24. listopadu skončil Slurm Mega, pokročilý intenzivní kurz na Kubernetes. se bude konat v Moskvě ve dnech 18. – 20. května.
Myšlenka Slurm Mega: podíváme se pod pokličku clusteru, teoreticky analyzujeme a praktikujeme složitosti instalace a konfigurace clusteru připraveného na výrobu („ne-tak-snadný způsob“), zvážíme mechanismy pro zajištění bezpečnosti a odolnosti aplikací proti chybám.
Mega bonus: Ti, kteří složí Slurm Basic a Slurm Mega, získají všechny znalosti potřebné ke složení zkoušky a 50% slevu na zkoušku.
Speciální poděkování patří Selectelu za poskytnutí cloudu pro praxi, díky kterému každý účastník pracoval ve svém plnohodnotném clusteru a nemuseli jsme za to přidávat 5 tisíc navíc k ceně vstupenky.
Neřeknu vám, kdo je Bondarev a Selivanov, pro ty, které to zajímá, .
Slurm Mega. První den.
První den Slurm Mega jsme účastníkům naložili 4 témata. Pavel Selivanov hovořil o procesu vytváření failover clusteru zevnitř, o práci Kubeadm a také o testování a řešení problémů clusteru.
První přestávka na kávu. Obvykle „učitelský zvonek“, ale ve Slurmu, zatímco studenti pijí kávu, učitelé nadále odpovídají na otázky.
A přestože se nad hlavou Pavla Selivanova vznáší mrak „Break II“, není jeho osudem jít na přestávku.
Sergej Bondarev a Marcel Ibraev čekají, až na ně přijde řada a půjdou na kazatelnu.
O přestávce jsem oslovil Sergeje Bondareva a zeptal se: „Jakou radu byste dal všem inženýrům Kubernetes na základě vašich zkušeností s prací s klastry našich klientů?
Sergej dal jednoduché doporučení: „Zablokujte přístup z internetu k serveru API. Protože čas od času existují bezpečnostní hrozby, které umožňují neoprávněným uživatelům získat přístup ke clusteru.»
Po pár minutách a lahvi minerální vody se Pavel Selivanov vrhl do boje se stínem tématu „Autorizace v clusteru pomocí externího poskytovatele“, konkrétně LDAP (Nginx + Python) a OIDC (Dex + Gangway).
Během další přestávky Marcel Ibraev, řečník Slurm, certifikovaný správce Kubernetes, dal inženýrům Kubernetes radu: „Řeknu zdánlivě triviální věc, ale vzhledem k tomu, jak často se s tím setkávám, mám podezření, že ne každý to bere v úvahu. Neměli byste slepě věřit jakémukoli návodu z internetu, který vám řekne, jak skvěle to či ono řešení funguje. V kontextu Kubernetes to nabývá zvláštního významu. Kubernetes je totiž komplexní systém a přidání řešení, které nebylo otestováno ve vašem konkrétním projektu a vaší clusterové instalaci, může vést k hrozným následkům, přestože na internetu psali o jeho cool. I samotný Kubernetes bez vyváženého přístupu může vašemu projektu uškodit, „co je dobré pro Rusa, je pro Němce smrt“. Proto každé řešení před implementací sami testujeme, kontrolujeme a testujeme. Jedině tak zohledníte všechny nuance, které mohou nastat.".
Po obědě vstoupil do bitvy Sergej Bondarev. Jeho tématem je Síťová politika, konkrétně úvod do CNI a Network Security Policy.
Internet je plný článků o síťové politice. Mezi administrátory panuje názor, že se lze obejít bez síťových zásad, ale bezpečnostní specialisté tento nástroj opravdu milují a požadují povolení síťových zásad.
Pavel Selivanov převzal kormidlo Kubernetes od Sergeje Bondareva s tématem „Bezpečné a vysoce dostupné aplikace v clusteru“. Má oblíbená témata: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Téma Mega, o kterém Pavel hovořil na DevOpsConf: .
Po vyprávění, jak snadno lze hacknout cluster Kubernetes, skeptičtí administrátoři říkají: „Jo, říkal jsem vám, váš Kubernetes je plný děr.“ Pavel vysvětluje, že je možné konfigurovat zabezpečení v clusteru a není to obtížné, jen je nastavení zabezpečení ve výchozím nastavení zakázáno. Podrobnosti v přepisu .
— Kdo rozbil shluk? Rozbil shluk! Vidím odsud dokonale!
Ve Slurms není nikdy všechno jednoduché a snadné, abyste se nenudili. Ale tentokrát se Telegram rozhodl ukázat všem pátý bod:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Tím skončil první den, jasný a plný praktických znalostí. Druhý den bude ještě více cvičení, spuštění databázového clusteru pomocí PostgreSQL jako příkladu, spuštění clusteru RabbitMQ, správa tajných klíčů v Kubernetes.
Slurm Mega. Druhý den.
Moderátorka zahájila druhý den veselým oznámením: „Ráno, jak se včera vyjádřil Pavel, nás čeká opravdový hardcore. Řečeno řečí chirurgů, dostaneme se do útrob Kubernetese!“
Masový bavič je jiný příběh. Jedním z problémů Slurm je, že lidé vypnou z přetížení informacemi a usnou. Pořád jsme hledali způsob, jak s tím něco udělat, a na posledním Slurmu fungovaly malé hry s publikem. Tentokrát jsme najali speciálně vyškoleného člověka. V chatu bylo hodně vtipů o „zajímavých soutěžích“, ale faktem zůstává, že tak veselé účastníky jsme ještě neviděli.
Přišli k záchraně Marcela Ibraeva – a ten začal v clusteru studovat stavové aplikace. Konkrétně spuštění databázového clusteru s využitím PostgreSQL jako příkladu a spuštění clusteru RabbitMQ.
Po obědě začal Sergey Bondarev pracovat na K8S. A téma bylo „Uchování tajemství“. Mulder a Scullyová ho přikryli. Studoval tajnou správu v Kubernetes a Vault. A také „Pravda je tam venku“.
Což pokračovalo až do pozdních večerních hodin, kdy Pavel Selivanov začal mluvit o Horizontal Pod Autoscaler
Slurm Mega. Třetí den.
Ostře a vesele od samého rána burcoval Sergej Bondarev publikum zálohováním a zotavováním se z poruch. Osobně jsem zkontroloval zálohování a obnovu clusteru pomocí Heptio Velero a etcd.
Sergey pokračoval v tématu roční rotace certifikátů v clusteru: obnova certifikátů control-plane pomocí kubeadm. Těsně před obědem, aby účastníkům nahnal chuť k jídlu nebo ji úplně zabil, Pavel Selivanov nastolil téma nasazení aplikace.
Byly zváženy nástroje pro vytváření šablon a nasazení a také strategie nasazení.
Pavel Selivanov hovořil o novém tématu: Service Mesh, instalace Istio. Téma se ukázalo být natolik bohaté, že si na něj můžete udělat samostatný intenzivní kurz. Diskutujeme o plánech, zůstaňte naladěni na oznámení.
Hlavní věc je, že vše funguje správně. Protože je čas cvičit:
vytváření CI/CD pro současné spuštění nasazení aplikací a aktualizace clusteru. Ve vzdělávacích projektech vše funguje dobře. A život je někdy plný překvapení.
Ať je Slurm s vámi!
Zdroj: www.habr.com