DEV Community: 8P Inc. The latest articles on DEV Community by 8P Inc. (@peepeepopapapeepeepo). https://dev.to/peepeepopapapeepeepo https://media2.dev.to/dynamic/image/width=90,height=90,fit=cover,gravity=auto,format=auto/https:%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Fuser%2Fprofile_image%2F190246%2F03144a17-851f-4cd9-ae81-fd5f194e8207.jpeg DEV Community: 8P Inc. https://dev.to/peepeepopapapeepeepo en Kiro Cannot Get Response from The Second Command in The Same Shell 8P Inc. Sat, 20 Sep 2025 09:15:48 +0000 https://dev.to/peepeepopapapeepeepo/kiro-cannot-get-response-from-the-second-command-in-the-same-shell-1blk https://dev.to/peepeepopapapeepeepo/kiro-cannot-get-response-from-the-second-command-in-the-same-shell-1blk <p>As you may know, when Kiro wants to run shell commands, it opens a new <code>zsh</code> (named "Kiro"), runs the command on that shell, and gets the response to analyze the next step.</p> <p>Unfortunately, if you're using <strong>Kiro</strong>, <strong>zsh</strong>, and <strong>powerlevel10k</strong> theme in OH-My-Zsh together, you may face this problem like I did.</p> <p>For the first command sent to the shell, it gets a response successfully. However, for the second command in the same shell, Kiro cannot get the response from the shell command and ends up waiting for a response indefinitely.</p> <p>This problem is so annoying and made me fed up with Kiro.</p> <p>Recently, I discovered it's due to the incompatibility between <strong>powerlevel10k</strong> theme and Kiro. So, I found a way to mitigate this problem, which allows me to give Kiro another shot.</p> <p>We know that:</p> <ul> <li>If zsh is opened by Kiro, the environment variable <code>TERM_PROGRAM</code> equals <strong>"kiro"</strong> </li> <li>There are 2 personas in Kiro that can open new shells: <ul> <li> <strong>"Us"</strong> as users <strong>can use</strong> powerlevel10k theme</li> <li> <strong>"Kiro"</strong> as an IDE <strong>can't use</strong> powerlevel10k theme</li> </ul> </li> </ul> <h2> The Mitigation: </h2> <blockquote> <p><strong>Key Concept</strong>: We will not use <strong>powerlevel10k</strong> theme if the zsh is opened by Kiro</p> </blockquote> <ol> <li> <p>In Kiro, add environment variable <code>ENABLE_ZSH_THEME=1</code> in zsh configuration</p> <ul> <li>Edit Kiro settings <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fwtr2m5hw889dybnm0p4o.png" alt="kiro-settings-1" width="800" height="467"> </li> <li>Change this value (terminal.integrated.profiles.osx) <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F9m2d0s19a1609m9kojey.png" alt="kiro-settings-2" width="800" height="400"> </li> <li>Add environment variable <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fckuhfuwbfrvdf5pduzee.png" alt="kiro-settings-3" width="800" height="732"> At this stage, zsh opened by you will have environment variable <code>ENABLE_ZSH_THEME=1</code>, while zsh opened by Kiro will not have <code>ENABLE_ZSH_THEME=1</code> </li> </ul> </li> <li> <p>Configure <code>~/.zshrc</code> to match the configuration above</p> <ul> <li>Add a condition to load <strong>powerlevel10k</strong> theme <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fk9l3if3fyike797g3xkr.png" alt="zshrc" width="800" height="228"> </li> </ul> </li> <li><p>Test by opening zsh yourself and letting Kiro open it to see the result</p></li> </ol> <blockquote> <p><strong>Expected Result</strong>:</p> <ul> <li>zsh opened by Kiro → no powerlevel10k theme</li> <li>zsh opened by You → has powerlevel10k theme</li> </ul> </blockquote> <h2> Benefits </h2> <ul> <li>✅ <strong>Kiro commands work reliably</strong> without timeouts</li> <li>✅ <strong>Preserves your beautiful terminal theme</strong> for regular use**</li> <li>✅ <strong>Simple, maintainable solution</strong> with <strong>minimal configuration</strong> </li> <li>✅ <strong>No need to completely disable</strong> powerlevel10k</li> </ul> kiro zsh powerlevel10k เริ่มต้นใช้งาน Amazon Q Developer Custom Agents 8P Inc. Sun, 03 Aug 2025 04:07:15 +0000 https://dev.to/peepeepopapapeepeepo/amazon-q-developer-custom-agents-pbl https://dev.to/peepeepopapapeepeepo/amazon-q-developer-custom-agents-pbl <p>หลายคนที่ได้ลองใช้ Amazon Q Developer น่าจะหงุดหงิดของ <code>/profile</code> เพราะมันดันไม่สามารถ custom พวก MCP configuration ได้ และไม่สามารถ set trust tools ตามแต่ละ profile ได้<br> ตอนนี้ AWS เลยทำการ rebrand <code>/profile</code> ไปเป็น feature ใหม่ที่เรียกว่า <a href="https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-custom-agents.html" rel="noopener noreferrer">custom agents</a></p> <p>คราวนี้เรามาดูกันครับว่า custom agents มีอะไรให้เราเล่นบ้าง</p> <h3> Migrate </h3> <p>เริ่มจากการ migrate ก่อน ปกติ Q cli จะถามว่าเราจะ upgrade ไหม แต่ถ้าไม่ถาม หรือว่าเรา say no ไปก็ run command นี้ เพื่อ migrate ได้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>q agent migrate --force </code></pre> </div> <blockquote> <p>ถ้าใครอยากลงลึกเรียนเชิญ -&gt; <a href="https://github.com/aws/amazon-q-developer-cli/blob/main/docs/legacy-profile-to-agent-migration.md" rel="noopener noreferrer">Migrate Profiles to Agents</a></p> </blockquote> <h3> Customize Agents </h3> <p>หลังจากที่ migrate แล้ว profile ที่เรา set ไว้มันจะกลายเป็น agent ให้เราโดยอัตโนมัติ โดยกลายเป็น json configuration file ใน path <code>~/.aws/amazonq/cli-agents/&lt;NAME&gt;.json</code></p> <p>AWS มี plan ที่จะเพิ่ม sub command <code>/agent edit &lt;NAME&gt;</code> ให้ แต่ ณ วันที่เขียน blog นี้ยังไม่มี แต่เราสามารถ edit file นี้ได้ตรงๆ ผ่าน ide ได้ตามปกติ</p> <p>ที่นี้มาดูหน้่าตาของ configuration file ( สามารถพิมพ์ <code>/agent schema</code> เพื่อดู schema เต็มๆ ของ config ได้ )<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight json"><code><span class="p">{</span><span class="w"> </span><span class="nl">"name"</span><span class="p">:</span><span class="w"> </span><span class="s2">"&lt;NAME&gt;"</span><span class="p">,</span><span class="w"> </span><span class="nl">"description"</span><span class="p">:</span><span class="w"> </span><span class="s2">""</span><span class="p">,</span><span class="w"> </span><span class="nl">"prompt"</span><span class="p">:</span><span class="w"> </span><span class="kc">null</span><span class="p">,</span><span class="w"> </span><span class="nl">"mcpServers"</span><span class="p">:</span><span class="w"> </span><span class="p">{},</span><span class="w"> </span><span class="nl">"tools"</span><span class="p">:</span><span class="w"> </span><span class="p">[</span><span class="w"> </span><span class="s2">"*"</span><span class="w"> </span><span class="p">],</span><span class="w"> </span><span class="nl">"toolAliases"</span><span class="p">:</span><span class="w"> </span><span class="p">{},</span><span class="w"> </span><span class="nl">"allowedTools"</span><span class="p">:</span><span class="w"> </span><span class="p">[</span><span class="w"> </span><span class="s2">"fs_read"</span><span class="w"> </span><span class="p">],</span><span class="w"> </span><span class="nl">"resources"</span><span class="p">:</span><span class="w"> </span><span class="p">[</span><span class="w"> </span><span class="s2">"file://AmazonQ.md"</span><span class="p">,</span><span class="w"> </span><span class="s2">"file://README.md"</span><span class="p">,</span><span class="w"> </span><span class="s2">"file://.amazonq/rules/**/*.md"</span><span class="w"> </span><span class="p">],</span><span class="w"> </span><span class="nl">"hooks"</span><span class="p">:</span><span class="w"> </span><span class="p">{},</span><span class="w"> </span><span class="nl">"toolsSettings"</span><span class="p">:</span><span class="w"> </span><span class="p">{},</span><span class="w"> </span><span class="nl">"useLegacyMcpJson"</span><span class="p">:</span><span class="w"> </span><span class="kc">true</span><span class="w"> </span><span class="p">}</span><span class="w"> </span></code></pre> </div> <ul> <li> <code>name</code> คือ ชื่อของ custom agent ควรตรงกับ ชื่อ file เพื่อความไม่สับสน โดย Q cli จะอ้างอิงชื่อ custom agent จากในส่วนนี้</li> <li> <code>description</code> คือ คำอธิายคร่าวๆ ของ custom agent นี้</li> <li> <code>prompt</code> คือที่ใส่ system prompt ของ custom agent นี้</li> <li> <code>mcpServers</code> คือ ที่ configure mcp server ที่ agent นี้จะ start ขึ้นมาพร้อมกับ custom agent</li> <li> <code>tools</code> ใช้ระบุ tools ต่างๆ ที่ custom agent นี้สามารถใช้ได้ สามารถระบุได้ทั้ง builtin tools และ tools จาก mcp server</li> <li> <code>toolAliases</code> ใช้ตั้งชื่อ tools ที่มีอยู่แล้วใหม่ ให้เป็นแบบที่เข้าใจง่ายขึ้น หรือ จำง่ายขึ้น</li> <li> <code>allowedTools</code> ใช้ระบุว่า เมื่อ Q cli ถูก start ขึ้นมาให้ trust tools ไหนได้เลย <ul> <li>โดยสามารถ allow ได้ทั้งแบบ <ul> <li>ระบุ built-in tools -&gt; <code>fs_read</code> </li> <li>ทั้ง mcp server -&gt; <code>@server_name</code> </li> <li>เฉพาะบาง tools ใน mcp server -&gt; <code>@server_name/tool_name</code> </li> <li>ทั้งหมด -&gt; <code>*</code> </li> <li>builtin ทั้งหมด -&gt; <code>@builtin</code> </li> </ul> </li> </ul> </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight json"><code><span class="w"> </span><span class="p">{</span><span class="w"> </span><span class="nl">"allowedTools"</span><span class="p">:</span><span class="w"> </span><span class="p">[</span><span class="w"> </span><span class="s2">"fs_read"</span><span class="p">,</span><span class="w"> </span><span class="s2">"@git/git_status"</span><span class="p">,</span><span class="w"> </span><span class="s2">"@fetch"</span><span class="w"> </span><span class="p">]</span><span class="w"> </span><span class="p">}</span><span class="w"> </span></code></pre> </div> <ul> <li> <code>resources</code> ใช้ระบุถึง context file ของ custom agent นั้นๆ เป็น concept เดียวกับ <code>/context</code> ที่ใช้ร่วมกับ <code>/profile</code> </li> <li> <code>hooks</code> เป็นที่ที่เราสามารถ define ได้ว่า ใน event เหล่านี้ จะให้ Q cli ทำอะไร โดย ตอนนี้มี 2 events คือ <ul> <li> <code>agentSpawn</code>: ตอนที่ Q cli ถูก start</li> <li> <code>userPromptSubmit</code>: ตอนที่เรา submit prompt ให้ Q cli </li> </ul> </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight json"><code><span class="p">{</span><span class="w"> </span><span class="nl">"hooks"</span><span class="p">:</span><span class="w"> </span><span class="p">{</span><span class="w"> </span><span class="nl">"agentSpawn"</span><span class="p">:</span><span class="w"> </span><span class="p">[</span><span class="w"> </span><span class="p">{</span><span class="w"> </span><span class="nl">"command"</span><span class="p">:</span><span class="w"> </span><span class="s2">"git status"</span><span class="p">,</span><span class="w"> </span><span class="p">}</span><span class="w"> </span><span class="p">],</span><span class="w"> </span><span class="nl">"userPromptSubmit"</span><span class="p">:</span><span class="w"> </span><span class="p">[</span><span class="w"> </span><span class="p">{</span><span class="w"> </span><span class="nl">"command"</span><span class="p">:</span><span class="w"> </span><span class="s2">"ls -la"</span><span class="p">,</span><span class="w"> </span><span class="p">}</span><span class="w"> </span><span class="p">]</span><span class="w"> </span><span class="p">}</span><span class="w"> </span><span class="p">}</span><span class="w"> </span></code></pre> </div> <ul> <li> <code>toolsSettings</code> ใช้ define configuration ต่างๆ ของ builtin tools เช่น </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight json"><code><span class="w"> </span><span class="p">{</span><span class="w"> </span><span class="nl">"toolsSettings"</span><span class="p">:</span><span class="w"> </span><span class="p">{</span><span class="w"> </span><span class="nl">"fs_write"</span><span class="p">:</span><span class="w"> </span><span class="p">{</span><span class="w"> </span><span class="nl">"allowedPaths"</span><span class="p">:</span><span class="w"> </span><span class="p">[</span><span class="s2">"src/**"</span><span class="p">,</span><span class="w"> </span><span class="s2">"tests/**"</span><span class="p">]</span><span class="w"> </span><span class="p">},</span><span class="w"> </span><span class="nl">"execute_bash"</span><span class="p">:</span><span class="w"> </span><span class="p">{</span><span class="w"> </span><span class="nl">"allowedCommands"</span><span class="p">:</span><span class="w"> </span><span class="p">[</span><span class="s2">"git status"</span><span class="p">,</span><span class="w"> </span><span class="s2">"npm test"</span><span class="p">],</span><span class="w"> </span><span class="nl">"allowReadOnly"</span><span class="p">:</span><span class="w"> </span><span class="kc">true</span><span class="w"> </span><span class="p">},</span><span class="w"> </span><span class="nl">"use_aws"</span><span class="p">:</span><span class="w"> </span><span class="p">{</span><span class="w"> </span><span class="nl">"allowedServices"</span><span class="p">:</span><span class="w"> </span><span class="p">[</span><span class="s2">"s3"</span><span class="p">,</span><span class="w"> </span><span class="s2">"lambda"</span><span class="p">,</span><span class="w"> </span><span class="s2">"ec2"</span><span class="p">]</span><span class="w"> </span><span class="p">}</span><span class="w"> </span><span class="p">}</span><span class="w"> </span><span class="p">}</span><span class="w"> </span></code></pre> </div> <ul> <li> <code>useLegacyMcpJson</code> ระบุว่าจะให้ include legacy global MCP configuration file (<code>~/.aws/amazonq/mcp.json</code>) เข้ามาด้วยไหมตอน Q cli ถุก start</li> </ul> <blockquote> <p>สามารถดูเพิ่มเติมได้จาก <a href="https://github.com/aws/amazon-q-developer-cli/blob/main/docs/agent-format.md#uselegacymcpjson-field" rel="noopener noreferrer">Agent Configuration Format</a></p> </blockquote> <h3> Validate Agent Configuration </h3> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>q agent validate --path ./my-agent.json </code></pre> </div> <p>ถ้า syntax ผิดจะเป็นประมาณนี้</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fowdz5ztij4i35ran22xz.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fowdz5ztij4i35ran22xz.png" alt="syntax-error" width="800" height="46"></a></p> <p>แต่ถ้าถูกจะไม่มีอะไร print ออกมา และ exit 0</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fh77f5b8oqh7l9ylgvju2.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fh77f5b8oqh7l9ylgvju2.png" alt="good-to-go" width="800" height="58"></a></p> <h3> Use Custom Agent </h3> <p>เราสามารถ lists agent ทั้งหมดที่เรามีได้โดย<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>q agent list </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>[default]&gt; /agent list </code></pre> </div> <p>จากนั้นเรียกใช้ custom agent ดังนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>q chat --agent &lt;NAME&gt; </code></pre> </div> <blockquote> <p>ในอนาคต เราจะสามารถ switch custom agent ได้ด้วย <code>/agent use &lt;NAME&gt;</code> ซึ่งเป็น feature ที่กำลัง develop อยู่</p> </blockquote> <h3> Set Default Agent </h3> <p>เมื่อเราสร้าง custom agent แล้วสามารถ set ให้มันเป็น ค่า default ได้โดย<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>q agent set-default --name &lt;NAME&gt; </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>/agent set-default --name &lt;NAME&gt; </code></pre> </div> <p>จากนั้นเราสามารถเรียกใช้ custom agent ได้ โดยการเรียก <code>q</code> หรือ <code>q chat</code> ได้โดยไม่ต้องระบุชื่อ custom agent แล้ว</p> <blockquote> <p>ถ้าเราไม่ได้ set default agent ไว้ Q cli จะใช้งาน <strong>builtin default agent</strong> ในการทำงาน เช่นเดียวกันถ้า configuration ของ custom agent เราผิด เวลาเรา start Q cli มันก็จะ fall back มาใช้งาน <strong>builtin default agent</strong> เหมือนกัน</p> </blockquote> <h3> Type of Custom Agent Configuration </h3> <p>มีอยู่ 2 แบบ ดังนี้</p> <ul> <li> <strong>Local custom agent (Workspace-specific)</strong> <ul> <li>Path: <code>{current_working_directory}/.amazonq/cli-agents/</code> </li> <li>Scope: จะใช้ได้ก็ต่อเมื่อ start Q cli ใน {current_working_directory}</li> <li>Use Case: Project-specific agents หรือ team-shared configurations</li> <li>Example: </li> </ul> </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>my-project/ ├── .amazonq/ │ └── cli-agents/ │ ├── dev-agent.json │ ├── aws-specialist.json │ └── code-reviewer.json ├── src/ │ └── main.py └── README.md </code></pre> </div> <ul> <li> <strong>Global custom agent</strong> <ul> <li>Path: <code>~/.aws/amazonq/cli-agents/</code> </li> <li>Scope: start Q cli ได้ทุกที่</li> <li>Use Case: agents ส่วนตัว หรือ ใช้เป็น general-purpose assistants</li> <li>Example </li> </ul> </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>~/.aws/amazonq/cli-agents/ ├── general-assistant.json ├── documentation-writer.json ├── security-analyst.json └── devops-automation.json </code></pre> </div> <p>ถ้าเราอยู่ที่ {current_working_directory} แล้ว list agents จะเห็นแบบนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>&gt; q agent list general-assistant /Users/demo/.aws/amazonq/cli-agents documentation-writer /Users/demo/.aws/amazonq/cli-agents security-analyst /Users/demo/.aws/amazonq/cli-agents devops-automation /Users/demo/.aws/amazonq/cli-agents dev-agent /Users/demo/my-project/.amazonq/cli-agents aws-specialist /Users/demo/my-project/.amazonq/cli-agents code-reviewer /Users/demo/my-project/.amazonq/cli-agents </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>[general-assistant] &gt; /agent list * general-assistant documentation-writer security-analyst devops-automation dev-agent aws-specialist code-reviewer </code></pre> </div> <p>ถ้าออกไป directory อื่น ก็จะเห็น custom agent เท่าที่มีใน Global<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>&gt; q agent list general-assistant /Users/demo/.aws/amazonq/cli-agents documentation-writer /Users/demo/.aws/amazonq/cli-agents security-analyst /Users/demo/.aws/amazonq/cli-agents devops-automation /Users/demo/.aws/amazonq/cli-agents </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>[general-assistant] &gt; /agent list * general-assistant documentation-writer security-analyst devops-automation </code></pre> </div> aws amazonq qdev How to Create AWS Builder ID 8P Inc. Sun, 06 Jul 2025 06:53:24 +0000 https://dev.to/peepeepopapapeepeepo/how-to-create-aws-builder-id-2kjm https://dev.to/peepeepopapapeepeepo/how-to-create-aws-builder-id-2kjm <blockquote> <p><strong>Table of Content</strong></p> <ul> <li>Create AWS Builder ID</li> <li>Login with your AWS Builder ID</li> <li>Register MFA Devices</li> </ul> </blockquote> <h3> Create AWS Builder ID </h3> <ul> <li>Go to <a href="https://profile.aws.amazon.com/" rel="noopener noreferrer">AWS Builder ID profile</a>. You will redirect to "Create AWS Builder ID" page. <ul> <li>If you <strong>have already had</strong> "AWS Builder ID", click "Already have AWS Builder ID? Sign in" and proceed login.</li> </ul> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F69nd7xykzic7w1yymdu8.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F69nd7xykzic7w1yymdu8.png" alt="Already have AWS Builder ID" width="800" height="711"></a></p> <ul> <li>If you <strong>don't have</strong> "AWS Builder ID" yet, fill in your email ( recommend to use personal email since. You can use this ID to register for <a href="https://www.aws.training/certification/" rel="noopener noreferrer">AWS Certificate Exam</a> and <a href="https://skillbuilder.aws/" rel="noopener noreferrer">AWS Skill Builder</a> in the future.</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fea7emhlpa38e32epufl0.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fea7emhlpa38e32epufl0.png" alt="Don't have AWS Builder ID" width="800" height="723"></a></p> <ul> <li>To continue creating "AWS Builder ID", fill in your name and click <strong>Next</strong> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fx3hn6pnkd8ph9bqcjnmy.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fx3hn6pnkd8ph9bqcjnmy.png" alt="Fill in name" width="800" height="718"></a></p> <ul> <li>The verification code will be sent to you email address.</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Frmv4pyrzc7p66i95uaa4.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Frmv4pyrzc7p66i95uaa4.png" alt="email-verification" width="800" height="728"></a></p> <ul> <li>Fill in the code and click <strong>Verify</strong> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fnkxsfw00zgsgldd4zgk5.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fnkxsfw00zgsgldd4zgk5.png" alt="verify-email" width="800" height="574"></a></p> <ul> <li>After your email is successfully verified, it will direct you to set password for your account. Fill in your password, finish captcha challenge and click <strong>Create AWS Builder ID</strong> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fy3yg4qrs2rohsh994nrv.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fy3yg4qrs2rohsh994nrv.png" alt="set-password" width="800" height="722"></a></p> <ul> <li>After your AWS Builder ID is successfully created, it will redirect you to main login page.</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fbhv70bly2gtg5hfns2sz.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fbhv70bly2gtg5hfns2sz.png" alt="successful-creation" width="800" height="671"></a></p> <h3> Login with your AWS Builder ID </h3> <ul> <li>Click at "Already have AWS Builder ID? Sign in" and fill in your email</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F11hzv5xpsfymud78ecmm.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F11hzv5xpsfymud78ecmm.png" alt="login" width="800" height="687"></a></p> <ul> <li>Fill in your password and enter captcha</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fayl90kirl7yh3oxmvtc5.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fayl90kirl7yh3oxmvtc5.png" alt="enter-password" width="800" height="674"></a></p> <ul> <li>The verification code will be sent to you email address.</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ffbve2sajrcofqkpsdp2v.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ffbve2sajrcofqkpsdp2v.png" alt="code-verification" width="800" height="688"></a></p> <ul> <li>Fill in the code and click <strong>Verify</strong> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F3ijjyqb2a9b29zuk9dbh.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F3ijjyqb2a9b29zuk9dbh.png" alt="verify-code" width="800" height="541"></a></p> <ul> <li>It will direct you back to login page</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fbhv70bly2gtg5hfns2sz.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fbhv70bly2gtg5hfns2sz.png" alt="successful-creation" width="800" height="671"></a></p> <h3> Register MFA Devices </h3> <blockquote> <p>Wait for about 10 minutes after creating AWS Builder ID to continue add MFA devices</p> </blockquote> <ul> <li>Go to <a href="https://profile.aws.amazon.com/" rel="noopener noreferrer">AWS Builder ID profile</a> and login with your credential. After login success, you will be direct to this page</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Flnqb0lfvxr901w3lhwlg.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Flnqb0lfvxr901w3lhwlg.png" alt="profile-page" width="800" height="466"></a></p> <ul> <li>Click at <strong>Security</strong> and <strong>Register devices</strong> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fxh77w0i9a0mngmdof445.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fxh77w0i9a0mngmdof445.png" alt="register-devices" width="800" height="377"></a></p> <ul> <li>Select your preference MFA devices type and click <strong>Next</strong>.</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F5vaezmivasghn1rdl1d7.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F5vaezmivasghn1rdl1d7.png" alt="mfa-devices" width="800" height="724"></a></p> <ul> <li>Follow its instruction to add each type of MFA device. After successfully add a MFA devices, your device will be appeared here.</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fryx8s7b8bckd8ryyyy70.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fryx8s7b8bckd8ryyyy70.png" alt="registed-mfa-devices" width="800" height="362"></a></p> <ul> <li>Open Incognito or InPrivate mode, and try login to <a href="https://profile.aws.amazon.com/" rel="noopener noreferrer">AWS Builder ID profile</a>. You will be ask for both password and MFA device. After successfully login, sign out and close the Incognito or InPrivate mode.</li> </ul> <blockquote> <p>After finish all the steps, your AWS Builder ID is ready and safe to use.</p> </blockquote> <h3> References </h3> <ul> <li><a href="https://docs.aws.amazon.com/signin/latest/userguide/create-aws_builder_id.html" rel="noopener noreferrer">Create your AWS Builder ID</a></li> </ul> aws awsbuilder tutorial GitHub Self-Hosted Runners on Azure Container Apps with Autocsaling 8P Inc. Tue, 07 Mar 2023 04:41:00 +0000 https://dev.to/peepeepopapapeepeepo/github-selfhosted-runners-on-azure-container-apps-with-autocsaling-5h02 https://dev.to/peepeepopapapeepeepo/github-selfhosted-runners-on-azure-container-apps-with-autocsaling-5h02 <p>เรื่องมันมีอยู่ว่า อยากได้ GitHub Self-Hosted Runners แบบที่ autoscale ได้ตาม workload ครับ และตอนที่ไม่ใช้เลยก็สามารถ scale in instance เหลือ 0 ได้ ผมค้นไปเจอ <a href="https://dev.to/pwd9000/run-docker-based-github-runner-containers-on-azure-container-apps-aca-1n13">Autoscaling self hosted GitHub runner containers with Azure Container Apps (ACA)</a> มา คิดว่าค่อนข้างตรงกับที่ต้องการ เลยเอามาลอง POC ดูครับ</p> <p>จากใน link ข้างต้น จะเป็นการ run container image ของ GitHub Self-Hosted Runners ด้วย Azure Container Apps และอาศัยความสามารถของ <a href="https://keda.sh/" rel="noopener noreferrer">KEDA autoscaler</a> ในการ scale replica ตามจำนวน queue ใน Azure Storage Queue</p> <p>การทำงานจะเป็นแบบนี้ครับ</p> <ol> <li>เมื่อ GitHub workflow ถูก trigger ให้ run มันจะไป push message ลงไปที่ Azure Storage Queue</li> <li>KEDA scaler ใน Azure Container Apps ตรวจพบว่ามี queue เพิ่มขึ้น จึงทำการ scale out instance ของ GitHub selfhosted runners ตามจำนวน queue</li> <li>เมื่อ scale เรียบร้อย ตัว GitHub selfhosted runners จะมารับงานจาก GitHub workflow ไป run จนเรียบร้อย</li> <li>GitHub workflow ทำการ delete message ออกจาก Azure Storage Queue</li> <li>KEDA scaler ตรวจพบว่ามี queue ลดลงจึง scale in instance ของ GitHub selfhosted runners ลง ถ้า queue เป็น 0 จำนวน instance ของ GitHub selfhosted runners ก็เป็น 0</li> </ol> <p>ด้วยความคัน ผมจะเปลี่ยนนิดหน่อย ดังนี้</p> <ul> <li>ใช้เป็น Azure Service Bus Queue แทน Azure Storage Queue เพราะในกรณีที่มีการ send / receive message เยอะ Azure Service Bus Queue จะถูกกว่านิดหน่อย (อ่านเพิ่ม <a href="https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-azure-and-service-bus-queues-compared-contrasted" rel="noopener noreferrer">Storage queues and Service Bus queues - compared and contrasted</a>)</li> <li>ปรับ workflow ให้ใช้ <a href="https://dev.to/peepeepopapapeepeepo/let-github-action-access-azure-resources-without-password-f0i">Workload Identity Federation</a> เพื่อให้เป็น passwordless</li> <li>สร้าง Azure Container Apps แบบมี Virtual Network Integration เพื่อให้ interact กับ resources ที่เป็น private ได้</li> </ul> <p>Diagram จะเป็นแบบนี้นะครับ</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fn6w2u2a30zbuk58uosjl.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fn6w2u2a30zbuk58uosjl.png" alt="Diagram" width="683" height="221"></a></p> <p>และเช่นกัน ณ เวลาที่ผมเขียน blog นี้นั้น Azure Container Apps ยังมีข้อจำกัดดังนี้</p> <ul> <li>Support แค่ Linux-based x86-64 (linux/amd64) container image.</li> <li>ยังไม่มี KEDA scalers for GitHub runners</li> <li>ยังไม่มีที่ Southeast Asia</li> </ul> <p>ทีนี้ก่อนเริ่มทำเรามาดูกันก่อนว่าเราต้องมีอะไรกันบ้าง</p> <ul> <li> <strong>Azure Subscription</strong> ( ใช้เพื่อ deploy resources ต่างๆ เช่น vnet, log analytics workspace, container apps และ service bus เป็นต้น )</li> <li> <strong>Github Organization</strong> ( เราจะให้ runners เป็น oganization level runners )</li> <li> <strong>Github Repository</strong> ( ใช้เก็บและ run workflow )</li> </ul> <h2> ลงมือทำกันเลย </h2> <h3> Prerequisites </h3> <ul> <li><a href="https://learn.microsoft.com/en-us/dynamics-nav/how-to--sign-up-for-a-microsoft-azure-subscription" rel="noopener noreferrer">Create Azure subscription</a></li> <li><a href="https://docs.github.com/en/get-started/signing-up-for-github/signing-up-for-a-new-github-account" rel="noopener noreferrer">Sign up Github</a></li> <li><a href="https://docs.github.com/en/repositories/creating-and-managing-repositories/creating-a-new-repository" rel="noopener noreferrer">Create repository</a></li> <li><a href="https://docs.github.com/en/organizations/collaborating-with-groups-in-organizations/creating-a-new-organization-from-scratch" rel="noopener noreferrer">Create organization</a></li> <li> <a href="https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/creating-a-personal-access-token" rel="noopener noreferrer">Create Github Access Token</a> โดยเลือก scope เป็น <code>admin:org</code> </li> <li>Create GitHub Self-hosted Runners Container Image ดูได้จาก <a href="https://github.com/myoung34/docker-github-actions-runner" rel="noopener noreferrer">docker-github-actions-runner</a> หรือ <a href="https://dev.to/pwd9000/create-a-docker-based-self-hosted-github-runner-linux-container-48dh">Create a Docker based Self Hosted GitHub runner Linux container</a> แล้ว push ขึ้น container registry ของเรา</li> </ul> <h3> Preflight </h3> <ul> <li>ทำการ install extensions ของ Azure CLI และ providers ที่ subscription </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az extension add <span class="nt">--name</span> containerapp <span class="nt">--upgrade</span> az provider register <span class="nt">--namespace</span> Microsoft.App az provider register <span class="nt">--namespace</span> Microsoft.OperationalInsights az provider register <span class="nt">--namespace</span> Microsoft.ContainerService az provider register <span class="nt">--namespace</span> Microsoft.ServiceBus </code></pre> </div> <ul> <li>Define variables </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">POC_PREFIX</span><span class="o">=</span><span class="s2">"pocghaca"</span> <span class="nv">LOCATION</span><span class="o">=</span><span class="s2">"westus3"</span> <span class="nv">LOC</span><span class="o">=</span><span class="s2">"usw3"</span> <span class="nv">RESOURCE_GROUP</span><span class="o">=</span><span class="s2">"rg-</span><span class="k">${</span><span class="nv">POC_PREFIX</span><span class="k">}</span><span class="s2">-az-</span><span class="k">${</span><span class="nv">LOC</span><span class="k">}</span><span class="s2">-001"</span> <span class="nv">VNET_NAME</span><span class="o">=</span><span class="s2">"vnet-</span><span class="k">${</span><span class="nv">POC_PREFIX</span><span class="k">}</span><span class="s2">-az-</span><span class="k">${</span><span class="nv">LOC</span><span class="k">}</span><span class="s2">-001"</span> <span class="nv">INFRASTRUCTURE_SUBNET</span><span class="o">=</span><span class="s2">"snet-infra-az-</span><span class="k">${</span><span class="nv">LOC</span><span class="k">}</span><span class="s2">-001"</span> <span class="nv">LOG_ANALYTIC_WORKSPACE</span><span class="o">=</span><span class="s2">"log-</span><span class="k">${</span><span class="nv">POC_PREFIX</span><span class="k">}</span><span class="s2">-az-</span><span class="k">${</span><span class="nv">LOC</span><span class="k">}</span><span class="s2">-001"</span> <span class="nv">SERVICEBUS_NAME</span><span class="o">=</span><span class="s2">"sbn-</span><span class="k">${</span><span class="nv">POC_PREFIX</span><span class="k">}</span><span class="s2">-az-</span><span class="k">${</span><span class="nv">LOC</span><span class="k">}</span><span class="s2">-001"</span> <span class="nv">SERVICEBUS_QUEUE</span><span class="o">=</span><span class="s2">"gh-runner-scaler"</span> <span class="nv">CONTAINERAPPS_ENVIRONMENT</span><span class="o">=</span><span class="s2">"cte-</span><span class="k">${</span><span class="nv">POC_PREFIX</span><span class="k">}</span><span class="s2">-az-</span><span class="k">${</span><span class="nv">LOC</span><span class="k">}</span><span class="s2">-001"</span> <span class="nv">CONTAINERAPP_NAME</span><span class="o">=</span><span class="s2">"cta-</span><span class="k">${</span><span class="nv">POC_PREFIX</span><span class="k">}</span><span class="s2">-az-</span><span class="k">${</span><span class="nv">LOC</span><span class="k">}</span><span class="s2">-001"</span> <span class="nv">CONTAINER_REGISTRY_SERVER</span><span class="o">=</span><span class="s2">"..&lt;YOUR-CONTAINER-REGISTRY&gt;.."</span> <span class="nv">CONTAINER_REGISTRY_USER</span><span class="o">=</span><span class="s2">"..&lt;YOUR-REGISTRY-USERNAME&gt;.."</span> <span class="nv">CONTAINER_REGISTRY_PASS</span><span class="o">=</span><span class="s2">"..&lt;YOUR-REGISTRY-PASSWORD&gt;.."</span> <span class="nv">CONTAINER_IMAGE</span><span class="o">=</span><span class="s2">"..&lt;YOU-CONTAINER-IMAGE&gt;.."</span> <span class="nv">PAT</span><span class="o">=</span><span class="s2">"..&lt;YOUR-GITHUB-ACCESS-TOKEN&gt;.."</span> <span class="nv">GH_ORG</span><span class="o">=</span><span class="s2">"..&lt;YOUR-ORGANIZATION-NAME&gt;.."</span> </code></pre> </div> <h3> Prerequisite Azure Resources </h3> <ul> <li>Create Resource group </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az group create <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--location</span> <span class="nv">$LOCATION</span> </code></pre> </div> <ul> <li>Create Log analytics workspaces </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az monitor log-analytics workspace create <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$LOG_ANALYTIC_WORKSPACE</span> <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--quota</span> 1 <span class="se">\</span> <span class="nt">--retention-time</span> 30 <span class="se">\</span> <span class="nt">--sku</span> PerGB2018 </code></pre> </div> <ul> <li>Create Virtual network and subnet </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az network vnet create <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$VNET_NAME</span> <span class="se">\</span> <span class="nt">--location</span> <span class="nv">$LOCATION</span> <span class="se">\</span> <span class="nt">--address-prefix</span> 10.0.0.0/16 az network vnet subnet create <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--vnet-name</span> <span class="nv">$VNET_NAME</span> <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$INFRASTRUCTURE_SUBNET</span> <span class="se">\</span> <span class="nt">--address-prefixes</span> 10.0.0.0/21 </code></pre> </div> <h3> Azure Service Bus and Queue </h3> <ul> <li>Create Azure service bus and queue </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az servicebus namespace create <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$SERVICEBUS_NAME</span> <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--location</span> <span class="nv">$LOCATION</span> az servicebus queue create <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--namespace-name</span> <span class="nv">$SERVICEBUS_NAME</span> <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$SERVICEBUS_QUEUE</span> </code></pre> </div> <ul> <li>Create connection string of Azure Service Bus Queue </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az servicebus queue authorization-rule create <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--namespace-name</span> <span class="nv">$SERVICEBUS_NAME</span> <span class="se">\</span> <span class="nt">--queue-name</span> <span class="nv">$SERVICEBUS_QUEUE</span> <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$CONTAINERAPP_NAME</span> <span class="se">\</span> <span class="nt">--rights</span> Manage Send Listen </code></pre> </div> <ul> <li>Add yourself as <code>Azure Service Bus Data Owner</code> on Azure Service Bus Namespace</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F94xeqexiob7lie0mga07.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F94xeqexiob7lie0mga07.png" alt="service-bus-queue-role-assignment" width="800" height="490"></a></p> <ul> <li>Test send a message and receive/delete a message from the queue</li> </ul> <blockquote> <p>⚠️ ถ้าทำใน bash ของ Azure Cloud Shell ใน run <code>az login</code> อีกครั้ง<br> </p> </blockquote> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Send message</span> az rest <span class="se">\</span> <span class="nt">--resource</span> <span class="s2">"https://servicebus.azure.net"</span> <span class="se">\</span> <span class="nt">--method</span> post <span class="se">\</span> <span class="nt">--headers</span> <span class="nv">BrokerProperties</span><span class="o">=</span><span class="s1">'{"TimeToLive":10}'</span> <span class="se">\</span> <span class="nt">--url</span> <span class="s2">"https://</span><span class="k">${</span><span class="nv">SERVICEBUS_NAME</span><span class="k">}</span><span class="s2">.servicebus.windows.net/</span><span class="k">${</span><span class="nv">SERVICEBUS_QUEUE</span><span class="k">}</span><span class="s2">/messages"</span> <span class="se">\</span> <span class="nt">--body</span> <span class="s2">"Hello from Az REST with TTL"</span> </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Receive / Delete message</span> az rest <span class="se">\</span> <span class="nt">--resource</span> <span class="s2">"https://servicebus.azure.net"</span> <span class="se">\</span> <span class="nt">--method</span> delete <span class="se">\</span> <span class="nt">--url</span> <span class="s2">"https://</span><span class="k">${</span><span class="nv">SERVICEBUS_NAME</span><span class="k">}</span><span class="s2">.servicebus.windows.net/</span><span class="k">${</span><span class="nv">SERVICEBUS_QUEUE</span><span class="k">}</span><span class="s2">/messages/head"</span> </code></pre> </div> <h3> Create Azure Container App </h3> <ul> <li>รวบรวมข้อมูลที่ใช้ในการสร้าง Azure Container App และ Azure Container Environment </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">INFRASTRUCTURE_SUBNET</span><span class="o">=</span><span class="si">$(</span>az network vnet subnet show <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="nt">--vnet-name</span> <span class="nv">$VNET_NAME</span> <span class="nt">--name</span> <span class="nv">$INFRASTRUCTURE_SUBNET</span> <span class="nt">--query</span> <span class="s2">"id"</span> <span class="nt">-o</span> tsv | <span class="nb">tr</span> <span class="nt">-d</span> <span class="s1">'[:space:]'</span><span class="si">)</span> <span class="nv">LOG_WORKSPACE_ID</span><span class="o">=</span><span class="si">$(</span>az monitor log-analytics workspace show <span class="nt">--name</span> <span class="nv">$LOG_ANALYTIC_WORKSPACE</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="nt">--query</span> <span class="s2">"customerId"</span> <span class="nt">-o</span> tsv | <span class="nb">tr</span> <span class="nt">-d</span> <span class="s1">'[:space:]'</span><span class="si">)</span> <span class="nv">LOG_WORKSPACE_KEY</span><span class="o">=</span><span class="si">$(</span>az monitor log-analytics workspace get-shared-keys <span class="nt">--name</span> <span class="nv">$LOG_ANALYTIC_WORKSPACE</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="nt">--query</span> <span class="s2">"primarySharedKey"</span> <span class="nt">-o</span> tsv | <span class="nb">tr</span> <span class="nt">-d</span> <span class="s1">'[:space:]'</span><span class="si">)</span> <span class="nv">CONNECTION_QUEUE</span><span class="o">=</span><span class="si">$(</span>az servicebus queue authorization-rule keys list <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="nt">--namespace-name</span> <span class="nv">$SERVICEBUS_NAME</span> <span class="nt">--queue-name</span> <span class="nv">$SERVICEBUS_QUEUE</span> <span class="nt">--name</span> <span class="nv">$CONTAINERAPP_NAME</span> <span class="nt">--query</span> primaryConnectionString <span class="nt">--output</span> tsv | <span class="nb">tr</span> <span class="nt">-d</span> <span class="s1">'[:space:]'</span><span class="si">)</span> </code></pre> </div> <ul> <li>Create Azure Container App Environment </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az containerapp <span class="nb">env </span>create <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$CONTAINERAPPS_ENVIRONMENT</span> <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--location</span> <span class="nv">$LOCATION</span> <span class="se">\</span> <span class="nt">--infrastructure-subnet-resource-id</span> <span class="nv">$INFRASTRUCTURE_SUBNET</span> <span class="se">\</span> <span class="nt">--docker-bridge-cidr</span> <span class="s2">"172.17.0.1/16"</span> <span class="se">\</span> <span class="nt">--platform-reserved-cidr</span> <span class="s2">"100.64.0.0/16"</span> <span class="se">\</span> <span class="nt">--platform-reserved-dns-ip</span> <span class="s2">"100.64.0.10"</span> <span class="se">\</span> <span class="nt">--logs-destination</span> <span class="s2">"log-analytics"</span> <span class="se">\</span> <span class="nt">--logs-workspace-id</span> <span class="nv">$LOG_WORKSPACE_ID</span> <span class="se">\</span> <span class="nt">--logs-workspace-key</span> <span class="nv">$LOG_WORKSPACE_KEY</span> <span class="se">\</span> <span class="nt">--internal-only</span> </code></pre> </div> <ul> <li>Create Azure Container App with autoscaling </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az containerapp create <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$CONTAINERAPP_NAME</span> <span class="se">\</span> <span class="nt">--image</span> <span class="nv">$CONTAINER_IMAGE</span> <span class="se">\</span> <span class="nt">--environment</span> <span class="nv">$CONTAINERAPPS_ENVIRONMENT</span> <span class="se">\</span> <span class="nt">--registry-server</span> <span class="nv">$CONTAINER_REGISTRY_SERVER</span> <span class="se">\</span> <span class="nt">--registry-username</span> <span class="nv">$CONTAINER_REGISTRY_USER</span> <span class="se">\</span> <span class="nt">--registry-password</span> <span class="nv">$CONTAINER_REGISTRY_PASS</span> <span class="se">\</span> <span class="nt">--secrets</span> gh-token<span class="o">=</span><span class="s2">"</span><span class="nv">$PAT</span><span class="s2">"</span> servicebus-connection-string<span class="o">=</span><span class="s2">"</span><span class="nv">$CONNECTION_QUEUE</span><span class="s2">"</span> <span class="se">\</span> <span class="nt">--env-vars</span> <span class="se">\</span> <span class="nv">ACCESS_TOKEN</span><span class="o">=</span>secretref:gh-token <span class="se">\</span> <span class="nv">RUNNER_SCOPE</span><span class="o">=</span><span class="s2">"org"</span> <span class="se">\</span> <span class="nv">ORG_NAME</span><span class="o">=</span><span class="nv">$GH_ORG</span> <span class="se">\</span> <span class="nv">LABELS</span><span class="o">=</span><span class="s2">"poc-gh-aca"</span> <span class="se">\</span> <span class="nv">RUNNER_WORKDIR</span><span class="o">=</span><span class="s2">"/tmp/github-runner"</span> <span class="se">\</span> <span class="nt">--cpu</span> <span class="s2">"1.75"</span> <span class="se">\</span> <span class="nt">--memory</span> <span class="s2">"3.5Gi"</span> <span class="se">\</span> <span class="nt">--min-replicas</span> 0 <span class="se">\</span> <span class="nt">--max-replicas</span> 3 <span class="se">\</span> <span class="nt">--scale-rule-auth</span> <span class="s2">"connection=servicebus-connection-string"</span> <span class="se">\</span> <span class="nt">--scale-rule-name</span> queue-scaling <span class="se">\</span> <span class="nt">--scale-rule-type</span> azure-servicebus <span class="se">\</span> <span class="nt">--scale-rule-metadata</span> <span class="se">\</span> <span class="s2">"queueName=</span><span class="nv">$SERVICEBUS_QUEUE</span><span class="s2">"</span> <span class="se">\</span> <span class="s2">"namespace=</span><span class="nv">$SERVICEBUS_NAME</span><span class="s2">"</span> <span class="se">\</span> <span class="s2">"messageCount=1"</span> </code></pre> </div> <ul> <li>ตรวจสอบ system log </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az containerapp logs show <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$CONTAINERAPP_NAME</span> <span class="se">\</span> <span class="nt">--type</span> console <span class="se">\</span> <span class="nt">--follow</span> </code></pre> </div> <ul> <li>ตรวจสอบ console log </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>az containerapp logs show <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$CONTAINERAPP_NAME</span> <span class="se">\</span> <span class="nt">--type</span> system <span class="se">\</span> <span class="nt">--follow</span> </code></pre> </div> <ul> <li>ตรวจสอบว่า runner เกิดขึ้นใน organization ของเรา</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F9lmz57zm30vr42h39pyl.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F9lmz57zm30vr42h39pyl.png" alt="github-self-hosted-runner" width="800" height="383"></a></p> <ul> <li>ลอง send และ delete message แล้วตรวจสอบ Queue ใน Azure Service Bus และ check จำนวน runner ที่เกิดขึ้นใน organization </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Send message</span> az rest <span class="se">\</span> <span class="nt">--resource</span> <span class="s2">"https://servicebus.azure.net"</span> <span class="se">\</span> <span class="nt">--method</span> post <span class="se">\</span> <span class="nt">--headers</span> <span class="nv">BrokerProperties</span><span class="o">=</span><span class="s1">'{"TimeToLive":3600}'</span> <span class="se">\</span> <span class="nt">--url</span> <span class="s2">"https://</span><span class="k">${</span><span class="nv">SERVICEBUS_NAME</span><span class="k">}</span><span class="s2">.servicebus.windows.net/</span><span class="k">${</span><span class="nv">SERVICEBUS_QUEUE</span><span class="k">}</span><span class="s2">/messages"</span> <span class="se">\</span> <span class="nt">--body</span> <span class="s2">"Hello from Az REST with TTL"</span> </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Receive / Delete message</span> az rest <span class="se">\</span> <span class="nt">--resource</span> <span class="s2">"https://servicebus.azure.net"</span> <span class="se">\</span> <span class="nt">--method</span> delete <span class="se">\</span> <span class="nt">--url</span> <span class="s2">"https://</span><span class="k">${</span><span class="nv">SERVICEBUS_NAME</span><span class="k">}</span><span class="s2">.servicebus.windows.net/</span><span class="k">${</span><span class="nv">SERVICEBUS_QUEUE</span><span class="k">}</span><span class="s2">/messages/head"</span> </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># See console log</span> az containerapp logs show <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$CONTAINERAPP_NAME</span> <span class="se">\</span> <span class="nt">--type</span> console <span class="se">\</span> <span class="nt">--follow</span> </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># See system log</span> az containerapp logs show <span class="se">\</span> <span class="nt">--resource-group</span> <span class="nv">$RESOURCE_GROUP</span> <span class="se">\</span> <span class="nt">--name</span> <span class="nv">$CONTAINERAPP_NAME</span> <span class="se">\</span> <span class="nt">--type</span> system <span class="se">\</span> <span class="nt">--follow</span> </code></pre> </div> <h3> Create GitHub workflow to verify our system </h3> <ul> <li>ทำการ create Service Principal แล้ว federate credential ไปให้ Github Organization และ Repository ที่เราสร้างเตรียมไว้โดยเลือกเป็น branch main</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fejw53kzfisu7i43cfl8r.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fejw53kzfisu7i43cfl8r.png" alt="Credential Federation" width="800" height="459"></a></p> <blockquote> <p>รายละเอียดดูได้จาก <a href="https://dev.to/peepeepopapapeepeepo/let-github-action-access-azure-resources-without-password-f0i">Let Github Action Access Azure Resources without password</a></p> </blockquote> <ul> <li>Create role assignment ให้ Service Principal ของเรามีสิทธิ์ <code>Azure Service Bus Data Receiver</code> และ <code>Azure Service Bus Data Sender</code> ที่ Queue ที่เราสร้างไว้</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F4ovxk3ri7ucyws5h7kno.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F4ovxk3ri7ucyws5h7kno.png" alt="queue-role-assignment" width="800" height="525"></a></p> <ul> <li>Create role assignment ให้ Service Principal ของเรามีสิทธิ์ <code>Contributor</code> บน subscription ของเรา</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fix8bd5tn0gb06ydzxk82.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fix8bd5tn0gb06ydzxk82.png" alt="subscription-role-assignment" width="800" height="403"></a></p> <ul> <li>สำหรับสาย free ถ้า GitHub repository ของคุณเป็น public ต้องมา allow ที่ Runner Groups Default ก่อน</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F06z4p33zw46jmpp2upxb.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F06z4p33zw46jmpp2upxb.png" alt="Runner-Groups-Default" width="800" height="324"></a></p> <ul> <li>ต่อไปเข้าไปที่ Repository ของตัวเองแล้ว define secret และ variable เหล่านี้ <ul> <li>Secrets <ul> <li><code>AZURE_CLIENT_ID</code></li> <li><code>AZURE_SUBSCRIPTION_ID</code></li> <li><code>AZURE_TENANT_ID</code></li> </ul> </li> <li>Variables <ul> <li><code>AZ_SERVICE_BUS_NAMESPACE</code></li> <li><code>AZ_SERVICE_BUS_QUEUE</code></li> </ul> </li> </ul> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F4s1f9hbjof0riz2whd52.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F4s1f9hbjof0riz2whd52.png" alt="action-menu" width="800" height="518"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fy7y6isydhatlaw3770i6.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fy7y6isydhatlaw3770i6.png" alt="action-secret" width="800" height="533"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fod4xo8h2xaku1lvhugn5.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fod4xo8h2xaku1lvhugn5.png" alt="action-variable" width="786" height="474"></a></p> <ul> <li>จากนั้นทำการสร้าง file workflow <code>.github/workflows/demo.yaml</code> ใน GitHub Repository </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight yaml"><code><span class="na">name</span><span class="pi">:</span> <span class="s">Scale up selfhosted runner and run</span> <span class="na">on</span><span class="pi">:</span> <span class="na">workflow_dispatch</span><span class="pi">:</span> <span class="na">permissions</span><span class="pi">:</span> <span class="na">id-token</span><span class="pi">:</span> <span class="s">write</span> <span class="na">contents</span><span class="pi">:</span> <span class="s">read</span> <span class="na">env</span><span class="pi">:</span> <span class="na">AZ_SERVICE_BUS_NAMESPACE</span><span class="pi">:</span> <span class="s">${{ vars.AZ_SERVICE_BUS_NAMESPACE }}</span> <span class="na">AZ_SERVICE_BUS_QUEUE</span><span class="pi">:</span> <span class="s">${{ vars.AZ_SERVICE_BUS_QUEUE }}</span> <span class="na">jobs</span><span class="pi">:</span> <span class="na">scale-out-runner</span><span class="pi">:</span> <span class="na">runs-on</span><span class="pi">:</span> <span class="s">ubuntu-latest</span> <span class="na">steps</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s1">'</span><span class="s">Az</span><span class="nv"> </span><span class="s">CLI</span><span class="nv"> </span><span class="s">login'</span> <span class="na">uses</span><span class="pi">:</span> <span class="s">azure/login@v1</span> <span class="na">with</span><span class="pi">:</span> <span class="na">client-id</span><span class="pi">:</span> <span class="s">${{ secrets.AZURE_CLIENT_ID }}</span> <span class="na">tenant-id</span><span class="pi">:</span> <span class="s">${{ secrets.AZURE_TENANT_ID }}</span> <span class="na">subscription-id</span><span class="pi">:</span> <span class="s">${{ secrets.AZURE_SUBSCRIPTION_ID }}</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">scale out self hosted</span> <span class="na">run</span><span class="pi">:</span> <span class="pi">|</span> <span class="s">az rest \</span> <span class="s">--resource "https://servicebus.azure.net" \</span> <span class="s">--method post \</span> <span class="s">--headers BrokerProperties='{"TimeToLive":3600}' \</span> <span class="s">--url "https://${{ env.AZ_SERVICE_BUS_NAMESPACE }}.servicebus.windows.net/${{ env.AZ_SERVICE_BUS_QUEUE }}/messages" \</span> <span class="s">--body "${{ github.run_id }}"</span> <span class="na">deploy</span><span class="pi">:</span> <span class="na">runs-on</span><span class="pi">:</span> <span class="pi">[</span><span class="nv">self-hosted</span><span class="pi">,</span> <span class="nv">poc-gh-aca</span><span class="pi">]</span> <span class="na">needs</span><span class="pi">:</span> <span class="pi">[</span><span class="nv">scale-out-runner</span><span class="pi">]</span> <span class="na">steps</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s1">'</span><span class="s">Az</span><span class="nv"> </span><span class="s">CLI</span><span class="nv"> </span><span class="s">login'</span> <span class="na">uses</span><span class="pi">:</span> <span class="s">azure/login@v1</span> <span class="na">with</span><span class="pi">:</span> <span class="na">client-id</span><span class="pi">:</span> <span class="s">${{ secrets.AZURE_CLIENT_ID }}</span> <span class="na">tenant-id</span><span class="pi">:</span> <span class="s">${{ secrets.AZURE_TENANT_ID }}</span> <span class="na">subscription-id</span><span class="pi">:</span> <span class="s">${{ secrets.AZURE_SUBSCRIPTION_ID }}</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s1">'</span><span class="s">Run</span><span class="nv"> </span><span class="s">az</span><span class="nv"> </span><span class="s">commands'</span> <span class="na">run</span><span class="pi">:</span> <span class="pi">|</span> <span class="s">az account show --output table</span> <span class="na">scale-in-runner</span><span class="pi">:</span> <span class="na">runs-on</span><span class="pi">:</span> <span class="s">ubuntu-latest</span> <span class="na">needs</span><span class="pi">:</span> <span class="pi">[</span><span class="nv">scale-out-runner</span><span class="pi">,</span> <span class="nv">deploy</span><span class="pi">]</span> <span class="na">if</span><span class="pi">:</span> <span class="s">${{ always() &amp;&amp; needs.scale-out-runner.result == 'success' }}</span> <span class="na">steps</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s1">'</span><span class="s">Az</span><span class="nv"> </span><span class="s">CLI</span><span class="nv"> </span><span class="s">login'</span> <span class="na">uses</span><span class="pi">:</span> <span class="s">azure/login@v1</span> <span class="na">with</span><span class="pi">:</span> <span class="na">client-id</span><span class="pi">:</span> <span class="s">${{ secrets.AZURE_CLIENT_ID }}</span> <span class="na">tenant-id</span><span class="pi">:</span> <span class="s">${{ secrets.AZURE_TENANT_ID }}</span> <span class="na">subscription-id</span><span class="pi">:</span> <span class="s">${{ secrets.AZURE_SUBSCRIPTION_ID }}</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">scale in self hosted</span> <span class="na">run</span><span class="pi">:</span> <span class="pi">|</span> <span class="s">az rest \</span> <span class="s">--resource "https://servicebus.azure.net" \</span> <span class="s">--method delete \</span> <span class="s">--url "https://${{ env.AZ_SERVICE_BUS_NAMESPACE }}.servicebus.windows.net/${{ env.AZ_SERVICE_BUS_QUEUE }}/messages/head"</span> </code></pre> </div> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F99uv7qqnmwpfvf7as9so.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F99uv7qqnmwpfvf7as9so.png" alt="github-workflow" width="800" height="150"></a></p> <p>ใน workflow จะมี 3 jobs</p> <ol> <li> <code>scale-out-runner</code>: จะเป็นการ send message เข้าไปที่ Service Bus เพื่อ ให้ container apps scale out GitHub SelfHosted Runners ขึ้นมารับงานไปทำ</li> <li> <code>deploy</code>: จะเป็นส่วนงานหลักที่ pipeline ต้องทำ โดย job นี้จะทำก็ต่อเมื่อ <code>scale-out-runner</code> success</li> <li> <code>scale-in-runner</code>: หลังจากทำงานเสร็จไม่ว่าจะ success หรือไม่ job นี้จะทำการ delete message ออกจาก Service Bus เพื่อให้ container apps ทำการ scale in GitHub SelfHosted Runners ลงไป</li> </ol> <ul> <li>ให้ลองทำการ run workflow หลายๆ ครั้ง พร้อมๆ กัน</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F5ryjfwty1jyooz0r2d4h.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F5ryjfwty1jyooz0r2d4h.png" alt="run-workflow" width="800" height="535"></a></p> <ul> <li> <p>ตรวจสอบดูว่าการ autoscale ทำงานได้ตามที่คาดการณไว้หรือไม่</p> <ul> <li>Azure Service Bus Queue <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F551n6f397wa7fegi1bvk.png" alt="Azure-Service-Bus-Queue" width="800" height="368"> </li> <li>Container App Replicas <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fnio0su9ayt7yjfg9xh6h.png" alt="Container-App-Replicas" width="800" height="506"> </li> <li>Github Organization-Level Self-hosted Runners <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Frgr3j7sin9hrtezcfxin.png" alt="Github-Organization-Level-Self-hosted-Runners" width="800" height="515"> </li> </ul> </li> <li> <p>หลังจาก workflow run เรียบร้อยหมดแล้ว ลองตรวจสอบ อีกครั้ง ทุกอย่างต้องเป็น 0</p> <ul> <li>Azure Service Bus Queue <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fgmu66kv9a66inhhg0llu.png" alt="Azure-Service-Bus-Queue" width="800" height="286"> </li> <li>Container App Replicas <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fmjpd6mf2yoey8zalax8b.png" alt="Container-App-Replicas" width="800" height="509"> </li> <li>Github Organization-Level Self-hosted Runners <img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F6gq1yk4jihv5p86oyx5d.png" alt="Github-Organization-Level-Self-hosted-Runners" width="800" height="474"> </li> </ul> </li> </ul> <h2> References </h2> <ul> <li><a href="https://keda.sh/docs/2.9/scalers/azure-service-bus/" rel="noopener noreferrer">KEDA | Azure Service Bus</a></li> <li><a href="https://learn.microsoft.com/en-us/azure/container-apps/scale-app?pivots=azure-cli#example-2" rel="noopener noreferrer">Scaling in Azure Container Apps</a></li> <li><a href="https://dev.to/pwd9000/run-docker-based-github-runner-containers-on-azure-container-apps-aca-1n13">Autoscaling self hosted GitHub runner containers with Azure Container Apps (ACA)</a></li> <li><a href="https://learn.microsoft.com/en-us/azure/container-apps/vnet-custom-internal?tabs=bash&amp;pivots=azure-cli" rel="noopener noreferrer">Provide a virtual network to an internal Azure Container Apps environment</a></li> <li><a href="https://learn.microsoft.com/en-us/rest/api/servicebus/send-message-to-queue" rel="noopener noreferrer">Send Message to Queue</a></li> <li><a href="https://learn.microsoft.com/en-us/rest/api/servicebus/receive-and-delete-message-destructive-read" rel="noopener noreferrer">Receive and Delete Message (Destructive Read)</a></li> <li><a href="https://mauridb.medium.com/calling-azure-rest-api-via-curl-eb10a06127" rel="noopener noreferrer">Calling Azure REST API via curl</a></li> </ul> welcome discuss Let Github Action Access Azure Resources without password 8P Inc. Tue, 03 Jan 2023 11:11:13 +0000 https://dev.to/peepeepopapapeepeepo/let-github-action-access-azure-resources-without-password-f0i https://dev.to/peepeepopapapeepeepo/let-github-action-access-azure-resources-without-password-f0i <p>พอกันที่กับการ rotate secret ของ Service Principal ที่ใช้กับ Github Action ทุก 3 เดือน 6 เดือน <br> พอกันทีกับโอกาสที่ secret ของ Service Principal จะ leak</p> <p>วันนี้มีสิ่งที่เรียกว่า <strong>"Workload Identity Federation"</strong> นำเสนอครับ</p> <h2> Workload Identity Federation </h2> <p>คือการที่เราทำการสร้าง trusted relationship กันระหว่าง Microsoft Identity Platform กับ External Identity Provider (IdP) เช่น GitHub พอ trust กันแล้ว เราจะสามารถใช้ token ของ External IdP ไปแลกเป็น access token ของ Azure เพื่อ access resources ใน Azure ที่ถูก protect ด้วย Azure AD ได้</p> <h3> External Identity Provider (IdP) ที่ support ตอนนี้ เช่น </h3> <ul> <li>GitHub Actions</li> <li>Google Cloud</li> <li>Workload ใน Kubernetes</li> <li>External Provider อื่นๆ ที่ support OpenID Connect (OIDC)</li> </ul> <h3> มาดู flow ดีกว่าว่ามันทำงานยังไง </h3> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fj2ds8v59cf3092avq6jy.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fj2ds8v59cf3092avq6jy.png" alt="Workload Identity Federation" width="800" height="287"></a></p> <ol> <li>External Workload เช่น github action ทำการขอ token จาก IdP ของตัวเอง</li> <li>External IdP ทำการ generate แล้วให้ token กับ External Workload</li> <li>External Workload ใช้ token ที่ได้มาเพื่อขอ access token จาก Microsoft identity platform</li> <li>Microsoft identity platform ทำการตรวจสอบว่ามี trust relationship สร้างไว้อยู่หรือไม่ และ เอา token ที่ได้ไป validate กับ External IdP</li> <li>ถ้าทุกอย่างเรียบร้อย Microsoft identity platform จะสร้าง access token แล้วส่งให้กับ External Workload</li> <li>จากนั้น External Workload จะใช้ access token ที่ได้มาเช้าถึง resources ใน Azure โดย access token จะมี permission เท่ากับ service principal ที่ สร้าง trust relationship ไว้</li> </ol> <h2> มาลองลงมือทำดีกว่า </h2> <p>สิ่งที่เราจะทำคือสร้าง </p> <ul> <li>1 Github Repos ที่มี 2 Actions และ 2 environments ( develop / production )</li> <li>2 services principals ( develop / production )</li> <li>trust relationship ระหว่าง Service Principals และ Environment ของ Github</li> <li>2 resource groups และให้ services principals เป็น Contributors ใน resource groups ( develop / production ) </li> <li>สร้าง Github Action Workflow เพื่อทดสอบ storage account ใน resource group ตาม environemnt</li> </ul> <h3> สร้าง Github Repos และ environment </h3> <ul> <li>สร้าง Github Action Repo</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F6xlvr3nb4xraxkedec9t.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F6xlvr3nb4xraxkedec9t.png" alt="Create Github Action Repo" width="800" height="254"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fhnfjg2489lrfd00okz1i.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fhnfjg2489lrfd00okz1i.png" alt="Create Github Action Repo" width="747" height="730"></a></p> <ul> <li>Create Environment ( ชื่อ environemnt จะถูกใช้ในการ สร้าง trust relationship ใน Azure Portal ) <ul> <li>develop</li> <li>production</li> </ul> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fbc1vasemx7g52lj49zi0.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fbc1vasemx7g52lj49zi0.png" alt="Create Environment" width="800" height="352"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fw07ustvmfmbummfkdw29.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fw07ustvmfmbummfkdw29.png" alt="Environment" width="800" height="297"></a></p> <h3> สร้าง service principal </h3> <ul> <li>ใน <code>Azure Portal</code> &gt; <code>Azure Active Directory</code> &gt; <code>App registrations</code> &gt; <code>+ New Registration</code> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F1tlsmc6fq7hvkre9j281.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F1tlsmc6fq7hvkre9j281.png" alt="App registrations" width="800" height="454"></a></p> <ul> <li>ใส่ชื่อของ service principal เลือก single tenant แล้วกด <code>Register</code> <ul> <li> <code>sp-demogithub-az-asse-dev-001</code> สำหรับ develop</li> <li> <code>sp-demogithub-az-asse-prd-001</code> สำหรับ production</li> </ul> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fml2y5e0kdo5nfweb302x.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fml2y5e0kdo5nfweb302x.png" alt="New Registration Dev" width="800" height="464"></a></p> <h3> สร้าง Trust Relationship ( Federated credentials ) </h3> <ul> <li>Click ที่ Service Principal ที่เราสร้างขึ้น &gt; <code>Certificates &amp; secrets</code> &gt; <code>Federated credentials</code> &gt; <code>+ Add credential</code> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fgkvgapz72z0987ninc1o.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fgkvgapz72z0987ninc1o.png" alt="Federated credentials" width="800" height="450"></a></p> <ul> <li>ใส่ข้อมูลของ Github Repo ที่ต้องการสร้าง Trust Relationship ด้วย <ul> <li> <code>Organization</code>: ใส่ชื่อ organization ของ ตัวเอง</li> <li> <code>Repository</code>: ชื่อ repo ของ github ที่เราสร้างไว้ก่อนหน้า</li> <li> <code>Entity type</code>: เลือก <code>Environment</code> ค่าอื่นดูต่อที่ <a href="https://learn.microsoft.com/en-us/azure/active-directory/develop/workload-identity-federation-create-trust?pivots=identity-wif-apps-methods-azp#entity-type-examples" rel="noopener noreferrer">Entity type examples</a> </li> <li> <code>Name</code>: ตั้งชื่อขอ Federated credentials นี้ ( FQDN friendly )</li> </ul> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fufo5wt1fvevvq52fp53d.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fufo5wt1fvevvq52fp53d.png" alt="Trust Relationship" width="800" height="762"></a></p> <ul> <li>กดที่ overview ของ Service Pricipal แล้วเก็บค่าเหล่านี้ไว้ใช้ add ใน github environment <ul> <li> <code>AZURE_CLIENT_ID</code>: Application (client) ID</li> <li> <code>AZURE_TENANT_ID</code>: Directory (tenant) ID</li> <li> <code>AZURE_SUBSCRIPTION_ID</code>: subscription ID ที่จำให้ Github Action Provision storage account</li> </ul> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ft9j776xisq0y84amjbma.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ft9j776xisq0y84amjbma.png" alt="Develop Environment" width="800" height="411"></a></p> <ul> <li>ทำแบบเดียวกันกับ Service Principal ของ Production Environment</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fd45vlevx3h33m7fauyto.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fd45vlevx3h33m7fauyto.png" alt="Production Environment" width="800" height="757"></a></p> <h3> สร้าง resource group แล้ว assign Contributor role ให้กับ Service Principal </h3> <ul> <li>สร้าง resource groups <ul> <li> <code>rg-demogithubfed-az-asse-dev-001</code> สำหรับ develop</li> <li> <code>rg-demogithubfed-az-asse-prd-001</code> สำหรับ production</li> </ul> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fovlelm71acyh66eun6qq.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fovlelm71acyh66eun6qq.png" alt="resource groups" width="800" height="102"></a></p> <ul> <li>Create Role Assignment ให้ <ul> <li> <code>sp-demogithub-az-asse-dev-001</code> เป็น Contributor ใน <code>rg-demogithubfed-az-asse-dev-001</code> </li> </ul> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fnt2qn1iwyjr2zizhcjbz.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fnt2qn1iwyjr2zizhcjbz.png" alt="sp-demogithub-az-asse-dev-001" width="800" height="498"></a></p> <ul> <li> <code>sp-demogithub-az-asse-prd-001</code> เป็น Contributor ใน <code>rg-demogithubfed-az-asse-prd-001</code> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fj5db1ugdzyopvu50qhfh.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fj5db1ugdzyopvu50qhfh.png" alt="sp-demogithub-az-asse-prd-001" width="800" height="488"></a></p> <h2> สร้าง Github workflow เพื่อทดสอบสร้าง storage account </h2> <ul> <li>สร้าง Enviroment secret ใน Github <ul> <li> <code>AZURE_CLIENT_ID</code>: Application (client) ID</li> <li> <code>AZURE_TENANT_ID</code>: Directory (tenant) ID</li> <li> <code>AZURE_SUBSCRIPTION_ID</code>: subscription ID ที่จำให้ Github Action Provision storage account</li> </ul> </li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F81v0lofj52h6eqp6gi6b.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F81v0lofj52h6eqp6gi6b.png" alt="Enviroment secret 1" width="800" height="351"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Frxl6a2ln1emvrgpys8vx.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Frxl6a2ln1emvrgpys8vx.png" alt="Enviroment secret 2" width="800" height="624"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ft2d9uufc9249gm36q3a9.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ft2d9uufc9249gm36q3a9.png" alt="Enviroment secret 3" width="800" height="715"></a></p> <blockquote> <p>ทำแบบเดียวกัน กับ production enviroment</p> </blockquote> <ul> <li>สร้าง Github Workflow สำหรับ create github action</li> </ul> <blockquote> <p>Action ที่ใช้ login คือ <a href="https://github.com/marketplace/actions/azure-login" rel="noopener noreferrer">Azure Login</a> โดยเราจะทำตามตัวอย่างนี้ <a href="https://github.com/marketplace/actions/azure-login#sample-workflow-that-uses-azure-login-action-using-oidc-to-run-az-cli-linux" rel="noopener noreferrer">Sample workflow that uses Azure login action using OIDC to run az cli (Linux)</a></p> </blockquote> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F7o23ep3yb1618va93g02.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F7o23ep3yb1618va93g02.png" alt="github create file" width="800" height="431"></a></p> <ul> <li>สร้าง file สำหรับ develop =&gt; <code>.github/workflows/dev-demo.yml</code> </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>name: DEV - Demo Azure Login with OIDC on: workflow_dispatch: permissions: id-token: write contents: <span class="nb">read jobs</span>: build-and-deploy: runs-on: ubuntu-latest environment: develop steps: - name: <span class="s1">'Az CLI login'</span> uses: azure/login@v1 with: client-id: <span class="k">${</span><span class="p">{ secrets.AZURE_CLIENT_ID </span><span class="k">}</span><span class="o">}</span> tenant-id: <span class="k">${</span><span class="p">{ secrets.AZURE_TENANT_ID </span><span class="k">}</span><span class="o">}</span> subscription-id: <span class="k">${</span><span class="p">{ secrets.AZURE_SUBSCRIPTION_ID </span><span class="k">}</span><span class="o">}</span> - name: <span class="s1">'Run az commands'</span> run: | az account show <span class="nt">--output</span> table az storage account create <span class="se">\</span> <span class="nt">--subscription</span> <span class="k">${</span><span class="p">{ secrets.AZURE_SUBSCRIPTION_ID </span><span class="k">}</span><span class="o">}</span> <span class="se">\</span> <span class="nt">--location</span> southeastasia <span class="se">\</span> <span class="nt">--resource-group</span> rg-githubfed-az-asse-dev-001 <span class="se">\</span> <span class="nt">--name</span> stdemofeddev001 <span class="se">\</span> <span class="nt">--sku</span> Standard_LRS <span class="se">\</span> <span class="nt">--default-action</span> Deny <span class="se">\</span> <span class="nt">--min-tls-version</span> TLS1_2 <span class="se">\</span> <span class="nt">--output</span> table </code></pre> </div> <ul> <li>สร้าง file สำหรับ production =&gt; <code>.github/workflows/prd-demo.yml</code> </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>name: PRD - Demo Azure Login with OIDC on: workflow_dispatch: permissions: id-token: write contents: <span class="nb">read jobs</span>: build-and-deploy: runs-on: ubuntu-latest environment: production steps: - name: <span class="s1">'Az CLI login'</span> uses: azure/login@v1 with: client-id: <span class="k">${</span><span class="p">{ secrets.AZURE_CLIENT_ID </span><span class="k">}</span><span class="o">}</span> tenant-id: <span class="k">${</span><span class="p">{ secrets.AZURE_TENANT_ID </span><span class="k">}</span><span class="o">}</span> subscription-id: <span class="k">${</span><span class="p">{ secrets.AZURE_SUBSCRIPTION_ID </span><span class="k">}</span><span class="o">}</span> - name: <span class="s1">'Run az commands'</span> run: | az account show <span class="nt">--output</span> table az storage account create <span class="se">\</span> <span class="nt">--subscription</span> <span class="k">${</span><span class="p">{ secrets.AZURE_SUBSCRIPTION_ID </span><span class="k">}</span><span class="o">}</span> <span class="se">\</span> <span class="nt">--location</span> southeastasia <span class="se">\</span> <span class="nt">--resource-group</span> rg-githubfed-az-asse-prd-001 <span class="se">\</span> <span class="nt">--name</span> stdemofedprd001 <span class="se">\</span> <span class="nt">--sku</span> Standard_LRS <span class="se">\</span> <span class="nt">--default-action</span> Deny <span class="se">\</span> <span class="nt">--min-tls-version</span> TLS1_2 <span class="se">\</span> <span class="nt">--output</span> table </code></pre> </div> <ul> <li>ทดสอบ run Github Action</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F79ppzoi4iqf4nss07y9k.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F79ppzoi4iqf4nss07y9k.png" alt="Github action run" width="800" height="487"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F2tfc3uwb2xpfhjzgitqi.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F2tfc3uwb2xpfhjzgitqi.png" alt="Github action result" width="800" height="465"></a></p> <ul> <li>ตรวจสอบ storage account ที่ Azure Portal</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ff1s1oon7nzyuqjfcxyzt.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ff1s1oon7nzyuqjfcxyzt.png" alt="storage account" width="751" height="116"></a></p> <h2> References </h2> <ul> <li><a href="https://learn.microsoft.com/en-us/azure/active-directory/develop/workload-identity-federation" rel="noopener noreferrer">Workload identity federation</a></li> <li><a href="https://learn.microsoft.com/en-us/azure/developer/github/connect-from-azure?tabs=azure-portal%2Cwindows#use-the-azure-login-action-with-openid-connect" rel="noopener noreferrer">Use the Azure login action with OpenID Connect</a></li> <li><a href="https://learn.microsoft.com/en-us/azure/active-directory/develop/workload-identity-federation-create-trust?pivots=identity-wif-apps-methods-azp" rel="noopener noreferrer">Configure an app to trust an external identity provider</a></li> <li><a href="https://github.com/marketplace/actions/azure-login" rel="noopener noreferrer">Github Action | Azure Login</a></li> </ul> gratitude community Hybrid DNS Solution with Azure 8P Inc. Fri, 04 Nov 2022 01:07:56 +0000 https://dev.to/peepeepopapapeepeepo/hybrid-dns-solution-with-azure-phi https://dev.to/peepeepopapapeepeepo/hybrid-dns-solution-with-azure-phi <p>หลังจากที่ <a href="https://azure.microsoft.com/en-us/updates/general-availability-azure-dns-private-resolver-hybrid-name-resolution-and-conditional-forwarding/" rel="noopener noreferrer">Azure ประกาศ GA Azure DNS Private Resolver</a> ก็ได้ฤกษ์ ลองเล่นซะที หลังจากเก็บไว้ในกองดองอยู่นาน มาเข้าเรื่องกันเลยครับ</p> <h3> Azure DNS Private Resolver คืออะไร </h3> <p>สั้นๆ มันคือ resource ที่ทำหน้าที่เป็น DNS server นั้นเอง ในโลก internet DNS เป็นส่วนที่สำคัญมากๆ มันทำให้เราพิมพ์ google.co.th แล้วสามารถ connect ไปที่ google ได้เลยแทนที่จะต้องพิมพ์ <code>142.251.12.94</code> ซึ่งเป็น IP address ของ goole ที่ผม resolve ได้ในตอนที่เขียน blog นี้</p> <p>โดย resource ตัวนี้จะทำงานใน private network ของเราบน Azure คอย resolve private domain name ของเราให้เป็น private IP address</p> <h3> แล้วก่อนหน้านี้ resolve domain name กันอย่างไรล่ะ </h3> <p>ใน Azure จริงๆ แล้ว มัมมี built-in DNS อยู่แล้ว เรียกว่า Azure-provided DNS มันจะเป็น configuration เนียนๆ อยู่ใน virtual network ของเรา ตรงนี้</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fmkm2uewlxzwmjki45inj.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fmkm2uewlxzwmjki45inj.png" alt=" " width="522" height="534"></a></p> <p>โดย มันจะปรากฏในรูปแบบของ IP <code>168.63.129.16</code> ใน ใน VM ของเรา ที่ deploy ใน virtual network ที่ configure DNS server ไว้ตามข้างต้น โดย <code>168.63.129.16</code> สามารถ connect จาก Azure resources เท่านั้น<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>$ systemd-resolve --status | grep 'DNS Servers' DNS Servers: 168.63.129.16 </code></pre> </div> <blockquote> <p>รายละเอียดเพิ่มเติม ของ <code>168.63.129.16</code> สามารถอ่านเพิ่มได้จาก <a href="https://learn.microsoft.com/en-us/azure/virtual-network/what-is-ip-address-168-63-129-16" rel="noopener noreferrer">What is IP address 168.63.129.16?</a></p> </blockquote> <p>ทีนี้หากเราต้องการ เพิ่ม private domain name ก็แค่สร้าง private dns zone แล้ว link มันกับ virtual network ของเรา เท่านี้ Azure DNS ก็จะสามารถ resolve private domain name ของเราได้แล้ว</p> <p>พอเราใช้ไปซักพักความต้องการเริ่มมากขึ้น เริ่มมี requirement ให้เราไปต่อกับ on-premise network ในส่วนของ connetivity นั้นก็ใช้ VPN หรือ Express Route ได้ตามปกติ แต่ในเรื่อง domain name resolution ล่ะ จะทำอย่างไรดี เพราะ on-prem ไม่สามารถ connect มาที่ <code>168.63.129.16</code> ที่อยู่บน Azure ของเราได้</p> <p>ก่อนการมาของ <strong>Azure DNS Private Resolver</strong> เราใช้วิธีการสร้าง VM-Based DNS server ขึ้นมา พูดง่ายๆ สร้าง VM แล้วเอา DNS software เช่น Bind9 มา install เอง ถ้าอยากได้ SLA ที่เพิ่มขึ้นก็เอา VM มาใส่ VM Scale Set แล้ว ขั้นหน้าด้วย Load Balancer</p> <p>นั่นหมายความว่าเราต้อง manage ทุกอย่างเอง ไม่ว่าจะเป็นการ hardening, OS update, Software upgrade, Backup และอื่นๆ อีกมากมาย </p> <p>แล้วให้ on-premise DNS server ทำ Conditional Forward มาที่ VM-Based DNS server ของเรา </p> <p>ในทางกลับกัน เราต้องต้อง configure Conditional Forward ลงไปที่ on-prem ด้วย เพื่อให้ server บน Azure สามารถ resolve domain name ของ on-premise ได้</p> <blockquote> <p><strong>Conditional Forward</strong> คือการ configure ใน DNS server ทำการ forward request ต่อยัง อีก DNS server หนึ่ง เช่น เรามี zone <code>*.example.com</code> อยู่ที่ server-A เราสามารถ configure ให้ DNS ของเราไปถามต่อที่ server-A ได้ หากมี client ถามว่า <code>demo.example.com</code> เป็น IP อะไร โดยที่ client ไม่ต้องรู้จัก server-A เลย</p> </blockquote> <h3> Azure DNS Private Resolver ทำงานอย่างไร </h3> <p>การที่จะทำ Hybrid DNS Solution บน Azure จะมี 2 resources ที่ทำงานร่วมกัน</p> <ol> <li>DNS Private Resolver</li> <li>DNS Forwarding Ruleset</li> </ol> <h4> DNS Private Resolver </h4> <p>ทำหน้าที่เป็น endpoint ในการทำ name resolution โดยประกอบด้วย 2 endpoints ที่ deploy อยู่คนละ dedicated subnet คือ</p> <ul> <li> <strong>Inbound endpoints</strong>: เป็น ingress subnet โดย 1 endpoint จะมี 1 IP address ของ Load Balancer สำหรับ รับ domain name resolution request จาก on-premise หรือ resource ใน virtual network อื่น</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Far0cjtwq2mgvg5zndjng.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Far0cjtwq2mgvg5zndjng.png" alt="Inbound endpoints" width="800" height="207"></a></p> <ul> <li> <strong>Outbound endpoints</strong>: เป็น egress subnet ที่ใช้ออกไป query DNS servers อื่นๆ ใน subnet นี้จะไม่มี IP address ปรากฏ นั่นหมายความว่า outgoing IP address มีโอกาสเป็นไปได้ทั้ง subnet (ผมเดาว่าน่าจะใช้ technic เดียวกับ vnet integration ของ app service)</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F8c2f8w5essyc7noyr7u5.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F8c2f8w5essyc7noyr7u5.png" alt="Outbound endpoints" width="800" height="192"></a></p> <h4> DNS Forwarding Ruleset </h4> <p>ทำหน้าที่เป็น conditional forward configuration ใน vnet ของเรา โดย Ruleset ก็ตามชื่อเลยครับ เป็นกลุ่มของ conditional forward rule โดย rule จะมีหน้าตาดังนี้</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F2ick5jz3xflcpfwmd47m.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F2ick5jz3xflcpfwmd47m.png" alt="DNS Forwarding Rule" width="565" height="446"></a></p> <p>และการจะใช้งาน DNS Forwarding Ruleset ได้ ก็ต้องเอามันไป link กับ virtual network ตาม concept เดียวกับ Private DNS Zone</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fhlquy5zo2034p8cghmx3.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fhlquy5zo2034p8cghmx3.png" alt="DNS Forwarding Ruleset Link" width="800" height="243"></a></p> <p>ยังจำได้ไหม ตัว resolver มี outbound endpoint ซึ่ง deploy ใน dedicated subnet ใน virtual network ดังนั้น ตัว outbound endpoint ก็จะทำตาม DNS Forwarding Ruleset ที่เรา link ไว้ด้วย</p> <p>เอ๊ะ! ถ้าเรามีทั้ง Private DNS Zone Link และ DNS Forwarding Ruleset Link ด้วยมันจะทำงานอย่างไร ?</p> <p>มันจะ resolve ตาม order นี้ครับ </p> <ol> <li>Private DNS Zone</li> <li>DNS Forwarding Ruleset</li> <li>Azure-provided DNS Servers</li> </ol> <p><strong>สรุป</strong> ถ้า resolver ได้รับ name resolution request มาจาก client ผ่านทาง inbound endpoint IP address มันจะ forward ออกไปยัง outbound endpoint IP address ซึ่งจะทำการ resolve domain name ตามลำดับข้างต้น แล้ว response สิ่งที่ได้ไปให้กับ client</p> <h3> ถ้าพอนึกภาพออกแล้วเรามาลองลงมือทำกันดีกว่า </h3> <p>Architecure ที่เราจะลองทำหน้าตาประมาณนี้ครับ</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fk7jvarmgfacjh427qzpr.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fk7jvarmgfacjh427qzpr.png" alt="demo-architecture" width="746" height="376"></a></p> <p>เราจะมี 3 virtual network ดังนี้</p> <ol> <li> <strong>On-Prem</strong>: เป็นตัวแทนของ on-premise</li> <li> <strong>Hub</strong>: เป็นตัวแทนของ Hub network บน Azure ที่เป็นศูนย์รวมของ connectivity ต่างๆ </li> <li> <strong>Spoke</strong>: เป็น virtual network ของ application ที่จะมา deploy ใน Azure</li> </ol> <p>โดย </p> <ul> <li>ที่ <strong>On-Prem</strong> จะมี DNS server ที่มี DNS records ของ domain <code>*.onprem.contoso.com</code> และทำ conditional forward domain <code>*.private.contoso.com</code> ไปที่ Resolver ที่ Hub</li> <li>ที่ <strong>Hub</strong> จะมี DNS Private Resolver พระเอกของเรา, Private DNS Zone <code>*.private.contoso.com</code> และ DNS Forwarding Ruleset พระเอกของเราอีกคน เอาไว้ทำ conditional forward <code>*.onprem.contoso.com</code> ลงไปที่ On-Prem โดยใน virtual network นี้จะมี VM 1 server เอาไว้ทดสอบ name resolution</li> <li>ที่ <strong>Spoke</strong> มี VM 1 server เอาไว้ทดสอบ name resolution เช่นกัน</li> </ul> <p>เรามาเริ่มสร้างกันเลย</p> <h5> Create Resource Group </h5> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>az group create \ --name rg-demodns-az-asse-sbx-001 \ --location southeastasia </code></pre> </div> <h5> Create Hub </h5> <ul> <li>Virtual Network </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>az network vnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vnet-demodnshub-az-asse-sbx-001 \ --address-prefixes 10.1.0.0/16 az network vnet subnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name snet-default-az-asse-sbx-001 \ --vnet-name vnet-demodnshub-az-asse-sbx-001 \ --address-prefixes 10.1.1.0/24 az network vnet subnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name snet-inbound-az-asse-sbx-001 \ --vnet-name vnet-demodnshub-az-asse-sbx-001 \ --address-prefixes 10.1.2.0/28 az network vnet subnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name snet-outbound-az-asse-sbx-001 \ --vnet-name vnet-demodnshub-az-asse-sbx-001 \ --address-prefixes 10.1.2.16/28 </code></pre> </div> <ul> <li>Virtual Machine </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>SUBNET_ID=$( az network vnet subnet show \ --resource-group rg-demodns-az-asse-sbx-001 \ --vnet-name vnet-demodnshub-az-asse-sbx-001 \ --name snet-default-az-asse-sbx-001 \ --query "id" \ --output tsv ) az vm create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vm-hub-az-asse-sbx-001 \ --computer-name vm-hub-az-asse-sbx-001 \ --image UbuntuLTS \ --size Standard_D2s_v4 \ --accelerated-networking true \ --subnet ${SUBNET_ID} \ --nsg-rule SSH \ --admin-username azureuser \ --ssh-key-values /home/sawitmee/.ssh/id_rsa.pub </code></pre> </div> <ul> <li>Private DNS Zone </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>az network private-dns zone create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name private.contoso.com az network private-dns record-set a add-record \ --resource-group rg-demodns-az-asse-sbx-001 \ --zone-name private.contoso.com \ --record-set-name test \ --ipv4-address 10.10.10.10 az network private-dns link vnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name link-vnet-demodnshub-az-asse-sbx-001 \ --zone-name private.contoso.com \ --virtual-network vnet-demodnshub-az-asse-sbx-001 \ -e false </code></pre> </div> <ul> <li>Private Resolver </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>VNET_ID=$( az network vnet show \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vnet-demodnshub-az-asse-sbx-001 \ --query "id" \ --output tsv ) az dns-resolver create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name adpr-hub-az-asse-sbx-001 \ --id ${VNET_ID} SUBNET_ID=$( az network vnet subnet show \ --resource-group rg-demodns-az-asse-sbx-001 \ --vnet-name vnet-demodnshub-az-asse-sbx-001 \ --name snet-inbound-az-asse-sbx-001 \ --query "id" \ --output tsv ) az dns-resolver inbound-endpoint create \ --resource-group rg-demodns-az-asse-sbx-001 \ --dns-resolver-name adpr-hub-az-asse-sbx-001 \ --name snet-inbound-az-asse-sbx-001 \ --ip-configurations "[{private-ip-address:'',private-ip-allocation-method:'Dynamic',id:'$SUBNET_ID'}]" SUBNET_ID=$( az network vnet subnet show \ --resource-group rg-demodns-az-asse-sbx-001 \ --vnet-name vnet-demodnshub-az-asse-sbx-001 \ --name snet-outbound-az-asse-sbx-001 \ --query "id" \ --output tsv ) az dns-resolver outbound-endpoint create \ --resource-group rg-demodns-az-asse-sbx-001 \ --dns-resolver-name adpr-hub-az-asse-sbx-001 \ --name snet-outbound-az-asse-sbx-001 \ --id "${SUBNET_ID}" </code></pre> </div> <h5> Create Spoke ( + Peering ) </h5> <ul> <li>Virtual Network </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>az network vnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vnet-demodnsspoke-az-asse-sbx-001 \ --address-prefixes 10.2.0.0/16 \ --dns-servers 10.1.2.4 az network vnet subnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name snet-default-az-asse-sbx-001 \ --vnet-name vnet-demodnsspoke-az-asse-sbx-001 \ --address-prefixes 10.2.1.0/24 az network vnet subnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name snet-inbound-az-asse-sbx-001 \ --vnet-name vnet-demodnsspoke-az-asse-sbx-001 \ --address-prefixes 10.2.2.0/28 az network vnet subnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name snet-outbound-az-asse-sbx-001 \ --vnet-name vnet-demodnsspoke-az-asse-sbx-001 \ --address-prefixes 10.2.2.16/28 </code></pre> </div> <ul> <li>Peering </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>az network vnet peering create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vpeer-vnet-demodnsspoke-az-asse-sbx-001-vnet-demodnshub-az-asse-sbx-001 \ --vnet-name vnet-demodnsspoke-az-asse-sbx-001 \ --remote-vnet vnet-demodnshub-az-asse-sbx-001 \ --allow-vnet-access az network vnet peering create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vpeer-vnet-demodnshub-az-asse-sbx-001-vnet-demodnsspoke-az-asse-sbx-001 \ --vnet-name vnet-demodnshub-az-asse-sbx-001 \ --remote-vnet vnet-demodnsspoke-az-asse-sbx-001 \ --allow-vnet-access </code></pre> </div> <ul> <li>Virtual Machine </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>SUBNET_ID=$( az network vnet subnet show \ --resource-group rg-demodns-az-asse-sbx-001 \ --vnet-name vnet-demodnsspoke-az-asse-sbx-001 \ --name snet-default-az-asse-sbx-001 \ --query "id" \ --output tsv ) az vm create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vm-spoke-az-asse-sbx-001 \ --computer-name vm-spoke-az-asse-sbx-001 \ --image UbuntuLTS \ --size Standard_D2s_v4 \ --accelerated-networking true \ --subnet ${SUBNET_ID} \ --nsg-rule SSH \ --admin-username azureuser \ --ssh-key-values /home/sawitmee/.ssh/id_rsa.pub </code></pre> </div> <ul> <li>Test </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>nslookup test.private.contoso.com </code></pre> </div> <h5> Create On-Premise ( +Peering ) </h5> <ul> <li>Virtual Network </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>az network vnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vnet-demodnsonprem-az-asse-sbx-001 \ --address-prefixes 10.3.0.0/16 az network vnet subnet create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name snet-default-az-asse-sbx-001 \ --vnet-name vnet-demodnsonprem-az-asse-sbx-001 \ --address-prefixes 10.3.1.0/24 </code></pre> </div> <ul> <li>Peering </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>az network vnet peering create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vpeer-vnet-demodnsonprem-az-asse-sbx-001-vnet-demodnshub-az-asse-sbx-001 \ --vnet-name vnet-demodnsonprem-az-asse-sbx-001 \ --remote-vnet vnet-demodnshub-az-asse-sbx-001 \ --allow-vnet-access az network vnet peering create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vpeer-vnet-demodnshub-az-asse-sbx-001-vnet-demodnsonprem-az-asse-sbx-001 \ --vnet-name vnet-demodnshub-az-asse-sbx-001 \ --remote-vnet vnet-demodnsonprem-az-asse-sbx-001 \ --allow-vnet-access </code></pre> </div> <ul> <li>DNS Server ( Windows ) </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>SUBNET_ID=$( az network vnet subnet show \ --resource-group rg-demodns-az-asse-sbx-001 \ --vnet-name vnet-demodnsonprem-az-asse-sbx-001 \ --name snet-default-az-asse-sbx-001 \ --query "id" \ --output tsv ) az vm create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vm-dns-az-asse-sbx-001 \ --computer-name vmdns101s01 \ --image Win2019Datacenter \ --size Standard_D4s_v3 \ --accelerated-networking true \ --subnet ${SUBNET_ID} \ --nsg-rule RDP \ --admin-username azureuser \ --admin-password "&lt;YOUR-PASSWORD&gt;" </code></pre> </div> <ul> <li>Setup DNS server</li> </ul> <p>ทำตามนี้นะครับ <a href="https://computingforgeeks.com/install-and-configure-dns-server-in-windows-server/" rel="noopener noreferrer">Install and Configure DNS Server on Windows Server 2019</a></p> <ul> <li>Create Zone And Conditional Forward</li> </ul> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F4pyvo7m31non5ypuc2tf.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F4pyvo7m31non5ypuc2tf.png" alt="1 Open DNS Manager" width="800" height="289"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fxqatdad2rwyjjgf6kqjr.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fxqatdad2rwyjjgf6kqjr.png" alt="2 Create New Zone" width="748" height="292"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fw8kyr9an38rgl7excbv0.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fw8kyr9an38rgl7excbv0.png" alt="3 Create New Zone" width="574" height="524"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ffkkg97juhtmap62defyz.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ffkkg97juhtmap62defyz.png" alt="4 Create New Zone" width="580" height="524"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fp1k4wtjo5a6qyyagcc4e.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fp1k4wtjo5a6qyyagcc4e.png" alt="5 Create New Zone" width="612" height="521"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fjbttu08dnl80hhvphs0f.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fjbttu08dnl80hhvphs0f.png" alt="6 Create New Zone" width="589" height="521"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Faahirzswey2caht8aeak.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Faahirzswey2caht8aeak.png" alt="7 Create New Zone" width="595" height="520"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fg9vsbt44q2wgoq743t2x.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fg9vsbt44q2wgoq743t2x.png" alt="8 Create New Zone" width="435" height="519"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F7wjlpyer8kd2zh1z7zyz.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F7wjlpyer8kd2zh1z7zyz.png" alt="9 Create New Zone" width="559" height="515"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fxv4ctrope8c95bop5kq4.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fxv4ctrope8c95bop5kq4.png" alt="10 Set conditional forward to cloud" width="392" height="368"></a></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fpq9cnful64eccysj3tp4.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fpq9cnful64eccysj3tp4.png" alt="11 Set conditional forward to cloud" width="645" height="491"></a></p> <ul> <li>Test </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>nslookup test.onprem.contoso.com 127.0.0.1 nslookup test.private.contoso.com 127.0.0.1 </code></pre> </div> <h4> Create DNS Forwarding Ruleset </h4> <ul> <li>Create Rulesets </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code> OUTBOUND_ID=$( az dns-resolver outbound-endpoint show \ --resource-group rg-demodns-az-asse-sbx-001 \ --dns-resolver-name adpr-hub-az-asse-sbx-001 \ --name snet-outbound-az-asse-sbx-001 \ --query id \ --output tsv ) az dns-resolver forwarding-ruleset create \ --resource-group rg-demodns-az-asse-sbx-001 \ --dns-forwarding-ruleset-name dfrs-onpremcontosocom-az-asse-sbx-001 \ --outbound-endpoints "[{id:'${OUTBOUND_ID}'}]" VM_ID=$( az vm show \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vm-dns-az-asse-sbx-001 \ --query id \ --output tsv ) VM_IPADDR=$( az vm list-ip-addresses \ --ids ${VM_ID} \ --query '[].virtualMachine.network.privateIpAddresses' \ --output tsv ) az dns-resolver forwarding-rule create \ --resource-group rg-demodns-az-asse-sbx-001 \ --ruleset-name dfrs-onpremcontosocom-az-asse-sbx-001 \ --forwarding-rule-name onprem-contoso-com \ --domain-name onprem.contoso.com. \ --target-dns-servers "[{ip-address:'${VM_IPADDR}',port:53}]" </code></pre> </div> <ul> <li>Link DNS forwarding ruleset to VNET </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>VNET_ID=$( az network vnet show \ --resource-group rg-demodns-az-asse-sbx-001 \ --name vnet-demodnshub-az-asse-sbx-001 \ --query "id" \ --output tsv ) az dns-resolver vnet-link create \ --resource-group rg-demodns-az-asse-sbx-001 \ --name link-vnet-demodnshub-az-asse-sbx-001 \ --ruleset-name dfrs-onpremcontosocom-az-asse-sbx-001 \ --id ${VNET_ID} </code></pre> </div> <ul> <li>Test from VM in Hub </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>nslookup test.private.contoso.com nslookup test.onprem.contoso.com </code></pre> </div> <ul> <li>Test from VM in Spoke </li> </ul> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>nslookup test.private.contoso.com nslookup test.onprem.contoso.com </code></pre> </div> <blockquote> <p><strong>เพิ่มเติม</strong> <br> ถ้าเรามี firewall ที่ Hub </p> <ul> <li>แนะนำให้ enable DNS Proxy ที่ firewall แล้วชี้ DNS Server ของ firewall มาที่ Inbound Endpoint ของ DNS Private Zone Resolver</li> <li>ส่วนที่ Spoke Virtual Network ให้ set DNS Server เป็น Private IP address ของ Firewall</li> </ul> </blockquote> <h2> References </h2> <ul> <li><a href="https://learn.microsoft.com/en-us/azure/virtual-network/virtual-networks-name-resolution-for-vms-and-role-instances" rel="noopener noreferrer">Name resolution for resources in Azure virtual networks</a></li> <li><a href="https://azure.microsoft.com/en-us/updates/general-availability-azure-dns-private-resolver-hybrid-name-resolution-and-conditional-forwarding/" rel="noopener noreferrer">General availability: Azure DNS Private Resolver – hybrid name resolution and conditional forwarding</a></li> <li><a href="https://learn.microsoft.com/en-us/azure/architecture/hybrid/hybrid-dns-infra" rel="noopener noreferrer">Design a hybrid Domain Name System solution with Azure</a></li> </ul> azure cloud CLI to get your current IP address 8P Inc. Sun, 10 Oct 2021 03:44:02 +0000 https://dev.to/peepeepopapapeepeepo/cli-to-get-my-current-ip-address-256p https://dev.to/peepeepopapapeepeepo/cli-to-get-my-current-ip-address-256p <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>curl ifconfig.co curl ifconfig.co/json curl ifconfig.me curl ifconfig.io curl wtfismyip.com/text curl wtfismyip.com/json curl icanhazip.com curl icanhazip.com curl ipinfo.io curl ipinfo.io/ip curl checkip.amazonaws.com curl api.ipify.org curl ipecho.net/plain curl whatismyip.akamai.com curl ident.me dig +short myip.opendns.com @resolver1.opendns.com </code></pre> </div> <p>REF: <a href="https://www.reddit.com/r/devops/comments/blh7kv/url_to_get_just_an_ip_with_no_garbage/" rel="noopener noreferrer">https://www.reddit.com/r/devops/comments/blh7kv/url_to_get_just_an_ip_with_no_garbage/</a></p> LFS258 [11/15]: Logging and Troubleshooting 8P Inc. Sun, 19 Apr 2020 10:39:15 +0000 https://dev.to/peepeepopapapeepeepo/lfs258-11-15-logging-and-troubleshooting-3ldb https://dev.to/peepeepopapapeepeepo/lfs258-11-15-logging-and-troubleshooting-3ldb <h1> TL;DR </h1> <ul> <li> Basic Troubleshooting Steps: ต้องไล่จากจุดที่เห็นชัดที่สุด ที่เล็กที่สุด แล้วจึงค่อยๆ ขยาย scope ขึ้นไปเรื่อยๆ</li> <li> Ephemeral Containers: เป็นวิธีที่จะช่วยให้เรา debug ปัญหาที่ยากต่อการ reproduce ได้สะดวกยิ่งขึ้น โดยการเพิ่ม container เข้าไปยัง Pod ที่ run อยู่ feature นี้ยังเป็น alpha อยู่ อาจเปลี่ยนแปลงได้ตลอดเวลา และ มัน disable โดย default ถ้าจะใช้ต้องไปเปิด feature gates ที่ api-server ก่อน</li> <li> Cluster Start Sequence: เริ่มจาก systemd ไป start kubelet และ container engine จากนั้น kubelet start static pod ที่เป็น control plane จากนั้น kube-controller-manager ซึ่งเป็น 1 ใน static pods ทำการอ่านค่าจาก etcd แล้ว create resource ต่างๆ ที่เหลือทั้งหมด</li> <li> Monitoring: ตอนนี้ใช้ Metric Server เป็นตัวรวบรวม metric ต่างๆ และ provide standard API ให้คนอื่นเรียกใช้ผ่านมัน</li> <li> Plugins: ถ้า command ของ kubectl ไม่เพียงพอกับความต้องการของเรา เราสามารถเขียนเพิ่มเองได้ในรูปของ plugins</li> <li> Managing Plugins: มี project ชื่อ krew เป็น plugin ของ kubelet ที่ทำหน้าที่เป็น plugin manager คอยจัดการ plugin ต่างๆ ให้ ทั้ง install, upgrade และ uninstall</li> <li> Sniffling Traffic With Wireshark: ใช้ plugin หนึ่งของ krew ชื่อ sniff โดยมันจะไป start docker container ที่มี tcpdump มา dump network ของ container เรา</li> <li> Logging Tools: kuebernetes ใช้ fluentd เป็น unified logging layer เพื่อรวบรวม log แล้ว ship ไป ยัง logging backend ต่างๆ</li> <li>More Resources</li> </ul> <p><a></a></p> <h1> Basic Troubleshooting Steps </h1> <p>ในการ troubleshoot ปัญหาที่เกิดขึ้นใน kubernetes cluster ของเราควรเริ่มต้นจากอะไรที่เห็นชัดเจนและเล็กที่สุดก่อน จากนั้นค่อยๆ ขยายขึ้นมาในระดับ cluster โดย steps ทำงานเป็นได้ดังนี้</p> <ol> <li>Error ที่เกิดขึ้นจาก command line</li> <li>Log และ สถานะของ Pods</li> <li>ใช้ shell เพื่อเข้าไป troubleshoot ใน pods หรือ container</li> <li>ตรวจสอบสถานะ และ resources ของ Node</li> <li>RBAC, SELinux หรือ AppArmor สำหรับ security settings</li> <li>ตรวจสอบ API calls ของ kube-apiserver</li> <li>Enable auditing</li> <li>ตรวจสอบ network ระหว่าง node รวมทั้ง DNS และ firewall</li> <li>ตรวจสอบ master server controller ว่า run ครบหรื่อมี error อะไรเกิดขึ้นหรือไม่</li> </ol> <p><a></a></p> <h1> Ephemeral Containers </h1> <p>ตั้งแต่ v1.16 เป็นต้นมา เราสามารถเพิ่ม container เข้าไปยัง Pod ที่ run อยู่ได้ โดยที่ไม่ต้อง re-create pod ใหม่ ด้วยความสามารถนี้ช่วยให้ investigate ปัญหาที่ยากต่อการ reproduce ได้สะดวกยิ่งขึ้น container ทีเพิ่มเข้าไปใน Pods ที่ run อยู่เรียกว่า "<code>ephemeral containers</code>"</p> <blockquote> <p>feature นี้ยังคงเป็น alpha อยู่ อาจเปลี่ยนแปลงได้ </p> </blockquote> <p>ด้วยความที่มันถูกเพิ่มเข้าไปใน Pod run อยู่แล้ว ทำให้มันไม่มีความสามารถบางเหมือน container ทั่วไป เช่น</p> <ul> <li>ไม่มี ports ดังนั้นจึงระบุ <code>ports</code>, <code>livenessProbe</code> และ <code>readinessProbe</code> ไม่ได้</li> <li>เนื่องจาก Pod resource มีคุณสมบัติ immutable (เปลี่ยนแปลงไม่ได้) ดังนั้น ephemeral containers ใช้ <code>resources</code> ไม่ได้</li> </ul> <p>สามารถดูคุณสมบัติเพิ่มเติมได้จาก <a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.18/#ephemeralcontainer-v1-core" rel="noopener noreferrer">EphemeralContainer reference documentation</a></p> <p>การเพิ่ม ephemeral containers ไม่สามารถทำผ่าน <code>pod.spec</code> โดยใช้ <code>kubectl edit</code> ได้ </p> <blockquote> <p><strong>ephemeral containers</strong> ถูก disable โดย default ดังนั้นต้องทำการ enable ก่อนโดยเพิ่ม <code>--feature-gates=EphemeralContainers=true</code> ใน options ของ api-server ใน <code>/etc/kubernetes/manifests/ kube-apiserver.yaml</code></p> </blockquote> <p>การใช้งาน Ephemeral Container ก่อน v1.18 ต้องสั่งงานผ่าน API ดังนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># สร้าง pod ตัวอย่างที่ไม่มี shell </span> <span class="nv">$ </span>kubectl run ephemeral-demo <span class="nt">--image</span><span class="o">=</span>k8s.gcr.io/pause:3.1 <span class="nt">--restart</span><span class="o">=</span>Never pod/ephemeral-demo created <span class="c"># เพิ่ม ephemeral container เข้าไปใน pod</span> <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> ec.json <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> { "apiVersion": "v1", "kind": "EphemeralContainers", "metadata": { "name": "ephemeral-demo" }, "ephemeralContainers": [{ "command": [ "sh" ], "image": "busybox", "imagePullPolicy": "IfNotPresent", "name": "debugger", "stdin": true, "tty": true, "terminationMessagePolicy": "File" }] } </span><span class="no">EOF </span><span class="nv">$ </span>kubectl replace <span class="nt">--raw</span> /api/v1/namespaces/default/pods/ephemeral-demo/ephemeralcontainers <span class="nt">-f</span> ec.json <span class="nv">$ </span>kubectl describe pod ephemeral-demo <span class="o">(</span>...<span class="o">)</span> Ephemeral Containers: debugger: Image: busybox Port: &lt;none&gt; Host Port: &lt;none&gt; Command: sh Environment: &lt;none&gt; Mounts: &lt;none&gt; <span class="o">(</span>...<span class="o">)</span> <span class="c"># Attach ไปยัง ephemeral container เพื่อทำการ debug</span> <span class="nv">$ </span>kubectl attach <span class="nt">-it</span> example-pod <span class="nt">-c</span> debugger </code></pre> </div> <p>ถ้าใน v1.18 สามารถ run <code>kubectl alpha debug -it ...</code> ได้เลย<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># สร้าง pod ตัวอย่างที่ไม่มี shell </span> <span class="nv">$ </span>kubectl run ephemeral-demo <span class="nt">--image</span><span class="o">=</span>k8s.gcr.io/pause:3.1 <span class="nt">--restart</span><span class="o">=</span>Never pod/ephemeral-demo created <span class="c"># เพิ่ม ephemeral container เข้าไปใน pod เพื่อทำการ debug</span> <span class="nv">$ </span>kubectl alpha debug <span class="nt">-it</span> ephemeral-demo <span class="nt">--image</span><span class="o">=</span>busybox <span class="nt">--target</span><span class="o">=</span>ephemeral-demo </code></pre> </div> <p><a></a></p> <h1> Cluster Start Sequence </h1> <p>ถ้าเรา setup cluster ของเราด้วย <code>kubeadm</code> หรือ tool automation อื่นๆ ที่ใช้ <code>kubeadm</code> ลำดับการ startup ของ cluster เราจะเริ่มต้นดังนี้</p> <ol> <li> <code>systemd</code> ของแต่ละเครื่องใน cluster จะทำการ start <strong>kubelet</strong> ขึ้นมาก่อน ซึ่งเราสามารถตรวจสอบ parameter ต่างๆ ในการ start <code>kubelet</code> ได้จาก configuration file ของมันที่ <code>{/etc,/usr/lib/systemd}/system/kubelet.service.d/10-kubeadm.conf</code> </li> <li> <code>kubelet</code> จะทำการ start <strong>Static Pod</strong> โดยเข้าไปอ่าน file ที่ระบุมาใน parameter <code>--config=</code> ซึ่ง default จะเป็น <code>/var/lib/kubelet/config.yaml</code> จากนั้น หาตัวแปร <code>staticPodPath</code> ซึ่งเป็นตัวที่ระบุ path ที่เก็บ configuration file ของแต่ละ static pod ซึ่ง โดย default จะชี้ไปที่ <code>/etc/kubernetes/manifests/</code> จากนั้นจึงทำการ start static pod ตาม configuration file โดยปกติจะมี 4 control plane pods นี้ <ul> <li><code>etcd</code></li> <li><code>kube-controller-manager</code></li> <li><code>kube-scheduler</code></li> <li><code>kube-apiserver</code></li> </ul> </li> <li> <code>kube-controller-manager</code> ที่ทำหน้าที่เป็น watch loop และ controllers จะอ่าน data จาก <code>etcd</code> เพื่อทำการสร้าง resources ที่เหลือทั้งหมด</li> </ol> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fl8wmakbhaqt25l44pej5.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fl8wmakbhaqt25l44pej5.png" alt="Cluster Start Sequence" width="731" height="646"></a></p> <p><a></a></p> <h1> Monitoring </h1> <p>การ monitoring ทุกคนคงรู้จักกันดีอยู่แล้วว่ามันคือการไปเอาค่า (metric) ต่างๆ จาก infrastructure และ application เพื่อนำมาตรวจวัดและวิเตราะห์ เพื่อต่อยอดในการทำงานอื่นๆ ต่อไป </p> <p>ใน kubernetes เมื่อก่อนจะใช้ <strong>Heapster</strong> ในการรวบรวม metrics ตาม components ต่างๆ ใน cluster แต่ตอนนี้ <strong>Heapster</strong> ได้ deplicated ไปแล้ว และมีสิ่งที่มาแทนเรียกว่า <strong>Metrics Server</strong> โดย <strong>Metric Server</strong> ทำหน้าที่ตัวรวบรวม metrics เช่นเดิม เพิ่มเติมคือมี standard API ซึ่งจะให้ agent ต่างๆ เข้ามาดึงข้อมูลไปทำงานต่อ เช่น การทำ autocalers (เพิ่มจำนวน replica ตาม workload) เป็นต้น</p> <p>ในส่วนของ data store และ visualization ของที่คู่กับ <strong>Heapster</strong> ก็คือ <strong>cAdvisor</strong> เมื่อ <strong>Heapster</strong> ไม่อยู่แล้วจึงมี tool ตัวอื่นขึ้นมมาแทนนั่นคือ <strong>Prometheus</strong> ซึ่งเป็น application ที่อยู่ใน <a href="https://www.cncf.io/" rel="noopener noreferrer">CNCF</a> เช่นเดียวกับ Kubernetes โดย <strong>Prometheus</strong> ทำหน้าที่เป็น plugin ของ kubernetes ที่ใช้ในการดึงค่าของ resources ต่างๆ ใน cluster ผ่าน <strong>Metric Server</strong> นอกจากนั้นมันยังมี library ในภาษาต่างๆ เพื่อ integrate และ ดึง metric ในระดับ application ด้วย</p> <p><a></a></p> <h1> Plugins </h1> <p>ถ้า <code>kubectl</code> ไม่พอความต้องการของเรา เราสามารถเขียน sub-command เพิ่มได้เอง เพียงแค่ตั้งชื่อให้ขึ้นต้นว่า <code>kubectl-</code> เช่น <code>kubectl-sniff</code> แล้ววางไว้ใน directory ไหนก็ได้ที่ระบุไว้ใน environment variable ชื่อ <code>PATH</code> จากนั้นเปลี่ยน mode ให้ execute ได้ เราก้ได้ sub-comand ใหม่ขึ้นมาแล้ว</p> <p>ตัวอย่างการสร้าง plugin ขึ้นมาใช้เอง<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># สร้าง plugin และ register ให้ kubectl เรียกได้</span> <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> kubectl-foo <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> #!/bin/bash # optional argument handling if [[ "</span><span class="se">\$</span><span class="sh">1" == "version" ]] then echo "1.0.0" exit 0 fi # optional argument handling if [[ "</span><span class="se">\$</span><span class="sh">1" == "config" ]] then echo "</span><span class="se">\$</span><span class="sh">KUBECONFIG" exit 0 fi echo "I am a plugin named kubectl-foo" </span><span class="no">EOF </span><span class="nv">$ </span><span class="nb">chmod</span> +x ./kubectl-foo <span class="nv">$ </span><span class="nb">echo</span> <span class="nv">$PATH</span> /usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/admin/.local/bin:/home/admin/bin <span class="nv">$ </span><span class="nb">sudo mv</span> ./kubectl-foo /usr/local/bin <span class="c"># List plugins</span> <span class="nv">$ </span>kubectl plugin list The following compatible plugins are available: /usr/local/bin/kubectl-foo <span class="c"># ทดลองใช้งาน</span> <span class="nv">$ </span>kubectl foo I am a plugin named kubectl-foo <span class="nv">$ </span>kubectl foo version 1.0.0 <span class="c"># จะเห็นว่า kubectl pass environment variables ทุกอย่างมาให้ script เราด้วย</span> <span class="nv">$ </span><span class="nb">export </span><span class="nv">KUBECONFIG</span><span class="o">=</span>~/.kube/config <span class="nv">$ </span>kubectl foo config /home/admin/.kube/config <span class="nv">$ KUBECONFIG</span><span class="o">=</span>/etc/kube/config kubectl foo config /etc/kube/config </code></pre> </div> <p><u><strong>ข้อควรรู้</strong></u></p> <ol> <li> <p>ถ้าเราตั้งชื่อ plugin เป็น <code>kubectl-foo-bar-baz</code> เราจะใช้ได้แบบ <code>kubectl foo bar baz</code><br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-e</span> <span class="s1">'#!/bin/bash\n\necho "My first command-line argument was $1"'</span> <span class="o">&gt;</span> kubectl-foo-bar-baz <span class="nv">$ </span><span class="nb">sudo chmod</span> +x ./kubectl-foo-bar-baz <span class="nv">$ </span><span class="nb">sudo mv</span> ./kubectl-foo-bar-baz /usr/local/bin <span class="nv">$ </span>kubectl plugin list The following compatible plugins are available: /usr/local/bin/kubectl-foo /usr/local/bin/kubectl-foo-bar-baz <span class="nv">$ </span>kubectl foo bar baz arg1 <span class="nt">--meaningless-flag</span><span class="o">=</span><span class="nb">true </span>My first command-line argument was arg1 </code></pre> </li> <li> <p>ในการเรียกใช้ plugin จะใช้ concept best match<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-e</span> <span class="s1">'#!/bin/bash\n\necho "My fizz buzz command-line argument was $1"'</span> <span class="o">&gt;</span> kubectl-fizz-buzz <span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-e</span> <span class="s1">'#!/bin/bash\n\necho "My fizz command-line argument was $1"'</span> <span class="o">&gt;</span> kubectl-fizz <span class="nv">$ </span><span class="nb">sudo chmod</span> +x ./kubectl-fizz-buzz <span class="nv">$ </span><span class="nb">sudo chmod</span> +x ./kubectl-fizz <span class="nv">$ </span><span class="nb">sudo mv</span> ./kubectl-fizz-buzz /usr/local/bin <span class="nv">$ </span><span class="nb">sudo mv</span> ./kubectl-fizz /usr/local/bin <span class="nv">$ </span>kubectl plugin list The following compatible plugins are available: /usr/local/bin/kubectl-fizz /usr/local/bin/kubectl-fizz-buzz <span class="nv">$ </span>kubectl fizz buzz arg1 My fizz buzz command-line argument was arg1 <span class="nv">$ </span>kubectl fizz arg1 My fizz command-line argument was arg1 </code></pre> </li> <li> <p>ถ้าตั้งชื่อมี <code>underscore (_)</code> เวลาเรียกใช้สามารถใช้ได้ทั้ง <code>underscore (_)</code> และ <code>dash(-)</code><br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-e</span> <span class="s1">'#!/bin/bash\n\necho "I am a plugin with a dash in my name"'</span> <span class="o">&gt;</span> ./kubectl-foo_bar <span class="nv">$ </span><span class="nb">sudo chmod</span> +x ./kubectl-foo_bar <span class="nv">$ </span><span class="nb">sudo mv</span> ./kubectl-foo_bar /usr/local/bin <span class="nv">$ </span>kubectl plugin list The following compatible plugins are available: /usr/local/bin/kubectl-foo_bar <span class="nv">$ </span>kubectl foo_bar I am a plugin with a dash <span class="k">in </span>my name <span class="nv">$ </span>kubectl foo-bar I am a plugin with a dash <span class="k">in </span>my name </code></pre> </li> <li> <p>ถ้ามี file ชื่อซ้ำกันในแต่ละ directory ของ <code>PATH</code> file ที่อยู่ใน directory แรกจะถูกเรียกใช้งาน (overshadow)<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">echo</span> <span class="nv">$PATH</span> /usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin <span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-e</span> <span class="s1">'#!/bin/bash\n\necho "My first command-line argument was $1"'</span> | <span class="nb">sudo tee</span> /usr/local/bin/kubectl-overshadow <span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-e</span> <span class="s1">'#!/bin/bash\n\necho "My second command-line argument was $1"'</span> | <span class="nb">sudo tee</span> /usr/sbin/kubectl-overshadow <span class="nv">$ </span><span class="nb">sudo chmod</span> +x /usr/local/bin/kubectl-overshadow <span class="nv">$ </span><span class="nb">sudo chmod</span> +x /usr/sbin/kubectl-overshadow <span class="nv">$ </span>kubectl plugin list The following compatible plugins are available: /usr/local/bin/kubectl-overshadow /usr/sbin/kubectl-overshadow - warning: /usr/sbin/kubectl-overshadow is overshadowed by a similarly named plugin: /usr/local/bin/kubectl-overshadow error: one plugin warning was found <span class="nv">$ </span>kubectl overshadow 1234 My first command-line argument was 1234 </code></pre> </li> <li> <p>ไม่สามารถ override built-in sub-command ของ kubelet ได้<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-e</span> <span class="s1">'#!/bin/bash\n\necho "My version is 1.0.0"'</span> | <span class="nb">sudo tee</span> /usr/local/bin/kubectl-version <span class="nv">$ </span><span class="nb">sudo chmod</span> +x /usr/local/bin/kubectl-version <span class="nv">$ </span>kubectl plugin list The following compatible plugins are available: /usr/local/bin/kubectl-version - warning: kubectl-version overwrites existing <span class="nb">command</span>: <span class="s2">"kubectl version"</span> error: one plugin warning was found <span class="nv">$ </span>kubectl version Client Version: version.Info<span class="o">{</span>Major:<span class="s2">"1"</span>, Minor:<span class="s2">"18"</span>, GitVersion:<span class="s2">"v1.18.2"</span>, GitCommit:<span class="s2">"52c56ce7a8272c798dbc29846288d7cd9fbae032"</span>, GitTreeState:<span class="s2">"clean"</span>, BuildDate:<span class="s2">"2020-04-16T11:56:40Z"</span>, GoVersion:<span class="s2">"go1.13.9"</span>, Compiler:<span class="s2">"gc"</span>, Platform:<span class="s2">"linux/amd64"</span><span class="o">}</span> Server Version: version.Info<span class="o">{</span>Major:<span class="s2">"1"</span>, Minor:<span class="s2">"18"</span>, GitVersion:<span class="s2">"v1.18.2"</span>, GitCommit:<span class="s2">"52c56ce7a8272c798dbc29846288d7cd9fbae032"</span>, GitTreeState:<span class="s2">"clean"</span>, BuildDate:<span class="s2">"2020-04-16T11:48:36Z"</span>, GoVersion:<span class="s2">"go1.13.9"</span>, Compiler:<span class="s2">"gc"</span>, Platform:<span class="s2">"linux/amd64"</span><span class="o">}</span> </code></pre> </li> </ol> <p><a></a></p> <h1> Managing Plugins </h1> <p>ถ้าหากคุณ develop plugin ออกมาได้ดี และ อยากจะ distribute ให้คนอื่นใช้ด้วย มี project ที่ชื่อว่า <a href="https://krew.sigs.k8s.io/" rel="noopener noreferrer">krew</a> ซึ่งทำหน้าที่เป็น plugin manager ของ <code>kubectl</code> อ่านเพิ่มเติมการ upload plugin ของตัวเองได้จาก <a href="https://krew.sigs.k8s.io/docs/developer-guide/" rel="noopener noreferrer">Developer Guide</a></p> <p>ในส่วนนี้จะขอแสดงเพียงติดตั้งและใช้งานบน CentOS</p> <ol> <li> <p><a href="https://krew.sigs.k8s.io/docs/user-guide/setup/install/" rel="noopener noreferrer">Install and setup krew</a><br> </p> <pre class="highlight shell"><code><span class="c"># Installation</span> <span class="nv">$ </span><span class="nb">sudo </span>yum <span class="nb">install </span>git <span class="nv">$ </span><span class="o">(</span> <span class="nb">set</span> <span class="nt">-x</span><span class="p">;</span> <span class="nb">cd</span> <span class="s2">"</span><span class="si">$(</span><span class="nb">mktemp</span> <span class="nt">-d</span><span class="si">)</span><span class="s2">"</span> <span class="o">&amp;&amp;</span> curl <span class="nt">-fsSLO</span> <span class="s2">"https://github.com/kubernetes-sigs/krew/releases/latest/download/krew.{tar.gz,yaml}"</span> <span class="o">&amp;&amp;</span> <span class="nb">tar </span>zxvf krew.tar.gz <span class="o">&amp;&amp;</span> <span class="nv">KREW</span><span class="o">=</span>./krew-<span class="s2">"</span><span class="si">$(</span><span class="nb">uname</span> | <span class="nb">tr</span> <span class="s1">'[:upper:]'</span> <span class="s1">'[:lower:]'</span><span class="si">)</span><span class="s2">_amd64"</span> <span class="o">&amp;&amp;</span> <span class="s2">"</span><span class="nv">$KREW</span><span class="s2">"</span> <span class="nb">install</span> <span class="nt">--manifest</span><span class="o">=</span>krew.yaml <span class="nt">--archive</span><span class="o">=</span>krew.tar.gz <span class="o">&amp;&amp;</span> <span class="s2">"</span><span class="nv">$KREW</span><span class="s2">"</span> update <span class="o">)</span> <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;&gt;</span> ~/.bashrc <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> export PATH="</span><span class="se">\$</span><span class="sh">{KREW_ROOT:-</span><span class="se">\$</span><span class="sh">HOME/.krew}/bin:</span><span class="se">\$</span><span class="sh">PATH" </span><span class="no">EOF </span><span class="nv">$ </span><span class="nb">source</span> ~/.bashrc <span class="c"># Verification</span> <span class="nv">$ </span>kubectl krew version OPTION VALUE GitTag v0.3.4 GitCommit 324f5ed IndexURI https://github.com/kubernetes-sigs/krew-index.git BasePath /home/admin/.krew IndexPath /home/admin/.krew/index InstallPath /home/admin/.krew/store BinPath /home/admin/.krew/bin DetectedPlatform linux/amd64 </code></pre> </li> <li> <p><a href="https://krew.sigs.k8s.io/docs/user-guide/quickstart/" rel="noopener noreferrer">วิธีการใช้งาน</a><br> </p> <pre class="highlight shell"><code><span class="c"># Download the plugin list</span> <span class="nv">$ </span>kubectl krew update Updated the <span class="nb">local </span>copy of plugin index. <span class="c"># Discover plugins available on Krew</span> <span class="nv">$ </span>kubectl krew search NAME DESCRIPTION INSTALLED access-matrix Show an RBAC access matrix <span class="k">for </span>server resources no advise-psp Suggests PodSecurityPolicies <span class="k">for </span>cluster. no apparmor-manager Manage AppArmor profiles <span class="k">for </span>cluster. no auth-proxy Authentication proxy to a pod or service no bulk-action Do bulk actions on Kubernetes resources. no <span class="o">(</span>...<span class="o">)</span> <span class="c"># Choose a plugin from the list and install it</span> <span class="nv">$ </span>kubectl krew <span class="nb">install whoami </span>Updated the <span class="nb">local </span>copy of plugin index. Installing plugin: <span class="nb">whoami </span>Installed plugin: <span class="nb">whoami</span> <span class="o">(</span>...<span class="o">)</span> <span class="c"># Use the installed plugin</span> <span class="nv">$ </span>kubectl <span class="nb">whoami </span>kubecfg:certauth:admin <span class="c"># List existing plugins</span> <span class="nv">$ </span>kubectl plugin list The following compatible plugins are available: /home/admin/.krew/bin/kubectl-krew /home/admin/.krew/bin/kubectl-whoami <span class="c"># Keep your plugins up-to-date</span> <span class="nv">$ </span>kubectl krew upgrade Updated the <span class="nb">local </span>copy of plugin index. Upgrading plugin: krew Skipping plugin krew, it is already on the newest version Upgrading plugin: <span class="nb">whoami </span>Skipping plugin <span class="nb">whoami</span>, it is already on the newest version <span class="c"># Uninstall a plugin you no longer use</span> <span class="nv">$ </span>kubectl krew uninstall <span class="nb">whoami </span>Uninstalled plugin <span class="nb">whoami</span> </code></pre> </li> </ol> <p><a></a></p> <h1> Sniffling Traffic With Wireshark </h1> <p>จากหัวข้อที่แล้วเรารู้จัก knew กันไปแล้ว คราวนี้เรามาใช้ plugin ของมันที่ชื่อว่า sniff เพื่อทำการ tcpdump network ภายใน container ของเรากัน โดยสามารถอ่านรายละเอียดได้จาก <a href="https://github.com/eldadru/ksniff" rel="noopener noreferrer">github ของ eldadru</a><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">sudo </span>yum <span class="nb">install </span>wireshark <span class="nv">$ </span>kubectl krew <span class="nb">install </span>sniff Updated the <span class="nb">local </span>copy of plugin index. Installing plugin: sniff Installed plugin: sniff <span class="o">(</span>...<span class="o">)</span> <span class="nv">$ </span>kubectl run demo <span class="nt">--image</span><span class="o">=</span>nginx <span class="nt">--restart</span><span class="o">=</span>Never pod/demo created <span class="nv">$ </span>kubectl sniff <span class="nt">-p</span> demo <span class="nt">-c</span> demo <span class="nt">-o</span> - | tshark <span class="nt">-r</span> - INFO[0000] sniffing method: privileged pod INFO[0000] using tcpdump path at: <span class="s1">'/home/admin/.krew/store/sniff/v1.4.1/static-tcpdump'</span> INFO[0000] sniffing on pod: <span class="s1">'demo'</span> <span class="o">[</span>namespace: <span class="s1">'default'</span>, container: <span class="s1">'demo'</span>, filter: <span class="s1">''</span>, interface: <span class="s1">'any'</span><span class="o">]</span> INFO[0000] creating privileged pod on node: <span class="s1">'kube-0002.novalocal'</span> INFO[0000] pod created: &amp;Pod<span class="o">{</span>ObjectMeta:<span class="o">{</span>ksniff-k9vxv ksniff- default <span class="o">(</span>...<span class="o">)</span> 45 37 192.168.93.128 -&gt; 192.168.52.75 TCP 76 40910 <span class="o">&gt;</span> http <span class="o">[</span>SYN] <span class="nv">Seq</span><span class="o">=</span>0 <span class="nv">Win</span><span class="o">=</span>28000 <span class="nv">Len</span><span class="o">=</span>0 <span class="nv">MSS</span><span class="o">=</span>1400 <span class="nv">SACK_PERM</span><span class="o">=</span>1 <span class="nv">TSval</span><span class="o">=</span>3831288949 <span class="nv">TSecr</span><span class="o">=</span>0 <span class="nv">WS</span><span class="o">=</span>128 46 37 192.168.52.75 -&gt; 192.168.93.128 TCP 76 http <span class="o">&gt;</span> 40910 <span class="o">[</span>SYN, ACK] <span class="nv">Seq</span><span class="o">=</span>0 <span class="nv">Ack</span><span class="o">=</span>1 <span class="nv">Win</span><span class="o">=</span>27760 <span class="nv">Len</span><span class="o">=</span>0 <span class="nv">MSS</span><span class="o">=</span>1400 <span class="nv">SACK_PERM</span><span class="o">=</span>1 <span class="nv">TSval</span><span class="o">=</span>3831285944 <span class="nv">TSecr</span><span class="o">=</span>3831288949 <span class="nv">WS</span><span class="o">=</span>128 47 37 192.168.93.128 -&gt; 192.168.52.75 TCP 68 40910 <span class="o">&gt;</span> http <span class="o">[</span>ACK] <span class="nv">Seq</span><span class="o">=</span>1 <span class="nv">Ack</span><span class="o">=</span>1 <span class="nv">Win</span><span class="o">=</span>28032 <span class="nv">Len</span><span class="o">=</span>0 <span class="nv">TSval</span><span class="o">=</span>3831288949 <span class="nv">TSecr</span><span class="o">=</span>3831285944 48 37 192.168.93.128 -&gt; 192.168.52.75 HTTP 145 GET / HTTP/1.1 49 37 192.168.52.75 -&gt; 192.168.93.128 TCP 68 http <span class="o">&gt;</span> 40910 <span class="o">[</span>ACK] <span class="nv">Seq</span><span class="o">=</span>1 <span class="nv">Ack</span><span class="o">=</span>78 <span class="nv">Win</span><span class="o">=</span>27776 <span class="nv">Len</span><span class="o">=</span>0 <span class="nv">TSval</span><span class="o">=</span>3831285945 <span class="nv">TSecr</span><span class="o">=</span>3831288950 50 37 192.168.52.75 -&gt; 192.168.93.128 TCP 307 <span class="o">[</span>TCP segment of a reassembled PDU] 51 37 192.168.52.75 -&gt; 192.168.93.128 HTTP 680 HTTP/1.1 200 OK <span class="o">(</span>text/html<span class="o">)</span> <span class="o">(</span>...<span class="o">)</span> </code></pre> </div> <p>จะเห็นว่า หลักการของมันคือการ ไปสร้าง docker container <code>corfr/tcpdump</code> ที่ attach เข้า network เดียวกับ pod เรา แล้วทำการ tcpdump</p> <p><a></a></p> <h1> Logging Tools </h1> <p>เรื่อง Log ถือเป็นเรื่องใหญ่มากในวงการ IT หลักการโดยทั่วไปของคือ ทำการ ingest log เข้ามาเก็บไว้ที่ seach engine แล้วทำการ query ด้วย search syntax เพื่อแสดงผลผ่าน dashboard ซึ่ง application ที่ได้รับความนิยมคงหนีไม่พ้น Elastic Stack ซึ่งประกอบไปด้วย Elasticsearch, Logstash และ Kibana</p> <p>ใน kubernetes, <code>kubelet</code> จะทำการ write container log ลง local file ผ่าน Docker logging driver จึงมักใช้ <code>Fluentd</code> หรือ <code>Fluent Bit</code> ในการ รวม log แล้วจึงส่งออกไปยัง log server ไม่ว่าจะเป็น Elasticsearch หรือ Prometheus</p> <p>Logging Architecture ของ kubernetes มีดังนี้ </p> <ol> <li> <p>Logging at the node level</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fwcqojynvftzj6ocsdm1v.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fwcqojynvftzj6ocsdm1v.png" alt="Logging at the node level" width="500" height="300"></a></p> <p>ไม่มีการ ship ออกไปยัง logging backend ทุกอย่างอยู่บนเครื่องใช้ log rotate engine ของ OS นั้นๆ ในการ rotate log ถ้าใน linux ก็จะเป็น <a href="https://linux.die.net/man/8/logrotate" rel="noopener noreferrer">logrotate</a></p> </li> <li> <p>Cluster-level logging architectures</p> <p>2.1 Using a node logging agent</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fz65n8xfvdl6a4zx0mpyc.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fz65n8xfvdl6a4zx0mpyc.png" alt="Cluster-level logging architectures" width="500" height="350"></a></p> <p>container ทำการเขียน log ออกทาง <code>stdout</code> และ <code>stderr</code> จากนั้น log driver ของ container runtime จะทำการ write log ลง local file จากนั้น เราจึงใช้ logging agent เช่น <code>fluentd</code> ในการ ship log ออกไปยัง logging backend อย่างเช่น Elasticsearch หรือ Stackdriver Logging</p> <p>2.2 Using a sidecar container with the logging agent</p> <p><strong>Streaming sidecar container</strong></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fxaqtlqrrqe8em9vvxgb1.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fxaqtlqrrqe8em9vvxgb1.png" alt="Streaming sidecar container" width="500" height="400"></a></p> <p>ในกรณีที่ application container ไม่สามารถ write log ไปยัง <code>stdout</code> และ <code>stderr</code> ได้ จึงต้องมี sidecar ซึ่งเป็น container ที่อยู่ใน Pod เดียวกับ application container เพื่อทำการอ่าน file, socket หรือ journald เพื่อ redirect มายัง <code>stdout</code> และ <code>stderr</code> เพื่อให้ log driver ของ container runtime จะทำการ write log ลง local file และ logging agent ทำการอ่าน file นั้นแล้ว ship ไปยัง logging backend ต่อไป</p> <p><strong>Sidecar container with a logging agent</strong></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fnjzymot4kil7wemub7os.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fnjzymot4kil7wemub7os.png" alt="Sidecar container with a logging agent" width="500" height="250"></a></p> <p>ถ้าคุณไม่สะดวกใช้ node-level logging agent ในการ ship log คุณสามารถ install sidecar ที่ทำหน้าที่เป็น logging agent คู่กับ application container เพื่อ ship log ตรงไปยัง logging backend เลยก็ได้</p> <p><strong>Exposing logs directly from the application</strong></p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Ft2n1r2467zgrctflvinl.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Ft2n1r2467zgrctflvinl.png" alt="Exposing logs directly from the application" width="500" height="150"></a></p> <p>วิธีสุดท้ายถ้าคุณสามารถปรับ application ให้ ship log ไปยัง logging agent เองได้เลย วิธีนี้ก็สามารถทำได้เช่นกัน</p> </li> </ol> <p><a></a></p> <h1> More Resources </h1> <ul> <li><a href="https://kubernetes.io/docs/tasks/debug-application-cluster/troubleshooting/" rel="noopener noreferrer">General Guidelines and instructions</a></li> <li><a href="https://kubernetes.io/docs/tasks/debug-application-cluster/debug-application/" rel="noopener noreferrer">Troubleshoot Applications</a></li> <li><a href="https://kubernetes.io/docs/tasks/debug-application-cluster/debug-cluster/" rel="noopener noreferrer">Troubleshoot Clusters</a></li> <li><a href="https://kubernetes.io/docs/tasks/debug-application-cluster/debug-pod-replication-controller/" rel="noopener noreferrer">Debug Pods and ReplicationControllers</a></li> <li><a href="https://kubernetes.io/docs/tasks/debug-application-cluster/debug-service/" rel="noopener noreferrer">Debug Services</a></li> <li><a href="https://github.com/kubernetes/kubernetes/issues" rel="noopener noreferrer">Kubernetes Issues and Bug Tracking</a></li> <li><a href="https://kubernetes.slack.com/" rel="noopener noreferrer">Slack Channel</a></li> </ul> kubernetes devops docker beginners LFS258 [10/15]: Scheduling 8P Inc. Tue, 14 Apr 2020 01:51:53 +0000 https://dev.to/peepeepopapapeepeepo/lfs258-10-15-scheduling-419n https://dev.to/peepeepopapapeepeepo/lfs258-10-15-scheduling-419n <h1> TL;DR </h1> <ul> <li> Kube-Scheduler: เป็น process หลักในการทำเรื่อง schedule โดยมีหลักการทำงาน 2 ขั้นตอนคือ <code>Filtering</code> คือ filter nodes ที่ไม่เหมาะสมออกไป และ <code>Scoring</code> เป็นการให้คะแนน node ที่ผ่านการ filering เพื่อหา node ที่้เหมาะสมกับ pod มากที่สุด</li> <li> Predicates and Priorities: เป็น schedule policy ตัว stable ของ kubenetes</li> <li> Extension Points and Plugins: เป็น schedule policy ตัวใหม่ของ kubernetes ที่เพิ่งเป็น beta ใน v1.18</li> <li> Pod Specification: เราสามารถกำหนดความสามารถพิเศษและความต้องการของ Pod ใน pod specification เพื่อชี้นำการ schedule pod ไปยัง node ที่เหมาะสมของ kubernetes ได้</li> <li> Specifiying the nodeName: เป็นการระบุ hostname ของ node ที่เราต้องการให้ Pod ไปอยู้</li> <li> Specifiying the nodeSelector: เป็นการระบุ labels ของ node ที่ pod ต้องการ ให้ scheduler ส่ง pod ไป run</li> <li> Pod Affinity Rules: เป็นการระบุให้ pod ชุดหนึ่งอยู่ใน location เดียวกับ</li> <li> Node Affinity Rules: เหมือน nodeSelector แต่เพิ่มความยืดหยุ่นของ affinity เข้ามา</li> <li> Taints: เป็นการระบุข้อจำกัดของ node เช่น เฉพาะกลุ่ม หรือ มี hardware พิเศษติดตั้งอยู่</li> <li> Tolerations: เป็นการระบุความทนทานต่อ taints ของ pods โดย ถ้า pod มี toleration ต่อ taints ของ node จะสามารถถูก schedule ไป run ใน node นั้นได้</li> <li> Custom Scheduler: ถ้า scheduler ที่เป็น default ไม่ถูกใจ เราสามารถ run ตัว scheduler นี้ขึ้นมาอีกตัว โดยที่ configuration ตามความต้องการของเรา เพื่อเป็น secondary scheduler ได้ หรือเขียนใหม่เองหมดก็ยังได้ แต่ ใน pod specification ต้องระบุ scheduler name ที่เราต้องการใช้ด้วย ไม่งั้นจะใช้ default scheduler</li> </ul> <p><a></a></p> <h1> Kube-Scheduler </h1> <p><code>Kube-Scheduler</code> ทำหน้าที่ในการหา worker node ที่เหมาะสมให้ pod ไป run โดยใช้ algorithm ที่ชื่อว่า "topology awareness" ผู้ใช้สามารถตั้ง priority ของ pod ได้ โดย pod ไหนมี priority มากกว่าจะสามารถแซงคิว pod ที่มี priority น้อยกว่า ในการ scheduling ได้</p> <p>ในการ schedule pod ไป run นั้น <code>Kube-Scheduler</code> จะทำ 2 steps คือ </p> <ol> <li> <strong>Filtering</strong>: ทำการ filter ให้เหลือแค่ node คุณสมบัติที่เหมาะสมกับ pod</li> <li> <strong>Scoring</strong>: ทำให้คิดคะแนน (ranking) ด้วย algorithm ต่างๆ เพือหา node ที่เหมาะสมที่สุดที่จะนำ pod ไป run</li> </ol> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fezi79dffyge2seql2cis.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fezi79dffyge2seql2cis.png" alt="scheduling-algorithm" width="383" height="782"></a></p> <p>ซึ่ง Schedule Policies ที่เลือกใช้ได้มี 2 แบบ</p> <ol> <li> <strong>Predicates และ Priorities</strong>: predicates เป็นการ filtering โดยพิจารณาสถานะและพฤติกรรม ส่วน priority เป็นการใช้ function มาคำนวณคะแนน เพื่อหา node ที่เหมาะสมที่สุด</li> <li> <strong>Extension points และ Plugins</strong>: เป็นการใช้ profile ที่เกิดจากการนำ state หรือเป็นมาการเรียนว่า "Extension points" มารวมกัน เช่น <code>QueueSort</code>, <code>Filter</code>, <code>Score</code>, <code>Bind</code>, <code>Reserve</code>, <code>Permit</code>, เป็นต้นมารวมกัน เพื่อหา node ที่เหมาะสมที่สุด</li> </ol> <p>เราสามารถชี้นำการตัดสินใจของ <code>Kube-Scheduler</code> ได้ด้วยการระบุคุณสมบัติพิเศษ (<code>Labels</code>) หรือข้ออจำกัด (<code>taints</code>) ให้กับ nodes หรือ pods ที่มีอยู่ก่อน และ ระบุความสามารถที่สอดคล้องกันให้กับ pods ที่เราจะ schedule โดยตัวอย่างการชี้น ของ default scheduler มีดังนี้</p> <ul> <li> <code>affinity</code>: ระบุว่า pods นี้ต้อง run ใน node ที pods ที่มี labels นี้ run อยู่ก่อนแล้ว</li> <li> <code>antiaffinity</code>: ระบุว่า pods นี้ run ใน node ทีไม่มี pods ที่มี labels นี้ run อยู่</li> <li> <code>taint</code>: เป็นข้อจำกัดของ nodes ที่เราระบุเข้าไป</li> <li> <code>toleration</code>: เป็น property ของ pod ที่ทนต่อ taints ที่ node มีได้ (ทนได้ ก็คือ schedule pods ไป run ได้)</li> </ul> <p>นอกจากนี้เรายังสามารถเขียน program ของเราเองเพื่อมา run เป็น custom scheduler ใน kubernetes cluster ก็</p> <p>รายละเอียดเพิ่มเติมดูได้ในหัวข้อด้านล่างเลย 😁</p> <p><a></a></p> <h1> Predicates and Priorities </h1> <ul> <li> <p><strong>Predicates</strong> (Deplicated in v1.18)</p> <p>เป็นชุดของ Filter ที่ใช้ในการตรวจสอบความพร้อมของ nodes โดยถ้า nodes ไหนมีคุณสมบัติไม่ผ่านก็จะถูก filter ทิ้งไป โดย list ของ predicates มีดังนี้ </p> <ul> <li>CheckNodeConditionPred</li> <li>CheckNodeUnschedulablePred</li> <li>GeneralPred</li> <li>HostNamePred</li> <li>PodFitsHostPortsPred</li> <li>MatchNodeSelectorPred</li> <li>PodFitsResourcesPred</li> <li>NoDiskConflictPred</li> <li>PodToleratesNodeTaintsPred</li> <li>PodToleratesNodeNoExecuteTaintsPred</li> <li>CheckNodeLabelPresencePred</li> <li>CheckServiceAffinityPred</li> <li>MaxEBSVolumeCountPred</li> <li>MaxGCEPDVolumeCountPred</li> <li>MaxCSIVolumeCountPred</li> <li>MaxAzureDiskVolumeCountPred</li> <li>MaxCinderVolumeCountPred</li> <li>CheckVolumeBindingPred</li> <li>NoVolumeZoneConflictPred</li> <li>CheckNodeMemoryPressurePred</li> <li>CheckNodePIDPressurePred</li> <li>CheckNodeDiskPressurePred</li> <li>EvenPodsSpreadPred</li> <li>MatchInterPodAffinityPred</li> </ul> <p><a href="https://kubernetes.io/docs/reference/scheduling/policies/#predicates" rel="noopener noreferrer">เพิ่มเติม</a></p> </li> <li> <p><strong>Priorities</strong> (Deplicated in v1.18)</p> <p>เป็นการจัดลำดับความสำคัญของ resources ถ้า Pod และ Node Affinity ไม่ได้ configure ไว้ว่าเป็น <code>SelectorSpreadPriority</code> (จัดลำดับตามจำนวน pods ที่ run อยู่ใน node) <code>Kube-Scheduler</code> จะเลือก node ที่มีจำนวน pod ถูก schedule ไปน้อยที่สุด list ของ priorities มีดังนี้</p> <ul> <li>EqualPriority</li> <li>MostRequestedPriority</li> <li>RequestedToCapacityRatioPriority</li> <li>SelectorSpreadPriority</li> <li>ServiceSpreadingPriority</li> <li>InterPodAffinityPriority</li> <li>LeastRequestedPriority</li> <li>BalancedResourceAllocation</li> <li>NodePreferAvoidPodsPriority</li> <li>NodeAffinityPriority</li> <li>TaintTolerationPriority</li> <li>ImageLocalityPriority</li> <li>ResourceLimitsPriority</li> <li>EvenPodsSpreadPriority</li> </ul> <p><a href="https://kubernetes.io/docs/reference/scheduling/policies/#priorities" rel="noopener noreferrer">เพิ่มเติม</a></p> </li> <li> <p><strong>Scheduling Policies</strong></p> <p>เราสามารถ custom Predicates และ Priorities เพื่อสร้างเป็น custom scheduler ได้ โดยสร้าง file ดังนี้<br> </p> <pre class="highlight yaml"><code><span class="pi">{</span> <span class="s2">"</span><span class="s">kind"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">Policy"</span><span class="pi">,</span> <span class="s2">"</span><span class="s">apiVersion"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">v1"</span><span class="pi">,</span> <span class="s2">"</span><span class="s">predicates"</span> <span class="pi">:</span> <span class="pi">[</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">PodFitsHostPorts"</span><span class="pi">},</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">PodFitsResources"</span><span class="pi">},</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">NoDiskConflict"</span><span class="pi">},</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">NoVolumeZoneConflict"</span><span class="pi">},</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">MatchNodeSelector"</span><span class="pi">},</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">HostName"</span><span class="pi">}</span> <span class="pi">],</span> <span class="s2">"</span><span class="s">priorities"</span> <span class="pi">:</span> <span class="pi">[</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">LeastRequestedPriority"</span><span class="pi">,</span> <span class="s2">"</span><span class="s">weight"</span> <span class="pi">:</span> <span class="nv">1</span><span class="pi">},</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">BalancedResourceAllocation"</span><span class="pi">,</span> <span class="s2">"</span><span class="s">weight"</span> <span class="pi">:</span> <span class="nv">1</span><span class="pi">},</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">ServiceSpreadingPriority"</span><span class="pi">,</span> <span class="s2">"</span><span class="s">weight"</span> <span class="pi">:</span> <span class="nv">1</span><span class="pi">},</span> <span class="pi">{</span><span class="s2">"</span><span class="s">name"</span> <span class="pi">:</span> <span class="s2">"</span><span class="s">EqualPriority"</span><span class="pi">,</span> <span class="s2">"</span><span class="s">weight"</span> <span class="pi">:</span> <span class="nv">1</span><span class="pi">}</span> <span class="pi">],</span> <span class="s2">"</span><span class="s">hardPodAffinitySymmetricWeight"</span> <span class="pi">:</span> <span class="nv">10</span><span class="pi">,</span> <span class="s2">"</span><span class="s">alwaysCheckAllPredicates"</span> <span class="pi">:</span> <span class="nv">false</span> <span class="pi">}</span> </code></pre> <p>และ run scheduler ขึ้นมาอีกตัวโดยแก้ option <code>--policy-config-file=&lt;file&gt;</code>, <code>--use-legacy-policy-config=true</code> และ <code>--scheduler-name=&lt;name&gt;</code> จากนั้น run pod โดย ระบุ scheduler name ดังนี้<br> </p> <pre class="highlight yaml"><code><span class="na">apiVersion</span><span class="pi">:</span> <span class="s">v1</span> <span class="na">kind</span><span class="pi">:</span> <span class="s">Pod</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">annotation-second-scheduler</span> <span class="na">labels</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">multischeduler-example</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">schedulerName</span><span class="pi">:</span> <span class="s">&lt;name&gt;</span> <span class="na">containers</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">pod-with-second-annotation-container</span> <span class="s">image</span><span class="err">:</span> <span class="s">k8s.gcr.io/pause:2.0</span> </code></pre> </li> </ul> <p><a></a></p> <h1> Extension Points and Plugins </h1> <p>เป็น feature ใหม่ใน v1.18 เลย แต่ยังเป็น beta อยู่ </p> <p>เป็น scheduling profile ที่เกิดจากการรวม Extension points เข้าด้วยกัน เราสามารถระบุ profile ด้วยการ เพิ่ม option ให้ <code>kube-scheduler</code> ดังนี้ <code>kube-scheduler --config &lt;filename&gt;</code> </p> <p>สามารถระบุหลาย profile และให้ pods เรียกใช้โดยการบ้างอิง scheduler name ใน pod specification</p> <ul> <li> <strong>Extension points</strong> <ul> <li> <code>QueueSort</code>: เป็นการ sort pods ที่อยู่ใน scheduling queue</li> <li> <code>PreFilter</code>: เป็นการ pre-process หรือ check Pod และ cluster ก่อนทำการ Filter</li> <li> <code>Filtering</code>: เหมือน predicates เป็นการ filter เอา nodes ที่มีคุณสมบัติไม่ผ่านออกไป</li> <li> <code>PreScore</code>: เป็นการทำ pre-scoring </li> <li> <code>Score</code>: ให้คะแนนแต่ละ node และ เลือก node ที่มีคะแนนมากที่สุด</li> <li> <code>Reserve</code>: เป็น stage ที่ notify plugin ว่า resource กำลังถูก reserve ให้กับ pod</li> <li> <code>Permit</code>: สามารถ ป้องกัน (prevent) หรือ น่วงเวลา (delay) การ bind pod ไปยัง node</li> <li> <code>PreBind</code>: ทำงานต่างๆ ก่อนที่จะ bind pod</li> <li> <code>Bind</code>: ทำการ bind pod ไปยัง node ที่ reserve resource ไว้</li> <li> <code>PostBind</code>: เป็น stage หลังจาก bind pod ไปยัง node เรียบร้อย</li> <li> <code>UnReserve</code>: เป็น stage ที่ Pod ถูก reject หลังจากทำการ reserve resource ไม่สำเร็จ โดย pod จะกลับไปอยู่ stage <code>Permit</code> อีกครั้ง</li> </ul> </li> <li> <strong>Scheduling plugins</strong> <ul> <li>Enable โดย default <ul> <li> <code>DefaultTopologySpread</code> (PreScore, Score): กระจาย pods ไปยัง node ตาม Services, ReplicaSets และ StatefulSets ของมัน</li> <li> <code>ImageLocality</code> (Score): กระจาย posd ไม่ยัง node ที่มี image ของ pod นั้นอยู่แล้ว</li> <li> <code>TaintToleration</code> (Filter, Prescore, Score): กระจายตามหลัก Taint and Toleration</li> <li> <code>NodeName</code> (Filter): แจก Pod ไปยัง Node ทีมี name node ตรงกับที่ระบุไว้ใน pod specification</li> <li> <code>NodePorts</code> (PreFilter, Filter): แจก Pod ไปยัง Node ที่มี port ที่ต้องการใช้ว่างอยู้</li> <li> <code>NodePreferAvoidPods</code> (Score): ให้คะแนน node ตาม annotation <code>scheduler.alpha.kubernetes.io/preferAvoidPods</code> </li> <li> <code>NodeAffinity</code> (Filter, Score): แจก pod ตาม <code>nodeSelector</code> and <code>nodeAffinity</code> </li> <li> <code>PodTopologySpread</code> (Filter, PreScore, Score): แจก pod ตาม Pod topology</li> <li> <code>NodeUnschedulable</code> (Filter): Filter node ที่มี <code>.spec.unschedulable=true</code> ออกไป</li> <li> <code>NodeResourcesFit</code> (PreFilter, Filter): Filter node ที่มี resource ไม่พอตามที่ pod request ออกไป</li> <li> <code>NodeResourcesBallancedAllocation</code> (Score): เลือก node ที่ถ้า schedule pod ไป จะทำให้ resource ในแต่ละ node ใน cluster balance ขึ้น</li> <li> <code>NodeResourcesLeastAllocated</code> (Score): เลือก node ที่มี resource เหลือเยอะที่สุด</li> <li> <code>VolumeBinding</code> (Filter): เลือก node ที่มี volume ที่ pod ต้องการ bind อยู่</li> <li> <code>VolumeRestrictions</code> (Filter): เลือก node ที่มี volume ที่ pod ต้องการ bind อยู่ และ pod มีสิทธิ์ใช้</li> <li> <code>VolumeZone</code> (Filter): เลือก node ที่มี volume ที่อยู่ใน zone ที่ pod ต้องการ</li> <li> <code>NodeVolumeLimits</code> (Filter): เลือก node ที่ satisfy CSI volume limits </li> <li> <code>EBSLimits</code> (Filter): เลือก node ที่ satisfy AWS EBS volume limits</li> <li> <code>GCEPDLimits</code> (Filter): เลือก node ที่ satisfy GCP-PD volume limits</li> <li> <code>AzureDiskLimits</code> (Filter): เลือก node ที่ satisfy Azure disk volume limits</li> <li> <code>InterPodAffinity</code> (PreFilter, Filter, PreScore, Score): แจก pod ตาม inter-Pod affinity and anti-affinity</li> <li> <code>PrioritySort</code> (QueueSort): เลือก node ตาม priority based sorting แบบ default</li> <li> <code>DefaultBinder</code> (Bind): เลือก node ตาม binding mechanism แบบ default</li> </ul> </li> <li>ต้อง manual enable เองผ่าน API <ul> <li> <code>NodeResourcesMostAllocated</code> (Score): เลือก node ที่มี resource เหลือน้อยที่สุด</li> <li> <code>RequestedToCapacityRatio</code> (Score): เลือก node ตาม function ของ resource ที่ allocate</li> <li> <code>NodeResourceLimits</code> (PreScore, Score): เลือก node ที่ มี resource พอ ตามที่ Pod request</li> <li> <code>CinderVolume</code> (Filter): เลือก node ที่ satisfy OpenStack Cinder volume limits</li> <li> <code>NodeLabel</code> (Filter, Score): filter และ ให้คะแนน node ตาม labels ที่ configure ไว้</li> <li> <code>ServiceAffinity</code> (PreFilter, Filter, Score): กระจาย Pods ที่อยู่ใน service เดียวกันไปยัง แต่ละ node ไม่ซ้ำกัน</li> </ul> </li> </ul> </li> </ul> <p><a></a></p> <h1> Pod Specification </h1> <p>ในการ schedule pod ไป run ใน node ที่เหมาะสมนอกจากความพร้อมของ node แล้ว อีกปัจจัยที่สำคัญคือ Pod Specification โดย parameter ที่มีผลต่อการ schedule เช่น</p> <ul> <li> <code>nodeName</code>: ใช้ระบุชื่อ node ที่ต้องการให้ scheduler นำ Pod ไป run</li> <li> <code>nodeSelector</code>: ใช้ระบุ label ของ nodes ที่เหมาะสมกับ pod ตัวนั้นๆ</li> <li> <code>affinity</code>: มีทั้ง affinity ซึ่งบอกว่า pod นี้ต้องอยู่ร่วมกับ pod ใด และ anti-affinity คือไม่อยู่ร่วมกับ pod ใด</li> <li> <code>schedulerName</code>: ระบุชื่อของ scheduler ที่ใช้ในการ schedule pod ถ้าไม่ระบุใช้ default scheduler</li> <li> <code>tolerations</code>: บอกว่า Pod นี้ทนต่อข้อจำกัด (taints) อะไรของ node ได้บ้าง</li> </ul> <p><a></a></p> <h1> Specifiying the nodeName </h1> <p>เป็นการระบุที่ง่ายที่สุด <u>ที่ไม่แนะนำ</u> ซึ่งมาด้วยข้อจำกัดหลายอย่าง เช่น </p> <ul> <li>ถ้า node name ที่เราระบุไปไม่มีอยู่จริง pod ก็จะไม่ถูก run</li> <li>ถ้า node name ที่เราระบุไว้มี resource ไม่เพียงพอ pod ก็จะไม่ถูก run เช่นกัน</li> <li>ใน cloud environment เราไม่สามารถคาดเดา node name ได้ ทำให้เราต้องแก้ไข configure ของเราทุกครั้งที่ย้าย cluster หรือ node ที่เราระบุตายไป</li> </ul> <p><strong>ตัวอย่างของ pod specification ที่ใช้ nodeName</strong><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight yaml"><code><span class="s">$ kubectl get nodes</span> <span class="s">NAME STATUS ROLES AGE VERSION</span> <span class="s">kube-0001.novalocal Ready master 88d v1.17.1</span> <span class="s">kube-0002.novalocal Ready &lt;none&gt; 88d v1.17.1</span> <span class="s">kube-0003.novalocal Ready &lt;none&gt; 88d v1.17.1</span> <span class="s">$ cat &gt; nodename.yaml &lt;&lt; EOF</span> <span class="na">apiVersion</span><span class="pi">:</span> <span class="s">v1</span> <span class="na">kind</span><span class="pi">:</span> <span class="s">Pod</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">nginx</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">containers</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">nginx</span> <span class="na">image</span><span class="pi">:</span> <span class="s">nginx</span> <span class="na">nodeName</span><span class="pi">:</span> <span class="s">kube-0003.novalocal</span> <span class="s">EOF</span> <span class="s">$ kubectl get pods -o wide</span> <span class="s">NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES</span> <span class="s">nginx 1/1 Running 0 3m 192.168.32.60 kube-0003.novalocal &lt;none&gt; &lt;none&gt;</span> </code></pre> </div> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Frs0mglyi9y1so1y0at2z.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Frs0mglyi9y1so1y0at2z.png" alt="Alt Text" width="513" height="187"></a></p> <p><a></a></p> <h1> Specifiying the nodeSelector </h1> <p>เป็นการระบุที่ง่ายที่สุด <u>ที่แนะนำ</u> เนื่องจากเราสามารถสร้าง labels เดียวกันที่หลาย node ทำให้ถ้า node กใด node หนึ่งตายไป หรือไม่พร้อมด้วยสาเหตุใดก็ตาม ก็ยังมี node อื่นให้ schedule ไป </p> <p>โดยเราต้องทำการ label node ก่อน ดังนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl label nodes kube-0003.novalocal <span class="nv">disktype</span><span class="o">=</span>ssd </code></pre> </div> <p>จากนั้น create pod ด้วย specification ดังนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight yaml"><code><span class="s">$ kubectl get nodes --show-labels</span> <span class="s">NAME STATUS ROLES AGE VERSION LABELS</span> <span class="s">kube-0001.novalocal Ready master 88d v1.17.1 (...),node-role.kubernetes.io/master=</span> <span class="s">kube-0002.novalocal Ready &lt;none&gt; 88d v1.17.1 (...)</span> <span class="s">kube-0003.novalocal Ready &lt;none&gt; 88d v1.17.1 (...)</span> <span class="s">$ kubectl label nodes kube-0003.novalocal disktype=ssd</span> <span class="s">node/kube-0003.novalocal labeled</span> <span class="s">$ kubectl get nodes --show-labels</span> <span class="s">NAME STATUS ROLES AGE VERSION LABELS</span> <span class="s">kube-0001.novalocal Ready master 88d v1.17.1 (...),node-role.kubernetes.io/master=</span> <span class="s">kube-0002.novalocal Ready &lt;none&gt; 88d v1.17.1 (...)</span> <span class="s">kube-0003.novalocal Ready &lt;none&gt; 88d v1.17.1 (...),disktype=ssd,(...)</span> <span class="s">$ cat &gt; nodeselector.yaml &lt;&lt; EOF</span> <span class="na">apiVersion</span><span class="pi">:</span> <span class="s">v1</span> <span class="na">kind</span><span class="pi">:</span> <span class="s">Pod</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">nginx</span> <span class="na">labels</span><span class="pi">:</span> <span class="na">env</span><span class="pi">:</span> <span class="s">test</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">containers</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">nginx</span> <span class="na">image</span><span class="pi">:</span> <span class="s">nginx</span> <span class="na">imagePullPolicy</span><span class="pi">:</span> <span class="s">IfNotPresent</span> <span class="na">nodeSelector</span><span class="pi">:</span> <span class="na">disktype</span><span class="pi">:</span> <span class="s">ssd</span> <span class="s">EOF</span> <span class="s">$ kubectl create -f nodeselector</span> <span class="s">pod/nginx created</span> <span class="s">$ kubectl get pods -o wide</span> <span class="s">NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES</span> <span class="s">nginx 1/1 Running 0 19s 192.168.32.61 kube-0003.novalocal &lt;none&gt; &lt;none&gt;</span> </code></pre> </div> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2F74o3n368gq1jrlp4y7t2.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2F74o3n368gq1jrlp4y7t2.png" alt="Alt Text" width="513" height="241"></a></p> <p>โดย pod จะถูก schedule ไปยัง node ที่มี ทุก label ที่เรากำหนดไว้ใน pod specification ถ้าหาไม่มี node ไหน ตรงกับ specification pod นั้นจะมีสถานะเป็น <strong>Pending</strong> </p> <p>เราสามารถใช้ nodeAffinity แทน nodeSelector ก็ได้</p> <p>Node ใน Kubernetes cluster โดยปกติจะมี Built-in Labels ที่เรานำมาใช้ได้ โดยที่เราไม่ต้องกำหนดเอง ได้แก่</p> <ul> <li><code>kubernetes.io/hostname</code></li> <li><code>failure-domain.beta.kubernetes.io/zone</code></li> <li><code>failure-domain.beta.kubernetes.io/region</code></li> <li><code>topology.kubernetes.io/zone</code></li> <li><code>topology.kubernetes.io/region</code></li> <li><code>beta.kubernetes.io/instance-type</code></li> <li><code>node.kubernetes.io/instance-type</code></li> <li><code>kubernetes.io/os</code></li> <li><code>kubernetes.io/arch</code></li> </ul> <p><a></a></p> <h1> Pod Affinity Rules </h1> <p>Pod Affinity เป็นการ schedule pod ตาม pod ที่มีอยู่ก่อนหน้า เนื่องจาก scheduler ต้องเข้าไปตรวจสอบทุก nodes ดังนั้น ใน cluster ใหญ่ๆ ที่มี node หลักร้อย nodes การใช้วิธีนี้จะมีผลต่อ performance ของ cluster</p> <p>โดย Affinity Rules มี 2 แบบคือ</p> <ul> <li> <code>Affinity</code> คือ pods เหล่านี้ต้องอยู่ใน location เดียวกัน (co-location) มักจะเป็น pod ที่ share data กันเป็นจำนวนมาก</li> <li> <code>Anti-affinity</code> คือ pods เหล่านี้ต้องอยู่คนละ location กัน เหมาะกับ pods ที่ต้องการ fault tolerance</li> </ul> <p>Operations ที่สามารถใช้ในการระบุ labels เช่น</p> <ul> <li> <code>In</code>: เลือก pod ที่มี labels ที่มีค่าตามที่ระบุไว้</li> <li> <code>NotIn</code>: เลือก pod ที่ไม่มี labels ที่มีค่าตามที่ระบุไว้</li> <li> <code>Exists</code>: เลือก pod ที่มี labels ที่ระบุ</li> <li> <code>DoesNotExist</code>: เลือก pod ที่ไม่มี labels ที่ระบุ </li> </ul> <p>นอกจากนี้ ยังมีการระบุรายละเอียดการ schedule pods ลงไปอีก 2 parameters คือ</p> <ul> <li> <code>requiredDuringSchedulingIgnoredDuringExecution</code>: ต้องมี labels ตาม conditions ที่กำหนดเท่านั้น ถ้าไม่มี ไม่ schedule (hard affinity)</li> <li> <code>preferredDuringSchedulingIgnoredDuringExecution</code>: ถ้าไม่มี labels ตาม conditions ที่กำหนด ก็ไม่เป็นไร แต่ถ้ามีก็จะ schedule ตาม conditions ที่กำหนดนั้น (soft affinity)</li> </ul> <p>มากไปกว่านั้น เรายังสามารถใช้ร่วมกับ <code>topologyKey</code> ได้อีกด้วย ดังนี้</p> <ul> <li>ถ้าระบุ <code>Affinity</code> พร้อมกับ <code>Anti-affinity</code> ที่เป็น <code>requiredDuringSchedulingIgnoredDuringExecution</code> ต้องระบุ <code>topologyKey</code> </li> <li>ถ้าระบุ <code>Anti-affinity</code> ที่เป็น <code>requiredDuringSchedulingIgnoredDuringExecution</code> เท่านั้น <code>topologyKey</code> ต้องเป็น <code>kubernetes.io/hostname</code> </li> <li>ถ้าระบุ <code>Anti-affinity</code> ที่เป็น <code>preferredDuringSchedulingIgnoredDuringExecution</code> เท่านั้น <code>topologyKey</code> ต้องระบุ <code>topologyKey</code> </li> <li>นอกเหนือจากข้างบน <code>topologyKey</code> เป็นค่าอะไรก็ได้ ใน built-in Labels</li> </ul> <p><u>ตัวอย่าง</u> </p> <ul> <li> <p>หากเราต้องการ deploy ของ Redis cluster ที่มี 3 replicas ซึ่งแต่ละ replica อยู่คนละ node กัน เพื่อเพิ่ม fault-tolerance deployment จะเป็นดังนี้<br> </p> <pre class="highlight yaml"><code><span class="na">apiVersion</span><span class="pi">:</span> <span class="s">apps/v1</span> <span class="na">kind</span><span class="pi">:</span> <span class="s">Deployment</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">redis-cache</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">selector</span><span class="pi">:</span> <span class="na">matchLabels</span><span class="pi">:</span> <span class="na">app</span><span class="pi">:</span> <span class="s">store</span> <span class="na">replicas</span><span class="pi">:</span> <span class="m">3</span> <span class="na">template</span><span class="pi">:</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">labels</span><span class="pi">:</span> <span class="na">app</span><span class="pi">:</span> <span class="s">store</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">affinity</span><span class="pi">:</span> <span class="na">podAntiAffinity</span><span class="pi">:</span> <span class="na">requiredDuringSchedulingIgnoredDuringExecution</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">labelSelector</span><span class="pi">:</span> <span class="na">matchExpressions</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">key</span><span class="pi">:</span> <span class="s">app</span> <span class="na">operator</span><span class="pi">:</span> <span class="s">In</span> <span class="na">values</span><span class="pi">:</span> <span class="pi">-</span> <span class="s">store</span> <span class="na">topologyKey</span><span class="pi">:</span> <span class="s2">"</span><span class="s">kubernetes.io/hostname"</span> <span class="na">containers</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">redis-server</span> <span class="na">image</span><span class="pi">:</span> <span class="s">redis:3.2-alpine</span> </code></pre> <p>แต่ละ Pods ใน Deployment มี Labels เป็น <code>app: store</code> และใน <code>podAntiAffinity</code> ว่าไม่ให้อยู่ร่วมกับ pods ที่มี label <code>app: store</code> นั้นหมายความว่า ห้าม pod Redis นี้อยู่ร่วมกัน<br> </p> <pre class="highlight shell"><code><span class="c"># เนื่องจาก มี 3 nodes cluster ดังนั้นต้องทำการ untaint master ก่อน</span> <span class="nv">$ </span>kubectl taint nodes <span class="nt">--all</span> node-role.kubernetes.io/master- node/kube-0001.novalocal untainted taint <span class="s2">"node-role.kubernetes.io/master"</span> not found taint <span class="s2">"node-role.kubernetes.io/master"</span> not found <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> redis.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: apps/v1 kind: Deployment metadata: name: redis-cache spec: selector: matchLabels: app: store replicas: 3 template: metadata: labels: app: store spec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - store topologyKey: "kubernetes.io/hostname" containers: - name: redis-server image: redis:3.2-alpine </span><span class="no">EOF </span><span class="nv">$ </span>kubectl create <span class="nt">-f</span> redis.yaml deployment.apps/redis-cache created <span class="nv">$ </span>kubectl get pods <span class="nt">-o</span> wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES redis-cache-6bc7d5b59d-ngnsf 1/1 Running 0 33s 192.168.93.152 kube-0001.novalocal &lt;none&gt; &lt;none&gt; redis-cache-6bc7d5b59d-swzjm 1/1 Running 0 33s 192.168.32.63 kube-0003.novalocal &lt;none&gt; &lt;none&gt; redis-cache-6bc7d5b59d-vzs7h 1/1 Running 0 33s 192.168.52.66 kube-0002.novalocal &lt;none&gt; &lt;none&gt; </code></pre> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fgfbiw4e9v040xxlh49da.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fgfbiw4e9v040xxlh49da.png" alt="Alt Text" width="513" height="187"></a></p> </li> <li> <p>หากเราต้องการ deploy frontend ของ web ecommerce ที frontend และ redis ต้องอยู่ node เดียวกัน โดยแต่ละคู่ต้องอยูู่คนละ node กัน เพื่อเพิ่ม fault-tolerance deployment จะเป็นดังนี้<br> </p> <pre class="highlight yaml"><code><span class="na">apiVersion</span><span class="pi">:</span> <span class="s">apps/v1</span> <span class="na">kind</span><span class="pi">:</span> <span class="s">Deployment</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">web-server</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">selector</span><span class="pi">:</span> <span class="na">matchLabels</span><span class="pi">:</span> <span class="na">app</span><span class="pi">:</span> <span class="s">web-store</span> <span class="na">replicas</span><span class="pi">:</span> <span class="m">3</span> <span class="na">template</span><span class="pi">:</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">labels</span><span class="pi">:</span> <span class="na">app</span><span class="pi">:</span> <span class="s">web-store</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">affinity</span><span class="pi">:</span> <span class="na">podAntiAffinity</span><span class="pi">:</span> <span class="na">requiredDuringSchedulingIgnoredDuringExecution</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">labelSelector</span><span class="pi">:</span> <span class="na">matchExpressions</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">key</span><span class="pi">:</span> <span class="s">app</span> <span class="na">operator</span><span class="pi">:</span> <span class="s">In</span> <span class="na">values</span><span class="pi">:</span> <span class="pi">-</span> <span class="s">web-store</span> <span class="na">topologyKey</span><span class="pi">:</span> <span class="s2">"</span><span class="s">kubernetes.io/hostname"</span> <span class="na">podAffinity</span><span class="pi">:</span> <span class="na">requiredDuringSchedulingIgnoredDuringExecution</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">labelSelector</span><span class="pi">:</span> <span class="na">matchExpressions</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">key</span><span class="pi">:</span> <span class="s">app</span> <span class="na">operator</span><span class="pi">:</span> <span class="s">In</span> <span class="na">values</span><span class="pi">:</span> <span class="pi">-</span> <span class="s">store</span> <span class="na">topologyKey</span><span class="pi">:</span> <span class="s2">"</span><span class="s">kubernetes.io/hostname"</span> <span class="na">containers</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">web-app</span> <span class="na">image</span><span class="pi">:</span> <span class="s">nginx:1.16-alpine</span> </code></pre> <p>เราให้ pod ของ frontend มี label เป็น <code>app: web-store</code> โดย</p> <ul> <li>ระบุ <code>podAntiAffinity</code> ด้วย label <code>app: web-store</code> ซึ่งหมายความว่า ห้าม frontend อยู่ร่วม node กัน</li> <li>ระบุ <code>podAffinity</code> ด้วย label <code>app: store</code> ซึ่งหมายความว่า frontend ต้องอยู่ร่วมใน node เดียวกับ backend </li> </ul> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> web-store.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: apps/v1 kind: Deployment metadata: name: web-server spec: selector: matchLabels: app: web-store replicas: 3 template: metadata: labels: app: web-store spec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - web-store topologyKey: "kubernetes.io/hostname" podAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - store topologyKey: "kubernetes.io/hostname" containers: - name: web-app image: nginx:1.16-alpine </span><span class="no">EOF </span><span class="nv">$ </span>kubectl create <span class="nt">-f</span> web-store.yaml deployment.apps/web-server created <span class="nv">$ </span>kubectl get pods <span class="nt">-o</span> wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES redis-cache-6bc7d5b59d-brsp5 1/1 Running 0 118s 192.168.52.67 kube-0002.novalocal &lt;none&gt; &lt;none&gt; redis-cache-6bc7d5b59d-crgrb 1/1 Running 0 118s 192.168.93.153 kube-0001.novalocal &lt;none&gt; &lt;none&gt; redis-cache-6bc7d5b59d-kp4kq 1/1 Running 0 118s 192.168.32.1 kube-0003.novalocal &lt;none&gt; &lt;none&gt; web-server-75b987f474-4qggk 1/1 Running 0 10s 192.168.32.2 kube-0003.novalocal &lt;none&gt; &lt;none&gt; web-server-75b987f474-jswff 1/1 Running 0 10s 192.168.52.68 kube-0002.novalocal &lt;none&gt; &lt;none&gt; web-server-75b987f474-kkddh 1/1 Running 0 10s 192.168.93.154 kube-0001.novalocal &lt;none&gt; &lt;none&gt; </code></pre> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2F5v5ut5rznhqipytq8wml.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2F5v5ut5rznhqipytq8wml.png" alt="Alt Text" width="513" height="187"></a></p> </li> </ul> <p><a></a></p> <h1> Node Affinity Rules </h1> <p>เหมือนกับ <code>nodeSelector</code> แต่เพิ่มเติมความสามารถของ affinity เช่น operators (<code>In</code>, <code>NotIn</code>, <code>Exists</code>, <code>DoesNotExist</code>) และ <code>requiredDuringSchedulingIgnoredDuringExecution</code>/<code>preferredDuringSchedulingIgnoredDuringExecution</code> เข้ามา </p> <p>พร้อมกันนั้นก็มีแผนที่จะทำ <code>requiredDuringSchedulingIgnoredDuringExecution</code> เพิ่มด้วย ซึ่ง ถ้ามีการเปลี่ยน labels ของ nodes จะมีผลกับ pod ที่ run อยู่ด้วย</p> <p><u>ตัวอย่าง</u><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight yaml"><code><span class="na">apiVersion</span><span class="pi">:</span> <span class="s">v1</span> <span class="na">kind</span><span class="pi">:</span> <span class="s">Pod</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">with-node-affinity</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">affinity</span><span class="pi">:</span> <span class="na">nodeAffinity</span><span class="pi">:</span> <span class="na">requiredDuringSchedulingIgnoredDuringExecution</span><span class="pi">:</span> <span class="na">nodeSelectorTerms</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">matchExpressions</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">key</span><span class="pi">:</span> <span class="s">kubernetes.io/e2e-az-name</span> <span class="na">operator</span><span class="pi">:</span> <span class="s">In</span> <span class="na">values</span><span class="pi">:</span> <span class="pi">-</span> <span class="s">e2e-az1</span> <span class="pi">-</span> <span class="s">e2e-az2</span> <span class="na">preferredDuringSchedulingIgnoredDuringExecution</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">weight</span><span class="pi">:</span> <span class="m">1</span> <span class="na">preference</span><span class="pi">:</span> <span class="na">matchExpressions</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">key</span><span class="pi">:</span> <span class="s">another-node-label-key</span> <span class="na">operator</span><span class="pi">:</span> <span class="s">In</span> <span class="na">values</span><span class="pi">:</span> <span class="pi">-</span> <span class="s">another-node-label-value</span> <span class="na">containers</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">with-node-affinity</span> <span class="na">image</span><span class="pi">:</span> <span class="s">k8s.gcr.io/pause:2.0</span> </code></pre> </div> <p>ถ้ามี node ที่มี label <code>another-node-label-key: another-node-label-value</code> pod นี้จะถูก schedule ไปยัง node นั้น แต่ถ้าไม่มีจะไปดู node ที่มี labels <code>kubernetes.io/e2e-az-name: e2e-az1</code> หรือ <code>kubernetes.io/e2e-az-name: e2e-az2</code><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl label nodes kube-0002.novalocal kubernetes.io/e2e-az-name<span class="o">=</span>e2e-az2 node/kube-0002.novalocal labeled <span class="nv">$ </span>kubectl get nodes <span class="nt">--show-labels</span> NAME STATUS ROLES AGE VERSION LABELS kube-0001.novalocal Ready master 88d v1.17.1 <span class="o">(</span>...<span class="o">)</span> kube-0002.novalocal Ready &lt;none&gt; 88d v1.17.1 <span class="o">(</span>...<span class="o">)</span>,kubernetes.io/e2e-az-name<span class="o">=</span>e2e-az2,<span class="o">(</span>...<span class="o">)</span> kube-0003.novalocal Ready &lt;none&gt; 88d v1.17.1 <span class="o">(</span>...<span class="o">)</span> <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> node-affinity.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Pod metadata: name: with-node-affinity spec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: kubernetes.io/e2e-az-name operator: In values: - e2e-az1 - e2e-az2 preferredDuringSchedulingIgnoredDuringExecution: - weight: 1 preference: matchExpressions: - key: another-node-label-key operator: In values: - another-node-label-value containers: - name: with-node-affinity image: k8s.gcr.io/pause:2.0 </span><span class="no">EOF </span><span class="nv">$ </span>kubectl create <span class="nt">-f</span> node-affinity.yaml pod/with-node-affinity created <span class="nv">$ </span>kubectl get pods <span class="nt">-o</span> wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES with-node-affinity 1/1 Running 0 23s 192.168.52.69 kube-0002.novalocal &lt;none&gt; &lt;none&gt; </code></pre> </div> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fnwjj170s2703h5pembxj.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fnwjj170s2703h5pembxj.png" alt="Alt Text" width="513" height="259"></a></p> <p><a></a></p> <h1> Taints </h1> <p>taints คือความสามารถของ node ในการที่จะไม่ให้ pod ที่ไม่เหมาะสม มา run ที่มันได้ โดย pod ที่ไม่มี toleration ต่อ taints ของ node จะไม่สามารถ schedule pod มา run ที่ node นั้นได้</p> <p>taints จะมีลักษณะแบบนี้ <code>key=value:effect</code> โดย <code>key</code> กับ <code>value</code> เป็นค่าใดๆ ก็ได้ที่กำหนดโดย adminitrator และ <code>effect</code> มีให้เลือก 3 แบบคือ</p> <ul> <li> <code>NoSchedule</code>: ห้าม schedule pod มายัง node โดย pod ที่ run อยู่ก่อน assign taints จะไม่ได้รับผลกระทบ</li> <li> <code>PreferNoSchedule</code>: ถ้าหา node ที่เหมาะสมไม่ได้แล้วจริงๆ ก็ schedule pod มายัง node นี้ได้</li> <li> <code>NoExecute</code>: pod ใหม่ก็ห้าม schedule มา pod เก่าก็ต้องอพยบไปที่อื่น โดยถ้า pod มี <code>tolerationSeconds</code> กำหนดอยู่มันจะรอจนกว่าจะครบ <code>tolerationSeconds</code> ถึงจะ อบยพออกไป</li> </ul> <p>ถ้า node มีหลาย taints pods ที่มี tolerations ทุก taints ถึงจะมา run ใน node นั้นๆ ได้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># วิธีการเพิ่ม taints ให้กับ node</span> <span class="nv">$ </span>kubectl taint nodes node1 <span class="nv">key</span><span class="o">=</span>value:NoSchedule <span class="c"># วิธีการลบ taints ออกจาก node</span> <span class="nv">$ </span>kubectl taint nodes node1 key:NoSchedule- </code></pre> </div> <p><a></a></p> <h1> Tolerations </h1> <p>เป็นการใส่ความสามารถให้ pod ทนต่อ taints ของ node ได้ โดย <strong>ต้อง match ทั้ง key, value และ effect</strong></p> <p>ซึ่ง key และ value เราสามารถกำหนด tolerations ได้ด้วย 2 operators คือ</p> <ul> <li> <p><code>Exists</code>: ถ้า tolerations ที่เรากำหนด มี key ตรงกับ taints ของ node ก็ถือว่า match แล้ว<br> </p> <pre class="highlight yaml"><code><span class="na">tolerations</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">key</span><span class="pi">:</span> <span class="s2">"</span><span class="s">key"</span> <span class="na">operator</span><span class="pi">:</span> <span class="s2">"</span><span class="s">Exists"</span> <span class="na">effect</span><span class="pi">:</span> <span class="s2">"</span><span class="s">NoSchedule"</span> </code></pre> </li> <li> <p><code>Equal</code>: ต้องตรงทั้ง key และ value ถึงจะถือว่า match (default operator)<br> </p> <pre class="highlight yaml"><code><span class="na">tolerations</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">key</span><span class="pi">:</span> <span class="s2">"</span><span class="s">key"</span> <span class="na">operator</span><span class="pi">:</span> <span class="s2">"</span><span class="s">Equal"</span> <span class="na">value</span><span class="pi">:</span> <span class="s2">"</span><span class="s">value"</span> <span class="na">effect</span><span class="pi">:</span> <span class="s2">"</span><span class="s">NoSchedule"</span> </code></pre> </li> </ul> <p>ถ้าไม่ระบุ effect ถือว่า ทน (toleration) ได้ทุก effect ดังนั้น เราสามารถระบุ toleration level 999 ที่ทนทานได้แทนทุก taint ดังนี้</p> <ul> <li> <p>ระบุแค่ <code>operator: Exists</code> -&gt; <strong>ทนได้ทุก taints</strong><br> </p> <pre class="highlight yaml"><code><span class="na">tolerations</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">operator</span><span class="pi">:</span> <span class="s2">"</span><span class="s">Exists"</span> </code></pre> </li> <li> <p>ระบุแค่ <code>operator: Exists</code> และ <code>key: "key"</code> -&gt; <strong>ทนได้ทุก taints ที่มี key ตรงกัน</strong><br> </p> <pre class="highlight yaml"><code><span class="na">tolerations</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">key</span><span class="pi">:</span> <span class="s2">"</span><span class="s">key"</span> <span class="na">operator</span><span class="pi">:</span> <span class="s2">"</span><span class="s">Exists"</span> </code></pre> </li> </ul> <p>ถ้า node มีหลาย taints pods ที่จะ schedule ได้ ต้องมี tolerations ครบทุก taints ถ้าไม่ครบ pods จะถูกปฏิบัติด้วย effect ของ taints ที่มีความแรงที่สุดที่ไม่ match</p> <p>Use cases ของ taints และ toleration เช่น</p> <ul> <li>Dedicated Nodes ที่เราจะ reserve ไว้ให้แค่บางกลุ่มของ users ใช้งาน</li> <li>Nodes with Special Hardware</li> </ul> <p><a></a></p> <h1> Custom Scheduler </h1> <p>ถ้า affinity, taints และ policies ยังไม่พอดับความต้องการของเรา เราสามารถสร้าง scheduler ของเราเองได้ โดยสามารถเข้าไปดูได้ที่ <a href="https://github.com/kubernetes/kubernetes/tree/master/pkg/scheduler" rel="noopener noreferrer">Github</a></p> <p>เพื่อใช้ scheduler ใหม่ของเรา เราต้องระบุ scheduler name เข้าไปใน pod specification ด้วย ถ้าไม่ระบุจะใช้ default scheduler แต่ถ้าเราระบุ scheduler ผิด pod ของเราจะอยู่ในสถานะ Pending</p> <p>เราสามารถดูข้อมูลของ scheduler และ information อื่นๆ ได้ด้วย <code>kubectl get events</code><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl get events LAST SEEN TYPE REASON OBJECT MESSAGE 41s Normal Killing pod/nginx Stopping container nginx 2s Normal Scheduled pod/nginx Successfully assigned default/nginx to kube-0003.novalocal 1s Normal Pulled pod/nginx Container image <span class="s2">"nginx"</span> already present on machine 1s Normal Created pod/nginx Created container nginx 1s Normal Started pod/nginx Started container nginx </code></pre> </div> kubernetes devops Django เลือก template มา render อย่างไร และทำไม Best Practice ถึงถูก 8P Inc. Tue, 07 Apr 2020 15:30:44 +0000 https://dev.to/peepeepopapapeepeepo/django-template-render-best-practice-4d33 https://dev.to/peepeepopapapeepeepo/django-template-render-best-practice-4d33 <p>จากการลองเล่น framework ตัวหนึ่งชื่อ Django (จังโก้) เพื่อนำมาใช้ในการทำ Web GUI สำหรับ project หนึ่ง</p> <p>พอลองเล่นมาถึง <a href="https://docs.djangoproject.com/en/3.0/intro/tutorial03/" rel="noopener noreferrer">Writing your first Django app, part 3</a> เกิดงงเรื่อง directory structure ของ template ที่ต้องเป็น <code>project_name/app_name/templates/app_name/</code> และการสั่ง render template ต้องอ้างอิงชื่อเป็น <code>app_name/home.html</code> ซึ่งเค้าบอกว่าเป็น Best Practice </p> <p>ที่ผมงงคือ... ทำไม directory structure ต้องมี <code>app_name</code> ซ้ำ 2 ครั้งเลยล่ะ ครั้งเดียวมันน่าจะรู้แล้วไหม และ ตอนเรียก template มา render ก็ต้องใส่ <code>app_name</code> ข้างหน้าชื่อ template อีก ซึ่งเราทำที่ app นี้อยู่แล้วทำไม่ยังต้องระบุอีกล่ะ</p> <blockquote> <p><strong>OK! ถ้ามันเป็น Best Practice ความไม่ make sense ต้องมีคำอธิบาย</strong></p> </blockquote> <p>มาดูกัน ผมเจออะไร (ต้องบอกก่อนว่าผมเพิ่งหัดใช้นะครับ เรื่องนี้หลายคนอาจรู้อยู่แล้ว 😁)</p> <p>ใน <code>settings.py</code> ของ Django ที่เป็น "DjangoTemplate" จะเป็นแบบนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight python"><code><span class="n">TEMPLATES</span> <span class="o">=</span> <span class="p">[</span> <span class="p">{</span> <span class="sh">'</span><span class="s">BACKEND</span><span class="sh">'</span><span class="p">:</span> <span class="sh">'</span><span class="s">django.template.backends.django.DjangoTemplates</span><span class="sh">'</span><span class="p">,</span> <span class="sh">'</span><span class="s">DIRS</span><span class="sh">'</span><span class="p">:</span> <span class="p">[],</span> <span class="sh">'</span><span class="s">APP_DIRS</span><span class="sh">'</span><span class="p">:</span> <span class="bp">True</span><span class="p">,</span> <span class="sh">'</span><span class="s">OPTIONS</span><span class="sh">'</span><span class="p">:</span> <span class="p">{</span> <span class="sh">'</span><span class="s">context_processors</span><span class="sh">'</span><span class="p">:</span> <span class="p">[</span> <span class="sh">'</span><span class="s">django.template.context_processors.debug</span><span class="sh">'</span><span class="p">,</span> <span class="sh">'</span><span class="s">django.template.context_processors.request</span><span class="sh">'</span><span class="p">,</span> <span class="sh">'</span><span class="s">django.contrib.auth.context_processors.auth</span><span class="sh">'</span><span class="p">,</span> <span class="sh">'</span><span class="s">django.contrib.messages.context_processors.messages</span><span class="sh">'</span><span class="p">,</span> <span class="p">],</span> <span class="p">},</span> <span class="p">},</span> <span class="p">]</span> </code></pre> </div> <p>เราจะสนใจ 2 parameters นี้ก่อนคือ</p> <ol> <li> <code>DIRS</code> คือ path ที่เราต้องการให้ django ไปค้นหา เป็น list of strings (default = [])</li> <li> <code>APP_DIRS</code> คือ เป็น boolean บอกว่าให้หา template ใน directory ของ app หรือ ไม่ (default = True)</li> </ol> <p>โดย พฤติกรรมในการหา template ของ "DjangoTemplate" จะเป็นลำดับตามนี้ </p> <ol> <li> <p>หาใน <code>DIRS</code> ก่อน โดยหาตามลำดับของ list ที่เรากำหนด <br> เช่น <code>DIRS = ['path/to/template1', 'path/to/template2', 'path/to/template3']</code> จะหาตามลำดับดังนี้</p> <blockquote> <p>/path/to/template1/<br> /path/to/template2/<br> /path/to/template3/</p> </blockquote> </li> <li> <p>หาใน <code>APP_DIRS</code> โดยถ้าเราตั้งค่าเป็น <code>True</code> Django จะไปดูจาก ตัวแปร <code>INSTALLED_APPS</code> ใน <code>settings.py</code> ซึ่ง เป็น list of string เช่น <code>INSTALLED_APPS = ['app-a', 'app-b', 'app-c']</code> Django จะหาตามลำดับของ list นี้ ดังนี้</p> <blockquote> <p>/path/to/project/app-a/templates/<br> /path/to/project/app-b/templates/<br> /path/to/project/app-b/templates/</p> </blockquote> </li> </ol> <p>จากตัวอย่างข้างต้น ลำดับของ directory ที่ Django ใช้หา template คือ</p> <blockquote> <p>/path/to/template1/<br> /path/to/template2/<br> /path/to/template3/<br> /path/to/project/app-a/templates/<br> /path/to/project/app-b/templates/ 👈 เราจะเขียน template ที่นี่<br> /path/to/project/app-b/templates/</p> </blockquote> <p>ด้วย logic การทำงานแบบนี้ ถ้าเราเขียน template ที่ <code>app-b</code> ชื่อ <code>home.html</code> แล้วเราระบุ ชื่อ template ในการ render แค่ <code>home.html</code> ถ้าบังเอิญว่า <code>app-a</code> ก็มี <code>home.html</code> อยู่เช่นกัน มันจะไป render <code>home.html</code> ของ app-a แทน เพราะมันหาเจอก่อน</p> <p>ด้วยพฤติกรรมการทำงานแบบนี้ เราจึงต้องทำตาม Best Practice โดยสร้าง sub directory ที่เป็นชื่อ app ใต้ directory templatate ของ app นั้นๆ ด้วย ดังนี้</p> <blockquote> <p>/path/to/template1/<br> /path/to/template2/<br> /path/to/template3/<br> /path/to/project/app-a/templates/app-a/<br> /path/to/project/app-b/templates/app-b/ 👈 เราจะเขียน template ที่นี่<br> /path/to/project/app-b/templates/app-c/</p> </blockquote> <p>และเวลาที่เราเรียก template มาใช้งานก็จะเรียกด้วยการระบุชื่อ template ดังนี้ <code>app-b/home.html</code></p> <p>ด้วยวิธีนี้ การ render จะไม่หยิบ template มาผิด app</p> django python templates LFS258 [9/15]: Ingress 8P Inc. Mon, 30 Mar 2020 14:56:54 +0000 https://dev.to/peepeepopapapeepeepo/lfs258-9-15-ingress-pjh https://dev.to/peepeepopapapeepeepo/lfs258-9-15-ingress-pjh <h1> TL;DR </h1> <ul> <li> Ingress Overview: เป็น L7 load balancer หลักๆ มี GCE, Nginx, HAProxy และ Traefix เป็นต้น</li> <li> Ingress Controller: เป็น controller ที่ monitor URI <code>/ingresses</code> ของ API server เพื่อนำมา configure rule </li> <li> Nginx: เป็น Ingress Controller ที่ใช้ Nginx เป็น reverse proxy</li> <li> Google Load Balancer Controller (GLBC): เป็น reverse proxy ของ Google ใช้งานได้บน Goole Cloud ทั้ง GCE และ GKE</li> <li> Ingress API Resources: แสดง YAML file ในการสร้าง Ingress</li> <li> Deploying the Ingress Controller: แสดงการ setup Nginx Ingress</li> <li> Creating an Ingress Rule: สร้าง rule และทำสอบ Nginx Ingress</li> <li> Multiple Rules: สร้าง rule แบบ multi-domain และทำสอบ</li> <li> Intelligent Connected Proxies: คือ service mesh เช่น Istio, Enovy และ Linkerd</li> </ul> <p><a></a></p> <h1> Ingress Overview </h1> <p>ใน article ก่อนหน้านี้ เราได้เรียนรู้เกี่ยวกับ Service ซึ่งใช้ในการ expose application ให้ client ที่อยู่นอก cluster ใช้งานได้ ในบทนี้เราจะเรียนรู้เกี่ยวกับ <strong>Ingress Controllers</strong> และ <strong>Rules</strong> ซึ่งทำหน้าที่เดียวกัน แต่ต่างกันที่ประสิทธิภาพ แทนที่จะต้องใช้ load balancer เป็นตัวช่วย Ingress สามารถทำแบบนั้นได้เลย ไม่ว่าจะเป็น route ตาม domain หรือ URI Path</p> <p>Ingress Controllers ไม่ได้เป็นส่วนหนึ่งของ <code>kube-controller-manager</code> binary แต่มันจะมี controller เป็นของตัวเอง ซึ่งก็มีได้หลาย controller โดย controller จะใช้ Ingress Rules ในการจัดการกับ traffic ทั้งขาเข้าและขาออก</p> <p>Ingress รองรับ 2 controllers หลัก คือ <strong>GCE</strong> และ <strong>nginx</strong> จริงๆ แล้ว tool อื่นที่ทำหน้าที่เป็น reverse proxy เช่น <strong>HAProxy</strong> และ <strong>Traefix</strong> ก็ใช้งานได้ โดยมันจะ route traffic มายัง Service ที่ on แบบ <code>ClusterIP</code> ได้เลยตาม Ingress Rule ที่เรา configure ไว้</p> <p><a></a></p> <h1> Ingress Controller </h1> <p><strong>Ingress Controller</strong> อยู่ใน <code>networking.k8s.io/v1beta1</code> resource group เป็น daemon ที่ run ใน Pod ซึ่งจะคอย monitor การเปลี่ยนแปลงของ <code>/ingresses</code> บน <code>kube-apiserver</code> ถ้าหากพบการเปลี่ยนแปลง มันจะไป configure rules เพื่อ support ให้ โดย traffic ส่วนใหญ่จะเป็น HTTP วิธีนี้จะทำให้สามารถเข้าถึง Services ได้ โดยไม่ต้องสนใจว่า Pods นั้นถูก deploy ไว้ที่ node ไหน</p> <p>เราสามารถ deploy <strong>Ingress Controller</strong> ได้มากกว่า 1 controller ใน cluster เดียวกัน traffic จะใช้ <code>annotation</code> ในการเลือก controller ทีละตัวจนกว่าจะพบตัวที่เหมาะสม </p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2F7bx890ligule8t1cxsca.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2F7bx890ligule8t1cxsca.png" alt="inbound-ingress" width="651" height="578"></a></p> <p><a></a></p> <h1> Nginx </h1> <p>การ deploy Nginx Controller สามารถดูตัวอย่างของหลากหลาย platform ได้จาก <a href="https://github.com/kubernetes/ingress-nginx/tree/master/deploy" rel="noopener noreferrer">ingress-nginx</a></p> <p>เราสามารถ configure <strong>Nginx Controller</strong> ได้ผ่านทาง <code>ConfigMap</code> และ <code>Annotations</code> แต่ถ้ายังไม่พอใจเราสามารถ configure จาก <a href="https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/custom-template/" rel="noopener noreferrer"><code>custom template</code></a> ได้ด้วย</p> <p>คุณสมบัติของ Nginx Controller</p> <ul> <li>integrate กับ RBAC ได้ง่าย</li> <li>ใช้ annotation <code>kubernetes.io/ingress.class: "nginx"</code> </li> <li>ถ้าจะใช้เป็น L7 revere proxy ต้องระบุ <code>proxy-real-ip-cidr</code> ด้วย</li> <li>ถ้าจะใช้ feature <strong>session affinity</strong> ต้อง bypass <code>kube-proxy</code> </li> <li>ไม่ได้ใช้ <a href="http://conntrack-tools.netfilter.org/" rel="noopener noreferrer"><code>conntrack</code></a> ที่เกิดจาก DNAT ของ iptables</li> <li>ถ้าจะให้ terminate TLS ให้ต้องระบุุ host field ด้วย</li> </ul> <h2> <a></a> </h2> <h1> Google Load Balancer Controller (GLBC) </h1> <p>GLBC คือ GCE L7 load balancer controller ที่จัดการ external loadbalancers ด้วย Kubernetes Ingress API </p> <p>ในสร้าง 1 Ingress ต้องมี cloud resource เหล่านี้</p> <ol> <li> <strong>Global Forwarding Rule</strong>: เป็นตัว manage VIP ของ Ingress</li> <li> <strong>TargetHttpProxy</strong>: เป็นตัว manage SSL certs และ proxy ระหว่าง VIP และ Backend</li> <li> <strong>URL Map</strong>: routing rules</li> <li> <strong>Backend Service</strong>: รวม หลายๆ Instance Groups เป็น 1 Service Node Port </li> <li> <strong>Instance Group</strong>: VM ที่ เป็น kubernetes node</li> </ol> <p>Pipeline เป็นแบบนี้</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fdkzsb2n78oqvz4b7p0na.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Fdkzsb2n78oqvz4b7p0na.png" alt="pipeline" width="800" height="144"></a></p> <p>โดย</p> <ul> <li>แต่ละ Backend Service ต้องทำการ health check ไปยัง NodePort ของ Service</li> <li>แต่ละ port ของ Backend Service ต้องตรงกับ Instance Group</li> <li>แต่ละ port ของ Backend Service จะถูก expose ผ่าน firewall บน GCE LB IP ranges (130.211.0.0/22 and 35.191.0.0/16)</li> </ul> <p>ตอนนี้ Ingress สามารถใช้ TLS และ TLS termination ที่ port 443 และยังไม่ support SNI</p> <p><a></a></p> <h1> Ingress API Resources </h1> <p>Ingress object ยังเป็น extension API มีตัวอย่าง YAML file ดังนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight yaml"><code><span class="na">apiVersion</span><span class="pi">:</span> <span class="s">networking.k8s.io/v1beta1</span> <span class="na">kind</span><span class="pi">:</span> <span class="s">Ingress</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">ghost</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">rules</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">http</span><span class="pi">:</span> <span class="na">paths</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">path</span><span class="pi">:</span> <span class="s">/testpath</span> <span class="na">pathType</span><span class="pi">:</span> <span class="s">Prefix</span> <span class="na">backend</span><span class="pi">:</span> <span class="na">serviceName</span><span class="pi">:</span> <span class="s">test</span> <span class="na">servicePort</span><span class="pi">:</span> <span class="m">80</span> </code></pre> </div> <p>เราสามารถ manage มันได้ดังนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl get ingress <span class="nv">$ </span>kubectl delete ingress &lt;ingress_name&gt; <span class="nv">$ </span>kubectl edit ingress &lt;ingress_name&gt; </code></pre> </div> <p><a></a></p> <h1> Deploying the Ingress Controller </h1> <p>ในการ deploy Nginx Ingress ทำได้ง่ายๆ โดย ดูได้จาก <a href="https://github.com/kubernetes/ingress-nginx/blob/master/docs/deploy/index.md" rel="noopener noreferrer">Github</a></p> <p>ในตัวอย่างจะขอ install แบบ Bare-Metal โดยใช้ NodePort ดังนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Install</span> <span class="nv">$ </span>kubectl apply <span class="nt">-f</span> https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/mandatory.yaml namespace/ingress-nginx created configmap/nginx-configuration created configmap/tcp-services created configmap/udp-services created serviceaccount/nginx-ingress-serviceaccount created clusterrole.rbac.authorization.k8s.io/nginx-ingress-clusterrole created role.rbac.authorization.k8s.io/nginx-ingress-role created rolebinding.rbac.authorization.k8s.io/nginx-ingress-role-nisa-binding created clusterrolebinding.rbac.authorization.k8s.io/nginx-ingress-clusterrole-nisa-binding created deployment.apps/nginx-ingress-controller created limitrange/ingress-nginx created <span class="nv">$ </span>kubectl apply <span class="nt">-f</span> https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/provider/baremetal/service-nodeport.yaml service/ingress-nginx created <span class="c"># Verify</span> <span class="nv">$ </span>kubectl get pods <span class="nt">--all-namespaces</span> <span class="nt">-l</span> app.kubernetes.io/name<span class="o">=</span>ingress-nginx <span class="nt">--watch</span> NAMESPACE NAME READY STATUS RESTARTS AGE ingress-nginx nginx-ingress-controller-7f74f657bd-9fm44 1/1 Running 0 82s </code></pre> </div> <p><a></a></p> <h1> Creating an Ingress Rule </h1> <ol> <li> <p>ทำการ create deployment และ expose service ที่ port 2368<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl create deployment ghost <span class="nt">--image</span><span class="o">=</span>ghost deployment.apps/ghost created <span class="nv">$ </span>kubectl expose deployment ghost <span class="nt">--port</span> 2368 service/ghost exposed <span class="nv">$ </span>kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT<span class="o">(</span>S<span class="o">)</span> AGE service/ghost ClusterIP 10.107.189.29 &lt;none&gt; 2368/TCP 11s service/kubernetes ClusterIP 10.96.0.1 &lt;none&gt; 443/TCP 74d <span class="nv">$ </span>kubectl get pods NAME READY STATUS RESTARTS AGE pod/ghost-577564ddbd-nfqrc 1/1 Running 0 178m </code></pre> </li> <li> <p>ทำการสร้าง ingress rule โดย request ที่เข้ามา domain เป็น "ghost.192.168.99.100.nip.io" ให้ส่งไปที่ service <code>ghost</code><br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> ingress.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: ghost spec: rules: - host: ghost.192.168.99.100.nip.io http: paths: - backend: serviceName: ghost servicePort: 2368 </span><span class="no">EOF </span><span class="nv">$ </span>kubectl create <span class="nt">-f</span> ingress.yaml ingress.networking.k8s.io/ghost created <span class="nv">$ </span>kubectl get ingress NAME HOSTS ADDRESS PORTS AGE ghost ghost.192.168.99.100.nip.io 80 20s <span class="nv">$ </span>kubectl describe ingress/ghost Name: ghost Namespace: default Address: 10.107.151.119 Default backend: default-http-backend:80 <span class="o">(</span>&lt;none&gt;<span class="o">)</span> Rules: Host Path Backends <span class="nt">----</span> <span class="nt">----</span> <span class="nt">--------</span> ghost.192.168.99.100.nip.io ghost:2368 <span class="o">(</span>192.168.32.59:2368<span class="o">)</span> Annotations: Events: Type Reason Age From Message <span class="nt">----</span> <span class="nt">------</span> <span class="nt">----</span> <span class="nt">----</span> <span class="nt">-------</span> Normal CREATE 3m12s nginx-ingress-controller Ingress default/ghost Normal UPDATE 2m40s nginx-ingress-controller Ingress default/ghost </code></pre> </li> <li> <p>ทำการ test ดูซิว่าถ้า doamin เป็น <strong>ghost.192.168.99.100.nip.io</strong> จะวิ่งไปที่ service <code>ghost</code> หรือไม่ โดยถ้าไปใช่ต้องได้ page ที่มี title เป็น <strong>ghost</strong><br> </p> <pre class="highlight shell"><code><span class="nv">$ </span>curl <span class="nt">-v</span> <span class="nt">-H</span> <span class="s1">'host: ghost.192.168.99.100.nip.io'</span> http://10.107.151.119:80 <span class="nt">-o</span> /dev/null &lt;title&gt;Ghost&lt;/title&gt; </code></pre> </li> </ol> <p><a></a></p> <h1> Multiple Rules </h1> <ol> <li> <p>ทำการ create deployment ชื่อ nginx และ expose service ที่ port 80<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl create deployment nginx <span class="nt">--image</span><span class="o">=</span>nginx deployment.apps/nginx created <span class="nv">$ </span>kubectl expose deployment nginx <span class="nt">--port</span> 80 service/nginx exposed <span class="nv">$ </span>kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT<span class="o">(</span>S<span class="o">)</span> AGE ghost ClusterIP 10.107.189.29 &lt;none&gt; 2368/TCP 12m kubernetes ClusterIP 10.96.0.1 &lt;none&gt; 443/TCP 74d nginx ClusterIP 10.106.200.39 &lt;none&gt; 80/TCP 29s <span class="nv">$ </span>kubectl get pods NAME READY STATUS RESTARTS AGE ghost-577564ddbd-nfqrc 1/1 Running 0 3h11m nginx-86c57db685-vb6gk 1/1 Running 0 63s </code></pre> </li> <li> <p>ทำการ update ingress rule โดย เพิ่มให้ request ที่มี domain เป็น "nginx.192.168.99.100.nip.io" ให้ส่งไปที่ service <code>nginx</code><br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> ingress-2.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: ghost spec: rules: - host: ghost.192.168.99.100.nip.io http: paths: - backend: serviceName: ghost servicePort: 2368 - host: nginx.192.168.99.100.nip.io http: paths: - backend: serviceName: nginx servicePort: 80 </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> ingress-2.yaml ingress.networking.k8s.io/ghost configured <span class="nv">$ </span>kubectl get ingress NAME HOSTS ADDRESS PORTS AGE ghost ghost.192.168.99.100.nip.io,nginx.192.168.99.100.nip.io 10.107.151.119 80 10m <span class="nv">$ </span>kubectl describe ingress/ghost Name: ghost Namespace: default Address: 10.107.151.119 Default backend: default-http-backend:80 <span class="o">(</span>&lt;none&gt;<span class="o">)</span> Rules: Host Path Backends <span class="nt">----</span> <span class="nt">----</span> <span class="nt">--------</span> ghost.192.168.99.100.nip.io ghost:2368 <span class="o">(</span>192.168.32.59:2368<span class="o">)</span> nginx.192.168.99.100.nip.io nginx:80 <span class="o">(</span>192.168.52.65:80<span class="o">)</span> Annotations: kubectl.kubernetes.io/last-applied-configuration: <span class="o">{</span><span class="s2">"apiVersion"</span>:<span class="s2">"networking.k8s.io/v1beta1"</span>,<span class="s2">"kind"</span>:<span class="s2">"Ingress"</span>,<span class="s2">"metadata"</span>:<span class="o">{</span><span class="s2">"annotations"</span>:<span class="o">{}</span>,<span class="s2">"name"</span>:<span class="s2">"ghost"</span>,<span class="s2">"namespace"</span>:<span class="s2">"default"</span><span class="o">}</span>,<span class="s2">"spec"</span>:<span class="o">{</span><span class="s2">"rules"</span>:[<span class="o">{</span><span class="s2">"host"</span>:<span class="s2">"ghost.192.168.99.100.nip.io"</span>,<span class="s2">"http"</span>:<span class="o">{</span><span class="s2">"paths"</span>:[<span class="o">{</span><span class="s2">"backend"</span>:<span class="o">{</span><span class="s2">"serviceName"</span>:<span class="s2">"ghost"</span>,<span class="s2">"servicePort"</span>:2368<span class="o">}}]}}</span>,<span class="o">{</span><span class="s2">"host"</span>:<span class="s2">"nginx.192.168.99.100.nip.io"</span>,<span class="s2">"http"</span>:<span class="o">{</span><span class="s2">"paths"</span>:[<span class="o">{</span><span class="s2">"backend"</span>:<span class="o">{</span><span class="s2">"serviceName"</span>:<span class="s2">"nginx"</span>,<span class="s2">"servicePort"</span>:80<span class="o">}}]}}]}}</span> Events: Type Reason Age From Message <span class="nt">----</span> <span class="nt">------</span> <span class="nt">----</span> <span class="nt">----</span> <span class="nt">-------</span> Normal CREATE 10m nginx-ingress-controller Ingress default/ghost Normal UPDATE 79s <span class="o">(</span>x2 over 9m50s<span class="o">)</span> nginx-ingress-controller Ingress default/ghost </code></pre> </li> <li> <p>ทำการ test ดูซิว่า</p> <ul> <li>ถ้า doamin เป็น <strong>ghost.192.168.99.100.nip.io</strong> จะต้องวิ่งไปที่ service <code>ghost</code> </li> <li>ถ้า doamin เป็น <strong>nginx.192.168.99.100.nip.io</strong> จะต้องวิ่งไปที่ service <code>nginx</code> </li> </ul> <pre class="highlight shell"><code><span class="nv">$ </span>curl <span class="nt">-s</span> <span class="nt">-H</span> <span class="s1">'host: ghost.192.168.99.100.nip.io'</span> http://10.107.151.119:80 | <span class="nb">grep</span> <span class="s1">'&lt;title&gt;'</span> &lt;title&gt;Ghost&lt;/title&gt; <span class="nv">$ </span>curl <span class="nt">-s</span> <span class="nt">-H</span> <span class="s1">'host: nginx.192.168.99.100.nip.io'</span> http://10.107.151.119:80 | <span class="nb">grep</span> <span class="s1">'&lt;title&gt;'</span> &lt;title&gt;Welcome to nginx!&lt;/title&gt; </code></pre> </li> </ol> <p><a></a></p> <h1> Intelligent Connected Proxies </h1> <p>ในกรณีที่ต้องการ feaature ที่เพิ่มขึ้น เช่น service discovery, rate limiting, traffic management หรือ advanced metric เราต้องเปลี่ยนมาใช้ <strong>service mesh</strong> โดย มันจะประกอบด้วย edge proxy และ embeded proxy ซึ่งจะทำงานร่วมกันเพื่อจักการ traffic ตาม rules ที่มาจาก control plane ตัวอย่างของ service mesh เช่น </p> <ul> <li> <strong>Envoy</strong>: เป็น proxy ที่มีการออกแบบแบบ modular และ extensible มักถูกใช้เป็น data plane ของ tool อื่นๆ ของ service mesh</li> <li> <p><strong>Istio</strong>: เป็น tool ที่ช่วยเพิ่มความสามารถของ <strong>Envoy</strong> ด้วยการมี control plane ได้มากกว่า 1 ตัว เป็นตัวที่ทำให้ service mesh flexible ขึ้นและมี feature มากขึ้น</p> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fistio.io%2Fdocs%2Fops%2Fdeployment%2Farchitecture%2Farch.svg" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fistio.io%2Fdocs%2Fops%2Fdeployment%2Farchitecture%2Farch.svg" alt="istio-envoy" width="960" height="540"></a></p> </li> <li><p><strong>Linkerd</strong>: เป็นอีกหนึ่ง service mesh ที่ออกแบบมาให้่ใช้งานได้ง่าย เร็ว และ เบา</p></li> </ul> kubernetes devops nginx LFS258 [8/15]: Kubernetes Volumes and Data 8P Inc. Mon, 23 Mar 2020 10:34:49 +0000 https://dev.to/peepeepopapapeepeepo/lfs258-8-15-kubernetes-volumes-and-data-17de https://dev.to/peepeepopapapeepeepo/lfs258-8-15-kubernetes-volumes-and-data-17de <h1> TL;DR </h1> <ul> <li> Overview: Volume มองง่ายๆ มันคือ hard disk ของ container มีทั้งแบบที่ถ้า Pods ตาย แล้ว data หาย (Ephemeral) และ data ไม่หาย (Persistent) โดย Kubernetes นั้น support storage หลายชนิด ที่เป็นแบบนั้นเพราะ มี FlexVolume และ CSI ซึ่งทำให้ vendor ต่างๆ สามารถพัฒนา library ที่ support product ของตนเองแล้วนำมาต่อกับ Kubernetes ได้เลย</li> <li> Introducing Volumes: Kubernetes mount Volume ในระดับ Pods แสดงว่า container ต่างๆ ที่อยู่ใน Pods จะเห็น Volume เดียวกัน ขึ้นอยู่กับ container จะเลือกเอาอะไรไปใช้ การ access volume ขึ้นอยู่กับ Permission ที่เรากำหนดไว้ โดย Permission จะเป็นระดับ Node เช่น <code>ReadWriteOnce</code>, <code>ReadOnlyMany</code> และ <code>ReadWriteMany</code> </li> <li> Volume Types: Kubernetes support backend storage ได้หลากหลายชนิด เรียกชนิดเหล่านั้นว่า <code>StorageClass</code> โดย <code>StorageClass</code> นี้เองจะเป็นคนไปคุยกับ backend storage เพื่อทำงานต่างๆ ให้</li> <li> Volume Spec: แสดงการใช้งาน <code>emptyDir</code> ซึ่งเป็น <code>StorageClass</code> ที่เป็น Ephemeral Storage</li> <li> Share Volumes: แสดงการใช้ 2 containers ที่อยู่ใน Pod เดียวกัน mount Volume เดียวกัน โดยจะเห็นว่าทั้ง 2 containers เห็น data เดียวกัน</li> <li> Persistence Volumes and Volume Claims: ในการใช้งาน Persistent Volume ต้องสร้าง PV ก่อน จากนั้นสร้าง PVC เพื่อจองพื้นที่จาก PV มาใช้ จากนั้นจึงจะสามารถ attach ไปให้ Pods ใช้งานได้</li> <li> Secrets: เป็นวิธีช่วยให้ Pods การเข้าถึง data ได้ โดย Secret จะถูก encode แบบ base64 โดย Pods สามารถใช้งาน Secret ได้ทั้งแบบ Volume และ Environment Variable</li> <li> ConfigMap: เป็นวิธีช่วยให้ Pods การเข้าถึง data ได้ โดย ConfigMap เป็น plain textโดย Pods สามารถใช้งาน ConfigMap ได้ทั้งแบบ Volume และ Environment Variable</li> </ul> <p><a></a></p> <h1> Overview </h1> <p>Volume ก็คือ storage นั่นเอง มองง่ายๆ มันคือ hard disk ของ container โดยทั่วไป ถ้า container ตายหรือ restart data ในนั้นก็จะหายไป ใน Kubernetes volume จะผูกอยู่กับ Pods ไม่ใช้ container ภายใน โดยถ้า Pods มี หลาย container อยู่ภายใน container นะเห็น volume และ data เดียวกัน</p> <p>ถ้าไม่อยากให้ data หายสามารถใช้ <strong>Persistent Volumes</strong> ได้ ซึ่ง Pods จะต้องทำการ claim volume ผ่านทาง <strong>Persistent Volumes Claim</strong></p> <p>การเขียนหรืออ่านอะไรใน volume จะต้องทำผ่าน backend storage ซึ่งใน v1.17 รองรับถึง <a href="https://kubernetes.io/docs/concepts/storage/volumes/#types-of-volumes" rel="noopener noreferrer">28 ชนิด</a> ไม่ว่าจะเป็น Ceph, NFS หรือ storage ของ cloud providers เจ้าต่างฟๆ ซึ่งอาจมีการ setting ต่างกันตามชนิดของ backend</p> <p>Backend storage ของ kubernetes มี 2 แบบ คือ </p> <ul> <li> <strong>in-tree</strong>: ส่วนใหญ่เป็นมากับ kubernetes มาอย่างยาวนาน โดย code จะถูก built, linked, compiled และ shipped มากับ core ของ Kubernetes เลย Backend ประเภทนี้ค่อยๆ ถูก migrate ไปเป็น <strong>out-of-tree</strong> </li> <li> <strong>out-of-tree</strong>: หลังจากการมาของ <a href="https://kubernetes.io/docs/concepts/storage/volumes/#flexVolume" rel="noopener noreferrer">FlexVolume</a> ใน v1.2 และ <a href="https://kubernetes.io/docs/concepts/storage/volumes/#csi" rel="noopener noreferrer">Container Storage Interface (CSI)</a> ใน v1.9 ทำให้ code ของ backend storage ไม่ต้องรวมอยู่ใน core ของ Kubernetes อีกต่อไป โดย เจ้าของ product สามารถ develop เองแล้วค่อยมาต่อกับ kubernetes ด้วยวิธีนี้ทำให้ core ของ kubernetes เบาขึ้น และ เจ้าของ product สามารถ fix bug หรือ เพิ่ม feature ได้เองโดยไม่ต้องรอมาก merge code กับ kubernets การทำงานก็จะเร็วขึ้น </li> </ul> <p>นอกจากการใช้ volume ที่กล่าวข้างต้น ยังมีอีก 2 ทางในการนำ data เข้าไปยัง Pods นั่นคือ </p> <ul> <li> <strong>Secret</strong>: เป็นการส่งข้อมูลที่ถูก encode แล้ว เข้าไปใน pods เช่น SSH Key หรือ HTTPS certification</li> <li> <strong>ConfigMap</strong>: เป็นการส่งข้อมูลที่ไม่ถูก encode เข้าไปใน pods เช่น configuration file ต่างๆ</li> </ul> <p><a></a></p> <h1> Introducing Volumes </h1> <p><a href="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Ffab39mncp3y6vgi6kdbf.png" class="article-body-image-wrapper"><img src="https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fi%2Ffab39mncp3y6vgi6kdbf.png" alt="Pods-Volumes" width="505" height="617"></a></p> <p>ใน 1 Pods สามารถ mount ได้หลาย volume และสามารถคละ backend type ได้ และเนื่องจาก volume ถูก present ในระดับ Pod ดังนั้น ต่าง container กันสามารถเห็น volume เดียวกันได้ อาจใช้ท่านี้เพื่อใช้ในการทำ container-to-container communition </p> <p>นอกจากนี้ Volume ยังสามารถถูกเข้าถึงได้จากหลายๆ pods พร้อมๆ กัน และสามารถให้สิทธิ์ที่แตกต่างกันได้ แต่เนื่องจาก volume ไม่มี concurrent checking ดังนั้น อาจเกิดปัญหา file corrupt หรือ locking ได้</p> <p>ในการกำหนด access mode ต้องทำ 2 ทางคือ ที่ volume เอง และ ตอนที่ Pods request claim เข้ามา โดย request จะต้องไม่มากกว่าสิทธิ์ที่ volume กำหนดไว้ โดย access mode มี ดังนี้</p> <ul> <li> <strong>ReadWriteOnce</strong>: อนุญาติให้อ่านและเขียนได้จาก node เดียวเท่านั้น (2 pods ที่อยู่ node เดียวกัน สามารถ read/write ได้พร้อมกัน แต่ pods ที่อยู่ต่าง node read/write ไม่ได้ จะได้ error <code>FailedAttachVolume</code>)</li> <li> <strong>ReadOnlyMany</strong>: อนุญาติให้อ่านอย่างเดียว จากหลายๆ node พร้อมๆ กัน</li> <li> <strong>ReadWriteMany</strong>: อนุญาติให้อ่านและเขียนได้จากหลายๆ node พร้อมๆ กัน</li> </ul> <p>kubernetes จะจัดกลุ่มของ volume ที่มี permission เหมือนกันไว้ และ sort volume size จาก น้อยไปหามาก เมื่อมี request เข้ามาก็จะเลือก volume เหมาะสมที่สุดให้ไป </p> <p>เมื่อมีการ request volume </p> <ul> <li>API server ของ kubernetes จะ request ขอ storage ไปยัง <code>StorageClass</code> plugin และ <code>StorageClass</code> plugin จะเป็นคนไปคุยกับ backend storage เอง</li> <li>kubelet จะ map raw devices กับ mount point ใน container แลัวทำเป็น symbolic link บน host node filesystem เพื่อให้ container ใช้งาน storage ได้</li> </ul> <p>ถ้าเราไม่ระบุ <code>StorageClass</code> Kubernetes จะเลือก Storage อะไรก็ได้ที่เหมาะสมกับ size และ access mode ที่เราส่งไปกลับมาให้เรา</p> <p><a></a></p> <h1> Volume Types </h1> <p>Kubernetes รองรับ Backend Storage ได้หลากหลาย บางอย่างใช้แค่ใน local บางอย่างต้องใช้งานผ่าน network ซึ่งแต่ละชนิดก็มีข้อดี ข้อเสีย แต่ต่างกันออกไป เรามาดูตัวอย่างกันซักหน่อย</p> <ul> <li> <strong>GCEpersistentDisk</strong>: เป็นการ mount disk GCE บน Google Cloud Platform เข้าไปใน Pods</li> <li> <strong>awselasticblockstore</strong>: เป็นการ mount disk EBS บน AWS เข้าไปใน Pods</li> <li> <strong>emptyDir</strong>: เป็นการ mount empty directory ให้กับ Pods โดย volume จะเกิดและตายไปพร้อมกับ Pod</li> <li> <strong>hostPath</strong>: เป็นการ mount resource จาก host เช่น file หรือ directoty ให้กับ Pods ซึ่งต้องมี resource ดังกล่าวอยู่ที่ host ก่อน ยกเว้น ถ้าเราใช้ option <code>DirectoryOrCreate</code> หรือ <code>FileOrCreate</code> ที่จะสร้าง resource ให้ Pods หากไม่มี</li> <li> <strong>nfs</strong>: เป็นการ mount NFS (Network File System) ให้กับ Pods (เหมาะกับ multiple readers)</li> <li> <strong>iscsi</strong>: เป็นการ mount iSCSI (SCSI over IP) ให้กับ Pods (เหมาะกับ multiple readers)</li> <li> <strong>rbd</strong>: เป็นการ mount Rados Block Device ให้กับ Pods (เหมาะกับ multiple writers)</li> <li> <strong>cephfs</strong>: เป็นการ mount CephFS volume ให้กับ Pods (เหมาะกับ multiple writers)</li> <li> <strong>glusterfs</strong>: เป็นการ mount Glusterfs (an open source networked filesystem) ให้กับ Pods (เหมาะกับ multiple writers)</li> </ul> <p>สามารถดู Backend Storage เพิ่มเติมได้จาก <a href="https://kubernetes.io/docs/concepts/storage/volumes/" rel="noopener noreferrer">Official Doc</a></p> <p><a></a></p> <h1> Volume Spec </h1> <p>ตัวอย่างการ mount volume ง่ายๆ คือ <strong>emptyDir</strong> โดย <code>emptyDir</code> คือ การสร้าง directory ภายใน container นั่นเอง ไม่ได้ไป mount ที่ไหน การเขียน data จะอยู่ใน shared container space ทำให้ไม่ persistence และ หายไปพร้อมกับการตายของ Pod<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight yaml"><code><span class="na">apiVersion</span><span class="pi">:</span> <span class="s">v1</span> <span class="na">kind</span><span class="pi">:</span> <span class="s">Pod</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">busybox</span> <span class="na">namespace</span><span class="pi">:</span> <span class="s">default</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">containers</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">image</span><span class="pi">:</span> <span class="s">busybox</span> <span class="na">name</span><span class="pi">:</span> <span class="s">busy</span> <span class="na">command</span><span class="pi">:</span> <span class="pi">-</span> <span class="s">sleep</span> <span class="pi">-</span> <span class="s2">"</span><span class="s">3600"</span> <span class="na">volumeMounts</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">mountPath</span><span class="pi">:</span> <span class="s">/scratch</span> <span class="na">name</span><span class="pi">:</span> <span class="s">scratch-volume</span> <span class="na">volumes</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">scratch-volume</span> <span class="na">emptyDir</span><span class="pi">:</span> <span class="pi">{}</span> </code></pre> </div> <p>YAML file ข้างต้น เป็นการสร้าง Pod ที่มี 1 container และมี volume ชื่อ scratch-volume mount ไว้ที /scratch ภายใน container </p> <p>สามารถทดสอบได้ดังนี้<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> busybox-emptyDir.yml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Pod metadata: name: busybox namespace: default spec: containers: - image: busybox name: busy command: - sleep - "3600" volumeMounts: - mountPath: /scratch name: scratch-volume volumes: - name: scratch-volume emptyDir: {} </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> busybox-emptyDir.yml pod/busybox created <span class="nv">$ </span>kubectl get pods NAME READY STATUS RESTARTS AGE busybox 1/1 Running 0 9s <span class="nv">$ </span>kubectl <span class="nb">exec</span> <span class="nt">-it</span> busybox <span class="nt">--</span> sh / <span class="c"># df -h /scratch</span> Filesystem Size Used Available Use% Mounted on /dev/mapper/rhel-var 60.0G 2.5G 57.5G 4% /scratch / <span class="c"># exit</span> <span class="nv">$ </span>kubectl delete <span class="nt">-f</span> busybox-emptyDir.yml pod <span class="s2">"busybox"</span> deleted </code></pre> </div> <p><a></a></p> <h1> Share Volumes </h1> <p>จากที่เรารู้แล้วว่า container ใน pod เดียวกัน จะ share volume กัน หัวข้อนี้จะมาลงมือทำกันดู ก่อนอื่นมาดู YAML กันก่อน<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight yaml"><code><span class="na">apiVersion</span><span class="pi">:</span> <span class="s">v1</span> <span class="na">kind</span><span class="pi">:</span> <span class="s">Pod</span> <span class="na">metadata</span><span class="pi">:</span> <span class="na">name</span><span class="pi">:</span> <span class="s">busybox</span> <span class="na">namespace</span><span class="pi">:</span> <span class="s">default</span> <span class="na">spec</span><span class="pi">:</span> <span class="na">containers</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">image</span><span class="pi">:</span> <span class="s">busybox</span> <span class="na">name</span><span class="pi">:</span> <span class="s">busy</span> <span class="na">command</span><span class="pi">:</span> <span class="pi">-</span> <span class="s">sleep</span> <span class="pi">-</span> <span class="s2">"</span><span class="s">3600"</span> <span class="na">volumeMounts</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">mountPath</span><span class="pi">:</span> <span class="s">/busy</span> <span class="na">name</span><span class="pi">:</span> <span class="s">test</span> <span class="pi">-</span> <span class="na">image</span><span class="pi">:</span> <span class="s">busybox</span> <span class="na">name</span><span class="pi">:</span> <span class="s">box</span> <span class="na">command</span><span class="pi">:</span> <span class="pi">-</span> <span class="s">sleep</span> <span class="pi">-</span> <span class="s2">"</span><span class="s">3600"</span> <span class="na">volumeMounts</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">mountPath</span><span class="pi">:</span> <span class="s">/box</span> <span class="na">name</span><span class="pi">:</span> <span class="s">test</span> <span class="na">volumes</span><span class="pi">:</span> <span class="pi">-</span> <span class="na">name</span><span class="pi">:</span> <span class="s">test</span> <span class="na">emptyDir</span><span class="pi">:</span> <span class="pi">{}</span> </code></pre> </div> <p>จาก YAML file ข้างต้น ใน pod มี 2 containers ชื่อ busy และ box โดย แต่ละ container mount volume ชื่อ test ไว้ที่ path /busy และ /box ตามลำดับ เดี๋ยวเราจะลองเขียนอ่าน file ดูกันว่ามันเห็นเหมือนกันไหม<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> busybox-sharedVolume.yml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Pod metadata: name: busybox namespace: default spec: containers: - image: busybox name: busy command: - sleep - "3600" volumeMounts: - mountPath: /busy name: test - image: busybox name: box command: - sleep - "3600" volumeMounts: - mountPath: /box name: test volumes: - name: test emptyDir: {} </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> busybox-sharedVolume.yml pod/busybox created <span class="nv">$ </span>kubectl get pods NAME READY STATUS RESTARTS AGE busybox 2/2 Running 0 16s <span class="nv">$ </span>kubectl <span class="nb">exec</span> <span class="nt">-it</span> busybox <span class="nt">-c</span> box <span class="nt">--</span> <span class="nb">touch</span> /box/foobar <span class="nv">$ </span>kubectl <span class="nb">exec</span> <span class="nt">-it</span> busybox <span class="nt">-c</span> busy <span class="nt">--</span> <span class="nb">ls</span> /busy/ foobar <span class="nv">$ </span>kubectl delete <span class="nt">-f</span> busybox-sharedVolume.yml pod <span class="s2">"busybox"</span> deleted </code></pre> </div> <p><a></a></p> <h1> Persistence Volumes and Volume Claims </h1> <p>Persistence Volumes (pv) คือ storage ที่ ถ้า pods ตาย data ก็ยังอยู่ การ assign volume ประเภทนี้ ให้กับ Pods จะต้อง define <code>PersistentVolume</code> ก่อน จากนี้ สร้าง <code>persistenctVolumeClaim</code> (pvc) เพื่อขอเฉือน volume มาให้ pod ใช้ จากนั้นจึงค่อย attach persistent volume ก้อนที่ claim มาให้กับ Pod </p> <p>Lifecycle ของ volume และ claim มีดังนี้</p> <ul> <li> <strong>Provisioning</strong>: เป็นการสร้าง PV โดยทำได้ทั้ง Static และ Dynamic <ul> <li> <strong>Statics</strong>: admin create PV ทิ้งไว้ รอให้ users มา claim ไปใช้</li> <li> <strong>Dynamic</strong>: ถ้าไม่มี PV ไหน match กับ PVC เลย kubernetes จะ create PV ให้อันโนมัติ โดย cluster ต้องระบุ <code>DefaultStorageClass</code> ด้วย</li> </ul> </li> <li> <strong>Binding</strong>: อาจเป็นช่วงที่กำลัง match PVC กับ PV หรือ PV รอให้ <code>StorageClass</code> provision PV ขึ้นมา</li> <li> <strong>Using</strong>: เป็นช่วงที่ Pods mount volume ไปใช้แล้ว</li> <li> <strong>Releasing</strong>: เป็นช่วงที่ Pods ส่งคำสั่งไปเลิกใช้ PVC และทำการ delete PVC เมื่อ PVC ถูกลบไปแล้ว data อาจยังอยู่หรือถูกลบขึ้นอยู่กับ <code>persistentVolumeReclaimPolicy</code> </li> <li> <strong>Reclaiming</strong>: เป็นช่วงหลังจากที่ PVC ถูก delete เรียบร้อย โดย มี 3 options คือ <ul> <li> <strong>Retain</strong>: ยังเก็บ PV ไว้อยู่ ให้ admin เอาไปจัดการเอง</li> <li> <strong>Delete</strong>: ลบ PV และ Backend Storage ที่ allocate ให้ไปด้วยเลย</li> <li> <strong>Recycle</strong>: (deprecated แล้ว) ลบข้อมูลใน PVC ด้วย (<code>rm -rf /thevolume/*</code>) จากนั้นก็พร้อมสำหรับการถูก claim ใหม่ </li> </ul> </li> </ul> <p>PV นั้นไม่ได้อยู่ใน namespace ใด namespace หนึ่ง แต่ PVC จะอยู่ได้แค่ namespace เดียวเท่านั้น </p> <p><u>ตัวอย่างการ create PV</u> ชื่อ task-pv-volume ซึ่งแบบ hostPath ขนาด 10 GB ใน mode ReadWriteOnce<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> pv-volume.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: PersistentVolume metadata: name: task-pv-volume labels: type: local spec: storageClassName: manual capacity: storage: 10Gi accessModes: - ReadWriteOnce hostPath: path: "/mnt/data" </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> pv-volume.yaml persistentvolume/task-pv-volume created <span class="nv">$ </span>kubectl get pv task-pv-volume NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM STORAGECLASS REASON AGE task-pv-volume 10Gi RWO Retain Available manual 14s </code></pre> </div> <p><u>ตัวอย่างการ create PVC</u> ชื่อ task-pv-claim ซึ่ง เฉือนมาใช้ 3 GB ใน mode ReadWriteOnce<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> pv-claim.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: PersistentVolumeClaim metadata: name: task-pv-claim spec: storageClassName: manual accessModes: - ReadWriteOnce resources: requests: storage: 3Gi </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> pv-claim.yaml persistentvolumeclaim/task-pv-claim created <span class="nv">$ </span>kubectl get pv task-pv-volume NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM STORAGECLASS REASON AGE task-pv-volume 10Gi RWO Retain Bound default/task-pv-claim manual 6m23s <span class="nv">$ </span>kubectl get pvc task-pv-claim NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE task-pv-claim Bound task-pv-volume 10Gi RWO manual 75s </code></pre> </div> <blockquote> <p>จะเห็นว่า PVC เปลี่ยนจาก status "Available" เป็น "Bound"</p> </blockquote> <p><u>ตัวอย่างการ attch PVC ไปยัง Pods</u><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># ที่ Master Node</span> <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> pv-pod.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Pod metadata: name: task-pv-pod spec: volumes: - name: task-pv-storage persistentVolumeClaim: claimName: task-pv-claim containers: - name: task-pv-container image: nginx ports: - containerPort: 80 name: "http-server" volumeMounts: - mountPath: "/usr/share/nginx/html" name: task-pv-storage </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> pv-pod.yaml pod/task-pv-pod created <span class="nv">$ </span>kubectl get pod task-pv-pod <span class="nt">-o</span> wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES task-pv-pod 1/1 Running 0 71s 192.168.32.51 kube-0003.novalocal &lt;none&gt; &lt;none&gt; <span class="c"># login เข้าไปยังเครื่องที่ pods run อยู่ ในที่นี้คือ kube-0003.novalocal </span> <span class="nv">$ </span><span class="nb">sudo </span>sh <span class="nt">-c</span> <span class="s2">"echo 'Hello from Kubernetes storage' &gt; /mnt/data/index.html"</span> <span class="nv">$ </span><span class="nb">cat</span> /mnt/data/index.html Hello from Kubernetes storage <span class="c"># กลับไปยัง Master Node</span> kubectl <span class="nb">exec</span> <span class="nt">-it</span> task-pv-pod <span class="nt">--</span> /bin/bash root@task-pv-pod:/# apt update root@task-pv-pod:/# apt <span class="nb">install </span>curl root@task-pv-pod:/# curl http://localhost/ Hello from Kubernetes storage root@task-pv-pod:/# <span class="nb">exit</span> <span class="c"># Clean up</span> <span class="nv">$ </span>kubectl delete pod task-pv-pod pod <span class="s2">"task-pv-pod"</span> deleted <span class="nv">$ </span>kubectl delete pvc task-pv-claim persistentvolumeclaim <span class="s2">"task-pv-claim"</span> deleted <span class="nv">$ </span>kubectl delete pv task-pv-volume persistentvolume <span class="s2">"task-pv-volume"</span> deleted <span class="c"># Login ไปยังเครื่องที่ สร้าง file ไว้ (kube-0003.novalocal)</span> <span class="nv">$ </span><span class="nb">sudo rm</span> /mnt/data/index.html <span class="nv">$ </span><span class="nb">sudo rmdir</span> /mnt/data </code></pre> </div> <p><a></a></p> <h1> Secrets </h1> <p>ถึงแม้ Pods จะสามารถเข้าถึง data ต่างๆ ด้วย volume แต่ก็มีบาง data ที่เราไม่อยากให้เห็นได้ด้วยตาเปล่า เช่น password หรือ certification จึงมี <strong>Secret</strong> เกิดขึ้นมา โดย Secret จะถูกเก็บในรูปแบบ base64-encoded (default) </p> <p>แต่เราสามารถ configure ให้มัน encrypt ได้โดยการสร้าง <code>EncryptionConfiguration</code> ด้วย key และ identity ที่เหมาะสม จากนั้นทำการเพิ่ม flag <code>--encryption-provider-config</code> ที่ใช่ระบุวิธีการ encrypt เช่น "aescdc" หรือ "ksm" ให้กับ<code>kube-apiserver</code> แล้วทำการ recreate Secret ใหม่ทั้งหมด</p> <p>ในการเปลี่ยน key ต้องสร้าง key ใหม่ก่อน แล้วจึง restart <code>kube-apiserver</code> ทุกตัว จากนั้นจึง recreate Secret ใหม่ทั้งหมด</p> <p>kubernetes ไม่ได้จำกับจำนวน Secret แต่ Secret ไม่ควรมีขนาดเกิน 1 MB โดย Secret จะถูกเก็บใน <code>tmpfs</code> ซึ่งเป็น memory ดังนั้นถ้ามีเยอะกินไปก็จะเปลือง memory ของ host</p> <h2> เราสามารถ create Secret ได้ดังนี้ </h2> <ol> <li> <p>Create ด้วย <code>kubectl create secret</code> command จาก file<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-n</span> <span class="s1">'admin'</span> <span class="o">&gt;</span> username.txt <span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-n</span> <span class="s1">'1f2d1e2e67df'</span> <span class="o">&gt;</span> password.txt <span class="nv">$ </span>kubectl create secret generic db-user-pass <span class="nt">--from-file</span><span class="o">=</span>./username.txt <span class="nt">--from-file</span><span class="o">=</span>./password.txt secret/db-user-pass created <span class="nv">$ </span>kubectl get secrets NAME TYPE DATA AGE db-user-pass Opaque 2 10s <span class="nv">$ </span>kubectl describe secret/db-user-pass Name: db-user-pass Namespace: default Labels: &lt;none&gt; Annotations: &lt;none&gt; Type: Opaque Data <span class="o">====</span> password.txt: 12 bytes username.txt: 5 bytes </code></pre> </li> <li> <p>Create ด้วย <code>kubectl create secret</code> command จากการ pass argument<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl create secret generic dev-db-secret <span class="nt">--from-literal</span><span class="o">=</span><span class="nv">username</span><span class="o">=</span>devuser <span class="nt">--from-literal</span><span class="o">=</span><span class="nv">password</span><span class="o">=</span><span class="s1">'S!B\*d$zDsb'</span> secret/dev-db-secret created <span class="nv">$ </span>kubectl get secrets NAME TYPE DATA AGE dev-db-secret Opaque 2 4s <span class="nv">$ </span>kubectl describe secret/dev-db-secret Name: dev-db-secret Namespace: default Labels: &lt;none&gt; Annotations: &lt;none&gt; Type: Opaque Data <span class="o">====</span> password: 11 bytes username: 7 bytes </code></pre> </li> <li> <p>Create ด้วย YAML file แบบ manual<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-n</span> <span class="s1">'admin'</span> | <span class="nb">base64 </span><span class="nv">YWRtaW4</span><span class="o">=</span> <span class="nv">$ </span><span class="nb">echo</span> <span class="nt">-n</span> <span class="s1">'1f2d1e2e67df'</span> | <span class="nb">base64 </span>MWYyZDFlMmU2N2Rm <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> secret.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> secret.yaml secret/mysecret created <span class="nv">$ </span>kubectl get secrets NAME TYPE DATA AGE mysecret Opaque 2 15s <span class="nv">$ </span>kubectl describe secret/mysecret Name: mysecret Namespace: default Labels: &lt;none&gt; Annotations: Type: Opaque Data <span class="o">====</span> password: 12 bytes username: 5 bytes </code></pre> </li> <li> <p>Create ด้วย YAML file โดยใช้ <code>stringData</code><br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> secret_config.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Secret metadata: name: config.yaml type: Opaque stringData: config.yaml: |- apiUrl: "https://my.api.com/api/v1" username: "user" password: "password" </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> secret_config.yaml secret/config.yaml created <span class="nv">$ </span>kubectl get secrets NAME TYPE DATA AGE config.yaml Opaque 1 8s <span class="nv">$ </span>kubectl describe secret/config.yaml Name: config.yaml Namespace: default Labels: &lt;none&gt; Annotations: Type: Opaque Data <span class="o">====</span> config.yaml: 73 bytes </code></pre> </li> </ol> <h2> เราสามารถใช้งาน Secret ได้ดังนี้ </h2> <ol> <li> <p>ใช้ในรูปแบบของ file ใน Pods<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl describe secret/mysecret Name: mysecret Namespace: default Labels: &lt;none&gt; Annotations: Type: Opaque Data <span class="o">====</span> password: 12 bytes username: 5 bytes <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> pod-with-mysecret-01.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: "/etc/foo" readOnly: true volumes: - name: foo secret: secretName: mysecret </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> pod-with-mysecret-01.yaml pod/mypod created <span class="nv">$ </span>kubectl <span class="nb">exec</span> <span class="nt">-it</span> mypod <span class="nt">--</span> bash root@mypod:/data# <span class="nb">ls</span> <span class="nt">-l</span> /etc/foo total 0 lrwxrwxrwx. 1 root root 15 Mar 20 15:30 password -&gt; ..data/password lrwxrwxrwx. 1 root root 15 Mar 20 15:30 username -&gt; ..data/username root@mypod:/data# <span class="nb">cat</span> /etc/foo/username admin root@mypod:/data# <span class="nb">cat</span> /etc/foo/password 1f2d1e2e67df root@mypod:/data# <span class="nb">exit</span> <span class="nv">$ </span>kubectl delete <span class="nt">-f</span> pod-with-mysecret-01.yaml pod <span class="s2">"mypod"</span> deleted </code></pre> <p>เราสามารถเลือก mount บาง file แล้วเปลี่ยนที่วาง และ ชื่อ file ด้วยได้ดังนี้<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> pod-with-mysecret-02.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: "/etc/foo" readOnly: true volumes: - name: foo secret: secretName: mysecret items: - key: username path: my-group/my-username </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> pod-with-mysecret-02.yaml pod/mypod created <span class="nv">$ </span>kubectl <span class="nb">exec</span> <span class="nt">-it</span> mypod <span class="nt">--</span> bash root@mypod:/data# <span class="nb">ls</span> <span class="nt">-l</span> /etc/foo/my-group/my-username <span class="nt">-rw-r--r--</span><span class="nb">.</span> 1 root root 5 Mar 20 15:35 /etc/foo/my-group/my-username root@mypod:/data# <span class="nb">cat</span> /etc/foo/my-group/my-username admin root@mypod:/data# <span class="nb">exit</span> <span class="nv">$ </span>kubectl delete <span class="nt">-f</span> pod-with-mysecret-02.yaml pod <span class="s2">"mypod"</span> deleted </code></pre> </li> <li><p>ใช้ในรูปแบบของ Environment Variable ใน Pods<br> </p></li> </ol> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> pod-with-mysecret-03.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Pod metadata: name: secret-env-pod spec: containers: - name: mycontainer image: redis env: - name: SECRET_USERNAME valueFrom: secretKeyRef: name: mysecret key: username - name: SECRET_PASSWORD valueFrom: secretKeyRef: name: mysecret key: password restartPolicy: Never </span><span class="no">EOF </span><span class="nv">$ </span>kubectl apply <span class="nt">-f</span> pod-with-mysecret-03.yaml pod/secret-env-pod created <span class="nv">$ </span>kubectl <span class="nb">exec</span> <span class="nt">-it</span> secret-env-pod <span class="nt">--</span> bash root@secret-env-pod:/data# <span class="nb">echo</span> <span class="nv">$SECRET_USERNAME</span> admin root@secret-env-pod:/data# <span class="nb">echo</span> <span class="nv">$SECRET_PASSWORD</span> 1f2d1e2e67df root@secret-env-pod:/data# <span class="nb">exit exit</span> <span class="nv">$ </span>kubectl delete <span class="nt">-f</span> pod-with-mysecret-03.yaml pod <span class="s2">"secret-env-pod"</span> deleted </code></pre> </div> <p><a></a></p> <h1> ConfigMap </h1> <p>ConfigMap เหมือน Secret เลย ยกเว้นแค่ไม่ได้ encode เราใช้ ConfigMap เพื่อแยก configuration file ออกมาจาก image ของ container เพื่อเวลาที่ต้องการแก้ไข configuration file จะได้ไม่ต้อง build image ใหม่ ซึ่งจะทำให้ version ของ image เพิ่มขึ้น โดยไม่ได้มีการแก้ไข code ด้วย</p> <p>ConfigMap สามารถเก็บข้อมูลได้ทั้งในรูปแบบ key-value pair หรือ plain configuration file</p> <h2> เราสามารถสร้าง ConfigMap ได้ดังนี้ </h2> <ol> <li> <p>สร้างจาก Directory<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">mkdir</span> <span class="nt">-p</span> configure-pod-container/configmap/ <span class="nv">$ </span>wget https://kubernetes.io/examples/configmap/game.properties <span class="nt">-O</span> configure-pod-container/configmap/game.properties <span class="nv">$ </span>wget https://kubernetes.io/examples/configmap/ui.properties <span class="nt">-O</span> configure-pod-container/configmap/ui.properties <span class="nv">$ </span><span class="nb">ls</span> <span class="nt">-l</span> configure-pod-container/configmap/ total 8 <span class="nt">-rw-rw-r--</span><span class="nb">.</span> 1 admin admin 157 Mar 20 22:57 game.properties <span class="nt">-rw-rw-r--</span><span class="nb">.</span> 1 admin admin 83 Mar 20 22:57 ui.properties <span class="nv">$ </span>kubectl create configmap game-config <span class="nt">--from-file</span><span class="o">=</span>configure-pod-container/configmap/ configmap/game-config created <span class="nv">$ </span>kubectl describe configmaps game-config Name: game-config Namespace: default Labels: &lt;none&gt; Annotations: &lt;none&gt; Data <span class="o">====</span> game.properties: <span class="nt">----</span> <span class="nv">enemies</span><span class="o">=</span>aliens <span class="nv">lives</span><span class="o">=</span>3 enemies.cheat<span class="o">=</span><span class="nb">true </span>enemies.cheat.level<span class="o">=</span>noGoodRotten secret.code.passphrase<span class="o">=</span>UUDDLRLRBABAS secret.code.allowed<span class="o">=</span><span class="nb">true </span>secret.code.lives<span class="o">=</span>30 ui.properties: <span class="nt">----</span> color.good<span class="o">=</span>purple color.bad<span class="o">=</span>yellow allow.textmode<span class="o">=</span><span class="nb">true </span>how.nice.to.look<span class="o">=</span>fairlyNice Events: &lt;none&gt; <span class="nv">$ </span>kubectl get configmaps game-config <span class="nt">-o</span> yaml apiVersion: v1 data: game.properties: |- <span class="nv">enemies</span><span class="o">=</span>aliens <span class="nv">lives</span><span class="o">=</span>3 enemies.cheat<span class="o">=</span><span class="nb">true </span>enemies.cheat.level<span class="o">=</span>noGoodRotten secret.code.passphrase<span class="o">=</span>UUDDLRLRBABAS secret.code.allowed<span class="o">=</span><span class="nb">true </span>secret.code.lives<span class="o">=</span>30 ui.properties: | color.good<span class="o">=</span>purple color.bad<span class="o">=</span>yellow allow.textmode<span class="o">=</span><span class="nb">true </span>how.nice.to.look<span class="o">=</span>fairlyNice kind: ConfigMap metadata: creationTimestamp: <span class="s2">"2020-03-20T15:58:20Z"</span> name: game-config namespace: default resourceVersion: <span class="s2">"13587110"</span> selfLink: /api/v1/namespaces/default/configmaps/game-config uid: efe9fc42-4c19-495f-a0f1-91b59dc77431 </code></pre> </li> <li> <p>สร้างจาก File<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl create configmap game-config-3 <span class="nt">--from-file</span><span class="o">=</span>game-special-key<span class="o">=</span>configure-pod-container/configmap/game.properties configmap/game-config-3 created <span class="nv">$ </span>kubectl describe configmaps game-config-3 Name: game-config-3 Namespace: default Labels: &lt;none&gt; Annotations: &lt;none&gt; Data <span class="o">====</span> game-special-key: <span class="nt">----</span> <span class="nv">enemies</span><span class="o">=</span>aliens <span class="nv">lives</span><span class="o">=</span>3 enemies.cheat<span class="o">=</span><span class="nb">true </span>enemies.cheat.level<span class="o">=</span>noGoodRotten secret.code.passphrase<span class="o">=</span>UUDDLRLRBABAS secret.code.allowed<span class="o">=</span><span class="nb">true </span>secret.code.lives<span class="o">=</span>30 Events: &lt;none&gt; <span class="nv">$ </span>kubectl get configmaps game-config-3 <span class="nt">-o</span> yaml apiVersion: v1 data: game-special-key: |- <span class="nv">enemies</span><span class="o">=</span>aliens <span class="nv">lives</span><span class="o">=</span>3 enemies.cheat<span class="o">=</span><span class="nb">true </span>enemies.cheat.level<span class="o">=</span>noGoodRotten secret.code.passphrase<span class="o">=</span>UUDDLRLRBABAS secret.code.allowed<span class="o">=</span><span class="nb">true </span>secret.code.lives<span class="o">=</span>30 kind: ConfigMap metadata: creationTimestamp: <span class="s2">"2020-03-20T16:00:46Z"</span> name: game-config-3 namespace: default resourceVersion: <span class="s2">"13587478"</span> selfLink: /api/v1/namespaces/default/configmaps/game-config-3 uid: 03e19330-0498-43f3-baf6-fce9501398df </code></pre> </li> <li> <p>สร้างจาก literal values<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl create configmap special-config <span class="nt">--from-literal</span><span class="o">=</span>special.how<span class="o">=</span>very <span class="nt">--from-literal</span><span class="o">=</span>special.type<span class="o">=</span>charm configmap/special-config created <span class="nv">$ </span>kubectl describe configmaps special-config Name: special-config Namespace: default Labels: &lt;none&gt; Annotations: &lt;none&gt; Data <span class="o">====</span> special.how: <span class="nt">----</span> very special.type: <span class="nt">----</span> charm Events: &lt;none&gt; <span class="nv">$ </span>kubectl get configmaps special-config <span class="nt">-o</span> yaml apiVersion: v1 data: special.how: very special.type: charm kind: ConfigMap metadata: creationTimestamp: <span class="s2">"2020-03-20T16:03:16Z"</span> name: special-config namespace: default resourceVersion: <span class="s2">"13587836"</span> selfLink: /api/v1/namespaces/default/configmaps/special-config uid: 7d5636bb-a677-46dd-8f49-a60f35999357 </code></pre> </li> </ol> <h2> เราสามารถใช้งาน ConfigMap ได้ดังนี้ </h2> <ol> <li> <p>Assign ConfigMap ไปยัง Environment Variable<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span>kubectl create configmap special-config <span class="nt">--from-literal</span><span class="o">=</span>special.how<span class="o">=</span>very configmap/special-config created <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> pod-single-configmap-env-variable.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Pod metadata: name: dapi-test-pod spec: containers: - name: test-container image: redis env: - name: SPECIAL_LEVEL_KEY valueFrom: configMapKeyRef: name: special-config key: special.how restartPolicy: Never </span><span class="no">EOF </span><span class="nv">$ </span>kubectl create <span class="nt">-f</span> pod-single-configmap-env-variable.yaml pod/dapi-test-pod created <span class="nv">$ </span>kubectl <span class="nb">exec</span> <span class="nt">-it</span> dapi-test-pod <span class="nt">--</span> bash root@dapi-test-pod:/data# <span class="nb">echo</span> <span class="nv">$SPECIAL_LEVEL_KEY</span> very root@dapi-test-pod:/data# <span class="nb">exit exit</span> <span class="nv">$ </span>kubectl delete <span class="nt">-f</span> pod-single-configmap-env-variable.yaml pod <span class="s2">"dapi-test-pod"</span> deleted </code></pre> </li> <li> <p>add ConfigMap เป็น data ใน Volume<br> </p> <pre class="highlight shell"><code><span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> configmap-multikeys.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: ConfigMap metadata: name: special-config namespace: default data: SPECIAL_LEVEL: very SPECIAL_TYPE: charm </span><span class="no">EOF </span><span class="nv">$ </span>kubectl create <span class="nt">-f</span> configmap-multikeys.yaml configmap/special-config created <span class="nv">$ </span><span class="nb">cat</span> <span class="o">&gt;</span> pod-configmap-volume.yaml <span class="o">&lt;&lt;</span> <span class="no">EOF</span><span class="sh"> apiVersion: v1 kind: Pod metadata: name: dapi-test-pod spec: containers: - name: test-container image: redis volumeMounts: - name: config-volume mountPath: /etc/config volumes: - name: config-volume configMap: name: special-config restartPolicy: Never </span><span class="no">EOF </span><span class="nv">$ </span>kubectl create <span class="nt">-f</span> pod-configmap-volume.yaml pod/dapi-test-pod created <span class="nv">$ </span>kubectl <span class="nb">exec</span> <span class="nt">-it</span> dapi-test-pod <span class="nt">--</span> bash root@dapi-test-pod:/data# <span class="nb">ls</span> <span class="nt">-l</span> /etc/config/ total 0 lrwxrwxrwx. 1 root root 20 Mar 20 16:25 SPECIAL_LEVEL -&gt; ..data/SPECIAL_LEVEL lrwxrwxrwx. 1 root root 19 Mar 20 16:25 SPECIAL_TYPE -&gt; ..data/SPECIAL_TYPE root@dapi-test-pod:/data# <span class="nb">cat</span> /etc/config/SPECIAL_LEVEL very root@dapi-test-pod:/data# <span class="nb">cat</span> /etc/config/SPECIAL_TYPE charm root@dapi-test-pod:/data# <span class="nb">exit</span> <span class="nv">$ </span>kubectl delete <span class="nt">-f</span> pod-configmap-volume.yaml pod <span class="s2">"dapi-test-pod"</span> deleted <span class="nv">$ </span>kubectl delete <span class="nt">-f</span> configmap-multikeys.yaml configmap <span class="s2">"special-config"</span> deleted </code></pre> </li> </ol> kubernetes devops nginx