rust | 伪架构师 /tags/rust/ rust Source Themes Academic (https://sourcethemes.com/academic/)zhTue, 14 Apr 2020 12:42:59 +0800 /img/logo-wide.png rust /tags/rust/ 在 Kubernetes 上用 Krustlet 调度 WASM /post/wasm-node-on-k8s/ Tue, 14 Apr 2020 12:42:59 +0800 /post/wasm-node-on-k8s/ <h2 id="前言">前言</h2> <p>坊间有两个传言:</p> <ul> <li>Kubernetes 正在成长为一个统一调度器</li> <li>WASM 如果早点成气候,就没 Docker 什么事了</li> </ul> <p><a href="https://github.com/deislabs/krustlet" target="_blank">Krustlet</a> 往前踏了一小步:他的官方描述是“Kubernetes Kubelet in Rust for running WASM”——使用 Rust 实现的 Kubelet,可以在 Kubernetes 中运行 WASM。</p> <p>Krustlet 是 Deis 实验室的产品,算是 Helm 的同门师兄弟。</p> <blockquote> <p>项目还非常初期,包括镜像拉取、Pod 生命周期等功能都没能完整实现,只能作为一个概念方面的尝试。</p> </blockquote> <h2 id="部署">部署</h2> <p>官方提供了 EKS、AKS 以及 Kind 的部署方案,这里我们使用 Kind 进行部署。使用如下配置文件定义一个三节点集群:</p> <pre><code class="language-yaml">kind: Cluster apiVersion: kind.x-k8s.io/v1alpha4 nodes: - role: control-plane - role: worker - role: worker - role: worker </code></pre> <pre><code class="language-shell">$ kind create cluster --config=config-3-node.yaml Creating cluster &quot;kind&quot; ... ✓ Ensuring node image (kindest/node:v1.17.0) 🖼 ✓ Preparing nodes 📦 📦 📦 📦 ✓ Writing configuration 📜 ✓ Starting control-plane 🕹️ ✓ Installing CNI 🔌 ✓ Installing StorageClass 💾 </code></pre> <p>集群启动之后,就可以安装 Krustlet 了。</p> <p>踩坑过程中,注意到 Krustlet 的几个依赖项目:</p> <ul> <li>Openssl 1.1.x 支持,所以有些老系统可能需要升级;</li> <li>接入 Krustlet 时,需要满足接入新节点的 Kubernetes 权限要求;</li> <li>Krustlet 和 Kubelet 一样,也要使用 kubeconfig 文件进行认证。</li> </ul> <p>在 <a href="https://github.com/deislabs/krustlet/releases/" target="_blank">Release 页面</a>可能找到压缩包下载,目前支持 Linux 和 MacOS 两个平台。</p> <p>解压之后,创建 <code>~/.krustlet/lib</code> 目录,将压缩包中的 <code>*.so</code> 和 <code>*.dylib</code> 复制到 <code>~/.krustlet/lib</code> 之中,可执行文件复制到 <code>/usr/local/bin</code></p> <p>接下来为 krustlet 准备用于加入 Kubernetes 的证书:</p> <pre><code class="language-bash">#!/bin/sh mkdir -p ~/.krustlet/config cd ~/.krustlet/config openssl req -new -sha256 -newkey rsa:2048 -keyout krustlet.key -out krustlet.csr -days 365 -nodes -subj &quot;/C=US/ST=./L=./O=./OU=./CN=krustlet&quot; cat &lt;&lt;EOF | kubectl apply -f - apiVersion: certificates.k8s.io/v1beta1 kind: CertificateSigningRequest metadata: name: krustlet spec: request: $(cat krustlet.csr | base64 | tr -d '\n') usages: - digital signature - key encipherment - server auth EOF kubectl certificate approve krustlet kubectl get csr krustlet -o jsonpath='{.status.certificate}' | base64 --decode &gt; krustlet.crt openssl pkcs12 -export -out certificate.pfx -inkey krustlet.key -in krustlet.crt -password &quot;pass:password&quot; </code></pre> <h2 id="启动">启动</h2> <p>启动过程很简单:</p> <pre><code class="language-shell">$ krustlet-wasi --pfx-password password --node-ip 10.89.81.61 [2020-04-14T06:16:34Z ERROR kubelet::kubelet] Error handling event: error decoding response body: missing field `access_token` at line 1 column 501 [2020-04-14T06:18:04Z ERROR kubelet::kubelet] Error handling event: error decoding response body: missing field `detail` at line 1 column 119 [2020-04-14T06:28:37Z ERROR kubelet::kubelet] Error handling event: error decoding response body: missing field `detail` at line 1 column 119 </code></pre> <blockquote> <p>其中的 <code>--node-ip</code> 参数是可选的,在 Docker for OS X 中,需要用 <code>ifconfig en0</code> 确定一下适配器 IP,如果是在物理机/虚拟机环境中,这个参数可以省略或者根据实际情况做出调整。</p> </blockquote> <p>是的你没看错,启动就出了点小问题。接下来看看节点情况:</p> <pre><code class="language-shell">$ kubectl get nodes NAME STATUS ROLES AGE VERSION kind-control-plane Ready master 136m v1.17.0 kind-worker Ready &lt;none&gt; 136m v1.17.0 kind-worker2 Ready &lt;none&gt; 136m v1.17.0 kind-worker3 Ready &lt;none&gt; 136m v1.17.0 abcd-mb0 Ready agent 111m v1.17.0 </code></pre> <p>看看节点的情况:</p> <pre><code class="language-shell">$ kubectl describe nodes abcd-mb0 ... Taints: krustlet/arch=wasm32-wasi:NoExecute ... System Info: Machine ID: System UUID: Boot ID: Kernel Version: OS Image: Operating System: linux Architecture: wasm-wasi Container Runtime Version: mvp Kubelet Version: v1.17.0 Kube-Proxy Version: v1.17.0 ... Operating System: linux Architecture: wasm-wasi Container Runtime Version: mvp ... </code></pre> <p>可以看到有很多信息是缺失的,说明项目的确很早期。</p> <p><code>Taints</code> 字段的定义,要求特定 Pod 才能调度到该节点上。</p> <p>最后其架构显示的是 wasm-wasi。</p> <h2 id="运行一个-pod">运行一个 Pod</h2> <p>编写一个 YAML 文件:</p> <pre><code class="language-yaml">apiVersion: v1 kind: Pod metadata: name: krustlet-tutorial spec: containers: - name: krustlet-tutorial image: webassembly.azurecr.io/hello-world-wasi-rust:v0.1.0 imagePullPolicy: Always tolerations: - key: &quot;node.kubernetes.io/network-unavailable&quot; operator: &quot;Exists&quot; effect: &quot;NoSchedule&quot; - key: &quot;krustlet/arch&quot; operator: &quot;Equal&quot; value: &quot;wasm32-wasi&quot; effect: &quot;NoExecute&quot; </code></pre> <p>镜像名好像很普通,Pull 一下:</p> <pre><code class="language-bash">$ docker pull webassembly.azurecr.io/hello-world-wasi-rust:v0.1.0 v0.1.0: Pulling from hello-world-wasi-rust 670adc713612: Pulling fs layer invalid rootfs in image configuration </code></pre> <p>看来这个镜像并不普通。。后面会讲一下。</p> <p>Pod 定义中声明了 <code>tolerations</code>,让该 Pod 可以在新节点上运行。提交 yaml 之后,可以看到 Pod 运行:</p> <pre><code class="language-shell">$ kubectl get pods -w NAME READY STATUS RESTARTS AGE krustlet-tutorial 0/1 Pending 0 6s krustlet-tutorial 0/1 Running 0 8s krustlet-tutorial 1/1 Running 0 8s krustlet-tutorial 0/1 ExitCode:0 0 8s </code></pre> <p>看到这个 Pod 飞快的完成了运行并成功退出,查看他的日志:</p> <pre><code class="language-shell">hello from stdout! hello from stderr! Args are: [] </code></pre> <h2 id="镜像">镜像</h2> <p>前面使用 <code>docker pull</code> 未能成功下载,这是因为这个镜像其实是一个封装为 OCI 的 WASM,可以使用 <a href="https://github.com/engineerd/wasm-to-oci" target="_blank">was-to-oci</a> 工具下载,并使用 <a href="https://github.com/bytecodealliance/wasmtime" target="_blank">wasmtime</a> 尝试运行:</p> <pre><code class="language-shell">$ wasm-to-oci pull registry.microservice.rocks/module-wasm:v1 INFO[0007] Pulled: registry.microservice.rocks/module-wasm:v1 INFO[0007] Size: 1964621 INFO[0007] Digest: sha256:670adc7136128af3a2848d86c18013b1009e7dedb8a686ecacda175094aa083c </code></pre> <p>完成后可以看到当前目录出现了一个 <code>module.wasm</code> 文件,运行一下:</p> <pre><code class="language-shell">$ wasmtime module.wasm hello from stdout! hello from stderr! Args are: [&quot;module.wasm&quot;] </code></pre> <p>反过来,也可以使用这个工具把 WASM 文件推送到镜像库中。例如:</p> <pre><code class="language-shell">$ wasm-to-oci push module.wasm registry.microservice.rocks/module-wasm:v1 INFO[0001] Pushed: registry.microservice.rocks/module-wasm:v1 INFO[0001] Size: 1964621 INFO[0001] Digest: sha256:54b09224f004231ffb37d14ac478a101d94c58aac93b8da7b67ed84147763d09 </code></pre> <h2 id="玩后感">玩后感</h2> <p>目前 Krustlet 对 Docker Registry 的支持似乎是有问题的,因此无法运行我们自己用 <code>wasm-to-oci</code> 推送到私库的 WASM。网络通信等内容也就无法测试了。好在目前版本只是 0.1.0,还有很多值得一等。</p>