Service Catalog(服务目录)是Kubernetes社区的孵化项目Kubernetes Service Catalog Project,旨在接入和管理第三方提供的Service Broker,使kubernetes上托管的应用可以使用service broker所代理的外部服务。
本文将介绍Service Catalog的架构以及如何在OpenShift Origin环境中部署和使用Service Catalog。
Service Catalog技术原理
Service Catalog项目是基于k8s的OSB API实现,为k8s提供了如下功能:
- 注册第三方提供的Service Broker到k8s
- 将Service Broker所代理的服务(或者服务的变体),提供给k8s的用户
- k8s用户可以发现可用的服务
- k8s用户可以请求创建新的服务实例
- k8s用户可以将服务实例绑定到一组pod上面
Service Catalog的架构如下所示:
图1
Service Catalog由API Server和Controller这两个基本的组件构成,设计上与K8S的其它组件是类似的:
- API Server,API Server是用于存储组件的HTTP RESTFul前端,用户与Controller通过与API Server交互来完成对Service Catalog资源的GRUD操作;例如,用户在命令行执行kubectl get clusterservicebroker时,就是通过Service Catalog API server来获取ClusterServiceBroker资源的列表;API Server后端的存储目前只支持etcd,但是在设计上是完全解耦的,API Server的rest.storage接口抽象未来会添加对第三方资源(TPRs)的支持(Github Issues);
- Controller,Controller实现了Service Catalog的行为,它监控API资源的变化(通过不断watch来自API server的事件流),并采取相应的动作使API资源的当前状态与用户期望的最终状态相一致;例如,当用户创建一个ClusterServiceBroker资源时,API Server将在Etcd里存入一个资源并产生一个事件,然后Controller将接受这个事件并从该资源所指向的Service Broker中请求Catalog信息;
Service Catalog为k8s增加了如下的API Resources:
- ClusterServiceBroker, 代表Service Broker,封装了broker的连接信息
- ClusterServiceClass, 代表特定Service Broker所提供的服务;当增加一个新的ClusterServiceBroker资源到集群时,service catalog的controller会连接Service Broker并获取可用服务的列表
- ClusterServicePlan,代表服务的套餐,其定义了服务的SLA,一个服务可以有多个套餐;当增加一个ClusterServiceBroker资源到集群时,service catalog会创建一个ClusterServicePlan资源来适配对应的每一个服务的所有可用服务套餐(Service Plan)
- ServiceInstance,代表一个服务实例;当一个ServiceInstance资源被创建时,Service Catalog Controller会连接对应的Service Broker并命令broker去创建一个新的服务实例
- ServiceBinding,代表服务实例与应用(Application)的一次绑定;创建之后,Service Catalog Controller会创建一个包含服务实例的连接与认证信息的Kubernetes Secret,并挂载到应用的pod上
Service Catalog的API Resources与Application及Service Broker的关系见下图:
图2
OpenShift Origin从3.6版本开始提供Service Catalog的Technical Preview版本(对应k8s 1.6.3上的alpha版本), 用户可以在自己的PaaS环境中试用Service Catalog特性。
下面将以OpenShift Origin 3.6为基础,讨论如何使用Service Catalog。
在OpenShift Origin环境启用Service Catalog
OpenShift Origin3.6的默认部署不会启用Service Catalog,需要用户在部署集群时在OpenShift Origin的Ansible hosts文件里进行显式指定,具体配置(写在在[OSEv3:vars]下面)如下:
openshift_enable_service_catalog=true openshift_service_catalog_image_prefix=openshift/origin- openshift_service_catalog_image_version=v3.6.0
集群部署完成之后,可以在OpenShift Origin Console上看到Service Catalog页面,里面列出了即集群中所有Service Broker所提供的所有服务的图标(启用Service Catalog之后,OpenShift Origin会默认启动由OpenShift官方提供Template Service Broker,它提供了一些诸如.NET/Ruby/Python运行时环境,Redis, MongoDB之类的通用服务):
图3(可以看到OC的页面提示Technical Preview Enable)
对于已经部署好的OpenShift集群,可以修改hosts文件之后重新执行ansible-playbook命令开启Service Catalog。
通过Service Catalog管理外部服务
在OpenShift 3.6中,可以通过oc create命令创建Service Catalog相关的资源:
- 创建service broker
oc create -f ./broker.yml
Service Broker的资源定义模版如下:
apiVersion: servicecatalog.k8s.io/v1alpha1
kind: Broker
metadata:
name: <broker name> //Service Broker的名字
spec:
url: <broker URL> //Service Broker的endpoint, catalog通过它来连接Service Broker
authInfo:
basicAuthSecret:
kind: Secret
namespace: <namespace name> //添加Service Broker的namespace
name: <secret name> //存储Service Broker认证信息的k8s secret name
- 查看已经注册的service broker
图4
添加Service Broker之后就可以在OpenShift Origin Console的Service Catalog页面(参见图3)看到新注册的Service Broker所提供的服务的图标;也可以在后台用oc命令(oc get serviceclass)查看新注册的Service Broker所提供的服务的列表。
- 创建服务实例
oc create -f ./instance.yml
Service Instance的资源定义模版如下:
apiVersion: servicecatalog.k8s.io/v1alpha1
kind: Instance
metadata:
name: <service instance name> //创建的Service Instance名称
namespace: <namespace name> //创建Service Instance的namespace
spec:
serviceClassName: <service class name> //Service Instance的服务名,即创建的是何种服务的实例
planName: <service plan name> //服务的套餐名,规定了服务实例的SLA
parameters:
xxx: xxx //传给Service Broker的provision参数列表
- 查看服务实例
图5
- 绑定服务实例
oc create -f ./binding.yml
Service binding的资源定义模版如下:
apiVersion: servicecatalog.k8s.io/v1alpha1
kind: Binding
metadata:
name: <binding name> //绑定名
spec:
instanceRef:
name: <service instance name> //服务实例名
secretName: <secret name> //存储服务实例连接和认证信息的k8s secret名
labels:
app: <application name> //需要绑定服务实例的应用名
parameters:
user_name: baikai //传给Service Broker的binding参数列表
- 删除绑定
oc delete -f ./instance.yml
- 删除服务实例
oc delete -f ./binding.yml
上述服务实例的创建,绑定,解绑定和删除,也可以通过OpenShift Origin Console进行操作,例如服务实例的绑定:
图6
值得注意的是,Service Catalog社区在2017年10月才支持service instance update(即OSB API的Patch接口), 并在Service Catalog临时版本v.0.0.24中合入(请参见github issue: Support updates to Instances)。目前OpenShift Origin 3.6 底层k8s采用1.6.3版本,尚未合入该patch,所以OpenShift Origin 3.6的Service Catalog所创建的服务实例不能进行扩容等更新操作。
Service Catalog REST API
在k8s的1.6.x版本中,Service Catalog的REST API如下:
(目前在1.6.x/1.7上的Service Catalog尚为alpha版本,与k8s 1.8上的beta版本的API以及部分Resource的命名方式略有区别)
- 创建服务实例
Route:
POST /apis/servicecatalog.k8s.io/v1alpha1/namespaces/<namespace name>/instances
Request header:
"Authorization: Bearer <user token>"
(在OpenShift Origin环境中,可以用过oc whoami -t命令获取当前用户的token)
Request Body:
{
"apiVersion": "servicecatalog.k8s.io/v1alpha1",
"kind": "Instance",
"metadata": {
"generateName": <service instance name>,
"namespace": <namespace name>
},
"spec": {
"parameters": {
// service instance parameters list
},
"planName": <plan name>,
"serviceClassName": <service class name>
}
}
(Service Catalog各API的request body与命令行创建Service Instance时用户提供的描述资源的yaml文件中字段一致,只是形式从ymal变成json罢了 :-) )
调用示例:
图7
- 获取服务实例列表
Route:
GET /apis/servicecatalog.k8s.io/v1alpha1/namespaces//instances
Request header:
"Authorization: Bearer <user token>"
(在OpenShift Origin环境中,可以用过oc whoami -t命令获取当前用户的token)
调用示例:
图8(items里就是当前namespace里所有service instance的列表)
- 绑定服务实例
Route:
POST /apis/servicecatalog.k8s.io/v1alpha1/namespaces/<namespace>/bindings
Request header:
"Authorization: Bearer <user token>"
(在OpenShift Origin环境中,可以用过oc whoami -t命令获取当前用户的token)
Request body:
{
"apiVersion": "servicecatalog.k8s.io/v1alpha1",
"kind": "Binding",
"metadata": {
"generateName": <binding name>
},
"spec": {
"instanceRef": {
"name": <service instance name to binding>
},
"parameters": {
//binding parameters list
},
"secretName": <secret to store service instance credentials>,
"labels": {
//label selector to get pod
}
}
}
调用示例:
图9
- 获取服务实例绑定列表
Route:
GET /apis/servicecatalog.k8s.io/v1alpha1/namespaces/<namespace name>/binding
Request header:
"Authorization: Bearer <user token>"
(在OpenShift Origin环境中,可以用过oc whoami -t命令获取当前用户的token)
调用示例:
图10(items里就是当前namespace里所有binding的列表)
- 删除绑定
Route:
DELETE /apis/servicecatalog.k8s.io/v1alpha1/namespaces/<namespace name>/bindings/<binding name>
Request header:
"Authorization: Bearer <user token>"
(在OpenShift Origin环境中,可以用过oc whoami -t命令获取当前用户的token)
调用示例:
图11
- 删除服务实例
Route:
DELETE /apis/servicecatalog.k8s.io/v1alpha1/namespaces/<namespace name>/instances/<service instance name>
Request header:
"Authorization: Bearer <user token>"
(在OpenShift Origin环境中,可以用过oc whoami -t命令获取当前用户的token)
调用示例:
图12
结论
目前Service Catalog项目尚处于k8s社区的孵化阶段,特性在不断的迭代和完善,API以及Resource的名称也在演化中,距离稳定和生产可用还有一段距离。在版本发布方面,k8s社区的1.6/1.7 release对应的service catalog的alpha版本,1.8 release对应service catalog的beta版本。
推荐大家去试用k8s的Service Catalog特性,通过Service Catalog把自己项目所需要依赖的服务集成到k8s环境中,这也是未来k8s社区主推的第三方服务管理方式。
参考
Service Catalog发布计划:kubernetes Service Catalog Project Roadmap
Service Catalog官方文档:Service Catalog docs
OpenShift官方文档:OpenShift Service Catalog
网友评论