お家 Kubernetes クラスターのストレージに NFS on ZFS on Linux を利用することにした。 メインは rook で払い出した ceph を利用することにして、こちらは主にバックアップ用途。

以下が作業ログ。 ほとんど 「UBUNTU 16.04のZFSで/HOMEを冗長化」の丸パクリ。

システム構成

• CPU: Intel Celeron J3160
• RAM: DDR3L 8 GiB
• Disk:
  • Western Digital Red 6 TB WD60EFRX x 3
  • Western Digital Blue 6 TB WD60EZRZ x 3
• OS: Ubuntu 18.04

ということで、WD の Red x3, Blue x3 の計 6 台を利用して raidz2 構成のストレージを作る。

zfs のインストール

# apt install zfsutils-linux

プールの作成

システムの該当するディスクを事前に ls /dev/disk/by-id で調べておき、gpt でラベル。

# parted /dev/disk/by-id/ata-WDC_WD60EFRX-68L0BN1_WD-WX11D3678X8H mklabel gpt
# parted /dev/disk/by-id/ata-WDC_WD60EFRX-68L0BN1_WD-WX11D36JRS44 mklabel gpt
# parted /dev/disk/by-id/ata-WDC_WD60EFRX-68L0BN1_WD-WX21D48FDCVA mklabel gpt
# parted /dev/disk/by-id/ata-WDC_WD60EZRZ-00GZ5B1_WD-WX21D68PLLUX mklabel gpt
# parted /dev/disk/by-id/ata-WDC_WD60EZRZ-00GZ5B1_WD-WX31D88KSYCH mklabel gpt
# parted /dev/disk/by-id/ata-WDC_WD60EZRZ-00RWYB1_WD-WX31D254PV7U mklabel gpt

そしてプールの作成。

# zpool create -o ashift=12 -o autoexpand=on \
    tank raidz2 \
    ata-WDC_WD60EFRX-68L0BN1_WD-WX11D3678X8H \
    ata-WDC_WD60EFRX-68L0BN1_WD-WX11D36JRS44 \
    ata-WDC_WD60EFRX-68L0BN1_WD-WX21D48FDCVA \
    ata-WDC_WD60EZRZ-00GZ5B1_WD-WX21D68PLLUX \
    ata-WDC_WD60EZRZ-00GZ5B1_WD-WX31D88KSYCH \
    ata-WDC_WD60EZRZ-00RWYB1_WD-WX31D254PV7U

オプションはそのまま参考エントリのまま。 -o ashift でセクターサイズの指定、 -autoexpand=on で将来拡張する時の保険。

# zpool status
pool: tank
state: ONLINE
scan: none requested
config:

    NAME                                          STATE     READ WRITE CKSUM
    tank                                          ONLINE       0     0     0
      raidz2-0                                    ONLINE       0     0     0
        ata-WDC_WD60EFRX-68L0BN1_WD-WX11D3678X8H  ONLINE       0     0     0
        ata-WDC_WD60EFRX-68L0BN1_WD-WX11D36JRS44  ONLINE       0     0     0
        ata-WDC_WD60EFRX-68L0BN1_WD-WX21D48FDCVA  ONLINE       0     0     0
        ata-WDC_WD60EZRZ-00GZ5B1_WD-WX21D68PLLUX  ONLINE       0     0     0
        ata-WDC_WD60EZRZ-00GZ5B1_WD-WX31D88KSYCH  ONLINE       0     0     0
        ata-WDC_WD60EZRZ-00RWYB1_WD-WX31D254PV7U  ONLINE       0     0     0

errors: No known data errors

ファイルシステムの作成

普通は用途ごとに細かくオプションを変えたファイルシステムを切り出すのだろうけど、 面倒だったので export という名前のファイルシステムを作成して、後々、nfs で共有予定。

# zfs create -o atime=on -o relatime=on \
      tank/export
# mkdir /export
# zfs set mountpoint=/export tank/export

21TB のファイルシステムができました。

# zfs list
NAME          USED  AVAIL  REFER  MOUNTPOINT
tank          959K  21.0T   192K  /tank
tank/export   192K  21.0T   192K  /export

Happy birthday my cluster! Today is the 1st anniversary of my #kubernetes cluster. Any gifts are welcome lol pic.twitter.com/xM5J0G4O3B

— Yuanying (@yuanying) 2018年10月10日

最初の投稿では運用し始めたクラスターのバージョンは伺い知れぬが、 Twitter 上の最初のアップグレードのつぶやきが、v1.7 -> v1.8 であったので、 v1.7 のいくつかだったのであろう。

そんなこんなで、今日、v1.11.2 だったクラスターを v1.12.1 にアップグレードした。 かれこれ 5 マイナーバージョンのアップグレードである。

以下、今回のアップグレードでやったこと。

apiserver の修正

--insecure-port のフラグが (v1.11からだが) deprecated になったのに合わせて削除。

controller-manager の修正

Changelog の Known Issues に書いてあって なんじゃこりゃ、と思っていた、

kube-controller-manager currently needs a writable --cert-dir (default is /var/run/kubernetes) for generating self-signed certificates, when no --tls-cert-file or --tls-private-key-file are provided.

に思いっきり当たる。

そもそも、v1.12 から controller-manager が公開している、metrics 取得のための API が、 secure になった、というか TLS 接続がデフォルトになったのだが、 (それに合わせて色々フラグが増えているのだけれども、一見見るとなんじゃこれと思う) そのための証明書や鍵を設定していないと自己署名証明書を所定のディレクトリに自動生成してしまう、というのがこの issue。

一見すると特になんの問題もなさそうなのだが、どうやら hyperkube のイメージでは、 その「所定のディレクトリ」が read only であるらしく、 自動生成することができずに controller-manager の起動に失敗してしまうのだ！

回避方法は、一番真っ当な解決策として、「妥当な証明書をちゃんと設定してやる」というものが挙げられるが、 今の所、特に controller-manager のメトリクスは収集してないので、適当な empty dir をマウントして逃げた。 (こんな感じ)

そもそも自己署名の証明書をディスクに書き出す必要もなく、メモリに持てばいいじゃない、 などの議論がされている模様。

etcd を v3.2.18 から v3.2.24 へ

一応、ミニマムな推奨バージョンは 3.2.10 とのことだが、 v1.12 におけるデフォルトの etcd version が v3.2.24 になったことに合わせて、 etcd のバージョンを初めて上げた。

と言っても、etcd 自体は static pod で起動しているので、 やったことはマニフェストのバージョンを上げて、一台ずつ手でマニフェストを交換してやっただけ。 すんなり動いた。(めんどくさかったのでバックアップすら取っていない。)

checkpointer のバージョンアップ

self-hosted k8s をやってる人じゃないと関係ないけど、 checkpointer のバージョンを 018007e77ccd61e8e59b7e15d7fc5e318a5a2682 に上げた。 上げないとクラスター再起動が失敗する模様。

なんか、checkpointer は k8s のバージョンごとに上げないとダメな感じよね。

以上。

CoreDNS のバージョンは後で上げる。

Japan Container Days v18.04 にて登壇してきた。 発表内容は Helmを利用したKubernetes as a Serviceの実現。

解説記事を書こう書こうと思いつつも書けずにいる。

Kubernetes の Service type LoadBalancer に対応していないインフラストラクチャ上で type LoadBalancer な Service を作成するとこんな感じで、

$ kubectl get svc
NAME      TYPE           CLUSTER-IP     EXTERNAL-IP   PORT(S)        AGE
nginx     LoadBalancer   10.254.0.220   <pending>     80:30692/TCP   11s

いつまでたっても EXTERNAL-IP が <pending> のままでロードバランサーが作られることはありません。というのも Kubernetes の中でロードバランサーを作成し、Service の EXTERNAL-IP をロードバランサーの IP アドレスに設定する、という処理を担当する controller が動いていないからです。（いないから。

そこで今回のこの記事の趣旨は、いないなら手作業でやってしまえば良いじゃない！です。手順は以下。

1. 前準備
2. Pod/Service の作成
3. ロードバランサーの作成
4. Service へロードバランサーの情報を設定

前準備

とりあえずテスト用に lbtest という名前の Namespace と、後々の作業のために lbtest 上の default サービスアカウントに cluster-admin 権限を与えておきます。

$ cat << EOF | kubectl create -f -
---
kind: Namespace
apiVersion: v1
metadata:
  name: lbtest
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: lbtest
subjects:
- kind: ServiceAccount
  namespace: lbtest
  name: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
EOF

Pod/Service の作成

テスト用に nginx が動いている Pod と、その Pod にアクセスするための、type: LoadBalancer な Service を作成します。

$ cat << EOF | kubectl create -f -
---
apiVersion: v1
kind: Pod
metadata:
  name: nginx
  namespace: lbtest
  labels:
    app: nginx
spec:
  containers:
    - name: nginx-container
      image: nginx
      ports:
      - containerPort: 80
---
kind: Service
apiVersion: v1
metadata:
  name: nginx
  namespace: lbtest
spec:
  selector:
    app: nginx
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80
  type: LoadBalancer
EOF

作ったサービスを確認すると、案の定 EXTERNAL-IP が <pending> のままですね。

$ kubectl get svc -n lbtest
NAME      TYPE           CLUSTER-IP     EXTERNAL-IP   PORT(S)        AGE
nginx     LoadBalancer   10.254.0.220   <pending>     80:30692/TCP   11s

ロードバランサーの作成

ちなみに、Kubernetes の type: LoadBalncer な Service のロードバランサーがどうやってPod に対してロードバランシングを行なっているかというと、 一番簡単な説明が Tim Hockin が Google Cloud Next '17 で行なった The ins and outs of networking in Google Container Engine and Kubernetesというプレゼンを見るのが早いのだけれども、すごい大雑把にいうとこんな感じ。

つまりロードバランサーは Service の NodePort にバランシングを行えば良いということになる。先ほど作った Service は 30692 の NodePort で待ち受けているようなので、、

Node の IP Address を確認し、

$ kubectl get nodes
NAME             STATUS    ROLES     AGE       VERSION
172.18.201.121   Ready         23d       v1.9.2
172.18.201.122   Ready         23d       v1.9.2
172.18.201.123   Ready         23d       v1.9.2

以下のような HAProxy の設定を書いて HAProxy を起動する。

$ cat << EOF > haproxy.cfg
global
    maxconn 256

defaults
    mode http
    timeout client     120000ms
    timeout server     120000ms
    timeout connect      6000ms

listen http-in
    bind *:80
    server server1 172.18.201.121:30692
    server server2 172.18.201.122:30692
    server server3 172.18.201.123:30692
EOF
$ docker run -d --name haproxy \
  -p 80:80 \
  -v $(pwd)/haproxy.cfg:/usr/local/etc/haproxy/haproxy.cfg:ro \
  haproxy:1.8

localhost に対して curl を叩いて見ると、ロードバランサーがちゃんと動作していることがわかります。

$ curl 127.0.0.1:80                                                                                                      (cluster/lbtest)
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

Service へロードバランサーの情報を設定

さて、細かいことを気にしなければ(笑) これで Kubernetes の Service に対して外部のロードバランサーが設定できたことになるのですが、

$ kubectl get svc -n lbtest
NAME      TYPE           CLUSTER-IP     EXTERNAL-IP   PORT(S)        AGE
nginx     LoadBalancer   10.254.0.220   <pending>     80:30692/TCP   2h

やっぱり Service の EXTERNAL-IP が <pending> になったままになっているのが気になる人が出てくる気もします。ので、ここを修正します。

まず、lbtest Namespace の default サービスアカウントのアクセストークンをどうにかしてとってきます。

$ TOKEN=$(kubectl describe secret \
  $(kubectl get secrets | grep default | cut -f1 -d ' ') | \
  grep -E '^token' | \
  cut -f2 -d':' | tr -d '\t' | tr -d ' ')

このアクセストークンが有効かどうかちょっと確認してみましょう。

$ curl -k https://${KUBERNETES_API_ENDPOINT}/api/v1/namespaces \
  --header "Authorization: Bearer $TOKEN"
{
  "kind": "NamespaceList",
  "apiVersion": "v1",
  "metadata": {
    "selfLink": "/api/v1/namespaces",
    "resourceVersion": "3765645"
... （中略）
}%

良さそうです。

ちょっと調べたところ、Kubernetes の Service のステータス (EXTERNAL-IP の情報を含んでいる属性)の情報を書き換えるには単純に Service の該当属性を書き換えるだけではダメらしく、service/status サブリソースを書き換える必要があるようです。

とりあえず現状の service/status をとってきます。

$ curl -k --header "Authorization: Bearer $TOKEN" \
  https://${KUBERNETES_API_ENDPOINT}/api/v1/namespaces/lbtest/services/nginx/status \
  > nginx-status.json

そしてとってきた情報の中の、/status/loadBalancer の項目を修正します。

$ diff -u nginx-status.json.old nginx-status.json
--- nginx-status.json.old   2018-02-23 14:01:55.000000000 +0900
+++ nginx-status.json   2018-02-23 14:01:44.000000000 +0900
@@ -31,7 +31,7 @@
   },
   "status": {
     "loadBalancer": {
-
+      "ingress": [ { "ip": "127.0.0.1" } ]
     }
   }
 }

ここの ip にはロードバランサーのアドレスを設定します。それではこの情報を使って Service を更新しましょう！

$ curl -k --header "Authorization: Bearer $TOKEN" \
  https://${KUBERNETES_API_ENDPOINT}/api/v1/namespaces/lbtest/services/nginx/status \
  -X PUT -d @nginx-status.json -H 'content-type:application/json'

これで Service の情報は更新されました。

$ kubectl get svc -n lbtest
NAME      TYPE           CLUSTER-IP     EXTERNAL-IP   PORT(S)        AGE
nginx     LoadBalancer   10.254.0.220   127.0.0.1     80:30692/TCP   2h

ちゃんと更新されてますね、素晴らしい！これであなたのベアメタルなKubernetesクラスターでも何も気にすることなく Service type: LoadBalancer を使いたい放題ですね！やった！

補足

この記事は MetalLB のソースコードを読んで冗談で書いたものです。今までは特に詳細を気にすることなく、CloudProvider インタフェースの LoadBalancer() を実装しなくちゃいけない (must) なのかと思ってましたがそんなことなかったんですね。ちゃんと確認するもんです。

補足2

上記を自動化すれば一応使い物になる Service type: LoadBalancer controller ができるかも？

KubeCon 参加中に Kubernetes Advent Calendarの7日目の記事投稿！

注: ほぼドキュメントベースで記事を書いているので、バージョン混在してるかも。

背景

もともと、OpenStack Magnum というプロジェクトで OpenStack 上に Kubernetes をデプロイするサービスの開発を行っていたこともあって、 Kubernetes のデプロイ周りは結構気になることが多い。

最近だと、 自宅クラスター用ベアメタル上に Kubernetes をデプロイする Remora というツールを細々と開発しているのだけれども、 worker ノードをクラスタに繋げる際に worker ノード用の TLS 証明書を個別に用意するのはめんどくさいなあと思い始めて来たこともあって、 kubeadm join が具体的にどんなことをしているのかが気になって来た。

で、調べて見たところ kubeadm join は kubelet TLS bootstrapping という仕組みを使っていることがわかった。

kubelet TLS bootstrapping

kubelet TLS bootstrapping とは、 kubeadm が新しい worker ノード (kubelet) を安全にクラスターにつなげる際に使っている仕組み。 以下の二つのパートに分けられる。

• Discovery
  • Join するクラスターへの接続情報をどうやって Worker ノードに伝えるか？
• Certificate
  • Worker ノードがクラスターへ接続する際の TLS 証明書発行の仕組み。

TLS クライアント認証に詳しい人には以下のように言うと簡単かもしれない。 Discovery はクライアント認証に利用する CA 証明書を取得するパート、 Certificate はクライアント証明書を取得するパート。

具体的には以下のフロー。

$ sudo kubeadm join --token 43a25d.420ff2e06336e4c1 172.31.7.230:6443 --skip-preflight-checks
[kubeadm] WARNING: kubeadm is in beta, please do not use it for production clusters.
[preflight] Skipping pre-flight checks
[discovery] Trying to connect to API Server "172.31.7.230:6443"
[discovery] Created cluster-info discovery client, requesting info from "https://172.31.7.230:6443"
[discovery] Cluster info signature and contents are valid, will use API Server "https://172.31.7.230:6443"
[discovery] Successfully established connection with API Server "172.31.7.230:6443"
[bootstrap] Detected server version: v1.7.6
[bootstrap] The server supports the Certificates API (certificates.k8s.io/v1beta1)
[csr] Created API client to obtain unique certificate for this node, generating keys and certificate signing request
[csr] Received signed certificate from the API server, generating KubeConfig...
[kubeconfig] Wrote KubeConfig file to disk: "/etc/kubernetes/kubelet.conf"

Node join complete:
* Certificate signing request sent to master and response
  received.
* Kubelet informed of new secure connection details.

Run 'kubectl get nodes' on the master to see this machine join.

この、二つのパートを裏側で支えているもう一つの重要なパーツが、Bootstrap Token である。 (以降、Token/Bootsrap Token)。

Bootstrap Token

Bootstrap Token は主に以下の二つの用途で利用される Token。 詳しい仕組みは公式ドキュメント に書かれており、以下の文章は公式文章を要約したものとなる。

• Discovery で見つかった Kubernetes Cluster の検証。
  • 本当に Discovery で見つけたクラスターは、自分が繋がりたかったクラスターなのか？
• Kubernetes の API に CSR を送るつける際の認証。

この二つの用途は本来は別の用途であるので、それぞれ別の Token を利用することも可能。

Token Format

Bootstrap Token は正規表現で [a-z0-9]{6}\.[a-z0-9]{16} で表すことができる。 例えば、abcdef.0123456789abcdef。 ID 部分と Secret 部分がピリオドで繋がっている構造となる。

Token の作成・登録

kubeadm を利用していると、 kubeadm join で利用する Token は kubeadm init を実行した際に表示されているものを使うことが多いと思われるが、 実際のところこの Token は上記のフォーマットに則っていればユーザが作ったものでも良い。

以下のフォーマットのマニフェストを作成し、Kubernetes に登録する。

apiVersion: v1
kind: Secret
metadata:
  name: bootstrap-token-07401b
  namespace: kube-system
type: bootstrap.kubernetes.io/token
data:
  description: base64(The default bootstrap token generated by 'kubeadm init'.)
  token-id: base64(07401b)
  token-secret: base64(f395accd246ae52d)
  expiration: base64(2017-03-10T03:22:11Z)
  usage-bootstrap-authentication: base64(true)
  usage-bootstrap-signing: base64(true)
  auth-extra-groups: base64(system:bootstrappers:group1,system:bootstrappers:group2)

usage-bootstrap-authentication と usage-bootstrap-signing は上記で述べた、「Kubernetes の API に CSR を送るつける際の認証」に利用するのか、 それとも「Discovery で見つかった Kubernetes Cluster の検証」に利用するのか、のフラグ。 普通はどっちも true に設定しておくものではなかろうか。

ちなみに、controller-manager に --controllers=*,tokencleaner と設定しておくと expiration を超えた Token を自動で削除してもらえる。

Token による認証

この Token は Kubernetes の API へのリクエスト時の認証に Bearler Token として利用することができる。 (現時点ではまだ alpha feature なので api-server 起動時に --experimental-bootstrap-token-auth フラグを立てる必要がある) この Token で api-server により、 system:bootstrappers グループに属している system:bootstrap:<Token ID> ユーザとして認証される。

Discovery

通常、kubeadm join する際にはクラスターの IP アドレスおよび Port、そして Token を指定することになるが、今回はその際の Discovery 手順について。Join するクラスターへの接続情報をどうやって Worker ノードに伝えるか？について述べる。

ClusterInfo

まず、kubeadm join する前に、管理者は cluster-info と言う名前の ConfigMap を kube-public 名前空間に登録しておく必要がある。 kubeadm を使った場合には kubeadm init した際に自動的に登録されている(と思う)。

apiVersion: v1
kind: ConfigMap
metadata:
  name: cluster-info
  namespace: kube-public
data:
  jws-kubeconfig-07401b: eyJhbGciOiJIUzI1NiIsImtpZCI6IjA3NDAxYiJ9..tYEfbo6zDNo40MQE07aZcQX2m3EB2rO3NuXtxVMYm9U
  kubeconfig: |
    apiVersion: v1
    clusters:
    - cluster:
        certificate-authority-data: 
        server: https://10.138.0.2:6443
      name: ""
    contexts: []
    current-context: ""
    kind: Config
    preferences: {}
    users: []

登録する ConfigMap はこんな感じ。重要な点は、

• 通常、オレオレ CA に sign されているエンドポイントなため、insecure である。
• kube-public に登録されているリソースであり、リソースの名前もわかっているので以下のコマンドで取得できる。デザインプロポーザルには認証なしで取得できるとある。
  • curl -k https://${IP_ADDRESS}:${PORT}/api/v1/namespaces/kube-public/configmaps/cluster-info
• クラスターに API リクエストを送る際に必須な情報である、API エンドポイント、および CA 証明書の情報が含まれた kubeconfig を含んでいる。

これがセキュリティとか関係なく、kubernetes の API に繋がりたい、と言うだけだったら話はこれでおしまいなのだけれども、そもそもオレオレ証明書で署名された insecure な通信で得られた情報なので、この kubeconfig に含まれている情報が本物なのかどうかは定かではない。 そこで Discovery API のデザインプロポーザルには、 この kubeconfig をどう検証するのか？についての説明がある。

ClusterInfo の検証

kubeconfig は標準的な JWS で、"detached content" として署名されており、 ClusterInfo の中には bootstrap-token-${TOKEN_ID} と言う名前で Token ごとに利用する JWS が登録されている。(この bootstrap-token-${TOKEN_ID} は bootstrapsigner と言うコントローラが Bootstrap Token と ClusterInfo を常時監視して生成している。)

JWS のヘッダをデコードしてみると、使われている暗号化のアルゴリズムがわかる。

$ echo "eyJhbGciOiJIUzI1NiIsImtpZCI6IjA3NDAxYiJ9" | base64 -D
{"alg":"HS256","kid":"07401b"}%

デザインプロポーザルには、 JWS の仕様に則って kubeconfig を base64 でエンコードしたものを Bootstrap Token を共通鍵として HS256 scheme を利用して検証できる、とある。

コードにするとこんな感じ。

require 'openssl'

secret_key = 'Bootstrap Token'
message = 'Base64 encoded kubeconfig without trailing `=`'

puts OpenSSL::HMAC::hexdigest(
  OpenSSL::Digest::SHA256.new,
  secret_key,
  message
)
# => bcb5a198056e36cbb27c499528e0e1345ee25c7b5d7b67508c96122b1e38e904

ここで出力された結果が、JWS の後半部分と一緒ならば、検証成功。 ここで得られた kubeconfig が概ね正しいと言うことになる。

CA pinning

上記で 概ね正しい と述べたのは、 例えばネットワークや一部のノードのセキュリティが脆弱で、 Bootstrap Token が盗まれてしまった場合、 「中間者攻撃が可能になってしまう」と言う問題があるから。 (複数のノードで使う前提の秘密鍵が漏れてしまったら、攻撃者は偽のkubeconfig を署名できてしまうため。) それを回避するため、kubeadm の v1.8 からはデフォルトで、 --discovery-token-ca-cert-hash と言うオプションが使われるようになった。

この hash は以下のコマンドで求められる。

$ openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | \
  openssl rsa -pubin -outform der 2>/dev/null | \
  openssl dgst -sha256 -hex | \
  sed 's/^.* //'

この値を一緒に使うことで取得された CA 証明書が正しいと信頼することができる。

(微妙によくわかってないのが、kubeadm join 時の IP アドレスと Port から Kubernetes の API エンドポイントはわかるんだから、あとは CA 証明書を取得できればいいだけで、、kubeconfig 自体の検証は必要なのか？と言うこと。誰か知ってたら教えてください。)

Certificate

Worker ノードと Kubernetes は TLS クライアント認証を使って認証を行なっている。 この Certificate のパートでは Worker ノード用の TLS 証明書を、どう取得するのか？ について述べる。

Certificate API

Kubernetes はクラスターレベルでの TLS 認証を行うための証明書を取得するために、 ACME に似た Certificate API を用意してる。 ユーザまたは Worker ノードは API に対して CSR リソースを作成してクライアント証明書を取得する。 コードを読んだところ最新の kubelet は bootstrap 時に

• kubeconfig ファイルが作成されておらず、
• bootstrap kubeconfg が設定されていた場合、

自分で CSR を作成して証明書を取得しに行くらしい。賢い。

CSR の種類

多分 csrapproving コントローラが、 API に登録された CSR を以下の三つのサブリソースに分類する。

• nodeclient
  • 新しく O=system:nodes かつ CN=system:node:(node name) な証明書のための CSR。
• selfnodeclient
  • クライアント証明書を更新するために、同じ O (グループ) かつ CN (ユーザ名) を持っているユーザが発行した CSR。
• selfnodeserver
  • kubelet 自身のサーバ証明書を更新/登録する際の CSR。(alpha feature)

ちょっとここら辺からコードおよびドキュメントベースで調べていて間違いが含まれているかもしれないけど、 とりあえず書くだけ書いて後で確認後に修正する。

Certificate API 利用時の認証・認可

そもそも、bootstrap 時に Worker ノードが CSR リソースを作成できねばならないのだが、 どのような RBAC リソースによって制御されているかと言うと、

• ClusterRole: system:node-bootstrapper
  • certificatesigningrequests の create/get/list/watch を許可。
  • Kubernetes がデフォルトで作成している。
• ClusterRoleBinding: kubeadm:kubelet-bootstrap
  • RoleRef: system:node-bootstrapper
  • Subject Group: system:bootstrappers:kubeadm:default-node-token
  • kubeadm が作成している。
  • ドキュメントでは Bootstrap Token で認証されたユーザは自動的に system:boostrappers グループに属すことになると書いてあったのでそれが system:node-bootstrapper ロールに結びつくのかと思いきや、違うっぽい。
• Group: system:bootstrappers:kubeadm:default-node-token
  • Bootstrap Token 自体は kubeadm が登録するのだが、Token登録時に extraGroups が設定でき、その際に Token で認証されたユーザはこのグループに所属されるように設定される。

以上、三つのリソースで認可制御されている。

CSR は登録されても自動で approve され証明書が発行されるわけではなく、 管理者が手動で、kubectl certificates approve してやる必要がある。

が、以下のサブリソースの作成権限を与えておくと自動で approve されるらしい。

• certificatesigningrequests/nodeclient
• certificatesigningrequests/selfnodeclient

kubeadm は上記のサブリソース作成権限を以下の ClusterRole および CluserRoleBinding を作成することで、 証明書の発行および更新を自動で行われるようにしている。

• ClusterRole: system:certificates.k8s.io:certificatesigningrequests:nodeclient
  • v1.8 から Kubernetes 本体で自動で作成されるようになった。
  • certificatesigningrequests/nodeclient の作成権限を持つ Role
• ClusterRole: system:certificates.k8s.io:certificatesigningrequests:selfnodeclient
  • v1.8 から Kubernetes 本体で自動で作成されるようになった。
  • certificatesigningrequests/selfnodeclient の作成権限を持つ Role
• ClusterRoleBinding: kubeadm:node-autoapprove-bootstrap
  • system:bootstrappers:kubeadm:default-node-token グループ (Bootstrap Token で認証されると自動で入るグループ) に上記 system:certificates.k8s.io:certificatesigningrequests:nodeclient を付与する。
• ClusterRoleBinding: kubeadm:node-autoapprove-certificate-rotation
  • system:nodes グループに自動で system:certificates.k8s.io:certificatesigningrequests:selfnodeclient を付与する。

なので、kubeadm でクラスター作成したけど、 Token 使って勝手にワーカーノードを追加されるのは困るよ！と言う人は kubeadm:node-autoapprove-bootstrap を 削除すると良い。

クライアント証明書の取得

一旦 approve された CSR は、そのリソースエンドポイントから証明書を取得することができる。

まとめ

と、言うことで以上で kubeadm を使って Kubelet がクラスターに繋がるためのエンドポイント情報と証明書をどうセットアップするのか、と言うことがわかった。

たかだか kubeadm join コマンドだろ、と思っていたが、 API のエンドポイントを発見して、 クラスターに Worker ノードが繋がるための証明書を取得するだけでも大変なんだなあ。

今回の発表は初日だったためもあってか残りの二日は 羽を伸ばして ちゃんと仕事をしてきた。

結局3人しか集まらなかったものの、OpenStacker を集めて早朝ランをするというイベントもこなし、 仲良くなった中国人は HyperHQ の CTO というオマケもあってか現時点では未公開情報なども聞くことができて有意義だった。 まあ、その未公開情報を知ってたとしても何もできないのだが…。

まだ今のところ、自分の中でバンクーバー にはまだ劣るが、、なかなかいい場所だった。シドニー、今度は家族で行きたい。

内容は Self-Hosted Kubernetes の紹介と、 OpenStack 上で Self-Hosted K8s をデプロイする自作ツールの紹介。

• CoreOS on Minnowboard
• etcd3 on CoreOS
• Minnowboard using SSD
• GlusterFS on Kubernetes

思ったよりも時間がかかってしまったがようやくクラスターを構成できた。 当初思ってたように全て Minnowboard に載せるというのは実際にアプリを乗せた際、 (gitlab やら Gluster) メモリが問題になりそうだったので、 結局ワーカーノードは ECS LIVA Z の Pentium モデルと相成った。

ワーカーノードには USB でストレージを繋いで Gluster で管理。今流行りのハイパーコンバージド？ 結局 Gluster 公式のプロビジョナーである Heketi に不満を感じた ので自分でプロビジョナーを書いてしまった。 その話を書こう書こうと思っていたのだけどめんどくさくてブログには書いておらず。

なぜ自宅 Kubernetes クラスターの構築にこんなに時間がかかってしまったかというと、 主に Kubernetes のデプロイに使うスクリプトに意外に時間を食ってしまったから。

Kubespray やら Kops やら kubeadm やら Rancher やらを色々検討はしてみたものの、 自分好みのクラスターを構築しようと思ったら自分で構築するのが一番という身もふたもない結論に。 これも結局デプロイツールを自分で書いた。

• Remora -- command line tool and library to manage Kubernetes

最初は Kubernetes The Hard Way の内容を スクリプト化して、k8s 各コンポーネントの ClusterRoleBinding をちゃんと設定してあげたもの程度だったのだが、 Self-Hosted Kubernetes 化して keepalived/haproxy で冗長化、 DNS に CoreDNS 採用とかしてたら手間取った。

Self-Hosted は面白かったので次の 日本OpenStackユーザ会 第36回勉強会 で話す予定。もし枠が空いていたら次次回の Kubernetes Meetup の LT でも。

• CoreOS on Minnowboard
• etcd3 on CoreOS
• Minnowboard using SSD

なぜかずっとコンテナのボリュームどうしようか、、と悩んで止まってましたが、 ようやく目処がついてきたので進捗を。

GlusterFS

とりあえずボリュームには GlusterFS を使うことにした。 NFS、という選択肢もあったが可用性を担保しようとするとストレージを RAID で構成しなければならなかったり(RAID はなんか好きじゃない。)、 結局 NFS Server が SPOF になるんじゃないかという点が気に食わなかった。 もちろん、NFS Server を Act-Standby にしたり最近は Failover できるらしいが、 とりあえず無視する。なんとなく Gluster が使いたかった。

Gluster を使えば、

• Replicate を使えば RAID0 っぽいことがソフトウェアレベルでできる。
• 容量が足りなくなったら単純にサーバ/ディスク追加で対処できる。
• ディスク故障による交換が簡単そう。

すごい！

使い方

動的に Gluster のボリュームをプロビジョニングしてコンテナのボリュームとして使う方法もあるのだけど、 どうも微妙なので、とりあえずはすでに存在する Gluster のボリュームを Kubernetes の Persistent Volume として登録する方法。

1. Endpoint の作成
2. Service の作成
3. Persistent Volume の作成

ぶっちゃけ kubernetes/examples の GlusterFS の内容そのままだが。

Endpoint の作成

ボリュームを提供する Gluster Cluster のエンドポイント情報を Kubernetes に教えるために、 Endpoint を作る必要がある。

kind: Endpoints
apiVersion: v1
metadata:
  name: glusterfs-cluster
subsets:
- addresses:
  - ip: "192.168.1.111"
  ports:
  - port: 1
- addresses:
  - ip: "192.168.1.112"
  ports:
  - port: 1

subsets の addresses にそれぞれ GlusterFS Cluster のノードのアドレスを書く。 ports 内の port は 1-65535 以内の数値ならなんでもいいらしい。

Service の作成

作った Endpoint を永続化するために関連する Service を作っておく必要があるらしいが、 具体的にはどういう意味があるのかわかっていない。 とりあえず Service を作らずに Endpoint だけで運用しているが今の所困ったことはないが…。

kind: Service
apiVersion: v1
metadata:
  name: glusterfs-cluster
spec:
  ports:
  - port: 1

普通の Service と違うところは selector が無いところで、 そのおかげでKubernetes はこの Service に関連する Endpoint を勝手にいじったりすることがなくなる。

Persistent Volume の作成

Endpoint さえ作ってしまえばあとは PV を作れば良いだけ。

kind: PersistentVolume
apiVersion: v1
metadata:
  name: gluster-volume
spec:
  accessModes:
  - ReadWriteMany
  capacity:
    storage: 2Gi
  glusterfs:
    endpoints: glusterfs-cluster
    path: test-volume
    readOnly: false

• endpoints: 上記で作成した Endpoint の名前。
• path: path とあるが事前に作成した Gluster Volume の名前。
• readOnly: 読み込み専用にしたければどうぞ。

とりあえず、これを PV の数だけ一個一個手作業でやって行くのは面倒。

さすがにバブルは去ったのか、OpenStack 関連で海外出張するのもこれで最後かな。 (まあ、前回も言ってるけど。)