый файл.Чтобы решить этот вопрос, можно ввести конвенцию называть секреты как XXXSecret, и добавить что-то типа такого:
EXPOSED_SECRETS=$(grep Secret <chart>/files | grep -v secret-files | wc -l)
if [ $EXPOSED_SECRETS -gt 0 ]; then fail "Secrets are exposed"; fi
Это добавит уровень защиты против случайной потери секрета.Атомарные обновления средТеперь последний раздел - как использовать Helm hooks для того, чтобы повысить надёжность ваших пайплайнов.Предположим, вы только что развернули новую версию приложения или новый набор значений конфигурации. Теперь вы определенно хотите знать, не поломалось ли что-то? Если все в порядке, вы можете продолжить работу над другими задачами вашего спринта, но если что-то не так - то вы скорее всего очень хотите, чтобы среда была автоматически восстановлена до последнего известного исправного состояния, без вашего вмешательства и всех этих надоедливых сообщений фрустрированных коллег: «Почему я снова получаю ошибку 5xx?». Это может показаться сложным - особенно если вы хотите реализовать это самостоятельно, вооружившись простым kubectl apply -f ... Но, к счастью, Helm многое делает "прямо из коробки".Флаг --atomicПросто добавьте флаг --atomic для автоматической отмены текущего обновления, если поды не запустились по любой причине:
helm upgrade --install my-chart some/path/to/my-chart --atomic --debug --timeout 300s
Helm откатит обновление, если проверки проб health/readiness не дали положительного результата в указанный срок. Хорошо, но можно лучше.HooksМожно, и нужно, добавить Kubernetes Job в ваш дескриптор, чтобы запускать тесты "на дым" после каждого обновления. Обычно это не полный набор тестов, но несколько базовых сценариев, которые затрагивают все ключевые внешние системы, к которым сервис обращается в среде - например базу данных, внешний кеш, какие-то другие сервисы и тп.И разумеется, сигнализировать Helm откатить обновление, если тест не прошёл.
apiVersion: batch/v1
kind: Job
metadata:
name: myapp
labels:
annotations:
"helm.sh/hook": post-install,post-upgrade
"helm.sh/hook-delete-policy": before-hook-creation,hook-succeeded
spec:
template:
metadata:
name: myapp-smoke-test
spec:
restartPolicy: Never
containers:
- name: tests
image: test-image:
command: ['/bin/sh',
'-c',
'/test/run-test.sh']
Если вы используете --atomic флаг и post-upgrade/post-install hook для тестов в пайплайне, вы можете со значительной долей уверенности считать пайплайн надёжным. Он будет иметь "зелёный" статус тогда, и только тогда, когда сервис был успешно обновлён, запущен и прошёл базовые тесты.А если что-то пошло не так - Helm возвратит среду в то состояние, которое было до этого обновление, включая все конфигурации и дескрипторы.Автоматически!ЗаключениеHelm это бесплатный инструмент с открытым кодом для управления обновлениями сервисов и их конфигураций в кластерах Kubernetes’.Используя шаблоны и hooks, можно добиться того, что ваш continuous delivery плавен и надёжен настолько, что его практически никто не замечает.***Этот текст является авторским переводом, оригинал статьи этого же автораПодробно об автореПожалуйста, не предлагайте мне публиковаться в ваших блогах.
===========
Источник:
habr.com
===========
Похожие новости:
- [Системное администрирование, IT-инфраструктура, Облачные сервисы, Kubernetes] Создать кластер за 120 секунд: открытый курс по Managed Kubernetes
- [Учебный процесс в IT, Kubernetes] Бесплатный курс по Managed Kubernetes: 2,5 часа – и вы научитесь организовывать контейнерную инфраструктуру
- [DevOps] Тестирование ansible роли для RabbitMQ кластера с помощью molecule
- [Разработка под Arduino] Очередной Wi-Fi Jammer на Очередной ESP8266
- [Программирование, Java] Отправка электронных писем с помощью Spring (перевод)
- [C++, Unreal Engine, DevOps] IncrediBuild: Как ускорить сборку и анализ вашего проекта
- [C++, Unreal Engine, DevOps] IncrediBuild: How to Speed up Your Project's Build and Analysis
- [Service Desk, Управление проектами, Управление продуктом, IT-компании] Доставка, которая доставляет: субъективные мысли и выводы простого клиента
- [JavaScript, Google Chrome, HTML] Швейцарский нож отладки JavaScript
- [Oracle, Программирование, SQL, DevOps] Настройка CI/CD скриптов миграции БД с нуля с использованием GitLab и Liquibase
Теги для поиска: #_amazon_web_services, #_microsoft_azure, #_devops, #_google_cloud_platform, #_kubernetes, #_kubernetes, #_helm, #_security, #_deployment, #_continous_integration, #_delivery, #_service, #_amazon_web_services, #_microsoft_azure, #_devops, #_google_cloud_platform, #_kubernetes
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:10
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Несколько несложных, но полезных рецептов для практикующих кубероводов (источник фото - https://unsplash.com/photos/XWNbUhUINB8йл Когда-то давно, когда ножей не знали, х@#$ говядину рубили... ой нет, это другая сказка, простите. Вот, правильная эта. Когда-то давно, деды сказывают, для обновления сервиса в среде инженерам приходилось самим писать скрипты для деплоймента, а некоторые даже запускали их сами из консоли, руками. Были даже причудливые инструменты вроде ClusterSSH, чтобы делать сеанс одновременной игры на всех нодах кластера.Но неотвратимо наступающая тотальная контейнеризация, ввод в обиход универсального понятия "workload", и "оркестризация" привели к появлению и распространению Kubernetes, на котором на данный момень работает примерно 3/4 мировых production сред.Kubernetes ввёл в обиход концепцию управления конфигурацией при помощи дескрипторов - kubectl apply что в переводе означает "я не хочу объяснять что делать, я говорю как хочу чтобы в среде всё стало - а ты делай что должен, блестящий металлический зад!".Как с любой инновацией, выход на базовый уровень оркестрации привёл к осознанию того, что дескрипторы должен делать не человек руками, а другой "металлический зад", которому задачу ставить можно на ещё более высоком уровне - "накати обновление сервиса Ы на среду Ъ, согласно правилам подготовки конфигурации среды". Поэтому Helm стал де-факто стандартом в автоматизированных деплойментах Kubernetes, добавляя новые интересные возможности, которые идут гораздо дальше простой альтернативы выполнению kubectl apply -f ...Ниже мы рассмотрим несколько примеров того, что можно получить от Helm по сравнению с простой командой kubectl apply, с чем разработчик сталкивается в реальной жизни. Мы покажем, как организовать доставку новых версий сервисов в разные среды, описывая параметры так, что не требуется копипастных повторений, которые ведут к ошибкам. Мы также увидим несколько других полезных приёмов - для удобного управления секретами и организации надёжных пайплайнов. Итак, напомним, что Helm в принципе может делать три основные вещи:
Другими словами, Helm берёт исходники:
Код с конфигурацией - как мясное с молочным? Иногда встречаются еретические варианты трактовки третьей заповеди, когда некоторые юноши понимают сохранение настроек не в приложении буквально, насмотревшись на картинку из манифеста, которая слева.Они решают, что заповедь запрещает мешать молочное с мясным хранить конфигурацию приложения в том же гит-репозитории что и его код.Истинно говорю вам, они заблуждаются! Третья заповедь - про то, что артефакт сервиса (результат build) должен быть один и тот же, и не содержать конфигурации, которая считывается при запуске из среды - в коей среде она должна присутствовать. Каждый новый билд порождает неизменяемые (immutable) контейнер(ы) с кодом, и Helm chart, который можно применить для любой среды - от локального docker-desktop до production кластера в AWS.При этом код конфигурации, в нашем случае - шаблоны и файлы Helm chart, с полным набором настроек для всех сред, за исключением секретных значений, проще хранить вместе с кодом сервиса. В особенности, если вам всё-таки удалось сделать гармоничную (микро)сервисную архитектуру, и у каждого сервиса есть возможность обновляться независимо. Если такой возможности нет - не льстите себе, у вас распределённый монолит, а не (микро)сервисы. Чтобы сделать всё красиво и надёжно, мы прежде всего хотим устранить избыточность и дублирование схожих элементов конфигурации и шаблонов и сделать их такими же простыми, как приложение, работающее на ноутбуке разработчика. Следовательно:
/env // (+) значения для сред
/<chart-name> // chart /files // (+) конфигурационные файлы и их шаблоны /templates // шаблоны Helm Chart.yaml // заглавный файл chart values.yaml // значения по умолчанию /env
TEST.yaml // общие значения для всех тестовых сред TEST-PR.yaml // только для PR/нестабильной TEST-STABLE.yaml // только для стабильной PROD.yaml // общие значения для всех продакшен сред PROD-EU.yaml // продакшен EU PROD-US.yaml // продакшен US /files /TEST // общие файлы для всех тестовых сред /TEST-PR // ... /TEST-STABLE // ... /PROD // общие файоы для всех продакшен сред /PROD-EU // ... /PROD-US // ... /shared // файлы общие для всех сред values.yaml // значения общие для всех сред ...
/PROD /binary /text /PROD-EU /binary /text ... /shared /binary /text /secret-text 1. Мы предполагаем что секретные файлы только текстовые а не бинарные. Почему? Потому что так проще их хранить. Секретный двоичный файл (например .p12 сертификат) становится не особо секретным, если зашифровать его секретным ключом с достаточной (скажем 120+ бит) энтропией - и можно хранить его просто в гите, даже если он размеров в несколько (десятков) килобайт. Для этого можно использовать SOPS, Ansible Vault . С точки зрения безопасности - то, что лежит у вас в гите - это просто рандомный набор битов. А вот ключ, отпирающий этот бинарник, мы будем хранить в строгом секрете - как и все другие-остальные пароли.Disclaimer: описанное выше решение была одобрено, как минимум в одном частном случае, отделом информационной безопасности одной очень крупной международной финансовой организации, для хранения service identity в JKS java keystore: сам JKS файл с приватным ключом и сертификатом мог храниться среди остальных файлов конфигурации, если пароль к нему был в секрете и 120+ бит энтропии. Обязательно проконсультируйтесь с вашим отделом безопасности, прежде чем приступать к реализации вашего решения. В самом худшем случае, вам придётся добавить реализацию хранения секретных файлов в vault целиком, доставать их в переменные окружения и вставлять их в Kubernetes Secret опять же целиком, в виде base64 кодировки. Но я надеюсь, что вы справитесь!2. С другой стороны, вряд ли будут секретные текстовые файлы, которые при этом не общие (shared) для всех сред. Обычно такой файл - это шаблон (например конфигурация пула соединений к базе данных), в который надо вставить несколько секретных значений, например пароль пользователя. Ниже мы чуть подробнее раскроем тему секретов в шаблонах.
helm upgrade --install <chart> path/to/<chart> --strict \
--values env/<env>.yaml --values env/<env>-<flavour>.yaml envFlavour: STABLE
envClass: TEST
# это нужно для вложенных range
{{- $self := . -}} список директорий, откуда берутся файлы - среда-разновидность, среда-тип и потом общие файлы из shared {{ $sources := (list "shared" .Values.envClass (printf "%s-%s" .Values.envFlavour .Values.envClass ) }} apiVersion: v1 kind: ConfigMap metadata: name: myapp # вставить несекретные текстовые файлы как шаблоны data: {{ range $env := $sources }} {{ range $path, $bytes := $self.Files.Glob (printf "files/%s/text/*" $env) }} {{ base $path }}: {{ tpl ($self.Files.Get $path) $ | quote }} {{ end }} {{ end }} # вставить двоичные файлы binaryData: {{ range $env := $sources }} {{ range $path, $bytes := $self.Files.Glob (printf "files/%s/binary/*" $env) }} {{ base $path }}: {{ $self.Files.Get $path | b64enc | quote }} {{ end }} {{ end }} apiVersion: v1 kind: Secret metadata: name: myapp labels: type: Opaque data: # вставить секретные текстовые файлы как шаблоны {{ range $env := $sources }} {{ range $path, $bytes := $self.Files.Glob (printf "files/%s/secret-text/*" $env) }} {{ base $path }}: {{ tpl ($self.Files.Get $path) $ | b64enc | quote }} {{ end }} {{ end }} akka {
persistence { cassandra { keyspace = {{ .Values.cassandra.keyspace | quote }} table = "{{ .Values.cassandra.tablePrefix }}messages"</code></pre><h3>Коварные кавычки</h3><p>Кавычки в значении могут оказаться как лишними, так и наоборот, в зависимости от формата файла.</p><p>Каким-то значениям, содержащим скобки, запятые и прочее, что может смутить парсер конфигурации, полезно быть взятым в кавычки:</p><pre><code>databasePassword: {{ .Values.databasePassword | quote }}</code></pre><p>Для других значений, например в файле .properties, кавычки наоборот, вредны, поэтому их можно убрать вот так:</p><pre><code>param/username={{ .Values.username | trimAll """ }}</code></pre><h3>Проецируемые тома (projected volumes)</h3><p>С точки зрения работающего сервиса всё равно, являются ли файлы секретными или нет: в контексте запущенного контейнера это просто файлы в одном и том же контексте безопасности, к которым есть доступ только у процесса в контейнере. Поэтому ничего страшного нет в том, чтобы положить всех файлы - текстовые, бинарные, содержащие секреты и не содержащие - в один каталог контейнера. </p><p>Для этого в Kubernetes удачно завезли projected volumes - проецируемые тома, которые можно собирать из нескольких <em>ConfigMaps</em> и <em>Secrets</em>.</p><pre><code>volumes: name: properties projected: defaultMode: 0640 sources: - configMap: name: myapp - secret: name: myapp</code></pre><p>Очень просто смонтировать такой "сборный" том в директорию <em>/conf </em>вашего приложения.</p><h3>Линтер </h3><p>Не вредно бывает запускать линтер для проверки chart на вменяемость, чтобы при ошибке пайплайн падал не в момент деплоймента, а существенно раньше.</p><p>У Helm есть для этого команды lint и template:</p><pre><code>helm lint --debug path/to/<chart> --strict --values env/<env>.yaml \ -values env/<env>-<flavour>.yaml helm template <chart> path/to/<chart> --strict --values env/<env>.yaml \ -values env/<env>-<flavour>.yaml # secrets
database_username: "${UserNameSecret}" database_password: "${DatabasePasswordSecret}" cat <chart>/values.yaml | envsubst > <chart>/values-injected.yaml
mv <chart>/values-injected.yaml <chart>/values.yaml Но полезно помнить, однако, что ничто автоматически не предотвратит ошибочное вставление секретного значения в несекретный текстовый файл.Чтобы решить этот вопрос, можно ввести конвенцию называть секреты как XXXSecret, и добавить что-то типа такого:
EXPOSED_SECRETS=$(grep Secret <chart>/files | grep -v secret-files | wc -l)
if [ $EXPOSED_SECRETS -gt 0 ]; then fail "Secrets are exposed"; fi helm upgrade --install my-chart some/path/to/my-chart --atomic --debug --timeout 300s
apiVersion: batch/v1
kind: Job metadata: name: myapp labels: annotations: "helm.sh/hook": post-install,post-upgrade "helm.sh/hook-delete-policy": before-hook-creation,hook-succeeded spec: template: metadata: name: myapp-smoke-test spec: restartPolicy: Never containers: - name: tests image: test-image: command: ['/bin/sh', '-c', '/test/run-test.sh'] =========== Источник: habr.com =========== Похожие новости:
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:10
Часовой пояс: UTC + 5