Google Container Engine的建立

作者: -

在Google Cloud上使用Container Engine服務來建置Container Cluster是非常方便的事,原因是因為在GKE上,他幫忙我們處理掉了網路的串接、效能管理、對外IP的連線與防火牆的授權等等... GKE是怎麼完成的呢?下面讓我們一步一步的,用比較詳細的流程來看一下每個階段Google做了什麼...


首先我們先建立一個GKE cluster環境,用yourls這個名稱來建立... 建立後,可以在GKE console中看到下面的資訊:


接下來,點進yourls的cluster時候,可以看到下面的資訊... 包含cluster的master與slave以及cluster的location,k8s的版本與cluster size等資訊...


在GKE cluster size小於10台的情況下Google會代管您的Master node,讓管理上可以忽略Master Node的部分,也可以省下Master Node的費用...


另外,下面有列出node pool的資訊,其中GKE上預設node與master的版本相同,而如果要做升級動作,可以針對node與master分開執行,這樣可以讓環境彼此間的影響比較小...


當Cluster架設好,我們會想... 那,就通了嗎?以Google Compute Engine的經驗,我們需要設定firewall讓cluster的環境打通,來看看firewall上的設定...


在firewall上,GKE幫我們建立了幾個設定..

  • gke-yourls…-all: 允許GKE內部Container的網段可以直接連線彼此

  • gke-yourls…-ssh: 允許master node可以讓外部ssh連線進入

  • gke-yourls…-vms: 允許GKE Host VM彼此之間可以互通


透過上述設定,可以讓一個GKE的Cluster可以正常運作... 接下來可以看一個應用程式部署的情況下,在網路上會有哪些改變... ^^


From: IndustrialClouds.net

這個網誌中的熱門文章

[how-to] 在 GCP 上設定 HTTPS Load Balancer

作者: -
圖片
GCP 推出 HTTP Load Balancer 也已經一陣子了,其中類似 anycast 的特性讓後端的 backend server 可以跨不同 region 之外,也可以根據流量的來源跑到最適合的 backend group 上。

但是好用的東西總是缺一味,就是 SSL 的支援。Google 雖然有實作了 HTTPS Load Balancer 但一直都在 alpha stage,僅開放邀請測試,所以也都是一整個看的到吃不到的情況 ..

日前終於收到 Google 的邀請,終於來試看看到底怎麼設定 HTTPS Load Balancer .. 其實非常簡單 .....


首先請選擇 HTTP Load Balancing 功能,選擇 New load balancer,輸入名稱


完成輸入之後,我們來增加新的 forwarding rule


重點在這裡,如果您的帳號/專案有被加入到這個功能的白名單 (whitelisted) 內,你就可以在 Protocol 那邊看到「HTTPS」,而當你選擇「HTTPS」後,你會看到下方多了一個「Certificate」的下拉式選單,然後選擇「Create a new certificate」


這邊就是新增憑證資訊的頁面,你可以選擇上傳或是貼上憑證的內容。
其中「Public key certificate」是 CA 所簽發給你的憑證,Certificate chain 就是 CA 給你的中繼憑證 (Intermediate certificate),然後 Private Key 不意外的就是貼入你申請這個憑證所使用的私鑰。

一旦你的填入憑證是有效的,右方將會出現這個憑證的相關資訊,例如 hostname,有效期限 ... 等等。


 建立完 forwarding rule 之後,這個 Load Balancer 就完成一半了!這時候你可以直接點那個連結,或是用 curl 檢查 SSL 是否順利掛上你剛剛上傳的憑證。

但因為你現在是用 IP 連,如果用 chrome 連線會得到憑證無效的訊息,因為 IP 跟 hostname 對不上的關係。


或是你也可以進到 advanced view,看剛剛建立的 lb 跟 forwarding rules



您也可以到 Certificate 頁籤看看剛剛上傳的憑證相關資訊


接下來 HTT…
閱讀完整內容

在kubernetes上使用kube-lego自動更新Let’s Encrypt TLS憑證

作者: -
圖片
在k8s上架好了一個服務之後通常下一件事就是把它公開讓大家都可以使用,這時候你有很多選擇,通常會使用ingress來處理。這時候k8s會產生一組public IP,接下來只需要把DNS指到這個IP你的服務就完成部署了。可是部署完成之後的連線是未加密的會有安全上的疑慮,這時候我們就需要一個TLS憑證。 取得TLS憑證的方式有很多種,大多是付費的服務,不過有一個佛心組織 — Let's Encrypt提供免費的憑證發放服務。要取得憑證你必須證明你是你這個網域的擁有者,怎麼證明呢?有很多方法,細節可以查看ACME。 kube-lego目前只有實作simple HTTP,簡單的說就是產生一組token給你放到你的網站的/.well-known/acme-challenge/,放好之後讓Let's Encrypt去讀取這個網址並確認token是不是符合,通過之後才會發放給你這個憑證。而且憑證是會過期的,於是就得有更新的機制。kube-lego很方便地把這些都處理好了。 最低需求: Kubernetes 1.2+相容的ingress controller (nginx or GCE seehere),如果你是用GKE的話Google都幫你搞定了 😆一個可以運行的ingressP.S. 目前還不適合使用在正式環境中 😆
步驟: 首先需要針對你的ingress做修改,kube-lego將會尋找有kubernetes.io/tls-acme: "true"annotation的ingress object: metadata: annotations: kubernetes.io/tls-acme: "true" 然後kube-lego會看spec.tls這個設定並且幫每一個host entry去跟Let's Encrypt申請憑證,範例如下: spec: tls: - secretName: mysql-tls hosts: - phpmyadmin.example.com - mysql.example.comsecretName是secret object的名稱,必須是namespace中唯一的,不然會被蓋掉,這是用來存放取回來的憑證。 一個完整的ingress.yml可以參…
閱讀完整內容

Google Cloud Launch 的 Percona 服務介紹

作者: -
圖片
Database一直是每一項服務需要特別花心思的地方,通常將資料庫服務委託給Google CloudSQL是最簡單不過的,不過,如果希望能夠保有對資料庫的完整操控權,則自建Database是最快的選擇... 而Google Cloud Launcher服務即有DB Cluster的建置,在此以Percona Cluster為例,透過Cloud Launcher簡單的建置Percona MySQL Cluster…
Percona是分支自MySQL的資料庫,相較於原生MySQL,Percona原生提供了更多的資料庫工具,讓使用者可以更快速的建置自己的MySQL應用...
首先,我們先到Cloud Lancher ( https://console.cloud.google.com/launcher ) 搜尋”Percona”關鍵字,然後進入Percona的說明頁面之後點選LAUNCH ON COMPUTE ENGINE...
依照GCP上的建議,Percona Cluster 預設啟動的機器不能小於三台,我們可以指定資料庫的zone位置,也可以依照需求指定更多的主機數量... 選好機器的zone和數量後,只要點選Deploy,就可以開始進入開通cluster的動作...




建立完成後可以在”Deployment Manager”裡,看到您剛剛建立的Percona,裡面會有每一台機器的說明、DB的password、相關說明文件等資料

由於Cloud Launcher是以Appliance的方式提供服務,也就是會使用Compute Engine來建置,因此我們會看到剛剛所開立起來的三台機器...


在Percona的Cluster機制下,所有的主機都是可以讀寫的狀態... 因此,接下來我們可以使用SSH進入機器內檢視,登入後,執行mysql指令連線所建立的資料庫,若執行成功就能開始使用...

為了求證cluster的運作,以下進行幾個簡單測試..
1.每一台DB資料是否會同步? 答案是會~ 在第一台建立一個Database,其他二台會自動sync,如附圖
閱讀完整內容