في 24 نوفمبر، انتهت دورة Slurm Mega، وهي دورة مكثفة متقدمة حول Kubernetes. سيعقد في موسكو في الفترة من 18 إلى 20 مايو.
فكرة Slurm Mega: نحن ننظر تحت غطاء المجموعة، ونحلل نظريًا ونمارس تعقيدات تثبيت وتكوين مجموعة جاهزة للإنتاج ("الطريقة غير السهلة")، وننظر في الآليات لضمان الأمن والتسامح مع الخطأ في التطبيقات.
المكافأة الضخمة: أولئك الذين يجتازون Slurm Basic وSlurm Mega يحصلون على كل المعرفة اللازمة لاجتياز الاختبار وخصم 50% على الامتحان.
شكر خاص لشركة Selectel لتوفير سحابة للتدريب، بفضلها عمل كل مشارك في مجموعته الكاملة، ولم يكن علينا إضافة 5 آلاف إضافية إلى سعر التذكرة لهذا الغرض.
لن أخبركم من هما بونداريف وسيليفانوف، لمن يهمه الأمر، .
سلمم ميجا. اليوم الأول.
في اليوم الأول من Slurm Mega، قمنا بتحميل المشاركين بأربعة مواضيع. تحدث بافيل سيليفانوف عن عملية إنشاء مجموعة تجاوز الفشل من الداخل، وعن عمل Kubeadm، وكذلك عن اختبار المجموعة واستكشاف الأخطاء وإصلاحها.
استراحة القهوة الأولى. عادة ما يكون "جرس المعلم"، ولكن في Slurm، بينما يشرب الطلاب القهوة، يستمر المعلمون في الإجابة على الأسئلة.
وعلى الرغم من أن سحابة "الاستراحة الثانية" تحوم فوق رأس بافيل سيليفانوف، إلا أن مصيره ليس الاستراحة.
ينتظر سيرجي بونداريف ومارسيل إيبرايف دورهما للصعود إلى المنبر.
خلال فترة الاستراحة، تواصلت مع سيرجي بونداريف وسألته: "ما هي النصيحة التي ستقدمها لجميع مهندسي Kubernetes بناءً على خبرتك في العمل مع مجموعات عملائنا؟"
قدم سيرجي توصية بسيطة: "منع الوصول من الإنترنت إلى خادم API. لأنه من وقت لآخر هناك تهديدات أمنية تسمح للمستخدمين غير المصرح لهم بالوصول إلى المجموعة.»
بعد بضع دقائق وزجاجة من المياه المعدنية، اندفع بافيل سيليفانوف إلى المعركة مع ظل موضوع "التفويض في المجموعة باستخدام مزود خارجي"، أي LDAP (Nginx + Python) وOIDC (Dex + Gangway).
خلال الاستراحة التالية، قدم مارسيل إيبرايف، المتحدث باسم Slurm، ومدير Kubernetes المعتمد، نصيحته لمهندسي Kubernetes: "سأقول شيئًا تافهًا على ما يبدو، لكن بالنظر إلى عدد المرات التي أواجه فيها هذا الأمر، لدي شك في أنه لا يأخذ الجميع هذا في الاعتبار. لا يجب أن تصدق بشكل أعمى أي طريقة إرشادية من الإنترنت ستخبرك بمدى نجاح هذا الحل أو ذاك. في سياق Kubernetes، يأخذ هذا معنى خاصًا. لأن Kubernetes هو نظام معقد وإضافة حل له لم يتم اختباره في مشروعك الخاص وتثبيت المجموعة الخاص بك يمكن أن يؤدي إلى عواقب وخيمة، على الرغم من حقيقة أنهم كتبوا على الإنترنت عن روعته. حتى مجرد Kubernetes نفسه بدون نهج متوازن يمكن أن يضر بمشروعك، "ما هو جيد بالنسبة للروسي هو الموت للألماني". ولذلك، فإننا نقوم باختبار أي حل وفحصه واختباره قبل تنفيذه بأنفسنا. هذه هي الطريقة الوحيدة التي ستأخذ بها في الاعتبار جميع الفروق الدقيقة التي قد تنشأ.".
بعد الغداء، دخل سيرجي بونداريف المعركة. موضوعه هو سياسة الشبكة، أي مقدمة لـ CNI وسياسة أمان الشبكة.
الإنترنت مليء بالمقالات حول سياسة الشبكة. هناك رأي بين المسؤولين بأنه يمكن الاستغناء عن سياسات الشبكة، لكن المتخصصين في مجال الأمن يحبون هذه الأداة حقًا ويطالبون بتمكين سياسات الشبكة.
تولى بافيل سيليفانوف قيادة Kubernetes خلفًا لسيرجي بونداريف بموضوع "التطبيقات الآمنة والمتاحة للغاية في المجموعة". لديه المواضيع المفضلة: PodSecurityPolicy، PodDisruptionBudget، LimitRange/ResourceQuota.
موضوع ميجا الذي تحدث عنه بافيل في DevOpsConf: .
بعد إخبارهم بمدى سهولة اختراق مجموعة Kubernetes، يقول المسؤولون المتشككون: "نعم، لقد أخبرتك، نظام Kubernetes الخاص بك مليء بالثغرات." يوضح بافيل أنه من الممكن تكوين الأمان في المجموعة، وهذا ليس بالأمر الصعب، كل ما في الأمر هو أن إعدادات الأمان معطلة افتراضيًا. التفاصيل في النص .
- من كسر الكتلة؟ لقد كسر الكتلة! أستطيع أن أرى تماما من هنا!
في Slurms، كل شيء ليس بسيطًا وسهلاً أبدًا، حتى لا تشعر بالملل. لكن هذه المرة قرر Telegram أن يوضح للجميع النقطة الخامسة:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
وبهذا انتهى اليوم الأول، مشرقًا ومليئًا بالمعرفة العملية. في اليوم الثاني، سيكون هناك المزيد من التدريب، مثل إطلاق مجموعة قواعد البيانات باستخدام PostgreSQL كمثال، وإطلاق مجموعة RabbitMQ، وإدارة الأسرار في Kubernetes.
سلمم ميجا. ثاني يوم.
بدأ المذيع اليوم الثاني بإعلان مبهج: "في الصباح، كما قال بافيل بالأمس، ينتظرنا المتشددين الحقيقيون. بلغة الجراحين، سوف ندخل إلى أحشاء كوبيرنيتيس!
الفنان الجماعي قصة مختلفة. إحدى مشكلات Slurm هي أن الأشخاص يتوقفون عن التحميل الزائد للمعلومات وينامون. كنا نبحث دائمًا عن طريقة لفعل شيء حيال ذلك، وقد نجحت الألعاب الصغيرة مع الجمهور بشكل جيد في Slurm الأخير. هذه المرة قمنا بتعيين شخص مدرب خصيصًا. كان هناك الكثير من النكات في الدردشة حول "مسابقات مثيرة للاهتمام"، لكن الحقيقة تظل أننا لم نر مثل هذا المشاركين المبتهجين من قبل.
لقد جاءوا لإنقاذ مارسيل إيبرايف - وبدأ في دراسة التطبيقات ذات الحالة في المجموعة. وهي إطلاق مجموعة قاعدة بيانات باستخدام PostgreSQL كمثال وإطلاق مجموعة RabbitMQ.
بعد الغداء، بدأ سيرجي بونداريف العمل على K8S. وكان الموضوع "حفظ الأسرار". قام مولدر وسكالي بتغطيته. درس الإدارة السرية في Kubernetes وVault. وأيضا "الحقيقة هناك".
واستمر ذلك حتى وقت متأخر من المساء، عندما بدأ بافيل سيليفانوف يتحدث عن المقياس التلقائي للقرص الأفقي
سلمم ميجا. اليوم الثالث.
بشكل حاد ومبهج، منذ الصباح، أثار سيرجي بونداريف الجمهور بالنسخ الاحتياطي والتعافي من الإخفاقات. لقد تحققت من النسخ الاحتياطي والاسترداد للمجموعة باستخدام Heptio Velero وما إلى ذلك شخصيًا.
واصل سيرجي موضوع التناوب السنوي للشهادات في المجموعة: تجديد شهادات مستوى التحكم باستخدام kubeadm. قبل الغداء مباشرة، ومن أجل إثارة شهية المشاركين أو قتلها تمامًا، أثار بافيل سيليفانوف موضوع نشر التطبيق.
تم أخذ أدوات القوالب والنشر في الاعتبار، بالإضافة إلى استراتيجيات النشر.
تحدث بافيل سيليفانوف عن موضوع جديد: شبكة الخدمة، تركيب Istio. لقد تبين أن الموضوع غني جدًا بحيث يمكنك القيام بدورة مكثفة منفصلة عنه. نحن نناقش الخطط، ترقبوا الإعلانات.
الشيء الرئيسي هو أن كل شيء يعمل بشكل صحيح. لأنه حان الوقت للتدرب على:
بناء CI/CD لبدء نشر التطبيق وتحديث المجموعة في وقت واحد. في المشاريع التعليمية كل شيء يعمل بشكل جيد. والحياة في بعض الأحيان مليئة بالمفاجآت.
قد يكون Slurm معك!
المصدر: www.habr.com