24 лістапада скончыўся Слёрм Мега, прасунуты інтэнсіў па Kubernetes. пройдзе ў Маскве 18-20 траўня.
Ідэя Слёрма Мега: зазіраем пад капот кластара, разбіраны ў тэорыі і на практыцы тонкасці ўсталёўкі і канфігурацыі production-ready кластара ("the-not-so-easy-way"), разглядаем механізмы забеспячэння бяспекі і адмоваўстойлівасці прыкладанняў.
Бонус Мэгі: тыя, хто праходзіць Слёрм Базавы і Слёрм Мэга, атрымліваюць усе веды, неабходныя для здачы іспыту на і скідку 50% на іспыт.
Асобны дзякуй Selectel за тое, што падалі воблака для практыкі, дзякуючы чаму кожны ўдзельнік працаваў ва ўласным паўнавартасным кластары, а нам не прыйшлося за гэта дадаваць да кошту квітка лішнія 5 тысяч.
Хто такія Бондараў і Селіванаў, расказваць не буду, каму цікава, .
Слёрм Мега. Першы дзень.
У першы дзень Слёрма Мега мы нагрузілі ўдзельнікаў 4 тэмамі. Павел Селіванаў распавёў пра працэс стварэння адмоваўстойлівага кластара знутры, пра працу Kubeadm, а таксама пра тэставанне і траблшутынг кластара.
Першы кавабрэйк. Звычайна "званок для настаўніка", але на Слёрме, пакуль вучні п'юць каву, выкладчыкі працягваюць адказваць на пытанні.
І нягледзячы на тое, што над галавой Паўла Селіванава лунае аблачына «Перапынак II», сысці на перапынак яму не лёс.
Сяргей Бондараў і Марсэль Ібраеў чакаюць сваёй чаргі выходзіць да кафедры.
У перапынку я падышоў да Сяргея Бондарава і спытаў: "Што б ты параіў усім інжынерам Kubernetes па сваім досведзе працы з кластарамі нашых кліентаў?"
Сяргей даў простую рэкамендацыю: «Закрывайце доступ з інтэрнэту да API-сервера. Таму што перыядычна знаходзяцца пагрозы бяспецы, якія дазваляюць атрымаць доступ да кластара неаўтарызаваным карыстачам.»
Праз пару хвілін і бутэльку мінералкі Павел Селіванаў кінуўся ў бой з ценем тэмай "Аўтарызацыя ў кластары пры дапамозе знешняга правайдэра", а менавіта LDAP (Nginx + Python) і OIDC (Dex + Gangway).
У наступны перапынак сваю параду інжынерам Kubernetes даў Марсэль Ібраеў, спікер Слёрма, Certified Kubernetes Administrator: «Скажу накшталт банальную рэч, але улічваючы наколькі часта я з гэтым сутыкаюся, ёсць падазрэнне, што гэта не ўсё ўлічваюць. Не варта слепа верыць усякім How-To з Інтэрнэту, у якіх раскажуць, як класна працуе тое ці іншае рашэнне. У кантэксце Кубернетэс гэта набывае асаблівы сэнс. Бо Кубернэтэс складаная сістэма і даданне ў яе рашэння, якое не было пратэставана ў канкрэтна вашым праекце і вашай усталёўцы кластара, можа прывесці да сумных наступстваў, нягледзячы на тое, што ў Інтэрнэце пісалі пра яго крутасць. Нават проста сам Кубернетэс без узважанага падыходу можа нашкодзіць вашаму праекту, "што рускаму добра, то немцу смерць". Таму тэсцім, правяраем, абкочваем любое рашэнне перад тым, як укараніць яго ў сябе. Толькі так вы ўлічыце ўсе нюансы, якія могуць узнікнуць.
Пасля абеду ўступіў у бой Сяргей Бондараў. Яго тэма Network policy, а менавіта ўвядзенне ў CNI і Network Security Policy.
У інтэрнэце поўна артыкулаў аб Network Policy. Сярод адмінаў сустракаецца меркаванне, што без Network Policies можна абысціся, але бяспечнікі вельмі любяць гэты інструмент і патрабуюць, каб Network Policies былі ўключаны.
Штурвал Kubernetes у Сяргея Бондарава перахапіў Павел Селіванаў з тэмай «Бяспечныя і высокадаступныя прыкладанні ў кластары». Ёсць у яго каханыя тэмы: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Тэма Мегі, з якой Павел выступаў на DevOpsConf: .
Пасля аповеду, як лёгка ўзломваецца кластар Kubernetes, скептычна настроеныя адміны кажуць: "Ага, я ж казаў, ваш Кубернетэс - дзіравая бздура". Павел тлумачыць, што наладзіць бяспеку ў кластары можна, і гэта нескладана, проста па змаўчанні наладкі бяспекі адключаныя. Падрабязнасці ў расшыфроўцы .
- Хто зламаў кластар? Вось ён зламаў кластар! Мне адсюль выдатна відаць!
На Слёрмах не бывае ўсё проста і лёгка, каб не нудзілася. Але на гэты раз Telegram вырашыў паказаць усім пятую кропку:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
На гэтым яркі і напоўнены практычнымі ведамі першы дзень завяршыўся. На другі дзень будзе яшчэ больш практыкі, запуск кластара БД на прыкладзе PostgreSQL, запуск кластара RabbitMQ, кіраванне сакрэтамі ў Kubernetes.
Слёрм Мега. Другі дзень.
Вядучы пачаў другі дзень бадзёрай аб'явай: «З раніцы, як выказаўся ўчора Павел, нас чакае сапраўдны хардкор. Выяўляючыся мовай хірургаў, мы ўлезем у кішкі Кубернэтэса!
Масавік-забаўнік - гэта асобная гісторыя. Адна з праблем Слёрма - людзі ад інфармацыйнай перагрузкі адключаюцца і засынаюць. Мы заўсёды шукалі спосаб нешта з гэтым зрабіць, і на мінулым Слёрме добра паказалі сябе невялікія гульні з аўдыторыяй. На гэты раз мы нанялі спецыяльна навучанага чалавека. У чаце шмат прышпільваліся над «цікавымі конкурсамі», але факт застаецца фактам - такіх бадзёрых удзельнікаў мы яшчэ не бачылі.
Марсэль Ібраева прыйшлі на дапамогу — і ён пачаў вывучаць Stateful прыкладанні ў кластары. А менавіта запуск кластара БД на прыкладзе PostgreSQL і запуск кластара RabbitMQ.
Пасля абеду прыступіў да K8S Сяргей Бондараў. І тэмай яго была "Захоўванне сакрэтаў". Яго прыкрывалі Малдэр і Скалі. Вывучалі кіраванне сакрэтамі ў Kubernetes і Vault. А гэтак жа "The truth is out there".
Што і працягвалася да самага позняга вечара, калі Павел Селіванаў загаварыў пра Horizontal Pod Autoscaler
Слёрм Мега. Трэці дзень.
Рэзка і бадзёра з самай раніцы Сяргей Бондараў разварушыў аўдыторыю рэзервовым капіяваннем і аднаўленнем пасля збояў. Бэкап і аднаўленне кластара з ужываннем Heptio Velero і etcd праверылі асабіста.
Сяргей працягнуў тэму штогадовай ратацыі сертыфікатаў у кластары: падаўжэнне сертыфікатаў control-plane з дапамогай kubeadm. Перад самым абедам, каб нагуляць удзельнікам апетыт ці адбіць яго канчаткова, Павел Селіванаў узняў тэму дэплою прыкладання.
Разглядаліся інструменты тэмплэйтавання і дэплою, а заадно стратэгіі дэплою.
Павел Селіванаў распавёў новую тэму: Service Mesh, устаноўка Istio. Тэма аказалася настолькі багатай, што па ёй можна рабіць асобны інтэнсіў. Абмяркоўваем планы, сачыце за анонсамі.
Галоўнае, каб усё правільна працавала. Таму што надышоў час практыкі:
пабудова CI/CD, каб адначасова запусціць дэплой прыкладанні і абнаўленне кластара. У навучальных праектах усё працуе добра. А жыццё часам поўнае нечаканасцяў.
May the Slurm be with you!
Крыніца: habr.com