Helm 是 Kubernetes 的包管理器。包管理器类似于 Ubuntu 中使用的apt、Centos中使用的yum 或者Python中的 pip 一样,能快速查找、下载和安装软件包。
Helm 由客户端组件 helm 和服务端组件 Tiller 组成, 能够将一组K8S资源打包统一管理, 是查找、共享和使用为Kubernetes构建的软件的最佳方式。
在 Kubernetes中部署一个可以使用的应用,需要涉及到很多的 Kubernetes 资源的共同协作。例如安装一个 WordPress 博客,用到了一些 Kubernetes (下面全部简称k8s)的一些资源对象,包括 Deployment 用于部署应用、Service 提供服务发现、Secret 配置 WordPress 的用户名和密码,可能还需要 pv 和 pvc 来提供持久化服务。并且 WordPress 数据是存储在mariadb里面的,所以需要 mariadb 启动就绪后才能启动 WordPress。这些 k8s 资源过于分散,不方便进行管理,直接通过 kubectl 来管理一个应用,变得十分困难。
总结,在 k8s 中部署一个应用,通常面临以下几个问题:
Helm 包含两个组件,分别是 helm 客户端 和 Tiller 服务器:
下图描述了 Helm 的几个关键组件 Helm(客户端)、Tiller(服务器)、Repository(Chart 软件仓库)、Chart(软件包)之间的关系以及它们之间如何通信。
Helm的打包格式叫做chart,所谓chart就是一系列文件, 它描述了一组相关的 k8s 集群资源。Chart中的文件安装特定的目录结构组织:
chart 结构
使用官方提供的脚本一键安装。
curl https://raw.githubusercontent.com/kubernetes/helm/master/scripts/get > get_helm.sh
chmod 700 get_helm.sh
./get_helm.sh
安装好 helm 客户端后,就可以通过以下命令将 Tiller 安装在 kubernetes 集群中:
helm init
这个地方默认使用 “https://kubernetes-charts.storage.googleapis.com” 作为缺省的 stable repository 的地址,但由于国内有一张无形的墙的存在,googleapis.com 是不能访问的。可以使用阿里云的源来配置:
helm init --upgrade \
-i registry.cn-hangzhou.aliyuncs.com/google_containers/tiller:v2.9.1 \
--stable-repo-url https://kubernetes.oss-cn-hangzhou.aliyuncs.com/charts
执行上面命令后,可以通过 kubectl get po -n kube-system 来查看 tiller 的安装情况。
由于 kubernetes 从1.6 版本开始加入了 RBAC 授权。当前的 Tiller 没有定义用于授权的 ServiceAccount, 访问 API Server 时会被拒绝,需要给 Tiller 加入授权。
创建 Kubernetes 的服务帐号和绑定角色。
# 1. 创建 serviceaccount
$. kubectl create serviceaccount --namespace kube-system tiller
# 结果
serviceaccount "tiller" created
# 绑定 clusterrolebinding
$. kubectl create clusterrolebinding tiller-cluster-rule \
--clusterrole=cluster-admin \
--serviceaccount=kube-system:tiller
# 结果
clusterrolebinding.rbac.authorization.k8s.io "tiller-cluster-rule" created
给 Tiller 的 deployments 添加刚才创建的 ServiceAccount.
$. kubectl patch deploy \
--namespace kube-system tiller-deploy \
-p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'
# 结果
deployment.extensions "tiller-deploy" patched
查看 Tiller deployments 资源是否绑定 ServiceAccount.
$.kubectl get deploy \
-n kube-system \
tiller-deploy -o yaml | grep serviceAccount
# 结果
serviceAccount: tiller
serviceAccountName: tiller
$. helm version
# 结果
Client: &version.Version{SemVer:"v2.9.1", GitCommit:"20adb27c7c5868466912eebdf6664e7390ebe710", GitTreeStat
安装成功后,即可使用 helm install xxx 来安装 helm 应用。
如果需要删除 Tiller,可以通过
kubectl delete deployment tiller-deploy --namespace kube-system
或者使用
helm reset
来删除 Tiller 的 deployment。
使用 helm 来操作 chart,包括创建、删除、打包、安装等使用。
Helm 的核心命令:
helm create 创建一个 Chart 模板。
helm create testCreating test
helm package 打包一个 Chart 模板。
$. helm package test
Successfully packaged chart and saved it to: root/test-0.1.0.tgz
$. helm search nginx
NAME CHART VERSION APP VERSION DESCRIPTION
stable/nginx-ingress 0.9.5 0.10.2 An nginx Ingress controller that uses ConfigMap...
stable/nginx-lego 0.3.1 Chart for nginx-ingress-controller and kube-lego
stable/gcloud-endpoints 0.1.0 Develop, deploy, protect and monitor your APIs ...
helm inspect 查看指定 Chart 的基本信息
$. helm inspect
apiVersion: v1
appVersion: "1.0"
description: A Helm chart for Kubernetes
name: test
version: 0.1.0
helm install 根据指定的 Chart 部署一个 Release 到 Kubernetes 集群。
wordpress
├── charts
├── Chart.yaml
├── README.md
├── requirements.lock
├── requirements.yaml
├── templates
│ ├── deployment.yaml
│ ├── externaldb-secrets.yaml
│ ├── _helpers.tpl
│ ├── ingress.yaml
│ ├── NOTES.txt
│ ├── pvc.yaml
│ ├── secrets.yaml
│ ├── svc.yaml
│ └── tls-secrets.yaml
└── values.yaml
一个 wordpress chart 如上(去除部分 test 和 charts 依赖), 基本结构由以下几个部分组成: