Am 24. November endete Slurm Mega, ein Intensivkurs für Fortgeschrittene zu Kubernetes. findet vom 18. bis 20. Mai in Moskau statt.
Die Idee von Slurm Mega: Wir blicken unter die Haube des Clusters, analysieren in Theorie und Praxis die Feinheiten der Installation und Konfiguration eines produktionsreifen Clusters („der nicht so einfache Weg“) und betrachten die Mechanismen zur Gewährleistung der Sicherheit und Fehlertoleranz von Anwendungen.
Mega-Bonus: Wer Slurm Basic und Slurm Mega besteht, erhält alle notwendigen Kenntnisse, um die Prüfung zu bestehen und 50 % Rabatt auf die Prüfung.
Besonderer Dank geht an Selectel für die Bereitstellung einer Cloud zum Üben, dank der jeder Teilnehmer in seinem eigenen vollwertigen Cluster arbeitete, und wir mussten dafür keine zusätzlichen 5 zum Ticketpreis hinzufügen.
Ich werde Ihnen nicht sagen, wer Bondarev und Selivanov sind, für diejenigen, die es interessiert: .
Slurm Mega. Der erste Tag.
Am ersten Tag von Slurm Mega haben wir die Teilnehmer mit 4 Themen beladen. Pavel Selivanov sprach über den Prozess der internen Erstellung eines Failover-Clusters, über die Arbeit von Kubeadm sowie über das Testen und Beheben von Fehlern im Cluster.
Erste Kaffeepause. Normalerweise eine „Lehrerklingel“, aber bei Slurm beantworten die Lehrer weiterhin Fragen, während die Schüler Kaffee trinken.
Und trotz der Tatsache, dass die „Pause II“-Wolke über Pavel Selivanovs Kopf schwebt, ist es nicht seine Bestimmung, eine Pause einzulegen.
Sergei Bondarev und Marcel Ibraev warten darauf, dass sie auf die Kanzel gehen dürfen.
Während der Pause wandte ich mich an Sergey Bondarev und fragte: „Welchen Rat würden Sie allen Kubernetes-Ingenieuren aufgrund Ihrer Erfahrung in der Arbeit mit den Clustern unserer Kunden geben?“
Sergey gab eine einfache Empfehlung: „Blockieren Sie den Zugriff vom Internet auf den API-Server. Denn von Zeit zu Zeit gibt es Sicherheitsbedrohungen, die es unbefugten Benutzern ermöglichen, Zugriff auf den Cluster zu erhalten.»
Nach ein paar Minuten und einer Flasche Mineralwasser stürzte sich Pavel Selivanov in den Kampf mit dem Schatten des Themas „Autorisierung in einem Cluster mithilfe eines externen Anbieters“, nämlich LDAP (Nginx + Python) und OIDC (Dex + Gangway).
In der nächsten Pause gab Marcel Ibraev, Slurm-Sprecher und zertifizierter Kubernetes-Administrator, den Kubernetes-Ingenieuren seinen Rat: „Ich möchte eine scheinbar triviale Sache sagen, aber angesichts der Häufigkeit, mit der ich darauf stoße, habe ich den Verdacht, dass nicht jeder dies berücksichtigt. Sie sollten nicht blind irgendwelchen Anleitungen aus dem Internet glauben, die Ihnen sagen, wie großartig diese oder jene Lösung funktioniert. Im Kontext von Kubernetes erhält dies eine besondere Bedeutung. Denn Kubernetes ist ein komplexes System und das Hinzufügen einer Lösung, die in Ihrem speziellen Projekt und Ihrer Cluster-Installation nicht getestet wurde, kann schlimme Folgen haben, obwohl im Internet über seine Coolness geschrieben wurde. Selbst Kubernetes selbst ohne einen ausgewogenen Ansatz kann Ihrem Projekt schaden: „Was für einen Russen gut ist, ist für einen Deutschen der Tod.“ Deshalb testen, prüfen und testen wir jede Lösung, bevor wir sie selbst implementieren. Nur so können Sie alle auftretenden Nuancen berücksichtigen.".
Nach dem Mittagessen trat Sergei Bondarev in die Schlacht ein. Sein Thema ist Netzwerkpolitik, nämlich eine Einführung in CNI und Netzwerksicherheitspolitik.
Das Internet ist voll von Artikeln über Netzwerkrichtlinien. Unter Administratoren herrscht die Meinung vor, dass auf Netzwerkrichtlinien verzichtet werden kann, doch Sicherheitsexperten lieben dieses Tool und fordern die Aktivierung von Netzwerkrichtlinien.
Pavel Selivanov übernahm die Leitung von Kubernetes von Sergey Bondarev mit dem Thema „Sichere und hochverfügbare Anwendungen in einem Cluster“. Er hat Lieblingsthemen: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Megas Thema, über das Pavel auf der DevOpsConf sprach: .
Nachdem sie erzählt haben, wie leicht ein Kubernetes-Cluster gehackt werden kann, sagen skeptische Administratoren: „Ja, ich habe Ihnen gesagt, Ihr Kubernetes ist voller Löcher.“ Pavel erklärt, dass es möglich ist, die Sicherheit in einem Cluster zu konfigurieren, und dass es nicht schwierig ist, nur dass die Sicherheitseinstellungen standardmäßig deaktiviert sind. Details im Transkript .
— Wer hat den Cluster zerstört? Er hat das Cluster kaputt gemacht! Von hier aus kann ich perfekt sehen!
Bei Slurms ist nie alles einfach und leicht, damit keine Langeweile aufkommt. Aber dieses Mal hat Telegram beschlossen, allen den fünften Punkt zu zeigen:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Damit endete der erste Tag, fröhlich und voller praktischer Kenntnisse. Am zweiten Tag wird es noch mehr Übung geben, nämlich das Starten eines Datenbankclusters am Beispiel von PostgreSQL, das Starten eines RabbitMQ-Clusters und die Verwaltung von Geheimnissen in Kubernetes.
Slurm Mega. Zweiter Tag.
Der Moderator begann den zweiten Tag mit einer fröhlichen Ankündigung: „Am Morgen erwartet uns, wie Pavel es gestern ausdrückte, echter Hardcore. Um es in der Sprache der Chirurgen zu sagen: Wir werden uns mit den Eingeweiden von Kubernetes befassen!“
Der Massenunterhalter ist eine andere Geschichte. Eines der Probleme bei Slurm besteht darin, dass Menschen aufgrund der Informationsüberflutung abschalten und einschlafen. Wir haben immer nach einer Möglichkeit gesucht, etwas dagegen zu unternehmen, und kleine Spiele mit Publikum haben beim letzten Slurm gut funktioniert. Diesmal haben wir eine speziell geschulte Person engagiert. Im Chat gab es viele Witze über „interessante Wettbewerbe“, Fakt ist jedoch, dass wir noch nie so fröhliche Teilnehmer gesehen haben.
Sie kamen Marcel Ibraev zu Hilfe – und er begann, Stateful-Anwendungen im Cluster zu studieren. Nämlich das Starten eines Datenbankclusters am Beispiel von PostgreSQL und das Starten eines RabbitMQ-Clusters.
Nach dem Mittagessen begann Sergey Bondarev mit der Arbeit an K8S. Und das Thema war „Geheimnisse bewahren“. Mulder und Scully deckten ihn. Studierte Secret Management in Kubernetes und Vault. Und auch „Die Wahrheit ist da draußen“.
Das dauerte bis spät abends, als Pavel Selivanov anfing, über den Horizontal Pod Autoscaler zu sprechen
Slurm Mega. Der dritte Tag.
Scharf und fröhlich rüttelte Sergei Bondarev vom Morgen an das Publikum mit Unterstützung und Erholung von Misserfolgen auf. Ich habe die Sicherung und Wiederherstellung des Clusters mit Heptio Velero und etcd persönlich überprüft.
Sergey fuhr mit dem Thema der jährlichen Rotation von Zertifikaten im Cluster fort: Erneuerung von Control-Plane-Zertifikaten mithilfe von kubeadm. Kurz vor dem Mittagessen brachte Pavel Selivanov, um den Appetit der Teilnehmer anzuregen oder ihn ganz zu stillen, die Bereitstellung der Anwendung zur Sprache.
Es wurden Vorlagen- und Bereitstellungstools sowie Bereitstellungsstrategien berücksichtigt.
Pavel Selivanov sprach über ein neues Thema: Service Mesh, Istio-Installation. Das Thema erwies sich als so umfangreich, dass man einen separaten Intensivkurs dazu belegen kann. Wir besprechen Pläne, bleiben Sie gespannt auf Ankündigungen.
Hauptsache, alles funktioniert richtig. Weil es Zeit zum Üben ist:
Erstellen von CI/CD, um gleichzeitig die Anwendungsbereitstellung und Clusteraktualisierung zu starten. Bei Bildungsprojekten funktioniert alles gut. Und das Leben ist manchmal voller Überraschungen.
Möge der Slurm mit dir sein!
Source: habr.com