סלורם מגה. התקנה של אשכול מוכן להפקה, 3 עצות שימושיות מרמקולים ו-Slurm יחד עם לוק סקייווקר ו-R2D2

ב-24 בנובמבר הסתיים Slurm Mega, קורס אינטנסיבי מתקדם בנושא Kubernetes. מגה הבאה יתקיים במוסקבה ב-18-20 במאי.

הרעיון של Slurm Mega: אנחנו מסתכלים מתחת למכסה המנוע של האשכול, מנתחים בתיאוריה ומתרגלים את המורכבויות של התקנה והגדרת אשכול מוכן לייצור ("הדרך הלא כל כך קלה"), שוקלים את המנגנונים להבטחת אבטחה וסובלנות תקלות של יישומים.

מגה בונוס: מי שעובר את Slurm Basic ו-Slurm Mega מקבל את כל הידע הדרוש כדי לעבור את הבחינה CKA ל-CNCF ו-50% הנחה על הבחינה.

תודה מיוחדת לסלקטל על מתן ענן לתרגול שבזכותו עבד כל משתתף באשכול מלא משלו, ולא היינו צריכים להוסיף 5 מיותרים למחיר הכרטיס על כך.

אני לא אגיד לכם מי הם בונדרב וסליבנוב, למי שמעוניין, קראו כאן.

סלורם מגה. היום הראשון.

ביום הראשון של Slurm Mega העמסנו על המשתתפים 4 נושאים. Pavel Selivanov דיבר על תהליך יצירת אשכול כשל מבפנים, על העבודה של Kubeadm, כמו גם על בדיקה ופתרון בעיות באשכול.

הפסקת קפה ראשונה. בדרך כלל "פעמון מורה", אבל בסלרום, בזמן שהתלמידים שותים קפה, המורים ממשיכים לענות על שאלות.

ולמרות העובדה שענן "Break II" מרחף מעל ראשו של פאבל סליוונוב, אין זה ייעודו לצאת להפסקה.

סרגיי בונדרב ומרסל איבראייב ממתינים לתורם לעלות לדוכן.

במהלך ההפסקה, ניגשתי לסרגיי בונדרב ושאלתי: "איזו עצה היית נותן לכל מהנדסי Kubernetes בהתבסס על הניסיון שלך בעבודה עם אשכולות הלקוחות שלנו?"

סרגיי נתן המלצה פשוטה: "חסום גישה מהאינטרנט לשרת ה-API. כי מעת לעת ישנם איומי אבטחה המאפשרים למשתמשים לא מורשים לקבל גישה לאשכול.»

לאחר כמה דקות ובקבוק מים מינרליים, פאבל סליוונוב מיהר לקרב עם הצל של הנושא "הרשאה באשכול באמצעות ספק חיצוני", כלומר LDAP (Nginx + Python) ו- OIDC (Dex + Gangway).

במהלך ההפסקה הבאה, מרסל איברייב, דובר סלורם, מנהל מוסמך Kubernetes, נתן את עצתו למהנדסי Kubernetes: "אני אגיד דבר טריוויאלי לכאורה, אבל בהתחשב בתדירות שבה אני נתקל בזה, יש לי חשד שלא כולם לוקחים את זה בחשבון. אתה לא צריך להאמין בצורה עיוורת לאף מדריך מהאינטרנט שיגיד לך כמה מעולה פתרון זה או אחר עובד. בהקשר של Kubernetes, זה מקבל משמעות מיוחדת. כי Kubernetes היא מערכת מורכבת והוספת פתרון לה שלא נבדק בפרויקט המסוים שלכם והתקנת האשכולות שלכם יכולה להוביל לתוצאות קשות, למרות שכתבו באינטרנט על הקרירות שלה. אפילו רק Kubernetes עצמו ללא גישה מאוזנת יכול להזיק לפרויקט שלך, "מה שטוב לרוסי הוא מוות לגרמני". לכן, אנו בודקים, בודקים ובודקים כל פתרון לפני הטמעתו בעצמנו. רק כך תוכל לקחת בחשבון את כל הניואנסים שעלולים להתעורר.".

לאחר ארוחת הצהריים, סרגיי בונדרב נכנס לקרב. הנושא שלו הוא מדיניות רשת, כלומר מבוא ל-CNI ומדיניות אבטחת רשת.

האינטרנט מלא במאמרים על מדיניות רשת. יש דעה בקרב מנהלים שניתן לוותר על מדיניות רשת, אבל מומחי אבטחה מאוד אוהבים את הכלי הזה ודורשים שמדיניות רשת תהיה מופעלת.

פאבל סליוונוב השתלט על ההגה של Kubernetes מסרגיי בונדרב עם הנושא "יישומים מאובטחים וזמינים מאוד באשכול". יש לו נושאים אהובים: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.

הנושא של מגה, שפאבל דיבר ב-DevOpsConf: כיצד לשבור בקלות ובמהירות אשכול Kubernetes ולקבל את כל הזכויות תוך 5 דקות.

לאחר שסיפרו באיזו קלות ניתן לפרוץ אשכול Kubernetes, מנהלים סקפטיים אומרים: "כן, אמרתי לך, Kubernetes שלך מלא חורים." פאבל מסביר שאפשר להגדיר אבטחה באשכול, וזה לא קשה, רק שהגדרות האבטחה מושבתות כברירת מחדל. פרטים בתמליל להגיש תלונה.

- מי שבר את האשכול? הוא שבר את האשכול! אני יכול לראות בצורה מושלמת מכאן!

ב-Slurms הכל אף פעם לא פשוט וקל, כדי לא להשתעמם. אבל הפעם החליטה טלגרם להראות לכולם את הנקודה החמישית:

Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду

בכך הסתיים היום הראשון, בהיר ומלא ידע מעשי. ביום השני יהיה עוד יותר תרגול, השקת אשכול מסד נתונים באמצעות PostgreSQL כדוגמה, השקת אשכול RabbitMQ, ניהול סודות ב- Kubernetes.

סלורם מגה. יום שני.

המנחה פתח את היום השני בהודעה עליזה: "בבוקר, כפי שניסח זאת פאבל אתמול, מחכה לנו הארדקור אמיתי. בשפת המנתחים, ניכנס לקרביים של קוברנטס!"

הבדרן ההמוני הוא סיפור אחר. אחת הבעיות עם Slurm היא שאנשים מתנתקים מעומס מידע ונרדמים. תמיד חיפשנו דרך לעשות משהו בנידון, ומשחקים קטנים עם קהל עבדו היטב בסלרם האחרון. הפעם שכרנו אדם שעבר הכשרה מיוחדת. היו הרבה בדיחות בצ'אט על "תחרויות מעניינות", אבל העובדה היא שמעולם לא ראינו משתתפים כל כך עליזים.

הם נחלצו לעזרתו של מרסל איבראייב - והוא החל ללמוד יישומי Stateful באשכול. כלומר, השקת אשכול מסד נתונים באמצעות PostgreSQL כדוגמה והשקת אשכול RabbitMQ.

לאחר ארוחת הצהריים, סרגיי בונדרב התחיל לעבוד על K8S. והנושא היה "שמירה על סודות". מאלדר וסקאלי כיסו אותו. למד ניהול סודי בקוברנטס ובכספת. וגם "האמת נמצאת בחוץ".

מה שנמשך עד מאוחר בערב, כשפאבל סליוונוב התחיל לדבר על ה- Horizontal Pod Autoscaler

סלורם מגה. היום השלישי.

בחדות ובעליזות, כבר מהבוקר, סרגיי בונדרב הסעיר את הקהל בגיבוי והתאוששות מכישלונות. בדקתי את הגיבוי והשחזור של האשכול באמצעות Heptio Velero ו- etcd באופן אישי.

סרגיי המשיך את נושא הרוטציה השנתית של תעודות באשכול: חידוש תעודות מטוס בקרה באמצעות kubeadm. רגע לפני ארוחת הצהריים, כדי לעורר את התיאבון של המשתתפים או להרוג אותו לחלוטין, העלה פאבל סליוונוב את נושא פריסת האפליקציה.

נשקלו כלים לעיצוב ופריסה, כמו גם אסטרטגיות פריסה.

Pavel Selivanov דיבר על נושא חדש: Service Mesh, התקנת Istio. הנושא התברר כל כך עשיר שאפשר לעשות עליו קורס אינטנסיבי נפרד. אנחנו דנים בתוכניות, הישארו מעודכנים להודעות.

העיקר שהכל עובד כמו שצריך. כי הגיע הזמן להתאמן:
בניית CI/CD להשיק בו-זמנית פריסת יישומים ועדכון אשכול. בפרויקטים חינוכיים הכל עובד טוב. והחיים לפעמים מלאים בהפתעות.

יהי רצון שה-Slurm יהיה איתך!

מקור: www.habr.com