Den 24. november sluttede Slurm Mega, et avanceret intensivt kursus om Kubernetes.
Ideen om Slurm Mega: vi ser under hætten på klyngen, analyserer i teorien og praktiserer forviklingerne ved at installere og konfigurere en produktionsklar klynge ("den-ikke-så-lette måde"), overveje mekanismerne for at sikre sikkerhed og fejltolerance af applikationer.
Megabonus: De, der består Slurm Basic og Slurm Mega, får al den viden, der er nødvendig for at bestå eksamen
Særlig tak til Selectel for at levere en sky til øvelse, takket være hvilken hver deltager arbejdede i deres egen fuldgyldige klynge, og vi behøvede ikke at tilføje 5 tusinde ekstra til billetprisen for dette.
Slurm Mega. Første dag.
På Slurm Megas første dag fyldte vi deltagerne med 4 emner. Pavel Selivanov talte om processen med at skabe en failover-klynge indefra, om Kubeadms arbejde, samt om test og fejlfinding af klyngen.
Første kaffepause. Normalt en "lærerklokke", men på Slurm, mens eleverne drikker kaffe, fortsætter lærerne med at svare på spørgsmål.
Og på trods af at "Break II"-skyen svæver over Pavel Selivanovs hoved, er det ikke hans skæbne at tage på pause.
Sergei Bondarev og Marcel Ibraev venter på deres tur til at gå på prædikestolen.
I pausen henvendte jeg mig til Sergey Bondarev og spurgte: "Hvilket råd ville du give til alle Kubernetes-ingeniører baseret på din erfaring med at arbejde med vores kunders klynger?"
Sergey gav en simpel anbefaling: "Bloker adgang fra internettet til API-serveren. For fra tid til anden er der sikkerhedstrusler, der gør det muligt for uautoriserede brugere at få adgang til klyngen.»
Efter et par minutter og en flaske mineralvand styrtede Pavel Selivanov i kamp med skyggen af emnet "Autorisation i en klynge ved hjælp af en ekstern udbyder," nemlig LDAP (Nginx + Python) og OIDC (Dex + Gangway).
I den næste pause gav Marcel Ibraev, Slurm-taler, Certified Kubernetes Administrator, sit råd til Kubernetes-ingeniører: "Jeg vil sige en tilsyneladende triviel ting, men i betragtning af hvor ofte jeg støder på dette, har jeg en mistanke om, at ikke alle tager højde for dette. Du skal ikke blindt tro på nogen How-To fra internettet, der vil fortælle dig, hvor godt denne eller hin løsning virker. I forbindelse med Kubernetes får dette en særlig betydning. Fordi Kubernetes er et komplekst system, og at tilføje en løsning til det, som ikke er testet i netop dit projekt og din klyngeinstallation, kan føre til alvorlige konsekvenser, på trods af at de skrev på internettet om dets coolness. Selv bare Kubernetes selv uden en afbalanceret tilgang kan skade dit projekt, "det der er godt for en russer er døden for en tysker." Derfor tester, tjekker og tester vi enhver løsning, før vi selv implementerer den. Dette er den eneste måde, du vil tage højde for alle de nuancer, der kan opstå.'.
Efter frokost gik Sergei Bondarev ind i slaget. Hans emne er netværkspolitik, nemlig en introduktion til CNI og netværkssikkerhedspolitik.
Internettet er fyldt med artikler om netværkspolitik. Der er en mening blandt administratorer om, at netværkspolitikker kan undværes, men sikkerhedsspecialister elsker virkelig dette værktøj og kræver, at netværkspolitikker aktiveres.
Pavel Selivanov overtog roret i Kubernetes fra Sergey Bondarev med emnet "Sikkere og meget tilgængelige applikationer i en klynge." Han har yndlingsemner: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Megas emne, som Pavel talte på DevOpsConf:
Efter at have fortalt, hvor let en Kubernetes-klynge kan hackes, siger skeptiske administratorer: "Ja, jeg fortalte dig, din Kubernetes er fuld af huller." Pavel forklarer, at det er muligt at konfigurere sikkerhed i en klynge, og det er ikke svært, det er bare, at sikkerhedsindstillingerne er deaktiveret som standard. Detaljer i udskrift
— Hvem knækkede klyngen? Han knækkede klyngen! Jeg kan se perfekt herfra!
Hos Slurms er alt aldrig enkelt og nemt, for ikke at kede sig. Men denne gang besluttede Telegram at vise alle det femte punkt:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Dette afsluttede den første dag, lyst og fyldt med praktisk viden. På den anden dag vil der være endnu mere praksis, lancering af en databaseklynge med PostgreSQL som eksempel, lancering af en RabbitMQ-klynge, håndtering af hemmeligheder i Kubernetes.
Slurm Mega. Anden dag.
Oplægsholderen begyndte den anden dag med en munter meddelelse: "Om morgenen, som Pavel udtrykte det i går, venter der os rigtig hardcore. På kirurgers sprog vil vi komme ind i indvoldene på Kubernetes!"
En masseunderholder er en anden historie. Et af problemerne med Slurm er, at folk slukker for informationsoverbelastning og falder i søvn. Vi ledte altid efter en måde at gøre noget ved det på, og små spil med et publikum fungerede godt ved den sidste slurm. Denne gang ansatte vi en specialuddannet person. Der var mange jokes i chatten om "interessante konkurrencer", men faktum er, at vi aldrig har set så glade deltagere.
De kom Marcel Ibraev til undsætning - og han begyndte at studere Stateful-applikationer i klyngen. Nemlig at starte en databaseklynge med PostgreSQL som eksempel og at starte en RabbitMQ-klynge.
Efter frokost begyndte Sergey Bondarev at arbejde på K8S. Og temaet var "at holde på hemmeligheder." Mulder og Scully dækkede ham. Studerede hemmelig ledelse i Kubernetes og Vault. Og også "Sandheden er derude".
Hvilket fortsatte indtil sent på aftenen, hvor Pavel Selivanov begyndte at tale om Horizontal Pod Autoscaler
Slurm Mega. Den tredje dag.
Skarpt og muntert, lige fra morgenstunden, ophidsede Sergei Bondarev publikum med backup og genopretning fra fejl. Jeg kontrollerede sikkerhedskopieringen og gendannelsen af klyngen ved hjælp af Heptio Velero og etcd personligt.
Sergey fortsatte emnet om årlig rotation af certifikater i klyngen: fornyelse af kontrolflycertifikater ved hjælp af kubeadm. Lige før frokost, for at vække deltagernes appetit eller fuldstændigt dræbe den, rejste Pavel Selivanov emnet om implementering af applikationen.
Skabelon- og implementeringsværktøjer blev overvejet, såvel som implementeringsstrategier.
Pavel Selivanov talte om et nyt emne: Service Mesh, Istio installation. Emnet viste sig at være så rigt, at du kan lave et separat intensivt kursus om det. Vi diskuterer planer, følg med for annonceringer.
Det vigtigste er, at alt fungerer korrekt. For det er tid til at øve sig:
opbygning af CI/CD for samtidig at starte applikationsimplementering og klyngeopdatering. I uddannelsesprojekter fungerer alt godt. Og livet er nogle gange fyldt med overraskelser.
Må Slurmen være med dig!
Kilde: www.habr.com