24 月 XNUMX 日、Kubernetes の上級集中コースである Slurm Mega が終了しました。 18月20~XNUMX日にモスクワで開催される。
Slurm Mega のアイデア: クラスターの内部を調べ、本番環境に対応したクラスターのインストールと構成の複雑さを理論的に分析および実践し (「それほど簡単ではない方法」)、メカニズムを検討します。アプリケーションのセキュリティと耐障害性を確保します。
Mega ボーナス: Slurm Basic と Slurm Mega に合格した人は、試験に合格するために必要なすべての知識を受け取ります。 試験は 50% 割引になります。
練習用のクラウドを提供してくれた Selectel に特に感謝します。そのおかげで、各参加者は独自の本格的なクラスターで作業することができ、このためにチケット価格に 5 ドルを追加する必要はありませんでした。
ボンダレフとセリヴァノフが誰なのかは説明しませんが、興味のある方のために、 .
スラームメガ。 初日。
Slurm Mega の初日、私たちは参加者に 4 つのトピックを与えました。 Pavel Selivanov は、フェールオーバー クラスターを内部から作成するプロセス、Kubeadm の作業、クラスターのテストとトラブルシューティングについて話しました。
まずはコーヒーブレイク。 通常は「教師のベル」ですが、Slurm では、生徒がコーヒーを飲んでいる間、教師は質問に答え続けます。
そして、「ブレイク II」の雲がパベル・セリバノフの頭上に浮かんでいるという事実にもかかわらず、休憩に入るのは彼の運命ではありません。
セルゲイ・ボンダレフとマルセル・イブラエフは説教壇に上がる順番を待っている。
休憩中に、私は Sergey Bondarev に近づき、「クライアントのクラスターを扱った経験に基づいて、すべての Kubernetes エンジニアにどのようなアドバイスをしますか?」と尋ねました。
セルゲイ氏は次のようにシンプルにアドバイスしました。インターネットからAPIサーバーへのアクセスをブロックします。 時折、権限のないユーザーがクラスターにアクセスできるようにするセキュリティ上の脅威が存在するためです。»
数分とミネラルウォーターのボトルを飲んだ後、Pavel Selivanov は「外部プロバイダーを使用したクラスターでの認証」というテーマの影、つまり LDAP (Nginx + Python) と OIDC (Dex + Gangway) との戦いに突入しました。
次の休憩中に、Slurm の講演者であり、認定 Kubernetes 管理者であるマルセル・イブラエフは、Kubernetes エンジニアに次のアドバイスを与えました。一見些細なことを言いますが、これに頻繁に遭遇することを考えると、誰もがこれを考慮しているわけではないのではないかと疑っています。 特定のソリューションがどれほど優れているかを伝えるインターネットのハウツー情報を盲目的に信じてはいけません。 Kubernetes のコンテキストでは、これは特別な意味を持ちます。 なぜなら、Kubernetes は複雑なシステムであり、特定のプロジェクトやクラスターのインストールでテストされていないソリューションをそれに追加すると、インターネット上でそのクールさについて書かれているにもかかわらず、悲惨な結果につながる可能性があるからです。 バランスの取れたアプローチがなければ、Kubernetes 自体だけでもプロジェクトに悪影響を与える可能性があります。「ロシア人にとって良いことは、ドイツ人にとっては死です。」 したがって、私たちはソリューションを自分たちで実装する前に、テスト、チェック、テストを繰り返します。 これが、発生する可能性のあるすべてのニュアンスを考慮する唯一の方法です。'。
昼食後、セルゲイ・ボンダレフが戦闘に加わった。 彼のトピックはネットワーク ポリシー、つまり CNI とネットワーク セキュリティ ポリシーの紹介です。
インターネットには、ネットワーク ポリシーに関する記事が溢れています。 管理者の間には、ネットワーク ポリシーは不要であるという意見がありますが、セキュリティの専門家はこのツールを非常に気に入っており、ネットワーク ポリシーを有効にすることを要求しています。
Pavel Selivanov は、「クラスター内の安全で可用性の高いアプリケーション」というテーマで、Sergey Bondarev から Kubernetes の指揮を引き継ぎました。 彼のお気に入りのトピックは、PodSecurityPolicy、PodDisruptionBudget、LimitRange/ResourceQuota です。
Pavel が DevOpsConf で話した Mega のトピック: .
Kubernetes クラスターがいかに簡単にハッキングされるかを語ると、懐疑的な管理者はこう言います。「ああ、言ったでしょう、あなたの Kubernetes には穴がいっぱいです。」 Pavel 氏は、クラスター内でセキュリティを構成することが可能であり、それは難しいことではなく、セキュリティ設定がデフォルトで無効になっているだけであると説明しています。 詳細はトランスクリプトに記載 .
— クラスターを破壊したのは誰ですか? 彼はクラスターを破壊しました! ここからもバッチリ見えますよ!
Slurmsでは、退屈しないように、すべてが決してシンプルで簡単ではありません。 しかし今回、Telegram は XNUMX 番目のポイントを皆さんに示すことにしました。
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
こうして、明るく実践的な知識に満ちた初日が終了しました。 XNUMX 日目には、例として PostgreSQL を使用したデータベース クラスターの起動、RabbitMQ クラスターの起動、Kubernetes でのシークレットの管理など、さらに多くの演習が行われます。
スラームメガ。 XNUMX日目。
プレゼンターはXNUMX日目を陽気な発表で始めた。「昨日パベルが言ったように、朝には本物のハードコアが我々を待っている。 外科医の言葉で、Kubernetes の本質に迫ります!」
大衆エンターテイナーは別の話です。 Slurm の問題の XNUMX つは、人々が情報過多からスイッチを切って眠ってしまうことです。 私たちはそれについて何かをする方法を常に探していましたが、前回のスラームでは観客を入れた小規模なゲームがうまくいきました。 今回は特別な訓練を受けた人材を採用しました。 雑談の中では「面白い競技」についてのジョークも飛び交いましたが、これほど元気な参加者は見たことがないというのが事実です。
彼らはマルセル・イブラエフを助けに来て、彼はクラスター内のステートフル・アプリケーションの研究を始めました。 つまり、例として PostgreSQL を使用してデータベース クラスターを起動し、RabbitMQ クラスターを起動します。
昼食後、セルゲイ・ボンダレフは K8S の作業を開始しました。 そしてテーマは「秘密を守る」。 モルダーとスカリーが彼をカバーした。 Kubernetes と Vault でシークレット管理を学びました。 そして「真実はそこにある」。
それは夜遅くまで続き、Pavel Selivanov が horizontal Pod Autoscaler について話し始めました。
スラームメガ。 三日目。
セルゲイ・ボンダレフは、朝から鋭く、そして陽気に、バックアップと失敗からの回復で聴衆を興奮させました。 Heptio Velero と etcd を使用してクラスターのバックアップとリカバリを個人的に確認しました。
Sergey 氏は、クラスター内の証明書の年次ローテーション、つまり kubeadm を使用したコントロール プレーン証明書の更新のトピックを続けました。 昼食の直前に、参加者の食欲を刺激するか完全に食欲をなくすために、Pavel Selivanov はアプリケーションのデプロイに関する話題を提起しました。
導入戦略だけでなく、テンプレート作成ツールや導入ツールも検討されました。
Pavel Selivanov 氏は、サービス メッシュ、Istio のインストールという新しいトピックについて話しました。 このトピックは非常に豊富であることが判明したため、別の集中コースを受講することができます。 計画については検討中ですので、発表をお待ちください。
重要なことは、すべてが正しく機能することです。 練習する時が来たからです:
アプリケーションのデプロイメントとクラスターの更新を同時に開始するための CI/CD を構築します。 教育プロジェクトではすべてがうまくいきます。 そして人生は時々驚きに満ちています。
スラームがあなたとともにありますように!
出所: habr.com