硬核干货| 如何利用K3s低成本在流水线中添加测试

作者介绍
Petro Kashlikov,AWS技术客户经理。十分热衷于容器技术,并与客户一起设计、部署和管理他们的工作负载/架构。

现代化的微服务应用程序堆栈、CI/CD流水线、Kubernetes作为编排引擎以及每天成千上百的部署……这些听起来十分美好,直到你发现你的Kubernetes开发或staging环境被这些部署弄得混乱不堪并且一个开发团队所做的更改会影响你的Kubernetes环境。在本文中,我们将了解为什么这些外部更改会影响我们的Kubernetes环境以及如何避免这一影响。

之所以会出现这一问题,是因为在将镜像推送到镜像仓库并部署我们的资源之前,我们在流水线中进行了各种代码检查和镜像扫描。但是,因为流水线内部没有可用的Kubernetes集群,因此在流水线本身中没有进行适当的集成或单元测试。实际上,我们是在部署后测试我们的更改。

面对这个问题,有一个解决方案就是在每次构建、测试更改时配置一个干净的Kubernetes集群,然后再将其清除。但是这十分耗时也不划算。相反,我们可以使用由Rancher Labs推出的开源、轻量级的Kubernetes发行版K3s,与Amazon和AWS CodePipeline一起解决这个问题。

什么是K3s?

K3s是一个开源、轻量的Kubernetes发行版,大小小于100MB,专为物联网、边缘和CI/CD环境设计。启动时间仅需40秒左右。

更有趣的是,对于CI/CD用例,我们可以在Docker容器内运行K3s。Rancher还提供了另一个名为k3d的工具,它是一个轻量级的wrapper,可以在Docker容器内运行K3s。在这种情况下,这个package的大小约为10MB,启动时间更快,约为15-20秒。

现在我们开始了解如何实现这一解决方案。

前期准备

要完成这一教程,我们需要:

  • 一个AWS账号
  • 一个Github账号
  • 安装并配置AWS CLI、kubectl、eksctl功能。你可以根据以下链接指引安装eksctl:

https://docs.aws.amazon.com/eks/latest/userguide/getting-started-eksctl.html

配置Amazon EKS集群

有很多方法可以进行配置,包括使用AWS管理控制台、AWS CLI等。我们推荐使用eksctl,但不管你喜欢什么方式都可以使用,并根据你的喜好修改节点类型和区域。集群配置一般需要15分钟左右。

eksctl create cluster \
--name k3s-lab \
--version 1.16 \
--nodegroup-name k3s-lab-workers \
--node-type t2.medium \
--nodes 2 \
--alb-ingress-access \
--region us-west-2

在本练习中,我们使用 t2.medium 实例系列。如果你在生产环境中启动Amazon EKS集群,请记住使用适当的实例类型。

集群配置完成后,我们使用命令来验证它是否已经启动,以及是否正确配置了 kubectl:

kubectl get nodes

我们的输出应该如下所示:

NAME                             STATUS   ROLES     AGE       VERSION
ip-192-168-12-121.ec2.internal   Ready    <none>    82s       v1.16.8-eks-e16311
ip-192-168-38-246.ec2.internal   Ready    <none>    80s       v1.16.8-eks-e16311

设置AWS CodePipeline

1、 设置ACCOUNT_ID变量:

ACCOUNT_ID=$(aws sts get-caller-identity --output text --query 'Account')

2、 在CodePipeline中,我们使用AWS CodeBuild来部署示例Kubernetes服务。这需要一个能与Amazon EKS集群交互的AWS IAM(身份识别与访问管理)角色,并添加一个内联策略,以便在CodeBuild阶段使用。该策略将允许AWS CodeBuild通过kuebctl与Amazon EKS集群进行交互。执行以下命令来创建角色并附加策略:

TRUST="{ \"Version\": \"2012-10-17\", \"Statement\": [ { \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::${ACCOUNT_ID}:root\" }, \"Action\": \"sts:AssumeRole\" } ] }"
echo '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "eks:Describe*", "Resource": "*" } ] }' > /tmp/iam-role-policy
aws iam create-role --role-name EksWorkshopCodeBuildKubectlRole --assume-role-policy-document "$TRUST" --output text --query 'Role.Arn'
aws iam put-role-policy --role-name EksWorkshopCodeBuildKubectlRole --policy-name eks-describe --policy-document file:///tmp/iam-role-policy

3、 既然我们已经创建了IAM角色,那么我们将为Amazon EKS集群添加这一角色到aws-auth ConfigMap。一旦包含此角色,kubectl就可以通过IAM角色与Amazon EKS集群进行交互。

ROLE="    - rolearn: arn:aws:iam::$ACCOUNT_ID:role/EksWorkshopCodeBuildKubectlRole\n      username: build\n      groups:\n        - system:masters"
kubectl get -n kube-system configmap/aws-auth -o yaml | awk "/mapRoles: \|/{print;print \"$ROLE\";next}1" > /tmp/aws-auth-patch.yml 
kubectl patch configmap/aws-auth -n kube-system --patch "$(cat /tmp/aws-auth-patch.yml)"

4、 接下来,我们将fork示例Kubernetes服务以便我们可以修改repo并触发构建。登录到Github并fork示例服务到所选账户。参考Kubernetes服务示例了解更多信息。镜像仓库被fork后,将其克隆到本地环境,这样我们就可以使用我们最喜欢的IDE或文本编辑器来处理文件。

git clone https://github.com/YOUR-USERNAME/eks-workshop-sample-api-service-go.git

5、 为了让CodePipeline能够接收来自GitHub的回调,我们必须生成一个个人的访问令牌。一旦创建,访问令牌将被存储在一个安全的程序集(enclave)中,并被重复使用。只有在第一次运行时,或者需要生成新的密钥时,才需要这一步。

6、 接着,我们将使用AWS CloudFormation创建Codepipeline。导航到AWS管理控制台以创建CloudFormation堆栈。控制台启动后,键入Github用户名、个人访问令牌(在前一个步骤已经创建)以及Amazon EKS集群名称(k3s-lab)。然后,选择确认并点击创建堆栈。这一步大概需要花费10分钟。

创建CodePipeline之后,我们可以在CodePipeline控制台中创建状态并使用以下命令验证部署是否应用到我们的集群中:

kubectl describe deployment hello-k8s

将k3d添加到AWS Codepipeline

现在,我们在fork的repo里修改buidspec.yaml并使用k3d添加单元测试。

我们将逐步介绍所需的修改,这些修改可以手动完成。或者,在本节末尾也为你提供了完整的buildspec.yml文件。

1、 在CodeBuild环境中安装k3d:

- curl -sS https://raw.githubusercontent.com/rancher/k3d/main/install.sh | TAG=v1.7.0 bash

2、 在构建阶段创建k3s集群并等待集群启动,这大概需要花费20秒:

- k3d create
- sleep 20

3、 为k3s集群配置kubectl

- export KUBECONFIG="$(k3d get-kubeconfig --name='k3s-default')"

4、 默认情况下,Amazon EKS 集群节点被 eksctl 配置为可以访问从 Amazon Elastic Container Registry (Amazon ECR) 镜像库中拉取镜像。然而,非Amazon EKS 集群需要为此进行额外配置。在文档中找到这个配置的说明。因为有几个步骤,我把它们移到一个单独的脚本(create_secret.sh)中,并在buildspec.yml文件里面调用:

- ./create_secret.sh

将文件create_secret.sh添加到forked repository的工作文件夹中,其上下文如下:

SECRET_NAME=$AWS_REGION-ecr-registry
 TOKEN=`aws ecr get-authorization-token --output text --query authorizationData[].authorizationToken | base64 -d | cut -d: -f2`
 echo "ENV variables setup done."
 kubectl create secret docker-registry $SECRET_NAME \
 --docker-server=https://$REPOSITORY_URI \
 --docker-username=AWS \
 --docker-password="${TOKEN}" \
 --docker-email=DUMMY_DOCKER_EMAIL
 kubectl patch serviceaccount default -p '{"imagePullSecrets":[{"name":"'$SECRET_NAME'"}]}'

5、 将我们的流水线应用程序资源到k3d集群并等待资源启动,这大概需要花费20秒:

- kubectl apply -f hello-k8s.yml
- sleep 20

配置测试

在这一步中,我们可以运行我们的单元/集成测试。对于本例,我们已经提供了一个简单的脚本来hit我们服务的endpoint。我们可以从我们的堆栈中部署其他必要的微服务或服务进行集成测试。

- ./unit_test.sh

将文件 unit_test.sh 添加到 forked repository 的工作文件夹中,其上下文如下:

#!/bin/sh
set -e
api_host=$(kubectl get svc hello-k8s -o json | jq -r .status.loadBalancer.ingress[].ip)
curl -m 2 $api_host

检查测试是否成功

最后一步是检查测试是否成功并且将我们的应用程序部署到Amazon EKS集群。如果测试失败,我们的Codepipeline就会失败,不会部署到Amazon EKS。CodeBuild有个内置的变量CODEBUILD_BUILD_SUCCEEDING来指示构建阶段的状态。我们会在代码中使用它:

- bash -c "if [ /"$CODEBUILD_BUILD_SUCCEEDING/" == /"0/" ]; then exit 1; fi" 
- echo Build stage successfully completed on `date`

buildspec.yml

---
version: 0.2
phases:
  install:
    commands:
      - curl -sS -o aws-iam-authenticator https://amazon-eks.s3-us-west-2.amazonaws.com/1.10.3/2018-07-26/bin/linux/amd64/aws-iam-authenticator
      - curl -sS -o kubectl https://amazon-eks.s3-us-west-2.amazonaws.com/1.14.6/2019-08-22/bin/linux/amd64/kubectl
      - curl -sS https://raw.githubusercontent.com/rancher/k3d/main/install.sh | TAG=v1.7.0 bash
      - chmod +x ./kubectl ./aws-iam-authenticator
      - export PATH=$PWD/:$PATH
      - apt-get update && apt-get -y install jq python3-pip python3-dev && pip3 install --upgrade awscli
  pre_build:
      commands:
        - TAG="$REPOSITORY_NAME.$REPOSITORY_BRANCH.$ENVIRONMENT_NAME.$(date +%Y-%m-%d.%H.%M.%S).$(echo $CODEBUILD_RESOLVED_SOURCE_VERSION | head -c 8)"
        - sed -i 's@CONTAINER_IMAGE@'"$REPOSITORY_URI:$TAG"'@' hello-k8s.yml
        - $(aws ecr get-login --no-include-email)
  build:
    commands:
      - docker build --tag $REPOSITORY_URI:$TAG .
      - docker push $REPOSITORY_URI:$TAG
      # Creating k3d cluster
      - k3d create
      # Waiting for cluster creation for 20 seconds
      - sleep 20
      # Configuring kubectl for k3d cluster
      - export KUBECONFIG="$(k3d get-kubeconfig --name='k3s-default')"
      # Creating secret as per https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/#add-image-pull-secret-to-service-account
      # to enable k3d cluster pull images from ECR
      - ./create_secret.sh
      # Applying our service and deployment manifest
      - kubectl apply -f hello-k8s.yml
      # Waiting for pods and service to come up
      - sleep 20
      # Running unit test
      - ./unit_test.sh
  post_build:
    commands:
      # Checking if build phase including unit test completed successfully, if not we don't proceed with deployment
      - bash -c "if [ /"$CODEBUILD_BUILD_SUCCEEDING/" == /"0/" ]; then exit 1; fi"
      - echo Build stage successfully completed on `date`
      - CREDENTIALS=$(aws sts assume-role --role-arn $EKS_KUBECTL_ROLE_ARN --role-session-name codebuild-kubectl --duration-seconds 900)
      - export KUBECONFIG=$HOME/.kube/config
      - export AWS_ACCESS_KEY_ID="$(echo ${CREDENTIALS} | jq -r '.Credentials.AccessKeyId')"
      - export AWS_SECRET_ACCESS_KEY="$(echo ${CREDENTIALS} | jq -r '.Credentials.SecretAccessKey')"
      - export AWS_SESSION_TOKEN="$(echo ${CREDENTIALS} | jq -r '.Credentials.SessionToken')"
      - export AWS_EXPIRATION=$(echo ${CREDENTIALS} | jq -r '.Credentials.Expiration')
      - aws eks update-kubeconfig --name $EKS_CLUSTER_NAME
      - kubectl apply -f hello-k8s.yml
      - printf '[{"name":"hello-k8s","imageUri":"%s"}]' $REPOSITORY_URI:$TAG > build.json
artifacts:
  files: build.json

所有更改都完成并且新文件已经在我们本地forked repository之后,我们需要提交这些更改,这样CodePipeline可以接收它们,并将它们应用到我们的流水线中。

git add .
git commit -m "k3d modified pipeline"
git push

当我们推送这些更改之后,我们可以访问CodePipeline控制台并检查流水线的状态和日志。

图片

在Build部分选择Details。在这里,我们可以在Build Logs下检查我们的流水线运行过程中发生了什么。

图片

清 理

为了避免产生多余的费用,我们需要进行一些清理步骤:

1、 删除为CodePipeline创建的CloudFormation堆栈。打开CloudFormation管理控制台,选择eksws-codeepipeline堆栈旁边的方框,选择删除,然后在弹出的窗口中确认删除。

图片

2、 删除Amazon ECR repository。打开Amazon ECR管理控制台,选择以eksws开头的repository名称旁边的方框。选择 "Delete",然后确认删除。

图片

3、清空并删除 CodeBuild 用于构建工件的 Amazon S3 bucket。bucket 名称以 eksws-codepipeline 开头。

选择 bucket,然后选择 Empty。选择Delete来删除该 bucket。

图片

4、 最后,使用以下命令删除Amazon EKS集群:

eksctl delete cluster --name=k3s-lab

总 结

在本文中,我们探讨了如何使用开源、轻量级的Kubernetes发行版K3s,将单元和集成测试添加到Amazon EKS CI/CD流水线中。如果你在Amazon EKS部署中使用了不同的CI/CD工具,你也可以轻松地将K3s纳入其中。

原文链接:
https://aws.amazon.com/cn/blogs/opensource/using-the-k3s-kubernetes-distribution-in-an-amazon-eks-ci-cd-pipeline/

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,133评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,682评论 3 390
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,784评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,508评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,603评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,607评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,604评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,359评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,805评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,121评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,280评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,959评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,588评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,206评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,442评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,193评论 2 367
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,144评论 2 352

推荐阅读更多精彩内容