课时 24:Kubernetes API 编程利器:Operator 和 Operator Framework(夙兴)
本節課程主要分享以下三方面的內容:
operator 概述
基本概念
首先介紹一下本節所涉及到的基本概念。
- CRD (Custom Resource Definition):允許用戶自定義 Kubernetes 資源,是一個類型;
- CR (Custom Resourse):CRD 的一個具體實例;
- webhook:它本質上是一種 HTTP 回調,會注冊到 apiserver 上。在 apiserver 特定事件發生時,會查詢已注冊的 webhook,并把相應的消息轉發過去。
按照處理類型的不同,一般可以將其分為兩類:一類可能會修改傳入對象,稱為 mutating webhook;一類則會只讀傳入對象,稱為 validating webhook。
- 工作隊列:controller 的核心組件。它會監控集群內的資源變化,并把相關的對象,包括它的動作與 key,例如 Pod 的一個 Create 動作,作為一個事件存儲于該隊列中;
- controller:它會循環地處理上述工作隊列,按照各自的邏輯把集群狀態向預期狀態推動。不同的 controller 處理的類型不同,比如 replicaset controller 關注的是副本數,會處理一些 Pod 相關的事件;
- operator:operator 是描述、部署和管理 kubernetes 應用的一套機制,從實現上來說,可以將其理解為 CRD 配合可選的 webhook 與 controller 來實現用戶業務邏輯,即 operator = CRD + webhook + controller。
常見的 operator 工作模式
工作流程:
這里是從 High-Level 大概介紹一下,后面會結合案例重新梳理。
operator framework 實戰
operator framework 概述
在開始之前,首先介紹一下 operator framework。它實際上給用戶提供了 webhook 和 controller 的框架,它的主要意義在于幫助開發者屏蔽了一些通用的底層細節,不需要開發者再去實現消息通知觸發、失敗重新入隊等,只需關注被管理應用的運維邏輯實現即可。
主流的 operator framework 主要有兩個:kubebuilder 和 operator-sdk。
兩者實際上并沒有本質的區別,它們的核心都是使用官方的 controller-tools 和 controller-runtime。不過細節上稍有不同,比如 kubebuilder 有著更為完善的測試與部署以及代碼生成的腳手架等;而 operator-sdk 對 ansible operator 這類上層操作的支持更好一些。
kuberbuildere 實戰
這里的實戰選用的是 kuberbuilder。案例選用的是阿里云對外開放的 kruise 項目下的 SidercarSet。
SidercarSet 的功能就是負責給 Pod 插入 sidecar 容器(也稱為輔助容器),例如可以插入一些監控,日志采集來豐富這個 Pod 的功能,然后根據插入的狀態、Pod 的狀態反過來更新 SidercarSet 以記錄這些輔助容器的狀態。
Step 1:初始化
操作:
新建一個 GitLab 項目,運行
kubebuilder init --domain=kruise.io參數解讀:
domain 指定了后續注冊 CRD 對象的 Group 域名。
效果解讀:
拉取依賴代碼庫、生成代碼框架、生成 Makefile/Dockerfile 等工具文件。
我們來看一下它具體生成的內容(為了方便演示,實際生成文件做了部分刪減):
具體的內容大家可以在實戰的時候自己進行詳細的確認。
Step 2:創建 API
操作:
運行
kubebuilder create api --group apps --version v1alpha1 --kind SidecarSet --namespace=false實際上不僅會創建 API,也就是 CRD,還會生成 Controller 的框架。
參數解讀:
- group 加上之前的 domian 即此 CRD 的 Group: apps.kruise.io;
- version 一般分三種,按社區標準:
- v1alpha1:此 API 不穩定,CRD 可能廢棄、字段可能隨時調整,不要依賴;
- v1beta1:API 已穩定,會保證向后兼容,特性可能會調整;
- v1:API 和特性都已穩定;
- kind:此 CRD 的類型,類似于社區原生的 Service 的概念;
- namespaced:此 CRD 是全局唯一還是 namespace 唯一,類似 node 和 Pod。
它的參數基本可以分為兩類。group、version、kind 基本上對應了 CRD 元信息的三個重要組成部分。這里給出了一些常見的標準,大家實際使用的時候可以參考一下。namespaced 則用于指定我們剛剛創建的 CRD 時全局唯一的(如 node)還是 namespace 唯一的(如 Pod)。這里用了 false,即指定 SidecarSet 為全局唯一的。
效果解讀:
生成了 CRD 和 controller 的框架,后面需要手工填充代碼。
實際結果如下圖所示:
我們重點關注是圖中藍色字體部分。sidecarsettypes.go 就是定義 CRD 的地方,需要我們填充。sidecarsetcontroller.go 則用于定義 controller,同樣需要進行填充。
Step 3:填充 CRD
1. 生成的 CRD 位于 pkg/apis/apps/v1alpha1/sidecarset_types.go,通常需要進行如下兩個操作:
(1) 調整注釋
code generator 依賴注釋生成代碼,因此有時需要調整注釋。以下列出了本次實戰中 SidecarSet 需要調整的注釋:
- +genclient:nonNamespaced:生成非 namespace 對象;
- +kubebuilder:subresource:status:生成 status 子資源;
- +kubebuilder:printcolumn:name="MATCHED",type='integer',JSONPath=".status.matchedPods",description="xxx": kubectl get sidecarset:后續展示相關。
(2) 填充字段
填充字段是令用戶的 CRD 實際生效、實際有意義的重要部分。
- SidecarSetSpec:填充 CRD 描述信息;
- SidecarSetStatus:填充 CRD 狀態信息。
2. 填充完運行 make 重新生成代碼即可
需要注意的是,研發人員無需參與 CRD 的 grpc 接口、編解碼等 controller 的底層實現。
實際的填充如下圖所示:
SidecarSet 的功能是給 Pod 注入 Sidecar,為了完成該功能,我們在 SidecarSetSpec(左圖) 定義了兩個主要信息:一個是用于選擇哪些 Pod 需要被注入的 Selector;一個是定義 Sidecar 容器的 Containers。
在 SidecarSetStatus(右圖)中定義了狀態信息,MatchedPods 反映的是該 SidecarSet 實際匹配了多少 Pod,UpdatedPods 反映的是已經注入了多少,ReadyPods 反映的則是有多少 Pod 已經正常工作了。
完整的內容可以參考 (https://github.com/openkruise/kruise)。
Step 4:生成 webhook 框架
1. 生成 mutating webhook,運行:
kubebuilder alpha webhook --group apps --version v1alpha1 --kind SidecarSet --type=mutating --operations=create kubebuilder alpha webhook --group core --version v1 --kind Pod --type=mutating --operations=create2. 生成 validating webhook,運行:
kubebuilder alpha webhook --group apps --version v1alpha1 --kind SidecarSet --type=validating --operations=create,update參數解讀:
- group/kind 描述需要處理的資源對象;
- type 描述需要生成哪種類型的框架;
- operations 描述關注資源對象的哪些操作。
效果解讀:
- 生成了 webhook 框架,后面需要手工填充代碼。
實際生成結果如下圖所示:
我們執行了三條命令,分別生成了三個不同的需要填充的 handler 中(上圖藍色字體部分)。這里先不提,在下一步填充操作中再對其詳細講解。
Step 5:填充 webhook
生成的 webhook handler 分別位于:
- - pkg/webhook/defaultserver/sidecarset/mutating/xxxhandler.go
- - pkg/webhook/defaultserver/sidecarset/validating/xxxhandler.go
- - pkg/webhook/defaultserver/pod/mutating/xxxhandler.go
需要改寫、填充的一般包括以下兩個部分:
- 是否需要注入 K8s client:取決于除了傳入的 CRD 以外是否還需要其它資源。在本實戰中,不僅要關注 SidecarSet,同時還要注入 Pod,因此需要注入 K8s client;
- 填充 webhook 的關鍵方法:即 mutatingSidecarSetFn 或 validatingSidecarSetFn。由于待操作資源對象指針已經傳入,因此直接調整該對象屬性即可完成 hook 的工作。
我們來看一下實際的填充結果。
因為第四步我們定義了三個:sidecarset mutating、sidecarset mutaing、pod mutating。
先來看上圖左側的 sidecarset mutating,首先是 setDefaultSidecarSet 把默認值設置好,這也是 mutaing 最常做的事情。
上圖右側 validating 也是非常的標準,也是對 SidecarSet 一些字段進行校驗。
關于 pod mutaing 這里沒有做展示,這里面有些不同,這里面的 mutaingSidecarSetFn 不是進行默認值設置,而是獲取 setDefaultSidecarSet 的數值,然后注入到 Pod 里面。
Step 6:填充 controller
生成的 controller 框架位于 pkg/controller/sidecarset/sidecarset_controller.go。主要有三點需要進行修改:
- 修改權限注釋。框架會自動生成形如 //+kuberbuilder:rbac;groups=apps,resources=deployments/status,verbs=get;update;path 的注釋,我們可以按照自己的需求修改,該注釋最終會生成 rbac 規則;
- 增加入隊邏輯。缺省的代碼框架會填充 CRD 本身的入隊邏輯(如 SidecarSet 對象的增刪改都會加入工作隊列),如果需要關聯資源對象的觸發機制(如 SidecarSet 也需關注 Pod 的變化),則需手工新增它的入隊邏輯;
- 填充業務邏輯。修改 Reconcile 函數,循環處理工作隊列。Reconcile 函數主要完成「根據 Spec 完成業務邏輯」和「將業務邏輯結果反饋回 status」兩部分。需要注意的是,如果 Reconcile 函數出錯返回 err,默認會重新入隊。
我們來看一下 SidecarSet 的 Controller 的填充結果:
addPod 中先取回該 Pod 對應的 SidecarSet 并將其加入隊列以便 Reconcile 進行處理。
Reconcile 將 SidercarSet 取出之后,根據 Selector 選擇匹配的 Pod,最后根據 Pod 當前的狀態信息計算出集群的狀態,然后回填到 CRD 的狀態中。
SidecarSet 的工作流程
最后我們再來重新梳理一下 SidecarSet 的工作流程以便我們理解 operator 是如何工作的。
以上就是 SidecarSet 前期一個簡單的功能實現。
這里我們再補充一個問題。一般的 webhook 由 controller 來完成業務邏輯、狀態更新,但這個不是一定的,兩者之一可以不是必須的。在以上的示例中就是由 webhook 完成主要的業務邏輯,無需 controller 的參與。
本節總結
本節課的主要內容就到此為止了,這里為大家簡單總結一下:
- Operator 是 CRD 配合 可選的 webhook 和 controller,在 Kubernetes 體系下擴展用戶業務邏輯的一套機制;
- kubebuilder 是社區認可度很高的一種官方、標準化 Operator 框架;
- 按照上文實戰步驟,填充用戶自定義代碼,就可以很方便的實現一個 Operator。
總結
以上是生活随笔為你收集整理的课时 24:Kubernetes API 编程利器:Operator 和 Operator Framework(夙兴)的全部內容,希望文章能夠幫你解決所遇到的問題。
