Как узнать все параметры Deckhouse?
Deckhouse настраивается с помощью глобальных настроек, настроек модулей и различных сustom resource’ов. Подробнее — в документации.
Вывести глобальные настройки:
kubectl get mc global -o yaml
Вывести список состояния всех модулей (доступно для Deckhouse версии 1.47+):
kubectl get modules
Вывести настройки модуля user-authn
:
kubectl get moduleconfigs user-authn -o yaml
Как найти документацию по установленной у меня версии?
Документация запущенной в кластере версии Deckhouse доступна по адресу documentation.<cluster_domain>
, где <cluster_domain>
— DNS имя в соответствии с шаблоном из параметра modules.publicDomainTemplate глобальной конфигурации.
Документация доступна, если в кластере включен модуль documentation. Он включен по умолчанию, кроме варианта поставки Minimal
.
Обновление Deckhouse
Как понять, в каком режиме обновляется кластер?
Посмотреть режим обновления кластера можно в конфигурации модуля deckhouse
. Для этого выполните следующую команду:
kubectl get mc deckhouse -oyaml
Пример вывода:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
creationTimestamp: "2022-12-14T11:13:03Z"
generation: 1
name: deckhouse
resourceVersion: "3258626079"
uid: c64a2532-af0d-496b-b4b7-eafb5d9a56ee
spec:
settings:
releaseChannel: Stable
update:
windows:
- days:
- Mon
from: "19:00"
to: "20:00"
version: 1
status:
state: Enabled
status: ""
type: Embedded
version: "1"
Существуют три возможных режима обновления:
- Автоматический + окна обновлений не заданы. Кластер обновится сразу после появления новой версии на соответствующем канале обновлений.
- Автоматический + заданы окна обновлений. Кластер обновится в ближайшее доступное окно после появления новой версии на канале обновлений.
- Ручной режим. Для применения обновления требуются ручные действия.
Как установить желаемый канал обновлений?
Чтобы перейти на другой канал обновлений автоматически, нужно в конфигурации модуля deckhouse
изменить (установить) параметр releaseChannel.
В этом случае включится механизм автоматической стабилизации релизного канала.
Пример конфигурации модуля deckhouse
с установленным каналом обновлений Stable
:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: deckhouse
spec:
version: 1
settings:
releaseChannel: Stable
Как отключить автоматическое обновление?
Чтобы полностью отключить механизм обновления Deckhouse, удалите в конфигурации модуля deckhouse
параметр releaseChannel.
В этом случае Deckhouse не проверяет обновления, и даже обновление на patch-релизы не выполняется.
Крайне не рекомендуется отключать автоматическое обновление! Это заблокирует обновления на patch-релизы, которые могут содержать исправления критических уязвимостей и ошибок.
Как понять, какие изменения содержит обновление и как это повлияет на работу кластера?
Информацию о всех версиях Deckhouse можно найти в списке релизов Deckhouse.
Сводную информацию о важных изменениях, об обновлении версий компонентов, а также о том, какие компоненты в кластере буду перезапущены в процессе обновления, можно найти в описании нулевой patch-версии релиза. Например, v1.46.0 для релиза v1.46 Deckhouse.
Подробный список изменений можно найти в Changelog, ссылка на который есть в каждом релизе.
Как понять, что в кластере идет обновление?
Во время обновления:
- Горит алерт
DeckhouseUpdating
. - Под
deckhouse
не в статусеReady
. Если Под долго не переходит в статусReady
, то это может говорить о наличии проблем в работе Deckhouse. Необходима диагностика.
Как понять, что обновление прошло успешно?
Если алерт DeckhouseUpdating
погас, то обновление завершено.
Вы также можете проверить состояние релизов Deckhouse.
Пример:
$ kubectl get deckhouserelease
NAME PHASE TRANSITIONTIME MESSAGE
v1.46.8 Superseded 13d
v1.46.9 Superseded 11d
v1.47.0 Superseded 4h12m
v1.47.1 Deployed 4h12m
Статус Deployed
у соответствующей версии говорит о том, что переключение на соответствующую версию было выполнено (но это не значит, что оно закончилось успешно)
Проверьте состояние Пода Deckhouse:
$ kubectl -n d8-system get pods -l app=deckhouse
NAME READY STATUS RESTARTS AGE
deckhouse-7844b47bcd-qtbx9 1/1 Running 0 1d
- Если статус Пода
Running
, и в колонке READY указано1/1
— обновление закончилось успешно. - Если статус Пода
Running
, и в колонке READY указано0/1
— обновление еще не закончилось. Если это продолжается более 20-30 минут, то это может говорить о наличии проблем в работе Deckhouse. Необходима диагностика. - Если статус Пода не
Running
- то это может говорить о наличии проблем в работе Deckhouse. Необходима диагностика.
Возможные варианты действий, если что-то пошло не так:
-
Проверьте логи, используя следующую команду:
kubectl -n d8-system logs -f -l app=deckhouse | jq -Rr 'fromjson? | .msg'
- Соберите отладочную информацию и свяжитесь с технической поддержкой.
- Попросите помощи у сообщества.
Как узнать, что для кластера доступна новая версия?
Как только на установленном в кластере канале обновления появляется новая версия Deckhouse:
- Загорается алерт
DeckhouseReleaseIsWaitingManualApproval
, если кластер использует ручной режим обновлений (параметр update.mode установлен вManual
). - Появляется новый custom resource DeckhouseRelease. Используйте команду
kubectl get deckhousereleases
, чтобы посмотреть список релизов. ЕслиDeckhouseRelease
новой версии находится в состоянииPending
, то указанная версия еще не установлена. Возможные причины, при которыхDeckhouseRelease
может находиться вPending
:- Установлен ручной режим обновлений (параметр update.mode установлен в
Manual
). - Установлен автоматический режим обновлений и настроены окна обновлений, интервал которых еще не наступил.
- Установлен автоматический режим обновлений, окна обновлений не настроены, но применение версии отложено на случайный период времени из-за механизма снижения нагрузки на репозиторий образов контейнеров. В поле
status.message
ресурсаDeckhouseRelease
будет соответствующее сообщение. - Установлен параметр update.notification.minimalNotificationTime, и указанное в нем время еще не прошло.
- Установлен ручной режим обновлений (параметр update.mode установлен в
Как заранее получать информацию о предстоящем обновлении?
Получать заранее информацию об обновлении минорных версий Deckhouse на канале обновлений, можно следующими способами:
- Настроить ручной режим обновлений. В этом случае при появлении новой версии на канале обновлений загорится алерт
DeckhouseReleaseIsWaitingManualApproval
и в кластере появится новый custom resource DeckhouseRelease. - Настроить автоматический режим обновлений и указать минимальное время в параметре minimalNotificationTime, на которое будет отложено обновление. В этом случае при появлении новой версии на канале обновлений в кластере появится новый custom resource DeckhouseRelease. А если указать URL в параметре update.notification.webhook, то дополнительно произойдет вызов webhook’а.
Как узнать, какая версия Deckhouse находится на каком канале обновлений?
Информацию о том, какая версия Deckhouse находится на каком канале обновлений, можно получить на https://flow.deckhouse.io.
Как работает автоматическое обновление Deckhouse?
При указании в конфигурации модуля deckhouse
параметра releaseChannel
, Deckhouse будет каждую минуту проверять данные о релизе на канале обновлений.
При появлении нового релиза Deckhouse скачивает его в кластер и создает custom resource DeckhouseRelease.
После появления custom resource’а DeckhouseRelease
в кластере Deckhouse выполняет обновление на соответствующую версию согласно установленным параметрам обновления (по-умолчанию — автоматически, в любое время).
Чтобы посмотреть список и состояние всех релизов, воспользуйтесь командной:
kubectl get deckhousereleases
Patch-релизы (например, обновление на версию 1.30.2
при установленной версии 1.30.1
) устанавливаются без учета режима и окон обновления, т.е. при появлении на канале обновления patch-релиза, он всегда будет установлен.
Что происходит при смене канала обновлений?
- При смене канала обновлений на более стабильный (например с
Alpha
наEarlyAccess
) Deckhouse скачивает данные о релизе (в примере — из каналаEarlyAccess
) и сравнивает их с данными из существующих в кластере custom resouce’овDeckhouseRelease
:- Более поздние релизы, которые еще не были применены (в статусе
Pending
), — удаляются. - Если более поздние релизы уже применены (в статусе
Deployed
), то смены релиза не происходит. В этом случае Deckhouse останется на таком релизе до тех пор, пока на канале обновленийEarlyAccess
не появится более поздний релиз.
- Более поздние релизы, которые еще не были применены (в статусе
- При смене канала обновлений на менее стабильный (например с
EarlyAcess
наAlpha
):- Deckhouse скачивает данные о релизе (в примере — из канала
Alpha
) и сравнивает их с данными из существующих в кластере custom resource’овDeckhouseRelease
. - Затем Deckhouse выполняет обновление согласно установленным параметрам обновления.
- Deckhouse скачивает данные о релизе (в примере — из канала
Что делать, если Deckhouse не получает обновлений из канала обновлений?
- Проверьте, что настроен нужный канал обновлений.
-
Проверьте корректность разрешения DNS-имени хранилища образов Deckhouse.
Получите и сравните IP-адреса хранилища образов Deckhouse (
registry.deckhouse.io
) на одном из узлов и в поде Deckhouse. Они должны совпадать.Пример получения IP-адреса хранилища образов Deckhouse на узле:
$ getent ahosts registry.deckhouse.io 46.4.145.194 STREAM registry.deckhouse.io 46.4.145.194 DGRAM 46.4.145.194 RAW
Пример получения IP-адреса хранилища образов Deckhouse в поде Deckhouse:
$ kubectl -n d8-system exec -ti deploy/deckhouse -c deckhouse -- getent ahosts registry.deckhouse.io 46.4.145.194 STREAM registry.deckhouse.io 46.4.145.194 DGRAM registry.deckhouse.io
Если полученные IP-адреса не совпадают, проверьте настройки DNS на узле. В частности, обратите внимание на список доменов в параметре search файла
/etc/resolv.conf
(он влияет на разрешение имен в поде Deckhouse). Если в параметре search файла/etc/resolv.conf
указан домен, в котором настроено разрешение wildcard-записей, то это может привести к неверному разрешению IP-адреса хранилища образов Deckhouse (см. пример).
Закрытое окружение, работа через proxy и сторонние registry
Как установить Deckhouse из стороннего registry?
Доступно только в Enterprise Edition.
Deckhouse поддерживает работу только с Bearer token-схемой авторизации в container registry.
Протестирована и гарантируется работа со следующими container registry: Nexus, Harbor, Artifactory, Docker Registry, Quay.
При установке Deckhouse можно настроить на работу со сторонним registry (например, проксирующий registry внутри закрытого контура).
Установите следующие параметры в ресурсе InitConfiguration
:
imagesRepo: <PROXY_REGISTRY>/<DECKHOUSE_REPO_PATH>/<DECKHOUSE_REVISION>
— адрес образа Deckhouse в стороннем registry с учетом используемой редакции - CE или EE. Пример:imagesRepo: registry.deckhouse.io/deckhouse/ce
;registryDockerCfg: <BASE64>
— права доступа к стороннему registry, зашифрованные в Base64.
Если разрешен анонимный доступ к образам Deckhouse в стороннем registry, то registryDockerCfg
должен выглядеть следующим образом:
{"auths": { "<PROXY_REGISTRY>": {}}}
Приведенное значение должно быть закодировано в Base64.
Если для доступа к образам Deckhouse в стороннем registry необходима аутентификация, то registryDockerCfg
должен выглядеть следующим образом:
{"auths": { "<PROXY_REGISTRY>": {"username":"<PROXY_USERNAME>","password":"<PROXY_PASSWORD>","auth":"<AUTH_BASE64>"}}}
где:
<PROXY_USERNAME>
— имя пользователя для аутентификации на<PROXY_REGISTRY>
;<PROXY_PASSWORD>
— пароль пользователя для аутентификации на<PROXY_REGISTRY>
;<PROXY_REGISTRY>
— адрес стороннего registry в виде<HOSTNAME>[:PORT]
;<AUTH_BASE64>
— строка вида<PROXY_USERNAME>:<PROXY_PASSWORD>
, закодированная в Base64.
Итоговое значение для registryDockerCfg
должно быть также закодировано в Base64.
Для настройки нестандартных конфигураций сторонних registry в ресурсе InitConfiguration
предусмотрены еще два параметра:
registryCA
— корневой сертификат, которым можно проверить сертификат registry (если registry использует самоподписанные сертификаты);registryScheme
— протокол доступа к registry (HTTP
илиHTTPS
). По умолчанию -HTTPS
.
Особенности настройки Nexus
При использовании менеджера репозиториев Nexus должны быть выполнены следующие требования:
- Включен
Docker Bearer Token Realm
. - Создан проксирующий репозиторий Docker.
- Параметр
Allow anonymous docker pull
должен быть включен. - Должен быть настроен контроль доступа:
- Создана роль Nexus с полномочиями
nx-repository-view-docker-<репозиторий>-browse
иnx-repository-view-docker-<репозиторий>-read
. - Создан пользователь Nexus с ролью, созданной выше.
- Создана роль Nexus с полномочиями
- Параметр
Maximum metadata age
созданного репозитория должен быть установлен в 0.
Настройка:
-
Включите
Docker Bearer Token Realm
: -
Создайте проксирующий репозиторий Docker, указывающий на Deckhouse registry:
- Заполните поля страницы создания следующим образом:
Name
должно содержать имя создаваемого репозитория, напримерd8-proxy
.Repository Connectors / HTTP
илиRepository Connectors / HTTPS
должно содержать выделенный порт для создаваемого репозитория, например,8123
или иной.Allow anonymous docker pull
должно быть включено, чтобы работала авторизация с помощью Bearer-токенов, при этом анонимный доступ не будет работать, если он не был явно включен в Settings -> Security -> Anonymous Access, и пользователюanonymous
не были даны права на доступ к репозиторию.Remote storage
должно иметь значениеhttps://registry.deckhouse.io/
.Auto blocking enabled
иNot found cache enabled
могут быть выключены для отладки; в противном случае их следует включить.Maximum Metadata Age
должно быть равно 0.- Если планируется использовать Deckhouse Enterprise Edition, флажок
Authentication
должен быть включен, а связанные поля должны быть заполнены следующим образом:Authentication Type
должно иметь значениеUsername
.Username
должно иметь значениеlicense-token
.Password
должно содержать ключ лицензии Deckhouse Enterprise Edition.
- Настройте контроль доступа Nexus для доступа Deckhouse к созданному репозиторию:
-
Создайте роль Nexus с полномочиями
nx-repository-view-docker-<репозиторий>-browse
иnx-repository-view-docker-<репозиторий>-read
. -
Создайте пользователя Nexus с ролью, созданной выше.
-
Особенности настройки Harbor
Необходимо использовать такой функционал Harbor, как Proxy Cache.
- Настройте Registry:
Administration -> Registries -> New Endpoint
.Provider
:Docker Registry
.Name
— укажите любое, на ваше усмотрение.Endpoint URL
:https://registry.deckhouse.io
.- Укажите
Access ID
иAccess Secret
, если используете Deckhouse Enterprise Edition, иначе оставьте пустыми.
- Создайте новый проект:
Projects -> New Project
.Project Name
будет частью URL. Используйте любой, например,d8s
.Access Level
:Public
.Proxy Cache
— включите и выберите в списке Registry, созданный на предыдущем шаге.
В результате образы Deckhouse будут доступны, например, по следующему адресу: https://your-harbor.com/d8s/deckhouse/{d8s-edition}:{d8s-version}
.
Ручная загрузка образов в изолированный приватный registry
-
Загрузите скрипт на хост, с которого есть доступ до
registry.deckhouse.io
(для работы скрипта потребуются установленныеDocker
и jq):curl -fsSL -o d8-pull.sh https://raw.githubusercontent.com/deckhouse/deckhouse/main/tools/release/d8-pull.sh chmod 700 d8-pull.sh
Внимание! Используйте следующие команды, если хотите загрузить образы более ранних версий Deckhouse, вышедших до v1.45.0:
curl -fsSL -o d8-pull.sh https://raw.githubusercontent.com/deckhouse/deckhouse/v1.44.4/tools/release/d8-pull.sh chmod 700 d8-pull.sh
-
Скачайте образы с помощью скрипта
d8-pull.sh
.Пример скачивания образов Deckhouse EE v1.45.5 в директорию
/your/output-dir/
:./d8-pull.sh --license <DECKHOUSE_LICENSE_KEY> --release v1.45.5 --output-dir /your/output-dir/
Для Deckhouse CE укажите параметр
--edition ce
и опустите параметр--license
. -
Загрузите директорию с образами на хост, с которого есть доступ до изолированного приватного registry.
-
Загрузите скрипт на этот хост:
curl -fsSL -o d8-push.sh https://raw.githubusercontent.com/deckhouse/deckhouse/main/tools/release/d8-push.sh chmod 700 d8-push.sh
Внимание! Используйте следующие команды, если хотите загрузить образы более ранних версий Deckhouse, вышедших до v1.45.0:
curl -fsSL -o d8-push.sh https://raw.githubusercontent.com/deckhouse/deckhouse/v1.44.4/tools/release/d8-push.sh chmod 700 d8-push.sh
-
Загрузите образы с помощью скрипта
d8-push.sh
в изолированный приватный registry.Пример загрузки образов из директории
/your/source-dir/
:./d8-push.sh --source-dir /your/source-dir/ --path your.private.registry.com/deckhouse --username <USERNAME> --password <PASSWORD>
Внимание! Обратитесь к документации вашего регистри, чтобы правильно указать значение флага
--path
. Например, дляHarbor
значение может бытьharbor.registry.com/deckhouse/deckhouse
, но неharbor.registry.com/deckhouse
. -
После загрузки образов в изолированный приватный registry, для правильной настройки конфигурации установщика и ресурса
InitConfiguration
воспользуйтесь инструкцией.
Как переключить работающий кластер Deckhouse на использование стороннего registry?
Для переключения кластера Deckhouse на использование стороннего registry выполните следующие действия:
- Выполните команду
deckhouse-controller helper change-registry
из Подаdeckhouse
с параметрами нового registry.-
Пример запуска:
kubectl exec -ti -n d8-system deploy/deckhouse -- deckhouse-controller helper change-registry \ --user my-user --password my-password registry.example.com/deckhouse
-
Если registry использует самоподписные сертификаты, то положите корневой сертификат соответствующего сертификата registry в файл
ca.crt
в Подеdeckhouse
и добавьте к вызову опцию--ca-file ca.crt
или вставьте содержимое CA в переменную:$ CA_CONTENT=$(cat <<EOF -----BEGIN CERTIFICATE----- CERTIFICATE -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- CERTIFICATE -----END CERTIFICATE----- EOF ) $ kubectl exec -ti -n d8-system deploy/deckhouse -- deckhouse-controller helper change-registry --user license-token --password YUvio925tyxFNBnqhfcx89nABwcnTP1K registry.deckhouse.io/deckhouse --ca-file <(cat <<<$CA_CONTENT)
-
- Дождитесь перехода Pod’а Deckhouse в статус
Ready
. Если Pod будет находиться в статусеImagePullBackoff
, то перезапустите его. - Дождитесь применения bashible новых настроек на master-узле. В журнале bashible на master-узле (
journalctl -u bashible
) должно появится сообщениеConfiguration is in sync, nothing to do
. - Если необходимо отключить автоматическое обновление Deckhouse через сторонний registry, то удалите параметр
releaseChannel
из конфигурации модуляdeckhouse
. -
Проверьте, не осталось ли в кластере Pod’ов с оригинальным адресом registry:
kubectl get pods -A -o json | jq '.items[] | select(.spec.containers[] | select((.image | contains("deckhouse.io")))) | .metadata.namespace + "\t" + .metadata.name' -r
Как создать кластер и запустить Deckhouse без использования каналов обновлений?
Данный способ следует использовать только в случае, если в изолированном приватном registry нет образов, содержащих информацию о каналах обновлений.
- Если вы хотите установить Deckhouse с отключенным автоматическим обновлением:
- Используйте тэг образа установщика соответствующей версии. Например, если вы хотите установить релиз
v1.44.3
, то используйте образyour.private.registry.com/deckhouse/install:v1.44.3
. - Укажите соответствующий номер версии в параметре deckhouse.devBranch в ресурсе InitConfiguration.
- Не указывайте параметр deckhouse.releaseChannel в ресурсе InitConfiguration.
- Используйте тэг образа установщика соответствующей версии. Например, если вы хотите установить релиз
- Если вы хотите отключить автоматические обновления у уже установленного Deckhouse (включая обновления patch-релизов), то удалите параметр releaseChannel из конфигурации модуля
deckhouse
.
Использование proxy-сервера
Доступно только в Enterprise Edition.
Для настройки Deckhouse на использование proxy используйте параметр proxy ресурса ClusterConfiguration
.
Пример:
apiVersion: deckhouse.io/v1
kind: ClusterConfiguration
clusterType: Cloud
cloud:
provider: OpenStack
prefix: main
podSubnetCIDR: 10.111.0.0/16
serviceSubnetCIDR: 10.222.0.0/16
kubernetesVersion: "Automatic"
cri: "Containerd"
clusterDomain: "cluster.local"
proxy:
httpProxy: "http://user:password@proxy.company.my:3128"
httpsProxy: "https://user:password@proxy.company.my:8443"
Изменение конфигурации
Как изменить конфигурацию кластера?
Общие параметры кластера хранятся в структуре ClusterConfiguration.
Чтобы изменить общие параметры кластера, выполните команду:
kubectl -n d8-system exec -ti deploy/deckhouse -- deckhouse-controller edit cluster-configuration
После сохранения изменений Deckhouse приведет конфигурацию кластера к измененному состоянию. В зависимости от размеров кластера это может занять какое-то время.
Как изменить конфигурацию облачного провайдера в кластере?
Настройки используемого облачного провайдера в облачном или гибридном кластере хранятся в структуре <PROVIDER_NAME>ClusterConfiguration
, где <PROVIDER_NAME>
— название/код провайдера. Например, для провайдера OpenStack структура будет называться OpenStackClusterConfiguration.
Независимо от используемого облачного провайдера, его настройки можно изменить с помощью команды:
kubectl -n d8-system exec -ti deploy/deckhouse -- deckhouse-controller edit provider-cluster-configuration
Как изменить конфигурацию статического кластера?
Настройки статического кластера хранятся в структуре StaticClusterConfiguration.
Чтобы изменить параметры статического кластера, выполните команду:
kubectl -n d8-system exec -ti deploy/deckhouse -- deckhouse-controller edit static-cluster-configuration
Как переключить Deckhouse EE на CE?
Инструкция подразумевает использование публичного адреса container registry: registry.deckhouse.io
. В случае использования другого адреса container registry измените команды или воспользуйтесь инструкцией по переключению Deckhouse на использование стороннего registry.
В Deckhouse CE не поддерживается работа облачных кластеров на OpenStack и VMware vSphere.
Для переключения кластера Deckhouse Enterprise Edition на Community Edition выполните следующие действия:
-
Убедитесь, что используемые в кластере модули поддерживаются в версии CE. Отключите модули, которые не поддерживаются в Deckhouse CE.
-
Выполните следующую команду:
kubectl exec -ti -n d8-system deploy/deckhouse -- deckhouse-controller helper change-registry registry.deckhouse.io/deckhouse/ce
-
Дождитесь перехода Pod’а Deckhouse в статус
Ready
:kubectl -n d8-system get po -l app=deckhouse
-
Если Pod будет находиться в статусе
ImagePullBackoff
, то перезапустите его:kubectl -n d8-system delete po -l app=deckhouse
-
Дождитесь перезапуска Deckhouse и выполнения всех задач в очереди:
kubectl -n d8-system exec deploy/deckhouse -- deckhouse-controller queue main | grep status:
Пример вывода, когда в очереди еще есть задания (
length 38
):# kubectl -n d8-system exec deploy/deckhouse -- deckhouse-controller queue main | grep status: Queue 'main': length 38, status: 'run first task'
Пример вывода, когда очередь пуста (
length 0
):# kubectl -n d8-system exec deploy/deckhouse -- deckhouse-controller queue main | grep status: Queue 'main': length 0, status: 'waiting for task 0s'
-
На master-узле проверьте применение новых настроек.
В журнале systemd-сервиса bashible на master-узле должно появиться сообщение
Configuration is in sync, nothing to do
.Пример:
# journalctl -u bashible -n 5 Jan 12 12:38:20 demo-master-0 bashible.sh[868379]: Configuration is in sync, nothing to do. Jan 12 12:38:20 demo-master-0 systemd[1]: bashible.service: Deactivated successfully. Jan 12 12:39:18 demo-master-0 systemd[1]: Started Bashible service. Jan 12 12:39:19 demo-master-0 bashible.sh[869714]: Configuration is in sync, nothing to do. Jan 12 12:39:19 demo-master-0 systemd[1]: bashible.service: Deactivated successfully.
-
Проверьте, не осталось ли в кластере Pod’ов с адресом registry для Deckhouse EE:
kubectl get pods -A -o json | jq '.items[] | select(.spec.containers[] | select((.image | contains("deckhouse.io/deckhouse/ee")))) | .metadata.namespace + "\t" + .metadata.name' -r | sort | uniq
Иногда, могут оставаться запущенными некоторые static Pod’ы (например,
kubernetes-api-proxy-*
). Это связанно с тем, что kubelet не перезапускает Pod несмотря на изменение соответствующего манифеста, т.к. используемый образ одинаков для редакций Deckhouse CE и EE. Выполните на любом master-узле следующую команду, чтобы убедиться что соответствующие манифесты также были изменены:grep -ri 'deckhouse.io/deckhouse/ee' /etc/kubernetes | grep -v backup
Вывод команды должен быть пуст.
Как переключить Deckhouse CE на EE?
Вам потребуется действующий лицензионный ключ (вы можете запросить временный ключ при необходимости).
Инструкция подразумевает использование публичного адреса container registry: registry.deckhouse.io
. В случае использования другого адреса container registry измените команды или воспользуйтесь инструкцией по переключению Deckhouse на использование стороннего registry.
Для переключения кластера Deckhouse Community Edition на Enterprise Edition выполните следующие действия:
-
Выполните следующую команду:
LICENSE_TOKEN=<PUT_YOUR_LICENSE_TOKEN_HERE> kubectl exec -ti -n d8-system deploy/deckhouse -- deckhouse-controller helper change-registry --user license-token --password $LICENSE_TOKEN registry.deckhouse.io/deckhouse/ee
-
Дождитесь перехода Pod’а Deckhouse в статус
Ready
:kubectl -n d8-system get po -l app=deckhouse
-
Если Pod будет находиться в статусе
ImagePullBackoff
, то перезапустите его:kubectl -n d8-system delete po -l app=deckhouse
-
Дождитесь перезапуска Deckhouse и выполнения всех задач в очереди:
kubectl -n d8-system exec deploy/deckhouse -- deckhouse-controller queue main | grep status:
Пример вывода, когда в очереди еще есть задания (
length 38
):# kubectl -n d8-system exec deploy/deckhouse -- deckhouse-controller queue main | grep status: Queue 'main': length 38, status: 'run first task'
Пример вывода, когда очередь пуста (
length 0
):# kubectl -n d8-system exec deploy/deckhouse -- deckhouse-controller queue main | grep status: Queue 'main': length 0, status: 'waiting for task 0s'
-
На master-узле проверьте применение новых настроек.
В журнале systemd-сервиса bashible на master-узле должно появиться сообщение
Configuration is in sync, nothing to do
.Пример:
# journalctl -u bashible -n 5 Jan 12 12:38:20 demo-master-0 bashible.sh[868379]: Configuration is in sync, nothing to do. Jan 12 12:38:20 demo-master-0 systemd[1]: bashible.service: Deactivated successfully. Jan 12 12:39:18 demo-master-0 systemd[1]: Started Bashible service. Jan 12 12:39:19 demo-master-0 bashible.sh[869714]: Configuration is in sync, nothing to do. Jan 12 12:39:19 demo-master-0 systemd[1]: bashible.service: Deactivated successfully.
-
Проверьте, не осталось ли в кластере Pod’ов с адресом registry для Deckhouse CE:
kubectl get pods -A -o json | jq '.items[] | select(.spec.containers[] | select((.image | contains("deckhouse.io/deckhouse/ce")))) | .metadata.namespace + "\t" + .metadata.name' -r | sort | uniq
Иногда, могут оставаться запущенными некоторые static Pod’ы (например,
kubernetes-api-proxy-*
). Это связанно с тем, что kubelet не перезапускает Pod несмотря на изменение соответствующего манифеста, т.к. используемый образ одинаков для редакций Deckhouse CE и EE. Выполните на любом master-узле следующую команду, чтобы убедиться что соответствующие манифесты также были изменены:grep -ri 'deckhouse.io/deckhouse/ce' /etc/kubernetes | grep -v backup
Вывод команды должен быть пуст.
Как обновить версию Kubernetes в кластере?
Чтобы обновить версию Kubernetes в кластере, измените параметр kubernetesVersion в структуре ClusterConfiguration выполнив следующие шаги:
-
Выполните команду:
kubectl -n d8-system exec -ti deploy/deckhouse -- deckhouse-controller edit cluster-configuration
- Измените параметр
kubernetesVersion
. - Сохраните изменения. Узлы кластера начнут последовательно обновляться.
- Дождитесь окончания обновления. Отслеживать ход обновления можно с помощью команды
kubectl get no
. Обновление можно считать завершенным, когда в выводе команды у каждого узла кластера в колонкеVERSION
появится обновленная версия.
Как запускать Deckhouse на произвольном узле?
Для запуска Deckhouse на произвольном узле установите у модуля deckhouse
соответствующий параметр nodeSelector
и не задавайте tolerations
. Необходимые значения tolerations
в этом случае будут проставлены автоматически.
Используйте для запуска Deckhouse только узлы с типом CloudStatic или Static. Также избегайте использования для запуска Deckhouse группы узлов (NodeGroup
), содержащей только один узел.
Пример конфигурации модуля:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: deckhouse
spec:
version: 1
settings:
nodeSelector:
node-role.deckhouse.io/deckhouse: ""