kubernetesで実践するクラウドネイティブDevOps

これは定期的に書いてる読書感想？兼インプット用のブログです。 詳しくは aboutページをご覧ください。

LivenessとReadinessについて

この辺はいつも何となく適当にSpecに書いたり書かなかったりしているので両方の違いやできることをちゃんと知れてよかったなと思います。 読んでみると結構使い分けやそもそも書かなくてもいい場合などが分かってきたので、メモ代わりに書いておきます。

liveness probeはinitialDelaySecondで最初何秒間か待ってからリクエストを送ることができます。 Liveness probeはWebの場合は基本的にはhttpを使うのが基本なわけですが、commandを指定してそのcommandのexit codeが0かどうかでチェックすることもできるみたいです。 書き方は以下の通り

livenessProbe:
  httpGet:
    path: /healthz
    port: 8888
  initialDelaySeconds: 3
  periodSeconds: 3

他にcommandを指定するなら以下の通り

livenessProbe:
  exec:
    command:
    - cat
    - /tmp/healthy

Readinessはサービスと途中でリクエストを受け付けられない状態になった場合に回復するために使うのがよさそう。 新しいContainerを作成して回復しようと思う場合はLivenessだけでいいのかも？ 正直Containerを再起動するような処理を作成するのは難しそうなので、普通のAPIについてはLivenessだけ指定しておくとよいのか？ 本には初期プロセス起動中にまだReadinessではないと返すのがいいと書いてあった。 下のコードは初期化をゴルーチンで起動しているが、もし別スレッドで動かしていればLivenessもエラーになってしまうことに注意。

func healthz(w http.ResponseWriter, r *http.Request) {
  fmt.Fprintf(w, "OK")
}

func readiness(w http.ResponseWriter, r *http.Request) {
  if initialized /* 初期化が終わっているかどうか */ {
    fmt.Fprintf(w, "OK")
  } else {
    w.WriteHeader(500)
    fmt.Fprintf(w, "NG")
  }
}

func main() {
  go initialize() // 重たい処理

  http.HandlerFunc("/healthz", healthz)
  http.HandlerFUnc("/readiness", readiness)
  http.ListenAndServe(":8000", nil)
}

Secretについて

僕は現在のところk8sはバイトくらいにしか使っていないので、あまりSecretファイルを触る権限をもらえていません。 なので、今のところあまり触る機会はないのですが、せっかくだからこの本を読んだついでに覚えておこうと思ったのでメモっておきます。

Secretはユーザから見るとbase64で暗号化されているだけなので簡単に複合か出来る。 そのため、k8sのRBACをうまく利用して見れる人と見れない人を区別する必要がある。 個人でやる分にはGitに暗号化して保存するで十分行けそう。 チーム開発でやる場合には複合鍵をどのように管理するかを決めておいて、Wikiとかに書いておくのがよさそう。

Gitなどで共有化する場合は、sopsのようなツールの使い方が紹介されていた。 これはyamlのキーはそのままで値だけを暗号化するツールでレビューとかをするときもキーがあっているかを見ることができるので結構便利そう。

そのほか普通に覚えておこうと思ったもの

基本的にはlatestタグは使わずにバージョン管理されているタグを固定して運用しましょう。 いつもDockerfileでビルドするときはタグを指定せずにやってしまっているが、これは危ないのでタグはちゃんと指定するようにしよう。(自戒)

これについては触ったことが無いので感じだけ知っときたいなと思ってメモってます。 また、興味出てくるか必要になったらちゃんと調べよう。