自建kubernetes存储(vivo大规模Kubernetes集群自动化运维实践)

seosqwseo8个月前 (05-15)测评日记58

一、vivo大规模Kubernetes集群自动化运维实践

随着vivo业务迁移到k8s的增长,我们需要将k8s部署到多个数据中心。如何高效、可靠的在数据中心管理多个大规模的k8s集群是我们面临的关键挑战。kubernetes的节点需要对os、docker、etcd、k8s、cni和网络插件的安装和配置,维护这些依赖关系繁琐又容易出错。

以前集群的部署和扩缩容主要通过ansible编排任务,黑屏化*作、配置集群的inventory和vars执行ansible playbook。集群运维的主要困难点如下:

主要基于ansible定义的OS、docker、etcd、k8s和addons等集群部署任务。

上面看到是集群一键部署关键流程。当在多个数据中心部署完k8s集群后,比如集群组件的安全漏洞、新功能的上线、组件的升级等对线上集群进行变更时,需要小心谨慎的去处理。我们做到了化整为零,对单个模块去处理。避免全量的去执行ansible脚本,增加维护的难度。针对如docker、etcd、k8s、network-plugin和addons的模块化管理和运维,需提供单独的ansible脚本入口,更加精细的运维*作,覆盖到集群大部分的生命周期管理。同时kubernetes-operator的api设计的时候可以方便选择对应*作yml去执行*作。

ConmponentConfig[1]提供的API去标识配置文件。

部署出来的集群,需要进行大量的场景测试和模拟。保证线上环境变更的可靠性和稳定性。

这里利用了GitLab、gitlab-runner[2]、ansible和kubevirt[3]等开源软件构建了CI流程。

如上图所示,当开发人员在GitLab提交PR时会触发一系列*作。这里主要展示了创建虚拟机和集群部署。其实在我们的集群还部署了语法检查和性能测试gitlab-runner,通过这些gitlab-runner创建CI的job去执行CI流程。

如上图所示,当开发人员提交多个PR时,会在k8s集群中创建多个job,每个job都会执行上述的CI测试,互相不会产生影响。这种主要使用kubevirt的能力,实现了k8s on k8s的架构。

Operator是一种用于特定应用的控制器,可以扩展 K8s API的功能,来代表k8s的用户创建、配置和管理复杂应用的实例。基于k8s的资源和控制器概念构建,又涵盖了特定领域或应用本身的知识。用于实现其所管理的应用生命周期的自动化。

3.2 Kubernetes-Operator CR介绍

kubernetes-operator的使用很多自定义的CR资源和控制器,这里简单的介绍功能和作用。

【ClusterDeployment】:管理员配置的唯一的CR,其中MachineSet、Machine和Cluster它的子资源或者关联资源。ClusterDeployment是所有的配置参数入口,定义了如etcd、k8s、lb、集群版本、网路和addons等所有配置。

【MachineSet】:集群角色的**包括控制节点、计算节点和etcd的配置和执行状态。

【Machine】:每台机器的具体信息,包括所属的角色、节点本身信息和执行的状态。

【Cluster】:和ClusterDeployment对应,它的status定义为subresource,减少

clusterDeployment的触发压力。主要用于存储ansible执行器执行脚本的状态。

【ansible执行器】:主要包括k8s自身的job、configMap、Secret和自研的job控制器。其中job主要用来执行ansible的脚本,因为k8s的job的状态有成功和失败,这样job控制器很好观察到ansible执行的成功或者失败,同时也可以通过job对应pod日志去查看ansible的执行详细流程。configmap主要用于存储ansible执行时依赖的inventory和变量,挂在到job上。secret主要存储登陆主机的密钥,也是挂载到job上。

【扩展控制器】:主要用于扩展集群管理的功能的附加控制器,在部署kubernetes-operator我们做了定制,可以选择自己需要的扩展控制器。比如addons控制器主要负责addon插件的安装和管理。clusterinstall主要生成ansible执行器。remoteMachineSet用于多集群管理,同步元数据集群和业务集群的machine状态。还有其它的如对接公有云、dns、lb等控制器。

vivo的应用分布在数据中心的多个k8s集群上,提供了具有集中式多云管理、统一调度、高可用性、故障恢复等关键特性。主要搭建了一个元数据集群的pass平台去管理多个业务k8s集群。在众多关键组件中,其中kubernetes-operator就部署在元数据集群中,同时单独运行了machine控制器去管理物理资源。

当大量应用迁移到kubernets上,管理员评估需要扩容集群。首先需要审批物理资源并通过pass平台生成对应machine的CR资源,此时的物理机处于备机池里,machine CR的状态为空闲状态。当管理员创建ClusterDeploment时所属的MachineSet会去关联空闲状态的machine,拿到空闲的machine资源,我们就可以观测到当前需要*作机器的IP地址生成对应的inventory和变量,并创建configmap并挂载给job。执行扩容的ansible脚本,如果job成功执行完会去更新machine的状态为deployed。同时跨集群同步node的控制器会检查当前的扩容的node是否为ready,如果为ready,会更新当前的machine为Ready状态,才完成整个扩容流程。

当其中一个业务集群出现故障,无法提供服务,触发故障恢复流程,走统一资源调度。同时业务的策略是分配在多个业务集群,同时配置了一个备用集群,并没有在备用集群上分配实例,备用集群并不实际存在。

3.4 Kubernetes-Operator执行流程

vivo大规模的K8s集群运维实践中,从底层的集群部署工具的优化,到大量的CI矩阵测试保证了我们线上集群运维的安全和稳定性。采用了K8s托管K8s的方式来自动化管理集群(K8s as a service),当operator检测当前的集群状态,判断是否与目标一致,出现不一致时,operator会发起具体的*作流程,驱动整个集群达到目标状态。

当前vivo的应用主要分布在自建的数据中心的多个K8s集群中,随着应用的不断的增长和复杂的业务场景,需要提供跨自建机房和云的多个K8s集群去运行原云生的应用程序。就需要Kubernetes-Operator提供对接公有云基础设施、apiserver的负载均衡、网络、dns和Cloud Provider等。需要后续不断完善,降低K8s集群的运维难度。

本文作者:Zhang Rong来源:vivo互联网技术

CIO之家 www.ciozj微信公众号:imciow

二、深入理解Kubernetes的认证与授权机制

众所周知,任意一个系统的安全机制的核心都是基于认证与授权(Authentication and Authorization),即首先通过某种方式确认“你”的身份,再根据一定的授权策略确定“你”在我的系统里面能做什么*作。对于K8S来说,就是体现为客户端对于 kube-apiserver的api接口*作的鉴权(客户端可以是集群内的工作负载pod,任意服务器上的kubectl程序,或是计算节点上的kubelet组件等等)。Kubernets项目作为一个成熟的开源云计算基础设施项目,让我们来看看他们是如何解决认证与授权这两个核心问题的:

k8s的用户认证机制的官方文档地址: 。

Kubernetes中的用户类型分为 service accounts和 normal users两类。service accounts是k8s内部自建的一套用户认证体系,主要用于pod里直接调用kube-apiserver过程中的认证。而普通用户类型依赖于外部认证服务,k8本身不关心。

当创建service account对象时,会对应的创建一个secret对象,内含了这个用户的认证token,当pod启动时,只要yaml里申明了绑定特定的service account账号,那么系统会自动把secret的token注入到pod中的指定目录,接下来当pod调用apiserver接口时,系统都会自动的附加上这个token,这样apiserver就可以识别出这个pod的身份,结合role和role**nding的配置信息,就可以正确的授权了。service account是基于k8内部的认证体系,使用起来比较方便,直接在集群内创建sa资源即可。此种类型的用户不是本篇文章讨论的重点,想了解具体的*作可以参考我之前的这篇文章:构建云原生微服务**系列-篇二:Zuul,里面有详细的service account的使用说明。

本文讨论的重点,针对普通用户类型,很多人的理解会比较模糊,对此**有一段说明:

也就是说,k8项目认为普通用户认证应该由外部服务供应商解决,k8本身不关心认证过程,只要告诉他终的认证结果,即这个用户是“谁”。认证方式可以用公私钥对,或者openstack的 keystone认证服务、google的Google Accounts服务,甚至是一个有着用户名和密码列表的文件,对于k8s来说,都是一样的。不管用何种方式去认证,终结果都是告诉k8s,这个用户是“谁”,也就是它的用户id。这里需要注意的时,对于普通用户类型,k8是不会存储用户信息的,而对于service account类型的用户,k8会保存在etcd里面。普通用户也无法通过api调用直接创建。

Kubernetes支持使用客户端证书、bearer token、认证代理或者http basic auth等方式进行认证,而无论使用哪种方式,认证插件都需要将以下的用户信息和http请求进行关联:

api-server目前支持的认证方式有:

使用由 k8s根 CA签发的证书,提取cn字段作为用户id,O字段作为用户组。我们可以使用openssl工具来进行证书的签发(kubernetes 1.4之后支持了证书中携带用户组信息):

上述*作会生成一个证书请求,username为 jbeda,并同时属于两个用户组 app1和 app2。

静态token列表文件,需要预先在 API Server服务器上放置该文件,并且在api server的启动参数中加上--token-auth-file=SOMEFILE,token文件为csv格式,应至少包含token, user name, user uid这三个字段(逗号分隔)以及一个可选的group names字段,例如:

注意如果用户组有多个的话,整个用户组需要用双引号括起来。

1.18版本进入稳定版的新特性,支持可以在集群启动时动态的创建和管理token,配置比较多,这里不多赘述,有兴趣直接参考官方文档

跟静态 Token文件类似,只是使用了用户名密码的形式进行认证,使用的是http basic auth类型的认证方式,启动参数为--basic-auth-file=SOMEFILE,文件格式为:

之前介绍过了,k8s内部用户体系 Service Account使用的 Token,认证方式也是bearer token。这里需要注意的是官方文档有一个描述:

因为api-server本身并不关注流量是从哪里过来的,所以基于service account创建的token,只要你拿到了这个token,是可以从集群外部发起请求的,api-server会将此请求认证为对应的service account用户。拿到token的方式**也做了说明:

注意和serviceaccount绑定的secret类型为 kubernetes.io/service-account-token,其中token字段即为我们需要的令牌(jwt格式),拿着这个令牌就可以直接发起请求了。注意在secret中保存的token是经过base64编码的,实际使用时还需要先进行base64解码*作,可以使用jwt.io网站来查看这个令牌,以下是k8s签发的一个jwt令牌payload部分字段的示例:

新出来的一种认证方式,基于Oauth2,比较复杂,有兴趣可以参考官方文档,这里不介绍了。对于Oauth2认证以及JWT技术比较感兴趣的,可以参考我之前的博文深入理解Spring Cloud Security OAuth2及JWT。(阅读量4万多了,也算*款了:)

搞定了认证,接下来就是授权了。得益于k8s优良的设计,认证和授权是解耦的,所以只要k8系统识别出了用户身份(username或者uid),接下来要做的事情就是一样的了。关于授权部分的官方文档地址:

事实上k8s本身也支持多种授权类型,比如rbac,abac,node,dynamic admission等等。这里只介绍下常用的rbac(基于角色的访问控制),实际使用中,api-server开启--authorization-mode=RBAC参数,即启动了rbac功能。

如果你对于rbac本身已经比较了解,那么其实k8s里面的rbac功能就非常容易理解了。涉及rbac的有两个api对象,role定义了一个角色,申明了此角色可以*作的功能列表,role**nding其实就是把用户和角色做了一个绑定。

这个yaml定义了一个Role对象,名称为 pod-reader,作用域为 default这个namespace,可以对 pods这个对象进行 get、 watch、 list*作。

kubernetes完整的*作类型列表如下,都很好理解,不一一说明了:

值得注意的是,有些资源还有子类型,比如pod的logs,如果需要查看,也是需要授权的(添加 pods/log资源类型)

RoleBinding资源的作用也非常容易理解,就是绑定Role和用户。下面是一个RoleBinding的示例:

这个例子里把一个类型为User,name叫做jane的用户,和pod-reader的Role做了绑定。注意subjects里面的 kind字段,即用户类型,前面介绍过了,分别是 User、 Group和 ServiceAccount。绑定完成之后,当使用 jane这个用户身份对k8s的api进行调用,就可以进行指定的 watch、 get、 list*作了。

这两资源其实和Role、RoleBinding的配置方式是完全一样的,区别在于ClusterRole和ClusterRoleBinding的作用域是集群范围的,并且可以*作 node这样的集群范围资源,而Role、RoleBinding在metadata中需要指定namespace字段,其他方面没有区别。

弄清原理之后,现在让我们来实际*作一下,目标是使用kubectl客户端工具对于给定的k8集群进行受限*作。基于上述的认证策略的介绍,我们使用客户端证书方式来进行用户认证,即使用K8集群的根证书来签发一个用户证书,使用该证书来进行用户认证及授权*作。

关于RSA证书的制作,可以参考**文档: ,这里我们使用常用的openssl工具来制作证书:

1、创建一个2048位长度的RSA格式私钥

2、创建证书签名请求(csr),CN-对应Username O-对应用户组,上面的文章中已经介绍过

3、使用集群根证书签发这个证书请求(days是证书到期时间,可根据实际需要配置)

首先先找到一台准备作为客户端访问k8集群的linux服务器(或者windows、mac都可以),确保客户端与集群的api-server端口网络联通(一般为6443端口,注意必须是https连接),出于安全考虑,好开一个*作k8的专用的*作系统账号。把集群master节点中的kubectl二进制文件拷贝至此服务器/usr/**n目录内,同时拷贝release.csr、release.key、ca.pem这三个文件至服务器上的指定目录。

在新建用户的home目录下创建.kube目录,在此目录下新建config文件(或者直接执行kubectl config set-cluster test*作,kubectl会自动创建该文件),编辑该文件填写如下内容:

完成之后可以执行 kubectl config view来验证一下配置是否正确。

使用管理员登陆k8集群,进行权限配置,这里以添加集群范围的运维用户权限为例:

可以看到,我们定义了一个角色 release,用于应用的部署及日常运维*作。为了满足日常运维,给其分配了一组受限的资源权限。

具体来说,该角色对"deployments","services","configmap","pvc"资源有全部的*作权限,对于"nodes","events","pods","pods/log","endpoints"只有查看权限,对于其他资源没有任何权限。

这里我们定义了一个ClusterRoleBinding,把User和ClusterRole进行了绑定,到这里全部*作就完成了。

登陆客户端,一切顺利的话,执行 kubectl get pods就可以返回远程集群的default命名空间下的pods列表了,其他配置的权限应该也可以正常*作。而如果这个用户想访问受限资源,比如想查看secrets信息,则会出现如下的报错信息(403 For**dden):

基于上述的描述,可以知道,其实在集群里面创建一个service account,把它的token拷贝出来,配置在客户端的kubectl配置文件中,可以达到同样的效果,这里就不再演示了。

因为service account的token机密信息实际上都是存放于secret对象中,而secret经常被人吐槽的是存放的数据是明文(只是做了base64编码),所以这里多说一句secret的安全性问题。其实k8s是支持secret加密存放的,支持的加密类型还挺多,具体可以看我这篇文章:使用加密插件加密secrets中的数据。但其实我并不建议使用这种方式,原因是使用加密插件只能加密存放在etcd里面的数据,而使用api server调取出的数据仍然是解密过后的,这意味着你执行 kubectl get secrets或者是进入容器的环境变量查看,仍然可以看到明文数据。k8s项目更推荐的权限管理方式是:

做好上面两点,对于一般公司的安全管控来讲已经足够,毕竟集群管理员的权限只是掌握在很小一部分人的手中。而对于安全审计要求更高的企业(比如金融机构),审计可能会有要求敏感数据必须加密存放,此时可使用api-server的加密插件。

相关文章

创维电视65M365英寸4K超高清超薄护眼使用反馈分享

创维电视65M365英寸4K超高清超薄护眼使用反馈分享

很多小伙伴在关注创维电视65M365英寸4K超高清超薄护眼怎么样?质量好不好?使用测评如何?本文综合已购用户的客观使用分享和相应的优惠信息,为大家推荐一款高性价比的产品,一...

华为电视智慧屏SE系列二代升级测评使用介绍

华为电视智慧屏SE系列二代升级测评使用介绍

很多小伙伴在关注华为电视智慧屏SE系列二代升级怎么样?质量好不好?使用测评如何?本文综合已购用户的客观使用分享和相应的优惠信息,为大家推荐一款高性价比的产品,一起来看看吧。...

荣耀手环7全天候血氧监测好不好

荣耀手环7全天候血氧监测好不好

很多小伙伴在关注荣耀手环7全天候血氧监测怎么样?质量好不好?使用测评如何?本文综合已购用户的客观使用分享和相应的优惠信息,为大家推荐一款高性价比的产品,一起来看看吧。...

网易有道词典笔X3s旗舰版点读笔英语学习翻译神器图文测评

网易有道词典笔X3s旗舰版点读笔英语学习翻译神器图文测评

很多小伙伴在关注网易有道词典笔X3s旗舰版点读笔英语学习翻译神器怎么样?质量好不好?使用测评如何?本文综合已购用户的客观使用分享和相应的优惠信息,为大家推荐一款高性价比的产...

适马(SIGMA)Art85mm质量测评好不好

适马(SIGMA)Art85mm质量测评好不好

很多小伙伴在关注适马(SIGMA)Art85mm怎么样?质量好不好?使用测评如何?本文综合已购用户的客观使用分享和相应的优惠信息,为大家推荐一款高性价比的产品,一起来看看吧...

南孚5号电池40粒五号碱性质量测评好不好

南孚5号电池40粒五号碱性质量测评好不好

很多小伙伴在关注南孚5号电池40粒五号碱性怎么样?质量好不好?使用测评如何?本文综合已购用户的客观使用分享和相应的优惠信息,为大家推荐一款高性价比的产品,一起来看看吧。...