⏮️ 😱 💆 GitLab.comからKubernetesへの1年間の移行に関する調査結果 😢 👩🏽‍✈️ 🥟

約transl。：GitLabによるKubernetesの採用は、成長の2つの主要な推進力の1つと見なされています。それにもかかわらず、最近まで、オンラインサービスGitLab.comのインフラストラクチャは仮想マシン上に構築されており、わずか約1年前に、K8への移行が開始されましたが、まだ完了していません。これがどのように発生し、プロジェクトに関与するエンジニアが何を描いているかについて、GitLabのSREエンジニアによる最近の記事の翻訳を提示できることを嬉しく思います。

約1年間、インフラストラクチャ部門はGitLab.comで実行されているすべてのサービスをKubernetesに移行してきました。この間、サービスをKubernetesに移行するだけでなく、移行中のハイブリッド展開の管理にも問題が発生しました。この記事では、私たちが学んだ貴重な教訓について説明します。

GitLab.comの当初から、そのサーバーは仮想マシン上のクラウドで実行されていました。これらの仮想マシンはChefによって管理され、公式のLinuxパッケージを使用してインストールされます。アプリケーションを更新する必要がある場合の展開戦略は、CIパイプラインを使用して調整されたシーケンシャルな方法でサーバーフリートを更新することです。この方法は、遅くて少し退屈ですが、GitLab.comがLinuxパッケージを使用する自己管理型GitLabインストールのユーザーと同じインストールおよび構成方法を使用することを保証します。

GitLabのコピーをインストールして構成するときに、コミュニティの通常のメンバーが経験するすべての悲しみと喜びを体験することが非常に重要であるため、この方法を使用します。このアプローチはしばらくの間はうまく機能しましたが、GitLabのプロジェクト数が1,000万を超えたため、スケーリングと展開のニーズを満たしていないことに気付きました。

KubernetesとクラウドネイティブGitLabへの第一歩

2017年に、GitLab Chartsプロジェクトが作成され、GitLabをクラウドに展開できるように準備し、ユーザーがGitLabをKubernetesクラスターにインストールできるようにしました。そのとき、GitLabをKubernetesに移行すると、SaaSプラットフォームのスケーラビリティが向上し、展開が簡素化され、コンピューティング効率が向上することがわかりました。同時に、アプリケーションの機能の多くは、マウントされたNFSパーティションに依存していたため、仮想マシンからの移行が遅くなりました。

クラウドネイティブとKubernetesの追求により、エンジニアは段階的な移行を計画することができました。その間、アプリケーションのNAS依存関係の一部を破棄し、その過程で新しい機能の開発を続けました。2019年夏に移行の計画を開始して以来、これらの制限の多くが削除され、GitLab.comをKubernetesに移行するプロセスが本格化しています。

KubernetesでのGitLab.comの作業の特徴

GitLab.comでは、すべてのアプリケーショントラフィックを処理する単一の地域GKEクラスターを使用します。（すでにトリッキーな）移行の複雑さを最小限に抑えるために、ローカルストレージやNFSに依存しないサービスに焦点を当てています。 GitLab.comは、主にモノリシックRailsコードベースを使用しており、ワークロードの特性に基づいて、独自のノードプールに分離されたさまざまなエンドポイントにトラフィックをルーティングします。

フロントエンドの場合、これらのタイプは、Web、API、Git SSH / HTTPS、およびレジストリへのリクエストに分けられます。バックエンドの場合、事前定義されたリソース境界に応じてさまざまな特性に従ってジョブをキューに入れます。これにより、さまざまなワークロードのサービスレベル目標（SLO）を設定できます。

これらのGitLab.comサービスはすべて、変更されていないGitLabHelmチャートを使用して構成されています。構成はサブチャートで行われます。サブチャートは、サービスをクラスターに徐々に移行するときに選択的に有効にできます。Redis、Postgres、GitLab Pages、Gitalyなど、一部のステートフルサービスを移行に含めないことが決定されましたが、KubernetesはChefが現在管理しているVMの数を大幅に削減します。

Kubernetesの透過性と構成管理

すべての設定はGitLab自体によって制御されます。このために、TerraformとHelmに基づく3つの構成プロジェクトが使用されます。可能な限り、GitLab自体を使用してGitLabを実行するように努めていますが、運用タスクのために、個別のGitLabインストールがあります。GitLab.comの展開と更新については、GitLab.comの可用性とは独立している必要があります。

Kubernetesクラスターのパイプラインは別のGitLabインストールで実行されますが、コードリポジトリには、次のアドレスで公開されているミラーがあります。

k8s-workloads / gitlab-com -GitLabHelmチャートのGitLab.com構成バインディング。
k8s-workloads/gitlab-helmfiles — , GitLab . , PlantUML;
Gitlab-com-infrastructure — Terraform Kubernetes (legacy) VM-. , , , , , IP-.

変更が行われると、公開されている短い要約が詳細な差分へのリンクとともに表示され、SREはクラスターに変更を加える前に解析します。

SREの場合、リンクは、本番環境で使用され、アクセスが制限されているGitLabインストールの詳細な差分を指します。これにより、運用プロジェクト（SREのみが利用可能）にアクセスできない従業員とコミュニティは、提案された構成変更を表示できます。コード用のGitLabのパブリックインスタンスとCIパイプライン用のプライベートインスタンスを組み合わせることにより、構成の更新についてGitLab.comからの独立性を確保しながら、単一のワークフローを維持します。

移行中にわかったこと

移動中に経験が蓄積され、Kubernetesでの新しい移行と展開に適用されます。

1. -

GitLab.comのGitリポジトリパークの毎日の出力統計（1日あたりのバイト数）

Googleは、ネットワークをリージョンに分割しています。次に、それらはアベイラビリティーゾーン（AZ）に分割されます。 Gitホスティングは大量のデータに関連付けられているため、ネットワークの出力を制御することが重要です。内部トラフィックの場合、出口は同じAZ内にある場合にのみ無料です。この記事の執筆時点では、通常の営業日に約100 TBのデータを提供しています（これはGitリポジトリのみです）。以前のVMベースのトポロジでは、同じ仮想マシン上にあったサービスが、異なるKubernetesポッドで実行されるようになりました。これは、以前はVMに対してローカルであったトラフィックの一部が、アベイラビリティーゾーンの外に出る可能性があることを意味します。

地域のGKEクラスターを使用すると、冗長性のために複数のアベイラビリティーゾーンにまたがることができます。大量のトラフィックを生成するサービスのために、地域のGKEクラスターを単一ゾーンクラスターに分割することを検討しています。これにより、クラスターの冗長性を維持しながら、出力コストが削減されます。

2.制限、リソース要求、およびスケーリング

Registry.gitlab.comで本番トラフィックを処理しているレプリカの数。トラフィックは約15：00UTCにピークになります。

移行のストーリーは、最初のサービスであるGitLab ContainerRegistryをKubernetesに移植した2019年8月に始まりました。このトラフィックの多いミッションクリティカルなサービスは、外部依存関係がほとんどないステートレスアプリケーションであるため、最初の移行に最適でした。最初に発生した問題は、ノードのメモリが不足しているためにプリエンプトされたポッドが多数あることでした。このため、リクエストと制限を変更する必要がありました。

メモリ消費が時間とともに増加するアプリケーションの場合、使用する「寛大な」厳格な制限と組み合わされた要求 'ov（各冗長メモリポッド' a）の低い値は、飽和（飽和）ユニットにつながることがわかりました。高レベルの変位。この問題に対処するために、リクエストを増やして制限を下げることが決定されました。これにより、ノードから圧力が取り除かれ、ノードに過度の圧力がかからないポッドのライフサイクルが確保されました。ここで、寛大な（そしてほぼ同一の）要求値と制限値で移行を開始し、必要に応じてそれらを調整します。

3.メトリクスとログ

インフラストラクチャは、システムの全体的な可用性に関連付けられた確立されたサービスレベル目標（SLO）を使用して、遅延、エラー率、および飽和状態に重点を置いています。

過去1年間、インフラストラクチャ部門の重要な進展の1つは、SLOの監視と操作の改善でした。 SLOにより、個々のサービスの目標を設定することができ、移行中に綿密に監視しました。ただし、このように可観測性が向上したとしても、メトリックとアラートを使用して問題をすぐに確認できるとは限りません。たとえば、待ち時間とエラー率に焦点を当てることにより、移行中のサービスのすべてのユースケースを完全に網羅しているわけではありません。

この問題は、一部のワークロードをクラスターに移動した直後に発見されました。リクエストの数は少ないが、構成の依存関係が非常に特殊な機能をチェックする必要がある場合は、特に深刻になりました。移行結果から得られた重要な教訓の1つは、メトリックだけでなく、ログと「ロングテール」（グラフ上での分布について話している-約Transl。）を監視するときに考慮する必要があることでした。今、それぞれの移行のために、我々はの詳細なリストが含まログのクエリをし、問題の場合は別のシフトから渡すことができる明確なロールバック手順を計画しています。

古いVMインフラストラクチャとKubernetesに基づく新しいVMインフラストラクチャで同じリクエストを並行して処理することは、ユニークな課題でした。リフトアンドシフト移行（新しいインフラストラクチャへの「現状のまま」のアプリケーションの迅速な転送。詳細については、たとえば、ここで読むことができます-約Transl。）とは異なり、「古い」VMとKubernetesでの並列作業には次のツールが必要です。監視システムは両方の環境と互換性があり、メトリックを1つのビューに組み合わせることができました。移行中に一貫した可観測性を実現するには、同じダッシュボードとログクエリを使用することが重要です。

4.トラフィックを新しいクラスターに切り替える

GitLab.comの場合、一部のサーバーはカナリアステージに割り当てられます。 Canary Parkは、社内プロジェクトに対応しており、ユーザーが有効にすることもできます。しかし、何よりもまず、インフラストラクチャとアプリケーションに加えられた変更を検証することを目的としています。移行された最初のサービスは、限られた量の内部トラフィックを受け入れることから始まりました。引き続きこの方法を使用して、すべてのトラフィックをクラスターに転送する前にSLOが満たされていることを確認します。

移行の場合、これは、内部プロジェクトへの最初の要求がKubernetesに送信され、次にHAProxyを介してバックエンドの重みを変更することにより、残りのトラフィックをクラスターに徐々に切り替えることを意味します。VMからKubernetesに移行する過程で、古いインフラストラクチャと新しいインフラストラクチャの間でトラフィックをリダイレクトする簡単な方法があり、したがって、移行後の最初の数日間は古いインフラストラクチャをロールバックできるようにしておくことが非常に有益であることが明らかになりました。

5.ポッドの予備力とその使用

ほぼ即座に、次の問題が特定されました。レジストリサービスのポッドはすぐに開始されましたが、Sidekiqのポッドの起動には最大2分かかりました。 Sidekiqの長時間実行ポッドは、ジョブを迅速に処理し、迅速に拡張する必要があるワーカーのワークロードをKubernetesに移行し始めたときに問題になりました。

この場合、KubernetesのHorizontal Pod Autoscaler（HPA）はトラフィックの増加を適切に処理しますが、ワークロードの特性を考慮し、予備のポッド容量を割り当てることが重要であるという教訓がありました（特に需要分散が不均一な環境では）。私たちの場合、ジョブが突然急増し、急速なスケーリングが必要になり、ノードプールをスケーリングする時間がなくなる前にCPUリソースが飽和状態になりました。

クラスターからできるだけ多くを絞り出したいという誘惑は常にありますが、最初はパフォーマンスの問題に直面していましたが、今では十分なポッドバジェットから始めて、後でスケールダウンし、SLOを注意深く監視しています。 Sidekiqサービスのポッドの起動が大幅に加速し、平均で約40秒かかります。GitLab.comと、公式のGitLab Helmチャートを使用する自己管理インストールのユーザーの両方が、ポッドの起動時間の短縮の恩恵を受けています。

結論

各サービスを移行した後、Kubernetesを本番環境で使用することの利点、つまり、より高速で安全なアプリケーションの展開、スケーリング、およびより効率的なリソース割り当てを享受しました。さらに、移行の利点はGitLab.comサービスを超えています。公式のヘルムチャートを改善するたびに、ユーザーにもメリットがあります。

Kubernetesの移行の冒険の話を楽しんでいただけたでしょうか。すべての新しいサービスを引き続きクラスターに移行します。追加情報は、次の出版物から入手できます。

翻訳者からのPS

私たちのブログも読んでください：

GitLab.comからKubernetesへの1年間の移行に関する調査結果