Как создать и управлять CustomResourceDefinition (CRD) и Operators в Kubernetes 2026: практическое руководство | AdminWiki
Logo
Timeweb Cloud — сервера, Kubernetes, S3, Terraform. Лучшие цены IaaS.
Попробовать

Как создать и управлять CustomResourceDefinition (CRD) и Operators в Kubernetes 2026: практическое руководство

25 мая 2026 11 мин. чтения
Содержание статьи

Зачем Kubernetes нужны CRD и Operators? От абстракции к автоматизации

Стандартные ресурсы Kubernetes, такие как Deployment или StatefulSet, эффективно управляют контейнерами, но не подходят для сложных stateful-приложений. Управление жизненным циклом распределенной базы данных, включая резервное копирование, обновление схемы и отказоустойчивость, требует написания множества скриптов и ручного контроля. CRD (CustomResourceDefinition) и Operator решают эту проблему, вводя в кластер доменно-ориентированные абстракции. CRD регистрирует в API Kubernetes новый тип объекта, а Operator - это контроллер, который автоматически управляет его жизненным циклом по принципу желаемого состояния. Это следующий логический шаг после освоения стандартных ресурсов и Helm-чартов.

От ручных скриптов к декларативному оператору: эволюция управления в Kubernetes

Эволюция управления приложениями в Kubernetes проходит через три ключевых этапа.

  • Этап 1: Ручные команды и shell-скрипты. Администрирование через последовательные вызовы kubectl. Этот подход хрупкий, его сложно воспроизвести, а ошибки оператора ведут к неконсистентности состояния кластера.
  • Этап 2: Стандартные YAML-манифесты и Helm. Декларативное описание желаемого состояния приложения. Этот метод воспроизводим, но ему не хватает «интеллекта» для выполнения операционных задач, таких как обновление минорной версии PostgreSQL с миграцией данных.
  • Этап 3: Custom Resource + Operator. Комбинация декларативной конфигурации и автоматизированной бизнес-логики. Вы определяете ресурс «PostgresCluster» со спецификацией версии, размера хранилища и политики бэкапов. Operator непрерывно наблюдает за этим ресурсом и самостоятельно создает необходимые StatefulSet, ConfigMap, Service и Job для резервного копирования, обеспечивая соответствие реального состояния кластера вашим декларативным настройкам.

Operator действует как автопилот для специфичного приложения, который понимает его внутреннее устройство и может принимать решения на основе этого знания.

Создание CustomResourceDefinition (CRD): от идеи до регистрации в API

Создание CRD начинается с написания YAML-манифеста. Для актуальных версий Kubernetes (1.30+) используйте API версии apiextensions.k8s.io/v1. Ниже приведен полный, рабочий пример CRD для ресурса «CachedWebApp», который вы можете адаптировать.

apiVersion: apiextensions.k8s.io/v1
kind: CustomResourceDefinition
metadata:
  name: cachedwebapps.example.com
spec:
  group: example.com
  names:
    kind: CachedWebApp
    listKind: CachedWebAppList
    plural: cachedwebapps
    singular: cachedwebapp
    shortNames:
    - cwa
  scope: Namespaced
  versions:
  - name: v1alpha1
    served: true
    storage: true
    schema:
      openAPIV3Schema:
        type: object
        properties:
          spec:
            type: object
            properties:
              replicaCount:
                type: integer
                minimum: 1
                default: 2
              image:
                type: string
              cacheSizeMB:
                type: integer
                minimum: 128
            required:
            - replicaCount
            - image
    subresources:
      status: {}

Примените манифест в кластер: kubectl apply -f cachedwebapp.crd.yaml. Убедитесь в успешной регистрации: kubectl get crd cachedwebapps.example.com.

Пишем манифест CRD: разбор структуры на примере

Ключевые блоки манифеста требуют внимания.

  • spec.group: Доменное имя вашей группы API, например, example.com. Оно формирует полное имя ресурса: cachedwebapps.example.com.
  • spec.versions: Список версий API ресурса. Версии v1alpha1 и v1beta1 считаются нестабильными, v1 - стабильной. Поле storage: true указывает, какая версия используется для хранения данных в etcd.
  • spec.names: Определяет имена ресурса. kind (CachedWebApp) используется в YAML-манифестах. plural (cachedwebapps) - в командах kubectl get cachedwebapps. shortNames (cwa) позволяют использовать сокращения: kubectl get cwa. Правильный naming предотвращает конфликты с существующими или будущими ресурсами Kubernetes.
  • spec.scope: Определяет область видимости ресурса - Namespaced (существует в рамках пространства имен) или Cluster (глобальный для всего кластера).

Валидация схемы: защита от некорректных конфигураций с OpenAPI v3

Встроенная валидация на основе OpenAPI v3 схемы отклоняет неверные конфигурации на этапе создания, повышая надежность системы. В примере выше блок spec.versions[*].schema.openAPIV3Schema определяет схему.

  • Поле replicaCount имеет тип integer с ограничением minimum: 1. Попытка создать ресурс со значением 0 или отрицательным числом будет отклонена API-сервером Kubernetes.
  • Поля replicaCount и image указаны в массиве required, что делает их обязательными для заполнения.
  • Поле cacheSizeMB имеет значение по умолчанию, которое будет применено, если пользователь его не указал.

Этот механизм заменяет множество проверок в скриптах и обеспечивает базовую целостность данных до того, как они попадут в контроллер Operator'а. Для более сложной логики, например проверки существования образа в registry, потребуются Admission Webhooks, о которых мы расскажем далее.

Архитектура Kubernetes Operator: как работает Controller Runtime

Operator - это реализация паттерна «Контроллер» в Kubernetes. Его архитектура строится вокруг трех ключевых компонентов: наблюдение (Observe), сравнение (Diff) и действие (Act). Библиотека Controller Runtime предоставляет каркас для реализации этого паттерна. Она управляет клиентом Kubernetes (client.Client), который взаимодействует с API-сервером, и кэшем для эффективного отслеживания (watch) изменений ресурсов. Основной цикл работы - Reconcile Loop (цикл согласования).

Для разработки операторов в экосистеме Kubernetes существуют два основных фреймворка: Kubebuilder и Operator SDK. Kubebuilder, поддерживаемый самим сообществом Kubernetes, предоставляет более структурированный и идиоматичный подход, генерируя чистый код, соответствующий стандартам проекта. Operator SDK предлагает больше гибкости и поддержку ансибль- и хелм-операторов. Для большинства задач, особенно при начале работы, Kubebuilder - рекомендуемый выбор из-за своей простоты и интеграции с экосистемой.

Reconcile Loop: цикл согласования желаемого и фактического состояния

Функция Reconcile - сердце любого оператора. Она вызывается при любом изменении отслеживаемого кастомного ресурса (создание, обновление, удаление) и должна быть идемпотентной. Это означает, что повторный вызов функции с теми же входными данными должен приводить к одинаковому конечному состоянию системы. Цикл состоит из этапов.

  1. Чтение желаемого состояния: Operator получает текущую спецификацию кастомного ресурса, например, .spec.replicaCount и .spec.image из нашего CachedWebApp.
  2. Анализ текущего состояния: Operator проверяет кластер, используя клиент Kubernetes, чтобы узнать, какие стандартные ресурсы (Deployment, Pods, Services) уже существуют и в каком они состоянии.
  3. Выполнение действий: Operator вычисляет разницу между желаемым и текущим состоянием. Если Deployment отсутствует - создает его. Если образ в Deployment не соответствует .spec.image - обновляет его. Если количество реплик отличается - масштабирует Deployment. Цель - привести реальное состояние кластера к декларируемому в кастомном ресурсе.

Kubebuilder: фреймворк для быстрого старта и структурированного кода

Kubebuilder ускоряет начальные этапы разработки, генерируя каркас проекта. Установите kubebuilder и выполните команды в пустом каталоге.

# Инициализация проекта с доменом example.com
kubebuilder init --domain example.com --repo example.com/cachedwebapp-operator

# Создание API (CRD и контроллера) для вида CachedWebApp
kubebuilder create api --group cache --version v1alpha1 --kind CachedWebApp

Эти команды генерируют:

  • Структуру Go-модуля и каркас контроллера в controllers/cachedwebapp_controller.go.
  • Определения типов Go для CRD в api/v1alpha1/cachedwebapp_types.go.
  • Манифесты CRD и RBAC в каталоге config/.

Логику работы оператора вы будете писать в функции Reconcile в файле контроллера, а структуру полей кастомного ресурса - в файле типов.

Пишем своего первого Operator'а: от каркаса к рабочей логике

После генерации каркаса с помощью Kubebuilder необходимо реализовать бизнес-логику. Откройте файл controllers/cachedwebapp_controller.go. Вам нужно модифицировать функцию Reconcile. Полный пример ключевой логики приведен ниже.

func (r *CachedWebAppReconciler) Reconcile(ctx context.Context, req ctrl.Request) (ctrl.Result, error) {
    log := log.FromContext(ctx)
    log.Info("Starting reconcile", "CachedWebApp", req.NamespacedName)

    // 1. Получение желаемого состояния: читаем наш кастомный ресурс
    var cachedWebApp cachev1alpha1.CachedWebApp
    if err := r.Get(ctx, req.NamespacedName, &cachedWebApp); err != nil {
        return ctrl.Result{}, client.IgnoreNotFound(err)
    }

    // 2. Анализ текущего состояния: проверяем, существует ли Deployment
    foundDeployment := &appsv1.Deployment{}
    err := r.Get(ctx, types.NamespacedName{Name: cachedWebApp.Name, Namespace: cachedWebApp.Namespace}, foundDeployment)

    // 3. Выполнение действий: создаем или обновляем Deployment
    desiredDeployment := r.deploymentForCachedWebApp(&cachedWebApp)
    if errors.IsNotFound(err) {
        // Deployment не существует - создаем
        log.Info("Creating a new Deployment", "Deployment.Namespace", desiredDeployment.Namespace, "Deployment.Name", desiredDeployment.Name)
        if err = r.Create(ctx, desiredDeployment); err != nil {
            return ctrl.Result{}, err
        }
    } else if err == nil {
        // Deployment существует - обновляем, если спецификация изменилась
        if !reflect.DeepEqual(foundDeployment.Spec, desiredDeployment.Spec) {
            foundDeployment.Spec = desiredDeployment.Spec
            log.Info("Updating Deployment", "Deployment.Namespace", foundDeployment.Namespace, "Deployment.Name", foundDeployment.Name)
            if err = r.Update(ctx, foundDeployment); err != nil {
                return ctrl.Result{}, err
            }
        }
    } else {
        return ctrl.Result{}, err
    }

    // Аналогичная логика для создания/обновления Service...
    return ctrl.Result{}, nil
}

// Вспомогательная функция для построения объекта Deployment на основе CR
func (r *CachedWebAppReconciler) deploymentForCachedWebApp(cwa *cachev1alpha1.CachedWebApp) *appsv1.Deployment {
    dep := &appsv1.Deployment{
        ObjectMeta: metav1.ObjectMeta{
            Name:      cwa.Name,
            Namespace: cwa.Namespace,
        },
        Spec: appsv1.DeploymentSpec{
            Replicas: &cwa.Spec.ReplicaCount,
            Selector: &metav1.LabelSelector{
                MatchLabels: map[string]string{"app": cwa.Name},
            },
            Template: corev1.PodTemplateSpec{
                ObjectMeta: metav1.ObjectMeta{
                    Labels: map[string]string{"app": cwa.Name},
                },
                Spec: corev1.PodSpec{
                    Containers: []corev1.Container{{
                        Name:  "app",
                        Image: cwa.Spec.Image,
                        Env: []corev1.EnvVar{{
                            Name:  "CACHE_SIZE_MB",
                            Value: fmt.Sprintf("%d", cwa.Spec.CacheSizeMB),
                        }},
                    }},
                },
            },
        },
    }
    ctrl.SetControllerReference(cwa, dep, r.Scheme)
    return dep
}

Этот код считывает спецификацию из CachedWebApp и гарантирует существование соответствующего Deployment с правильным количеством реплик, образом и переменной окружения. Аналогичным образом создается Service.

Тестирование: запускаем Operator и проверяем его работу

После реализации логики соберите образ оператора и разверните его в кластере.

# Сборка Docker-образа
make docker-build docker-push IMG=/cachedwebapp-controller:v1.0.0

# Развертывание оператора в кластере
make deploy IMG=/cachedwebapp-controller:v1.0.0

Создайте экземпляр кастомного ресурса, используя пример из сгенерированного манифеста config/samples/cache_v1alpha1_cachedwebapp.yaml.

apiVersion: cache.example.com/v1alpha1
kind: CachedWebApp
metadata:
  name: cachedwebapp-sample
spec:
  replicaCount: 3
  image: "nginx:1.25"
  cacheSizeMB: 256

Примените его: kubectl apply -f config/samples/cache_v1alpha1_cachedwebapp.yaml. Проверьте создание ресурса и подов:

kubectl get cachedwebapps
kubectl get pods

Чтобы убедиться, что оператор работает, измените количество реплик в ресурсе и примените манифест снова. Operator автоматически масштабирует Deployment. Для отладки просмотрите логи контроллера:

kubectl logs -f deployment/cachedwebapp-controller-manager -n cachedwebapp-system -c manager

Продвинутые практики: вебхуки, финализаторы и управление статусом

Базовый оператор работает, но для production-среды требуются дополнительные механизмы. Validating и Mutating Admission Webhooks позволяют выполнять сложную программную валидацию или модификацию ресурсов перед их сохранением в etcd. В отличие от статической OpenAPI-схемы, вебхуки могут делать запросы к внешним системам, например, проверять существование образа в container registry или гарантировать уникальность имен в рамках кластера.

Финализаторы (Finalizers) - это механизм graceful deletion. Без них при удалении кастомного ресурса Kubernetes немедленно удаляет объект из etcd, но внешние ресурсы (например, PersistentVolume в облачном провайдере) остаются. Добавив finalizer в метаданные ресурса, вы блокируете его удаление до тех пор, пока контроллер не выполнит всю необходимую очистку и не удалит finalizer из объекта. В функции Reconcile проверяйте поле metadata.deletionTimestamp - если оно не nil, ресурс помечен на удаление, и нужно выполнить cleanup-логику.

Управление статусом через поле .status кастомного ресурса критически важно для пользователя. Статус должен отражать текущую фазу работы оператора («Provisioning», «Ready», «Error»), условия (Conditions) с сообщениями об ошибках и другую полезную информацию, например, текущий IP-адрес созданного сервиса. Это позволяет пользователям и системам мониторинга понимать состояние управляемого приложения.

Admission Webhooks: валидация и мутация по сложным правилам

Вебхук - это HTTP-сервис, который Kubernetes вызывает для валидации (ValidatingWebhook) или модификации (MutatingWebhook) запроса. Kubebuilder может сгенерировать каркас для вебхуков. Пример ValidatingWebhook для CachedWebApp может проверять, что указанный образ соответствует определенному паттерну имени или существует в доверенном registry. Архитектурно вебхук часто размещается в том же Pod, что и основной контроллер оператора.

Финализаторы (Finalizers) и корректное удаление ресурсов

Реализация graceful deletion через finalizers предотвращает утечку ресурсов. Алгоритм такой.

  1. При создании ресурса оператор добавляет в его metadata.finalizers уникальный идентификатор, например, finalizer.cache.example.com.
  2. Когда пользователь выполняет kubectl delete, Kubernetes лишь устанавливает metadata.deletionTimestamp и блокирует фактическое удаление объекта из etcd, пока список finalizers не пуст.
  3. Оператор в цикле Reconcile видит установленный timestamp, выполняет всю необходимую очистку (удаление облачных дисков, отзыв сертификатов и т.д.), а затем удаляет finalizer из объекта.
  4. Kubernetes, видя пустой список finalizers, окончательно удаляет объект.

Безопасность и оптимизация Operator'а в продакшене

Безопасность оператора начинается с корректной настройки RBAC (Role-Based Access Control). Kubebuilder генерирует манифесты RBAC в config/rbac/. Эти правила должны следовать принципу наименьших привилегий. Например, оператору, управляющему Deployment в определенном namespace, не нужны права на создание PodSecurityPolicies во всем кластере. Пересмотрите сгенерированные правила и сузьте их до конкретных ресурсов, verbs (get, list, watch, create, update, delete) и namespaces.

Оптимизация производительности включает настройку кэширования клиента и обработку rate limiting. Controller Runtime по умолчанию кэширует объекты, что снижает нагрузку на API-сервер. Однако при работе с тысячами объектов важно настроить фильтры кэша, чтобы отслеживать только релевантные ресурсы. Также учитывайте ограничения API-сервера на количество запросов; логика Reconcile должна быть идемпотентной и предусматривать повторные попытки с экспоненциальной задержкой при ошибках типа «too many requests».

Мониторинг оператора осуществляется через стандартные механизмы Kubernetes. Записывайте ключевые события в объекты Events Kubernetes с помощью r.Recorder.Event(...). Интегрируйте метрики контроллера (например, количество reconciliations, их длительность, ошибки) с Prometheus, используя инструментарий из библиотек controller-runtime. Это позволит отслеживать здоровье оператора и настраивать алерты.

RBAC: настройка прав доступа по принципу наименьших привилегий

Сгенерированная ClusterRole для оператора CachedWebApp может выглядеть избыточной. Проанализируйте, какие ресурсы действительно нужны вашему оператору. Если он управляет только Deployment, Service и собственным CRD в рамках одного namespace, замените ClusterRole на Role и используйте RoleBinding, привязанный к ServiceAccount оператора в этом namespace. Это минимизирует ущерб в случае компрометации оператора. Например, роль может быть ограничена:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: cachedwebapp-system
  name: cachedwebapp-role
rules:
- apiGroups: ["apps"]
  resources: ["deployments", "replicasets"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
- apiGroups: [""]
  resources: ["services", "events"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
- apiGroups: ["cache.example.com"]
  resources: ["cachedwebapps"]
  verbs: ["get", "list", "watch", "update", "patch"]
- apiGroups: ["cache.example.com"]
  resources: ["cachedwebapps/status", "cachedwebapps/finalizers"]
  verbs: ["get", "update", "patch"]

Для углубленного понимания архитектуры контроллеров и циклов реконсиляции рекомендуем статью «Kubernetes Operator: создание CRD и контроллера для автоматизации БД». Если вы решаете, использовать ли CRD или ConfigMap для конфигурации, сравнение подходов и готовую таблицу решений вы найдете в руководстве «CRD vs ConfigMap: практическое руководство по выбору инструмента для конфигурации в Kubernetes». Для автоматизации сложных приложений, таких как PostgreSQL или Prometheus, готовые решения и критерии их выбора разобраны в материале «Операторы Kubernetes в 2026: архитектура, CRD и контроллеры, практика внедрения для DevOps». Полный цикл разработки оператора на Go с использованием Operator SDK, от инициализации до внедрения, описан в соответствующем практическом руководстве. Для управления стандартными приложениями в продакшене используйте готовые production-манифесты из статьи «Kubernetes Deployment: полное руководство по управлению приложениями».

Интеграция сложных систем автоматизации часто требует использования специализированных API. Сервис AiTunnel предоставляет единый интерфейс для доступа к более чем 200 моделям ИИ, включая GPT, Gemini и Claude, что может быть полезно для создания интеллектуальных операторов, способных анализировать логи или метрики.

Поделиться:
Сохранить гайд? В закладки браузера