k8s GitOps

目次

FrontPage
・Windows11
・Chromebook
・Random
・機械学習
・さくらVPS
・Fedora13
・SuSe10
・Docker
・Ansible
・Java
・Scala
・Python
・Ruby
・Lisp
・Computer
・GIS
・HTML
・Culture
・Link

訪問者

total: 4719
today: 1
yesterday: 1
now: 1

更新

最新の10件

人気の10件

MenuBar

GitOps? †

• 「俺、今期が終わったらGitOps?するんだ」 https://tech.drecom.co.jp/ac2020-beginning-gitops/
• GitOps?を最初に提唱した weavveworks 社の論文 https://www.weave.works/blog/gitops-operations-by-pull-request
• ざっくりいうと
  • これからのアプリ基盤は Kubernetes 前提。開発も運用も
  • 今まで、コンテナやアプリのソースはソースとして Git 管理して、そこからリリース時に別の手段でコンテナイメージを作って、さらにそこからまた別の手段で Kubernetes の Pod に配備していた。(自分はJenkins使ってました)

    

  • でも、Gitlab/Githab は、それ自体に CI/CD 持っているし、Docker Repository の機能も持っている
  • つーことは、Git上のソースのリリース操作を契機に、あとは自動でPodへの配備までできたら良くね? → GitOps?

    

  • 上記の図のように、
    • コンテナイメージのソースを開発ブランチにPUSHしたら、開発PODに自動的に配備される
    • 開発ブランチの資産をリリースブランチにMERGEしたら、公開PODに自動的に配備される
    • といった具合に Git 上でのソースコードの承認フローだけで、開発環境への配備や公開環境への配備をコントロールしようということみたい
• Gitlab + microk8s でこういうの作ってみる

構築環境 †

• ハードウェア

  CPU	Core i5 (8Gen) 6Core 3GHz
  MEM	32GB
  SSD	512GB (/dev/nvme0n1p)
  SSD	64GB (/dev/sdb)
  HDD	1TB (/dev/sda)
  GPU	RTX2070 8GB

• ディスクパーティション

  /dev/nvme0n1p1	/boot/efi	efi	537MB	537MBの根拠は http://www.rodsbooks.com/efi-bootloaders/principles.html
  /dev/nvme0n1p2	/	ext4	512GB
  /dev/sda1		swap	128GB	hibernateのため、最低必要量(メモリ容量の2倍)の2倍を確保
  /deb/bcache0	/var	ext4	796GB	bcache : Backend /dev/sda1 (796GB), Cache /dev/sdb1 (64GB)

• bcacheについて → k8s bcache
• ネットワーク環境

  netmask	192.168.10.0/24
  gw	192.168.10.1
  このマシン	192.168.10.32	DHCPで、NICのMACアドレスをもとに固定割付
  MetalLB	192.168.10.100-132	Kubernetes上で動いているPodに割り付けるIPアドレス

  • ドメイン名と、認証局の裏書がある証明書が必要 → Docker Repository に無設定でアクセスできるようにしておく必要がある
  • cf. Sakura ドメイン名取得、Let's Encrypt ワイルドカード証明書
  • ローカルのDNSサーバを作成する cf. k8s dnsmasq
  • {IP}.xip.io を使うと後で詰む
    • GitOps?では、コンテナイメージを一旦 Docker Registry (Gitlab Container Registry) に格納するが、ちゃんとしたドメイン名と証明書がないと Gitlab Container Registry が使えない)
    • ドメイン名 {IP}.xip.io を DNS で名前解決すると、IPアドレス {IP} が得られる
    • http://xip.io (元祖。よく落ちるという噂)
    • https://nip.io (xip.io の Fork。こっちのほうが安定しているという噂)

実行環境の構築 †

Gitlabのインストール †

• https://about.gitlab.com/install/#ubuntu の手順でインストール

  $ sudo apt-get update
  $ sudo apt-get install -y curl openssh-server ca-certificates tzdata perl
  $ sudo apt-get install -y postfix
  $ curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-ee/script.deb.sh | sudo bash
  $ sudo EXTERNAL_URL="http://gpu1.at-sushi.com" apt-get install gitlab-ee

  • postfix は 'Internet Site' で構築する
  • Community Edition でなく Enterprise Edition で良い。ライセンスキーを登録していない EE でも CE 相当の機能を使える
  • EXTERNAL_URL は gpu1.at-sushi.com で登録した。DNS があればそれを使ってもいいけど　
• あとは、ブラウザで http://gpu1.at-sushi.com にアクセスすれば Gitlab が起動している
  • 初回は root のパスワードを設定する V+5 にした

microk8sのインストール †

$ sudo snap install microk8s --classic

インストールの確認

$ sudo microk8s status --wait-ready

自分を microk8s の管理ユーザにする

$ sudo usermod -a -G microk8s $USER

alias を設定して kubectl を使えるようにする (~/.bash_aliases は、~/.bashrc から読み込まれる)

$ cat ~/.bash_aliases 
alias kubectl='microk8s kubectl'

Terminal再起動か、$ source ~/.bash_aliases コマンドを実行して、構築確認を行う

$ kubectl get nodes
NAME   STATUS   ROLES    AGE   VERSION
gpu1   Ready    <none>   38h   v1.20.4-34+1ae8c29bbb48f7

microk8sのデータ領域の変更 (うまく行かない) †

• データ領域を変えるとうまく動かないので、もともと /var を大容量のディスクに割り当てておくのが良かろうと思う

• /var/snap/microk8s/current/args/containerd に、microk8s 起動時のオプションが記載されている

  --%%config ${SNAP_DATA}/args/containerd.toml%%
  --%%root ${SNAP_COMMON}/var/lib/containerd%%
  --%%state ${SNAP_COMMON}/run/containerd%%
  --%%address ${SNAP_COMMON}/run/containerd.sock%%

• 次のように変更する

  --%%config ${SNAP_DATA}/args/containerd.toml%%
  --%%root /data/var/lib/containerd%%
  --%%state /data/run/containerd%%
  --%%address ${SNAP_COMMON}/run/containerd.sock%%

• 現在のデータをコピーする (インストール直後なら、再構築されるので不要)

  $ sudo cp -R /var/snap/microk8s/common/run /data
  $ sudo cp -R /var/snap/microk8s/common/var/lib /data/var

• 再起動

  $ sudo microk8s stop
  $ sudo microk8s start

• ミソは、"--address" を変更しないこと。これを変えると、microk8s start で microk8s が起動しなくなる

microk8sのaddonの導入 †

$ sudo microk8s.enable rbac dns storage gpu
$ sudo microk8s.enable metallb
Enter each IP address range delimited by comma : 192.168.10.100-192.168.10.132

$ microk8s.status 
microk8s is running
high-availability: no
  datastore master nodes: 127.0.0.1:19001
  datastore standby nodes: none
addons:
  enabled:
    dns                  # CoreDNS
    gpu                  # Automatic enablement of Nvidia CUDA
    ha-cluster           # Configure high availability on the current node
    metallb              # Loadbalancer for your Kubernetes cluster
    rbac                 # Role-Based Access Control for authorisation
    storage              # Storage class; allocates storage from host directory

Ingress や Prometheus, Fluentd なんかは、Gitlab からインストールするので、microk8s でインストールする addon は必要最低限のものにとどめておく

microk8s 側で Gitlab に設定する内容を取得 †

• API URL : https://gpu1.at-sushi.com:16443

  $ microk8s.config 
  apiVersion: v1
  clusters:
  - cluster:
      certificate-authority-data: LS0tLS1CR ....
      server: https://gpu1.at-sushi.com:16443
    name: microk8s-cluster
  contexts:
  - context:
      cluster: microk8s-cluster
      user: admin
    name: microk8s
  current-context: microk8s
  kind: Config
  preferences: {}
  users:
  - name: admin
    user:
      token: UGhyTXh ....

• CA証明書

  $ kubectl get secrets
  NAME                  TYPE                                  DATA   AGE
  default-token-x8sf2   kubernetes.io/service-account-token   3      12d
  $ kubectl get secret default-token-x8sf2 -o jsonpath="{['data']['ca\.crt']}" | base64 --decode
  -----BEGIN CERTIFICATE-----
  MIIDATCCAemgAwIBAgIJAMQnSVF96tY0MA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV
  ...
  -----END CERTIFICATE-----

• サービストークン
  • gitlab-admin-service-account.yaml

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: gitlab
      namespace: kube-system
    ---
    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRoleBinding
    metadata:
      name: gitlab-admin
    roleRef:
      apiGroup: rbac.authorization.k8s.io
      kind: ClusterRole
      name: cluster-admin
    subjects:
      - kind: ServiceAccount
        name: gitlab
        namespace: kube-system
    

  • gitlab-admin アカウント作成

    $ kubectl apply -f gitlab-admin-service-account.yaml

  • gitlab-admin アカウントのアクセストークンの取得

    $ kubectl -n kube-system get secret | grep gitlab
    gitlab-token-lsk8v                               kubernetes.io/service-account-token   3      5m35s
    $ kubectl -n kube-system describe secret gitlab-token-lsk8v
    Name:         gitlab-token-lsk8v
    Namespace:    kube-system
    Labels:       <none>
    Annotations:  kubernetes.io/service-account.name: gitlab
                  kubernetes.io/service-account.uid: b482c0e6-420e-4192-9f62-7dd960be317c
    
    Type:  kubernetes.io/service-account-token
    
    Data
    ====
    namespace:  11 bytes
    token:      eyJhbGciOiJSUzI1NiIs ...
    ca.crt:     1103 bytes

Gitlab と microk8s の連携設定 †

• root でログイン
  
• Admin Area で、ローカルホストからの Webhook を許可する。
  • [Settings]-[Network]-[Outbound requests] で、「Allow requests to the local network from web hooks and services」をチェックする
    
  • こうしないと、Kunbernetes の設定画面で、API の URL を設定しても 「s blocked: Requests to the local network are not allowed」というエラーが出て先に進まない
    
• Admin Area の Kubernetes で連携の設定を行う
  • [Settings]-[Kubernets] で、Intergrate with a cluster certificate ボタンを押す
    
  • Connect exisiting cluster を選択して、さっき microk8s で取得した接続情報を設定する
    
    • CA Certificate には、"-----BEGIN CERTIFICATE-----" から、"-----END CERTIVICATE-----" を含める
    • Service Token は、SSHコンソールに複数行出てくるがそれを全部一行で設定する
  • 連携が無事終了すると Kubernetes の管理画面が出てくる
    

Ingressのインストール †

• 先程作った "GPU1 Microk8s" クラスタの [Applications] から Ingress をインストールする
• Metallb に割り振った 192.168.10.100-132 の最初の一個が割り振られる
  

basedomainの設定 †

• Ingressに割り当てられた IP アドレスを basedomain に設定する
• 先程作った "GPU1 Microk8s" クラスタの [Details]
  

Prometheusのインストール †

• basedomain を設定すると [Applications] から Prometheus をインストールすることができるようになる
• Prometheus がインストールできると [Health] で Kubernetes クラスタのパフォーマンスデータを見ることができるようになる
  
• basedomain が設定されていないとインストール時に、エラーが発生してインストールできない

  Something went wrong while installing Prometheus  Kubernetes error: 500

Gitlab Container Registry †

• Gitlab に付属している Docker Registry
• Gitlab Auto Devops では、一旦コンテナを個々に登録してから Kubernets に配備する
• インターネットからアクセスできる Gitlab インスタンスの場合は、Let's Encrypt を使える。この場合後でめんどくさいことは起きない → https://docs.gitlab.com/omnibus/settings/ssl.html
• LAN内のインスタンスの場合は、自己証明鍵を使う
• 構築方法
  1. 鍵ペア作成

     $ openssl req -newkey rsa:4096 -nodes -sha256 -keyout registry.key -x509 -days 3650 -out registry.crt

     • "Common Name (e.g. server FQDN or YOUR name) []:" に、サーバ名を入力する。ここでは、 192.168.10.32.xip.io 。他は適当で構わない
  2. gitlab.rb の編集

     /etc/gitlab# diff -u gitlab.rb.20210412 gitlab.rb
     --- gitlab.rb.20210412	2021-04-12 20:40:50.877587005 +0900
     +++ gitlab.rb	2021-04-12 21:05:02.792357247 +0900
     @@ -732,6 +732,7 @@
      ################################################################################
      
      # registry_external_url 'https://registry.example.com'
     +registry_external_url 'https://192.168.10.32.xip.io:5050'
      
      ### Settings used by GitLab application
      # gitlab_rails['registry_enabled'] = true
     @@ -1776,6 +1777,9 @@
      # it listens on this port
      # registry_nginx['listen_port'] = 5050
      
     +registry_nginx['ssl_certificate'] = "/etc/gitlab/ssl/registry.crt"
     +registry_nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/registry.key"
     +
     

  3. gitlab 再起動

     $ sudo gitlab-ctl reconfigure

  4. 構築確認

     $ openssl s_client -showcerts -servername 192.168.10.32.xip.io -connect 192.168.10.32:5050

Gitlab Runner †

• Gitlab Runner は、CI/CD のプロセスが実際に動く環境
• Gitlab Auto Devops で、Kubernetes 上で動く Gitlab Runner をインストール可能
  • ただし、この Gitlab Runner は、Gitlab Container Registry の HTTPS 通信で認証局に認証された鍵ペアを使うのが前提
  • Let's Encrypt でもいいけど、その場合には Gitlab のインスタンスに対してインターネット側 (Let's Encrypt) から HTTP でアクセスできる必要がある
• LAN上で Gitlab Container Registry に構築するときには、自己証明鍵を使う。この場合、この Docker Registry にアクセスするためには Docker Client 側で insecure-registries 設定をする必要がある

Docker のインストール †

• microk8s 自体には、別途 Docker は不要
• Gitlab Runner を独自ビルドするのに利用する
• Docker のインストール。snap の場合は、事前に docker グループを作っておく必要がある。

  $ sudo addgroup --system docker
  $ sudo adduser $USER docker
  $ newgrp docker
  $ sudo snap install docker

【書き途中】今宵はここまで †

参考文献 †

• オンプレGitLab?にMicroK8s接続してGitLab?のAuto DevOps?を体験する(前半), @ynott, Qiita, 2021, https://qiita.com/ynott/items/f3651e9f3d46b1f088ee
• オンプレGitLab?にMicroK8s接続してGitLab?のAuto DevOps?を体験する(後半), @ynott, Qiita, 2021, https://qiita.com/ynott/items/46d4b2926afec0d788f2
• MicroK8s バージョン 1.13.4 と 1.14.0の違い, @ynott, Qiita, 2019, https://qiita.com/ynott/items/490946a4622d96dda9cb (※ microk8s.docker が廃止された件)
• GitLab?のOperations機能にてローカルk8s連携ができない場合の対処法, @gzock, Qiita, 2020, https://qiita.com/gzock/items/b06c3a7d1c59a0ba582a
• microk8s, https://microk8s.io/
• gitlab, https://about.gitlab.com/install/#ubuntu

Deep Learning