Uso di script di inizializzazione cloud-init personalizzati per impostare i nodi gestiti

Esempio 1: utilizzo di uno script cloud-init personalizzato per configurare SELinux (Security-Enhanced Linux) sui nodi gestiti

È possibile utilizzare uno script cloud-init personalizzato per configurare SELinux sui nodi gestiti. SELinux è un miglioramento della sicurezza di Linux che consente agli amministratori di limitare gli utenti e le applicazioni che possono accedere alle risorse in base alle regole di un criterio. SELinux aggiunge inoltre una maggiore granularità ai controlli di accesso.

SELinux può essere in uno dei due stati, abilitato o disabilitato. Quando è abilitato, SELinux può essere eseguito in una delle due modalità, ovvero applicativa o permissiva.

Per impostazione predefinita, SELinux è abilitato e impostato per l'esecuzione in modalità permissiva sui nodi di lavoro. Quando viene eseguito in modalità permissiva, SELinux non applica le regole di accesso ed esegue solo il log.

Se si desidera che SELinux applichi le regole di accesso, è possibile impostarne l'esecuzione in modalità di applicazione. Quando viene eseguito in modalità di applicazione, SELinux blocca le azioni che sono contrarie al criterio e registra un evento corrispondente nel log di controllo.

Per impostare l'esecuzione di SELinux in modalità di applicazione, utilizzare il seguente script cloud-init:

#!/bin/bash
curl --fail -H "Authorization: Bearer Oracle" -L0 http://169.254.169.254/opc/v2/instance/metadata/oke_init_script | base64 --decode >/var/run/oke-init.sh
bash /var/run/oke-init.sh
setenforce 1
sed -i 's/^SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config 

Per confermare lo stato e la modalità di SELinux in esecuzione su un nodo di lavoro, connettersi al nodo di lavoro e utilizzare il comando getenforce. Quando lo script cloud-init precedente è stato eseguito sui nodi di lavoro, il comando getenforce restituisce Enforcing.

Esempio 2: utilizzo di uno script cloud-init personalizzato per impostare NodeLocal DNSCache sui nodi gestiti

È possibile utilizzare uno script cloud-init personalizzato per configurare NodeLocal DNSCache sui nodi gestiti. NodeLocal DNSCache migliora le prestazioni DNS del cluster eseguendo un agente di inserimento nella cache DNS sui nodi di lavoro come daemon.

Se NodeLocal DNSCache non è abilitato, i pod nella modalità DNS ClusterFirst raggiungono un kube-dns serviceIP per le query DNS. Utilizzando le regole iptables, questa richiesta viene tradotta in un endpoint kube-dns/CoreDNS aggiunto da kube-proxy. Per ulteriori informazioni, consulta DNS for Services and Pods nella documentazione di Kubernetes.

Se NodeLocal DNSCache è abilitato, i pod raggiungono un agente di inserimento nella cache DNS in esecuzione sullo stesso nodo di lavoro, che consente loro di ignorare le regole DNAT iptables e il tracciamento della connessione. L'agente di inserimento nella cache locale esegue una query sul servizio kube-dns/CoreDNS per rilevare gli accessi alla cache non riusciti dei nomi host del cluster (suffisso cluster.local per impostazione predefinita).

Per configurare NodeLocal DNSCache, utilizzare il seguente script cloud-init. Sostituire CLUSTER DNS con un indirizzo IP di ascolto locale che non sia in conflitto con alcun elemento nel cluster. È disponibile un intervallo locale di collegamenti consigliato di 169.254.0.0/16 per IPv4 o dall'intervallo di indirizzi locali univoci di fd00::/8 per IPv6.

#!/bin/bash
curl --fail -H "Authorization: Bearer Oracle" -L0 http://169.254.169.254/opc/v2/instance/metadata/oke_init_script | base64 --decode >/var/run/oke-init.sh
bash /var/run/oke-init.sh --cluster-dns "[CLUSTER DNS]"

Per confermare che la distribuzione di NodeLocal DNSCache è riuscita, connettersi a un nodo di lavoro e utilizzare il comando sudo systemctl status -l kubelet. Quando lo script cloud-init precedente è stato eseguito sui nodi di lavoro, il comando sudo systemctl status -l kubelet restituisce --cluster-dns come uno dei flag kubelet, impostato su un indirizzo di collegamento locale predefinito (ad esempio, 169.254.20.10).

Dopo aver creato i nodi utilizzando lo script cloud-init riportato sopra, distribuire l'agente di inserimento nella cache DNS seguendo i passi descritti nella sezione Utilizzo di NodeLocal DNSCache nei cluster Kubernetes della documentazione di Kubernetes. Una volta abilitato, un pod node-local-dns viene eseguito nello spazio di nomi kube-system su ciascuno dei nodi del cluster. Il pod node-local-dns viene eseguito CoreDNS in modalità cache, quindi tutte le metriche CoreDNS esposte dai diversi plugin sono disponibili in base ai singoli nodi.

Per eseguire il test della risoluzione DNS, utilizzare uno o più dei seguenti comandi (vedere Debugging DNS Resolution nella documentazione di Kubernetes). I comandi devono funzionare entrambi, nonché restituire l'indirizzo IP impostato dal flag --cluster-dns nello script cloud-init personalizzato:

kubectl apply -f https://k8s.io/examples/admin/dns/dnsutils.yaml

kubectl exec -it dnsutils – nslookup kubernetes.default

kubectl exec -it dnsutils – cat /etc/resolv.conf

È possibile disabilitare NodeLocal DNSCache rimuovendo il daemonset ed eliminando il file manifesto nodelocaldns. È inoltre necessario annullare le modifiche apportate alla configurazione di kubelet.

Esempio 3: utilizzo di uno script di inizializzazione cloud personalizzato per impostare kubelet-extra-args sui nodi gestiti

È possibile utilizzare uno script di inizializzazione cloud personalizzato per configurare una serie di opzioni aggiuntive sul kubelet (l'agente nodo primario) nei nodi gestiti. Queste opzioni aggiuntive sono a volte indicate come kubelet-extra-args. Una di queste opzioni kubelet-extra-args è l'opzione per configurare il dettaglio del log del livello di debug.

Per configurare il livello di dettaglio del log del livello di debug, utilizzare il seguente script cloud-init:

#!/bin/bash
curl --fail -H "Authorization: Bearer Oracle" -L0 http://169.254.169.254/opc/v2/instance/metadata/oke_init_script | base64 --decode >/var/run/oke-init.sh
bash /var/run/oke-init.sh --kubelet-extra-args "--v=4"

Per confermare l'impostazione del livello di dettaglio del log di debug, connettersi a un nodo di lavoro e utilizzare il comando sudo systemctl status -l kubelet. Quando lo script cloud-init precedente è stato eseguito sui nodi di lavoro, il comando sudo systemctl status -l kubelet restituisce il livello di dettaglio come 4. I registri kubelet contengono anche maggiori dettagli.

Esempio 4: utilizzo di uno script cloud-init personalizzato per riservare le risorse per i daemon di sistema Kubernetes e OS

È possibile utilizzare uno script cloud-init personalizzato per riservare risorse di CPU e memoria per i daemon di sistema Kubernetes (ad esempio kubelet e container runtime) e i daemon di sistema del sistema operativo (ad esempio sshd e systemd). Per riservare le risorse per i daemon di sistema Kubernetes e OS, includere i flag kubelet --kube-reserved e --system-reserved rispettivamente come opzioni kubelet-extra-args in uno script di inizializzazione cloud personalizzato.

Per riservare risorse per i daemon di sistema Kubernetes e OS, utilizzare il seguente script cloud-init:

#!/bin/bash
curl --fail -H "Authorization: Bearer Oracle" -L0 http://169.254.169.254/opc/v2/instance/metadata/oke_init_script | base64 --decode >/var/run/oke-init.sh
bash /var/run/oke-init.sh --kubelet-extra-args "--kube-reserved=cpu=500m,memory=1Gi --system-reserved=cpu=100m,memory=100Mi"

Per ulteriori informazioni e per i valori consigliati per i flag kubelet --kube-reserved e --system-reserved, vedere Best Practice: Riserva le risorse per i daemon di sistema Kubernetes e OS.

Esempio 5: utilizzo di uno script cloud-init personalizzato e di oci-growfs per aumentare la dimensione della partizione del volume di avvio

È possibile utilizzare uno script cloud-init personalizzato per estendere la partizione per il volume di avvio dei nodi gestiti. Quando si creano e si aggiornano cluster e pool di nodi, è possibile specificare una dimensione personalizzata per i volumi di avvio dei nodi di lavoro. La dimensione del volume di avvio personalizzato specificata deve essere maggiore della dimensione predefinita del volume di avvio dell'immagine selezionata. Quando si aumenta la dimensione del volume di avvio, per sfruttare la dimensione del volume di avvio più grande, è necessario anche estendere la partizione per il volume di avvio.

Le immagini della piattaforma Oracle Linux includono il pacchetto oci-utils. È possibile utilizzare il comando oci-growfs di tale pacchetto in uno script cloud-init per estendere la partizione radice e quindi far crescere il file system.

Per estendere la partizione per il volume di avvio, utilizzare il seguente script cloud-init:

#!/bin/bash
curl --fail -H "Authorization: Bearer Oracle" -L0 http://169.254.169.254/opc/v2/instance/metadata/oke_init_script | base64 --decode >/var/run/oke-init.sh
bash /usr/libexec/oci-growfs -y
bash /var/run/oke-init.sh

Per ulteriori informazioni, vedere Estensione della partizione per un volume di avvio.

Esempio

Questo comando di esempio crea un nuovo pool di nodi denominato my-cloud-init-test-nodepool per un cluster esistente, con un singolo nodo Kubernetes 1.18.10 con una forma VM 2.1 su cui è in esecuzione Oracle Linux. Quando l'istanza che ospita il nodo di lavoro nel nuovo pool di nodi viene avviata per la prima volta, verrà eseguito uno script cloud-init personalizzato denominato my-custom-cloud-init.yaml:

oci ce node-pool create \
--cluster-id ocid1.cluster.oc1.iad.aaaa______m4w \
--name my-cloud-init-test-nodepool \
--node-image-id ocid1.image.oc1.iad.aaaa______zpq \
--compartment-id ocid1.tenancy.oc1..aaa______q4a \
--kubernetes-version v1.18.10 \
--node-shape VM.Standard2.1 \
--placement-configs "[   { \"availabilityDomain\": \"PKGK:US-ASHBURN-AD-1\", \"subnetId\": \"ocid1.subnet.oc1.iad.aaaa______kfa\"   }   ]" \
--size 1 \
--region us-ashburn-1 \
--node-metadata '{"user_data": "'$(cat my-custom-cloud-init.yaml | base64)'"}'