Niadtong Nobyembre 24, ang Slurm Mega, usa ka advanced intensive course sa Kubernetes, natapos. ipahigayon sa Moscow sa Mayo 18-20.
Ang ideya sa Slurm Mega: nagtan-aw kami sa ilawom sa hood sa cluster, nag-analisa sa teorya ug nagpraktis sa mga kakuti sa pag-instalar ug pag-configure sa usa ka cluster nga andam na sa produksiyon ("ang-dili-sa-sayon-nga paagi"), hunahunaa ang mga mekanismo alang sa pagsiguro sa seguridad ug pagtugot sa sayup sa mga aplikasyon.
Mega Bonus: Kadtong makapasar sa Slurm Basic ug Slurm Mega makadawat sa tanang kahibalo nga gikinahanglan aron makapasar sa pasulit ug 50% nga diskwento sa eksaminasyon.
Espesyal nga pasalamat sa Selectel alang sa paghatag usa ka panganod alang sa pagpraktis, salamat diin ang matag partisipante nagtrabaho sa ilang kaugalingon nga bug-os nga cluster, ug wala kami kinahanglan nga magdugang usa ka dugang nga 5 ka libo sa presyo sa tiket alang niini.
Dili ko isulti kanimo kung kinsa sila Bondarev ug Selivanov, alang sa mga interesado, .
Slurm Mega. Unang adlaw.
Sa unang adlaw sa Slurm Mega, gikargahan namo ang mga partisipante og 4 ka topiko. Pavel Selivanov misulti mahitungod sa proseso sa paghimo sa usa ka failover cluster gikan sa sulod, mahitungod sa buhat sa Kubeadm, ingon man usab mahitungod sa pagsulay ug troubleshooting sa cluster.
Unang coffee break. Kasagaran usa ka "kampana sa magtutudlo," apan sa Slurm, samtang ang mga estudyante nag-inom og kape, ang mga magtutudlo nagpadayon sa pagtubag sa mga pangutana.
Ug bisan pa sa kamatuoran nga ang "Break II" nga panganod naglupadlupad sa ibabaw sa ulo ni Pavel Selivanov, kini dili iyang kapalaran nga moadto sa usa ka break.
Si Sergei Bondarev ug Marcel Ibraev naghulat sa ilang turno sa pag-adto sa pulpito.
Atol sa pahulay, akong giduol si Sergey Bondarev ug gipangutana: "Unsang tambag ang imong ihatag sa tanang mga inhenyero sa Kubernetes base sa imong kasinatian sa pagtrabaho sa mga cluster sa among mga kliyente?"
Si Sergey mihatag ug yanong rekomendasyon: βI-block ang access gikan sa Internet ngadto sa API server. Tungod kay matag karon ug unya adunay mga hulga sa seguridad nga nagtugot sa dili awtorisado nga mga tiggamit nga maka-access sa cluster.Β»
Pagkahuman sa pila ka minuto ug usa ka botelya nga mineral nga tubig, si Pavel Selivanov nagdali sa gubat uban ang anino sa hilisgutan nga "Pagtugot sa usa ka kumpol gamit ang usa ka eksternal nga tighatag," nga mao ang LDAP (Nginx + Python) ug OIDC (Dex + Gangway).
Atol sa sunod nga pahulay, si Marcel Ibraev, Slurm speaker, Certified Kubernetes Administrator, mihatag sa iyang tambag sa mga inhenyero sa Kubernetes: "Mosulti ko og usa ka butang nga morag walay hinungdan, apan sa pagkonsiderar sa kasubsob nga akong masugatan kini, ako adunay pagduda nga dili tanan ang nag-isip niini. Dili ka kinahanglan nga bulag nga motuo sa bisan unsang How-To gikan sa Internet nga magsulti kanimo kung unsa ka maayo kini o kana nga solusyon. Sa konteksto sa Kubernetes, kini adunay espesyal nga kahulugan. Tungod kay ang Kubernetes usa ka komplikado nga sistema ug nagdugang usa ka solusyon niini nga wala pa nasulayan sa imong partikular nga proyekto ug ang imong pag-install sa cluster mahimong mosangpot sa makalilisang nga mga sangputanan, bisan pa sa kamatuoran nga sila nagsulat sa Internet bahin sa kabugnaw niini. Bisan ang mga Kubernetes mismo nga walaβy balanse nga pamaagi makadaot sa imong proyekto, "ang maayo alang sa usa ka Ruso mao ang kamatayon alang sa usa ka Aleman." Busa, gisulayan, gisusi, ug gisulayan namon ang bisan unsang solusyon sa wala pa ipatuman kini sa among kaugalingon. Kini ra ang paagi nga imong tagdon ang tanan nga mga nuances nga mahimong motumaw.".
Human sa paniudto Sergei Bondarev misulod sa gubat. Ang iyang hilisgutan mao ang polisiya sa Network, nga mao ang pasiuna sa CNI ug Network Security Policy.
Ang Internet puno sa mga artikulo bahin sa Network Policy. Adunay usa ka opinyon taliwala sa mga admin nga ang Mga Patakaran sa Network mahimong ibaliwala, apan ang mga espesyalista sa seguridad nahigugma gyud niini nga himan ug nangayo nga ang Mga Patakaran sa Network mahimoβg.
Gipulihan ni Pavel Selivanov ang timon sa Kubernetes gikan kang Sergey Bondarev nga adunay topiko nga "Secure and very available applications in a cluster." Siya adunay paborito nga mga hilisgutan: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Ang hilisgutan ni Mega, nga gisulti ni Pavel sa DevOpsConf: .
Human isulti kung unsa kadali ang usa ka Kubernetes cluster mahimong ma-hack, ang mga nagduhaduha nga admin nag-ingon: "Oo, gisultihan ko ikaw, ang imong Kubernetes puno sa mga lungag." Gipatin-aw ni Pavel nga posible nga i-configure ang seguridad sa usa ka kumpol, ug dili kini lisud, apan ang mga setting sa seguridad gi-disable pinaagi sa default. Mga detalye sa transcript .
β Kinsa ang nagbuak sa pungpong? Gibuak niya ang cluster! Makita nako ang hingpit gikan dinhi!
Sa Slurms, ang tanan dili yano ug sayon, aron dili makalaay. Apan niining higayona nakahukom ang Telegram nga ipakita sa tanan ang ikalima nga punto:
ΠΠ°ΡΡΠ΅Π»Ρ ΠΠ±ΡΠ°Π΅Π², [22 Π½ΠΎΡΠ±. 2019 Π³., 16:52:52]:
ΠΠΎΠ»Π»Π΅Π³ΠΈ, Π² Π΄Π°Π½Π½ΡΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ Π½Π°Π±Π»ΡΠ΄Π°ΡΡΡΡ ΡΠ±ΠΎΠΈ Π² ΡΠ°Π±ΠΎΡΠ΅ Π’Π΅Π»Π΅Π³ΡΠ°ΠΌ, ΠΈΠΌΠ΅ΠΉΡΠ΅ ΡΡΠΎ Π²Π²ΠΈΠ΄Ρ
Kini mitapos sa unang adlaw, hayag ug puno sa praktikal nga kahibalo. Sa ikaduhang adlaw aduna pay daghang praktis, paglansad sa database cluster gamit ang PostgreSQL isip pananglitan, paglansad sa RabbitMQ cluster, pagdumala sa mga sekreto sa Kubernetes.
Slurm Mega. Ikaduhang adlaw.
Gisugdan sa presenter ang ikaduhang adlaw sa usa ka malipayong pahibalo: "Sa buntag, ingon sa gisulti ni Pavel kagahapon, tinuod nga hardcore ang naghulat kanamo. Sa lengguwahe sa mga siruhano, makasulod kita sa guts sa Kubernetes!β
Ang usa ka mass entertainer lahi nga istorya. Usa sa mga problema sa Slurm mao nga ang mga tawo mohunong gikan sa sobra nga impormasyon ug makatulog. Kanunay kaming nangita usa ka paagi aron mahimo ang usa ka butang bahin niini, ug ang gagmay nga mga dula nga adunay usa ka mamiminaw nagtrabaho nga maayo sa katapusan nga Slurm. Niining higayona nag-hire kami ug usa ka espesyal nga gibansay nga tawo. Adunay daghang mga komedya sa chat bahin sa "makapaikag nga mga kompetisyon," apan ang kamatuoran nagpabilin nga wala pa kami makakita sa ingon ka malipayon nga mga partisipante.
Miabut sila aron sa pagluwas ni Marcel Ibraev - ug nagsugod siya sa pagtuon sa Stateful nga mga aplikasyon sa cluster. Nga mao, paglansad sa usa ka database cluster gamit ang PostgreSQL isip usa ka pananglitan ug paglansad sa RabbitMQ cluster.
Human sa paniudto, Sergey Bondarev nagsugod sa pagtrabaho sa K8S. Ug ang tema mao ang "Pagtipig sa mga Sekreto." Gitabonan siya ni Mulder ug Scully. Nagtuon sa sekreto nga pagdumala sa Kubernetes ug Vault. Ug usab "Ang kamatuoran anaa sa gawas".
Nga nagpadayon hangtod sa gabii, sa dihang si Pavel Selivanov nagsugod sa paghisgot bahin sa Horizontal Pod Autoscaler
Slurm Mega. Ang ikatulo nga adlaw.
Sa kusog ug malipayon, gikan sa buntag, gipukaw ni Sergei Bondarev ang mga mamiminaw sa backup ug pagbawi gikan sa mga kapakyasan. Akong gisusi ang backup ug recovery sa cluster gamit ang Heptio Velero ug etcd personally.
Gipadayon ni Sergey ang hilisgutan sa tinuig nga rotation sa mga sertipiko sa cluster: pagbag-o sa control-plane certificates gamit ang kubeadm. Sa wala pa ang paniudto, aron mapukaw ang gana sa mga partisipante o hingpit nga patyon kini, gipataas ni Pavel Selivanov ang hilisgutan sa pag-deploy sa aplikasyon.
Gikonsiderar ang template ug deployment tool, ingon man ang mga estratehiya sa pagdeploy.
Si Pavel Selivanov naghisgot bahin sa usa ka bag-ong hilisgutan: Serbisyo Mesh, pag-instalar sa Istio. Ang hilisgutan nahimo nga dato kaayo nga mahimo nimo ang usa ka lahi nga intensive nga kurso bahin niini. Naghisgot kami sa mga plano, bantayi ang mga anunsyo.
Ang nag-unang butang mao nga ang tanan nagtrabaho sa husto. Tungod kay panahon na sa pagpraktis:
pagtukod og CI/CD aron dungan nga maglansad sa pag-deploy sa aplikasyon ug pag-update sa cluster. Sa mga proyekto sa edukasyon ang tanan maayo. Ug ang kinabuhi usahay puno sa mga sorpresa.
Hinaut nga ang Slurm mag-uban kanimo!
Source: www.habr.com