Dana 24. studenog završio je Slurm Mega, napredni intenzivni tečaj o Kubernetesu.
Ideja o Slurm Mega: gledamo ispod haube klastera, analiziramo u teoriji i prakticiramo zamršenost instaliranja i konfiguriranja klastera spremnog za proizvodnju ("ne-tako-lak način"), razmatramo mehanizme za osiguranje sigurnosti i tolerancije na greške aplikacija.
Mega bonus: Oni koji polože Slurm Basic i Slurm Mega dobivaju svo znanje potrebno za polaganje ispita
Posebna zahvala Selectelu na pružanju oblaka za vježbanje, zahvaljujući kojem je svaki sudionik radio u svom punopravnom klasteru, a za to nismo morali dodati dodatnih 5 tisuća na cijenu ulaznice.
Slurm Mega. Prvi dan.
Prvog dana Slurm Mega sudionicima smo stavili 4 teme. Pavel Selivanov govorio je o procesu kreiranja failover klastera iznutra, o radu Kubeadma, kao io testiranju i rješavanju problema klastera.
Prva pauza za kavu. Obično "zvono učitelja", ali u Slurmu, dok učenici piju kavu, učitelji nastavljaju odgovarati na pitanja.
I unatoč činjenici da se oblak "Break II" nadvija nad glavom Pavela Selivanova, nije mu suđeno da ode na pauzu.
Sergej Bondarev i Marcel Ibraev čekaju svoj red za propovjedaonicu.
Tijekom pauze prišao sam Sergeju Bondarevu i upitao ga: "Što biste savjetovali svim Kubernetes inženjerima na temelju vašeg iskustva u radu s klasterima naših klijenata?"
Sergej je dao jednostavnu preporuku: “Blokirajte pristup s Interneta API poslužitelju. Jer s vremena na vrijeme postoje sigurnosne prijetnje koje neovlaštenim korisnicima omogućuju pristup klasteru.»
Nakon nekoliko minuta i boce mineralne vode, Pavel Selivanov uletio je u bitku sa sjenom teme “Autorizacija u klasteru pomoću vanjskog pružatelja usluga”, naime LDAP (Nginx + Python) i OIDC (Dex + Gangway).
Tijekom sljedeće pauze, Marcel Ibraev, Slurm govornik, certificirani Kubernetes administrator, dao je savjet Kubernetes inženjerima: “Reći ću jednu naizgled trivijalnu stvar, ali s obzirom na to koliko se često s tim susrećem, sumnjam da to ne uzimaju svi u obzir. Ne biste trebali slijepo vjerovati nijednom uputama s interneta koje će vam reći koliko dobro funkcionira ovo ili ono rješenje. U kontekstu Kubernetesa ovo ima posebno značenje. Budući da je Kubernetes složen sustav i dodavanje rješenja koje nije testirano u vašem konkretnom projektu i vašoj instalaciji klastera može dovesti do strašnih posljedica, unatoč činjenici da su na internetu pisali o njegovoj hladnoći. Čak i sam Kubernetes bez uravnoteženog pristupa može naškoditi vašem projektu, "što je dobro za Rusa, to je smrt za Nijemca." Stoga testiramo, provjeravamo i testiramo svako rješenje prije nego što ga sami implementiramo. Samo tako ćete uzeti u obzir sve nijanse koje se mogu pojaviti.".
Nakon ručka u bitku je ušao Sergej Bondarev. Njegova tema je mrežna politika, odnosno uvod u CNI i mrežnu sigurnosnu politiku.
Internet je pun članaka o mrežnoj politici. Postoji mišljenje među administratorima da se mrežna pravila mogu izostaviti, ali sigurnosni stručnjaci jako vole ovaj alat i zahtijevaju da se mrežna pravila omoguće.
Pavel Selivanov preuzeo je kormilo Kubernetesa od Sergeja Bondareva s temom “Sigurne i visoko dostupne aplikacije u klasteru.” Ima omiljene teme: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Megina tema o kojoj je Pavel govorio na DevOpsConfu:
Nakon što kažu kako se Kubernetes klaster lako može hakirati, skeptični administratori kažu: "Da, rekao sam ti, tvoj Kubernetes je pun rupa." Pavel objašnjava da je moguće konfigurirati sigurnost u klasteru, i to nije teško, samo su sigurnosne postavke onemogućene prema zadanim postavkama. Detalji u transkriptu
— Tko je razbio grozd? Razbio je klaster! Odavde savršeno vidim!
U Slurmsu nikad sve nije jednostavno i lako, da vam ne dosadi. Ali ovog puta Telegram je odlučio svima pokazati petu točku:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Time je završio prvi dan, vedar i ispunjen praktičnim znanjem. Drugog dana bit će još više prakse, pokretanje klastera baze podataka koristeći PostgreSQL kao primjer, pokretanje RabbitMQ klastera, upravljanje tajnama u Kubernetesu.
Slurm Mega. Drugi dan.
Voditeljica je drugi dan započela veselom najavom: “Ujutro nas, kako je Pavel jučer rekao, čeka pravi hardcore. Jezikom kirurga, ući ćemo u utrobu Kubernetesa!”
Masovni zabavljač je druga priča. Jedan od problema sa Slurmom je taj što se ljudi isključe iz preopterećenosti informacijama i zaspu. Uvijek smo tražili način da nešto učinimo po tom pitanju, a male igre s publikom dobro su funkcionirale na zadnjem Slurmu. Ovaj put angažirali smo posebno obučenu osobu. U chatu je bilo dosta šala o “zanimljivim natjecanjima”, ali ostaje činjenica da ovako vesele sudionike još nismo vidjeli.
Priskočili su u pomoć Marcelu Ibraevu - i on je počeo proučavati Stateful aplikacije u klasteru. Naime, pokretanje klastera baze podataka koristeći PostgreSQL kao primjer i pokretanje RabbitMQ klastera.
Nakon ručka, Sergey Bondarev je počeo raditi na K8S. A tema je bila "Čuvanje tajni". Mulder i Scully su ga pokrivali. Studirao tajno upravljanje u Kubernetesu i Vaultu. I također "Istina je vani".
Što se nastavilo do kasno navečer, kada je Pavel Selivanov počeo govoriti o Horizontal Pod Autoscaleru
Slurm Mega. Treći dan.
Oštro i veselo, od samog jutra, Sergej Bondarev uzburkao je publiku rezervom i oporavkom od neuspjeha. Provjerio sam backup i oporavak klastera koristeći Heptio Velero i etcd osobno.
Sergej je nastavio temu godišnje rotacije certifikata u klasteru: obnavljanje certifikata kontrolne ravnine pomoću kubeadma. Neposredno prije ručka, kako bi probudio apetit sudionika ili ga potpuno ubio, Pavel Selivanov pokrenuo je temu postavljanja aplikacije.
Razmotreni su alati za izradu predložaka i implementaciju, kao i strategije implementacije.
Pavel Selivanov govorio je o novoj temi: Service Mesh, Istio instalacija. Tema se pokazala toliko bogatom da o njoj možete voditi poseban intenzivni tečaj. Razgovaramo o planovima, pratite najave.
Glavna stvar je da sve radi ispravno. Jer vrijeme je za vježbu:
izgradnja CI/CD-a za istovremeno pokretanje implementacije aplikacije i ažuriranje klastera. U obrazovnim projektima sve dobro funkcionira. A život je ponekad pun iznenađenja.
Neka Slurm bude s vama!
Izvor: www.habr.com