November 24-én véget ért a Slurm Mega, a Kubernetes haladó intenzív tanfolyama.
A Slurm Mega ötlete: benézünk a klaszter burkolata alá, elméletben elemezzük és gyakoroljuk a termelésre kész fürt telepítésének és konfigurálásának bonyolultságát („a-nem-olyan-könnyű út”), átgondoljuk a mechanizmusokat. az alkalmazások biztonságának és hibatűrésének biztosítására.
Mega bónusz: A Slurm Basic és Slurm Mega sikeresek megkapják a sikeres vizsgához szükséges összes tudást
Külön köszönet a Selectelnek, hogy felhőt biztosított a gyakorlathoz, aminek köszönhetően minden résztvevő a saját teljes klaszterében dolgozott, és ehhez nem kellett plusz 5 ezret hozzátenni a jegyárhoz.
Slurm Mega. Első nap.
A Slurm Mega első napján 4 témával raktuk fel a résztvevőket. Pavel Selivanov beszélt a feladatátvevő klaszter belülről történő létrehozásának folyamatáról, a Kubeadm munkájáról, valamint a fürt teszteléséről és hibaelhárításáról.
Első kávészünet. Általában „tanári csengő”, de a Slurmban, miközben a diákok kávét isznak, a tanárok továbbra is válaszolnak a kérdésekre.
És annak ellenére, hogy a „Break II” felhő lebeg Pavel Selivanov feje fölött, nem az ő sorsa, hogy szünetre menjen.
Szergej Bondarev és Marcel Ibraev arra vár, hogy a szószékre menjenek.
A szünetben felkerestem Sergey Bondarev-et, és megkérdeztem: „Mit tanácsolna a Kubernetes összes mérnökének az ügyfeleink klasztereivel való munka során szerzett tapasztalatai alapján?”
Szergej egy egyszerű ajánlást adott: "Blokkolja a hozzáférést az internetről az API-kiszolgálóhoz. Mert időről időre olyan biztonsági fenyegetések jelennek meg, amelyek lehetővé teszik, hogy illetéktelen felhasználók hozzáférjenek a fürthöz.»
Néhány perc és egy üveg ásványvíz után Pavel Selivanov rohant harcba a „Külső szolgáltató segítségével történő engedélyezés egy klaszterben”, azaz az LDAP (Nginx + Python) és az OIDC (Dex + Gangway) téma árnyékával.
A következő szünetben Marcel Ibraev, a Slurm előadója, okleveles Kubernetes-adminisztrátor tanácsot adott a Kubernetes mérnökeinek: „Mondok egy triviálisnak tűnő dolgot, de tekintve, hogy milyen gyakran találkozom ezzel, van egy olyan gyanúm, hogy ezt nem mindenki veszi figyelembe. Nem szabad vakon hinni egyetlen internetes útmutatónak sem, amely megmondja, milyen nagyszerűen működik ez vagy az a megoldás. A Kubernetes kontextusában ez különleges jelentést kap. Mert a Kubernetes egy összetett rendszer, és az adott projektben és a klaszter telepítésében még nem tesztelt megoldás hozzáadása súlyos következményekkel járhat, annak ellenére, hogy az interneten írtak a menőségéről. Még csak maga a Kubernetes is kiegyensúlyozott megközelítés nélkül árthat a projektnek: „ami jó egy orosznak, az a németnek halál.” Ezért minden megoldást tesztelünk, ellenőrizünk és tesztelünk, mielőtt magunk implementálnánk. Csak így veszi figyelembe az esetlegesen felmerülő árnyalatokat.".
Ebéd után Szergej Bondarev belépett a csatába. Témája a Hálózati politika, azaz a CNI és a Network Security Policy bevezetése.
Az internet tele van a Network Policyről szóló cikkekkel. Az adminisztrátorok között van olyan vélemény, hogy a hálózati házirendek mellőzhetők, de a biztonsági szakemberek nagyon szeretik ezt az eszközt, és megkövetelik, hogy engedélyezzék a hálózati házirendeket.
Pavel Selivanov vette át a Kubernetes irányítását Sergey Bondarevtől a „Biztonságos és magasan elérhető alkalmazások egy klaszterben” témával. Kedvenc témái vannak: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
A Mega témája, amelyről Pavel beszélt a DevOpsConf-on:
Miután elmondták, milyen könnyen feltörhető egy Kubernetes-fürt, a szkeptikus rendszergazdák azt mondják: „Igen, mondtam már, hogy a Kubernetesed tele van lyukakkal.” Pavel elmagyarázza, hogy a biztonságot fürtben is lehet konfigurálni, és ez nem nehéz, csupán a biztonsági beállítások alapértelmezés szerint le vannak tiltva. Részletek átiratban
– Ki törte meg a klasztert? Összetörte a klasztert! Innen tökéletesen látok!
A Slurmsnál soha nem minden egyszerű és könnyű, hogy ne unatkozzon. De ezúttal a Telegram úgy döntött, mindenkinek megmutatja az ötödik pontot:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Ezzel zárult az első nap fényesen és gyakorlati tudással teli. A második napon még több gyakorlat lesz, adatbázis-fürt indítása PostgreSQL-el példaként, RabbitMQ fürt indítása, titkok kezelése Kubernetesben.
Slurm Mega. Második nap.
A műsorvezető a második napot egy vidám bejelentéssel kezdte: „Reggel, ahogy Pavel tegnap fogalmazott, igazi hardcore vár ránk. A sebészek nyelvén, Kubernetes zsigerébe fogunk jutni!”
A tömegszórakoztató egy másik történet. A Slurm egyik problémája az, hogy az emberek kikapcsolnak az információs túlterheltségből és elalszanak. Mindig kerestük a módot, hogy tegyünk ellene, és a kis közönséges játékok jól működtek a legutóbbi Slurm-on. Ezúttal egy speciálisan képzett személyt alkalmaztunk. A chaten sok poén hangzott el az „érdekes versenyekről”, de tény, hogy ilyen vidám résztvevőket még nem láttunk.
Marcel Ibraev megmentésére jöttek – és elkezdte tanulmányozni a Stateful alkalmazásokat a klaszterben. Nevezetesen egy adatbázis-fürt indítása PostgreSQL-lel példaként és egy RabbitMQ-fürt indítása.
Ebéd után Sergey Bondarev elkezdett dolgozni a K8S-en. A téma pedig a „Titkok őrzése” volt. Mulder és Scully betakarták. Titkos menedzsmentet tanult a Kubernetesben és a Vaultban. És azt is, hogy „Az igazság odakint van”.
Ez egészen késő estig tartott, amikor Pavel Selivanov a Horizontal Pod Autoscalerről kezdett beszélni.
Slurm Mega. A harmadik nap.
Szergej Bondarev élesen és jókedvűen, már reggeltől fogva felpörgette a közönséget a kudarcokból való talpraállással. Személyesen ellenőriztem a fürt biztonsági mentését és helyreállítását a Heptio Velero és etcd segítségével.
Sergey folytatta a klaszterben a tanúsítványok éves rotációjának témáját: a vezérlősík tanúsítványok megújítása kubeadm segítségével. Közvetlenül ebéd előtt, hogy felkeltse a résztvevők étvágyát, vagy teljesen megölje, Pavel Selivanov felvetette az alkalmazás telepítésének témáját.
Figyelembe vették a sablonkészítési és telepítési eszközöket, valamint a telepítési stratégiákat.
Pavel Selivanov egy új témáról beszélt: Service Mesh, Istio telepítés. A téma olyan gazdagra sikerült, hogy külön intenzív tanfolyamot is lehet csinálni róla. Megbeszéljük a terveket, figyeljétek a bejelentéseket.
A lényeg az, hogy minden megfelelően működjön. Mert itt az ideje gyakorolni:
CI/CD építése az alkalmazástelepítés és a fürtfrissítés egyidejű elindításához. Az oktatási projektekben minden jól működik. És az élet néha tele van meglepetésekkel.
A Slurm legyen veled!
Forrás: will.com