El 24 de novembre va finalitzar Slurm Mega, un curs intensiu avançat de Kubernetes. se celebrarà a Moscou del 18 al 20 de maig.
La idea de Slurm Mega: mirem sota el capó del clúster, analitzem en teoria i practiquem les complexitats d'instal·lar i configurar un clúster llest per a la producció ("the-not-easy-way"), considerem els mecanismes per garantir la seguretat i la tolerància a errors de les aplicacions.
Mega Bonus: els que aproven Slurm Basic i Slurm Mega reben tots els coneixements necessaris per aprovar l'examen i un 50% de descompte a l'examen.
Un agraïment especial a Selectel per oferir un núvol per a la pràctica, gràcies al qual cada participant va treballar en el seu propi clúster complet, i no vam haver d'afegir 5 mil addicionals al preu de l'entrada per això.
No us diré qui són Bondarev i Selivanov, per als que estiguin interessats, .
Slurm Mega. Primer dia.
El primer dia de Slurm Mega, vam carregar els participants amb 4 temes. Pavel Selivanov va parlar sobre el procés de creació d'un clúster de failover des de l'interior, sobre el treball de Kubeadm, així com sobre la prova i la resolució de problemes del clúster.
Primer cafè. Normalment una "campana del professor", però a Slurm, mentre els estudiants prenen cafè, els professors continuen responent preguntes.
I malgrat que el núvol "Break II" planeja sobre el cap de Pavel Selivanov, no és el seu destí fer un descans.
Sergei Bondarev i Marcel Ibraev estan esperant el seu torn per anar al púlpit.
Durant el descans, em vaig acostar a Sergey Bondarev i li vaig preguntar: "Quin consell donaríeu a tots els enginyers de Kubernetes segons la vostra experiència treballant amb els clústers dels nostres clients?"
Sergey va donar una recomanació senzilla: "Bloqueja l'accés des d'Internet al servidor de l'API. Perquè de tant en tant hi ha amenaces de seguretat que permeten als usuaris no autoritzats accedir al clúster.»
Després d'un parell de minuts i una ampolla d'aigua mineral, Pavel Selivanov es va precipitar a la batalla amb l'ombra del tema "Autorització en un clúster mitjançant un proveïdor extern", és a dir, LDAP (Nginx + Python) i OIDC (Dex + Gangway).
Durant la següent pausa, Marcel Ibraev, ponent de Slurm, Administrador certificat de Kubernetes, va donar el seu consell als enginyers de Kubernetes: "Diré una cosa aparentment trivial, però tenint en compte la freqüència amb què em trobo amb això, tinc la sospita que no tothom ho té en compte. No us hauríeu de creure cegament cap procediment d'Internet que us digui el gran que funciona aquesta o aquella solució. En el context de Kubernetes, això pren un significat especial. Perquè Kubernetes és un sistema complex i afegir-hi una solució que no s'ha provat en el vostre projecte particular i la instal·lació del vostre clúster pot tenir conseqüències nefastes, malgrat que van escriure a Internet sobre la seva frescor. Fins i tot el mateix Kubernetes sense un enfocament equilibrat pot perjudicar el vostre projecte, "el que és bo per a un rus és la mort per a un alemany". Per tant, provem, comprovem i provem qualsevol solució abans d'implementar-la nosaltres mateixos. Només així tindràs en compte tots els matisos que puguin sorgir.».
Després de dinar, Sergei Bondarev va entrar a la batalla. El seu tema és la política de xarxa, és a dir, una introducció al CNI i la política de seguretat de la xarxa.
Internet està ple d'articles sobre polítiques de xarxa. Hi ha una opinió entre els administradors que es poden prescindir de les polítiques de xarxa, però als especialistes en seguretat els encanta aquesta eina i exigeixen que s'habiliten les polítiques de xarxa.
Pavel Selivanov va prendre el control de Kubernetes de Sergey Bondarev amb el tema "Aplicacions segures i d'alta disponibilitat en un clúster". Té temes preferits: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
El tema de Mega, que Pavel va parlar a DevOpsConf: .
Després de dir amb quina facilitat es pot piratejar un clúster de Kubernetes, els administradors escèptics diuen: "Sí, t'ho vaig dir, el teu Kubernetes està ple de forats". Pavel explica que és possible configurar la seguretat en un clúster, i no és difícil, només que la configuració de seguretat està desactivada per defecte. Detalls a la transcripció .
— Qui va trencar el cúmul? Va trencar el cúmul! Puc veure perfectament des d'aquí!
A Slurms, mai tot és senzill i fàcil, per no avorrir-se. Però aquesta vegada Telegram va decidir mostrar a tothom el cinquè punt:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Això va concloure el primer dia, brillant i ple de coneixements pràctics. El segon dia hi haurà encara més pràctica, llançant un clúster de bases de dades amb PostgreSQL com a exemple, llançant un clúster RabbitMQ, gestionant secrets a Kubernetes.
Slurm Mega. Segon dia.
El presentador va començar el segon dia amb un anunci alegre: “Al matí, com va dir ahir Pavel, ens espera un autèntic hardcore. En el llenguatge dels cirurgians, entrarem a les entranyes de Kubernetes!"
L'animador de masses és una història diferent. Un dels problemes amb Slurm és que la gent s'apaga de la sobrecàrrega d'informació i s'adorm. Sempre estàvem buscant la manera de fer-hi alguna cosa, i els petits jocs amb un públic van funcionar bé a l'últim Slurm. Aquesta vegada hem contractat una persona especialment capacitada. Hi havia moltes bromes al xat sobre "competicions interessants", però el cert és que mai hem vist participants tan alegres.
Van venir al rescat de Marcel Ibraev i va començar a estudiar aplicacions Stateful al clúster. És a dir, llançar un clúster de bases de dades amb PostgreSQL com a exemple i llançar un clúster RabbitMQ.
Després de dinar, Sergey Bondarev va començar a treballar en K8S. I el tema era "Guardar els secrets". Mulder i Scully el van cobrir. Va estudiar gestió secreta a Kubernetes i Vault. I també "La veritat és allà fora".
Que va continuar fins a última hora de la nit, quan Pavel Selivanov va començar a parlar de l'Autoscaler Horizontal Pod
Slurm Mega. El tercer dia.
Aguda i alegre, des del mateix matí, Sergei Bondarev va despertar l'audiència amb suport i recuperació dels errors. Vaig comprovar la còpia de seguretat i la recuperació del clúster mitjançant Heptio Velero i etcd personalment.
Sergey va continuar el tema de la rotació anual de certificats al clúster: renovació dels certificats del pla de control mitjançant kubeadm. Just abans de dinar, per tal de despertar la gana dels participants o matar-lo completament, Pavel Selivanov va plantejar el tema del desplegament de l'aplicació.
Es van considerar eines de plantilla i desplegament, així com estratègies de desplegament.
Pavel Selivanov va parlar d'un nou tema: Service Mesh, instal·lació d'Istio. El tema va resultar tan ric que podeu fer-ne un curs intensiu separat. Estem discutint plans, estigueu atents als anuncis.
El més important és que tot funcioni correctament. Perquè és hora de practicar:
crear CI/CD per llançar simultàniament el desplegament d'aplicacions i l'actualització del clúster. En els projectes educatius tot funciona bé. I la vida de vegades està plena de sorpreses.
Que el Slurm us acompanyi!
Font: www.habr.com