Noyabrın 24-də Kubernetes üzrə təkmil intensiv kurs olan Slurm Mega başa çatdı. 18-20 may tarixlərində Moskvada keçiriləcək.
Slurm Mega ideyası: biz klasterin başlığı altına baxırıq, istehsala hazır klasterin quraşdırılması və konfiqurasiyasının incəliklərini nəzəri və praktikada təhlil edirik (“o qədər də asan olmayan yol”), mexanizmləri nəzərdən keçirək. tətbiqlərin təhlükəsizliyini və nasazlığa dözümlülüyünü təmin etmək üçün.
Mega Bonus: Slurm Basic və Slurm Mega-dan keçənlər imtahandan keçmək üçün lazım olan bütün bilikləri alırlar. və imtahana 50% endirim.
Təcrübə üçün bulud təqdim etdiyinə görə Selectel-ə xüsusi təşəkkürlər, bunun sayəsində hər bir iştirakçı öz tam hüquqlu klasterində çalışdı və bunun üçün bilet qiymətinə əlavə 5 min əlavə etməli olmadıq.
Maraqlananlar üçün Bondarev və Selivanovun kim olduğunu sizə deməyəcəyəm, .
Slurm Mega. İlk gün.
Slurm Mega-nın ilk günündə biz iştirakçıları 4 mövzu ilə yüklədik. Pavel Selivanov daxildən uğursuzluq klasterinin yaradılması prosesi, Kubeadm-in işi, həmçinin klasterin sınaqdan keçirilməsi və nasazlıqların aradan qaldırılması haqqında danışıb.
İlk qəhvə fasiləsi. Adətən “müəllim zəngi” səslənir, lakin Slurm-da tələbələr qəhvə içərkən müəllimlər suallara cavab verməyə davam edirlər.
Pavel Selivanovun başı üzərində "Break II" buludunun dolaşmasına baxmayaraq, fasiləyə getmək onun taleyi deyil.
Sergey Bondarev və Marsel İbrayev minbərə çıxmaq üçün öz növbələrini gözləyirlər.
Fasilə zamanı mən Sergey Bondarevə yaxınlaşdım və soruşdum: "Müştərilərimizin klasterləri ilə işləmək təcrübəniz əsasında bütün Kubernetes mühəndislərinə nə məsləhət görərdiniz?"
Sergey sadə bir tövsiyə verdi: “İnternetdən API serverinə girişi bloklayın. Çünki vaxtaşırı icazəsiz istifadəçilərin klasterə daxil olmasına imkan verən təhlükəsizlik təhdidləri yaranır.»
Bir neçə dəqiqə və bir şüşə mineral sudan sonra Pavel Selivanov “Xarici provayderdən, yəni LDAP (Nginx + Python) və OIDC (Dex + Gangway) istifadə edərək çoxluqda avtorizasiya” mövzusunun kölgəsi ilə döyüşə qaçdı.
Növbəti fasilə zamanı Slurm spikeri, Sertifikatlı Kubernetes Administratoru Marsel Ibraev Kubernetes mühəndislərinə öz tövsiyələrini verdi: “Xırda görünən bir şey deyəcəyəm, amma bununla nə qədər tez-tez qarşılaşdığımı nəzərə alsaq, hər kəsin bunu nəzərə almadığından şübhələnirəm. İnternetdən bu və ya digər həllin nə qədər yaxşı işlədiyini izah edəcək hər hansı bir “Necə Yapılır”a kor-koranə inanmamalısınız. Kubernetes kontekstində bu xüsusi məna kəsb edir. Çünki Kubernetes mürəkkəb bir sistemdir və ona xüsusi layihənizdə və klaster quraşdırmanızda sınaqdan keçirilməmiş bir həll əlavə etmək, İnternetdə onun sərinliyi haqqında yazdıqlarına baxmayaraq, dəhşətli nəticələrə səbəb ola bilər. Balanslaşdırılmış yanaşma olmadan hətta Kubernetesin özü də layihənizə zərər verə bilər, “rus üçün yaxşı olan alman üçün ölümdür”. Buna görə də, hər hansı bir həlli özümüz tətbiq etməzdən əvvəl sınaqdan keçirir, yoxlayır və sınaqdan keçiririk. Bu, yarana biləcək bütün nüansları nəzərə almağın yeganə yoludur..
Nahardan sonra Sergey Bondarev döyüşə girdi. Onun mövzusu Şəbəkə siyasəti, yəni CNI və Şəbəkə Təhlükəsizlik Siyasətinə girişdir.
İnternet Şəbəkə Siyasəti haqqında məqalələrlə doludur. Adminlər arasında belə bir fikir var ki, Şəbəkə Siyasətlərindən imtina etmək olar, lakin təhlükəsizlik mütəxəssisləri bu aləti həqiqətən sevirlər və Şəbəkə Siyasətlərinin aktivləşdirilməsini tələb edirlər.
Pavel Selivanov “Bir çoxluqda təhlükəsiz və yüksək əlçatan proqramlar” mövzusunda Sergey Bondarevdən Kubernetes-in sükanı arxasına keçdi. Onun sevimli mövzuları var: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Pavelin DevOpsConf-da danışdığı Meqa mövzusu: .
Kubernetes klasterinin necə asanlıqla sındırıla biləcəyini izah etdikdən sonra skeptik adminlər deyirlər: "Bəli, sizə dedim, Kubernetesiniz dəliklərlə doludur." Pavel izah edir ki, klasterdə təhlükəsizliyi konfiqurasiya etmək mümkündür və bu çətin deyil, sadəcə olaraq təhlükəsizlik parametrləri standart olaraq söndürülüb. Təfərrüatlar transkriptdə .
- Qrupu kim sındırdı? O, klasteri sındırdı! Mən buradan mükəmməl görə bilirəm!
Slurms-da darıxmamaq üçün hər şey heç vaxt sadə və asan olmur. Ancaq bu dəfə Telegram hər kəsə beşinci məqamı göstərmək qərarına gəldi:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Bununla parlaq və praktiki biliklərlə dolu olan ilk gün başa çatdı. İkinci gün daha çox təcrübə olacaq, nümunə olaraq PostgreSQL-dən istifadə edərək verilənlər bazası klasterini işə salmaq, RabbitMQ klasterini işə salmaq, Kubernetes-də sirləri idarə etmək.
Slurm Mega. İkinci gün.
Aparıcı ikinci günə şən elanla başladı: “Səhər, Pavelin dediyi kimi, bizi əsl hardkor gözləyir. Cərrahların dili ilə desək, biz Kubernetesin bağırsaqlarına girəcəyik!”
Kütləvi şənlik başqa bir hekayədir. Slurm ilə bağlı problemlərdən biri insanların həddindən artıq məlumat yükündən uzaqlaşması və yuxuya getməsidir. Biz həmişə bununla bağlı nəsə etmək üçün bir yol axtarırdıq və tamaşaçı ilə kiçik oyunlar son Slurm-da yaxşı nəticə verdi. Bu dəfə xüsusi təlim keçmiş adamı işə götürdük. Söhbətdə “maraqlı yarışlar” haqqında çoxlu zarafat var idi, amma fakt odur ki, biz belə şən iştirakçılar görməmişdik.
Marsel Ibraevin köməyinə gəldilər və o, klasterdə dövlət proqramlarını öyrənməyə başladı. Məsələn, PostgreSQL-dən istifadə edərək verilənlər bazası klasterinin işə salınması və RabbitMQ klasterinin işə salınması.
Nahardan sonra Sergey Bondarev K8S-də işə başladı. Və mövzu "Sirləri saxlamaq" idi. Mulder və Scully onu örtdülər. Kubernetes və Vault-da gizli idarəçiliyi öyrənib. Həm də “Həqiqət oradadır”.
Bu, axşam saatlarına qədər, Pavel Selivanov Horizontal Pod Autoscaler haqqında danışmağa başlayana qədər davam etdi.
Slurm Mega. Üçüncü gün.
Kəskin və şən bir şəkildə, səhər saatlarından etibarən Sergey Bondarev tamaşaçıları ehtiyat nüsxələri və uğursuzluqlardan qurtulmaqla həyəcanlandırdı. Mən şəxsən Heptio Velero və etcd istifadə edərək klasterin ehtiyat nüsxəsini və bərpasını yoxladım.
Sergey klasterdə sertifikatların illik rotasiyası mövzusunu davam etdirdi: kubeadm-dən istifadə edərək idarəetmə təyyarəsi sertifikatlarının yenilənməsi. Nahardan əvvəl, iştirakçıların iştahını oyatmaq və ya tamamilə öldürmək üçün Pavel Selivanov tətbiqin tətbiqi mövzusunu qaldırdı.
Şablonlaşdırma və yerləşdirmə alətləri, eləcə də yerləşdirmə strategiyaları nəzərdən keçirilmişdir.
Pavel Selivanov yeni mövzu haqqında danışdı: Service Mesh, Istio quraşdırılması. Mövzu o qədər zəngin oldu ki, bununla bağlı ayrıca intensiv kurs keçirə bilərsiniz. Planları müzakirə edirik, elanlar üçün bizi izləyin.
Əsas odur ki, hər şey düzgün işləyir. Çünki məşq etmək vaxtıdır:
proqramların yerləşdirilməsi və klaster yeniləməsini eyni vaxtda işə salmaq üçün CI/CD qurmaq. Təhsil layihələrində hər şey yaxşı işləyir. Və həyat bəzən sürprizlərlə doludur.
Slurm sizinlə olsun!
Mənbə: www.habr.com