如何以 GitOps 方式管理 Kubernetes 集群 - Dick Tang === ###### tags: `COSCUP2020` `入門` `TR412-2` {%hackmd 7CD4pdKQTa2p6Y3VqH3VrQ %} ## 簡介 https://coscup.org/2020/zh-TW/agenda/RH99NK --- > 請從這裡開始 ## 背景 隨著 微服務 與 容器技術 的興起。 管理 與 SRE 面臨一些挑戰。 ## 議程 - 什麼是 Container 與 K8s? - 什麼是 GitOps - Kubernetes 爲什麼要 GitOps? - 什麼是 fluxCD - 演練時間 ## 什麼是 容器(Container)？ - 一種內核輕量級的操作系統層虛擬化技術 - 代表: Docker - 啟動時間短很多 ## 什麼是 Kubernetes(K8S) - K8s 是 ~~fancy~~ 容器編排平台(container orchestration plaform) - 簡單來說 讓容器跑在多台服務器上 (集群) 處理集群上以及一些生產環境的問題，例如： - 容器之間的溝通 - 容器部屬在那台服務器上 - 如果服務器掛掉如何 container 如何重新佈署 - Kubernetes 最小的調度單位是 pod 不是 container - Kubernetes 有許多調度的 object，像是 Deployment, StatefulSet, DaemonSet etc. - Kubernetes 有豐富的生態圈，像是 Helm (類似 Ubuntu 的 apt 或是 CentOS 的 yum) - 有打包好的 k8s 服務環境 helm，並且有 helm hub(類似應用商店) 可以下載已經打包好的 k8s 服務 - https://hub.helm.sh/ ## 什麼是 GitOps GitOps - 用 git flow 來管理 K8s 的環境，部署到 K8s 的環境 GitOps 一樣是 DevOps 的概念，適用於 CICD，不過更 focus 在 `CD` 的部分。  - 聲明式 (declaratively) 的描述整個系統 - 所需 (Kubernetes) 系統狀態儲存在 Git - 已批准的更動可以自動部署系統 - 實際狀態與所需的狀態有偏差時做出警告 ### 聲明式(declaratively)描述整個系統 - Kubernetes 是一個以 "聲明性" 配置的現代雲原生工具 - 聲明式意味著配置是由一組事實 (fact) 而不是一組指令來組成的 - 工具根本 聲明式 配置下的事實，按需要對系統做出修改 - 過程不重要，事實 (fact) 才重要。 ### 所需 (Kubernetes) 系統狀態儲存在 Git - 在 Git 中對應程序的聲明進行版本控制後，您就有了單一事實來源(Single source of turth) - 這使得回滾(roll back) 變得微不足道，因為所有東西都存在 git 裡面 - 應用程式可以輕鬆部署並且在 Kubernetes 之間回滾 (Rollback) - 您可以在其中使用 "git 恢復" 功能返回到先前的應用程序狀態 - 更重要的是，當在難來襲時，集群的基礎架構也可以可靠而快速地進行複製 - 借助 Git 出色的安全性保證，您可以使用 GPG key 來簽署提交 ### 已批准的變更可以自動部屬自系統 - 變更可以用 PR 的形式來做出批准 - 一旦聲明的狀態保存在 git 中，立刻機更改應用到集群中，並且完全自動化不需要人手介入 新來的系統工程師不用太多的教學，只要從 Git 做更改即可，減少溝通成本。 ### 實際狀態與所需的狀態有偏差時做出警告 - 聲明系統狀態並保持版本控制後，只要實際狀態不符合期望時做出通知 ### K8S 上為什麼要 GitOps? - 為什麼不只是 kubctl? - Kubectl is the new ssh. - Limit access and only use it for deployments when better tooling is not avaliable - Git 作為聲明性基礎架構的單一事實來源 - 穩定性，可靠性 - 對新手來說，容易上手 - Treat Your K8s Clusters Like Cattle, Not Pets - 像對待牛 (牲畜) 而不是寵物 (貓貓) 一樣對待 k8s 集群 - k8s 版本升級(通常都是重建新版本後移動pods，不直接升級)，災難修復 ### fluxCD: The GitOps K8s operator - fluxCD 是在 k8s 實踐 gitops 工具之一 - 還有 ArgoCD, Jenkins X - 他是最簡單的一種 - 最初是由 Weaveworks 開發的 - 現在是 Apache 2.0 許可的開元專案 - 也是 CNCF 沙盒項目 - k8s 也是 CNCF  - 定期同步 git 內容，不直接 `kubectl apply` HelmRelease (CRD) 使用 Helm 來包 services 可以考慮。 ~~kubectl 實際唸法是 "cube 咖抖" cube cuttle [How do you REALLY pronounce kubectl?](https://medium.com/diary-of-an-sre/how-do-you-really-pronounce-kubectl-4f58f76090e5)~~ ### 這次沒有談及的 - 在 fluxcd 中怎麼使用 HelmRelease - 在 fluxcd/GitOps中存 密碼 或是 憑證 - 如何在 fluxcd 中實踐 CI/CD - 如何發現及警告，在所需 - 如何發現及警告在所需的系統狀態讓實際系統的差異 ( 演練步驟 - http://bit.ly/30I8XF0