Pada tanggal 24 November, Slurm Mega, kursus intensif lanjutan tentang Kubernetes, berakhir. akan diadakan di Moskow pada 18-20 Mei.
Ide Slurm Mega: kami melihat di balik terpal cluster, menganalisis secara teori dan mempraktikkan seluk-beluk pemasangan dan konfigurasi cluster siap produksi (“cara yang tidak terlalu mudah”), pertimbangkan mekanismenya untuk memastikan keamanan dan toleransi kesalahan aplikasi.
Mega Bonus: Mereka yang lulus Slurm Basic dan Slurm Mega menerima semua pengetahuan yang diperlukan untuk lulus ujian dan diskon 50% untuk ujian.
Terima kasih khusus kepada Selectel karena telah menyediakan cloud untuk latihan, berkat setiap peserta bekerja di cluster mereka sendiri yang lengkap, dan kami tidak perlu menambahkan tambahan 5 ribu ke harga tiket untuk ini.
Saya tidak akan memberi tahu Anda siapa Bondarev dan Selivanov, bagi yang tertarik, .
Slurm Mega. Hari pertama.
Pada hari pertama Slurm Mega, kami memuat 4 topik kepada peserta. Pavel Selivanov berbicara tentang proses pembuatan cluster failover dari dalam, tentang pekerjaan Kubeadm, serta tentang pengujian dan pemecahan masalah cluster.
Rehat kopi pertama. Biasanya ada “bel guru”, tetapi di Slurm, saat siswa minum kopi, guru terus menjawab pertanyaan.
Dan terlepas dari kenyataan bahwa awan “Break II” melayang di atas kepala Pavel Selivanov, bukanlah takdirnya untuk terus beristirahat.
Sergei Bondarev dan Marcel Ibraev menunggu giliran untuk naik ke mimbar.
Saat istirahat, saya mendekati Sergey Bondarev dan bertanya: “Saran apa yang akan Anda berikan kepada semua teknisi Kubernetes berdasarkan pengalaman Anda bekerja dengan cluster klien kami?”
Sergey memberikan rekomendasi sederhana: “Blokir akses dari Internet ke server API. Karena dari waktu ke waktu ada ancaman keamanan yang memungkinkan pengguna yang tidak berwenang mendapatkan akses ke cluster.»
Setelah beberapa menit dan sebotol air mineral, Pavel Selivanov bergegas bertarung dengan topik “Otorisasi dalam cluster menggunakan penyedia eksternal,” yaitu LDAP (Nginx + Python) dan OIDC (Dex + Gangway).
Pada jeda berikutnya, Marcel Ibraev, pembicara Slurm, Administrator Kubernetes Bersertifikat, memberikan nasihatnya kepada para insinyur Kubernetes: “Saya akan mengatakan hal yang tampaknya sepele, tetapi mengingat seberapa sering saya menghadapi hal ini, saya curiga tidak semua orang mempertimbangkan hal ini. Anda tidak boleh begitu saja mempercayai Petunjuk dari Internet yang akan memberi tahu Anda betapa hebatnya solusi ini bekerja. Dalam konteks Kubernetes, hal ini memiliki arti khusus. Karena Kubernetes adalah sistem yang kompleks dan menambahkan solusi ke dalamnya yang belum diuji dalam proyek khusus Anda dan instalasi cluster Anda dapat menyebabkan konsekuensi yang mengerikan, meskipun mereka menulis di Internet tentang kesejukannya. Bahkan Kubernetes saja tanpa pendekatan yang seimbang dapat membahayakan proyek Anda, “apa yang baik bagi orang Rusia adalah kematian bagi orang Jerman.” Oleh karena itu, kami menguji, memeriksa, dan menguji solusi apa pun sebelum menerapkannya sendiri. Ini adalah satu-satunya cara Anda memperhitungkan semua nuansa yang mungkin timbul.'.
Setelah makan siang, Sergei Bondarev memasuki pertempuran. Topik yang diangkat adalah Network policy yaitu pengenalan CNI dan Network Security Policy.
Internet penuh dengan artikel tentang Kebijakan Jaringan. Ada pendapat di antara admin bahwa Kebijakan Jaringan dapat diabaikan, tetapi pakar keamanan sangat menyukai alat ini dan memerlukan Kebijakan Jaringan untuk diaktifkan.
Pavel Selivanov mengambil alih kepemimpinan Kubernetes dari Sergey Bondarev dengan topik “Aplikasi yang aman dan sangat tersedia dalam sebuah cluster.” Dia memiliki topik favorit: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Topik Mega yang dibicarakan Pavel di DevOpsConf: .
Setelah menceritakan betapa mudahnya sebuah cluster Kubernetes dapat diretas, admin yang skeptis berkata: “Ya, sudah saya katakan, Kubernetes Anda penuh dengan lubang.” Pavel menjelaskan, konfigurasi keamanan dalam sebuah cluster bisa dilakukan dan tidak sulit, hanya saja pengaturan keamanannya dinonaktifkan secara default. Detail dalam transkrip .
— Siapa yang memecahkan cluster tersebut? Dia memecahkan clusternya! Saya bisa melihat dengan sempurna dari sini!
Di Slurms, semuanya tidak pernah sederhana dan mudah, agar tidak bosan. Namun kali ini Telegram memutuskan untuk menunjukkan poin kelima kepada semua orang:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Ini mengakhiri hari pertama, cerah dan penuh dengan pengetahuan praktis. Di hari kedua akan ada latihan lebih lanjut, peluncuran cluster database menggunakan contoh PostgreSQL, peluncuran cluster RabbitMQ, pengelolaan rahasia di Kubernetes.
Slurm Mega. Hari kedua.
Pembawa acara memulai hari kedua dengan pengumuman yang ceria: “Di pagi hari, seperti yang dikatakan Pavel kemarin, musik keras sesungguhnya menanti kita. Dalam bahasa ahli bedah, kita akan memahami isi perut Kubernetes!”
Penghibur massal adalah cerita yang berbeda. Salah satu masalah Slurm adalah orang-orang tidak menyadari kelebihan informasi dan tertidur. Kami selalu mencari cara untuk melakukan sesuatu, dan permainan kecil dengan penonton bekerja dengan baik di Slurm terakhir. Kali ini kami mempekerjakan orang yang terlatih khusus. Ada banyak lelucon dalam obrolan tentang “kompetisi menarik”, namun faktanya kita belum pernah melihat peserta yang begitu ceria.
Mereka datang untuk menyelamatkan Marcel Ibraev - dan dia mulai mempelajari aplikasi Stateful di cluster. Yaitu meluncurkan cluster database menggunakan PostgreSQL sebagai contoh dan meluncurkan cluster RabbitMQ.
Setelah makan siang, Sergey Bondarev mulai mengerjakan K8S. Dan temanya adalah “Menjaga Rahasia”. Mulder dan Scully melindunginya. Mempelajari manajemen rahasia di Kubernetes dan Vault. Dan juga “Kebenaran ada di luar sana”.
Hal ini berlanjut hingga larut malam, ketika Pavel Selivanov mulai berbicara tentang Horizontal Pod Autoscaler
Slurm Mega. Hari ketiga.
Dengan tajam dan ceria, sejak pagi, Sergei Bondarev menggemparkan penonton dengan dukungan dan pemulihan dari kegagalan. Saya memeriksa pencadangan dan pemulihan cluster menggunakan Heptio Velero dan dll secara pribadi.
Sergey melanjutkan topik rotasi tahunan sertifikat di cluster: pembaruan sertifikat bidang kontrol menggunakan kubeadm. Tepat sebelum makan siang, untuk membangkitkan selera para peserta atau mematikannya, Pavel Selivanov mengangkat topik penerapan aplikasi.
Templating dan alat penerapan dipertimbangkan, serta strategi penerapan.
Pavel Selivanov berbicara tentang topik baru: Service Mesh, instalasi Istio. Topiknya ternyata sangat kaya sehingga Anda dapat melakukan kursus intensif terpisah tentang topik tersebut. Kami sedang mendiskusikan rencana, nantikan pengumumannya.
Hal utama adalah semuanya berfungsi dengan benar. Karena inilah waktunya untuk berlatih:
membangun CI/CD untuk secara bersamaan meluncurkan penerapan aplikasi dan pembaruan klaster. Dalam proyek pendidikan semuanya berjalan dengan baik. Dan hidup terkadang penuh kejutan.
Semoga Slurm menyertai Anda!
Sumber: www.habr.com