Os clusters do Anthos no VMware agora são o Google Distributed Cloud (somente software) para VMware. Para mais informações, consulte a visão geral do produto.

Ativar porta somente leitura do Kubelet

Visão geral

Neste documento, mostramos como implantar um DaemonSet com privilégios em cada nó do Google Distributed Cloud para modificar os parâmetros do kubelet a fim de ativar portas somente leitura. Na versão 1.16 e posteriores, a porta somente leitura do kubelet está desativada por padrão.

Pré-requisito

Verifique se o Google Distributed Cloud está íntegro antes de executar o script de patch a seguir. É possível usar essa solução para corrigir clusters de administrador e clusters de usuário a partir da versão 1.16.

Criar um arquivo DaemonSet

Crie e salve um arquivo DaemonSet chamado patch.yaml no diretório atual, com o seguinte conteúdo:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: onprem-node-patcher
  namespace: kube-system
spec:
  selector:
    matchLabels:
      name: onprem-node-patcher
  updateStrategy:
    type: RollingUpdate
  template:
    metadata:
      labels:
        name: onprem-node-patcher
    spec:
      tolerations:
      - operator: Exists
      volumes:
      - name: host
        hostPath:
          path: /
      hostPID: true
      initContainers:
      - name: read-only-patcher
        image: "ubuntu"
        env:
        - name: KUBELET_READONLY_PORT
          value: "10255"
        # Number of 1G hugepages. Update the value as desired.
        command:
        - /bin/bash
        - -c
        - |
          set -xeuo pipefail
          configfile="/host/var/lib/kubelet/config.yaml"
          kubeletservice="/host/etc/systemd/system/kubelet.service"
          # $1: The read-only port for the kubelet to serve on with no
          #     authentication/authorization (set to 0 to disable)
          function set-readonly-port-in-config() {
            [[ "$#" -eq 1 ]] || return
            local readonlyport; readonlyport="$1"
            local actual; actual="$(grep readOnlyPort "${configfile}")"
            if [[ "${actual}" == "" ]]; then
              echo "readOnlyPort: ${readonlyport}" >> "${configfile}"
            else
              sed -E -i 's/readOnlyPort: [0-9]+/readOnlyPort: '"${readonlyport}"'/g' ${configfile}
            fi
            echo "Successfully append readOnlyPort: ${readonlyport} to ${configfile}"
          }
          sed -E -i 's/--read-only-port=[0-9]+/--read-only-port='"${KUBELET_READONLY_PORT}"'/g' ${kubeletservice}
          [[ -f ${configfile} ]] && set-readonly-port-in-config "${KUBELET_READONLY_PORT}"
          echo "Restarting kubelet..."
          chroot /host nsenter -a -t1 -- systemctl daemon-reload
          chroot /host nsenter -a -t1 -- systemctl restart kubelet.service
          echo "Success!"
        volumeMounts:
        - name: host
          mountPath: /host
        resources:
          requests:
            memory: 5Mi
            cpu: 5m
        securityContext:
          privileged: true
      containers:
      - image: gcr.io/google-containers/pause:3.2
        name: pause
      # Ensures that the pods will only run on the nodes having the correct
      # label.
      nodeSelector:
        "kubernetes.io/os": "linux"

Atualizar o número da porta somente leitura

Para alterar o número da porta, edite manualmente a variável de ambiente KUBELET_READONLY_PORT no YAML do DaemonSet.
A porta somente leitura padrão é 10255. Não escolha 10250 porque ela vai entrar em conflito com a porta segura predefinida.

Aplicar patch ao cluster de administrador

   kubectl apply -f patch.yaml \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Aplicar patch ao cluster de usuário

   kubectl apply -f patch.yaml \
    --kubeconfig USER_CLUSTER_KUBECONFIG

Restaurar

Para desativar a porta somente leitura, edite manualmente a variável de ambiente KUBELET_READONLY_PORT no YAML de DaemonSet.
Depois de salvar as alterações, o DaemonSet será executado novamente para modificar o kubelet de acordo.

Advertências

Esse patch tem o mesmo ciclo de vida dos apps de terceiros instalados. É possível executá-lo a qualquer momento como uma operação de segundo dia. No entanto, talvez ele não persista depois que você recriar o cluster. Para tornar essa alteração persistente, implante esse DaemonSet como uma etapa na ação pós-inicialização do Google Distributed Cloud.
Depois de executado uma vez, o arquivo de configuração do kubelet deve ser modificado e recarregado. É possível executar kubectl delete -f patch.yaml com segurança para limpar recursos do DaemonSet.
O Google Distributed Cloud em execução no Windows não dá suporte a esse patch.
O Kubernetes não executa nenhuma verificação de autenticação ou autorização nessa porta não segura 10255. Se ela for ativada, os dados do kubelet ficarão desprotegidos e expostos a usuários não autorizados. O kubelet disponibiliza o mesmo endpoint na porta mais segura e autenticada 10250. Considere migrar para essa porta segura.