U 24 di nuvembre, Slurm Mega, un intensivu avanzatu di Kubernetes, hà finitu. si terrà in Mosca u 18-20 di maghju.
L'idea di Slurm Mega: guardemu sottu à u cappucciu di u cluster, analizà in teoria è pratica l'intricacies di installà è cunfigurà un cluster prontu per a produzzione ("u modu micca cusì faciule"), cunzidira i miccanismi. per assicurà a sicurezza di l'applicazioni è a tolleranza à i difetti.
Mega Bonus: Quelli chì passanu Slurm Basic è Slurm Mega ricevenu tutte e cunniscenze necessarie per passà l'esame per è un scontu di 50% nantu à l'esame.
Un ringraziu speciale à Selectel per furnisce una nuvola per a pratica, grazia à quale ogni participante hà travagliatu in u so propiu cluster full-fledged, è ùn avemu micca bisognu di aghjunghje 5 mila extra à u prezzu di u bigliettu per questu.
Quale sò Bondarev è Selivanov, ùn diceraghju à nimu chì hè interessatu, .
Slurm Mega. Primu ghjornu.
U primu ghjornu di Slurm Mega, avemu caricatu i participanti cù temi 4. Pavel Selivanov hà parlatu di u prucessu di creazione di un cluster di failover da l'internu, di u travagliu di Kubeadm, è ancu di pruvà è risolve u cluster.
Prima pausa caffè. Di solitu una "chjama per u maestru", ma in Slurm, mentre i studienti beie u caffè, i prufessori cuntinueghjanu à risponde à e dumande.
E malgradu u fattu chì un nuvulu di "Break II" hè sopra à a testa di Pavel Selivanov, ùn hè micca u so destinu di lascià per una pausa.
Sergei Bondarev è Marcel Ibraev aspettanu u so turnu per andà à u pulpitu.
Durante una pausa, aghju avvicinatu à Sergey Bondarev è dumandò: "Quale cunsigliu darebbe à tutti l'ingegneri di Kubernetes basatu annantu à a vostra sperienza cù i clusters di i nostri clienti?"
Sergey hà datu una ricumandazione simplice: "Bloccà l'accessu da Internet à u servitore API. Perchè periodicamente ci sò minacce di sicurità chì permettenu à l'utilizatori micca autorizati per accede à u cluster.»
Dopu à un paru di minuti è una buttiglia d'acqua minerale, Pavel Selivanov si precipitò in a lotta di l'ombra cù u tema "Authorization in a cluster using a external provider", vale à dì LDAP (Nginx + Python) è OIDC (Dex + Gangway).
Durante a prossima pausa, Marcel Ibraev, parlante di Slurm, amministratore certificatu di Kubernetes, hà datu i so cunsiglii à l'ingegneri di Kubernetes: "Diciaraghju una cosa apparentemente banale, ma datu quantu spessu scontru questu, ci hè un suspettu chì micca tutti ùn piglianu questu in contu. Ùn ci vole micca crede in ogni How-To da l'Internet, chì vi diciarà quantu cool questa o quella suluzione funziona. In u cuntestu di Kubernetes, questu assume un significatu speciale. Per Kubernetes hè un sistema cumplessu è aghjunghjendu una suluzione chì ùn hè micca stata pruvata specificamente in u vostru prughjettu è a vostra stallazione di cluster pò purtà à cunsiquenzi tristi, malgradu u fattu chì anu scrittu annantu à a so frescura in Internet. Ancu solu Kubernetes stessu, senza un approcciu equilibratu, pò dannà u vostru prughjettu, "ciò chì hè bonu per un Russu hè a morte per un tedescu". Dunque, testemu, verificate, corremu in ogni suluzione prima di implementà in casa. Solu in questu modu vi piglià in contu tutte e sfumature chì ponu esse.».
Dopu à cena, Sergey Bondarev s'unì à a lotta. U so tema hè a pulitica di a rete, vale à dì una introduzione à a CNI è a pulitica di sicurezza di a rete.
L'Internet hè pienu di articuli nantu à a Politica di a Rete. Ci hè un parè trà l'admins chì pudete fà senza Politiche di a Rete, ma e persone di sicurezza amanu assai stu strumentu è esigenu l'attivazione di e Politiche di Rete.
U timone di Kubernetes da Sergey Bondarev hè statu interceptatu da Pavel Selivanov cù u tema "Applicazioni Secure è Highly Available in a Cluster". Hà temi preferiti: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
U tema di Mega, chì Pavel hà parlatu à DevOpsConf: .
Dopu avè dettu chì un cluster Kubernetes hè facilmente pirate, l'amministratori scettichi dicenu: "Iè, vi aghju dettu, u vostru Kubernetes hè una merda piena di buchi". Pavel spiega chì hè pussibule cunfigurà a sicurità in un cluster, è ùn hè micca difficiule, hè solu chì i paràmetri di sicurezza sò disattivati per automaticamente. Dettagli in decryption .
- Quale hè chì hà rottu u cluster ? Eccu hà rottu u cluster! Possu vede perfettamente da quì!
Nantu à Slurms, tuttu ùn hè micca simplice è faciule, per ùn avè micca stancu. Ma sta volta Telegram hà decisu di mustrà à tutti u quintu puntu:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
In questu luminosu è pienu di cunniscenze pratiche, u primu ghjornu hè finitu. U sicondu ghjornu, ci sarà ancu più pratica, lanciatu un cluster di basa di dati cù PostgreSQL cum'è un esempiu, lanciatu un cluster RabbitMQ, gestione di secreti in Kubernetes.
Slurm Mega. Secondu ghjornu.
L'ospite hà iniziatu u sicondu ghjornu cun un annunziu allegru: "A matina, cum'è Pavel hà dettu ieri, ci aspetta un veru hardcore. In a lingua di i chirurghi, ci mettemu in l'intestini di Kubernetes!
L'intrattenitore Massovik hè una storia diversa. Unu di i prublemi di Slurm hè chì e persone da a sobrecarga d'infurmazioni si spegnenu è si addormentanu. Avemu sempre cercatu un modu per fà qualcosa, è in u passatu Slurm, i picculi ghjochi cù un publicu anu travagliatu bè. Sta volta avemu assuciatu una persona specialmente furmatu. Ci era assai divertenti in u chat nantu à "cuncorsi interessanti", ma u fattu ferma chì ùn avemu mai vistu participanti cusì allegri.
Marcel Ibraev hè ghjuntu à u salvamentu - è hà cuminciatu à studià l'applicazioni Stateful in u cluster. Vale à dì, lanciate un cluster di basa di dati cù PostgreSQL cum'è un esempiu è lanciate un cluster RabbitMQ.
Dopu à pranzu Sergey Bondarev hà iniziatu K8S. È u tema era "Keeping Secrets". Hè statu coperto da Mulder è Scully. Studia a gestione secreta in Kubernetes è Vault. È ancu "A verità hè fora".
Chì cuntinuò finu à a tarda sera, quandu Pavel Selivanov hà parlatu di l'Autoscaler Horizontal Pod.
Slurm Mega. U terzu ghjornu.
Attinatu è allegru da a matina, Sergey Bondarev hà suscitatu l'audienza cù salvezza è ricuperazione dopu i fallimenti. Backup è restaurazione di u cluster cù Heptio Velero è etcd verificatu personalmente.
Sergey cuntinuò u tema di a rotazione annuale di certificati in u cluster: rinnuvà i certificati di u pianu di cuntrollu cù kubeadm. Appena prima di pranzu, Pavel Selivanov hà suscitatu u tema di implementà l'appiecazione per rinfurzà l'appetite di i participanti o sbattelu completamente.
I mudelli è i strumenti di implementazione sò stati cunsiderati, è ancu e strategie di implementazione.
Pavel Selivanov hà dettu à un novu tema: Service Mesh, installendu Istio. U tema hè diventatu cusì riccu chì hè pussibule di fà un intensivu separatu nantu à questu. Discutemu di i piani, stà sintonizatu per l'annunzii.
A cosa principal hè chì tuttu funziona bè. Perchè hè ora di praticà:
custruendu un CI / CD per eseguisce simultaneamente l'implementazione di l'applicazione è l'aghjurnamentu di cluster. Tuttu travaglia bè in prughjetti educativi. È qualchì volta a vita hè piena di sorprese.
Chì u Slurm sia cun voi!
Source: www.habr.com