OKD, également connu sous le nom d’OpenShift Origin, est une solution logicielle distribuée (Go, Angular.js) implémentant un service de cloud applicatif modulaire à base de conteneurs, s’appuyant sur Kubernetes. OpenShift et Kubernetes font l’interface entre plusieurs solutions Open Source telles qu’OpenVSwitch, Dnsmasq, Docker ou Cri-O, et notamment systèmes de fichiers réseau sur lesquels nous concentrerons notre attention aujourd’hui.
Un large panel de connecteurs sont documentés, et nous ne pourrons pas tous les aborder. Les tests suivant sont réalisés sur deux installations :
- OKD 3.11, CentOS7, instances KVM 2CPU+8-16G RAM:
- Cluster GlusterFS déployé à l’aide des playbooks openshift-ansible (docker sur KVM)
- Cluster Ceph déployé à l’aide des playbooks ceph-ansible (sur KVM)
- NFS (sur KVM)
- OCP 3.7, RedHat7, instances Azure DS12_v2 / 4CPU + 27G RAM:
- RHGS 3.3, GlusterFS & Gluster-Block
- Azure-File & Azure-Disk
- NFS
NFS
NFS est une solution historique de partage de fichiers, qui présentera l’avantage de permettre à plusieurs clients l’accès et la modification simultanée d’un même système de fichiers. À ce titre, NFS permet de déclarer des volumes OpenShift “ReadWriteMany” (RWX), pouvant faciliter le déploiement d’applications distribuées. Un autre argument en faveur d’NFS pourrait être sa simplicité, en plus d’un overhead raisonnable en comparaison à tout système de fichiers distribués. Il ne faudra pourtant pas perdre de vue qu’NFS n’est pas un système de fichiers distribué et nécessitera une certaine réflection pour limiter les risques et implications d’un incident affectant un serveur NFS, en plus des considérations usuelles de lock. Enfin, un dernier frein à son adoption pourra être l’absence de “Dynamic Provisioning”. Cette fonctionnalitée permet à OpenShift de créer, allouer et purger ses volumes automatiquement. Sans elle, la déclaration d’un volume dans OpenShift doit se faire en parallèle de sa création sur le système fournissant le medium correspondant (partage NFS, Samba, …).A titre d’exemple, nous utiliserons un serveur NFS des plus traditionnels:
nfs# apt-get install lvm2 nfs-kernel-server
nfs# pvcreate /dev/sdb
nfs# vgcreate /dev/sdb nfs
nfs# lvcreate -nsample-pv -L5G nfs
nfs# mkfs.ext4 /dev/nfs/sample-pv
nfs# mkdir -p /srv/nfs/sample-pv
nfs# echo "/dev/nfs/sample-pv /srv/nfs/sample-pv ext4 defaults,noatime,nodiratime 0 0" >>/etc/fstab
nfs# mount /srv/nfs/sample-pv
nfs# chown nobody:nogroup /srv/nfs/sample-pv
nfs# chmod 777 /srv/nfs/sample-pv
nfs# echo "/srv/nfs/sample-pv *(rw,root_squash)" >>/etc/exports
nfs# exportfs -a
Nous pouvons maintenant déclarer notre “Persistent Volume” (PV) dans OpenShift :
master# cat sample-pv.yml
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: nfs-sample-pv
spec:
capacity:
storage: 5Gi
accessModes:
- ReadWriteMany
claimRef:
namespace: myproject
name: nfs-sample-pvc
nfs:
path: /srv/nfs/sample-pv
server: nfs.example.com
persistentVolumeReclaimPolicy: Recyclemaster
# oc create -f sample-pv.yml
Sur nos noeuds OpenShift, il faudra reconfigurer un booleen SELinux :
ocpX# setsebool -P virt_use_nfs 1
À ce stade, on peut créer une “Persistent Volume Claim” (PVC).
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: nfs-sample-pvc
spec:
accessModes:
- ReadWriteMany
resources:
requests:
storage: 5Gi
storageClassName: nfs-storage
Et finalement, monter ce volume dans un conteneur, depuis une “DeploymentConfig” :
apiVersion: v1
kind: DeploymentConfig
metadata:
name: subsonic
spec:
replicas: 1
selector:
name: subsonic
strategy:
type: Recreate
template:
metadata:
labels:
name: subsonic
spec:
containers:
- capabilities: {}
[...]
volumeMounts:
- mountPath: /var/music
name: subsonic-caches
[...]
volumes:
- name: subsonic-caches
persistentVolumeClaim:
claimName: nfs-sample-pvc
GlusterFS
GlusterFS est une solution de stockage distribuée relativement populaire. La partie serveur peut admettre une réplication des données sur de longues distances, ou plus généralement la mise en commun de plusieurs volumes pour y distribuer et répliquer des volumes virtuels, aux quels l’on accèdera en utilisant un client fuse. De même qu’NFS, GlusterFS permettra à plusieurs clients de manipuler un même système de fichiers simultanément, ce qui en fait un choix de prédilection dans un contexte Kubernetes. Le Dynamic Provisioning repose sur Heketi, offrant une interface web RESTful permettant le controle du cycle de vie de volumes GlusterFS, assurant une intégration presque parfaite. Coté points négatifs, il conviendra de mentionner de mauvaises performances sur les petites lectures et écritures, de possibles erreurs lors de la suppression de volumes pouvant induire la non-supression de volumes logiques qui ne sont pourtant plus utilisés par gluster, et donc une “perte” d’espace souvent asymétrique, ou encore une certaine vulnérabilité aux split-brain – qu’il faudra résoudre, ce processus n’étant pas automatisé. Admettant l’utilisation des playbooks openshift-ansible pour le déploiement de GlusterFS, une StorageClass glusterfs-storage aura été déclaré. Il sera également possible de rattacher une intallation OpenShift à un cluster GlusterFS, idéalement par l’intermédiaire d’Heketi. Il faudra ensuite créer un Endpoint et une StorageClass :
master# cat gluster-endpoints.yml
apiVersion: v1
kind: Endpoints
metadata:
name: glusterfs-cluster
subsets:
- addresses:
- ip: 192.168.42.220
ports:
- port: 1
- addresses:
- ip: 192.168.42.221
ports:
- port: 1
- addresses:
- ip: 192.168.42.222
ports:
- port: 1
master# oc create -f gluster-endpoints.yml
master# cat glusterfs-sc.yml
apiVersion: storage.k8s.io/v1beta1
kind: StorageClass
metadata:
name: glusterfs
provisioner: kubernetes.io/glusterfs
parameters:
endpoint: "glusterfs-cluster"
resturl: "http://192.168.42.42:8080"
restuser: "ocp"
restuserkey: "secret"
master# oc create -f glusterfs-sc.yml
Afin de permettre à OpenShift l’usage de GlusterFS pour toute demande de volume persistAnt, on peut ensuite éditer notre StorageClass en y rajoutant une annotation :
oc edit storageclass glusterfs-storage -p '{"metadata": {"annotations":{"storageclass.kubernetes.io/is-default-class":"true"}}}'
À défaut, il sera toujours possible d’éditer vos Persistent Volume Claim pour réclamer leur espace depuis une classe spécifique :
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: sonarqube-extensions
spec:
accessModes:
- ReadWriteMany
resources:
requests:
storage: 5Gi
storageClassName: sonarqube-extensions
Gluster-Block
Si GlusterFS présente certains inconvénients en termes de performances, il est possible de configurer un cluster Gluster pour servir des volumes block par l’intermédiaire d’un service Gluster-Block, et l’utilisation d’un client iSCSI. Les avantages d’une telle solution restent limités aujourd’hui, souffrant de bugs de jeunesse – empéchant notament l’extension des volumes de type block – ou d’une architecture déroutante, et à nouveau prone aux incidents à base de split brains. Quand bien même le gain en performances sur les petites opérations est indéniable, tandis que l’adoption d’un standard tel qu’iSCSI est bienvenue. Contrairement à GlusterFS, et de même que toute solution fournissant un périphérique block, Gluster-Block ne permettra pas la mise à disposition de volumes accessibles par plusieurs clients simultanément. Il faudra s’assurer que vos DeploymentConfig ne dépendent pas de fonctionallitées telles que le partage de volume entre plusieurs conteneurs ou les stratégies de déploiement “Rolling”. La configuration du Dynamic Provisioning demandera, en plus d’Heketi, la mise en place d’un service supplémentaire, pouvant se déployer dans un projet d’OpenShift,. Notez que ce service dépendra lui-même d’Heketi pour reconfigurer votre cluster GlusterFS fonction des besoins d’OpenShift.
kind: List
apiVersion: v1
items:
- kind: ClusterRole
apiVersion: v1
metadata:
name: glusterblock-provisioner-runner
labels:
glusterfs: block-provisioner-runner-clusterrole
glusterblock: provisioner-runner-clusterrole
rules:
- apiGroups: [""]
resources: ["persistentvolumes"]
verbs: ["get", "list", "watch", "create", "delete"]
- apiGroups: [""]
resources: ["persistentvolumeclaims"]
verbs: ["get", "list", "watch", "update"]
- apiGroups: ["storage.k8s.io"]
resources: ["storageclasses"]
verbs: ["get", "list", "watch"]
- apiGroups: [""]
resources: ["events"]
verbs: ["list", "watch", "create", "update", "patch"]
- apiGroups: [""]
resources: ["services"]
verbs: ["get"]
- apiGroups: [""]
resources: ["secrets"]
verbs: ["get", "create", "delete"]
- apiGroups: [""]
resources: ["routes"]
verbs: ["get", "list"]
- apiVersion: v1
kind: ServiceAccount
metadata:
name: glusterblock-provisioner
labels:
glusterfs: block-provisioner-sa
glusterblock: provisioner-sa
- apiVersion: v1
kind: ClusterRoleBinding
metadata:
name: glusterblock-provisioner
roleRef:
name: glusterblock-provisioner-runner
subjects:
- kind: ServiceAccount
name: glusterblock-provisioner
namespace: storage-project
- kind: DeploymentConfig
apiVersion: v1
metadata:
name: glusterblock-provisioner-dc
labels:
glusterfs: block-provisioner-dc
glusterblock: provisioner-dc
annotations:
description: Defines how to deploy the glusterblock provisioner pod.
spec:
replicas: 1
selector:
glusterfs: block-provisioner-pod
triggers:
- type: ConfigChange
strategy:
type: Recreate
template:
metadata:
name: glusterblock-provisioner
labels:
glusterfs: block-provisioner-pod
spec:
serviceAccountName: glusterblock-provisioner
containers:
- name: glusterblock-provisioner
image: ' '
imagePullPolicy: IfNotPresent
env:
- name: PROVISIONER_NAME
value: gluster.org/glusterblock
triggers:
- imageChangeParams:
automatic: true
containerNames:
- glusterblock-provisioner
from:
kind: ImageStreamTag
name: rhgs-gluster-block-prov-rhel7:latest
namespace: openshift
lastTriggeredImage: ""
type: ImageChange
- type: ConfigChange
master# oc create -n storage-project -f gluster-block-provisioner.yml
Une fois ce template instancié, il sera possible de déclarer une StorageClasse utilisant notre service de provisioning :
master# cat gluster-block-sc.yml
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
name: gluster-block
provisioner: gluster.org/glusterblock
parameters:
hacount: "3"
resturl: "http://192.168.42.42:8080"
restuser: "ocp"
restuserkey: "secret"
master# oc create -n gluster-block-sc.yml
Notez que nos paramètres font ici toujours référence au service Heketi. Le provisioner Gluster Block n’hébergeant aucun Service. La configuration des noeuds OCP pour usage de volumes iSCSI reste des plus classique :
ocpX# yum install iscsi-initiator-utils device-mapper-multipath
ocpX# cat /etc/multipath.conf
devices {
device {
vendor "LIO-ORG"
user_friendly_names "yes"
path_grouping_policy "failover"
path_selector "round-robin 0"
failback immediate
path_checker "tur"
prio "const"
no_path_retry 120
rr_weight "uniform"
}
}
ocpX# systemctl enable multipathd
ocpX# systemctl start multipathd
Après quoi, vos templates OpenShift pourront faire l’usage de cette nouvelle classe :
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: jenkins
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 8Gi
storageClassName: gluster-block
Ceph-RBD
En ce qui concerne les solutions blocks distribuées, Ceph est le standard Open Source. A l’instar de Gluster Block, Ceph RBD ne permettra pas l’utilisation d’un même volume par plusieurs conteneurs simultanément. Si l’on peut regretter l’absence de playbooks déployant un cluster Ceph dans la cuisine OpenShift, ceux de Sebastien Han feront l’affaire. Ayant déployé un cluster Ceph, nous devrons installer le client Ceph sur nos noeuds OpenShift, et y installer le même fichier de configuration que sur nos noeuds Ceph :
[global]
fsid = xxx-yy-zzz
mon host = 10.42.253.110,10.42.253.111,10.42.253.112
public network = 10.42.253.0/24
cluster network = 10.42.253.0/24
[client.libvirt]
admin socket = /var/run/ceph/$cluster-$type.$id.$pid.$cctid.asok
log file = /var/log/ceph/qemu-guest-$pid.log
Depuis un noeud Ceph pouvant administrer votre cluster, il faudra ensuite créer un pool, un utilisateur, exporter son keyring et celui du client admin :
monX# ceph osd pool create kube 128
monX# ceph auth get-or-create client.kube mon 'allow r' osd 'allow class-read object_prefix rbd_children, allow rwx pool=kube' -o ceph.client.kube.keyring
monX# ceph auth get-key client.admin | base64
CLIENT_ADMIN_KEYRING_B64
monX# ceph auth get-key client.kube | base64
CLIENT_KUBE_KEYRING_B64
Il sera alors possible de configurer OpenShift pour créer ses volumes dans notre pool Ceph :
master# cat ceph-admin-secret.yml
apiVersion: v1
kind: Secret
metadata:
name: ceph-admin-secret
namespace: kube-system
type: kubernetes.io/rbd
data:
key: CLIENT_ADMIN_KEYRING_B64
master# oc create -f ceph-admin-secret.yml
master# cat ceph-user-secret.yml
apiVersion: v1
kind: Secret
metadata:
name: ceph-user-secret
namespace: kube-system
type: kubernetes.io/rbd
data:
key: CLIENT_KUBE_KEYRING_B64
master# oc create -f ceph-user-secret.yml
master# cat ceph-sc.yml
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
name: ceph-storage
provisioner: ceph.com/rbd
parameters:
monitors: 10.42.253.110:6789,10.42.253.111:6789,10.42.253.112:6789
adminId: admin
adminSecretName: ceph-admin-secret
adminSecretNamespace: kube-system
pool: kube
userId: kube
userSecretName: ceph-secret-user
userSecretNamespace: kube-system
Ici, pas besoin de service dédié au Dynamic Provisioning, OpenShift saura manipuler notre cluster Ceph sans plus de configurations. À nouveau, nous pourrons forcer la crération de nos volumes depuis notre PVC, ou configurer notre StorageClass avec l’annotation is-default.
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: mysql
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 20Gi
storageClassName: ceph-storage
Azure-File
Azure-File est un connecteur qui, comme son nom l’indique, repose sur un service Azure de partages Samba. Celui-ci est relativement similaire à NFS, sachant qu’il permettra la définition de volumes que plusieurs clients pourront monter en parallèle, tandis que le Dynamique Provisioning n’est pas supporté et qu’il faudra donc créer nos partages depuis la console ou tout client de l’API Azure. Il faudra en revanche signaler que les options de montage de volumes Azure-File feront qu’il ne sera pas possible d’y créer de lien symbolique, tandis que les permissions présentées seront forcées à 777, … Certains applicatifs (tels que Jenkins) refuseront de se lancer sur ce genre de volumes. Pour n’avoir eu accès qu’à des partages de type “Standard_LRS”, il faut admettre que les débits observés ne sont pas impressionnants – sachant qu’il existerait des partages de type “Premium_LRS”. Conscient de ces détails, l’utilisation de volumes Azure-File peut faire du sens, notament en substitution d’un serveur NFS, offrant des volumes RWX, retirant la charge de l’hébergement d’un service de stockage de données distribué et hautement disponible, virtuellement sans limite de stockage. La configuration d’OpenShift pour monter ses volumes depuis un partage Azure-File demandera la création d’un Secret et d’une StorageClass :
master# cat azure-storage01-secret.yml
apiVersion: v1
kind: Secret
metadata:
name: azure-storage01-secret
type: Opaque
data:
azurestorageaccountname: storage01
azurestorageaccountkey: secretString==
master# oc create -f azure-storage01-secret.yml
master# cat azurefile-sc.yml
kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
name: azurefile-storage
provisioner: kubernetes.io/azure-file
parameters:
skuName: Standard_LRS
location: northeurope
storageAccount: storage01
master# oc create -f azurefile-sc.yml
Pour permettre l’accès à ces partages, il faudra également installer le client samba sur vos noeuds OpenShift :
ocpX# yum install samba-client samba-common cifs-utils
ocpX# setsebool -P virt_use_samba on
ocpX# setsebool -P virt_sandbox_use_samba on
Il est alors possible de définir vos Persistent Volume, associant notre Secret à un partage préalablement créé depuis la console Azure :
master# cat azurefile-storage01-pv.yml
apiVersion: v1
kind: PersistentVolume
metadata:
name: azurefile-storage01-pv
spec:
accessModes:
- ReadWriteMany
azureFile:
secretName: azure-storage01-secret
shareName: storage01
readOnly: false
claimRef:
namespace: myproject
name: azurefile-storage01-pvc
capacity:
storage: 10Gi
storageClassName: azurefile-storage
master# oc create -f azurefile-storage01-pv.yml
Enfin, nous pourrons créer une PVC correspondant à la claimRef évoqué dans notre PV, pour ré-utilisation dans une DeploymentConfig :
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: azurefile-storage01-pvc
spec:
accessModes:
- ReadWriteMany
resources:
requests:
storage: 10Gi
storageClassName: azurefile-storage
Azure-Disk
De même qu’Azure-File, Azure-Disk est un service reposant sur l’offre d’Azure. Il est ici question de périphériques block comparables aux volumes Gluster Block ou Ceph RBD. OpenShift communique avec l’API d’Azure sans nécessiter la présence de service supplémentaire tel qu’Heketi, les volumes provisionnés dynamiquement sont rattaches à nos instances Azure au niveau de l’hyperviseur, de manière transparante pour les noeuds OpenShift. Le support du Dynamic Provisioning est relativement récent dans OpenShift, et toujours sujet à bugs, pouvant laisser vos instances Azure dans un état second où rattacher et détacher des volumes n’est plus possible. La suppression de volumes créés dynamiquement depuis OpenShift peut ne pas purger l’image correspondante de vos resources Azure, si celles-si font l’objet de backups : il faudra d’aborder en purger les snapshots. Chaque nouvelle version livre son lot de correctifs sur le sujet, et sans doute bientôt verrons-nous une implémentation fiable. À défaut, cette-ci restera néamoins des plus intéressantes dans un context Azure, où l’implémentation d’un cluster Gluster ou Ceph demandera un investissement conséquent en instances et volumes Azure, le maintien en conditions opérationnelles du service, son monitoring, … Pour des performances qui ne dépasseront pas celles des disques servant de support, à savoir des volumes comparables à ceux manipulés avec le driver Azure-Disk d’OpenShift. Pour permettre à OpenShift de communiquer avec Azure, il nous faudra une clé d’API que nous inclurons dans un fichier sur tous nos noeuds :
openshift# cat /etc/azure/azure.conf
tenantId: tenId
subscriptionId: subId
aadClientId: tenId
aadClientSecret: tenSecret
aadTenantId: tenId
resourceGroup: resourceGroup
location: mylocation
Sur nos noeuds master, il faudra ensuite éditer le fichier /etc/origin/master/master-config.yml, modifier la définition d’apiServerArguments et controllerArguments :
master# grep -EA4 '(apiServer|controller)Arguments:' /etc/origin/master/master-config.yml
apiServerArguments:
cloud-provider:
- azure
cloud-config:
- /etc/azure/azure.conf
controllerArguments:
cloud-provider:
- azure
cloud-config:
- /etc/azure/azure.conf
master# systemctl restart atomic-openshift-master-api
master# systemctl restart atomic-openshift-master-controllers
Sur tous vos noeuds OpenShift, il faudra enfin éditer le fichier /etc/origin/node/node-config.yml, modifier la défitinion de kubeletArguments :
ocpX# grep -A4 kubeletArguments: /etc/origin/node/node-config.yml
kubeletArguments:
cloud-provider:
- azure
cloud-config:
- /etc/azure/azure.conf
ocpX# systemctl restart atomic-openshift-node
Notez que le redémarrage du service OpenShift node, dans le cas où l’on configure un cloud-provider, va d’abord supprimer l’enregistrement de votre noeud du cluster, pour le re-créer, avec pour seul labels ceux fournis par Azure ou définis dans votre node-config. Tout label ayant été rajouté en cours de route (tel que node-exporter dans le cadre de collection de métriques Prometheus, ou logging pour la collection des logs de vos noeuds OpenShift) pourrait manquer après cette manipulation. N’hésitez pas à exporter la définition de vos noeuds avant manipulation, pour comparaison après redémarrage d’openshift-node.
oc export node my-hostname >previous-hostname-data
Nous devrions ensuite pouvoir définir une StorageClass azure-disk :
master# cat azuredisk-sc.yml
kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
name: azuredisk-storage
provisioner: kubernetes.io/azure-disk
parameters:
skuName: Premium_LRS
storageaccounttype: Premium_LRS
kind: Shared
location: northeurope
storageAccount: storage01
master# oc create -f azuredisk-sc.yml
À nouveau, l’utilisation de cette StorageClass pourra se faire depuis nos PVC :
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: sonarqube-data
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 10Gi
storageClassName: azuredisk-storage
