本文发表于一年多前。旧文章可能包含过时内容。请检查页面中的信息自发布以来是否已变得不正确。
使用 Jenkins 在 Kubernetes 中实现零停机部署
自从我们将 Kubernetes 持续部署和 Azure 容器服务插件添加到 Jenkins 更新中心以来,“如何创建零停机部署”是我们最常被问到的问题之一。我们在 Azure 上创建了一个快速入门模板,以演示零停机部署的外观。尽管我们的示例使用 Azure,但该概念很容易应用于所有 Kubernetes 安装。
滚动更新
Kubernetes 支持 RollingUpdate(滚动更新)策略,以在不造成停机的情况下逐步替换旧 Pod,同时继续为客户端提供服务。要执行滚动更新部署:
- 将
.spec.strategy.type设置为RollingUpdate(默认值)。 - 将
.spec.strategy.rollingUpdate.maxUnavailable和.spec.strategy.rollingUpdate.maxSurge设置为合理的数值。maxUnavailable:更新过程中可以不可用的最大 Pod 数量。这可以是副本计数的绝对数字或百分比;默认值为 25%。maxSurge:可以创建的超出所需 Pod 数量的最大 Pod 数量。同样,这可以是副本计数的绝对数字或百分比;默认值为 25%。
- 为您的服务容器配置
readinessProbe(就绪探测),以帮助 Kubernetes 确定 Pod 的状态。Kubernetes 只会将客户端流量路由到具有健康活跃探测的 Pod。
我们将使用官方 Tomcat 镜像的部署来演示这一点。
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: tomcat-deployment-rolling-update
spec:
replicas: 2
template:
metadata:
labels:
app: tomcat
role: rolling-update
spec:
containers:
- name: tomcat-container
image: tomcat:${TOMCAT_VERSION}
ports:
- containerPort: 8080
readinessProbe:
httpGet:
path: /
port: 8080
strategy:
type: RollingUpdate
rollingUp maxSurge: 50%
如果当前部署中运行的 Tomcat 是版本 7,我们可以将 ${TOMCAT_VERSION} 替换为 8 并将其应用于 Kubernetes 集群。通过 Kubernetes 持续部署或 Azure 容器服务插件,可以从环境变量中获取该值,从而简化部署过程。
在幕后,Kubernetes 像这样管理更新:
- 最初,所有 Pod 都在运行 Tomcat 7,前端服务将流量路由到这些 Pod。
- 在滚动更新期间,Kubernetes 会关闭一些 Tomcat 7 Pod 并创建相应的新 Tomcat 8 Pod。它确保:
- 所需 Pod 中最多
maxUnavailable个 Pod 不可用,也就是说,至少 (replicas-maxUnavailable) 个 Pod 应该服务客户端流量,在我们的例子中是 2-1=1。 - 在更新过程中最多可以创建 maxSurge 个 Pod,在我们的例子中是 2*50%=1。
- 所需 Pod 中最多
- 一个 Tomcat 7 Pod 被关闭,一个 Tomcat 8 Pod 被创建。Kubernetes 不会将流量路由到其中任何一个,因为它们的就绪探测尚未成功。
- 当新的 Tomcat 8 Pod 经就绪探测确定为就绪时,Kubernetes 将开始将流量路由到它。这意味着在更新过程中,用户可能会看到旧服务和新服务。
- 滚动更新通过关闭 Tomcat 7 Pod 并创建 Tomcat 8 Pod,然后将流量路由到就绪的 Pod 来继续。
- 最后,所有 Pod 都运行 Tomcat 8。
滚动更新策略确保我们始终有一些就绪的后端 Pod 服务客户端请求,因此不会出现服务停机。但是,需要格外注意:
- 在更新期间,旧 Pod 和新 Pod 都可能服务请求。如果服务层中没有明确定义的会话亲和性,用户可能会被路由到新 Pod,然后又回到旧 Pod。
- 这还要求您为数据和 API 维护明确定义的前向和后向兼容性,这可能具有挑战性。
- Pod 启动后,可能需要很长时间才能准备好处理流量。可能会有一段较长的时间窗口,在此期间流量由比平时更少的后端 Pod 提供服务。通常,这应该不是问题,因为我们倾向于在服务不那么繁忙时进行生产升级。但这也会延长问题 1 的时间窗口。
- 我们无法对正在创建的新 Pod 进行全面的测试。将应用程序更改从开发/QA 环境转移到生产环境可能会带来破坏现有功能的持续风险。就绪探测可以进行一些工作来检查就绪状态,但是,它应该是一个可以定期运行的轻量级任务,不适合用作启动完整测试的入口点。
蓝绿部署
引自 TechTarget 的蓝绿部署:
蓝绿部署是一种用于发布软件代码的变更管理策略。蓝绿部署,也可能被称为 A/B 部署,需要两个配置完全相同的相同硬件环境。当一个环境处于活动状态并为最终用户提供服务时,另一个环境保持空闲。
容器技术提供了一个独立的运行所需服务的环境,这使得创建蓝绿部署所需的相同环境变得非常容易。Kubernetes 中松耦合的服务 - ReplicaSets,以及基于标签/选择器的服务路由使得在不同后端环境之间切换变得容易。通过这些技术,Kubernetes 中的蓝绿部署可以按如下方式进行:
- 部署之前,基础设施按如下方式准备:
- 使用
TOMCAT_VERSION=7和TARGET_ROLE分别设置为 blue 或 green 准备蓝色部署和绿色部署。
- 使用
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: tomcat-deployment-${TARGET_ROLE}
spec:
replicas: 2
template:
metadata:
labels:
app: tomcat
role: ${TARGET_ROLE}
spec:
containers:
- name: tomcat-container
image: tomcat:${TOMCAT_VERSION}
ports:
- containerPort: 8080
readinessProbe:
httpGet:
path: /
port: 8080
- 准备公共服务端点,该端点最初路由到其中一个后端环境,例如
TARGET_ROLE=blue。
kind: Service
apiVersion: v1
metadata:
name: tomcat-service
labels:
app: tomcat
role: ${TARGET_ROLE}
env: prod
spec:
type: LoadBalancer
selector:
app: tomcat
role: ${TARGET_ROLE}
ports:
- port: 80
targetPort: 8080
- (可选)准备一个测试端点,以便我们可以访问后端环境进行测试。它们类似于公共服务端点,但仅供开发/运维团队内部访问。
kind: Service
apiVersion: v1
metadata:
name: tomcat-test-${TARGET_ROLE}
labels:
app: tomcat
role: test-${TARGET_ROLE}
spec:
type: LoadBalancer
selector:
app: tomcat
role: ${TARGET_ROLE}
ports:
- port: 80
targetPort: 8080
- 在非活动环境中更新应用程序,例如绿色环境。在部署配置中将
TARGET_ROLE=green和TOMCAT_VERSION=8设置为更新绿色环境。 - 通过
tomcat-test-green测试端点测试部署,以确保绿色环境已准备好服务客户端流量。 - 通过使用
TARGET_ROLE=green更新服务配置,将前端服务路由切换到绿色环境。 - 在公共端点上运行额外的测试,以确保其正常工作。
- 现在蓝色环境处于空闲状态,我们可以:
- 保留旧应用程序,以便在新应用程序出现问题时可以回滚。
- 更新它以使其成为活动环境的热备份。
- 减少其副本数量以节省占用资源。
与滚动更新相比,蓝绿部署 *公共服务要么路由到旧应用程序,要么路由到新应用程序,但绝不会同时路由到两者。
- 新 Pod 准备就绪所需的时间不影响公共服务质量,因为只有当所有新 Pod 都经过测试并准备就绪后,流量才会路由到它们。
- 我们可以在新环境投入公共流量服务之前对其进行全面测试。请记住,这是在生产环境中,测试不应污染实时应用程序数据。
Jenkins 自动化
Jenkins 提供易于设置的工作流程来自动化您的部署。通过 Pipeline 支持,可以灵活地构建零停机部署工作流程并可视化部署步骤。为了方便 Kubernetes 资源的部署过程,我们发布了基于 kubernetes-client 构建的 Kubernetes 持续部署和 Azure 容器服务插件。您可以将资源部署到 Azure Kubernetes Service (AKS) 或通用 Kubernetes 集群,而无需 kubectl,并且它支持资源配置中的变量替换,因此您可以将特定于环境的资源部署到集群,而无需更新资源配置。我们创建了一个 Jenkins Pipeline 来演示 AKS 的蓝绿部署。流程如下:
- 预清理:清理工作区。
- SCM:从源代码管理系统拉取代码。
- 准备镜像:准备应用程序 Docker 镜像并将其上传到某个 Docker 仓库。
- 检查环境:确定活动和非活动环境,这将驱动后续部署。
- 部署:将新的应用程序资源配置部署到非活动环境。使用 Azure 容器服务插件,这可以通过以下方式完成:
acsDeploy azureCredentialsId: 'stored-azure-credentials-id',
configFilePaths: "glob/path/to/*/resource-config-*.yml",
containerService: "aks-name | AKS",
resourceGroupName: "resource-group-name",
enableConfigSubstitution: true
- 验证暂存:验证部署到非活动环境,以确保其正常工作。再次强调,请注意这是在生产环境中,因此在测试期间务必小心,不要污染实时应用程序数据。
- 确认:可选地,发送电子邮件通知以进行手动用户批准,以继续进行实际环境切换。
- 切换:将前端服务端点路由切换到非活动环境。这只是对 AKS Kubernetes 集群的另一个服务部署。
- 验证生产:验证前端服务端点在新环境中是否正常工作。
- 后清理:对临时文件进行一些后清理。
对于滚动更新策略,只需将部署配置部署到 Kubernetes 集群,这是一个简单、单一的步骤。
整合所有内容
我们构建了一个 Azure 快速入门模板,以演示如何使用 Jenkins 在 AKS (Kubernetes) 上进行零停机部署。访问 Jenkins Kubernetes 蓝绿部署并点击“部署到 Azure”按钮以获取工作演示。此模板将提供:
- 一个 AKS 集群,包含以下资源:
- 两个相似的部署,分别代表“蓝色”和“绿色”环境。两者最初都设置为使用
tomcat:7 镜像。 - 两个测试端点服务(
tomcat-test-blue和tomcat-test-green),它们连接到相应的部署,可用于测试部署是否已准备好投入生产使用。 - 一个生产服务端点(
tomcat-service),代表用户将访问的公共端点。最初,它路由到“蓝色”环境。
- 两个相似的部署,分别代表“蓝色”和“绿色”环境。两者最初都设置为使用
- 一个运行在 Ubuntu 16.04 VM 上的 Jenkins Master,并配置了 Azure 服务主体凭据。Jenkins 实例有两个示例作业:
- AKS Kubernetes 滚动更新部署流水线,用于演示 AKS 的滚动更新部署。
- AKS Kubernetes 蓝绿部署流水线,用于演示 AKS 的蓝绿部署。
- 我们没有在快速入门模板中包含电子邮件确认步骤。要添加此步骤,您需要在 Jenkins 系统配置中配置电子邮件 SMTP 服务器详细信息,然后在“切换”之前添加一个流水线阶段。
stage('Confirm') {
mail (to: 'to@example.com',
subject: "Job '${env.JOB_NAME}' (${env.BUILD_NUMBER}) is waiting for input",
body: "Please go to ${env.BUILD_URL}.")
input 'Ready to go?'
}
按照步骤设置资源,然后启动 Jenkins 构建作业即可进行尝试。