El 24 de noviembre finalizó Slurm Mega, un curso intensivo avanzado sobre Kubernetes. se celebrará en Moscú del 18 al 20 de mayo.
La idea de Slurm Mega: miramos debajo del capó del clúster, analizamos en teoría y practicamos las complejidades de instalar y configurar un clúster listo para producción ("la manera no tan fácil"), consideramos los mecanismos para garantizar la seguridad y la tolerancia a fallos de las aplicaciones.
Mega Bonus: Quienes aprueben Slurm Basic y Slurm Mega reciben todos los conocimientos necesarios para aprobar el examen. y un 50% de descuento en el examen.
Un agradecimiento especial a Selectel por proporcionar una nube para la práctica, gracias a la cual cada participante trabajó en su propio grupo completo, y no tuvimos que agregar 5 mil adicionales al precio del boleto para esto.
No les diré quiénes son Bondarev y Selivanov, para aquellos que estén interesados, .
Slurm Mega. Primer día.
El primer día de Slurm Mega, cargamos a los participantes con 4 temas. Pavel Selivanov habló sobre el proceso de creación de un clúster de conmutación por error desde adentro, sobre el trabajo de Kubeadm, así como sobre las pruebas y solución de problemas del clúster.
Primera pausa para el café. Generalmente es una “campana de maestro”, pero en Slurm, mientras los estudiantes toman café, los maestros continúan respondiendo preguntas.
Y a pesar de que la nube de "Break II" se cierne sobre la cabeza de Pavel Selivanov, no es su destino tomarse un descanso.
Sergei Bondarev y Marcel Ibraev esperan su turno para subir al púlpito.
Durante el descanso, me acerqué a Sergey Bondarev y le pregunté: "¿Qué consejo les daría a todos los ingenieros de Kubernetes basándose en su experiencia trabajando con los clústeres de nuestros clientes?"
Sergey dio una recomendación sencilla: “Bloquee el acceso desde Internet al servidor API. Porque de vez en cuando existen amenazas a la seguridad que permiten a usuarios no autorizados acceder al clúster.»
Después de un par de minutos y una botella de agua mineral, Pavel Selivanov se lanzó a la batalla con la sombra del tema "Autorización en un clúster utilizando un proveedor externo", es decir, LDAP (Nginx + Python) y OIDC (Dex + Gangway).
Durante la siguiente pausa, Marcel Ibraev, ponente de Slurm y administrador certificado de Kubernetes, dio su consejo a los ingenieros de Kubernetes: “Diré algo aparentemente trivial, pero teniendo en cuenta la frecuencia con la que me encuentro con esto, sospecho que no todo el mundo lo tiene en cuenta. No deberías creer ciegamente en ningún tutorial de Internet que te diga lo bien que funciona tal o cual solución. En el contexto de Kubernetes, esto adquiere un significado especial. Porque Kubernetes es un sistema complejo y agregarle una solución que no ha sido probada en su proyecto particular y en la instalación de su clúster puede tener consecuencias nefastas, a pesar de que escribieron en Internet sobre su genialidad. Incluso el propio Kubernetes sin un enfoque equilibrado puede dañar su proyecto: "lo que es bueno para un ruso es la muerte para un alemán". Por eso, probamos, comprobamos y probamos cualquier solución antes de implementarla nosotros mismos. Sólo así tendrás en cuenta todos los matices que puedan surgir.".
Después del almuerzo, Sergei Bondarev entró en batalla. Su tema es la política de red, es decir, una introducción a CNI y la política de seguridad de red.
Internet está lleno de artículos sobre política de red. Entre los administradores existe la opinión de que se puede prescindir de las Políticas de red, pero los especialistas en seguridad realmente adoran esta herramienta y exigen que se habiliten las Políticas de red.
Pavel Selivanov reemplazó a Sergey Bondarev en Kubernetes con el tema "Aplicaciones seguras y de alta disponibilidad en un clúster". Tiene temas favoritos: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
El tema de Mega, del que habló Pavel en DevOpsConf: .
Después de explicar con qué facilidad se puede piratear un clúster de Kubernetes, los administradores escépticos dicen: "Sí, te lo dije, tu Kubernetes está lleno de agujeros". Pavel explica que es posible configurar la seguridad en un clúster y no es difícil, solo que la configuración de seguridad está deshabilitada de forma predeterminada. Detalles en la transcripción .
— ¿Quién rompió el cúmulo? ¡Rompió el racimo! ¡Puedo ver perfectamente desde aquí!
En Slurms nunca todo es sencillo y fácil, para no aburrirse. Pero esta vez Telegram decidió mostrarles a todos el quinto punto:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Así concluyó el primer día, brillante y lleno de conocimientos prácticos. El segundo día habrá aún más práctica, lanzando un clúster de base de datos usando PostgreSQL como ejemplo, lanzando un clúster RabbitMQ y administrando secretos en Kubernetes.
Slurm Mega. Segundo día.
El presentador comenzó el segundo día con un anuncio alegre: “Por la mañana, como dijo ayer Pavel, nos espera un verdadero hardcore. En lenguaje de cirujanos, ¡entraremos en las entrañas de Kubernetes!”
El artista de masas es una historia diferente. Uno de los problemas de Slurm es que la gente desconecta de la sobrecarga de información y se queda dormida. Siempre estábamos buscando una manera de hacer algo al respecto, y los juegos pequeños con audiencia funcionaron bien en el último Slurm. Esta vez contratamos a una persona especialmente capacitada. En el chat hubo muchos chistes sobre “competencias interesantes”, pero lo cierto es que nunca habíamos visto participantes tan alegres.
Marcel Ibraev acudió al rescate y comenzó a estudiar aplicaciones con estado en el clúster. Es decir, lanzar un clúster de base de datos usando PostgreSQL como ejemplo y lanzar un clúster RabbitMQ.
Después del almuerzo, Sergey Bondarev empezó a trabajar en K8S. Y el tema era “Guardar secretos”. Mulder y Scully lo cubrieron. Estudió gestión de secretos en Kubernetes y Vault. Y también “La verdad está ahí fuera”.
Lo cual continuó hasta altas horas de la noche, cuando Pavel Selivanov comenzó a hablar sobre el Horizontal Pod Autoscaler.
Slurm Mega. El tercer día.
De manera aguda y alegre, desde la misma mañana, Sergei Bondarev conmovió a la audiencia con copias de seguridad y recuperación de fallas. Verifiqué personalmente la copia de seguridad y recuperación del clúster usando Heptio Velero y etcd.
Sergey continuó con el tema de la rotación anual de certificados en el clúster: renovación de certificados del plano de control utilizando kubeadm. Justo antes del almuerzo, para abrir el apetito de los participantes o matarlo por completo, Pavel Selivanov planteó el tema de la implementación de la aplicación.
Se consideraron herramientas de implementación y creación de plantillas, así como estrategias de implementación.
Pavel Selivanov habló sobre un tema nuevo: Service Mesh, instalación de Istio. El tema resultó ser tan rico que puedes realizar un curso intensivo por separado. Estamos discutiendo planes, estad atentos a los anuncios.
Lo principal es que todo funcione correctamente. Porque es hora de practicar:
crear CI/CD para iniciar simultáneamente la implementación de aplicaciones y la actualización del clúster. En proyectos educativos todo funciona bien. Y la vida a veces está llena de sorpresas.
¡Que el Slurm esté contigo!
Fuente: habr.com