Flannel+Etcd+Docker – Como criar e configurar uma sub-rede para fazer a comunicação entre containers Docker utilizando o Flannel

O objetivo deste tutorial é criar uma sub-rede utilizando o Flannel para fazer a comunicação entre os containers e consecutivamente entre aplicações, bancos de dados e etc.
E tem mais, se você vai criar um cluster com Kubernetes, CoreOS ou Docker Swarm+Compose é fundamental ter uma sub-rede para comunicação, e o Flannel é uma excelente opção; para não dizer a melhor.

Rede-Flannel

1. Introdução

Flannel é uma rede virtual (overlay network) utilizada para provisionar uma sub-rede para cada host do cluster; no nosso caso são hosts Docker.
Esta sub-rede vai permitir a alocação de ips para os containeres da rede.
O objetivo ao utilizar uma rede com Flannel é fazer a comunicação entre os containeres.

Quando você instala o Docker ele cria uma rede interna isolada, geralmente é uma rede 172.17.X.X. Se você tiver outros hosts Docker na rede os containeres não conseguirão se comunicar, por isto que precisamos do Flannel.

O Flannel utiliza como backend o Etcd para fazer o armazenamento das informações de rede. O Etcd é um sistema distribuído de armazenamento do tipo key=valor.

Então neste tutorial vamos utilizar o Flannel para fazer a comunição entre os containeres e o Etcd para o armazenamento das informações de rede.

2. Infraestrutura e pré-requisitos

Pré-requisitos.
* Docker instalado. Se preferir pode seguir este tutorial de instalação do Docker.
* 1 servidor para o Etcd.
* X servidores rodando o Docker. X são quantos hosts Docker você quiser.
* Sistema Operacional Centos 7 X86_64.

Infraestrutura deste Lab.

Etcd
etcd-01.devopslab.com.br

Hosts Docker
docker-engine-01.devopslab.com.br
docker-engine-02.devopslab.com.br
docker-engine-03.devopslab.com.br

3. Instalação do Etcd e definição de rede

Instalar o Etcd é fácil, você precisa apenas ter o repositório “extras” ativo no seu CentOS 7. O repositório extras já vem configurado mas de qualquer forma segue abaixo.

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras&infra=$infra
#baseurl=http://mirror.centos.org/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

Instalação do Etcd.

# yum install etcd

Altere o Bind do etcd para 0.0.0.0. Segue meu arquivo de configuração do etcd.

# cat /etc/etcd/etcd.conf |grep -v ^#

ETCD_NAME=default
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_CLIENT_URLS="http://0.0.0.0:2379"
ETCD_ADVERTISE_CLIENT_URLS="http://localhost:2379"

Habilite o startup e inicie o Etcd.

systemctl enable etcd.service
systemctl start.service

Libera a porta 2379/tcp no firewall.

# firewall-cmd –add-port=2379/tcp
# firewall-cmd --permanent --add-port=2379/tcp

3.1 – Definição de rede

Crie um arquivo .json em qualquer pasta e defina sua rede.
#vi flannel-config.json

{
    "Network": "10.0.0.0/16",
    "SubnetLen": 24,
    "Backend": {
        "Type": "vxlan",
        "VNI": 1
     }
}

Agora crie uma chave (key=valor) no etcd com as informações da rede.

# etcdctl set /redeinternadevopslab.com.br/network/config < flannel-config.json

Key – /redeinternadevopslab.com.br/network/config
Valor – Conteúdo do arquivo flannel-config.json

Faça um “get” para verificar a criação da key=valor.

# etcdctl get /redeinternadevopslab.com.br/network/config
{
    "Network": "10.0.0.0/16",
    "SubnetLen": 24,
    "Backend": {
        "Type": "vxlan",
        "VNI": 1
     }
}

Seu Etcd já está com a rede definida, o próximo passo é configurar o Flannel nos clientes.

4. Instalação e configuração do Flannel nos hosts Docker

Agora precisamos instalar o agente Flannel em todos os hosts Docker. O repositório é o “extras”, o mesmo utilizado na instalação do Etcd, que provavelmente já exista no seu Centos 7.

# yum install flannel

Configuração do Flannel.
Edite o arquivo “/etc/sysconfig/flanneld” e altere as variáveis
FLANNEL_ETCD = Servidor do Etcd.
FLANNEL_ETCD_KEY = Key definida no Etcd.

Segue meu arquivo.

# cat  /etc/sysconfig/flanneld | grep -v ^#
FLANNEL_ETCD="http://etcd-01.devopslab.com.br:2379"
FLANNEL_ETCD_KEY="/redeinternadevopslab.com.br/network"

Habilite o startup e inicie o Flanneld.

# systemctl enable flanneld
# systemctl start flanneld

Se tudo correu bem, você vai ter uma nova interface de rede no seu host.

# ip addr | grep flannel
4: flannel.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN 
    inet 10.0.82.0/16 scope global flannel.1

Verifique se foi criado o arquivo “/run/flannel/subnet.env”, pois nele consta as definições de rede que serão cosultadas pelo Docker.

# cat /run/flannel/subnet.env 
FLANNEL_NETWORK=10.0.0.0/16
FLANNEL_SUBNET=10.0.82.1/24
FLANNEL_MTU=1450
FLANNEL_IPMASQ=false

4.1 – Configuração do Docker para a utilização do Flannel

Vamos editar o arquivo de definição do serviço Docker e informar para utilizar a rede Flannel.
Você pode consultar o arquivo docker.service com o comando “systemctl status docker”.
O que precisa ser alterado são estes 2 campos:
EnvironmentFile=-/run/flannel/subnet.env

ExecStart=/usr/bin/docker daemon -H fd:// $OPTIONS $DOCKER_STORAGE_OPTIONS –bip=${FLANNEL_SUBNET} –mtu=${FLANNEL_MTU}

Segue meu arquivo “/usr/lib/systemd/system/docker.service”.
# cat /usr/lib/systemd/system/docker.service

[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network.target docker.socket
Requires=docker.socket

[Service]
Type=notify
EnvironmentFile=-/run/flannel/subnet.env
ExecStart=/usr/bin/docker daemon -H fd:// $OPTIONS $DOCKER_STORAGE_OPTIONS --bip=${FLANNEL_SUBNET} --mtu=${FLANNEL_MTU}
MountFlags=slave
LimitNOFILE=1048576
LimitNPROC=1048576
LimitCORE=infinity
TimeoutStartSec=0

[Install]
WantedBy=multi-user.target

Agora reinicie o Docker para ele pegar a nova rede.

# systemctl restart docker

Eu tive que reiniciar o Docker umas 3 ou 4 vezes para ele assumir a nova rede.
Ou se você preferir reinicie todo o host Docker.

# ip addr | grep docker
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN 
    inet 10.0.82.1/24 scope global docker0

Veja que agora existe a internface “docker0“.

5. Teste de comunicação entre containeres

Com o Flannel configurado, crie alguns containeres em hosts diferentes e faça teste de ping e telnet.
Cuidado com Firewall ativo nos hosts Docker pois pode bloquear sua comunicação. Crie as regras de Firewall ou simplesmente desative.

Teste 1.
Origem
Host Docker 1: 10.0.2.201
Container 1: 10.0.82.2

Destino:
Host Docker 2: 10.0.2.202
Container 2: 10.0.24.3

root@31bf8abfa529:/# ip a l eth0| grep inet' '
    inet 10.0.82.2/24 scope global eth0

root@31bf8abfa529:/# ping 10.0.24.3
PING 10.0.24.3 (10.0.24.3) 56(84) bytes of data.
64 bytes from 10.0.24.3: icmp_seq=1 ttl=62 time=6.25 ms
64 bytes from 10.0.24.3: icmp_seq=2 ttl=62 time=0.810 ms
64 bytes from 10.0.24.3: icmp_seq=3 ttl=62 time=1.72 ms

Teste 2.
Origem
Host Docker 2: 10.0.2.202
Container 2: 10.0.24.3

Destino:
Host Docker 1: 10.0.2.201
Container 1: 10.0.82.2

root@8b43f759f5d2:/# ip a l eth0| grep inet' '
    inet 10.0.24.3/24 scope global eth0

root@8b43f759f5d2:/# ping 10.0.82.2
PING 10.0.82.2 (10.0.82.2) 56(84) bytes of data.
64 bytes from 10.0.82.2: icmp_seq=1 ttl=62 time=4.77 ms
64 bytes from 10.0.82.2: icmp_seq=2 ttl=62 time=1.11 ms
64 bytes from 10.0.82.2: icmp_seq=3 ttl=62 time=1.18 ms

Teste 3.
Origem:
Host Docker 3: 10.0.2.203
Container 3: 10.0.81.3

Destino:
Host Docker 1: 10.0.2.201
Container 1: 10.0.82.2

root@c9c0a823ddf0:/# ip a l eth0| grep inet' '
    inet 10.0.81.3/24 scope global eth0

root@c9c0a823ddf0:/# ping 10.0.82.2
PING 10.0.82.2 (10.0.82.2) 56(84) bytes of data.
64 bytes from 10.0.82.2: icmp_seq=1 ttl=62 time=1.79 ms
64 bytes from 10.0.82.2: icmp_seq=2 ttl=62 time=1.15 ms
64 bytes from 10.0.82.2: icmp_seq=3 ttl=62 time=1.17 ms

Pronto! A comunicação entre seus containeres está funcionando, as aplicações vão alcançar umas às outras e sucesso.

Qualquer coisa estamos aí.

Leonardo Macedo Cerqueira

Como gerar pacotes .RPM – gere seu próprio pacote rpm

Uma excelente utilidade ao gerar seus próprios pacotes é a possibilidade de fazer upgrade e downgrade de aplicações com facilidade e agilizar as entregas em Dev, Qa, e Produção.
Hoje em dia com CI e CD é imprescindível que ao executar um deploy se tenha a possibilidade de rollback, isto é o básico.
Então neste tutorial vou demonstrar como gerar pacotes rpms, assim como o processo de instalação, upgrade e downgrade dos pacotes.

1. Criação de um usuário para gerar pacotes RPM
É opcional mas recomendo criar um usuário dedicado para o build de pacotes .rpm, neste tutorial eu criei o usuário “buildrpm”.

2. Instale os pacotes rpmdevtools e rpm-build

# yum -y install rpmdevtools rpm-build

3. Crie a árvore de diretórios para gerar o pacote

$ rpmdev-setuptree
$ ls -R rpmbuild/
rpmbuild/:
BUILD  RPMS  SOURCES  SPECS  SRPMS

Ou pode ser criado na mão.

$ mkdir rpmbuild
$ cd rpmbuild
$ mkdir BUILD RPMS SOURCES SPECS SRPMS

4. Vou criar um arquivo de repositório .repo, no caso é o “MEU-REPO.repo”

$ cd rpmbuild/SOURCES
$ mkdir -p repo-versao-1/etc/yum.repos.d
$ cp -v ~/MEU-REPO.repo repo-versao-1/etc/yum.repos.d

Foi criado um repositório qualquer no caso “MEU-REPO.repo”, mas poderia ser qualquer arquivo.
Criei uma pasta versionada “repo-versao-1”, sendo assim sugiro que a cada modificação altere a versão da pasta (repo-versao-1.1, repo-versao-1.2, repo-versao-2.0, …).

5. Gere o tarball da pasta “repo-versao-1”

$ cd rpmbuild/SOURCES
$ # tar cvzf repo-versao-1.tar.gz repo-versao-1

$ tar cvzf repo-versao-1.tar.gz repo-versao-1
repo-versao-1/
repo-versao-1/etc/
repo-versao-1/etc/yum.repos.d/
repo-versao-1/etc/yum.repos.d/MEU-REPO.repo

Este pacote .tar.gz será utilizado na definição do .spec logo abaixo.

6. Criação do arquivo .Spec
O arquivo .spec é onde serão definidas as informações para a gerar o pacote .rpm.

$ cd rpmbuild/SPECS
$ rpmdev-newspec  repo-versao-1.spec
$ cat repo-versao-1.spec
Name:           repo-versao
Version:        1
Release:        0
Summary:        Resumo Este e um repositorio repo devopslab bla bla bla

License:        GPL
URL:            http://repo.devopslab.com.br/repo/CentOS/
Source0:        repo-versao-1.tar.gz

BuildArch:	noarch
BuildRoot:	%{_tmppath}/%{name}-buildroot

%description
Escreva uma descricao para o pacote
Este e um novo repositorio bla bla bla

%prep
%setup -q

%install
mkdir -p $RPM_BUILD_ROOT
cp -R * $RPM_BUILD_ROOT

%files
%defattr(-,root,root,-)
/etc/yum.repos.d/MEU-REPO.repo

7. Gere o pacote utilizando as definições do arquivo .spec

$ cd rpmbuild/SPECS/
$ # rpmbuild -v -bb repo-versao-1.spec

buildrpm@rpmbuild-01 SPECS]$ rpmbuild -v -bb repo-versao-1.spec
Executing(%prep): /bin/sh -e /var/tmp/rpm-tmp.DowMqD
+ umask 022
+ cd /home/buildrpm/rpmbuild/BUILD
+ cd /home/buildrpm/rpmbuild/BUILD
+ rm -rf repo-versao-1
+ /usr/bin/gzip -dc /home/buildrpm/rpmbuild/SOURCES/repo-versao-1.tar.gz
+ /usr/bin/tar -xf -
+ STATUS=0
+ '[' 0 -ne 0 ']'
+ cd repo-versao-1
+ /usr/bin/chmod -Rf a+rX,u+w,g-w,o-w .
+ exit 0
Executing(%install): /bin/sh -e /var/tmp/rpm-tmp.xb3qI7
+ umask 022
+ cd /home/buildrpm/rpmbuild/BUILD
+ '[' /home/buildrpm/rpmbuild/BUILDROOT/repo-versao-1-0.x86_64 '!=' / ']'
+ rm -rf /home/buildrpm/rpmbuild/BUILDROOT/repo-versao-1-0.x86_64
++ dirname /home/buildrpm/rpmbuild/BUILDROOT/repo-versao-1-0.x86_64
+ mkdir -p /home/buildrpm/rpmbuild/BUILDROOT
+ mkdir /home/buildrpm/rpmbuild/BUILDROOT/repo-versao-1-0.x86_64
+ cd repo-versao-1
+ mkdir -p /home/buildrpm/rpmbuild/BUILDROOT/repo-versao-1-0.x86_64
+ cp -R etc /home/buildrpm/rpmbuild/BUILDROOT/repo-versao-1-0.x86_64
+ '[' noarch = noarch ']'
+ case "${QA_CHECK_RPATHS:-}" in
+ /usr/lib/rpm/check-buildroot
+ /usr/lib/rpm/redhat/brp-compress
+ /usr/lib/rpm/redhat/brp-strip /usr/bin/strip
+ /usr/lib/rpm/redhat/brp-strip-comment-note /usr/bin/strip /usr/bin/objdump
+ /usr/lib/rpm/redhat/brp-strip-static-archive /usr/bin/strip
+ /usr/lib/rpm/brp-python-bytecompile /usr/bin/python 1
+ /usr/lib/rpm/redhat/brp-python-hardlink
+ /usr/lib/rpm/redhat/brp-java-repack-jars
Processing files: repo-versao-1-0.noarch
Provides: repo-versao = 1-0
Requires(rpmlib): rpmlib(CompressedFileNames) <= 3.0.4-1 rpmlib(FileDigests) <= 4.6.0-1 rpmlib(PayloadFilesHavePrefix) <= 4.0-1
Checking for unpackaged file(s): /usr/lib/rpm/check-files /home/buildrpm/rpmbuild/BUILDROOT/repo-versao-1-0.x86_64
Wrote: /home/buildrpm/rpmbuild/RPMS/noarch/repo-versao-1-0.noarch.rpm
Executing(%clean): /bin/sh -e /var/tmp/rpm-tmp.lNfmk8
+ umask 022
+ cd /home/buildrpm/rpmbuild/BUILD
+ cd repo-versao-1
+ /usr/bin/rm -rf /home/buildrpm/rpmbuild/BUILDROOT/repo-versao-1-0.x86_64
+ exit 0
#

8. Verifique o pacote criado na pasta RPMS

$ ls rpmbuild/RPMS/noarch/ 
rpmbuild/RPMS/noarch/repo-versao-1-0.noarch.rpm

$ rpm -qpl rpmbuild/RPMS/noarch/repo-versao-1-0.noarch.rpm
/etc/yum.repos.d/MEU-REPO.repo

9. Instale o pacote e veja se foi criado o arquivo “/etc/yum.repos.d/MEU-REPO.repo”

$ sudo rpm -hiv repo-versao-1-0.noarch.rpm

$ ls -l /etc/yum.repos.d/MEU-REPO.repo 
-rw-r--r--. 1 root root 202 Apr 14 13:10 /etc/yum.repos.d/MEU-REPO.repo

10. Teste de remoção de pacote
Remova o pacote repo-versao-1-0. Após a remoção o arquivo “/etc/yum.repos.d/MEU-REPO.repo” terá que ser removido.

$ sudo yum remove repo-versao-1-0.noarch
$ ls -l /etc/yum.repos.d/MEU-REPO.repo 
ls: cannot access /etc/yum.repos.d/MEU-REPO.repo: No such file or directory

11. Teste de Upgrade e Downgrade
Vou gerar algumas versões para fazer o teste de upgrade e downgrade.
Primeiramente crie novos arquivos “.spec” e altere a versão e o source0.

SPECS/repo-versao-1.1.spec
Name: repo-versao
Version: 1.1
Release: 0
Source0: repo-versao-1.1.tar.gz

SPECS/repo-versao-1.2.spec
Name: repo-versao
Version: 1.2
Release: 0
Source0: repo-versao-1.2.tar.gz

Agora crie novas pastas dentro do SOURCES com as respectivas versões.
SOURCES/repo-versao-1.1
SOURCES/repo-versao-1.2

Altere os arquivos que você quiser, e gere um novo tarball tar.gz.
tar -cvzf repo-versao-1.1.tar.gz repo-versao-1.1
tar -cvzf repo-versao-1.2.tar.gz repo-versao-1.2

Por fim gere os novos pacotes.
$ rpmbuild -v -bb SPECS/repo-versao-1.1.spec
$ rpmbuild -v -bb SPECS/repo-versao-1.2.spec

Verifique os pacotes rpms gerados.
$ cd /home/buildrpm/rpmbuild/RPMS/noarch
$ ls
repo-versao-1-0.noarch.rpm
repo-versao-1.1-0.noarch.rpm
repo-versao-1.2-0.noarch.rpm

Instalação do pacote versão 1.1 repo-versao-1.1-0.noarch.rpm

$ sudo rpm -hiv repo-versao-1.1-0.noarch.rpm
Preparing...                          ################################# [100%]
Updating / installing...
   1:repo-versao-1.1-0                ################################# [100%]
$ cat /etc/yum.repos.d/MEU-REPO.repo | grep Versao
name=Versao 1.1 - Repositorio Teste Meu Repo - DevOpsLab

Upgrade para a versão 1.2 repo-versao-1.2-0.noarch.rpm

$ sudo rpm -Uvh repo-versao-1.2-0.noarch.rpm
Preparing...                          ################################# [100%]
Updating / installing...
   1:repo-versao-1.2-0                ################################# [ 50%]
Cleaning up / removing...
   2:repo-versao-1.1-0                ################################# [100%]
$ cat /etc/yum.repos.d/MEU-REPO.repo | grep Versao
name=Versao 1.2 - Repositorio Teste Meu Repo - DevOpsLab
$ rpm -qa | grep repo-versao
repo-versao-1.2-0.noarch

Downgrade para a versão 1.0 repo-versao-1-0.noarch.rpm

$ sudo rpm -Uvh --oldpackage repo-versao-1-0.noarch.rpm
Preparing...                          ################################# [100%]
Updating / installing...
   1:repo-versao-1-0                  ################################# [ 50%]
Cleaning up / removing...
   2:repo-versao-1.2-0                ################################# [100%]
$ cat /etc/yum.repos.d/MEU-REPO.repo | grep Versao
name=Versao 1.0 - Repositorio Teste Meu Repo - DevOpsLab
$ rpm -qa | grep repo-versao
repo-versao-1-0.noarch

Remoção do pacote repo-versao-1-0.noarch.rpm

$ sudo rpm -e repo-versao-1-0.noarch
$ ls  /etc/yum.repos.d/MEU-REPO.repo
ls: cannot access /etc/yum.repos.d/MEU-REPO.repo: No such file or directory
$ rpm -qa | grep repo-versao
$ 

É isto aí, novidades só chamar.

Leonardo Macedo

Centralização e análise de logs com Graylog, MongoDB e Elasticsearch

“Open source log management that actually works” – www.graylog.org
Neste tutorial vamos instalar e configurar o Graylog para a centralização e análise de logs.

É fundamental ter uma ferramenta para análise de logs na sua infraestrutura, isto te possibilita um debug mais apurado do ambiente, melhora a segurança, ajuda a compartilhar informações com os times, auxilia na monitoração com o uso de triggers, centralização de logs, enfim é uma ferramenta estratégica que oferece vários recursos para uma boa análise da sua infraestrutura.

Graylog é uma excelente alternativa ao Splunk e Kibana+Logstash.

1.Infraestrutura e pré-requisitos

Sistema operacional: Centos 7 x86_64.

Componentes:
Graylog Server – Análise e coleta de logs. Insere os logs no Elasticsearch.
Graylog Web – Interface Web para o Graylog Server.
MongoDB– Armazenamento de configurações e metadados.
Elasticsearch – Armazenamento de logs e ferramenta de busca.
graylog-Diagram

Versões utilizadas neste tutorial:
graylog-web-1.3.4-1.noarch
graylog-server-1.3.4-1.noarch

mongodb-org-server-3.2.4-1.el7.x86_64
mongodb-org-3.2.4-1.el7.x86_64

elasticsearch-1.7.5-1.noarch

Servidores:
Graylog Server e interface Web:
10.0.2.100 graylog-webeserver-01.devopslab.com.br

MongoDB:
10.0.2.101 graylog-mongodb-01.devopslab.com.br

Elasticsearch
10.0.2.102 graylog-elasticsearch-01.devopslab.com.br

2. Instalação do Elasticsearch

Faça o login no servidor do Elasticsearch graylog-elasticsearch-01.devopslab.com.br
Recomendo 1GB de RAM.
Até o presente momento o Graylog funciona apenas com o Elasticsearch 1.7.

Desative o Firewall e Selinux.

# systemctl stop firewalld.service
# systemctl disable firewalld.service
# sed -i s/SELINUX=enforcing/SELINUX=disabled/g /etc/selinux/config
# setenforce 0

Tuning do Sistema Operacional – Aumente a quantidade de Openfiles

# vi /etc/security/limits.conf
*                soft   nofile     64000
*                hard  nofile      64000
# ulimit -n 64000

Verifique o fs.file-max, pois ele tem que ser maior que 64000.

# sysctl -a | grep fs.file-max
fs.file-max = 98929

Instalação do Java
Versões suportadas: OpenJDK ou Java Oracle
Java 8 update 20 ou posterior.
Java 7 update 55 ou posterior.

# yum -y install java-1.8.0-openjdk.x86_64
# java -version
openjdk version "1.8.0_77"

Repositório – Importação da chave pública do repositório

# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch

Crie o arquivo do repositório do Elasticsearch.
#vi /etc/yum.repos.d/elasticsearch.repo

[elasticsearch-1.7]
name=Elasticsearch repository for 1.7.x packages
baseurl=http://packages.elastic.co/elasticsearch/1.7/centos
gpgcheck=1
gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch
enabled=1

Instale o Elasticsearch 1.7

# yum -y install elasticsearch

Configuração do Elasticsearch
Todas as configurações serão executadas no arquivo /etc/elasticsearch/elasticsearch.yml
# vi /etc/elasticsearch/elasticsearch.yml

Defina um nome qualquer para o cluster.
cluster.name: graylog-lab

Desabilitando a descoberta automática de nodes Elasticsearch e definindo o servidor do Elasticsearch.
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: [“graylog-elasticsearch-01.devopslab.com.br:9300”]

Desabilitando a execução remota de scripts.
Adicione ao final do arquivo elasticsearch.yml
script.disable_dynamic: true

Arquivo completo elasticsearch.yml.
# cat  /etc/elasticsearch/elasticsearch.yml| grep -v ^#| grep -v ^$
cluster.name: graylog-lab
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["graylog-elasticsearch-01.devopslab.com.br:9300"]
script.disable_dynamic: true

Reinicie o Elasticsearch.

# systemctl enable elasticsearch.service
# systemctl restart elasticsearch.service

Verificando a saúde do cluster de Elasticsearch.
Status 200 está ok.

curl -X GET http://localhost:9200
# curl -X GET 'http://localhost:9200'
{
  "status" : 200,
  "name" : "Hydro",
  "cluster_name" : "graylog-lab",
  "version" : {
    "number" : "1.7.5",
    "build_hash" : "00f95f4ffca6de89d68b7ccaf80d148f1f70e4d4",
    "build_timestamp" : "2016-02-02T09:55:30Z",
    "build_snapshot" : false,
    "lucene_version" : "4.10.4"
  },
  "tagline" : "You Know, for Search"
}

Status ‘green’ está ok.

# curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
# curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
{
  "cluster_name" : "graylog-lab",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 0,
  "active_shards" : 0,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 0,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0
}

3. Instalação do MongoDB

Servidor graylog-mongodb-01.devopslab.com.br
Recomendo 1GB de RAM.
Desative o Firewall e Selinux.

Tuning do S.O – Aumente a quantidade de Openfiles e Max process

# vi /etc/security/limits.conf
*                soft   nofile      64000
*                hard  nofile      64000
*                soft   nproc      64000
*                hard  nproc      64000
# ulimit -n 64000
# ulimit -u 64000

Verifique o fs.file-max. O valor tem que ser maior que 64000.

# sysctl -a | grep fs.file-max
fs.file-max = 98929

Repositório – Crie o arquivo do repositório do MongoDB

[mongodb-org-3.2]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.2/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.2.asc

Instale a última versão do MongoDB.

# yum install -y mongodb-org

Comente a linha ‘bindIp: 127.0.0.1’ no arquivo ‘/etc/mongod.conf’ para que o MongoDB escute em todas as interfaces de rede.

# sed -i s/bindIp:/#bindIp:/g /etc/mongod.conf 

Inicie o MongoDB.

# systemctl enable mongod.service
# systemctl start mongod.service

4. Instalação do Graylog Server

Servidor graylog-webeserver-01.devopslab.com.br
Desative o Firewall e Selinux.
Instale o java. Utilize o mesmo passo descrito na instalação do Elasticsearch.

Repositório – Instalação do pacote graylog-1.3-repository-el7_latest.rpm

# rpm -hiv https://packages.graylog2.org/repo/packages/graylog-1.3-repository-el7_latest.rpm

Instalação do Graylog server.

# yum -y install graylog-server

Instale o repositório Epel. Ele é dependencia para a instalação do pacote pwgen.

# yum -y install epel-release.noarch

Configuração do Graylog Server.
# vi /etc/graylog/server/server.conf
Define este node como master.
is_master = true

Gere uma senha de segurança para proteger o armazenamento das senhas dos usuários.

# pwgen -N 1 -s 96
bD9QUDQMjkd0JZ5S205p3mJDtcLAjH61K0jP48wGxcETvcPV8zI7kgRSB5KJwzxpw6CSAelzILFr9zxMXt0wXhOqnKGCkdNA

Configure a senha em password_secret

password_secret =U2UAb7rBEvc0Q1CLRiSaANdaQcEMWYALoN8TuNCph1nCUcII1oyNFtLXZrC4yoBQ3BVWMUSg8WoVRnvo4mURElJjeoC653LQ

Rest API para a conexão do Graylog Web e outros Graylog Server.

rest_listen_uri = http://127.0.0.1:12900/

Crie uma senha para o usuário Administrativo ‘admin’.

# echo -n minha_senha | sha256sum
f9b88ac71caec840be639a8eb18e68728744252316456ce9b3cf6b58d82bb7cd  -
root_password_sha2 = f9b88ac71caec840be639a8eb18e68728744252316456ce9b3cf6b58d82bb7cd

Quantidade de nodes e replicas do Elasticsearch

elasticsearch_shards = 1
elasticsearch_replicas = 0

Nome do Cluster Elasticsearch. É o mesmo definido em no arquivo elasticsearch.yml do servidor do Elasticsearch.

elasticsearch_cluster_name = graylog-lab

Desabilitando a descoberta automática e definindo o servidor do Elasticsearch.

elasticsearch_discovery_zen_ping_multicast_enabled = false
elasticsearch_discovery_zen_ping_unicast_hosts = graylog-elasticsearch-01.devopslab.com.br:9300

Desativando a autenticação e definindo a string de conexão com o banco MongoDB.

mongodb_useauth = false
mongodb_uri = mongodb://graylog-mongodb-01.devopslab.com.br:27017/graylog2

Arquivo server.conf completo.

# cat server.conf | grep -v ^# |grep -v ^$
is_master = true
node_id_file = /etc/graylog/server/node-id
password_secret = bD9QUDQMjkd0JZ5S205p3mJDtcLAjH61K0jP48wGxcETvcPV8zI7kgRSB5KJwzxpw6CSAelzILFr9zxMXt0wXhOqnKGCkdNA
root_password_sha2 = 8b7baf6899f95c2f4723ef35f4cb10ac678221ac2d63ae8901f63151d243881e
plugin_dir = /usr/share/graylog-server/plugin
rest_listen_uri = http://127.0.0.1:12900/
rotation_strategy = count
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 20
retention_strategy = delete
elasticsearch_shards = 1
elasticsearch_replicas = 0
elasticsearch_index_prefix = graylog2
allow_leading_wildcard_searches = false
allow_highlighting = false
elasticsearch_cluster_name = graylog-lab
elasticsearch_discovery_zen_ping_multicast_enabled = false
elasticsearch_discovery_zen_ping_unicast_hosts = graylog-elasticsearch-01.devopslab.com.br:9300
elasticsearch_analyzer = standard
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
dead_letters_enabled = false
lb_recognition_period_seconds = 3
mongodb_useauth	= false
mongodb_uri = mongodb://graylog-mongodb-01.devopslab.com.br:27017/graylog2
mongodb_max_connections = 100
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks
content_packs_auto_load = grok-patterns.json

Inicie o Graylog Server

# systemctl enable graylog-server.service
# systemctl start graylog-server.service

5. Instalação do Graylog Web

O Graylog Web vai ficar no mesmo servidor do Graylog Server, então Java, Firewall e Selinux já estão ok.
Recomendo pelo menos 2GB de RAM.
Servidor graylog-webeserver-01.devopslab.com.br

Instalação do graylog-web.

# yum -y install graylog-web

Configuração do Graylog Web
# vi /etc/graylog/web/web.conf

Gere uma chave para criptografia de funções do graylog com o comando ‘pwgen -N 1 -s 96’ e cole no campo:
application.secret=””

Configure a conexão com a API do Server em graylog2-server.uris=””
graylog2-server.uris=”http://127.0.0.1:12900/”

Veja como ficou a configuração do greylog web.

# cat web.conf| grep -v ^#| grep -v ^$
graylog2-server.uris="http://127.0.0.1:12900/"

application.secret="OGBIrIC2eCOGqc3P621rIXFbGFF0DP6l1FU4A5FN8Zu4RATafF6y2EEdpHIvytkiCG8G2n7C18eUoQxGlJzHd5KHaJE3Sc20"

field_list_limit=100

application.global=lib.Global

Inicie o Graylog Web.

# systemctl enable graylog-web
# systemctl start graylog-web

Faça o login na interface Web (http://ip-webserver:9000):
http://graylog-webeserver-01.devopslab.com.br:9000/

Usuário: admin
Senha: Foi definida na instalação do graylog-server, lembra?.
home-graylog1

6. Configuração dos clientes e envio de Log

O Graylog aceita logs nos formatos RFC-5424 e RFC-3164, que são os utilizados pelo syslog-ng e rsyslog.

Equipamentos e aplicações com logs fora do padrão precisam de plugins, como por exemplo roteadores Cisco e Fortigate ou app Java e Web servers.

Visite o Marketplace para checar todos os plugins disponíveis: https://marketplace.graylog.org/

É possível você desenvolver seu próprio padrão de log com a ferramenta Graylog Extractor ou enviar o log via API.

6.1 – Configuração do Input de logs

Antes de começar a receber logs no Graylog é necessário criar uma configuração de Input, que basicamente diz quais tipos de logs serão aceitos. Os tipos de logs aceitos podem ser estendidos com plugins próprios ou de terceiros (veja o o site graylog markeplace).
Logue na interface Web e vá para:
System/Inputs → Inputs → Launch New Input
Selecione Syslog UDP.
Selecione Syslog TCP.
Clique em Lauch.

Escolha uma porta acima de 1024. Portas <1024 apenas o usuário root pode manipular. Eu escolhi a porta 1030/tcp e 1030/udp para o recebimento de logs do syslog. graylog-input

6.2 – Configuração do Firewall

Eu quero que meus servidores enviem o log para a porta 514/tcp e 514/udp. Simplesmente pois é um padrão, é comum enviar logs para estas portas.
Você também pode enviar direto para a porta definida no Input, no meu caso 1030.

Se você quer usar o padrão, crie uma regra de firewall que redirecione todo o tráfego em vier pela porta 514/tcp e 514/udp para a porta 1030.

# iptables -t nat -A PREROUTING -i enp0s3 -p udp -m udp --dport 514 -j REDIRECT --to-ports 1030
# iptables -t nat -A PREROUTING -i enp0s3 -p tcp -m tcp --dport 514 -j REDIRECT --to-ports 1030

6.3 – Configuração em envio de logs

Vou configurar os próprios servidores do Cluster do Graylog para o envio de log.
Hoje em dia todos os Linux estão utilizando o rsyslog, então vou configurar o rsyslog da seguinte forma.

# vi /etc/rsyslog.conf
*.*	@graylog-webeserver-01.devopslab.com.br:514;RSYSLOG_SyslogProtocol23Format

graylog-webeserver-01.devopslab.com.br:514 – Meu servidor do Graylog ouvindo na porta 514. poderia ser a porta definida no Input 1030tcp/udp.
*.* – Todos os logs e facilidades.
@ – Protocolo UDP.
@@ – Protocolo TCP.

Reinicie o rsyslog para que o logs comecem a ser enviados para o graylog.

# systemctl restart rsyslog

Obs: Este template ‘RSYSLOG_SyslogProtocol23Format’ funciona apenas caso a versão do rsyslog seja maior que 5.

# rsyslogd -version
rsyslogd 7.4.7, compiled with:
	FEATURE_REGEXP:				Yes
	FEATURE_LARGEFILE:			No
	GSSAPI Kerberos 5 support:		Yes
	FEATURE_DEBUG (debug build, slow code):	No
	32bit Atomic operations supported:	Yes
	64bit Atomic operations supported:	Yes
	Runtime Instrumentation (slow code):	No
	uuid support:				Yes
See http://www.rsyslog.com for more information.

Se seu rsyslog for menor 5, utilize apenas a linha:

# vi /etc/rsyslog.conf
*.*	@graylog-webeserver-01.devopslab.com.br:514

7. Verificação dos logs na interface Web

Logue na interface web e entre na abas sources e search que será possível ver os logs e a origem dos logs.

Aba SOURCES.
dashboard-sources

Aba SEARCH.
dashboard-search
Se você chegou até aqui seu Graylog está funcionando e recebendo logs, agora basta você explorar a ferramenta, clicar nas várias opções, integrar com Ldap, criar logins para seus times, criar triggers de monitoramento, criar Dashboards, fazer filtros específicos e etc.

8. Graylog via proxy com o Nginx

Este passo é opcional.
Digitar a url com a porta no navegador não é algo muito legal, então vamos configurar um proxy reverso com Nginx para não ter que digitar http://x.x.x.x:porta/

No servidor Graylog Server e Web instale o Nginx.

# yum -y install nginx

Altere estes campos:

server {
        listen       80 default_server;
        server_name  graylog.devopslab.com.br;
        location / {
	proxy_pass http://localhost:9000;
        }

E reinicie o nginx. Agora você pode simplesmente digitar http://graylog.devopslab.com.br/ sem ter que digitar porta.

Segue todo o arquivo nginx.conf, basta copiar e colar ;). O restante do arquivo está padrão, conforme veio instalado.

# cat nginx.conf
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

events {
    worker_connections 1024;
}

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 2048;

    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;

    include /etc/nginx/conf.d/*.conf;

    server {
        listen       80 default_server;
        server_name  graylog.devopslab.com.br;
        location / {
	proxy_pass http://localhost:9000;
        }

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }
}

Referência:
Graylog
http://docs.graylog.org/en/1.3/

Elasticssearch
https://www.elastic.co/guide/en/elasticsearch/reference/1.7/index.html

MongoDB
https://docs.mongodb.org/manual/

Qualquer dúvida, sugestão e etc, só chamar.

[]’s

Leonardo Macedo Cerqueira

Kubernetes – como instalar e configurar o Kubernetes – K8S – Gerência de containers Docker

Tutorial Kubernetes – como instalar e configurar o Kubernetes, criação de cluster e Pods com Kubernetes.

1. Introdução

Kubernetes é um sistema Open Source desenvolvido pelo Google para o gerenciamento de cluster de containeres tendo como características auto-scaling de serviços e containeres, auto-monitoração de containeres, permite o deploy de containers e serviços, load balancer, orquestração de containers, e orquestração de volumes de armazenamento ‘storages’.

O Kubernetes amigávelmente pode ser chamado de K8S, inventaram isto no Google, eu li em um dos Docs do Kubernetes e seria algo como K[eight-characters]S, o que faz todo sentido.

Mais uma pequena curiosidade, Kubernetes é derivado de uma palavra grega Kuvernetes, que significa timoneiro, aquele cara que pilota o Navio, por isto que o logo do Kuvernetes é um timão de navio.

Minions – São todos os hosts que fazem parte do cluster gerenciado pelo Kubernetes.
Serviços rodando nos Minios: kube-proxy kubelet docker e flannel

Flannel – É uma rede virtual que vai provisionar uma sub-rede para cada host do cluster, esta sub-rede será utilizada para alocar um ip para cada container e fazer a comunicação entre os containers.

Etcd – É um sistema distribuído de armazenamento do tipo key valor ou key=valor, utilizado pelo Kubernetes para armazenar todas informações sobre os Pods, containers, serviços, redes, nós do cluster, localização dos containeres, Cpus, Memória, versões de aplicativos e metados no geral.

Pod – É um grupo de um ou mais containers rodando dentro de um host/minion do cluster.

Replication Controller “RC” – Vai garantir que um determinado número de Pods estejam sempre rodando, ele monitora o cluster e em caso de algum Pod falhar, ficar off-line e etc, o replication controller tratará de subir um novo container ao Pod, mantendo o cluster funcional.

2. Pré-requisitos e Infraestrutura

Pré-requisitos
Sistema Operacional Centos 7 x86_64 instalação mínima.

Hosts – Infraestrutura
Vou utilizar um host para ser o Kubernetes e 3 Minions. Minions podem ser a quantidade que você quiser.

10.0.2.30 kubernetes-master1.devopslab.com.br
10.0.2.31 kubernetes-minion1.devopslab.com.br
10.0.2.32 kubernetes-minion2.devopslab.com.br
10.0.2.33 kubernetes-minion3.devopslab.com.br

3. DNS – Configuração do DNS

Configure o /etc/hosts de todos os nós do cluster “minions” para ter os apontamentos de DNS. Basicamente copie as informações de dns acima para todos os hosts.

4. Configuração do repositório para a instalação de pacotes

Crie o repositório em todos os hosts MASTER e MINIONS.

#vi /etc/yum.repos.d/virt7-docker-common-release.repo

[virt7-docker-common-release]
name=virt7-docker-common-release
baseurl=http://cbs.centos.org/repos/virt7-docker-common-release/x86_64/os/
gpgcheck=0

5. Instalação do Kubernetes e Docker

MASTER
#yum install kubernetes flannel etcd
O pacote kubernetes também vai instalar o Docker entre outras dependências.

#yum install kubernetes flannel etcd
...
Dependencies Resolved

==============================================================================================================================================================================================
 Package                                             Arch                               Version                                                      Repository                          Size
==============================================================================================================================================================================================
Installing:
 etcd                                                x86_64                             2.2.5-1.el7                                                  extras                             5.3 M
 flannel                                             x86_64                             0.5.3-9.el7                                                  extras                             1.7 M
 kubernetes                                          x86_64                             1.2.0-0.9.alpha1.gitb57e8bd.el7                              extras                              34 k
Installing for dependencies:
 audit-libs-python                                   x86_64                             2.4.1-5.el7                                                  base                                69 k
 checkpolicy                                         x86_64                             2.1.12-6.el7                                                 base                               247 k
 docker                                              x86_64                             1.9.1-25.el7.centos                                          extras                              13 M
 docker-forward-journald                             x86_64                             1.9.1-25.el7.centos                                          extras                             824 k
 docker-selinux                                      x86_64                             1.9.1-25.el7.centos                                          extras                              70 k
 kubernetes-client                                   x86_64                             1.2.0-0.9.alpha1.gitb57e8bd.el7                              extras                             9.3 M
 kubernetes-master                                   x86_64                             1.2.0-0.9.alpha1.gitb57e8bd.el7                              extras                              15 M
 kubernetes-node                                     x86_64                             1.2.0-0.9.alpha1.gitb57e8bd.el7                              extras                             9.3 M
 libcgroup                                           x86_64                             0.41-8.el7                                                   base                                64 k
 libsemanage-python                                  x86_64                             2.1.10-18.el7                                                base                                94 k
 policycoreutils-python                              x86_64                             2.2.5-20.el7                                                 base                               435 k
 python-IPy                                          noarch                             0.75-6.el7                                                   base                                32 k
 setools-libs                                        x86_64                             3.3.7-46.el7                                                 base                               485 k
 socat                                               x86_64                             1.7.2.2-5.el7                                                base                               255 k

Transaction Summary
==============================================================================================================================================================================================
Install  3 Packages (+14 Dependent packages)

MINIONS

#yum install kubernetes flannel

6. Configuração do Kubernetes MASTER e os MINIONS

MASTER – Kubernetes Master.
MINIONS – Hosts Minions.

Desative o Firewall e Selinux em todos os hosts MASTER e MINIONS do cluster.

#systemctl stop firewalld.service
#systemctl disable firewalld.service
#sed -i s/SELINUX=enforcing/SELINUX=disabled/g /etc/selinux/config
#setenforce 0

6.1 – Configuração do Kubernetes Master

MASTER – Kubernetes Config

#vi /etc/kubernetes/config
Configure a linha KUBE_MASTER para apontar para o ip MASTER.

# logging to stderr means we get it in the systemd journal
KUBE_LOGTOSTDERR="--logtostderr=true"

# journal message level, 0 is debug
KUBE_LOG_LEVEL="--v=0"

# Should this cluster be allowed to run privileged docker containers
KUBE_ALLOW_PRIV="--allow-privileged=false"

# How the controller-manager, scheduler, and proxy find the apiserver
KUBE_MASTER="--master=http://kubernetes-master1.devopslab.com.br:8080"

MASTER – Apiserserver
Comente a linha KUBE_ADMISSION_CONTROL.
#vi /etc/kubernetes/apiserver

# The address on the local server to listen to.
KUBE_API_ADDRESS="--address=0.0.0.0"

# The port on the local server to listen on.
KUBE_API_PORT="--port=8080"

# Port minions listen on
KUBELET_PORT="--kubelet-port=10250"

# Comma separated list of nodes in the etcd cluster
KUBE_ETCD_SERVERS="--etcd-servers=http://127.0.0.1:2379"

# Address range to use for services
KUBE_SERVICE_ADDRESSES="--service-cluster-ip-range=10.254.0.0/16"

# default admission control policies
#KUBE_ADMISSION_CONTROL="--admission-#control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota"

# Add your own!
KUBE_API_ARGS=""

MASTER – ETCD
Verifique se a porta do Etcd é 2379.
Configure o bind para 0.0.0.0:2379.
#vi /etc/etcd/etcd.conf

ETCD_NAME=default
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_CLIENT_URLS="http://0.0.0.0:2379"
ETCD_ADVERTISE_CLIENT_URLS="http://localhost:2379"

MASTER – Restart dos serviços e habilitação do start no boot.

[root@kubernetes-master1 ~]# for SERVICES in etcd kube-apiserver kube-controller-manager kube-scheduler; do 
        systemctl restart $SERVICES
        systemctl enable $SERVICES
        systemctl status $SERVICES 
done

MASTER – Definição de uma rede FLANNEL
Vamos criar uma rede para que seja alocada para cada novo container do cluster.
Normalmente é uma rede 172.17.0.0/16, porém vou mudar para uma do meu interesse.
Então vamos criar uma chave valor no Etcd.

Crie um arquivo .json em qualquer pasta do servidor Master e defina a rede.

#vi flannel-config.json

{
    "Network": "10.0.10.0/16",
    "SubnetLen": 24,
    "Backend": {
        "Type": "vxlan",
        "VNI": 1
     }
}

Agora faça a criação a Key no Etcd.

#etcdctl set /atomic.io/network/config < flannel-config.json

Verificando se a key foi criada com o comando
#etcdctl get /atomic.io/network/config

#etcdctl get /atomic.io/network/config
{
    "Network": "10.0.10.0/16",
    "SubnetLen": 24,
    "Backend": {
        "Type": "vxlan",
        "VNI": 1
     }
}

6.2 – Configuração dos Minions (Nodes)

Configuração dos hosts Minions.
Cada passo descrito abaixo deve ser feito em todos os hosts Minions da sua rede.

MINIONS – Kubernetes Config
Altere apenas a linha KUBE_MASTER e informe o servidor do Kubernetes.
#vi /etc/kubernetes/config

# logging to stderr means we get it in the systemd journal
KUBE_LOGTOSTDERR="--logtostderr=true"

# journal message level, 0 is debug
KUBE_LOG_LEVEL="--v=0"

# Should this cluster be allowed to run privileged docker containers
KUBE_ALLOW_PRIV="--allow-privileged=false"

# How the controller-manager, scheduler, and proxy find the apiserver
KUBE_MASTER="--master=http://kubernetes-master1.devopslab.com.br:8080"

MINIONS – KUBERLET
Aqui você vai informar qual é o servidor da Api, setar o hostname e bind do kuberlet.
#vi /etc/kubernetes/kubelet

###
# kubernetes kubelet (minion) config

# The address for the info server to serve on (set to 0.0.0.0 or "" for all interfaces)
KUBELET_ADDRESS="--address=0.0.0.0"

# The port for the info server to serve on
# KUBELET_PORT="--port=10250"

# You may leave this blank to use the actual hostname
KUBELET_HOSTNAME="--hostname-override=kubernetes-minion1.devopslab.com.br"

# location of the api-server
KUBELET_API_SERVER="--api-servers=http://kubernetes-master1.devopslab.com.br:8080"

# pod infrastructure container
KUBELET_POD_INFRA_CONTAINER="--pod-infra-container-image=registry.access.redhat.com/rhel7/pod-infrastructure:latest"

# Add your own!
KUBELET_ARGS=""

MINIONS – rede FLANNEL
Será alterado apenas a linha que informa o ip do ETCD rodando no servidor MASTER.

#vi /etc/sysconfig/flanneld

# etcd url location.  Point this to the server where etcd runs
FLANNEL_ETCD="http://kubernetes-master1.devopslab.com.br:2379"

# etcd config key.  This is the configuration key that flannel queries
# For address range assignment
FLANNEL_ETCD_KEY="/atomic.io/network"

# Any additional options that you want to pass
#FLANNEL_OPTIONS=""

Observe a linha: ‘FLANNEL_ETCD_KEY=”/atomic.io/network”
Esta key “/atomic.io/network” foi criada anteriormente no ETCD do Kubernetes Master.

MINIONS – Restart dos serviços e habilitação do start no boot

[root@kubernetes-minion1 ~]# for SERVICES in kube-proxy kubelet docker flanneld; do 
    systemctl restart $SERVICES
    systemctl enable $SERVICES
    systemctl status $SERVICES 
done

6.3 – Validação do MASTER e MINIONS

MINIONS
Verificação da rede.
Verifique se foram criadas as redes para o docker e flannel.

[root@kubernetes-minion1 ~]# ip -4 a|grep inet
    inet 127.0.0.1/8 scope host lo
    inet 10.0.2.31/24 brd 10.0.2.255 scope global enp0s3
    inet 10.0.10.1/24 scope global docker0
    inet 10.0.10.0/16 scope global flannel.1

Teste de consulta ao Etcd
#curl -s http://kubernetes-master1.devopslab.com.br:2379/v2/keys/atomic.io/network/subnets | python -mjson.tool

[root@kubernetes-minion1 ~]#curl -s http://kubernetes-master1.devopslab.com.br:2379/v2/keys/atomic.io/network/subnets | python -mjson.tool
{
    "action": "get",
    "node": {
        "createdIndex": 32,
        "dir": true,
        "key": "/atomic.io/network/subnets",
        "modifiedIndex": 32,
        "nodes": [
            {
                "createdIndex": 133,
                "expiration": "2016-04-03T01:08:09.060073648Z",
                "key": "/atomic.io/network/subnets/10.0.10.0-24",
                "modifiedIndex": 133,
                "ttl": 84138,
                "value": "{\"PublicIP\":\"10.0.2.31\",\"BackendType\":\"vxlan\",\"BackendData\":{\"VtepMAC\":\"8e:28:15:ca:cd:3b\"}}"
            },
            {
                "createdIndex": 374,
                "expiration": "2016-04-03T01:42:01.861701761Z",
                "key": "/atomic.io/network/subnets/10.0.14.0-24",
                "modifiedIndex": 374,
                "ttl": 86171,
                "value": "{\"PublicIP\":\"10.0.2.32\",\"BackendType\":\"vxlan\",\"BackendData\":{\"VtepMAC\":\"b6:1b:ee:eb:ce:ef\"}}"
            },
            {
                "createdIndex": 434,
                "expiration": "2016-04-03T01:45:36.592848197Z",
                "key": "/atomic.io/network/subnets/10.0.91.0-24",
                "modifiedIndex": 434,
                "ttl": 86385,
                "value": "{\"PublicIP\":\"10.0.2.33\",\"BackendType\":\"vxlan\",\"BackendData\":{\"VtepMAC\":\"4e:84:7d:78:21:00\"}}"
            }
        ]
    }
}

MASTER
No servidor Master faça um “kubectl get nodes” para verificar todos os nós do cluster.

#kubectl get nodes

[root@kubernetes-master1 ~]# kubectl get nodes
NAME                                  LABELS                                                       STATUS    AGE
kubernetes-minion1.devopslab.com.br   kubernetes.io/hostname=kubernetes-minion1.devopslab.com.br   Ready     53m
kubernetes-minion2.devopslab.com.br   kubernetes.io/hostname=kubernetes-minion2.devopslab.com.br   Ready     6m
kubernetes-minion3.devopslab.com.br   kubernetes.io/hostname=kubernetes-minion3.devopslab.com.br   Ready     2m

7. Criação de Pods com o Kubernets

Vamos criar 3 containeres com a imagem nginx e com a porta 80 exposta e um replication controller nomeado como webserver-nginx.

#kubectl run webserver-nginx –image=nginx –replicas=3 –port=80

[root@kubernetes-master1 ~]# kubectl run webserver-nginx --image=nginx --replicas=3 --port=80
replicationcontroller "webserver-nginx" created

Listando os Pods do cluster
#kubectl get pods

[root@kubernetes-master1 ~]# kubectl get pods
NAME                    READY     STATUS    RESTARTS   AGE
webserver-nginx-2th95   0/1       Pending   0          33m
webserver-nginx-v4404   0/1       Pending   0          33m
webserver-nginx-za52c   0/1       Pending   0          33m

Este status pending é normal, pois o Kubernetes está provisionando os Pods, pode demorar alguns minutos dependendo do tamanho da imagem.

No final você terá todos os Pods rodando.
#kubectl get pods

[root@kubernetes-master1 ~]#  kubectl get pods 
NAME                    READY     STATUS    RESTARTS   AGE
webserver-nginx-2th95   1/1       Running   0          54m
webserver-nginx-v4404   1/1       Running   0          54m
webserver-nginx-za52c   1/1       Running   1          54m

Verificando o Replication controller
#kubectl get rc

[root@kubernetes-master1 ~]# kubectl get rc
CONTROLLER        CONTAINER(S)      IMAGE(S)   SELECTOR              REPLICAS   AGE
webserver-nginx   webserver-nginx   nginx      run=webserver-nginx   3          59m

Verificando informações sobre um Pod.
Você criou um Pod pelo Kubernetes mas você não sabe muita coisa sobre ele, como os Ips.
#kubectl describe pod webserver-nginx-2th95

[root@kubernetes-master1 ~]# kubectl describe pod  webserver-nginx-2th95
Name:				webserver-nginx-2th95
Namespace:			default
Image(s):			nginx
Node:				kubernetes-minion2.devopslab.com.br/10.0.2.32
Start Time:			Sat, 02 Apr 2016 00:05:49 -0300
Labels:				run=webserver-nginx
Status:				Running
Reason:				
Message:			
IP:				10.0.14.2
Replication Controllers:	webserver-nginx (3/3 replicas created)
Containers:
  webserver-nginx:
    Container ID:	docker://a08a160b25fb141a8546028b09349c50adf4442b93e19a15e6500fc789ad695b
    Image:		nginx
    Image ID:		docker://6f62f48c4e55d700cf3eb1b5e33fa051802986b77b874cc351cce539e5163707
    QoS Tier:
      cpu:		BestEffort
      memory:		BestEffort
    State:		Running
      Started:		Sat, 02 Apr 2016 00:59:18 -0300
    Ready:		True
    Restart Count:	0
    Environment Variables:
Conditions:
  Type		Status
  Ready 	True 
No volumes.
Events:
  FirstSeen	LastSeen	Count	From						SubobjectPath				Reason	Message
  ─────────	────────	─────	────						─────────────				──────	───────
  38m		38m		1	{kubelet kubernetes-minion2.devopslab.com.br}	implicitly required container POD	Pulled	Successfully pulled image "registry.access.redhat.com/rhel7/pod-infrastructure:latest"
  38m		38m		1	{kubelet kubernetes-minion2.devopslab.com.br}	implicitly required container POD	Created	Created with docker id f7add7ef632a

Consultando os Ips de todos os Pods de um específico Replication Controller.
#kubectl get pods -l run=webserver-nginx -o yaml | grep podIP

[root@kubernetes-master1 ~]# kubectl get pods -l run=webserver-nginx -o yaml | grep podIP
    podIP: 10.0.14.2
    podIP: 10.0.10.2
    podIP: 10.0.91.2

8. Criando um serviço e acessando os serviços dos Pods

Até o momento nós temos o Kubernetes rodando, Pods criados, porta 80 exposta nos containeres, e Nginx instalado, tudo bonito.

Mas como você vai acessar os serviço http do Nginx? Qual é a Url? Qual é o Ip?.
Veja quando nós temos um cluster auto gerenciável como nós criamos aqui, a ideia é que todos os Pods estejam rodando e quando algum deles cair o próprio cluster se encarregará de subir um novo container, e este container com um novo IP.

Então não adianta eu saber os Ips do containers, se um deles morrer, será criado um outro, com um novo Ip, Id e etc.

Aí que entra a ideia de Serviço, vamos criar um serviço que atuará como Loadbalancer do cluster, este serviço vai me disponibilizar um IP do cluster, eu vou acessar meus serviços por este Ip, para mim tanto faz quais são os containeres, Ips, onde estão e etc, eu quero apenas o ip do cluster, e que este responda pelos meus containers.

Vamos ver como isto funciona.
Consultando o RC.
#kubectl get rc

[root@kubernetes-master1 ~]# kubectl get rc
CONTROLLER        CONTAINER(S)      IMAGE(S)   SELECTOR              REPLICAS   AGE
webserver-nginx   webserver-nginx   nginx      run=webserver-nginx   3          1h

Criando um serviço.
#kubectl expose rc webserver-nginx –port=80

[root@kubernetes-master1 ~]# kubectl expose rc webserver-nginx --port=80
service "webserver-nginx" exposed

Consultando o IP do cluster.
#kubectl get service webserver-nginx

[root@kubernetes-master1 ~]# kubectl get service webserver-nginx
NAME              CLUSTER_IP      EXTERNAL_IP   PORT(S)   SELECTOR              AGE
webserver-nginx   10.254.174.71   <none>        80/TCP    run=webserver-nginx   1m

Consultando os Ips dos Pods do Cluster.
kubectl describe service webserver-nginx

[root@kubernetes-master1 ~]# kubectl describe service webserver-nginx
Name:			webserver-nginx
Namespace:		default
Labels:			run=webserver-nginx
Selector:		run=webserver-nginx
Type:			ClusterIP
IP:			10.254.174.71
Port:			<unnamed>	80/TCP
Endpoints:		10.0.10.2:80,10.0.14.2:80,10.0.91.2:80
Session Affinity:	None
No events.

[root@kubernetes-master1 ~]# kubectl get ep webserver-nginx
NAME              ENDPOINTS                                AGE
webserver-nginx   10.0.10.2:80,10.0.14.2:80,10.0.91.2:80   3m

Nosso CLUSTER_IP é 10.254.174.71 e este IP é acessível apenas de dentro da nossa Infraestrutura, ou seja apenas os hosts Minions tem acesso a este ip.

Então a partir de qualquer host Minion você pode fazer um curl para validar se os serviços de Nginx estão respondendo.
#curl 10.254.174.71

[root@kubernetes-minion1 ~]# curl 10.254.174.71
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>
[root@kubernetes-minion1 ~]# 

Agora se você quer acessar o cluster externamente, torná-lo público ou disponível para outras redes vamos utilizar algumas das opções como Loadbalancer, EXTERNAL_IP ou NodePort. NodePort é o conhecido expose do Docker, você vai criar um Pod e expor a porta do host Docker/Minion, podendo acessar o serviço do container através do Ip do host Docker/Minion.

Lembrando CLUSTER_IP é acessível apenas dentro da rede dos hosts Minions.

Eu vou criar novos tópicos abordando o acesso público, que na verdade o que vale mesmo é você criar um cluster e poder acessá-lo externamente. Mas veja bem, um cluster interno pode ser muito útil, pode existir serviços que você não queira que seja público como por exemplo um pool de servidores de cache ou algum pool de NoSQL como Cassandra. Nós temos que saber trabalhar com os 2 casos, Cluster Interno e Cluster externo.

Referências.
http://kubernetes.io/docs/getting-started-guides/centos/centos_manual_config/
http://kubernetes.io/docs/getting-started-guides/fedora/fedora_manual_config/
http://kubernetes.io/docs/getting-started-guides/fedora/flannel_multi_node_cluster/#master-setup
http://kubernetes.io/docs/user-guide/simple-nginx/
http://kubernetes.io/docs/user-guide/replication-controller/
http://kubernetes.io/docs/user-guide/deploying-applications/

Obrigado

Leonardo Macedo