O 24 de novembro rematou Slurm Mega, un curso intensivo avanzado sobre Kubernetes.
A idea de Slurm Mega: miramos debaixo do capó do clúster, analizamos en teoría e practicamos as complejidades de instalar e configurar un clúster listo para a produción ("a maneira non tan fácil"), consideramos os mecanismos para garantir a seguridade e tolerancia a fallos das aplicacións.
Mega Bonus: os que superen Slurm Basic e Slurm Mega reciben todos os coñecementos necesarios para aprobar o exame
Agradecemento especial a Selectel por proporcionar unha nube para a práctica, grazas á cal cada participante traballou no seu propio clúster completo, e non tivemos que engadir 5 mil adicionais ao prezo da entrada para iso.
Slurm Mega. Primeiro día.
O primeiro día de Slurm Mega cargamos aos participantes con 4 temas. Pavel Selivanov falou sobre o proceso de creación dun clúster de conmutación por fallo desde o interior, sobre o traballo de Kubeadm, así como sobre probar e solucionar problemas do clúster.
Primeira pausa para o café. Adoita ser unha "campá de profesor", pero en Slurm, mentres os estudantes beben café, os profesores seguen respondendo preguntas.
E a pesar de que a nube "Break II" paira sobre a cabeza de Pavel Selivanov, non é o seu destino ir de descanso.
Sergei Bondarev e Marcel Ibraev agardan a súa quenda para ir ao púlpito.
Durante o descanso, achegueime a Sergey Bondarev e preguntei: "Que consello lle darías a todos os enxeñeiros de Kubernetes segundo a túa experiencia traballando cos clústeres dos nosos clientes?"
Sergey deu unha simple recomendación: "Bloquear o acceso desde Internet ao servidor API. Porque de cando en vez hai ameazas de seguridade que permiten que usuarios non autorizados accedan ao clúster.»
Despois dun par de minutos e unha botella de auga mineral, Pavel Selivanov entrou nunha batalla coa sombra do tema "Autorización nun clúster mediante un provedor externo", é dicir, LDAP (Nginx + Python) e OIDC (Dex + Gangway).
Durante o seguinte descanso, Marcel Ibraev, orador de Slurm, administrador certificado de Kubernetes, deu o seu consello aos enxeñeiros de Kubernetes: "Direi unha cousa aparentemente trivial, pero tendo en conta a frecuencia con que me atopo, teño a sospeita de que non todos o teñen en conta. Non debes crer cegamente ningún How-To de Internet que che diga o xenial que funciona esta ou aquela solución. No contexto de Kubernetes, isto cobra un significado especial. Porque Kubernetes é un sistema complexo e engadirlle unha solución que non foi probada no teu proxecto particular e na instalación do teu clúster pode levar a consecuencias terribles, a pesar de que escribiron en Internet sobre a súa frescura. Incluso só o propio Kubernetes sen un enfoque equilibrado pode prexudicar o teu proxecto, "o que é bo para un ruso é a morte dun alemán". Polo tanto, probamos, comprobamos e probamos calquera solución antes de implementala nós mesmos. Só así terás en conta todos os matices que poidan xurdir.».
Despois do xantar, Sergei Bondarev entrou na batalla. O seu tema é a política de rede, é dicir, unha introdución ao CNI e á política de seguridade da rede.
Internet está chea de artigos sobre política de rede. Hai unha opinión entre os administradores de que se poden prescindir das políticas de rede, pero os especialistas en seguridade adoran esta ferramenta e esixen que se habiliten as políticas de rede.
Pavel Selivanov asumiu a dirección de Kubernetes de Sergey Bondarev co tema "Aplicacións seguras e altamente dispoñibles nun clúster". Ten temas favoritos: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
O tema de Mega, que Pavel falou en DevOpsConf:
Despois de dicir a facilidade con que se pode piratear un clúster de Kubernetes, os administradores escépticos din: "Si, xa che dixen, o teu Kubernetes está cheo de buratos". Pavel explica que é posible configurar a seguridade nun clúster, e non é difícil, é que a configuración de seguridade está desactivada por defecto. Detalles na transcrición
- Quen rompeu o racimo? Rompeu o racimo! Podo ver perfectamente dende aquí!
En Slurms, nunca todo é sinxelo e doado, para non aburrirse. Pero esta vez Telegram decidiu mostrar a todos o quinto punto:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Así concluíu o primeiro día, brillante e cheo de coñecementos prácticos. O segundo día haberá aínda máis práctica, lanzar un clúster de bases de datos usando PostgreSQL como exemplo, lanzar un clúster RabbitMQ, xestionar segredos en Kubernetes.
Slurm Mega. Segundo día.
O presentador comezou a segunda xornada cun alegre anuncio: «Pola mañá, como dicía onte Pavel, espéranos un auténtico hardcore. Na linguaxe dos cirurxiáns, entraremos nas entrañas de Kubernetes!
Un animador de masas é unha historia diferente. Un dos problemas de Slurm é que a xente desconecta da sobrecarga de información e queda durmido. Sempre buscabamos a forma de facer algo ao respecto, e os pequenos xogos con público funcionaron ben no último Slurm. Nesta ocasión contratamos unha persoa especialmente formada. Había moitas bromas no chat sobre "competicións interesantes", pero o certo é que nunca vimos participantes tan alegres.
Viñeron ao rescate de Marcel Ibraev, e comezou a estudar as aplicacións Stateful no clúster. É dicir, lanzar un clúster de bases de datos usando PostgreSQL como exemplo e lanzar un clúster RabbitMQ.
Despois do xantar, Sergey Bondarev comezou a traballar en K8S. E o tema era "Gardar segredos". Mulder e Scully cubrirono. Estudou xestión secreta en Kubernetes e Vault. E tamén "A verdade está aí fóra".
O que continuou ata última hora da noite, cando Pavel Selivanov comezou a falar sobre o Horizontal Pod Autoscaler.
Slurm Mega. O terceiro día.
Aguda e alegre, desde a mesma mañá, Sergei Bondarev conmoveu ao público con respaldo e recuperación dos fallos. Comprobei a copia de seguridade e recuperación do clúster usando Heptio Velero e etcd persoalmente.
Sergey continuou co tema da rotación anual de certificados no clúster: renovación dos certificados do plano de control mediante kubeadm. Xusto antes do xantar, para espertar o apetito dos participantes ou matalo por completo, Pavel Selivanov plantexou o tema da implantación da aplicación.
Consideráronse ferramentas de plantilla e despregamento, así como estratexias de despregamento.
Pavel Selivanov falou dun novo tema: Service Mesh, instalación de Istio. O tema resultou ser tan rico que podes facer un curso intensivo separado sobre el. Estamos discutindo plans, estade atentos aos anuncios.
O principal é que todo funciona correctamente. Porque é hora de practicar:
creación de CI/CD para iniciar simultáneamente a implementación de aplicacións e a actualización do clúster. Nos proxectos educativos todo funciona ben. E a vida ás veces está chea de sorpresas.
Que o Slurm estea contigo!
Fonte: www.habr.com