Upgrade to Pro — share decks privately, control downloads, hide ads and more …

徹底比較!HA Kubernetes ClusterにおけるControl Plane Loa...

logica / Takuto Nagami
November 07, 2024
Technology
2
380

徹底比較!HA Kubernetes ClusterにおけるControl Plane LoadBalancerの選択肢

2024/11/7 CloudNative Days Winter 2024 プレイベントにて登壇した際の資料です。

logica / Takuto Nagami

November 07, 2024
Tweet

More Decks by logica / Takuto Nagami

See All by logica / Takuto Nagami
プロポーザル一次〆切に向けて
logica0419
0
29
「海外登壇」という 選択肢を与えるために 〜Gophers EX
logica0419
0
700
Nekko Cloud、 これまでとこれから ~学生サークルが作る、 小さなクラウド
logica0419
2
960
Proposal Challengers 2025 募集説明会
logica0419
1
21
Kubernetesを知る
logica0419
19
6.3k
Resizing Animated GIFs Without CGO or Third-Party Libraries
logica0419
2
42
外部カンファレンスで登壇しよう! 〜「強い」エンジニアへの一歩を踏み出す〜
logica0419
4
220
kube-vipとkube-proxy置き換えCiliumを積んだ究極のK3sクラスタを建てる
logica0419
4
640
ITエンジニアとして知っておいてほしい、電子メールという大きな穴
logica0419
10
1.5k

Other Decks in Technology

See All in Technology
技術的負債解消の取り組みと専門チームのお話 #技術的負債_Findy
bengo4com
1
1.3k
エンジニアの育成を支える爆速フィードバック文化
sansantech
PRO
3
1k
オブザーバビリティの観点でみるAWS / AWS from observability perspective
ymotongpoo
8
1.5k
室長と気ままに学ぶマイクロソフトのビジネスアプリケーションとビジネスプロセス
ryoheig0405
0
360
Developers Summit 2025 浅野卓也(13-B-7 LegalOn Technologies)
legalontechnologies
PRO
0
660
スタートアップ1人目QAエンジニアが QAチームを立ち上げ、“個”からチーム、 そして“組織”に成長するまで / How to set up QA team at reiwatravel
mii3king
2
1.4k
OpenID Connect for Identity Assurance の概要と翻訳版のご紹介 / 20250219-BizDay17-OIDC4IDA-Intro
oidfj
0
270
現場で役立つAPIデザイン
nagix
33
12k
一度 Expo の採用を断念したけど、 再度 Expo の導入を検討している話
ichiki1023
1
160
偶然 × 行動で人生の可能性を広げよう / Serendipity × Action: Discover Your Possibilities
ar_tama
1
1.1k
転生CISOサバイバル・ガイド / CISO Career Transition Survival Guide
kanny
3
970
抽象化をするということ - 具体と抽象の往復を身につける / Abstraction and concretization
soudai
4
810

Featured

See All Featured
Faster Mobile Websites
deanohume
306
31k
Producing Creativity
orderedlist
PRO
344
39k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
33
2.8k
Unsuck your backbone
ammeep
669
57k
RailsConf 2023
tenderlove
29
1k
Code Reviewing Like a Champion
maltzj
521
39k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Side Projects
sachag
452
42k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
100
18k

Transcript

  1. Takuto Nagami X: @logica0419 GitHub: @logica0419 徹底比較! HA Kubernetes Cluster

    におけるControl Plane LoadBalancerの選択肢

  2. 自己紹介 • Takuto Nagami (logica) • 千葉工業大学 情報科学部 情報ネットワーク学科 3年

    • ネットワークコンテンツ研究会 所属 ◦ 数人の自宅サーバーをVPNで繋いでクラウド基盤 作ろうとしてます • 最近はTraefikへのコントリビューション をしたり、さくらのクラウドでDual Stack クラスタに挑戦したりしていました

  3. Highly AvailableなK8sクラスタ • コントロールプレーンが複数台あるクラスタのこと ◦ 公式ドキュメントの中では「Highly Available Topology」と呼ばれている ◦ etcd入りのコントロールプレーンを複数のタイプと

    etcdを外部に持つタイプがある • コントロールプレーンが何個か落ちても大丈夫 ◦ 3台以上のコントロールプレーンが必要とされる

  4. HAクラスタを 使ってるよって人? (仕事 / 趣味 問わず)

  5. HAクラスタを 構築した経験が ある人? (マネージドを除く)

  6. このプロポーザルが 落ちた原因が分かりましたね! (と言えるくらいの比率になる予定) 正直マネージドが多いので需要が少ないとは思ってた

  7. HAクラスタの Control Plane ロードバランシング問題

  8. Control Planeが複数ある Plane Plane Plane

  9. どこ接続すればいいか、わからない Plane Plane Plane ???

  10. 固定してしまったら Plane Plane Plane

  11. 死んだとき Plane Plane Plane

  12. 一巻の終わり Plane Plane Plane 💥

  13. 死んだときには Plane Plane Plane

  14. 別の所に接続できるように欲しい Plane Plane Plane

  15. Worker Nodeからも apiserverに接続が必要なので、 これはクラスタ自体の死活問題 意外とちゃんとやらないとダメな問題なんです

  16. Control Planeのロードバランシング • コントロールプレーンを冗長化した際、apiserverに 常に接続できる状態を維持する ◦ 常に生きているプレーンにアクセスできる ◦ 同一のIPアドレスで常に接続できる •

    Kubernetesエコシステムの中にはツールが無い ◦ “Since this is not part of Kubernetes or kubeadm, this must be taken care of separately.” とドキュメントに書いてある

  17. 何が必要でしょう?

  18. 何が必要でしょう? 1. Virtual IPアドレスの割り当て / 広報 2. VIPにきた通信のロードバランシング

  19. Virtual IPの割り当て / 広報 192.168.0.1 192.168.0.2 192.168.0.4 192.168.0.3

  20. Virtual IPの割り当て / 広報 仮想IP 192.168.0.5 192.168.0.1 192.168.0.2 192.168.0.4 192.168.0.3

  21. 192.168.0.1 192.168.0.2 192.168.0.4 192.168.0.3 仮想IP 192.168.0.5 Virtual IPの割り当て / 広報

  22. 192.168.0.1 192.168.0.2 192.168.0.4 192.168.0.3 仮想IP 192.168.0.5 Virtual IPの割り当て / 広報

    192.168.0.5に 来た通信は ここに届けろ!!!

  23. 192.168.0.1 192.168.0.2 192.168.0.4 192.168.0.3 仮想IP 192.168.0.5 Virtual IPの割り当て / 広報

  24. Virtual IPの割り当て / 広報 192.168.0.1 192.168.0.2 192.168.0.4 192.168.0.3 仮想IP 192.168.0.5

    仮想IP 192.168.0.5

  25. Virtual IPの割り当て / 広報 192.168.0.1 192.168.0.2 192.168.0.4 192.168.0.3 仮想IP 192.168.0.5

    仮想IP 192.168.0.5 192.168.0.5に 来た通信は ここに届けろ!!!

  26. Virtual IPの割り当て / 広報 • コントロールプレーンへの通信の「受け口」を定める ◦ 生きているマシンのどれかに必ず到達する ◦ 「同一のIPアドレスで常に接続できる」を満たす

    • 参考: DNSラウンドロビン ◦ これは条件を満たさない ▪ 死活監視ができず、生きている保証ができない ◦ 死活監視をいれた高度なDNSなら満たすが、セルフ ホスト界隈でスタンダードな手法ではない

  27. VIPにきた通信のロードバランシング 仮想IP 適当なLB Plane Plane Plane

  28. • 来た通信を複数台のコントロールプレーンにロードバラ ンシングする ◦ VIPとコントロールプレーンを繋ぐ ◦ 落ちていれば別の所に自動的に振り分ける • 一般的なHTTPリバースプロキシなら条件を満たす ◦

    kube-apiserverのAPIはHTTPなので ◦ 設定のしやすさで選ぶのが良さそう VIPにきた通信のロードバランシング

  29. デプロイについて • デプロイの方法 ◦ 受け口は、コントロールプレーンと別でも良い ◦ LB専用のマシンを設けるか、コントロールプレーン と同居させるかという選択 • Static

    Pod - 同居の場合使える技術 ◦ Kubeletベースの機能 (K3sとかは対応してない) ◦ Kubernetesと別のライフサイクルを持つコンテナ をKubeletが建てて、保全してくれる

  30. VIP割り当てとLBを組み合わせる LB Plane Plane Plane VIP割り当て 仮想IP LB VIP LB

    VIP

  31. VIP割り当ての選択肢

  32. マネージドサービスの場合 例えばEKSなら、EKS public endpoint と ENI

  33. Keepalived • VRRP (Virtual Router Redundancy Protocol)を用いて VIPを割り当ててくれるOSS ◦ 本来はルーターの冗長化などに使うプロトコル

    • 「Keepalivedクラスタ」を構築し、そのクラスタ内で Masterのマシンに通信を振り分ける ◦ 全てのLB用マシンが同じL2ネットワーク上にいる必 要があり、そのL2ネットワークに広報 ▪ インターネットへの広報はネットワーク次第

  34. kube-vip • Kubernetes用に設計されたVIPの割り当てOSS ◦ ARPとBGPが選べる ◦ ARPはL2ネットワークのみに広報だが、BGPならば 外部のルータに対して広報できる • Kubernetes本体に強く依存

    ◦ コントロールプレーン同居型セットアップのみ ◦ Kubernetes APIへの接続が必要 ▪ これが問題となった事件がある

  35. 唐突にv1.29で壊れたkube-vip https://github.com/kube-vip/kube-vip/issues/684

  36. v1.29で何が起こったか • admin.confの権限変更と、super-admin.confの追加が 行われた ◦ 無駄に高い権限がついていた所なので良いこと 設定ファイル ユーザグループ 権限 備考

    admin.conf kubeadm:cluster- admins cluster- admin system:masters だった super-admin .conf system:masters 組み込み 権限 新設

  37. kube-vipからのapiserver参照 • kube-vipはkube-apiserverに接続する必要がある ◦ 通常Podからアクセスするときは、Podに置かれた 認証情報でアクセスできる ◦ Static Podはセットされない (K8s管理じゃない)

    • これまでの接続方法 ◦ kubeadmが生成するadmin.confを使っていた ◦ /etc/kubernetes/admin.conf に置かれる

  38. admin.conf終了のお知らせ E1214 09:30:38.907904 1 leaderelection.go:332] error retrieving resource lock kube-system/plndr-cp-lock:

    leases.coordination.k8s.io "plndr-cp-lock" is forbidden: User "kubernetes-admin" cannot get resource "leases" in API group "coordination.k8s.io" in the namespace "kube-system" 権限が…!足りない…!!!!!!

  39. super-admin.confを使えばいいのでは? Plane + kube-vip Plane + kube-vip Plane + kube-vip

    admin.conf admin.conf admin.conf super- admin.conf super- admin.conf super- admin.conf

  40. 残念ながら… Plane + kube-vip Plane + kube-vip Plane + kube-vip

    admin.conf admin.conf admin.conf super- admin.conf initしたやつ joinしたやつ joinしたやつ

  41. これによって kube-vip on kubeadmは 非常に苦しくなった まだ解決の兆しが立っていません

  42. その他 • lelastic ◦ LinodeというAkamaiの子会社クラウドが開発した BGPベースの仮想IP割り当てOSS ◦ Linode内で使う事しか想定されてなさそう • とにかくソリューションが少ない!

    ◦ 現状これが欲しいユースケースが少なそう ◦ BGPを用いた、Keepalivedの完全代替みたいなOSS が欲しいなぁという思いがあります

  43. ロードバランサーの選択肢

  44. あらゆるHTTPリバースプロキシで良い • HAProxy • Nginx • Caddy • Envoy •

    kube-vip ◦ なんとロードバランサー機能も備えている などなど

  45. これらを組み合わせた ユースケース

  46. Kubernetes公式ドキュメント • https://github.com/kubernetes/kubeadm/blob/main /docs/ha-considerations.md#options-for-software- load-balancing で公式のオススメが提示されている ◦ Keepalived + HAProxy

    ◦ kube-vip • Keepalived + HAProxy が安定していてオススメ ◦ HAProxyの部分は、自分の設定しやすいリバース プロキシに置き換えるのが良いでしょう

  47. kubespray • kubesprayでは、HAクラスタを自動構築できる ◦ Worker Nodeからコントロールプレーンへの接続は ロードバランシングが必要 • localhost +

    Nginx を使用 ◦ Worker Node上でlocalhostをlistenするNginxを 用意し、Nginxでロードバランシング ◦ localhostがVirtual IPとして働く • 外部からの接続は考えていない

  48. まとめ

  49. ありがとう ございました 参考になれば幸いです