今回はArgoCDをより拡張する機能を持つ ApplicationSetを動かしてみます。

• ApplicationSetとは
  • Generator
  • ユースケース
    • Cluster add-on
    • Monorepo
    • Self-service of ArgoCD Applications on multi-tenant cluster
• ApplicationSetを動かしてみる
  • インストール
  • Local cluster
    • List generator
    • Cluster generator
    • Git generator
  • External cluster
    • List generator
    • Cluster generator
    • Matrix generator

ApplicationSetとは

ApplicationSetは、Argo Projectに含まれるプロダクトの一つです。ArgoCDを利用する複数のユースケースにおいて、Applicationリソースの管理を自動化しつつ、柔軟に管理する方法を提供するControllerになります。

ArgoCDはApplicationというリソースの中で、利用するGitリポジトリやマニフェストファイルの場所デプロイ先のクラスターなどを指定します。ArgoCDを利用する環境の規模が大きくなったりすると、管理をする上で面倒になるケースが出てきます。

例えば、1つのアプリケーションを提供する環境が複数のKubernetesクラスターで構成されており、それぞれのクラスターに同じアプリケーションをデプロイしようとすると、クラスターごとにApplicationリソースを作成しなければなりません。 また、monorepoのような、1つのリポジトリ中で複数のアプリケーションを管理する場合も、それぞれのアプリケーションごとに Application リソースを用意しなくてはなりません。

ApplicationSetは、上記のような悩みを解消するため、複数のクラスターやGitリポジトリを効率的に扱うための機能を提供します。

Generator

ApplicationSetは Generator というパラメータを含みます。 Generator はクラスターの名称やURL、Gitリポジトリなどのパラメータを設定することで、それぞれに対応した Application マニフェストを生成し、複数のクラスターやGitリポジトリを使用したArgoCDによるアプリケーション管理を実現します。

Generator にはいくつか種類があり、以下の通りになります。

• List generator : クラスターの名称とアクセス先URLなどのリストを生成する
• Cluster generator : ArgoCDに登録されているクラスター情報を生成する。ArgoCDに登録されたクラスターは自動的に検知する。
• Git generator : Gitリポジトリ、リポジトリ中のフォルダ構成などの情報を生成する。
• Matrix generator : 2種類のgeneratorを組み合わせて使う。
• SCM Provider generator : GitHub/GitlabのようなSCMの提供するAPIを使用し、Organization中のリポジトリを探索してパラメータを生成する
• Cluster Decision Resource generator : ArgoCDに登録されたクラスターのリストを生成する。Custom Resourceのインターフェイスとして利用し、事前にConfigMapに定義したCustom Resourceを作成する。

※ 参考：ApplicationSet Controller - Generators

ユースケース

ApplicationSetでは、いくつかのユースケースを想定しています。

Cluster add-on

Cluster add-onとは、Kubernetesクラスターに機能を追加・拡張するようなプロダクトのことを総称しており、例えば Prometheus Operatorや Argo workflow などを指しています。これらは各クラスターに共通して導入することが多いため、ApplicationSetを生かすことのできるユースケースの一つとなります。

Cluster add-onはクラスターレベルの権限を必要とするため、その管理はインフラ管理者が担うことが多くなります。Add-onを導入するクラスター数の増減が多くなるほど管理コストは高くなります。またクラスターごとに利用用途が異なる（テスト・本番環境など）と、add-onの設定を変更する場合も出てくるため、より複雑になります。

ApplicationSetでは複数のGeneratorを提供しており、それぞれ用途に応じて使い分けることができます。

• List generator : デプロイするadd-onごとにApplicationSetを用意し、デプロイ先のクラスターリストを定義することで管理できます。List generatorの場合クラスターの増減に応じてApplicationSetの手動更新が必要となります。

• Cluster generator : デプロイするadd-onごとにApplicationSetを用意します。Cluster generatorはArgoCDに登録されたクラスターを自動で検知するため、クラスターの変更に合わせた自動更新が可能となります。

• Git generator : Git generatorの files というfieldを使い、クラスターのリストをJSONファイルで定義しておきます。このJSONファイルを更新することでクラスター情報を更新し、add-onをデプロイすることができます。また directories というfieldを使うと、例えばクラスターごとに対応するディレクトリを用意しておき、ディレクトリ名とクラスター名を一致させておくと、ディレクトリの更新に合わせてクラスター側を更新することができます。

Monorepo

あるプロジェクトでMonorepoを採用している場合、一つのGitリポジトリにすべてのコードが格納されます。Monorepoの場合は複数チームが共通の基準に従う必要があり、それらを促進・強制するためにも、自動化が重要になってきます（参考リンク）。

Monorepoを採用する場合、Kubernetesクラスターの管理者は、1つのリポジトリからクラスター全体の状態を管理することになります。そのため、リポジトリ中のマニフェストファイルが更新されれば、その変更は即座にクラスターへと反映されるべきです。

Git generator を利用することで、monorepoを採用するプロジェクトの管理者をサポートすることが可能となります。directories fieldでアプリケーション個別に分かれたサブディレクトリを指定することが可能です。また files fieldを使うと、JSONメタデータを含むファイルを参照し、そこに定義されたアプリケーションをデプロイすることも可能です。

Self-service of ArgoCD Applications on multi-tenant cluster

開発者が自らArgoCDの Applicationを開発・利用する場合、app-of-appsというパターンと組み合わせ、クラスター管理者がPRを通じてマニフェストファイルをチェックし、デプロイの許可を行う、というケースがあります。Applicationには project cluster など重要なパラメータがあり、この設定を誤ってしまうと別のArgoCD Projectやクラスターが更新されるため、レビュアーの重要度が上がってしまいます。そのため管理者としては、開発者の変更できるパラメータを絞り、重要なものは変更できないようにしておきたくなります。

ApplicationSetでは、Git generatorと組み合わせた代替手段を提供しています。ApplicationSetの template filedに、 project destination などの情報をべた書きして固定し、 source 部分のみ Git generatorで生成するようにしておきます。開発者にはGit generator部分のみ更新してもらうことで、アプリケーションの更新先をある程度コントロールすることが可能になります。

※参考：ApplicationSet Controller - Use Cases

ApplicationSetを動かしてみる

ここから実際にApplicationSetを動かしてみます。今回はひとまず動かしてみるという目的で、いくつかのパターンで動かしました。

基本的にはドキュメント通りに動かすだけですが、1点だけ気を付けるとすると、ApplicationSet Controllerと同じNamespaceに ApplicationSetリソースを作成する必要があります。

※参考：ApplicationSet Controller - How ApplicationSet controller interacts with Argo CD

今回の検証環境は以下の通りです。

• Kubernetes version: 1.21
• Kubernetes cluster: Amazon EKS
• ArgoCD version: 2.1.7

インストール

ApplicationSetはArgoCDと一緒に利用する必要があります。今回はArgoCDとApplicationSetを別々に導入しました。ArgoCDの導入はこちらのページに記載されているので割愛します。ArgoCD導入後は、ArgoCDと同じNamespace（今回は argocd ）にApplicationSet Controllerなどのリソースをデプロイすれば、準備は完了です。

kubectl apply -n argocd -f https://raw.githubusercontent.com/argoproj-labs/applicationset/v0.2.0/manifests/install.yaml

※参考：ApplicationSet Controller - Getting Started

Local cluster

まずはArgoCDの導入されたクラスター上に、ApplicationSetを使ってリソースを作成します。

List generator

使ったマニフェストファイルはこちらです。 spec.generator.list 部分にクラスターの名称とURLを指定します。そうすると spec.template 配下にある {{cluster}} {{url}} 部分にパラメータが設定され、それぞれのパラメータに応じた Applicationリソースが作成されます。

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: guestbook
  namespace: argocd
spec:
  generators:
  - list:
      elements:
      - cluster: in-cluster
        url: https://kubernetes.default.svc
  template:
    metadata:
      name: '{{cluster}}-guestbook'
    spec:
      project: default
      source:
        repoURL: https://github.com/argoproj/argocd-example-apps.git
        targetRevision: HEAD
        path: guestbook
      destination:
        server: '{{url}}'
        namespace: default

※ 参考：ApplicationSet Controller - List Generator

上記ファイルをデプロイすると、以下のようにリソースが作成されます。

$ kubectl apply -f list-applicationset.yaml 
applicationset.argoproj.io/guestbook created

$ kubectl get applicationset -n argocd
NAME        AGE
guestbook   16s


$ kubectl get app -n argocd
NAME                   SYNC STATUS   HEALTH STATUS
in-cluster-guestbook   OutOfSync     Missing

$ argocd app list
NAME                  CLUSTER                         NAMESPACE  PROJECT  STATUS     HEALTH   SYNCPOLICY  CONDITIONS  REPO                                                 PATH       TARGET
in-cluster-guestbook  https://kubernetes.default.svc  argocd     default  OutOfSync  Missing  <none>      <none>      https://github.com/argoproj/argocd-example-apps.git  guestbook  HEAD  

あとは argocd app sync コマンドなどでSyncすれば、テスト用のアプリケーションがデプロイされます。もちろん template に spec.syncPolicy: automated を追加すればして自動Syncを有効にすれば、ApplicationSetデプロイ後にテスト用アプリのリソースは作られます。

なお、ApplicationSet controllerのログは以下の通り。

$ kubectl logs -n argocd argocd-applicationset-controller-5558c458d5-n52d9 -f
2021-11-23T01:58:32.411Z        INFO    setup   ApplicationSet controller v0.2.0 using namespace 'argocd'       {"namespace": "argocd", "COMMIT_ID": "2fb043581b8692c84205075494acab6f4b5aef2d"}
2021-11-23T01:58:33.118Z        INFO    controller-runtime.metrics      metrics server is starting to listen    {"addr": ":8080"}
2021-11-23T01:58:33.119Z        INFO    setup   Starting manager
2021-11-23T01:58:33.219Z        INFO    controller-runtime.manager.controller.applicationset    Starting EventSource   {"reconciler group": "argoproj.io", "reconciler kind": "ApplicationSet", "source": "kind source: /, Kind="}
2021-11-23T01:58:33.220Z        INFO    controller-runtime.manager.controller.applicationset    Starting EventSource   {"reconciler group": "argoproj.io", "reconciler kind": "ApplicationSet", "source": "kind source: /, Kind="}
2021-11-23T01:58:33.220Z        INFO    controller-runtime.manager.controller.applicationset    Starting EventSource   {"reconciler group": "argoproj.io", "reconciler kind": "ApplicationSet", "source": "kind source: /, Kind="}
2021-11-23T01:58:33.220Z        INFO    controller-runtime.manager.controller.applicationset    Starting Controller    {"reconciler group": "argoproj.io", "reconciler kind": "ApplicationSet"}
2021-11-23T01:58:33.219Z        INFO    controller-runtime.manager      starting metrics server {"path": "/metrics"}
2021-11-23T01:58:33.421Z        INFO    controller-runtime.manager.controller.applicationset    Starting workers       {"reconciler group": "argoproj.io", "reconciler kind": "ApplicationSet", "worker count": 1}




# ApplicationSet作成時
time="2021-11-23T02:08:33Z" level=info msg="Alloc=6126 TotalAlloc=18354 Sys=73297 NumGC=9 Goroutines=49"
time="2021-11-23T02:11:09Z" level=info msg="generated 1 applications" generator="{0xc0002b3080 <nil> <nil> <nil> <nil> <nil>}"
time="2021-11-23T02:11:09Z" level=info msg="Starting configmap/secret informers"
time="2021-11-23T02:11:09Z" level=info msg="Configmap/secret informer synced"
time="2021-11-23T02:11:09Z" level=info msg="created Application" app=in-cluster-guestbook appSet=guestbook
2021-11-23T02:11:09.581Z        DEBUG   controller-runtime.manager.events       Normal  {"object": {"kind":"ApplicationSet","namespace":"argocd","name":"guestbook","uid":"35d9488c-837a-46c0-a029-014890b804f9","apiVersion":"argoproj.io/v1alpha1","resourceVersion":"1618215"}, "reason": "created", "message": "created Application \"in-cluster-guestbook\""}
time="2021-11-23T02:11:09Z" level=info msg="end reconcile" requeueAfter=0s
time="2021-11-23T02:11:09Z" level=info msg="generated 1 applications" generator="{0xc00092cdc0 <nil> <nil> <nil> <nil> <nil>}"
time="2021-11-23T02:11:09Z" level=info msg="unchanged Application" app=in-cluster-guestbook appSet=guestbook
2021-11-23T02:11:09.607Z        DEBUG   controller-runtime.manager.events       Normal  {"object": {"kind":"ApplicationSet","namespace":"argocd","name":"guestbook","uid":"35d9488c-837a-46c0-a029-014890b804f9","apiVersion":"argoproj.io/v1alpha1","resourceVersion":"1618215"}, "reason": "unchanged", "message": "unchanged Application \"in-cluster-guestbook\""}
time="2021-11-23T02:11:09Z" level=info msg="end reconcile" requeueAfter=0s
time="2021-11-23T02:11:11Z" level=info msg="generated 1 applications" generator="{0xc0007f22c0 <nil> <nil> <nil> <nil> <nil>}"
time="2021-11-23T02:11:11Z" level=info msg="unchanged Application" app=in-cluster-guestbook appSet=guestbook
2021-11-23T02:11:11.713Z        DEBUG   controller-runtime.manager.events       Normal  {"object": {"kind":"ApplicationSet","namespace":"argocd","name":"guestbook","uid":"35d9488c-837a-46c0-a029-014890b804f9","apiVersion":"argoproj.io/v1alpha1","resourceVersion":"1618215"}, "reason": "unchanged", "message": "unchanged Application \"in-cluster-guestbook\""}
time="2021-11-23T02:11:11Z" level=info msg="end reconcile" requeueAfter=0s

Cluster generator

マニフェストファイルは以下の通りです。

Cluster generatorはArgoCDに登録されているクラスターを検知してパラメータを生成するため、デプロイ先のクラスターを指定しない場合は特に設定は必要ありません。 spec.template の {{name}} {{server}} には、ArgoCDで登録されているクラスター情報がそのまま使われます（ここではそれぞれ in-cluster https://kubernetes.default.svc）。

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: guestbook
  namespace: argocd
spec:
  generators:
  - clusters: {} 
  template:
    metadata:
      name: '{{name}}-guestbook'
    spec:
      project: "default"
      source:
        repoURL: https://github.com/argoproj/argocd-example-apps/
        targetRevision: HEAD
        path: guestbook
      destination:
        server: '{{server}}'
        namespace: default

※ 参考：ApplicationSet Controller - Cluster Generator

こちらもデプロイすれば、先ほどと同様リソースが作成されます。

$ kubectl apply -f cluster-applicationset.yaml 
applicationset.argoproj.io/guestbook created

$ kubectl get appset -n argocd
NAME        AGE
guestbook   8s

$ kubectl get apps -n argocd
NAME                   SYNC STATUS   HEALTH STATUS
in-cluster-guestbook   OutOfSync     Missing

あとはSyncすればPodも作成されます。

$ argocd app sync in-cluster-guestbook
$ kubectl get pods 
NAME                            READY   STATUS    RESTARTS   AGE
guestbook-ui-85985d774c-t7mxr   1/1     Running   0          13s

なお、ApplicationSetを削除すると、関連するApplication / Podなどのリソースがすべて削除されます。

$ kubectl delete -f cluster-applicationset.yaml 
applicationset.argoproj.io "guestbook" deleted

$ kubectl get appset -n argocd
No resources found in argocd namespace.

$ kubectl get app -n argocd
No resources found in argocd namespace.

$ kubectl get pods
No resources found in default namespace.

Git generator

マニフェストファイルはこちらです。

ここでは directories fieldで使用するマニフェストファイルの場所を指定します。また template にある path.basename には、path に指定したディレクトリの配下にあるサブディレクトリの名称が入ります（ここでは argo-workflows prometheus-operator）。

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: cluster-addons
  namespace: argocd
spec:
  generators:
  - git:
      repoURL: https://github.com/argoproj-labs/applicationset.git
      revision: HEAD
      directories:
      - path: examples/git-generator-directory/cluster-addons/*
  template:
    metadata:
      name: '{{path.basename}}'
    spec:
      project: default
      source:
        repoURL: https://github.com/argoproj-labs/applicationset.git
        targetRevision: HEAD
        path: '{{path}}'
      destination:
        server: https://kubernetes.default.svc
        namespace: '{{path.basename}}'

※ 参考：ApplicationSet Controller - Git Generator

こちらも同様にデプロイすれば、以下のようにリソースは作成されます。ここではadd-onをデプロイするためにリポジトリを変更しており、2つのApplicationリソースが作成されます。

$ kubectl apply -f git-applicationset.yaml 
applicationset.argoproj.io/cluster-addons created

$ kubectl get appset -n argocd
NAME             AGE
cluster-addons   25s

$ kubectl get app -n argocd
NAME                  SYNC STATUS   HEALTH STATUS
argo-workflows        OutOfSync     Missing
prometheus-operator   OutOfSync     Missing

こちらもSyncすればリソースは作成されますが、今回はNamespaceがサブディレクトリ名と一致する形式のため、事前にNamespaceを作成してからSyncします。

$ kubectl create ns argo-workflows

$ argocd app sync argo-workflows

$ kubectl get pods -n argo-workflows
NAME                                   READY   STATUS    RESTARTS   AGE
argo-server-5ddd56c954-mkgkg           1/1     Running   0          31s
workflow-controller-574596cc9f-2wzmk   1/1     Running   0          31s

External cluster

次は外部クラスターに向けてのデプロイです。今回は eksctl コマンドで別のEKSクラスターを作成し、その後ArgoCDにクラスターを追加登録します。

# external clusterの作成
$ eksctl create cluster -f eks-clusterconfig-2.yaml

$ eksctl get clusters
2021-11-23 15:22:29 [ℹ]  eksctl version 0.69.0
2021-11-23 15:22:29 [ℹ]  using region ap-northeast-1
NAME                    REGION          EKSCTL CREATED
eks-cluster-argodst     ap-northeast-1  True #追加したクラスター
eks-cluster-argosrc     ap-northeast-1  True

# 登録するクラスターの確認
$ kubectl config get-contexts

# クラスターの登録
$ argocd cluster add <external cluster name>

※ 参考：ArgoCD Docs - Argocd cluster add

クラスターを登録すると以下のようにSecretリソースが作成されます。なおSecretリソース名にあるURL先のクラスターは、既に削除されています。

$ kubectl get secret -n argocd
NAME                                                                                       TYPE                                  DATA   AGE
argocd-application-controller-token-22xzv                                                  kubernetes.io/service-account-token   3      4h39m
argocd-applicationset-controller-token-v84pl                                               kubernetes.io/service-account-token   3      4h29m
argocd-dex-server-token-g76wx                                                              kubernetes.io/service-account-token   3      4h39m
argocd-initial-admin-secret                                                                Opaque                                1      4h38m
argocd-redis-token-m94v5                                                                   kubernetes.io/service-account-token   3      4h39m
argocd-secret                                                                              Opaque                                5      4h39m
argocd-server-token-rqn9r                                                                  kubernetes.io/service-account-token   3      4h39m
# "cluster-"で始まるSecretが作成される
cluster-c68e805bffb0dd155295b27b15cbf8ac.gr7.ap-northeast-1.eks.amazonaws.com-3093402059   Opaque                                3      90s
default-token-qc648                                                                        kubernetes.io/service-account-token   3      4h39m

List generator

ここでは以下のマニフェストファイルを使用します。これは先ほどのマニフェストファイルに外部クラスター情報を追加したものです。

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: guestbook
  namespace: argocd
spec:
  generators:
  - list:
      elements:
      - cluster: in-cluster
        url: https://kubernetes.default.svc
      # 追加
      - cluster: external-cluster
        url: https://C68E805BFFB0DD155295B27B15CBF8AC.gr7.ap-northeast-1.eks.amazonaws.com
  template:
    metadata:
      name: '{{cluster}}-guestbook'
    spec:
      project: default
      source:
        repoURL: https://github.com/argoproj/argocd-example-apps.git
        targetRevision: HEAD
        path: guestbook
      destination:
        server: '{{url}}'
        namespace: default

こちらをデプロイするとApplicationが作成されます。今回は2つのクラスターに対してApplication リソースが作られ、その名称はクラスターと対応しています。

$ kubectl apply -f list-applicationset.yaml 
applicationset.argoproj.io/guestbook created

$ kubectl get appset -n argocd
NAME        AGE
guestbook   14s

$ kubectl get app -n argocd
NAME                         SYNC STATUS   HEALTH STATUS
external-cluster-guestbook   OutOfSync     Missing
in-cluster-guestbook         OutOfSync     Missing

あとはSyncすればデプロイは完了です。

$ argocd app sync external-cluster-guestbook

$ argocd app list
NAME                        CLUSTER                                                                        NAMESPACE  PROJECT  STATUS     HEALTH   SYNCPOLICY  CONDITIONS  REPO
                                    PATH       TARGET
external-cluster-guestbook  https://C68E805BFFB0DD155295B27B15CBF8AC.gr7.ap-northeast-1.eks.amazonaws.com  default    default  Synced     Healthy  <none>      <none>      https://github.com/argoproj/argocd-example-apps.git  guestbook  HEAD
in-cluster-guestbook        https://kubernetes.default.svc                                                 default    default  OutOfSync  Missing  <none>      <none>      https://github.com/argoproj/argocd-example-apps.git  guestbook  HEAD

# 操作対象のクラスターを切り替える
$ kubectl config use-context <external cluster name>

$ kubectl get pods
NAME                            READY   STATUS    RESTARTS   AGE
guestbook-ui-85985d774c-v7rv6   1/1     Running   0          4m34s

Cluster generator

ここでは外部クラスターのみにデプロイするよう、条件を追加しています。ArgoCDにクラスターを登録した際に作られるSecretには argocd.argoproj.io/secret-type=cluster というタグが付与されており、これを含むクラスターだけを対象とします。

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: guestbook
  namespace: argocd
spec:
  generators:
  - clusters:
    # 追加
      selector:
        matchLabels:
          argocd.argoproj.io/secret-type: cluster
  template:
    metadata:
      name: 'external-guestbook'
    spec:
      project: "default"
      source:
        repoURL: https://github.com/argoproj/argocd-example-apps/
        targetRevision: HEAD
        path: guestbook
      destination:
        server: '{{server}}'
        namespace: default

なお spec.template.metadata.name の名称を {{name}}-guestbook から external-guestbook に変更していますが、クラスターの名称が長すぎるとSync時に以下のようなエラーが発生するため変更しています。

# エラーの例
$ argocd app sync 

（中略）

Deployment.apps "guestbook-ui" is invalid: metadata.labels: Invalid value: "<cluster name>": must be no more than 63 characters

デプロイ後は以下の通りです。

$ kubectl apply -f cluster-applicationset.yaml

$ argocd app sync external-guestbook

$ kubectl config use-context <external cluster>

$ kubectl get pods
NAME                            READY   STATUS    RESTARTS   AGE
guestbook-ui-85985d774c-v4xqc   1/1     Running   0          36s

Matrix generator

Matrix generatorは2種類のgeneratorを組み合わせるgeneratorです。今回は Cluster generator と Git generator を組み合わせたパターンにしています。

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: cluster-git
  namespace: argocd
spec:
  generators:
    - matrix:
        generators:
          - git:
              repoURL: https://github.com/argoproj-labs/applicationset.git
              revision: HEAD
              directories:
              - path: examples/matrix/cluster-addons/*
          - clusters:
              selector:
                matchLabels:
                  argocd.argoproj.io/secret-type: cluster
  template:
    metadata:
      name: '{{path.basename}}-external'
    spec:
      project: default
      source:
        repoURL: https://github.com/argoproj-labs/applicationset.git
        targetRevision: HEAD
        path: '{{path}}'
      destination:
        server: '{{server}}'
        namespace: default

※ 参考：ApplicationSet Controller - Matrix Generator

デプロイ後は以下の通りです。

$ kubectl apply -f matrix-applicationset.yaml
applicationset.argoproj.io/cluster-git created

$ kubectl get appset -n argocd
NAME          AGE
cluster-git   11s

$ kubectl get app -n argocd
NAME                           SYNC STATUS   HEALTH STATUS
argo-workflows-external        OutOfSync     Missing
prometheus-operator-external   OutOfSync     Missing

今回はGitOpsツールの一つであるFlux v2を試してみます。GitOpsについては以下の参考リンクなどをご参照ください。

※参考リンク：

• Weaveworks Blog - Guide To GitOps

Flux v2とは

Flux v2は、複数のCustom Controllerを組み合わせて、GitOpsの各機能を提供します。

Fluxの構成は以下の通りです。

※画像：Fluxドキュメントより

Fluxが実現する機能として、以下のような機能が挙げられています。

GitなどのリソースとKubernetesクラスター間の"同期"

FluxはGitHub/GitLabなどのGitリポジトリ、Helmリポジトリ、そしてminioのようなS3-compatibleなオブジェクトバケットなどを、リソースとして管理し、Kubernetesクラスターとの同期を実行します。

※画像：Fluxドキュメントより

コンテナイメージの自動アップデート

Fluxはコンテナレジストリもリソースとして管理し、コンテナイメージのアップデートを検知します。またイメージ更新を検知すると、対象のKubernetesマニフェストファイルのイメージタグを自動的に更新し、最終的にはクラスター上のPodのイメージをアップデートします。

※画像：Fluxドキュメントより

リソースの状態変化の通知

Fluxは、管理するリソースの状態変化に応じて、SlackやDiscordなどの外部システムに通知を送る機能が備わっています。

※画像：Fluxドキュメントより

その他

• リソース間依存関係の管理： Fluxの Kustomization HelmRelease リソースには spec.dependsOn というフィールドがあり、依存関係のリソースを指定することで、対象のリソースが作成・起動するまでは、リソースの作成を行わないよう制御できます。

※参考リンク：Flux v2のdependsOnを簡単に検証してみた

• 外部イベントの監視と応答：Fluxの Receiver というリソースではWebhook receiverを定義し、Reconciliationのトリガーとして利用できます。利用できるリソースには、GitHubやDockerHubなどがあります。

• 他ソフトウェアとの相互運用性： GitHub Actions / Argo / Tektonなどのワークフロープロバイダ、クラスター管理を行うCluster APIなどのソフトウェアとの相互運用性を提供します。

Flux v1 / v2の違い

Flux v2は、以前はv1として開発が進んでいましたが、長年要望されていた機能をより簡単に実装できるよう、v2として大きな変更を加えました。v1ではモノリスなオペレーターで全ての機能を実現していたのに対し、v2では各機能を専用のCustom Controllerに実装することで分離しています。

v1とv2の機能差分はこちらのページに記載されていますが、特に大きな違いは以下のあたりかと思います。

• v1

  • 一つのGitリポジトリの同期をサポート
  • flux deploy時のみ、Gitのコンフィグや秘匿情報を指定可能
  • HEADの追跡のみサポート

• v2

  • 複数のGitリポジトリの同期をサポート
  • GitRepositoryリソースでGitリポジトリの設定などを定義
  • 指定したブランチやタグの追跡をサポート
  • Prometheusなど、エコシステムのコアのコンポーネントと統合できる
  • マルチテナンシーをサポート（参考リンク）

なお、現在v1はメンテナンスモードで、新機能の追加は行われず、バグ修正とCVEのパッチのみ対応しております。

Fluxではv2の利用が推奨されています。まだGAには至っていませんが、こちらのロードマップに沿って開発が進められています。

Flux v2を試す

ここから実際にFluxを動かしてみます。

前提条件の確認と動作環境

ここからはGet Startedの手順をベースに動かしてみます。操作を行う上での前提条件は以下の通りです。

• k8s version: 1.16 以上
• kubectl: 1.18 以上
• GitHubリポジトリの用意
• GitHub Personal Access Tokenの用意：scopeでは repo 配下の権限をすべて許可しておきます。

また今回は Amazon EKS上で動作検証を行いました。動作確認を行った環境の情報は以下の通りです。

$ eksctl version
0.57.0

$ eksctl create cluster -f eks-clusterconfig.yml

$ kubectl version
Client Version: version.Info{Major:"1", Minor:"20", GitVersion:"v1.20.0", GitCommit:"af46c47ce925f4c4ad5cc8d1fca46c7b77d13b38", GitTreeState:"clean", BuildDate:"2020-12-08T17:59:43Z", GoVersion:"go1.15.5", Compiler:"gc", Platform:"linux/amd64"}
Server Version: version.Info{Major:"1", Minor:"20+", GitVersion:"v1.20.4-eks-6b7464", GitCommit:"6b746440c04cb81db4426842b4ae65c3f7035e53", GitTreeState:"clean", BuildDate:"2021-03-19T19:33:03Z", GoVersion:"go1.15.8", Compiler:"gc", Platform:"linux/amd64"}

$ kubectl get nodes
NAME                                               STATUS   ROLES    AGE   VERSION
ip-192-168-0-173.ap-northeast-1.compute.internal   Ready    <none>   25m   v1.20.4-eks-6b7464
ip-192-168-1-253.ap-northeast-1.compute.internal   Ready    <none>   25m   v1.20.4-eks-6b7464
ip-192-168-2-59.ap-northeast-1.compute.internal    Ready    <none>   25m   v1.20.4-eks-6b7464

また、後ほどFluxからGitHubへのアクセスに利用する環境変数を設定しておきます。

export GITHUB_TOKEN=<GitHub Personal Access Token>
export GITHUB_USER=fy0323

Flux CLIのインストール

GitHubリポジトリとEKSクラスターが用意できたので、次に flux CLIのインストールを行います。Fluxは flux CLIを利用して、Flux自体のデプロイやリソースの作成・管理を行うことができます。今回の手順でも、リソースの作成や制御はほぼ flux CLIを利用して行います。

$ curl -s https://fluxcd.io/install.sh | sudo bash
[INFO]  Downloading metadata https://api.github.com/repos/fluxcd/flux2/releases/latest
[INFO]  Using 0.16.1 as release
[INFO]  Downloading hash https://github.com/fluxcd/flux2/releases/download/v0.16.1/flux_0.16.1_checksums.txt
[INFO]  Downloading binary https://github.com/fluxcd/flux2/releases/download/v0.16.1/flux_0.16.1_linux_amd64.tar.gz
[INFO]  Verifying binary download
[INFO]  Installing flux to /usr/local/bin/flux

$ flux --version
flux version 0.16.1

Fluxデプロイ

Fluxのデプロイを行うコマンドには flux install flux bootstrap の２種類があります。 flux install はFluxをクラスター上にインストールするだけですが、 flux bootstrap は、サブコマンドに指定したGitプロバイダに対して、Fluxインストール用のマニフェストファイルをコミットします。その後、コミットしたリポジトリをFluxの同期対象とし、クラスターと同期をすることでFluxのデプロイを実現します。

ここでは flux bootstrap コマンドを利用します。まずは flux check コマンドを実行し、Fluxのデプロイに必要な前提条件を満たすことを確認します。

$ flux check --pre
► checking prerequisites
✔ kubectl 1.20.0 >=1.18.0-0
✔ Kubernetes 1.20.4-eks-6b7464 >=1.16.0-0
✔ prerequisites checks passed

チェックで問題がないため、Fluxのデプロイを実行します。

$ flux bootstrap github \
>   --owner=$GITHUB_USER \
>   --repository=fluxv2-test \
>   --branch=main \
>   --path=./clusters/my-cluster \
>   --personal

（中略）

✔ source-controller: deployment ready
✔ kustomize-controller: deployment ready
✔ helm-controller: deployment ready
✔ notification-controller: deployment ready
✔ all components are healthy

flux bootstrap コマンド後、クラスター上にリソースが作成されたことが確認できます。

$ kubectl get pods -n flux-system
NAME                                       READY   STATUS    RESTARTS   AGE
helm-controller-5b96d94c7f-525lt           1/1     Running   0          13m
kustomize-controller-5b95b78ddc-wqkmg      1/1     Running   0          13m
notification-controller-55f94bc746-zx8m9   1/1     Running   0          13m
source-controller-78bfb8576-ftnxl          1/1     Running   0          13m

$ kubectl get gitrepository -n flux-system
NAME          URL                                       READY   STATUS                                                            AGE
flux-system   ssh://git@github.com/fy0323/fluxv2-test   True    Fetched revision: main/e1d0fb9ed858d425e0bce380ab096a34c4e7035c   15m

GitHubリポジトリとの同期によるアプリケーションのデプロイ

続いてアプリケーションのマニフェストファイルを含むGitHubリポジトリを登録し、クラスター間の同期によってデプロイを行います。

※参考リンク：

• Flux Doc - Ways of structuring your repositories

まずは作業用のリポジトリをクローンします。次に GitRepository というリソースを用意しますが、ここでは flux create コマンドを利用してマニフェストファイルを生成、リポジトリに保存することでクラスターと同期し、自動的にデプロイされる、という流れで作業します。

$ git clone https://github.com/fy0323/fluxv2-test
$ cd fluxv2-test/

# GitRepositoryリソースのマニフェストファイル生成
$ flux create source git podinfo \
>   --url=https://github.com/stefanprodan/podinfo \
>   --branch=master \
>   --interval=30s \
>   --export > ./clusters/my-cluster/podinfo-source.yaml

# コミット
$ git add .
$ git commit -m "add podinfo gitrepository"
$ git push

なお、上記コマンドで生成されたマニフェストファイルは以下のようになります。

apiVersion: source.toolkit.fluxcd.io/v1beta1
kind: GitRepository
metadata:
  name: podinfo
  namespace: flux-system
spec:
  interval: 30s
  ref:
    branch: master
  url: https://github.com/stefanprodan/podinfo

次に Kustomization というリソースを作成します。このリソースはその名の通り kustomizeが利用する kustomization.yaml のパスを指定し、Kubernetesマニフェストファイルの管理元を定義するリソースとなります。

# Kustomaizationリソースのマニフェストファイル生成
$ flux create kustomization podinfo \
>   --source=podinfo \
>   --path="./kustomize" \
>   --prune=true \
>   --validation=client \
>   --interval=5m \
>   --export > ./clusters/my-cluster/podinfo-kustomization.yaml

# コミット
$ git add .
$ git commit -m "add podinfo kustomization"
$ git push

---
apiVersion: kustomize.toolkit.fluxcd.io/v1beta1
kind: Kustomization
metadata:
  name: podinfo
  namespace: flux-system
spec:
  interval: 5m0s
  path: ./kustomize
  prune: true
  sourceRef:
    kind: GitRepository
    name: podinfo
  validation: client

しばらくするとリポジトリとクラスター間での同期が発生し、以下の通り podinfo というアプリケーションがクラスターにデプロイされます。

# kustomizationリソースの状態確認
$ flux get kustomization
NAME            READY   MESSAGE                                                                 REVISION                                        SUSPENDED
flux-system     True    Applied revision: main/7e17dea66b87e57121472eb95abe876184c9ee8b         main/7e17dea66b87e57121472eb95abe876184c9ee8b   False
podinfo         True    Applied revision: master/627d5c4bb67b77185f37e31d734b085019ff2951       master/627d5c4bb67b77185f37e31d734b085019ff2951 False


# podinfoがデプロイされている
$ kubectl get all
NAME                           READY   STATUS    RESTARTS   AGE
pod/podinfo-576d5bf6bd-qssrz   1/1     Running   0          4m58s
pod/podinfo-576d5bf6bd-rqx8d   1/1     Running   0          5m14s

NAME                 TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)             AGE
service/kubernetes   ClusterIP   10.100.0.1      <none>        443/TCP             71m
service/podinfo      ClusterIP   10.100.113.99   <none>        9898/TCP,9999/TCP   5m14s

NAME                      READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/podinfo   2/2     2            2           5m14s

NAME                                 DESIRED   CURRENT   READY   AGE
replicaset.apps/podinfo-576d5bf6bd   2         2         2       5m14s

NAME                                          REFERENCE            TARGETS         MINPODS   MAXPODS   REPLICAS   AGE
horizontalpodautoscaler.autoscaling/podinfo   Deployment/podinfo   <unknown>/99%   2         4         2          5m14s

イメージの同期

次に、コンテナイメージの自動同期を試してみます。

※参考リンク：

• Flux Doc - Automate image updates to Git

まずは前項で利用した podinfo の定義ファイルを一度削除します。クラスターからリソースを削除しても、リポジトリと同期することで再作成されるため、リポジトリから削除します。

$ rm clusters/my-cluster/podinfo-kustomization.yaml
$ rm clusters/my-cluster/podinfo-source.yaml
$ git add .
$ git commit -m "remove podinfo-source & podinfo-kustomization"
$ git push

# 削除されたことの確認
$ kubectl get pods
No resources found in default namespace.
$ kubectl get gitrepository -n flux-system
NAME          URL                                       READY   STATUS                                                            AGE
flux-system   ssh://git@github.com/fy0323/fluxv2-test   True    Fetched revision: main/1c5df5beab6e782467663bddab02e33a525ad5a2   51m

次にFluxの再インストールを行います。Fluxのコンテナイメージの管理を行うのは image-reflector image-automation というControllerなのですが、これらはデフォルトではインストールされず、リソースを追加する必要があります。 flux bootstrap によるFluxのインストールは冪等であり、実行時に新しいバージョンがリリースされている場合は、新しいバージョンがインストールされます。

また、コンテナイメージの更新後、上記Controllerにより、マニフェストファイルのイメージタグを書き換えるため、デプロイ用のキーに書き込み権限を付与する必要があります。前項でFluxのインストールを実行した際は、読み取り権限のみを付与したキーが発行されており、これを変更する必要があります。

ここではFluxのキー情報が格納されている flux-system というSecretリソースを削除し、その後Fluxの再インストールを行います。

# Secretの削除
$ kubectl get secret -n flux-system
NAME                                      TYPE                                  DATA   AGE
default-token-649ts                       kubernetes.io/service-account-token   3      90m
flux-system                               Opaque                                3      90m
helm-controller-token-cdrqn               kubernetes.io/service-account-token   3      90m
image-automation-controller-token-8nrpz   kubernetes.io/service-account-token   3      49m
image-reflector-controller-token-p96zm    kubernetes.io/service-account-token   3      49m
kustomize-controller-token-k2zft          kubernetes.io/service-account-token   3      90m
notification-controller-token-z4npl       kubernetes.io/service-account-token   3      90m
source-controller-token-ssh2v             kubernetes.io/service-account-token   3      90m

$ kubectl delete secret -n flux-system flux-system
secret "flux-system" deleted


# Fluxの再インストール
$ flux bootstrap github \
> --components-extra=image-reflector-controller,image-automation-controller \
> --owner=$GITHUB_USER \
> --repository=fluxv2-test \
> --branch=main \
> --path=./clusters/my-cluster \
> --read-write-key \
> --personal

（中略）

✔ image-automation-controller: deployment ready
✔ source-controller: deployment ready
✔ kustomize-controller: deployment ready
✔ helm-controller: deployment ready
✔ notification-controller: deployment ready
✔ image-reflector-controller: deployment ready
✔ all components are healthy


# リソースの確認
$ kubectl get pods -n flux-system
NAME                                           READY   STATUS    RESTARTS   AGE
helm-controller-5b96d94c7f-525lt               1/1     Running   0          41m
image-automation-controller-5cf75fd555-px4r7   1/1     Running   0          45s
image-reflector-controller-6787985855-bssjr    1/1     Running   0          45s
kustomize-controller-5b95b78ddc-wqkmg          1/1     Running   0          41m
notification-controller-55f94bc746-zx8m9       1/1     Running   0          41m
source-controller-78bfb8576-ftnxl              1/1     Running   0          41m

※なお、ここでSecretリソースを削除せずにキー情報が更新されないと、後ほどの操作時に以下のようにエラーが発生します。

# コンテナイメージのアップデート時にエラーが発生
$ flux get image update
NAME            READY   MESSAGE                                                                                 LAST RUNSUSPENDED
flux-system     False   remote: ERROR: The key you are authenticating with has been marked as read only.                False

Fluxの再デプロイが完了したので、テスト用のアプリケーションのデプロイを行います。ここではコンテナイメージが 5.0.0 のものを指定します。

# podinfoマニフェストファイルの取得
$ curl -sL https://raw.githubusercontent.com/stefanprodan/podinfo/5.0.0/kustomize/deployment.yaml > ./clusters/my-cluster/podinfo-deployment.yaml

# コミット
$ git add .
$ git commit -m "add podinfo deployment"
$ git push

apiVersion: apps/v1
kind: Deployment
metadata:
  name: podinfo
spec:
  minReadySeconds: 3
  revisionHistoryLimit: 5
  progressDeadlineSeconds: 60
  strategy:
    rollingUpdate:
      maxUnavailable: 0
    type: RollingUpdate
  selector:
    matchLabels:
      app: podinfo
  template:
    metadata:
      annotations:
        prometheus.io/scrape: "true"
        prometheus.io/port: "9797"
      labels:
        app: podinfo
    spec:
      containers:
      - name: podinfod
        image: ghcr.io/stefanprodan/podinfo:5.0.0
        imagePullPolicy: IfNotPresent
        ports:
        - name: http
          containerPort: 9898
          protocol: TCP
        - name: http-metrics
          containerPort: 9797
          protocol: TCP
        - name: grpc
          containerPort: 9999
          protocol: TCP
        command:
        - ./podinfo
        - --port=9898
        - --port-metrics=9797
        - --grpc-port=9999
        - --grpc-service-name=podinfo
        - --level=info
        - --random-delay=false
        - --random-error=false
        env:
        - name: PODINFO_UI_COLOR
          value: "#34577c"
        livenessProbe:
          exec:
            command:
            - podcli
            - check
            - http
            - localhost:9898/healthz
          initialDelaySeconds: 5
          timeoutSeconds: 5
        readinessProbe:
          exec:
            command:
            - podcli
            - check
            - http
            - localhost:9898/readyz
          initialDelaySeconds: 5
          timeoutSeconds: 5
        resources:
          limits:
            cpu: 2000m
            memory: 512Mi
          requests:
            cpu: 100m
            memory: 64Mi

続いてここでは flux reconcile コマンドを利用し、リポジトリとクラスター間の同期を実行します。コマンドを実行しなくとも、一定間隔でリポジトリ・クラスター間の差分はチェックされており（ここでは10分間隔）、差分を検知すれば同期は行われます。

# リポジトリ・クラスター間の同期
$ flux reconcile kustomization flux-system --with-source
（中略）
✔ Kustomization reconciliation completed
✔ applied revision main/4301e2dda8423ab580df8ef5d025f9a278cb7664


# podinfoアプリがデプロイされる
$ kubectl get pods
NAME                      READY   STATUS    RESTARTS   AGE
podinfo-c598c9677-v9rvq   1/1     Running   0          20s


# この時点ではコンテナイメージタグは5.0.0
$ kubectl get deployment podinfo -oyaml | grep 'image:'
                f:image: {}
        image: ghcr.io/stefanprodan/podinfo:5.0.0

次にコンテナレジストリを定義する ImageRepository 、同期するコンテナイメージの指定を行う ImagePolicy というリソースを作成します。今回指定する ImageRepository には、複数のバージョンのイメージが保存されています。ここで指定する 5.0.x の範囲では、 5.0.3 のタグが付与されたイメージが最新のバージョンとなります。

# ImageRegistryリソースのマニフェスト生成
$ flux create image repository podinfo \
> --image=ghcr.io/stefanprodan/podinfo \
> --interval=1m \
> --export > ./clusters/my-cluster/podinfo-registry.yaml


# ImagePolicyリソースのマニフェスト生成
$ flux create image policy podinfo \
> --image-ref=podinfo \
> --select-semver=5.0.x \
> --export > ./clusters/my-cluster/podinfo-policy.yaml


# コミット
$ git add . && git commit -m "add podinfo image scan"
$ git push

---
apiVersion: image.toolkit.fluxcd.io/v1beta1
kind: ImageRepository
metadata:
  name: podinfo
  namespace: flux-system
spec:
  image: ghcr.io/stefanprodan/podinfo
  interval: 1m0s

---
apiVersion: image.toolkit.fluxcd.io/v1beta1
kind: ImagePolicy
metadata:
  name: podinfo
  namespace: flux-system
spec:
  imageRepositoryRef:
    name: podinfo
  policy:
    semver:
      range: 5.0.x

ここでも flux reconcile コマンドを実行し、リポジトリとクラスター間の同期を手動で実行します。

# リポジトリ・クラスター間の同期
$ flux reconcile kustomization flux-system --with-source
（中略）
✔ Kustomization reconciliation completed
✔ applied revision main/242b5514ff60e0c02a29b95564fc48a6e75c0ac0


# リソースの確認
$ kubectl get imagerepository -n flux-system
NAME      LAST SCAN              TAGS
podinfo   2021-07-18T02:27:06Z   19

$ kubectl get imagepolicy -n flux-system
NAME      LATESTIMAGE
podinfo   ghcr.io/stefanprodan/podinfo:5.0.3

なお、リソースの状態は flux get コマンドなどでも確認できます。

$ flux get image repository
NAME    READY   MESSAGE                         LAST SCAN                       SUSPENDED
podinfo True    successful scan, found 19 tags  2021-07-18T11:28:06+09:00       False

$ flux get image policy
NAME    READY   MESSAGE                                                                 LATEST IMAGE                    
podinfo True    Latest image tag for 'ghcr.io/stefanprodan/podinfo' resolved to: 5.0.3  ghcr.io/stefanprodan/podinfo:5.0.3

次に podinfo-deployment.yaml を一部修正します。コンテナイメージの自動更新を行う ImageUpdateAutomation というリソースは、マニフェスト中の特定のマーカーを目印にして、イメージタグの書き換えを行います。

※参考リンク：

• Flux Doc - Automate image updates to Git # Configure image update for custom resources

$ vi clusters/my-cluster/podinfo-deployment.yaml

# 以下のように修正
    spec:
      containers:
      - name: podinfod
        image: ghcr.io/stefanprodan/podinfo:5.0.0 # {"$imagepolicy": "flux-system:podinfo"}
        imagePullPolicy: IfNotPresent

次に ImageUpdateAutomation リソースを作成し、コンテナイメージの自動更新を実行可能にします。

# ImageUpdateAutomationリソースのマニフェスト生成
$ flux create image update flux-system \
> --git-repo-ref=flux-system \
> --git-repo-path="./clusters/my-cluster" \
> --checkout-branch=main \
> --push-branch=main \
> --author-name=fluxcdbot \
> --author-email=fluxcdbot@users.noreply.github.com \
> --commit-template="{{range .Updated.Images}}{{println .}}{{end}}" \
> --export > ./clusters/my-cluster/flux-system-automation.yaml


# コミット
$ git add . && git commit -m "add image updates automation" && git push

---
apiVersion: image.toolkit.fluxcd.io/v1beta1
kind: ImageUpdateAutomation
metadata:
  name: flux-system
  namespace: flux-system
spec:
  git:
    checkout:
      ref:
        branch: main
    commit:
      author:
        email: fluxcdbot@users.noreply.github.com
        name: fluxcdbot
      messageTemplate: '{{range .Updated.Images}}{{println .}}{{end}}'
    push:
      branch: main
  interval: 1m0s
  sourceRef:
    kind: GitRepository
    name: flux-system
  update:
    path: ./clusters/my-cluster
    strategy: Setters

しばらくすると、以下のように ImageUpdateAutomation の作成が確認できます。

$ kubectl get imageupdateautomation -n flux-system
NAME          LAST RUN
flux-system   2021-07-18T02:46:40Z

$ flux get image update
NAME            READY   MESSAGE                                                                 LAST RUN                        SUSPENDED
flux-system     True    committed and pushed 614e62d52ec55844f61fcd7f5d67999757229729 to main   2021-07-18T11:45:33+09:00       False

マニフェストファイルを確認すると、イメージタグが 5.0.3 に更新されており、Podのイメージも更新されていることがわかります。

$ git pull
$ cat clusters/my-cluster/podinfo-deployment.yaml | grep "image:"
          image: ghcr.io/stefanprodan/podinfo:5.0.3 # {"$imagepolicy": "flux-system:podinfo"}


$ kubectl get deploy podinfo -oyaml | grep 'image:'
                f:image: {}
        image: ghcr.io/stefanprodan/podinfo:5.0.3


# イメージ関連のリソースの状態を一括で確認できる
$ flux get images all
NAME                    READY   MESSAGE                         LAST SCAN                       SUSPENDED
imagerepository/podinfo True    successful scan, found 19 tags  2021-07-18T11:51:18+09:00       False

NAME                    READY   MESSAGE                                                                 LATEST IMAGE    
imagepolicy/podinfo     True    Latest image tag for 'ghcr.io/stefanprodan/podinfo' resolved to: 5.0.3  ghcr.io/stefanprodan/podinfo:5.0.3

NAME                                    READY   MESSAGE                                                         LAST RUN                        SUSPENDED
imageupdateautomation/flux-system       True    no updates made; last commit 614e62d at 2021-07-18T02:45:33Z    2021-07-18T11:50:54+09:00       False

イメージ更新の停止

flux suspend コマンドはコンテナイメージの同期を一時的に停止するコマンドです。例えばあるイメージのバージョンに問題があり、一時的に同期を停止したい場合などに利用できます。停止後は flux resume コマンドにより、同期を再開することができます。

$ flux suspend image update flux-system
► suspending image update automation flux-system in flux-system namespace
✔ image update automation suspended


$ flux get image update
NAME            READY   MESSAGE                                                         LAST RUN                       SUSPENDED
flux-system     True    no updates made; last commit 614e62d at 2021-07-18T02:45:33Z    2021-07-18T11:53:01+09:00      True


$ flux resume image update flux-system
► resuming image update automation flux-system in flux-system namespace
✔ image update automation resumed
◎ waiting for ImageUpdateAutomation reconciliation
✔ ImageUpdateAutomation reconciliation completed
✔ no updates made; last commit 614e62d at 2021-07-18T02:45:33Z

コンテナイメージのロールバック

コンテナイメージを最新のバージョンから変更したい場合、 ImagePolicy で指定するイメージタグを修正することで、イメージのロールバックを実行することができます。

# 変更前のバージョン
$ kubectl describe imagepolicy podinfo -n flux-system

（中略）
Spec:
  Image Repository Ref:
    Name:  podinfo
  Policy:
    Semver:
      Range:  5.0.x


# イメージタグの変更
$ flux create image policy podinfo \
> --image-ref=podinfo \
> --select-semver=5.0.0
✚ generating ImagePolicy
► applying ImagePolicy
✔ ImageRepository updated
◎ waiting for ImagePolicy reconciliation
✔ ImagePolicy reconciliation completed


# 更新後のイメージタグ
$ kubectl describe imagepolicy podinfo -n flux-system | grep Semver -3
  Image Repository Ref:
    Name:  podinfo
  Policy:
    Semver:
      Range:  5.0.0
Status:
  Conditions:


# Podのイメージも変更されている
$ kubectl get deploy podinfo -oyaml | grep "image:"
                f:image: {}
        image: ghcr.io/stefanprodan/podinfo:5.0.0

なお、コンテナイメージの同期に利用できるレジストリは、DockerHubやGitHub Container Registryのほか、Amazon Elastic Container Registry (ECR) やAzure Container Registry (ACR)など、パブリッククラウドのサービスも利用可能です。ただし、これらはレジストリのアクセストークンの期限が一定時間で期限切れとなるため、それを更新するためのCronJobの利用方法が紹介されています。

通知

次にFluxからの通知を試してみます。今回はSlackに通知を飛ばすよう設定します。

※参考リンク：

• Flux Doc - Setup Notifications

作業を行う前提として、SlackのIncoming Webhookを有効にし、Webhook URLを取得しておきます。Webhook URLの情報はSecretリソースとして登録しておきます。

• SlackでのIncoming Webhookの利用

# Slack Webhook URLの登録
$ kubectl -n flux-system create secret generic slack-url \
> --from-literal=address=<Slack Incoming Webhook URL>


$ kubectl get secret -n flux-system
NAME                                      TYPE                                  DATA   AGE
default-token-649ts                       kubernetes.io/service-account-token   3      117m
flux-system                               Opaque                                3      25m
helm-controller-token-cdrqn               kubernetes.io/service-account-token   3      117m
image-automation-controller-token-8nrpz   kubernetes.io/service-account-token   3      76m
image-reflector-controller-token-p96zm    kubernetes.io/service-account-token   3      76m
kustomize-controller-token-k2zft          kubernetes.io/service-account-token   3      117m
notification-controller-token-z4npl       kubernetes.io/service-account-token   3      117m
slack-url                                 Opaque                                1      15s
source-controller-token-ssh2v             kubernetes.io/service-account-token   3      117m

次にFluxで通知機能を利用するための Provider Alert というリソースを作成します。 Provider は通知先となるプロバイダーを、 Alertは通知の対象となるリソースや通知レベルの設定などを定義します。

# Providerリソースのマニフェスト生成
$ flux create alert-provider slack \
> --type slack \
> --channel fluxcd-test \
> --secret-ref slack-url \
> --export > ./clusters/my-cluster/slack-alert-provider.yaml


# Alertリソースのマニフェスト生成
$ flux create alert flux-system \
> --event-severity info \
> --event-source Kustomization/*,GitRepository/*,ImagePolicy/* \
> --provider-ref slack \
> --export > ./clusters/my-cluster/slack-alert.yaml


# コミット
$ git add . && git commit -m "add alert provider & alert" && git push

---
apiVersion: notification.toolkit.fluxcd.io/v1beta1
kind: Provider
metadata:
  name: slack
  namespace: flux-system
spec:
  channel: fluxcd-test
  secretRef:
    name: slack-url
  type: slack

---
apiVersion: notification.toolkit.fluxcd.io/v1beta1
kind: Alert
metadata:
  name: flux-system
  namespace: flux-system
spec:
  eventSeverity: info
  eventSources:
  - kind: Kustomization
    name: '*'
  - kind: GitRepository
    name: '*'
  - kind: ImagePolicy
    name: '*'
  providerRef:
    name: slack

flux reconcile コマンドにより、リポジトリ・クラスター間を同期します。

$ flux reconcile kustomization flux-system --with-source


# リソースの状態確認
$ kubectl get provider -n flux-system
NAME    READY   STATUS        AGE
slack   True    Initialized   100s

$ kubectl get alert -n flux-system
NAME          READY   STATUS        AGE
flux-system   True    Initialized   6m55s

$ flux get alert-providers
NAME    READY   MESSAGE
slack   True    Initialized

$ flux get alerts
NAME            READY   MESSAGE         SUSPENDED
flux-system     True    Initialized     False

通知設定が完了したので、リソースの変更を行います。ここでは、先ほど変更した ImagePolicy のイメージタグを変更してみます。

$ flux create image policy podinfo \
> --image-ref=podinfo \
> --select-semver=5.0.x

上記設定からしばらくすると、Slackのほうに通知が飛ぶ様子が確認できます。

Fluxのアンインストール

検証が完了したので、Fluxをアンインストールします。

$ flux uninstall --namespace=flux-system
? Are you sure you want to delete Flux and its custom resource definitions? [y/N] y
（中略）
✔ uninstall finished


# 削除の確認
$ kubectl get ns
NAME              STATUS   AGE
default           Active   12h
kube-node-lease   Active   12h
kube-public       Active   12h
kube-system       Active   12h

はじめに

今回はCircleCIとAmazon ECRを利用したCI/CDパイプラインを用意し、コンテナイメージのビルドからKubernetesクラスタへのデプロイまで実行するサンプルを作成しました。

構成

今回は以下のようなCI/CDパイプラインを作成しました。

• 管理対象はGoのソース・テストコード、Kubernetesマニフェストファイル・テスト用スクリプト
• リポジトリ上のいずれかのブランチに対するPushを受けたら、GoコードのテストとKubernetesマニフェストファイルのValidationを並列に実行する
• mainブランチへのMergeが行われたら、Dockerイメージのビルド・プッシュ、Kubernetesリソースの更新を行う

構成図は以下のようになります。CI/CDパイプラインはCircleCI、コンテナレジストリはAmazon ECR、Kubernets環境はAmazon EKSを選択しています。

CircleCI

今回利用したリポジトリのディレクトリ構造はこちら。.circleci/config.yml 以外は前回のGitHub Actionsの例と同じファイルを使用しています。

.
├── .circleci
│   └── config.yml
├── README.md
├── app
│   ├── dockerfile
│   ├── main.go
│   └── main_test.go
└── manifest
    ├── deployment.yaml
    └── test.sh

CI/CDパイプラインは以下のようなファイルで構成しています。CircleCIを利用するには .circleci/config.yml ファイル上にワークフローを定義する必要があります。

今回はAmazon ECRへコンテナイメージをPushするために circleci/aws-ecrというOrbを利用しています。このOrbは、サンプルなどを見る限りWorkflow上で定義することが多いのですが、今回処理結果をSlackに通知したかったためecr-pushというJob上で定義しています。本当はJobの実行基盤をDockerにしたかったのですが上手くいかなかったため、ecr-push JobはVM上で実行しています。

version: 2.1
 
orbs:
  slack: circleci/slack@4.4.2
  aws-ecr: circleci/aws-ecr@7.0.0
  aws-eks: circleci/aws-eks@1.1.0
  kubernetes: circleci/kubernetes@0.12.0
 
commands:
  slack_fail:
    steps:
      - slack/notify:
          event: fail
          template: basic_fail_1
  slack_success:
    steps:
      - slack/notify:
          event: pass
          template: basic_success_1
 
jobs:
  go-test:
    docker:
      - image: circleci/golang:1.15.6
    working_directory: ~/repo
    steps:
      - checkout
      - run:
          name: Run tests
          command: go test -v ./app
      - slack_fail
  ecr-push:
    machine:
      image: ubuntu-2004:202010-01
    steps:
      - aws-ecr/build-and-push-image:
          account-url: AWS_ECR_ACCOUNT_URL
          aws-access-key-id: AWS_ACCESS_KEY_ID
          aws-secret-access-key: AWS_SECRET_ACCESS_KEY
          dockerfile: dockerfile
          path: ./app
          region: AWS_REGION
          repo: <repository-name>
          tag: latest
      - slack_fail
      - slack_success
 
  k8s-validate:
    docker:
      - image: circleci/golang:1.15.6
    working_directory: ~/repo
    steps:
      - checkout
      - run:
          name: install
          command: |
            wget https://github.com/instrumenta/kubeval/releases/latest/download/kubeval-linux-amd64.tar.gz
            tar xf kubeval-linux-amd64.tar.gz
            sudo cp kubeval /usr/local/bin
      - run:
          name: validation
          command: kubeval ./manifest/*.yaml
      - slack_fail
  k8s-deployment:
    executor: aws-eks/python3
    parameters:
      cluster-name:
        default: <cluster-name>
        type: string
      aws-region:
        default: <aws-region>
        type: string
    steps:
      - checkout
      - aws-eks/update-kubeconfig-with-authenticator:
          cluster-name: << parameters.cluster-name >>
          aws-region: << parameters.aws-region >>
          install-kubectl: true
      - kubernetes/create-or-update-resource:
          resource-file-path: manifest/deployment.yaml
      - run:
          name: check resource
          command: kubectl get pods
      - run:
          name: test apps
          command: |
            chmod +x ./manifest/test.sh
            sh ./manifest/test.sh
      - slack_fail
      - slack_success
 
 
workflows:
  docker-build-and-deploy:
    jobs:
      - go-test
      - k8s-validate
      - ecr-push:
          requires:
            - go-test
          filters:
            branches:
              only:
                - main
      - k8s-deployment:
          requires:
            - k8s-validate
            - ecr-push
          filters:
            branches:
              only:
                - main

利用したOrbsはこちら。

• circleci/aws-ecr
• circleci/aws-eks
• circleci/kubernetes
• circleci/slack

参考ドキュメントはこちら。

• CircleCI Blog - Go アプリケーションの継続的インテグレーション
• CircleCI Blog - Amazon ECR へのプライベート Docker イメージの自動デプロイ
• Classmethod blog - CircleCI OrbsでSlackにFailedとSuccessを通知する
• GitHub - CircleCI-Public/slack-orb
• Kubeval Docs - Installation
• Qiita - CircleCIでmasterにmergeされた場合のみビルドしたバイナリをCloud Source Repositoresへpushする

利用時の前提

パイプラインを利用するうえで必要な準備なども記載します。

CircleCIの登録

CircleCIに登録していない場合は登録と利用するリポジトリの選択を済ませておきます。

※参考ドキュメント：

• CircleCI Docs - はじめてのビルドの成功（グリーンビルド）

Slackへの通知用設定

Jobの実行結果をSlackに通知するため、Slackの設定を行います。Slack AppにてTokenの取得と投稿用チャンネルの作成をしておきます。Slackでの設定はこちらのドキュメントに書かれた通り実行すれば完了するかと思います。

CircleCIでの変数の設定

CircleCIの Environment Variables には以下の情報を登録します。

• AWS_ACCESS_KEY_ID: AWSへのアクセスに利用するアカウントID
• AWS_SECRET_ACCESS_KEY: AWSへのアクセスに利用するシークレットアクセスキー
• AWS_ECR_ACCOUNT_URL: Amazon ECRへのアクセスに利用するURL
• AWS_REGION: AWSで利用するリージョン
• SLACK_ACCESS_TOKEN: Slack Appで取得したアクセスToken
• SLACK_DEFAULT_CHANNEL: Slack通知に利用するチャンネル名

その他

CircleCIでは、リポジトリ上のディレクトリやファイル毎にJobを起動することができない、と認識しています。そのため、以前GitHub Actionsでつくったパイプラインと異なり、今回はひとつのワークフローの中に、イメージのビルドとクラスターへのデプロイのJobを入れています。

CIとCDのプロセスを分けようと思った場合、いくつか方法はあると考えられます。

アプリ・インフラそれぞれ専用のリポジトリを用意する

各リポジトリごとに.circleci/config.ymlを作成し、ワークフローを設定すれば処理を分けることが可能になり、CIとCDを分離することができます。アプリとインフラのコードを別のリポジトリに管理する場合、こちらの方法を採用することができるでしょう。

シェルスクリプト上で処理する

こちらの記事などで紹介されていますが、シェルスクリプト上でCircleCIを実行するタイミングをコントロールする、という方法もあるようです。プロジェクトで利用するコードをmonorepoで管理する場合、こちらの方法を採用することになるでしょう。

今回はメッセージングシステムの一つであるNATSを試してみました。

NATSとは

分散システムにおけるアプリケーションとサービス間のコミュニケーションは複雑で理解が難しいものとなります。現代のメッセージングシステムは複数のコミュニケーションパターンをサポートする必要があり、それに加えてセキュリティ・マルチテナンシー・拡張性など多様な要素も求められています。

NATSはこれらの要求を満たすために開発されたソフトウェアで、以下のような特徴を備えています。なおNATSはNeural Automatic Transport Systemの略称です。

複数のメッセージングパターンのサポート

NATSはSubjectをベースとしたメッセージングシステムで、PublisherがSubjectに対してメッセージを送信し、Subjectと紐づくSubscriberへメッセージを転送します。Subjectは、PublisherとSubscriberが互いを見つけるために利用する名前を形成する「文字列」です。Subjectは階層構造やワイルドカードなどを利用して表現でき、複数のSubscriberへの送信や、特定のパターンに合致したもののみにメッセージを送信するといったコントロールも可能になります。

※ワイルドカードを利用したSubject（画像は公式ドキュメントより）

※特定のSubscriberにのみ送信されるパターン（画像は公式ドキュメントより）

NATSはPublish-Subscribe / Request-Reply / Queueという3つのメッセージングパターンに対応しています。

Publish-Subscribeの場合、NATSは「1対多」のコミュニケーションとして扱い、Publisherから送られてきたメッセージはSubjectが合致したアクティブなSubscriberへと送られます。

※画像：公式ドキュメントより

Request-Replyの場合、クライアントがReply Subject付きのRequestを送信すると、Responderがそれを捉えてReply Subject宛にResponseを返します。また複数のResponderを設定することも可能で、それらを使って動的なQueue Groupを形成し、スケールアップすることもできます。

※画像：公式ドキュメントより

Queueの場合、NATSは分散Queueと呼ばれる負荷分散機能を提供します。同一のQueue Nameを与えられたSubscriberはQueue Groupのメンバーとなり、Publisherから送られるメッセージがグループ内のメンバーに対して均一に送信されます。この設定はPublisher/Subscriber側で行い、Serverでは行いません。

※画像：公式ドキュメントより

At Most Once / At Least Onceのサポート

NATSはCore NATS (NATS Server、NATSとも呼ばれる)とNATS Streamingとで構成されます。Core NATSはクライアント間のメッセージをルーティングします。クライアントとの接続は、クライアントライブラリによって確立されるTCP接続を介して行われます。

※画像：GitHubより

NATS StreamingはCore NATSのクライアントとして位置しています。NATS Streamingを利用するにはCore NATSが必要で、クライアントからの通信はCore NATSを介してNATS Streamingへ送られます。

※画像：GitHubより

Core NATSはAT Most Onceと呼ばれるデリバリー戦略を採用しており、これは最高でも1回しか配信を行わず、再送は行わないことを意味します。これはメッセージの欠損する可能性を含んでおり、アプリケーションによってはこの戦略は適さない場合があります。

その一方でNATS StreamingではAt Least Once、つまり最低でも1回は配信されるよう再送を行います。こちらを採用することでSubscriberへの配信が保証できる一方、メッセージの重複が発生する可能性もあります。

NATS StreamingはメッセージをディスクやSQLデータベースに書き込むことでAt Least Onceを実現しており、Kubernetesへデプロイする際はPersistentVolume PersistentVolumeClaimを利用しています。

※参考ドキュメント：

• GitHub - nats-io/nats-general

• Kekeの日記 - メッセージングセマンティクスEffectively-once

• Ponz Dev Log - メッセージング基盤のNATSを超ざっくり解説する

高可用性・拡張性

NATSは可用性と拡張性を実現するため、Server Clusteringをサポートしています。NATS ServerはClusterを形成するすべてのNATS Serverと接続し、フルメッシュを形成します。NATSが利用するクラスタリングプロトコルでは、NATS Serverにクラスターメンバーを伝え、全てのNATS Serverはクラスター内の他のメンバーをDiscoverすることができます。またクライアントがNATS Serverに接続すると、クラスターに関する情報が通知されます。これにより、クラスターの構成が動的に変更したり、自己修復することを可能にします。

※画像：GitHubより

またクライアントライブラリでは、接続・Subscriptionを削除する際にDrainを行う機能が用意されています。これにより、実行中、あるいはキャッシュされたメッセージを処理してから、接続・Subscriptionの停止をすることが可能です。この機能を利用することで、メッセージが失われることなくScale Dwonを実行することも可能になります。

※参考ドキュメント：

• NATS公式ドキュメント - Clustering

• NATS公式ドキュメント - NATS Cluster Protocol

• NATS公式ドキュメント - Draining Messages Before Disconnect

その他

• 軽量・高パフォーマンス: NATSは軽量・高パフォーマンスを謳うソフトウェアです。2014年に実施したパフォーマンス比較記事を見てみると、他のメッセージング基盤ソフトウェアと比較しても、高いパフォーマンスを示すことが確認できます。

• 複数の開発言語をクライアントとしてサポート: NATSはGo / Java / Node.js / Pythonなど複数の開発言語をクライアントとしてサポートしています。

• CNCFプロジェクト: NATSはCNCFのStreaming & Messagingカテゴリーに分類されています。プロジェクトの成熟度は2020年12月時点でIncubatingとなっています。

※参考ドキュメント：

• BRAVE NEW GEEK - Dissecting Message Queues

• OPTiM Tech Blog - メッセージブローカー『NATS』のパフォーマンスを計測する

NATSを使ってみる

ここから実際にNATSを動かしてみます。今回はKubernetesへNATS Serverをデプロイした後、Tutorialとして紹介されているこちらのページの内容をなぞっていきます。

検証環境

• Kubernetesマネージドサービス: Amazon EKS (v1.18)
• 構築方法: eksctlによる構築
• ローカル環境: WSL (Ubuntu 18.04.4)

NATSのインストール

まずはNATSをインストールします。NATSはKubernetesへのインストールで利用するためのリポジトリを用意しており、こちらに置いてあるマニフェストファイルを利用します。

NATS、NATS Streaming用のマニフェストファイルは、それぞれ以下の通りです。今回はNATS、NATS Streamingを一つずつ作成する最小構成のパターンで行いました。

single-server-nats.yaml

---
apiVersion: v1
kind: ConfigMap
metadata:
  name: nats-config
data:
  nats.conf: |
    pid_file: "/var/run/nats/nats.pid"
    http: 8222
---
apiVersion: v1
kind: Service
metadata:
  name: nats
  labels:
    app: nats
spec:
  selector:
    app: nats
  clusterIP: None
  ports:
  - name: client
    port: 4222
  - name: cluster
    port: 6222
  - name: monitor
    port: 8222
  - name: metrics
    port: 7777
  - name: leafnodes
    port: 7422
  - name: gateways
    port: 7522
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: nats
  labels:
    app: nats
spec:
  selector:
    matchLabels:
      app: nats
  replicas: 1
  serviceName: "nats"
  template:
    metadata:
      labels:
        app: nats
    spec:
      # Common volumes for the containers
      volumes:
      - name: config-volume
        configMap:
          name: nats-config
      - name: pid
        emptyDir: {}

      # Required to be able to HUP signal and apply config reload
      # to the server without restarting the pod.
      shareProcessNamespace: true

      #################
      #               #
      #  NATS Server  #
      #               #
      #################
      terminationGracePeriodSeconds: 60
      containers:
      - name: nats
        image: nats:2.1.7-alpine3.11
        ports:
        - containerPort: 4222
          name: client
          hostPort: 4222
        - containerPort: 7422
          name: leafnodes
          hostPort: 7422
        - containerPort: 6222
          name: cluster
        - containerPort: 8222
          name: monitor
        - containerPort: 7777
          name: metrics
        command:
         - "nats-server"
         - "--config"
         - "/etc/nats-config/nats.conf"

        # Required to be able to define an environment variable
        # that refers to other environment variables.  This env var
        # is later used as part of the configuration file.
        env:
        - name: POD_NAME
          valueFrom:
            fieldRef:
              fieldPath: metadata.name
        - name: POD_NAMESPACE
          valueFrom:
            fieldRef:
              fieldPath: metadata.namespace
        - name: CLUSTER_ADVERTISE
          value: $(POD_NAME).nats.$(POD_NAMESPACE).svc
        volumeMounts:
          - name: config-volume
            mountPath: /etc/nats-config
          - name: pid
            mountPath: /var/run/nats

        # Liveness/Readiness probes against the monitoring
        #
        livenessProbe:
          httpGet:
            path: /
            port: 8222
          initialDelaySeconds: 10
          timeoutSeconds: 5
        readinessProbe:
          httpGet:
            path: /
            port: 8222
          initialDelaySeconds: 10
          timeoutSeconds: 5

        # Gracefully stop NATS Server on pod deletion or image upgrade.
        #
        lifecycle:
          preStop:
            exec:
              # Using the alpine based NATS image, we add an extra sleep that is
              # the same amount as the terminationGracePeriodSeconds to allow
              # the NATS Server to gracefully terminate the client connections.
              #
              command: ["/bin/sh", "-c", "/nats-server -sl=ldm=/var/run/nats/nats.pid && /bin/sleep 60"]

single-server-stan.yaml

---
apiVersion: v1
kind: ConfigMap
metadata:
  name: stan-config
data:
  stan.conf: |
    port: 4222
    http: 8222
    streaming {
     ns: "nats://nats:4222"
     id: stan
     store: file
     dir: /data/stan/store
    }
---
apiVersion: v1
kind: Service
metadata:
  name: stan
  labels:
    app: stan
spec:
  selector:
    app: stan
  clusterIP: None
  ports:
  - name: metrics
    port: 7777
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: stan
  labels:
    app: stan
spec:
  selector:
    matchLabels:
      app: stan
  serviceName: stan
  replicas: 1
  volumeClaimTemplates:
  - metadata:
      name: stan-sts-vol
    spec:
      accessModes:
      - ReadWriteOnce
      volumeMode: "Filesystem"
      resources:
        requests:
          storage: 1Gi
  template:
    metadata:
      labels:
        app: stan
    spec:
      # Prevent NATS Streaming pods running in same host.
      affinity:
        podAntiAffinity:
          requiredDuringSchedulingIgnoredDuringExecution:
          - topologyKey: "kubernetes.io/hostname"
            labelSelector:
              matchExpressions:
              - key: app
                operator: In
                values:
                - stan
      # STAN Server
      containers:
      - name: stan
        image: nats-streaming:0.16.2
        ports:
        - containerPort: 8222
          name: monitor
        - containerPort: 7777
          name: metrics
        args:
         - "-sc"
         - "/etc/stan-config/stan.conf"

        # Required to be able to define an environment variable
        # that refers to other environment variables.  This env var
        # is later used as part of the configuration file.
        env:
        - name: POD_NAME
          valueFrom:
            fieldRef:
              fieldPath: metadata.name
        - name: POD_NAMESPACE
          valueFrom:
            fieldRef:
              fieldPath: metadata.namespace
        volumeMounts:
          - name: config-volume
            mountPath: /etc/stan-config
          - name: stan-sts-vol
            mountPath: /data/stan

        # Disable CPU limits.
        resources:
          requests:
            cpu: 0

        livenessProbe:
          httpGet:
            path: /
            port: 8222
          initialDelaySeconds: 10
          timeoutSeconds: 5
      volumes:
      - name: config-volume
        configMap:
          name: stan-config

上記マニフェストファイルを利用してインストールを行います。

# GitHubリポジトリのクローン
$ git clone https://github.com/nats-io/k8s
$ cd k8s/


# NATSのインストール
$ kubectl apply -f nats-server/single-server-nats.yml 
configmap/nats-config created
service/nats created
statefulset.apps/nats created

# NATS Streamingのインストール
$ kubectl apply -f nats-streaming-server/single-server-stan.yml 
configmap/stan-config created
service/stan created
statefulset.apps/stan created


# インストール後の確認
$ kubectl get cm
NAME          DATA   AGE
nats-config   1      57s
stan-config   1      26s


$ kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)                                                 AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP                                                 2d
nats         ClusterIP   None         <none>        4222/TCP,6222/TCP,8222/TCP,7777/TCP,7422/TCP,7522/TCP   74s
stan         ClusterIP   None         <none>        7777/TCP                                                43s


# NATS Streamingが利用するPV/PVC
$ kubectl get pvc
NAME                  STATUS   VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS   AGE
stan-sts-vol-stan-0   Bound    pvc-37cf09c9-b32b-4573-bb3b-9a32d6bfff7d   1Gi        RWO            gp2            20h


$ kubectl get pv
NAME                                       CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS   CLAIM                         STORAGECLASS   REASON   AGE
pvc-37cf09c9-b32b-4573-bb3b-9a32d6bfff7d   1Gi        RWO            Delete           Bound    default/stan-sts-vol-stan-0   gp2                     20h


$ kubectl get sc
NAME            PROVISIONER             RECLAIMPOLICY   VOLUMEBINDINGMODE      ALLOWVOLUMEEXPANSION   AGE
gp2 (default)   kubernetes.io/aws-ebs   Delete          WaitForFirstConsumer   false                  2d22h


$ kubectl get statefulsets
NAME   READY   AGE
nats   1/1     94s
stan   1/1     64s


$ kubectl get pods
NAME     READY   STATUS    RESTARTS   AGE
nats-0   1/1     Running   0          101s
stan-0   1/1     Running   0          71s


# NATSのログは以下の通り
$ kubectl logs nats-0
[7] 2020/12/28 04:50:09.349020 [INF] Starting nats-server version 2.1.7
[7] 2020/12/28 04:50:09.349061 [INF] Git commit [bf0930e]
[7] 2020/12/28 04:50:09.349569 [INF] Starting http monitor on 0.0.0.0:8222
[7] 2020/12/28 04:50:09.349616 [INF] Listening for client connections on 0.0.0.0:4222
[7] 2020/12/28 04:50:09.349625 [INF] Server id is NBBQ76INWDZXMFBGF5V4MBXCV3PBEQ5EWNFPPKS3FSTNPF3VFCR3RY2K
[7] 2020/12/28 04:50:09.349629 [INF] Server is ready


# NATS Streamingのログは以下の通り
$ kubectl logs stan-0
[1] 2020/12/28 04:51:02.605219 [INF] STREAM: Starting nats-streaming-server[stan] version 0.16.2
[1] 2020/12/28 04:51:02.605250 [INF] STREAM: ServerID: TgyiHElDc171yiUZ30g5pL
[1] 2020/12/28 04:51:02.605254 [INF] STREAM: Go version: go1.11.13
[1] 2020/12/28 04:51:02.605258 [INF] STREAM: Git commit: [910d6e1]
[1] 2020/12/28 04:51:02.631773 [INF] STREAM: Recovering the state...
[1] 2020/12/28 04:51:02.631932 [INF] STREAM: No recovered state
[1] 2020/12/28 04:51:02.883723 [INF] STREAM: Message store is FILE
[1] 2020/12/28 04:51:02.883738 [INF] STREAM: Store location: /data/stan/store
[1] 2020/12/28 04:51:02.883770 [INF] STREAM: ---------- Store Limits ----------
[1] 2020/12/28 04:51:02.883774 [INF] STREAM: Channels:                  100 *
[1] 2020/12/28 04:51:02.883778 [INF] STREAM: --------- Channels Limits --------
[1] 2020/12/28 04:51:02.883781 [INF] STREAM:   Subscriptions:          1000 *
[1] 2020/12/28 04:51:02.883785 [INF] STREAM:   Messages     :       1000000 *
[1] 2020/12/28 04:51:02.883788 [INF] STREAM:   Bytes        :     976.56 MB *
[1] 2020/12/28 04:51:02.883791 [INF] STREAM:   Age          :     unlimited *
[1] 2020/12/28 04:51:02.883795 [INF] STREAM:   Inactivity   :     unlimited *
[1] 2020/12/28 04:51:02.883798 [INF] STREAM: ----------------------------------
[1] 2020/12/28 04:51:02.883802 [INF] STREAM: Streaming Server is ready

インストールが完了したので、簡単な動作確認を行います。

NATSはnats-boxというコンテナイメージを用意しており、これを利用することでNATSの各コマンドを実行することができます。

# nats-boxコンテナの起動
$ kubectl run -i --rm --tty nats-box --image=synadia/nats-box --restart=Never
If you dont see a command prompt, try pressing enter.
nats-box:~#


# バックグラウンドでSubscriberを起動
nats-box:~# nats-sub -s nats hello &
nats-box:~# Listening on [hello]


# Publisherからメッセージを送信
nats-box:~# nats-pub -s nats hello world
[#1] Received on [hello]: 'world'


# PublisherからNATS Streamingへメッセージ送信
nats-box:~# stan-pub -s nats -c stan hello world
Published [hello] : 'world'


# NATS Streamingからも送られたメッセージが確認できる
nats-box:~# stan-sub -s nats -c stan hello
Connected to nats clusterID: [stan] clientID: [stan-sub]
Listening on [hello], clientID=[stan-sub], qgroup=[] durable=[]
[#1] Received: sequence:1 subject:"hello" data:"world" timestamp:1609131378713322197


# NATS Streaming Podでは以下のようなログが確認できる
$ kubectl logs stan-0 -f

[1] 2020/12/28 04:56:18.713310 [INF] STREAM: Channel "hello" has been created

NATSはその他にも複数のツールを提供しており、例えばnats-topコマンドを実行するとNATS Serverのモニタリングを行うことができます。

nats-box:~# nats-top -s nats

NATS server version 2.1.7 (uptime: 8m24s)
Server:
  Load: CPU:  0.0%  Memory: 9.9M  Slow Consumers: 0
  In:   Msgs: 26  Bytes: 1022  Msgs/Sec: 0.0  Bytes/Sec: 0
  Out:  Msgs: 25  Bytes: 985  Msgs/Sec: 0.0  Bytes/Sec: 0

Connections Polled: 3
  HOST                  CID    NAME                SUBS    PENDING     MSGS_TO     MSGS_FROM   BYTES_TO    BYTES_FROM  LANG     VERSION  UPTIME   LAST ACTIVITY
  192.168.1.45:56406    1      _NSS-stan-send      0       0           0           8           0           159         go       1.8.1    7m57s    2020-12-28 08:45:11.674703256 +0000 U  192.168.1.45:56408    2      _NSS-stan-general   8       0           8           5           361         461         go       1.8.1    7m57s    2020-12-28 08:45:11.677642417 +0000 U  192.168.1.45:56410    3      _NSS-stan-acks      0       0           4           0           36          0           go       1.8.1    7m57s    2020-12-28 08:45:11.673086331 +0000 U

またNATSはモニタリング機能を提供しており、以下のようにPort: 8222からアクセスすることで、各種設定やメッセージ受信数などを確認することができます。

$ kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)                                                 AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP                                                 2d20h
nats         ClusterIP   None         <none>        4222/TCP,6222/TCP,8222/TCP,7777/TCP,7422/TCP,7522/TCP   44s
stan         ClusterIP   None         <none>        7777/TCP                                                27s

# ポートフォワーディング
$ kubectl port-forward svc/nats 8222:8222 &
[1] 10071

Forwarding from [::1]:8222 -> 8222

例えばlocalhost:8222/subszにアクセスすると、Subscriptionの数などが表示されます。

NATSを利用する

NATS/NATS Streamingの起動確認ができたので、クライアントライブラリからNATS Serverを利用してみます。今回はnats.goというGoのライブラリに含まれているサンプルプログラムを実行していきます。

まずはnat.goパッケージを入手します。Goのバージョンが古いと取得できないことがあるので、必要があればバージョンアップを実施します。

$ go version
go version go1.15.6 linux/amd64

$ go get github.com/nats-io/nats.go/

また以降の操作ではlocalhostからNATS Serverにアクセスするため、kubectl port-forwardコマンドによりNATSへアクセスできるようにします。

$ kubectl port-forward svc/nats 4222:4222 &
[2] 10088
$ Forwarding from 127.0.0.1:4222 -> 4222
Forwarding from [::1]:4222 -> 4222

NATS Pub/Sub

まずはPub/Subパターンを実行します。ここではPublisher1つ、Subscriber 3つを起動し、それぞれにメッセージが配信される様子を確認します。

まずは1つ目のSubscriberを起動します。ここではmsg.testというSubjectを指定します。

# Subscriber-1
$ cd $GOPATH/src/src/github.com/nats-io/nats.go/examples
$ go run nats-sub/main.go msg.test
Listening on [msg.test]

次に別のターミナルを用意し、Publisherを起動、メッセージを送信します。

# Publisher
# “hello”メッセージを送信
$ cd $GOPATH/src/src/github.com/nats-io/nats.go/examples
$ go run nats-pub/main.go msg.test hello

# “NATS MESSAGE”メッセージを送信
$ go run nats-pub/main.go msg.test "NATS MESSAGE"

Publisherからメッセージを送信すると、Publisher側では送信したことを示すメッセージが表示され、Subscriber側ではメッセージの受け取りが確認できます。

# Publisher
Published [msg.test] : 'hello'
Published [msg.test] : 'NATS MESSAGE'


# Subscriber-1
[#1] Received on [msg.test]: 'hello'
[#2] Received on [msg.test]: 'NATS MESSAGE'

次に新しいターミナルを開き、2つ目のSubscrierを起動します。ここでもmsg.testSubjectを指定します。

# Subscriber-2
$ cd $GOPATH/src/src/github.com/nats-io/nats.go/examples
$ go run nats-sub/main.go msg.test
Listening on [msg.test]

この状態でPublisherからメッセージを送信すると、2つのSubscriberへメッセージが送信されることが確認できます。

# Publisher
$ go run nats-pub/main.go msg.test "NATS MESSAGE 2"
Published [msg.test] : 'NATS MESSAGE 2'

# Subscriber-1
[#3] Received on [msg.test]: 'NATS MESSAGE 2'

# Subscriber-2
[#1] Received on [msg.test]: 'NATS MESSAGE 2'

ここでmsg.test.newという別のSubjectを指定したSubscriberを起動します。

# Subscriber-3
$ cd $GOPATH/src/src/github.com/nats-io/nats.go/examples
$ go run nats-sub/main.go msg.test.new
Listening on [msg.test.new]

ここで再びPublisherからメッセージを送信すると、今回はSubscriber-3はメッセージを受け取らない様子が確認できます。これはSubscriberで指定したmsg.test.newというSubjectが、Publisherがメッセージ送信時に指定したmsg.testというSubjectと一致しなかったためです。

# Publisher
$ go run nats-pub/main.go msg.test "NATS MESSAGE 3"
Published [msg.test] : 'NATS MESSAGE 3'

# Subscriber-1
[#4] Received on [msg.test]: 'NATS MESSAGE 3'

# Subscriber-2
[#2] Received on [msg.test]: 'NATS MESSAGE 3'

# Subscriber-3

(no message)

ここでSubscriber-3を一度停止し、起動時に指定するSubjectをmsg.*に変更します。今度はSubjectにワイルドカードを含み、先ほどPublisherが指定したmsg.testが条件に一致するため、メッセージを受け取る様子が確認できます。

# Subscriber-3を停止、再起動
$ go run nats-sub/main.go msg.test.new
Listening on [msg.test.new]

^Csignal: interrupt

$ go run nats-sub/main.go msg.*
Listening on [msg.*]


# Publisher
$ go run nats-pub/main.go msg.test "NATS MESSAGE 4"
Published [msg.test] : 'NATS MESSAGE 4'

# Subscriber-1
[#5] Received on [msg.test]: 'NATS MESSAGE 4'

# Subscriber-2
[#3] Received on [msg.test]: 'NATS MESSAGE 4'

# Subscriber-3
[#1] Received on [msg.test]: 'NATS MESSAGE 4'

なお、NATSを起動する際に特定のオプションを指定することで、NATS Server側でログを出力することができます。例えば-Vオプションを追加すると、Subscriber・Publisher間でやり取りが発生した際、以下のようにログが出力されます。

single-server-nats.yaml

        command:
         - "nats-server"
         - "-V"  # 追加
         - "--config"
         - "/etc/nats-config/nats.conf"

$ kubectl logs nats-0 -f
# NATS Server起動時のログ
[7] 2020/12/29 04:42:11.784867 [INF] Starting nats-server version 2.1.7
[7] 2020/12/29 04:42:11.784895 [INF] Git commit [bf0930e]
[7] 2020/12/29 04:42:11.785860 [INF] Starting http monitor on 0.0.0.0:8222
[7] 2020/12/29 04:42:11.785910 [INF] Listening for client connections on 0.0.0.0:4222
[7] 2020/12/29 04:42:11.785919 [INF] Server id is NDK7LIGLOBR5MC5DOJKNVHHTUOBZWIMJRVXBRNNDFNHM5UKUZKJPZ6ST
[7] 2020/12/29 04:42:11.785923 [INF] Server is ready



# Subscriber-1起動時
[7] 2020/12/29 04:43:35.461255 [TRC] 127.0.0.1:38544 - cid:1 - <<- [CONNECT {"verbose":false,"pedantic":false,"tls_required":false,"name":"NATS Sample Subscriber","lang":"go","version":"1.11.0","protocol":1,"echo":true,"headers":false,"no_responders":false}]
[7] 2020/12/29 04:43:35.461364 [TRC] 127.0.0.1:38544 - cid:1 - <<- [PING]
[7] 2020/12/29 04:43:35.461372 [TRC] 127.0.0.1:38544 - cid:1 - ->> [PONG]
[7] 2020/12/29 04:43:35.471896 [TRC] 127.0.0.1:38544 - cid:1 - <<- [SUB msg.test  1]
[7] 2020/12/29 04:43:35.471916 [TRC] 127.0.0.1:38544 - cid:1 - <<- [PING]
[7] 2020/12/29 04:43:35.471921 [TRC] 127.0.0.1:38544 - cid:1 - ->> [PONG]
[7] 2020/12/29 04:43:37.787668 [TRC] 127.0.0.1:38544 - cid:1 - ->> [PING]
[7] 2020/12/29 04:43:37.798709 [TRC] 127.0.0.1:38544 - cid:1 - <<- [PONG]



# Publisher起動・メッセージ送信時
[7] 2020/12/29 04:44:02.334750 [TRC] 127.0.0.1:38702 - cid:2 - <<- [CONNECT {"verbose":false,"pedantic":false,"tls_required":false,"name":"NATS Sample Subscriber","lang":"go","version":"1.11.0","protocol":1,"echo":true,"headers":false,"no_responders":false}]
[7] 2020/12/29 04:44:02.334822 [TRC] 127.0.0.1:38702 - cid:2 - <<- [PING]
[7] 2020/12/29 04:44:02.334829 [TRC] 127.0.0.1:38702 - cid:2 - ->> [PONG]
[7] 2020/12/29 04:44:02.345670 [TRC] 127.0.0.1:38702 - cid:2 - <<- [SUB msg.test  1]
[7] 2020/12/29 04:44:02.345694 [TRC] 127.0.0.1:38702 - cid:2 - <<- [PING]
[7] 2020/12/29 04:44:02.345700 [TRC] 127.0.0.1:38702 - cid:2 - ->> [PONG]
[7] 2020/12/29 04:44:04.424048 [TRC] 127.0.0.1:38702 - cid:2 - ->> [PING]
[7] 2020/12/29 04:44:04.437254 [TRC] 127.0.0.1:38702 - cid:2 - <<- [PONG]

NATS Request/Reply

次にRequest/Replyパターンを実行します。ここではPublisher/Subscriberを一つずつ起動し、Publisherからメッセージを送信するとResponseが返ってくる様子を確認します。

まずはSubscriberを起動します。ここではhelp.pleaseというSubjectを設定し、またResponseメッセージも設定します。

# Subscriber
$ go run nats-rply/main.go help.please "OK, I CAN HELP!"
Listening on [help.please]

次にPublisherを起動し、同一のSubjectとRequestメッセージを指定します。

# Publisher
$ go run nats-req/main.go help.please "I need help!"

Publisherがメッセージを送信すると、Subscriberがメッセージを受け取る様子に加え、Publisher側でResponseメッセージが表示されることが確認できます。

# Subscriber
[#1] Received on [help.please]: 'I need help!'


# Publisher
Published [help.please] : 'I need help!'
Received  [_INBOX.g672l3mO17Q5MuaBrdZalB.roViAMQe] : 'OK, I CAN HELP!'  # Response Message

NATS Queueing

最後にQueueingパターンを実行します。ここでは複数のSubscriberを起動してQueue Groupを構成し、Publisherからのメッセージが各Subscriberに分散されて送られる様子を確認します。

まずは2つのSubscriberをQueue Groupを与えて起動します。

# Subscriber-1 (Queue Group)
$ go run nats-qsub/main.go foo my-queue
Listening on [foo], queue group [my-queue]

# Subscriber-2 (Queue Group)
$ go run nats-qsub/main.go foo my-queue
Listening on [foo], queue group [my-queue]

次にQueue Groupを指定せず、先ほどと同じSubjectを指定したSubscriberを起動します。

# Subscriber-3 (No Queue Group)
go run nats-sub/main.go foo
Listening on [foo]

この状態でPublisherからメッセージが送られると、Queue Groupに属するSubscriberはメッセージが分散されて送られますが、Queue Groupに属さないSubscriberは全てのメッセージが配信されます。

# Publisher
$ go run nats-pub/main.go foo "Hello NATS-1"

# 同様のメッセージを計5回送信する
$ go run nats-pub/main.go foo "Hello NATS-5"


# Subscriber-1 (Queue Group)
[#1] Received on [foo] Queue[my-queue] Pid[11326]: 'Hello NATS-3'
[#2] Received on [foo] Queue[my-queue] Pid[11326]: 'Hello NATS-4'


# Subscriber-2 (Queue Group)
[#1] Received on [foo] Queue[my-queue] Pid[11392]: 'Hello NATS-1'
[#2] Received on [foo] Queue[my-queue] Pid[11392]: 'Hello NATS-2'
[#3] Received on [foo] Queue[my-queue] Pid[11392]: 'Hello NATS-5'


# Subscriber-3 (No Queue Group)
[#1] Received on [foo]: 'Hello NATS-1'
[#2] Received on [foo]: 'Hello NATS-2'
[#3] Received on [foo]: 'Hello NATS-3'
[#4] Received on [foo]: 'Hello NATS-4'
[#5] Received on [foo]: 'Hello NATS-5'

参考ドキュメント

• NATS公式ドキュメント

• Kekeの日記 - NATS on Kubernetesのいろは。メッセージセマンティックからPrometheus、Grafanaによるモニタリングまで

• SlideShare - with NATS with Kubernetesの世界へ

• SlideShare - The Zen of High Performance Messaging with NATS