Esta documentación es para la versión más reciente de Knative serving, que usa flotas y Anthos Service Mesh. Obtén más información.

La versión anterior (Cloud Run for Anthos) se archivó, pero la documentación permanece disponible para los usuarios existentes.

Versiones disponibles

Más reciente
Archivo

Protege con GKE Sandbox

En este documento, se describe cómo configurar Knative serving que se ejecuta en Google Kubernetes Engine (GKE) para usar GKE Sandbox para mejorar el aislamiento de las cargas de trabajo del kernel del host.

Objetivos

Obtén más información para habilitar GKE Sandbox en tu clúster de Knative serving.
Implementa un servicio especificado para que se ejecute en nodos con zona de pruebas.

Costos

En este documento, usarás los siguientes componentes facturables de Google Cloud:

Knative serving

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Antes de comenzar

En este instructivo, se supone que tienes Knative serving instalado y configurado en tu clúster.
Asegúrate de que el entorno de la línea de comandos esté configurado y que las herramientas estén actualizadas:
- Clústeres de GKE en Google Cloud.
- Clústeres de GKE fuera de Google Cloud

Agrega un grupo de nodos de GKE Sandbox a un clúster de Knative serving existente

Sigue los pasos para agregar un grupo de nodos habilitado para usar GKE Sandbox a tu clúster de Knative serving existente. Aquí es donde se ejecutan las cargas de trabajo que habilitas para usar GKE Sandbox.

Implementa una carga de trabajo en el grupo de nodos de GKE Sandbox

Una vez que tengas un clúster de GKE con un grupo de nodos habilitado para GKE Sandbox, actualiza la configuración de Knative serving. Además, actualiza cada especificación del servicio para usar los nodos nuevos. Estas actualizaciones son necesarias una sola vez.

Habilita la marca de función de la clase del entorno de ejecución

En esta sección, habilitarás la clase del entorno de ejecución de Kubernetes mediante la función de Knative y las marcas de extensión en el ConfigMap config-features en el espacio de nombres knative-serving. Para habilitar la clase de tiempo de ejecución, establece la marca ConfigMap kubernetes.podspec-runtimeclassname en enabled. Para obtener más información, consulta Clase del entorno de ejecución de Kubernetes y Configura marcas en la documentación de Funciones y extensiones de Knative.

Abre el ConfigMap config-features para editar:

kubectl edit configmap config-features -n knative-serving

Agrega la marca de función kubernetes.podspec-runtimeclassname: enabled al campo data.

Como alternativa a los pasos anteriores, puedes ejecutar el siguiente comando para aplicar un parche a esta marca en tus funciones de Knative:

kubectl patch configmap config-features \
    --type='json' \
    -p="[{'op': 'replace', 'path': '/data/kubernetes.podspec-runtimeclassname', 'value': 'enabled'}]" \
    -n knative-serving

Para verificar tus ediciones, ejecuta el siguiente comando para ver el ConfigMap:

kubectl get configmap config-features -n knative-serving -o yaml

El ConfigMap debería parecerse al siguiente:

apiVersion: v1
kind: ConfigMap
metadata:
    name: config-features
    namespace: knative-serving
    labels:
        serving.knative.dev/release: v0.22.0
data:
    kubernetes.podspec-runtimeclassname: enabled

Implementa un servicio configurado para ejecutarse en GKE Sandbox

Después de habilitar la marca de función de la clase de entorno de ejecución, puedes crear objetos Service que especifiquen un runtimeClassName en la especificación. Establece runtimeClassName en gvisor para indicar que un servicio debe ejecutarse en el grupo de nodos de GKE Sandbox.

Implementa una aplicación de Knative “Hello World” mediante la ejecución del siguiente comando:

cat <<EOF | kubectl apply -f -
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
    name: helloworld-go
spec:
    template:
        spec:
            runtimeClassName: gvisor
            containers:
                -   image: gcr.io/knative-samples/helloworld-go
                    env:
                    -   name: TARGET
                        value: "gVisor User"
EOF

Si la función de nombre de clase del entorno de ejecución de Kubernetes está habilitada, el comando debería terminar sin errores.

Obtén los Pods para tu servicio en ejecución y su clase de entorno de ejecución configurada mediante la ejecución del siguiente comando:

kubectl get pods \
    -o=custom-columns='NAME:.metadata.name,RUNTIME CLASS:.spec.runtimeClassName,STATUS:.status.phase'

El resultado debe parecerse al siguiente:

NAME                                              RUNTIME CLASS   STATUS
helloworld-go-00001-deployment-55f58477f-fxm6m    gvisor          Running

¿Qué sigue?

Después de verificar que puedes implementar apps no confiables en el grupo de nodos de GKE Sandbox recién creado, estás listo para agregar runtimeClassName: gvisor a las especificaciones de Kubernetes de otros servicios no confiables que desees ejecutar en los Pods del nodo de GKE Sandbox.

Lecturas adicionales:

Documentación de GKE Sandbox para comprender las limitaciones que pueden romper la compatibilidad con algunos servicios.
Documentación de gVisor sobre la implementación de servicios de Knative para obtener una guía más detallada sobre la implementación de apps de Knative en gVisor (también llamada GKE Sandbox).