La 24-an de novembro, Slurm Mega, progresinta intensa kurso pri Kubernetes, finiĝis. okazos en Moskvo la 18-20-an de majo.
La ideo de Slurm Mega: ni rigardas sub la kapuĉo de la areto, analizas teorie kaj praktikas la komplikaĵojn instali kaj agordi produktadpretan areton ("la-ne-tiel-facila maniero"), konsideras la mekanismojn. por certigi sekurecon kaj faŭltoleremo de aplikoj.
Mega Bonus: Tiuj kiuj trapasas Slurm Basic kaj Slurm Mega ricevas ĉiujn scion necesajn por trapasi la ekzamenon kaj 50% rabato pri la ekzameno.
Specialan dankon al Selectel pro havigi nubon por ekzercado, danke al kiu ĉiu partoprenanto laboris en sia propra plenrajta areto, kaj ni ne devis aldoni pliajn 5 mil al la biletprezo por tio.
Mi ne diros al vi, kiuj estas Bondarev kaj Selivanov, por tiuj, kiuj interesiĝas, .
Slurm Mega. Unua tago.
En la unua tago de Slurm Mega, ni ŝarĝis la partoprenantojn per 4 temoj. Pavel Selivanov parolis pri la procezo krei malsukcesan areton de interne, pri la laboro de Kubeadm, kaj ankaŭ pri testado kaj solvi la areton.
Unua kafpaŭzo. Kutime "instruista sonorilo", sed ĉe Slurm, dum studentoj trinkas kafon, instruistoj daŭre respondas demandojn.
Kaj malgraŭ tio, ke la nubo "Break II" ŝvebas super la kapo de Pavel Selivanov, lia destino ne estas paŭzo.
Sergej Bondarev kaj Marcel Ibraev atendas sian vicon por iri al la predikejo.
Dum la paŭzo, mi kontaktis Sergey Bondarev kaj demandis: "Kiun konsilon vi donus al ĉiuj inĝenieroj de Kubernetes laŭ via sperto pri laborado kun grupoj de niaj klientoj?"
Sergey donis simplan rekomendon: "Bloki aliron de la Interreto al la API-servilo. Ĉar de tempo al tempo estas sekurecaj minacoj, kiuj permesas al neaŭtorizitaj uzantoj akiri aliron al la areto.»
Post kelkaj minutoj kaj botelo da minerala akvo, Pavel Selivanov rapidis en batalon kun la ombro de la temo "Ratorigo en areto uzante eksteran provizanton", nome LDAP (Nginx + Python) kaj OIDC (Dex + Gangway).
Dum la sekva paŭzo, Marcel Ibraev, Slurm-parolanto, Atestita Kubernetes Administranto, donis siajn konsilojn al Kubernetes-inĝenieroj: "Mi diros ŝajne bagatelan aferon, sed konsiderante kiom ofte mi renkontas tion, mi havas suspekton, ke ne ĉiuj konsideras tion. Vi ne blinde kredu ajnan Kiel-Al de la Interreto, kiu diros al vi kiom bonege funkcias tiu aŭ alia solvo. En la kunteksto de Kubernetes, ĉi tio alprenas specialan signifon. Ĉar Kubernetes estas kompleksa sistemo kaj aldoni al ĝi solvon, kiu ne estis provita en via aparta projekto kaj via cluster-instalado, povas konduki al teruraj konsekvencoj, malgraŭ tio, ke ili skribis en la Interreto pri ĝia malvarmeto. Eĉ nur Kubernetes mem sen ekvilibra aliro povas damaĝi vian projekton, "kio estas bona por ruso estas morto por germano." Tial ni testas, kontrolas kaj testas ajnan solvon antaŭ ol efektivigi ĝin mem. Nur tiel vi konsideros ĉiujn nuancojn, kiuj povas aperi.".
Post tagmanĝo, Sergej Bondarev eniris la batalon. Lia temo estas Reta politiko, nome enkonduko al CNI kaj Network Security Policy.
La Interreto estas plena de artikoloj pri Reta Politiko. Estas opinio inter administrantoj, ke oni povas forigi Retajn Politikojn, sed sekurecaj specialistoj vere amas ĉi tiun ilon kaj postulas, ke Retaj Politikoj estu ebligitaj.
Pavel Selivanov transprenis la stirilon de Kubernetes de Sergey Bondarev kun la temo "Sekuraj kaj tre disponeblaj aplikoj en areto." Li havas plej ŝatatajn temojn: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
La temo de Mega, kiun Pavel parolis ĉe DevOpsConf: .
Post rakonti kiom facile Kubernetes-areo povas esti hakita, skeptikaj administrantoj diras: "Jes, mi diris al vi, via Kubernetes estas plena de truoj." Pavel klarigas, ke eblas agordi sekurecon en areto, kaj ĝi ne estas malfacila, nur sekurecaj agordoj estas malŝaltitaj defaŭlte. Detaloj en transskribo .
— Kiu rompis la areton? Li rompis la areton! Mi povas vidi perfekte de ĉi tie!
Ĉe Slurms ĉio neniam estas simpla kaj facila, por ne enuiĝi. Sed ĉi-foje Telegramo decidis montri al ĉiuj la kvinan punkton:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Ĉi tio finiĝis la unua tago, brila kaj plena de praktika scio. En la dua tago estos eĉ pli da praktiko, lanĉante datumbazan areton uzante PostgreSQL kiel ekzemplon, lanĉante RabbitMQ-grupon, administrante sekretojn en Kubernetes.
Slurm Mega. Dua tago.
La prezentisto komencis la duan tagon per gaja anonco: “Matene, kiel diris Pavel hieraŭ, vera hardcore atendas nin. En la lingvo de kirurgoj, ni eniros la intestojn de Kubernetes!"
La amasa distristo estas malsama rakonto. Unu el la problemoj kun Slurm estas, ke homoj malŝaltas de informa troŝarĝo kaj endormiĝas. Ni ĉiam serĉis manieron fari ion pri ĝi, kaj malgrandaj ludoj kun spektantaro bone funkciis ĉe la lasta Slurm. Ĉi-foje ni dungis speciale trejnitan personon. En la babilado estis multaj ŝercoj pri "interesaj konkursoj", sed la fakto restas, ke ni neniam vidis tiajn gajajn partoprenantojn.
Ili venis al la savo de Marcel Ibraev - kaj li komencis studi Stateful-aplikaĵojn en la areto. Nome, lanĉante datumbazan areton uzante PostgreSQL kiel ekzemplon kaj lanĉante RabbitMQ areton.
Post tagmanĝo, Sergey Bondarev komencis labori pri K8S. Kaj la temo estis "Konservado de Sekretoj". Mulder kaj Scully kovris lin. Studis sekretan administradon en Kubernetes kaj Vault. Kaj ankaŭ "La vero estas tie ekstere".
Kiu daŭris ĝis malfrue en la vespero, kiam Pavel Selivanov komencis paroli pri la Horizontala Pod Autoscaler.
Slurm Mega. La trian tagon.
Akre kaj gaje, ekde la mateno mem, Sergej Bondarev ekscitis la publikon kun sekureco kaj resaniĝo de malsukcesoj. Mi kontrolis la sekurkopion kaj reakiron de la areto uzante Heptio Velero kaj ktpd persone.
Sergey daŭrigis la temon de ĉiujara rotacio de atestiloj en la areto: renovigo de kontrol-ebenaj atestiloj uzante kubeadm. Ĝuste antaŭ la tagmanĝo, por veki la apetiton de la partoprenantoj aŭ tute mortigi ĝin, Pavel Selivanov levis la temon pri deplojo de la aplikaĵo.
Ŝablonaj kaj deplojiloj estis pripensitaj, same kiel deplojstrategioj.
Pavel Selivanov parolis pri nova temo: Servo Mesh, Istio-instalado. La temo montriĝis tiel riĉa, ke vi povas fari apartan intensan kurson pri ĝi. Ni diskutas planojn, restu agordita por anoncoj.
La ĉefa afero estas, ke ĉio funkcias ĝuste. Ĉar estas tempo por ekzerci:
konstruante CI/KD por samtempe lanĉi aplikaĵdeplojon kaj aretĝisdatigon. En edukaj projektoj ĉio funkcias bone. Kaj la vivo foje estas plena de surprizoj.
La Slurm estu kun vi!
fonto: www.habr.com