talsoctl

Установка на ALT платформах

Пакет с клиентской утилитой управления ОС ALT Orchestra установливается и обновляется на рабочем месте администратора пользователя через пакетный менеджер. Сейчас пакет доступен в пакетных репозиториях веток sisyphus, p11.

# apt-get install talosctl

Подробное описание утилиты смотрите в терминале:

$ talosctl --help

Конфигурация клиента

Конфигурация talosctl хранится в файле $HOME/.talos/config. Расположение этого файла всегда можно переопределить с помощью переменной окружения TALOSCONFIG или параметра --talosconfig.

Подобно kubectl, утилита talosctl использует концепцию контекстов конфигурации (configuration contexts), что позволяет управлять любым количеством кластеров ALT Orchestra с помощью одного конфигурационного файла.

Также в talosctl предусмотрены удобные механизмы для объединения новых контекстов с существующей конфигурацией. По умолчанию используется неразрушающее объединение (non-destructive merge): если в файле уже существует контекст с таким же именем, добавляемый контекст будет автоматически переименован путём добавления числового индекса. При необходимости можно легко настроить поведение так, чтобы существующий контекст перезаписывался. Подробнее см. в справке команды talosctl config help.

Endpoints и Nodes

Endpoints — это точки подключения, с которыми клиент взаимодействует напрямую. Это могут быть балансировщики нагрузки, DNS-имена, список IP-адресов и т.п.

Если указано несколько endpoints, клиент автоматически выполняет балансировку нагрузки и переключение на резервные узлы (failover) между ними.

Рекомендуется указывать в качестве endpoints набор узлов control plane либо напрямую, либо через балансировщик нагрузки.

Каждый endpoint автоматически проксирует запросы, предназначенные для другого узла кластера, поэтому нет необходимости изменять конфигурацию endpoints только потому, что требуется обратиться к другому узлу внутри кластера.

Однако endpoints должны принадлежать тому же кластеру ALT Orchestra, что и целевой узел, поскольку такие проксируемые соединения используют аутентификацию на основе сертификатов.

Node — это целевой узел, на котором необходимо выполнить вызов API. Хотя целевой узел (или даже набор узлов) можно указать в конфигурационном файле talosctl, рекомендуется этого не делать и вместо этого явно задавать целевые узлы через параметры командной строки -n или --nodes.

При указании узлов следует использовать их IP-адреса и/или имена хостов в том виде, в котором их видят endpoint-серверы, а не клиент. Это связано с тем, что все соединения сначала проксируются через endpoints.

Флаг --insecure

Флаг --insecure является параметром отдельной команды и позволяет клиенту talosctl взаимодействовать с Talos API, когда узел находится в режиме обслуживания (maintenance mode), то есть до того, как на него была применена конфигурация машины (machine configuration).

Обычно ALT Orchestra использует взаимную TLS-аутентификацию (mTLS) для всех взаимодействий с API. Это означает, что и клиент talosctl, и узел проверяют подлинность друг друга с помощью сертификатов, предоставленных в конфигурации машины.

Однако, когда узел находится в режиме обслуживания, он по-прежнему предоставляет Talos API через TLS, но с рядом важных отличий:

• узел использует самоподписанный TLS-сертификат;
• клиент (talosctl) не предоставляет собственный сертификат;
• ни одна из сторон не может проверить подлинность другой.

В такой ситуации флаг --insecure указывает talosctl не выполнять проверку сертификата сервера, что позволяет установить соединение.

Только ограниченный набор команд Talos API поддерживает флаг --insecure — в основном это команды, необходимые для первоначальной настройки и выполнения операций обслуживания.

После применения конфигурации машины (machine config) использование флага --insecure для дальнейших операций необходимо прекратить. С этого момента узел ожидает защищённое взаимодействие с использованием сертификатов, хранящихся в файле talosconfig.

Примечание: флаг --insecure используется в ином контексте командой talosctl image cache-create. Эта команда предназначена не для взаимодействия с узлом ALT Orchestra, а для работы с небезопасными реестрами контейнерных образов (image registries), которые не поддерживают TLS.