在开发机器上跑 bazel 构建命令的时候会报错
1 | missing input file '//projects/aaa/bbb:public/docs/home/个人中心.md' |
但是实际上是存在这个文件的。执行 ls 对应目录发现下面的报错
1 | $ ls xxx/ |
比较奇怪,问了其他同学说没有这个问题。
自己搜索了半天,终于找到一个靠谱的知乎问题:用 macOS 自带的 SSH 登陆 Linux 后出现中文乱码,如何解决?
按照提示 sudo vim /etc/ssh/ssh_config 之后,注释掉 SendEnv LANG LC_* 即可解决。
需要注意的是,该问题每次 MacOS 系统升级之后都需要手动配置一下,似乎每次系统升级都会把 SendEnv LANG LC_* 加回去。
gloo 是一个开源的基于 envoy 的云原生 api 网关,其用 K8S 的 CRD 对于网关路由表等进行了一些封装,使得能通过云原生的方式配置 api 网关,提供灵活的 gateway 网络管控。
我们在项目中使用 gloo 的过程中,将其作为最上层的网关,对接了一个 kubernetes apiserver 的 upstream,在对接过程中,遇到了 这个问题,主要是我们发现 envoy 的 ext_authz 模块不支持把 append response header,只支持 set response header,然而 kube-apiserver 有一个 –requestheader-group-headers 的概念,通过这个 Header 能读到用户的 Groups,但是如果采用 envoy 的 ext_authz 模块的话,就会导致最终只读到一个 Group,而不能拿到用户所有的 Groups。
我给 envoy 官方提了一个 PR,目前已经合并,这个 PR 合并之后,我又给 gloo 项目提了一个 PR,这个 PR 已经被合并了,gloo 1.10 版本终于支持了相关的功能。
不幸的是,我们的线上环境还在用 gloo 1.5.5 版本,还没有相关的功能,因此需要手动给 1.5.5 版本打一个小 patch。
为了更方便的打 patch 和使用,我们就没有采取 PR 中的方式来做,而是直接没有考虑兼容性,直接给 Set header 的部分加了一个 append 功能,牺牲了兼容性,但是改起来更加方便了,具体的改动步骤如下
问题发生在 gateway-proxy 相关的 pod 中,因此我们需要改的是 gateway-proxy 的 image。即 solo-io/gloo-envoy-wrapper 这个镜像。而 solo-io/gloo-envoy-wrapper 的 base 镜像是 solo-io/envoy-gloo,这个镜像的主要源头在 envoy-gloo 这个项目中,下面简单说一下如何查询并做代码改动:
envoy-gloo 镜像版本为 quay.io/solo-io/envoy-gloo:1.16.0-rc4通过更改 envoy 代码可以形成下面的 patch
1 | diff --git a/source/extensions/filters/http/ext_authz/ext_authz.cc b/source/extensions/filters/http/ext_authz/ext_authz.cc |
把上面的 patch 放到 bazel/external/envoy.patch,然后需要更改的代码如下:
1 | diff --git a/bazel/repositories.bzl b/bazel/repositories.bzl |
建议在镜像中做编译。查看 https://github.com/solo-io/envoy-gloo/blob/v1.16.0-rc4/cloudbuild.yaml#L2 可以看到使用的镜像为 envoyproxy/envoy-build-ubuntu:e7ea4e81bbd5028abb9d3a2f2c0afe063d9b62c0-amd64,然后执行
1 | git clone https://github.com/solo-io/envoy-gloo && cd envoy-gloo |
即可以开始编译。注意最好在 Linux 下编译,建议内存为 16Gi。
编译完毕之后,参考 https://github.com/solo-io/envoy-gloo/blob/v1.16.0-rc4/cloudbuild.yaml#L12 的命令得知 linux/amd64/build_release_stripped/envoy 是实际使用的二进制包,利用下述命令打镜像
1 | cp -f linux/amd64/build_release_stripped/envoy ci/envoy.stripped |
如果 docker build 太慢,可以考虑把 ci/Dockerfile 改为下述的形式,其中 1.16.0-rc4 根据版本来选择
1 | FROM quay.io/solo-io/envoy-gloo:1.16.0-rc4 |
可以看到打了 quay.io/solo-io/envoy-gloo:1.16.0-rc4-patch 镜像,注意这里会自动执行 push 操作,其实是 push 不上去的,可以忽略 push 的报错。
1 | git clone https://github.com/solo-io/gloo && cd gloo |
就可以得到 quay.io/solo-io/gloo-envoy-wrapper:1.5.5-patch 镜像了,这个镜像就可以用于启动 gateway-proxy 了。
总的来说,本文主要目的没有讲述 gloo 的 PR 相关的工作,着重点讲述了 gloo gateway-proxy 镜像如何制作的,希望通过本文,让大家能了解到 gloo 和 envoy 直接的一些联系,以及 gloo 是如何在 envoy 上做了一些插件和编译操作。
Bazel 是 Google 开发的一款跨平台编译工具,是内部 blaze 的开源版本。本文不探讨 bazel 的使用,如果想了解如何用 Bazel 构建 go project,可以参考 这篇文章。本文主要探讨 Bazel 开发 go project 和纯使用 go modules 开发会有哪些优劣比较,我们如何去同时利用二者的优劣。
利用 Bazel 开发的 go project 能够支持非常好的可扩展性,对多语言的支持也比较友好,如果是一个公司内部的大项目,希望统一风格,统一 CI,统一构建,那么会存在这种状况:以 go 语言为主,其他语言为辅助。举一个例子,如果你的项目中包含了前端,那么 Bazel 的多语言处理就可以非常方便的让你同时编译 go project 和 frontend project。同理,如果你的项目中有 C++ 等其他语言也可以类似的用 Bazel 统一处理。这样在 monorepo 的管理上会方便很多。
bazel 自身是支持 remote cache 和 remote executor,个人认为 remote cache 功能是比较易用的一个功能。假如我们在 CI 中编译 go 项目,其实很难做到 go remote cache,基本上每次都得重新编译,但是 bazel 可以通过搭建 remote cache 服务重用缓存,极大的加大编译的速度。
另外,如果机器比较多,也可以使用 bazel 的 remote executor 服务搭建代码执行集群,让远端来跑 bazel 代码,这样也可以加速 go 的构建。不过实践下来一般 remote executor 可能不会比 remote executor 加速太多,除非专门对 build cluster 做过优化。
如果是一个 go modules 项目,那么镜像打包我可能就得写这么一个 Dockerfile
1 | FROM golang:1.14.2 |
可以看到,这个 Dockerfile 的问题在于,在 ci 上每次编译都会导致重新编译,不会有任何的缓存,这就回到了上一个问题——无法复用缓存。
但是如果使用 Bazel,我们就可以使用 Bazel rules_docker 的 container_image 和 container_push 方法,实现镜像的打包和上传。而且 rules_docker 本身是不需要有 docker 环境的,因此我们的 ci 甚至不用装 docker,只需要一个 bazel 就行了。
我自己并不是一个 go modules 深度用户,所以假如我们引用了一个第三方包,要对第三方包打 patch,就会比较麻烦,当然可以说,我们可以使用 vendor,但这并不符合 go modules 的哲学,那这样其实就会比较麻烦。
bazel 利用 gazelle 把所有第三方包显式的声明在 WORKSPACE 中,如果需要改动,只需给这个包加上 .patch 文件的 patch 即可实现更改,这样其实比起 vendor 来说更改也更容易被记录。
众所周知,go modules 很多 IDE 有非常好的支持,例如 vscode 和 goland,对于跳转等待支持得也非常好。但是 Bazel 就难办了,目前我尝试下来,只有 goland(或者 Jetbrains 系列) 的 bazel 插件是比较完善的,跳转基本能支持。
另一个方面,由于 Bazel 的尿性,每次本地执行 bazel build 会删除某些不必要的执行结果,因此可能会导致本地自己执行 bazel build 等指令之后,需要在 goland 中重新 sync 一下,这样会造成一些时间成本。
go modules 有自己一套依赖管理,但是 Bazel 的依赖,很多时候可能都是无脑 gazelle update 添加依赖,不会考虑依赖之间的版本关系,因此会导致 Bazel 项目中的版本依赖很错乱。
一个例子就是 golangci-lint 这个包。这个东西是不支持 Bazel 的,因此只有 go modules 项目可以支持。
对于团队中的同学来说,如何使用 Bazel,如何添加依赖,是有一定的学习成本的。
可以看到二者有他的优劣,我们能否合并二者,取长补短,发挥二者的优势呢?答案是肯定的。
我们可以以 bazel 为主,go modules 为辅。以下针对上面说的 Bazel 3 个劣势来说明如何解决。
对于第一个劣势,虽然我个人觉得 goland 的 Bazel 插件其实还行,但是如果实在不能忍受,可以直接使用我们提供的 go.mod 来基于 go modules 开发。
对于第二个劣势,鉴于 bazel-gazelle 的 update 命令有 --from-file=go.mod flag,使得我们可以从 go.mod 中生成 Bazel 版本依赖,这样就可以保证 Bazel 的依赖管理和 go modules 的依赖管理是一致的,不会使得依赖管理错乱,解决了上面的第二个问题。这个技巧在 k8s repo-infra 的 update-deps.sh 中有使用。
对于第三个劣势,我们可以书写一些 Bazel 脚本,在 Bazel 的沙箱中使用 go modules 模式来使用 golangci-lint,这个方式在 k8s repo-infra 的 verify-golangci-lint.sh 中有使用。
对于第四个劣势,就要求项目维护者提供详尽的文档说明,如何 update 依赖,如何处理 Bazel 的一些问题,如何优化项目结构。当然我认为这并不是太大的问题,因为对于一个大项目来说,规范是必须的。
另外,k8s 有使用 Bazel 来构建 go projects,他们也采用的是 go modules 和 Bazel 同时支持的方案来实现。这样对于开发者也非常友好,同时对于大项目的管理、构建和测试也非常的友好。
由此,我书写了一个 bazel-go-scaffold,基于 repo-infra 扩展了一个基于 Bazel 的 go 大项目模板,供大家参考
一般来说,拿到一台 Linux 服务器,没有好用的 shell,没有好用的 tmux 配置,用起来很让人头疼。特别是有时候不知道 sudo 密码,但是可以不用密码 sudo,设置默认终端也是很麻烦的一件事情。
下面我就分享一下我的开机配置方案:
脚本如下:
1 | # install software-properties-common |
退出重新 ssh 服务器,或者重新打开终端,即可有一个非常爽 fish+tmux 环境
由于 https://github.com/gpakosz/.tmux.git 的 .tmux 配置可以使用 C-b 也可以使用 C-a,但是作为 emacs 终端快捷键使用者,这两个键分别是左移和回到行首,不是很方便,我一般改成 C-x,更改方案是,进入 ~/.tmux.conf,更改下述两行
1 | set -g prefix2 C-a # GNU-Screen compatible prefix |
为
1 | set -g prefix2 C-x # GNU-Screen compatible prefix |
即可。
安装 docker 请参考
安装 docker 和 k8s 相关命令行工具同时参考 daocloud 上的 docker-compose 安装文档,可以使用下述语句安装 docker-compose:
1 | curl -L https://get.daocloud.io/docker/compose/releases/download/1.24.1/docker-compose-`uname -s`-`uname -m` > /tmp/docker-compose |
主要参考官方 docker 镜像文档,但最新的 ceph/daemon 镜像似乎有点奇怪的 bug,导致 osd 起不来,因此,我们使用一个 2019年年初的镜像,已经 tag 成 huangwx/ceph-daemon 供使用。ceph 的 docker-compose 文件如下:
1 | # docker-compose-ceph.yaml |
在 docker-compose-ceph.yaml 的相同目录下新建一个 ceph 目录
注意设置 MON_IP 和 CEPH_PUBLIC_NETWORK 两个环境变量,两个环境变量分别为主机 IP 地址,允许访问 ceph 的网段。下面仅作为演示,MON_IP 和 CEPH_PUBLIC_NETWORK 请设置成你自己的:
1 | export MON_IP=192.168.2.2 CEPH_PUBLIC_NETWORK=192.168.0.0/16 |
同时请确认 ./ceph 目录下没有任何 ceph 的配置文件,然后启动 ceph:
1 | docker-compose -f docker-compose-ceph.yaml up -d |
启动后会在 ./ceph 目录下生成下述3个 ceph 配置文件:
1 | ceph.client.admin.keyring |
启动成功之后,稍等片刻,然后执行下述命令 check ceph 是否正常
1 | $ docker exec -it ceph-mon ceph -s |
如果成功看到类似上述的返回,即说明成功。
接下来初始化 rbd 配置。由于是单 osd 单 monitor 集群,因此我们需要创建并设置 rbd:
1 | docker exec -it ceph-mon ceph osd pool create rbd 64 64 replicated |
即可成功初始化并设置 rbd,可以利用 rbd ls 命令 check 是否能够不卡住返回:
1 | docker exec -it ceph-mon rbd ls |
如果能够成功不卡住返回空值,说明 rbd 集群正常,执行 ceph -s 可以看到初始化了 1 个 pool 和 64 个 pgs:
1 | $ docker exec -it ceph-mon ceph -s |
本文主要参考 Kubernetes 官方文档 Creating a single control-plane cluster with kubeadm (v1.16),但由于国内实在是访问 Google 困难,之前的教程都是从国内各种镜像中拉取 k8s 镜像,再 tag 成官方的,实在是不太优雅。好在 K8S 新版支持了指定镜像源,可以方便的指定国内源。
利用 daocloud 上的 docker 安装方法在国内安装 docker,由于默认会从官方拉,我们可以考虑利用 Aliyun 的镜像
1 | curl -sSL https://get.daocloud.io/docker | sh -s -- --mirror Aliyun |
然后配置 docker 加速器,这里我们选择网易的 docker 源,如果有其他国内源,你也可以自行更改
1 | curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s http://hub-mirror.c.163.com |
根据提示重启 docker
1 | sudo systemctl restart docker.service |
kubelet, kubeadm, kubectl在这里我们利用阿里云的 ubuntu k8s 源下载 k8s 相关包
1 | sudo apt-get update && sudo apt-get install -y apt-transport-https curl |
我们这里安装的是目前 K8S 最新的版本 v1.16.2
K8s 1.11 支持了 kubeadm 传入配置文件,我们可以新建下述配置文件 kubeadm.conf,注意我们采用的是 k8s 1.16.1 的相关配置,这个版本支持的 etcd 镜像 tag 为 3.3.15-0,如果有必要,dnsDomain 可以改成自己需要的,这里我们采用默认的 cluster.local
如果你的 k8s 版本不一致,可以采用 kubeadm config images list 查看你的 k8s 所需要的 etcd 镜像 tag。
1 | apiVersion: kubeadm.k8s.io/v1beta1 |
这里我们用到了阿里云的 k8s 镜像源。上面的 kubernetesVersion 写明自己的 kubeadm 版本,不然会去 google 官方请求版本,可能会卡住。然后运行
1 | kubeadm init --config kubeadm.conf |
即可初始化集群。
完成之后,初始化成功,会输出类似于下面的信息
1 | Your Kubernetes master has initialized successfully! |
执行
1 | mkdir -p $HOME/.kube |
最后,为了让 master 也可以调度,可以加入下面的命令:
1 | kubectl taint node $(kubectl get nodes -o name) node-role.kubernetes.io/master- |
上述信息做好了之后,在 master 上加入 flannel 插件,flannel 插件版本我们目前采用文档中针对 v1.16 的版本,由于国内网络环境缓慢,建议下载该文件更改镜像之后再 kubectl apply:
1 | curl https://raw.githubusercontent.com/coreos/flannel/2140ac876ef134e0ed5af15c65e414cf26827915/Documentation/kube-flannel.yml | sed 's/quay.io/quay.azk8s.cn/g' > /tmp/kube-flannel.yml |
注意上述命令只需要在主节点执行。
在 kubeadm init成功后,命令行会显示 Join 命令,命令格式如下:
1 | kubeadm join --token <token> <master-ip>:<master-port> --discovery-token-ca-cert-hash sha256:<hash> |
但如果之后忘记了命令,可以用下述命令获取 <token>:
1 | kubeadm token list |
然后可以用下述命令获得 <hash>
1 | openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //' |