Ar Dachwedd 24, daeth Slurm Mega, cwrs dwys uwch ar Kubernetes, i ben. yn cael ei gynnal ym Moscow ar Fai 18-20.
Y syniad o Slurm Mega: rydym yn edrych o dan gwfl y clwstwr, yn dadansoddi mewn theori ac yn ymarfer cymhlethdodau gosod a ffurfweddu clwstwr sy'n barod ar gyfer cynhyrchu (“y ffordd nad yw mor hawdd”), gan ystyried y mecanweithiau ar gyfer sicrhau diogelwch a goddefgarwch bai ceisiadau.
Bonws Mega: Mae'r rhai sy'n pasio Slurm Basic a Slurm Mega yn derbyn yr holl wybodaeth angenrheidiol i basio'r arholiad a gostyngiad o 50% ar yr arholiad.
Diolch yn arbennig i Selectel am ddarparu cwmwl ar gyfer ymarfer, diolch i'r ffaith bod pob cyfranogwr yn gweithio yn eu clwstwr cyflawn eu hunain, ac nid oedd yn rhaid i ni ychwanegu 5 mil ychwanegol at bris y tocyn ar gyfer hyn.
Wna i ddim dweud wrthych pwy yw Bondarev a Selivanov, i'r rhai sydd â diddordeb, .
Slyrm Mega. Diwrnod cyntaf.
Ar ddiwrnod cyntaf Slurm Mega, fe wnaethom lwytho'r cyfranogwyr gyda 4 pwnc. Siaradodd Pavel Selivanov am y broses o greu clwstwr methiant o'r tu mewn, am waith Kubeadm, yn ogystal ag am brofi a datrys problemau'r clwstwr.
Egwyl coffi cyntaf. Fel arfer “cloch athro,” ond yn Slurm, tra bod myfyrwyr yn yfed coffi, mae athrawon yn parhau i ateb cwestiynau.
Ac er gwaethaf y ffaith bod cwmwl “Break II” yn hofran dros ben Pavel Selivanov, nid ei dynged yw mynd ar egwyl.
Mae Sergei Bondarev a Marcel Ibraev yn aros am eu tro i fynd i'r pulpud.
Yn ystod yr egwyl, cysylltais â Sergey Bondarev a gofyn: “Pa gyngor fyddech chi’n ei roi i holl beirianwyr Kubernetes yn seiliedig ar eich profiad o weithio gyda chlystyrau ein cleientiaid?”
Rhoddodd Sergey argymhelliad syml: “Rhwystro mynediad o'r Rhyngrwyd i'r gweinydd API. Oherwydd o bryd i'w gilydd mae yna fygythiadau diogelwch sy'n caniatáu i ddefnyddwyr anawdurdodedig gael mynediad i'r clwstwr.»
Ar ôl ychydig funudau a photel o ddŵr mwynol, rhuthrodd Pavel Selivanov i frwydr gyda chysgod y pwnc “Awdurdodi mewn clwstwr gan ddefnyddio darparwr allanol,” sef LDAP (Nginx + Python) ac OIDC (Dex + Gangway).
Yn ystod yr egwyl nesaf, rhoddodd Marcel Ibraev, siaradwr Slurm, Gweinyddwr Ardystiedig Kubernetes, ei gyngor i beirianwyr Kubernetes: “Fe ddywedaf beth sy’n ymddangos yn ddibwys, ond o ystyried pa mor aml y byddaf yn dod ar draws hyn, mae gennyf amheuaeth nad yw pawb yn cymryd hyn i ystyriaeth. Ni ddylech gredu'n ddall unrhyw Sut-I o'r Rhyngrwyd a fydd yn dweud wrthych pa mor wych y mae hwn neu'r datrysiad hwnnw'n gweithio. Yng nghyd-destun Kubernetes, mae ystyr arbennig i hyn. Oherwydd bod Kubernetes yn system gymhleth a gall ychwanegu datrysiad iddi nad yw wedi'i brofi yn eich prosiect penodol a'ch gosodiad clwstwr arwain at ganlyniadau enbyd, er gwaethaf y ffaith iddynt ysgrifennu ar y Rhyngrwyd am ei oerni. Gall hyd yn oed Kubernetes ei hun heb ddull cytbwys niweidio'ch prosiect, “yr hyn sy'n dda i Rwsieg yw marwolaeth i Almaenwr.” Felly, rydym yn profi, gwirio, a phrofi unrhyw ateb cyn ei weithredu ein hunain. Dyma'r unig ffordd y byddwch yn ystyried yr holl arlliwiau a all godi.'.
Ar ôl cinio, aeth Sergei Bondarev i mewn i'r frwydr. Ei bwnc yw polisi Rhwydwaith, sef cyflwyniad i CNI a Pholisi Diogelwch Rhwydwaith.
Mae'r Rhyngrwyd yn llawn erthyglau am Bolisi Rhwydwaith. Mae yna farn ymhlith gweinyddwyr y gellir hepgor Polisïau Rhwydwaith, ond mae arbenigwyr diogelwch wrth eu bodd â'r offeryn hwn ac yn mynnu bod Polisïau Rhwydwaith yn cael eu galluogi.
Cymerodd Pavel Selivanov awenau Kubernetes oddi wrth Sergey Bondarev gyda’r pwnc “Ceisiadau diogel sydd ar gael yn fawr mewn clwstwr.” Mae ganddo hoff bynciau: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Pwnc Mega, a siaradodd Pavel yn DevOpsConf: .
Ar ôl dweud pa mor hawdd y gellir hacio clwstwr Kubernetes, mae gweinyddwyr amheus yn dweud: “Ie, dywedais wrthych, mae eich Kubernetes yn llawn tyllau.” Mae Pavel yn esbonio ei bod hi'n bosibl ffurfweddu diogelwch mewn clwstwr, ac nid yw'n anodd, dim ond bod gosodiadau diogelwch wedi'u hanalluogi yn ddiofyn. Manylion yn y trawsgrifiad .
— Pwy dorrodd y clwstwr? Fe dorrodd y clwstwr! Gallaf weld yn berffaith oddi yma!
Yn Slurms, nid yw popeth byth yn syml ac yn hawdd, er mwyn peidio â diflasu. Ond y tro hwn penderfynodd Telegram ddangos y pumed pwynt i bawb:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Daeth hyn â'r diwrnod cyntaf i ben, yn llachar ac yn llawn gwybodaeth ymarferol. Ar yr ail ddiwrnod bydd hyd yn oed mwy o ymarfer, gan lansio clwstwr cronfa ddata gan ddefnyddio PostgreSQL fel enghraifft, lansio clwstwr RabbitMQ, rheoli cyfrinachau yn Kubernetes.
Slyrm Mega. Ail ddiwrnod.
Dechreuodd y cyflwynydd yr ail ddiwrnod gyda chyhoeddiad siriol: “Yn y bore, fel y dywedodd Pavel ddoe, mae craidd caled go iawn yn ein disgwyl. Yn iaith y llawfeddygon, fe ddown i berfedd Kubernetes!”
Mae'r diddanwr torfol yn stori wahanol. Un o'r problemau gyda Slurm yw bod pobl yn diffodd gorlwytho gwybodaeth ac yn cwympo i gysgu. Roeddem bob amser yn chwilio am ffordd i wneud rhywbeth amdano, ac roedd gemau bach gyda chynulleidfa yn gweithio'n dda yn y Slurm diwethaf. Y tro hwn fe wnaethom gyflogi person wedi'i hyfforddi'n arbennig. Roedd llawer o jôcs yn y sgwrs am “gystadlaethau diddorol,” ond erys y ffaith nad ydym erioed wedi gweld cyfranogwyr mor siriol.
Daethant i achubiaeth Marcel Ibraev - a dechreuodd astudio ceisiadau Gwladol yn y clwstwr. Sef, lansio clwstwr cronfa ddata gan ddefnyddio PostgreSQL fel enghraifft a lansio clwstwr RabbitMQ.
Ar ôl cinio, dechreuodd Sergey Bondarev weithio ar K8S. A’r thema oedd “Cadw Cyfrinachau.” gorchuddiodd Mulder a Scully ef. Astudiodd reolaeth gyfrinachol yn Kubernetes a Vault. A hefyd “Mae'r gwir allan yna”.
A barhaodd tan yn hwyr yn y nos, pan ddechreuodd Pavel Selivanov siarad am y Llorweddol Pod Autoscaler
Slyrm Mega. Y trydydd dydd.
Yn sydyn ac yn siriol, o'r bore iawn, cynhyrfodd Sergei Bondarev y gynulleidfa gyda chopïau wrth gefn ac adferiad o fethiannau. Gwiriais y copi wrth gefn ac adferiad y clwstwr gan ddefnyddio Heptio Velero ac ati yn bersonol.
Parhaodd Sergey â'r pwnc o gylchdroi tystysgrifau blynyddol yn y clwstwr: adnewyddu tystysgrifau awyren reoli gan ddefnyddio kubeadm. Ychydig cyn cinio, er mwyn codi archwaeth y cyfranogwyr neu ei ladd yn llwyr, cododd Pavel Selivanov y pwnc o ddefnyddio'r cais.
Ystyriwyd offer templedi a defnyddio, yn ogystal â strategaethau defnyddio.
Siaradodd Pavel Selivanov am bwnc newydd: Gwasanaeth Rhwyll, gosodiad Istio. Trodd y pwnc mor gyfoethog fel y gallwch chi wneud cwrs dwys ar wahân arno. Rydym yn trafod cynlluniau, cadwch lygad am gyhoeddiadau.
Y prif beth yw bod popeth yn gweithio'n iawn. Oherwydd mae'n amser ymarfer:
adeiladu CI/CD i lansio'r defnydd o geisiadau a diweddaru clwstwr ar yr un pryd. Mewn prosiectau addysgol mae popeth yn gweithio'n dda. Ac mae bywyd weithiau'n llawn syndod.
Boed i'r Slyrm fod gyda chi!
Ffynhonnell: hab.com