APIServer dry-run和kubectl diff

作者：Antoine Pelisse（Google Cloud，@apelisse）

声明式（Declarative）配置管理，也称为配置即代码（configuration-as-code），是Kubernetes的关键优势之一。它允许用户提交所需的集群状态，并跟踪不同的版本，通过CI/CD管道改进审计和自动化。Apply工作组正在努力修复一些差距，而很高兴地宣布Kubernetes 1.13将服务器端干运行（server-side dry-run）和kubectl diff升级到beta。这两个特性是Kubernetes声明模型的重大改进。

挑战

为了在Kubernetes保持无缝的声明体验，仍然缺少一些部分，我们试图解决其中的一些问题：

• 虽然编译器（compiler）和质量器（linter）可以很好地检测代码拉取请求中的错误，但Kubernetes配置文件缺少良好的验证。现有的解决方案是运行kubectl apply --dry-run，但这会运行本地（local）干运行而不与服务器通信：它没有服务器验证，也没有通过验证许可控制器（validating admission controller）。例如，自定义资源名称仅在服务器上验证，因此本地干运行无济于事。
• 由于多种原因，很难知道服务器将如何应用你的对象：
  • 默认会将某些字段设置为潜在的意外值，
  • 变异（mutating）webhook可能会设置字段或更改某些值，
  • 修补（patch）和合并（merge）可能会在对象产生令人惊讶的效果和导致意外。例如，一旦合并，很难知道列表将如何排序。

工作组试图解决这些问题。

APIServer dry-run

实施APIServer dry-run来解决这两个问题：

• 它允许对apiserver的个别请求标记为“dry-run”，
• apiserver保证干运行请求不会被持久存储，
• 请求仍然作为典型请求处理：字段是默认的，对象是经过验证的，它通过验证准入链（validation admission chain），并通过变异准入链（mutating admission chain），然后最终的对象像往常一样返回给用户，没有被持久存储。

虽然动态准入控制器（dynamic admission controller）不应对每个请求产生副作用，但只有当所有准入控制器（admission controller）明确宣布它们没有任何干运行副作用时，才会处理干运行请求。

如何启用它

通过功能门（feature-gate）启用服务器端干运行。现在该功能在1.13中是Beta，默认情况下应该启用，但仍然可以使用kube-apiserver --feature-gates DryRun=true启用/禁用功能。

如果你有动态准入控制器，则可能必须将它们修复为：

• 当webhook请求中指定dry-run参数时，删除任何副作用，
• 在admissionregistration.k8s.io/v1beta1.Webhook对象的sideEffects字段中指定，指示该对象在干运行上没有副作用。

如何使用它

你可以使用kubectl apply --server-dry-run在kubectl触发该功能，它将使用dryRun标志装饰请求，并返回应用的对象，如果失败则返回错误。

Kubectl diff

APIServer dry-run很方便，因为它可以让你看到如何处理对象，但如果对象很大，很难准确识别出改变了什么。kubectl diff可以满足这方面的需要，通过显示当前“实时”对象与新“干运行”对象之间的差异。只关注对对象所做的更改，服务器如何合并这些更改，以及变异webhook如何影响输出，这非常方便。

如何使用它

kubectl diff希望与kubectl apply尽可能相似：kubectl diff -f some-resources.yaml将显示yaml文件中资源的差异。甚至可以使用KUBECTL_EXTERNAL_DIFF环境变量来使用他们选择的diff程序，例如：

KUBECTL_EXTERNAL_DIFF=meld kubectl diff -f some-resources.yaml

接下来是什么

工作组仍在忙着改进其中一些事情：

• 服务器端应用试图通过向字段添加所有者语义来改进应用（apply）方案！它还将改善对CRD和工会的支持！
• diff中缺少某些kubectl apply可能很有用的功能，例如按标签过滤或显示已修剪资源的功能。
• 最终，kubectl diff将使用服务器端应用！