Þann 24. nóvember lauk Slurm Mega, framhaldsnámskeiði um Kubernetes. verður haldinn í Moskvu dagana 18. – 20. maí.
Hugmyndin um Slurm Mega: við lítum undir hettuna á klasanum, greinum í orði og æfum ranghala við að setja upp og stilla framleiðslutilbúinn klasa ("ekki-svo-auðvelda leiðin"), íhuga kerfin. til að tryggja öryggi og bilanaþol umsókna.
Mega bónus: Þeir sem standast Slurm Basic og Slurm Mega fá alla þá þekkingu sem þarf til að standast prófið og 50% afsláttur af prófinu.
Sérstakar þakkir til Selectel fyrir að útvega ský fyrir æfingar, þökk sé því að hver þátttakandi vann í sínum fullgilda klasa og við þurftum ekki að bæta 5 þúsund aukalega við miðaverðið fyrir þetta.
Ég mun ekki segja þér hverjir Bondarev og Selivanov eru, fyrir þá sem hafa áhuga, .
Slurm Mega. Fyrsti dagurinn.
Á fyrsta degi Slurm Mega hlóðum við þátttakendum með 4 umræðuefni. Pavel Selivanov talaði um ferlið við að búa til bilunarklasa innan frá, um vinnu Kubeadm, sem og um prófun og bilanaleit á klasanum.
Fyrsti kaffitíminn. Yfirleitt „kennarabjalla“ en á Slurmi, meðan nemendur drekka kaffi, halda kennarar áfram að svara spurningum.
Og þrátt fyrir að „Break II“-skýið svífi yfir höfði Pavels Selivanov, er það ekki hlutskipti hans að fara í hlé.
Sergei Bondarev og Marcel Ibraev bíða eftir að röðin komi að þeim að fara í ræðustólinn.
Í hléinu nálgaðist ég Sergey Bondarev og spurði: „Hvaða ráð myndir þú gefa öllum Kubernetes verkfræðingum byggt á reynslu þinni af að vinna með klasa viðskiptavina okkar?
Sergey gaf einföld tilmæli: „Lokaðu aðgangi frá internetinu að API netþjóninum. Vegna þess að af og til koma upp öryggisógnir sem gera óviðkomandi notendum kleift að fá aðgang að þyrpingunni.»
Eftir nokkrar mínútur og flösku af sódavatni, hljóp Pavel Selivanov í bardaga með skugga efnisins „Heimild í þyrping með utanaðkomandi veitanda,“ nefnilega LDAP (Nginx + Python) og OIDC (Dex + Gangway).
Í næsta hléi gaf Marcel Ibraev, Slurm ræðumaður, viðurkenndur Kubernetes stjórnandi ráð sitt til Kubernetes verkfræðinga: “Ég segi að því er virðist léttvægt, en miðað við hversu oft ég lendi í þessu hef ég grun um að ekki allir taki þetta með í reikninginn. Þú ættir ekki að trúa í blindni neinum leiðbeiningum frá internetinu sem segir þér hversu frábær þessi eða hin lausnin virkar. Í samhengi Kubernetes fær þetta sérstaka merkingu. Vegna þess að Kubernetes er flókið kerfi og að bæta við lausn við það sem hefur ekki verið prófuð í þínu tilteknu verkefni og klasauppsetningu getur leitt til skelfilegra afleiðinga, þrátt fyrir að þeir hafi skrifað á Netið um svala þess. Jafnvel bara Kubernetes sjálft án yfirvegaðrar nálgun getur skaðað verkefnið þitt, "það sem er gott fyrir Rússa er dauði fyrir Þjóðverja." Þess vegna prófum við, athugum og prófum hvaða lausn sem er áður en við innleiðum hana sjálf. Þetta er eina leiðin til að taka tillit til allra blæbrigða sem geta komið upp.'.
Eftir hádegismat gekk Sergei Bondarev inn í bardagann. Efni hans er netstefna, nefnilega kynning á CNI og netöryggisstefnu.
Netið er fullt af greinum um netstefnu. Það er skoðun meðal stjórnenda að hægt sé að sleppa við netstefnur, en öryggissérfræðingar elska þetta tól og krefjast þess að netstefnur séu virkjaðar.
Pavel Selivanov tók við stjórn Kubernetes af Sergey Bondarev með efnið „Örygg og mjög tiltæk forrit í klasa. Hann hefur uppáhalds efni: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Umræðuefni Mega, sem Pavel talaði á DevOpsConf: .
Eftir að hafa sagt frá því hversu auðvelt er að hakka Kubernetes þyrping, segja efasemdir stjórnendur: „Já, ég sagði þér, Kubernetes þinn er fullur af holum. Pavel útskýrir að það sé hægt að stilla öryggi í klasa og það er ekki erfitt, það er bara að öryggisstillingar eru sjálfgefnar óvirkar. Upplýsingar í afriti .
— Hver braut þyrpinguna? Hann braut þyrpinguna! Ég sé fullkomlega héðan!
Hjá Slurms er aldrei allt einfalt og auðvelt, til að leiðast ekki. En að þessu sinni ákvað Telegram að sýna öllum fimmta punktinn:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Þetta lauk fyrsta degi, bjartur og fullur af hagnýtri þekkingu. Á öðrum degi verður enn meiri æfing, að opna gagnagrunnsklasa með PostgreSQL sem dæmi, opna RabbitMQ klasa, stjórna leyndarmálum í Kubernetes.
Slurm Mega. Annar dagur.
Kynnirinn byrjaði annan daginn með glaðlegri tilkynningu: „Í fyrramálið, eins og Pavel orðaði það í gær, bíður okkar alvöru harðkjarna. Á tungumáli skurðlækna munum við komast inn í innyflin á Kubernetes!“
Fjöldaskemmtikrafturinn er önnur saga. Eitt af vandamálunum við Slurm er að fólk slekkur á ofhleðslu upplýsinga og sofnar. Við vorum alltaf að leita að leið til að gera eitthvað í þessu og litlir leikir með áhorfendum virkuðu vel á síðasta slurmi. Að þessu sinni réðum við sérþjálfaðan mann. Mikið var um brandara í spjallinu um „áhugaverðar keppnir“ en staðreyndin er samt sú að við höfum aldrei séð jafn hressa þátttakendur.
Þeir komu Marcel Ibraev til bjargar - og hann byrjaði að rannsaka Stateful umsóknir í klasanum. Nefnilega að ræsa gagnagrunnsþyrping með PostgreSQL sem dæmi og ræsa RabbitMQ þyrping.
Eftir hádegismat byrjaði Sergey Bondarev að vinna á K8S. Og þemað var „Að halda leyndarmálum“. Mulder og Scully huldu hann. Lærði leynistjórnun í Kubernetes og Vault. Og líka "Sannleikurinn er þarna úti".
Sem hélt áfram þar til seint um kvöldið þegar Pavel Selivanov byrjaði að tala um Horizontal Pod Autoscaler
Slurm Mega. Þriðji dagurinn.
Skarplega og glaðlega, strax um morguninn, hrærði Sergei Bondarev áhorfendur með öryggisafriti og endurheimt eftir mistök. Ég athugaði öryggisafrit og endurheimt þyrpingarinnar með því að nota Heptio Velero og etcd persónulega.
Sergey hélt áfram efninu um árlega snúning skírteina í þyrpingunni: endurnýjun skírteina stjórnflugvélar með því að nota kubeadm. Rétt fyrir hádegismat, til að vekja matarlyst þátttakenda eða drepa hana algjörlega, vakti Pavel Selivanov umræðuna um að dreifa forritinu.
Sniðmáts- og dreifingartæki voru skoðuð, sem og dreifingaraðferðir.
Pavel Selivanov talaði um nýtt efni: Service Mesh, Istio uppsetningu. Viðfangsefnið reyndist svo ríkulegt að þú getur haldið sérstakt námskeið um það. Við erum að ræða áætlanir, fylgstu með tilkynningum.
Aðalatriðið er að allt virki rétt. Því það er kominn tími til að æfa:
byggja CI/CD til að ræsa samtímis dreifingu forrita og klasauppfærslu. Í fræðsluverkefnum gengur allt vel. Og lífið kemur stundum á óvart.
Megi Slurm vera með þér!
Heimild: www.habr.com