Marraskuun 24. päivänä Slurm Mega, edistynyt intensiivikurssi Kubernetesista, päättyi.
Slurm Megan idea: katsomme klusterin konepellin alle, analysoimme teoriassa ja harjoittelemme tuotantovalmiiden klusterin asennuksen ja konfiguroinnin ("ei-niin-helppo-tapa") monimutkaisuutta, pohdimme mekanismeja sovellusten turvallisuuden ja vikasietoisuuden varmistamiseksi.
Megabonus: Slurm Basicin ja Slurm Megan läpäisevät saavat kaikki kokeen läpäisemiseen tarvittavat tiedot
Erityiset kiitokset Selectelille harjoittelupilven tarjoamisesta, jonka ansiosta jokainen osallistuja työskenteli omassa täysimittaisessa klusterissaan, eikä meidän tarvinnut lisätä lipun hintaan ylimääräistä 5 tuhatta tästä.
Slurm Mega. Ensimmäinen päivä.
Slurm Megan ensimmäisenä päivänä latasimme osallistujille 4 aihetta. Pavel Selivanov puhui vikasietoklusterin luomisprosessista sisältä käsin, Kubeadmin työstä sekä klusterin testaamisesta ja vianetsinnästä.
Ensimmäinen kahvitauko. Yleensä "opettajan kello", mutta Slurmissa, kun opiskelijat juovat kahvia, opettajat jatkavat kysymyksiin vastaamista.
Ja huolimatta siitä, että "Break II" -pilvi leijuu Pavel Selivanovin pään päällä, hänen kohtalonsa ei ole mennä tauolle.
Sergei Bondarev ja Marcel Ibraev odottavat vuoroaan saarnatuoliin.
Tauon aikana lähestyin Sergei Bondarevia ja kysyin: ”Mitä neuvoja antaisit kaikille Kubernetes-insinööreille kokemuksesi perusteella työskentelystä asiakkaidemme klustereiden kanssa?”
Sergey antoi yksinkertaisen suosituksen: "Estä pääsy Internetistä API-palvelimelle. Koska ajoittain on tietoturvauhkia, jotka antavat luvattomille käyttäjille pääsyn klusteriin.»
Muutaman minuutin ja kivennäisvesipullon jälkeen Pavel Selivanov ryntäsi taisteluun aiheen "Valtuutus klusterissa ulkoisen palveluntarjoajan avulla", nimittäin LDAP:n (Nginx + Python) ja OIDC:n (Dex + Gangway) varjon kanssa.
Seuraavalla tauolla Marcel Ibraev, Slurm-puhuja, sertifioitu Kubernetes-järjestelmänvalvoja, antoi neuvonsa Kubernetes-insinööreille: "Sanon näennäisen vähäpätöisen asian, mutta ottaen huomioon kuinka usein kohtaan tämän, epäilen, että kaikki eivät ota tätä huomioon. Sinun ei pitäisi sokeasti uskoa mihinkään Internetin ohjeeseen, joka kertoo, kuinka hyvin tämä tai tuo ratkaisu toimii. Kubernetesin yhteydessä tämä saa erityisen merkityksen. Koska Kubernetes on monimutkainen järjestelmä ja sellaisen ratkaisun lisääminen, jota ei ole testattu omassa projektissasi ja klusteriasennuksessasi, voi johtaa vakaviin seurauksiin huolimatta siitä, että he kirjoittivat Internetissä sen viileydestä. Jopa itse Kubernetes ilman tasapainoista lähestymistapaa voi vahingoittaa projektiasi, "mikä on hyvä venäläiselle, on kuolema saksalaiselle." Siksi testaamme, tarkistamme ja testaamme mitä tahansa ratkaisua ennen sen toteuttamista itse. Tämä on ainoa tapa ottaa huomioon kaikki mahdolliset vivahteet.'.
Lounaan jälkeen Sergei Bondarev astui taisteluun. Hänen aiheensa on verkkopolitiikka, nimittäin johdatus CNI- ja verkkoturvakäytäntöihin.
Internet on täynnä verkkopolitiikkaa koskevia artikkeleita. Järjestelmänvalvojien keskuudessa on mielipide, että verkkokäytännöistä voidaan luopua, mutta tietoturvaasiantuntijat todella rakastavat tätä työkalua ja vaativat, että verkkokäytännöt otetaan käyttöön.
Pavel Selivanov otti Kubernetesin ruorin Sergey Bondarevilta teemalla "Suojatut ja erittäin saatavilla olevat sovellukset klusterissa". Hänellä on suosikkiaiheita: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Megan aihe, jonka Pavel puhui DevOpsConfissa:
Kertoessaan, kuinka helposti Kubernetes-klusteri voidaan hakkeroida, skeptiset järjestelmänvalvojat sanovat: "Joo, sanoin sinulle, Kubernetessi on täynnä reikiä." Pavel selittää, että tietoturva on mahdollista konfiguroida klusterissa, eikä se ole vaikeaa, vain suojausasetukset ovat oletuksena pois käytöstä. Yksityiskohdat kopiossa
— Kuka rikkoi klusterin? Hän rikkoi klusterin! Näen täältä täydellisesti!
Slurmsissa kaikki ei ole koskaan yksinkertaista ja helppoa, jotta ei kyllästy. Mutta tällä kertaa Telegram päätti näyttää kaikille viidennen pisteen:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Tähän päättyi ensimmäinen päivä, valoisa ja täynnä käytännön tietoa. Toisena päivänä harjoitellaan vielä lisää, tietokantaklusterin käynnistäminen esimerkiksi PostgreSQL:n avulla, RabbitMQ-klusterin käynnistäminen, salaisuuksien hallinta Kubernetesissa.
Slurm Mega. Toinen päivä.
Juontaja aloitti toisen päivän iloisella ilmoituksella: ”Aamulla, kuten Pavel eilen sanoi, meitä odottaa todellinen hardcore. Kirurgien kielellä, me pääsemme Kuberneteksen sisimpään!”
Massaviihdyttäjä on eri tarina. Yksi Slurm-ongelmista on se, että ihmiset sammuvat informaatiotulvasta ja nukahtavat. Etsimme aina tapaa tehdä asialle jotain, ja pienet yleisöpelit toimivat hyvin viime Slurmissa. Tällä kertaa palkkasimme erityisen koulutetun henkilön. Chatissa oli paljon vitsejä "kiinnostavista kilpailuista", mutta tosiasia on, että emme ole koskaan nähneet näin iloisia osallistujia.
He tulivat Marcel Ibraevin apuun - ja hän alkoi tutkia Stateful-sovelluksia klusterissa. Nimittäin tietokantaklusterin käynnistäminen esimerkkinä PostgreSQL:llä ja RabbitMQ-klusterin käynnistäminen.
Lounaan jälkeen Sergey Bondarev aloitti työskentelyn K8S:n parissa. Ja teemana oli "Salaisuuksien säilyttäminen". Mulder ja Scully peittivät hänet. Opiskeli salaista hallintaa Kubernetesissa ja Holvissa. Ja myös "Totuus on tuolla ulkona".
Joka jatkui myöhään iltaan, jolloin Pavel Selivanov alkoi puhua Horizontal Pod Autoscalerista
Slurm Mega. Kolmas päivä.
Terävästi ja iloisesti, heti aamusta lähtien, Sergei Bondarev kiihotti yleisöä varmuuskopiolla ja epäonnistumisista toipumalla. Tarkistin klusterin varmuuskopion ja palautuksen Heptio Velerolla ja etcd:llä henkilökohtaisesti.
Sergey jatkoi klusterin sertifikaattien vuosikiertoa: ohjaustason sertifikaattien uusiminen kubeadmillä. Juuri ennen lounasta Pavel Selivanov nosti esiin sovelluksen käyttöönoton aiheen herättääkseen osallistujien ruokahalun tai tappaakseen sen kokonaan.
Malli- ja käyttöönottotyökaluja sekä käyttöönottostrategioita harkittiin.
Pavel Selivanov puhui uudesta aiheesta: Service Mesh, Istio-asennus. Aihe osoittautui niin rikkaaksi, että siitä voi tehdä erillisen intensiivikurssin. Keskustelemme suunnitelmista, pysy kuulolla ilmoituksia varten.
Pääasia, että kaikki toimii oikein. Koska on aika harjoitella:
CI/CD:n rakentaminen käynnistääksesi samanaikaisesti sovellusten käyttöönoton ja klusterin päivityksen. Koulutusprojekteissa kaikki toimii hyvin. Ja elämä on joskus täynnä yllätyksiä.
Olkoon Slurm kanssasi!
Lähde: will.com