近期因手上案子的關係
全力進行kubernetes的架構設計與上線計畫
從四月底進行至七月初
已上線了一部分
期間遇過不少的問題,也尋找了許多的解決方案
當中的經驗我認為是值得分享的
但由於實在是抽不出時間寫文章分享
只能看看有沒有緣分了
專案環境基於GKE建置
其中以原生GKE的建置為主,其他應用為輔
如果有想交流或是想學習的同好可以一起交流討論
另外也在規劃中是否開交流課程,讓有心想學習kubernetes的人有個課程可以接觸
看看迴響如何再決定~
google cloud相關
這個架構其實是當初在AWS上實做出來的
我早期的部落格文章有提到,這邊就不多描述了
主要是現在GCP新增加了一個Cloud NAT的功能
可以讓理想中,不需要有對外IP的Server可以連接網際網路進行必要更新或版更
大致流程如下
如果沒有VPN tunnel 由辦公室建立內部網路連線
則多建立一台jumper server
建立兩台web server
由jumper server 走內部IP ssh 至兩台web (ssh go key 我就不多說了)
通了之後,建立一個 Cloud NAT
這時候沒有外部IP的兩台web server即可安裝nginx等套件
接著建立個負載平衡
掛上這兩台web
然後記得開個防火牆 80 port
收工
應用面上來說,只會暴露出負載平衡的IP
其餘全部的server沒有所謂的外部IP,沒有IP就沒有資安疑慮,完美!
GCP可以玩的花樣又更進一步了!
2018/06 更新
GCP修改了 Cloud SQL的HA機制說明
主要就是多了一項
Master 60秒沒有回應時,將會啟動 Failover
總算是有達到基本的要求了,期待可以越來越完善
—————————–以下為原文—————————–
其實這篇算是發牢騷,一個簡單的抱怨
希望GCP能快點修改這種不成熟的HA
以往在AWS RDS上的HA機制是
當Master fail,背後的HA Server 會Switch上去
而GCP SQL 上的HA機制是
當Master fail,另一台HA Server 會跟你講
不會觸發,是的你沒看錯,HA Server不會甩你
然後官方文件跟你說觸發條件是
Failover is triggered when the zone where the master is located experiences an outage. If your master instance is experiencing issues not caused by a zone outage, a failover is not initiated.
不想貼google翻譯的話,小弟幫各位翻譯
如果你的Master在A區,Failover在B區,要A區掰掰了才會觸發
如果是A區你的Master掛了,請自求多福,看著B區那台Failover在笑你…
好吧,這就是問題,目前GCP給的回覆是無解,但會排入更新時程
請有使用SQL的朋友多保重…
另一個MA問題是,如果你的Master設定為 假設週一07:00-08:00 維護
你開了Failover與readonly的時候,你會發現這三台的MA Time
全部被鎖定跟Master相同
翻成白話文的意思,就是MA Time一到,你的DB全部會被重啟
搭配上述的HA機制….你應該保佑你公司的服務不是7*24小時…
或是程式端最好寫好一點…
三經半夜設定MA Time的,自求多福吧
在AWS上有很方便的計算成本工具
相對的在GCP也有這樣子的工具
https://cloud.google.com/products/calculator/
使用方式有點與AWS不同
但還是大同小異,有需要的可以使用一下計算成本
再評估是否要使用GCP喔
這個問題在AWS上遇過,但是AWS即使使用AMI啟動
也是會替換成IP開頭的hostname
而在GCP上則是會沿用上一次壓成的Image
例如我原本使用 web-01的hostname 壓成Image
在使用這個Image啟動後的server還會是web-01
造成做一個就要連線修改一次
這時拿出AWS的經驗,先找出如何呼叫instance的metadata
再使用腳本替換掉,寫了一隻shell
#!/bin/bash
name=`curl “http://metadata.google.internal/computeMetadata/v1/instance/name” -H “Metadata-Flavor: Google”`
hostnamectl set-hostname $name
systemctl restart rsyslog.service
再啟動instance時,在開機啟動碼中填入即可
如果有其他的指令需要開機啟動,可以寫成一隻boot.sh
在壓成image時放入,然後再啟動instance時
一樣使用開機啟動碼去執行
例如,開機替換hostname並拉取web 的設定檔等指令
我寫完shell之後搭配變數使用,可以下 web 就拉取web設定檔
設定 ap 就拉取 ap設定檔等
減少手動部署時間
最近新工作都是使用GCP在環境的建置上
由於摸熟了AWS的規則,切換過來發現GCP的不同
為了快速的新增這些設定,CLI的指令就比較好用
然後一行一行塞又覺得很慢,所以寫偷懶的shell
會出現一個shell的視窗
這時就可以執行CLI指令了,但一行一行下太麻煩
所以我用shell的方式執行
vi fw.sh
塞了兩行,如果需要大量產生FW規則的話
就以此類推,例如
#!/bin/bash
a=123.123.123.123
b=111.111.0.0/16
c=111.222.111.111
d=222.222.222.222
#設定aIP可以連接
#gcloud compute firewall-rules create allow-proxy-to-b –allow tcp:8080,tcp:8443 –source-ranges=$a –target-tags=allow-a
#開放snmp給c監控
gcloud compute firewall-rules create allow-snmp –allow udp:161 –source-ranges=$c
#開放健康檢查使用
gcloud compute firewall-rules create allow-ha-check –allow all –source-ranges=$b
#開放公司內部IP
gcloud compute firewall-rules create allow-office –allow all –source-ranges=$d –target-tags=office
之後離開
chmod +x fw.sh
sh fw.sh
就可以快速塞FW規則進GCP專案了
© 2021 Kila's IT Home
Theme by Anders Norén — Up ↑
近期迴響