24 қарашада Slurm Mega, Kubernetes бойынша тереңдетілген курс аяқталды.
Slurm Mega идеясы: біз кластердің қақпағын қарастырамыз, өндіріске дайын кластерді орнатудың және конфигурациялаудың қыр-сырын теориялық және практикалық тұрғыдан талдаймыз («оңай емес жол»), механизмдерді қарастырамыз. қолданбалардың қауіпсіздігін және ақауларға төзімділігін қамтамасыз ету үшін.
Мега бонус: Slurm Basic және Slurm Mega тапсырғандар емтихан тапсыру үшін барлық қажетті білімді алады.
Тәжірибе үшін бұлтты қамтамасыз еткені үшін Selectel компаниясына ерекше алғыс айтамыз, соның арқасында әрбір қатысушы өзінің толыққанды кластерінде жұмыс істеді және бұл үшін билет бағасына қосымша 5 мың қосудың қажеті жоқ.
Slurm Mega. Бірінші күні.
Slurm Mega бірінші күнінде біз қатысушыларға 4 тақырыпты жүктедік. Павел Селиванов ішкі жағынан істен шығу кластерін құру процесі туралы, Kubeadm жұмысы туралы, сондай-ақ кластерді тестілеу және ақаулықтарды жою туралы айтты.
Бірінші кофе-брейк. Әдетте «мұғалім қоңырауы», бірақ Slurm-да студенттер кофе ішіп жатқанда, мұғалімдер сұрақтарға жауап беруді жалғастыруда.
Павел Селивановтың басына «Үзіліс II» бұлты айналып тұрғанына қарамастан, үзіліс жасау оның тағдыры емес.
Сергей Бондарев пен Марсель Ибраев мінберге шығу кезегін күтіп отыр.
Үзіліс кезінде мен Сергей Бондаревке жақындап: «Клиенттердің кластерлерімен жұмыс істеу тәжірибеңізге негізделген Kubernetes инженерлеріне қандай кеңес берер едіңіз?» деп сұрадым.
Сергей қарапайым ұсыныс берді: «Интернеттен API серверіне кіруді блоктау. Өйткені мезгіл-мезгіл рұқсат етілмеген пайдаланушыларға кластерге қол жеткізуге мүмкіндік беретін қауіпсіздік қатерлері пайда болады.»
Бірнеше минуттан кейін және бір бөтелке минералды судан кейін Павел Селиванов «Сыртқы провайдерді, атап айтқанда LDAP (Nginx + Python) және OIDC (Dex + Gangway) көмегімен кластерде авторизация» тақырыбының көлеңкесімен шайқасқа шықты.
Келесі үзілісте Марсель Ибраев, Slurm спикері, Кубернетестің сертификатталған әкімшісі Кубернетес инженерлеріне кеңес берді: «Мен елеусіз болып көрінетін нәрсені айтайын, бірақ мен оны қаншалықты жиі кездестіретінімді ескере отырып, мен мұны бәрі ескермейді деп күдіктенемін. Сізге осы немесе басқа шешімнің қаншалықты жақсы жұмыс істейтінін көрсететін Интернеттегі қалай істеу керек дегенге соқыр сенбеу керек. Кубернетес контекстінде бұл ерекше мағынаға ие болады. Өйткені Kubernetes күрделі жүйе және оған сіздің нақты жобаңызда және кластерді орнатуыңызда тексерілмеген шешімді қосу, оның салқындығы туралы Интернетте жазғанына қарамастан, ауыр зардаптарға әкелуі мүмкін. Тіпті теңдестірілген көзқарассыз Кубернетестің өзі сіздің жобаңызға зиян тигізуі мүмкін, «орыс үшін жақсы нәрсе - неміс үшін өлім». Сондықтан біз кез келген шешімді өзіміз іске асырмас бұрын сынаймыз, тексереміз және сынаймыз. Бұл туындауы мүмкін барлық нюанстарды ескеретін жалғыз әдіс.«.
Түскі астан кейін Сергей Бондарев шайқасқа кірді. Оның тақырыбы Желі саясаты, атап айтқанда CNI және желілік қауіпсіздік саясатына кіріспе.
Интернет желі саясаты туралы мақалаларға толы. Әкімшілер арасында желілік саясаттан бас тартуға болады деген пікір бар, бірақ қауіпсіздік мамандары бұл құралды шынымен жақсы көреді және желілік саясаттарды қосуды талап етеді.
Павел Селиванов «Кластердегі қауіпсіз және қолжетімді қосымшалар» тақырыбымен Сергей Бондаревтен Кубернетесті басқарды. Оның сүйікті тақырыптары бар: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Павел DevOpsConf-те сөйлеген Мега тақырыбы:
Kubernetes кластерін оңай бұзуға болатынын айтқаннан кейін, скептикалық әкімшілер: «Иә, мен айттым, сіздің Кубернетесіңіз тесіктерге толы» дейді. Павел кластерде қауіпсіздікті конфигурациялауға болатынын түсіндіреді және бұл қиын емес, әдепкі бойынша қауіпсіздік параметрлері өшірілген. Мәліметтер транскриптте
— Кластерді кім бұзды? Ол кластерді бұзды! Мен осы жерден тамаша көремін!
Slurms-те жалықпау үшін бәрі ешқашан қарапайым және оңай болмайды. Бірақ бұл жолы Telegram барлығына бесінші тармақты көрсетуге шешім қабылдады:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Осымен жарқын және практикалық білімге толы алғашқы күн аяқталды. Екінші күні мысал ретінде PostgreSQL көмегімен дерекқор кластерін іске қосу, RabbitMQ кластерін іске қосу, Kubernetes-те құпияларды басқару тағы да көп тәжірибе болады.
Slurm Mega. Екінші күн.
Жүргізуші екінші күнді көңілді хабарландырумен бастады: «Таңертең, кеше Павел айтқандай, бізді нағыз хардкор күтіп тұр. Хирургтер тілімен айтқанда, біз Кубернетестің ішегіне енеміз!»
Жаппай сауықтырушының әңгімесі бөлек. Slurm проблемаларының бірі - адамдар ақпараттың шамадан тыс жүктелуінен ажыратылып, ұйықтап кетеді. Біз әрқашан бұл туралы бірдеңе жасаудың жолын іздедік және соңғы Slurm-да аудиториямен шағын ойындар жақсы жұмыс істеді. Бұл жолы арнайы дайындалған адамды жұмысқа алдық. Чатта «қызықты жарыстар» туралы көптеген әзілдер болды, бірақ біз мұндай көңілді қатысушыларды ешқашан көрмегеніміз шындық.
Олар Марсель Ибраевқа көмекке келді - және ол кластердегі Stateful қосымшаларын зерттей бастады. Атап айтқанда, мысал ретінде PostgreSQL көмегімен дерекқор кластерін іске қосу және RabbitMQ кластерін іске қосу.
Түскі астан кейін Сергей Бондарев K8S-де жұмысқа кірісті. Ал тақырып «Құпияларды сақтау» болды. Мулдер мен Скалли оны жауып тастады. Kubernetes және Vault-те құпия басқаруды оқыды. Сондай-ақ «шындық сыртта».
Бұл кешке дейін жалғасты, Павел Селиванов Горизонтальды Pod Autoscaler туралы айта бастады.
Slurm Mega. Үшінші күн.
Таңертеңнен бастап Сергей Бондарев өткір және көңілді түрде көрермендерді резервтік көшірумен және сәтсіздіктерден қалпына келтірумен таң қалдырды. Мен Heptio Velero және etcd көмегімен кластердің сақтық көшірмесін жасауды және қалпына келтіруді жеке тексердім.
Сергей кластердегі сертификаттардың жыл сайынғы ротациясы тақырыбын жалғастырды: kubeadm көмегімен басқару-жазық сертификаттарын жаңарту. Түскі ас алдында қатысушылардың тәбетін ашу немесе оны толығымен жою үшін Павел Селиванов қосымшаны қолдану тақырыбын көтерді.
Қалыптау және орналастыру құралдары, сондай-ақ орналастыру стратегиялары қарастырылды.
Павел Селиванов жаңа тақырыпты айтты: Service Mesh, Istio орнату. Тақырып соншалықты бай болды, ол бойынша жеке интенсивті курс жасауға болады. Біз жоспарларды талқылап жатырмыз, хабарландыруларды күтіңіз.
Ең бастысы, бәрі дұрыс жұмыс істейді. Өйткені жаттығу уақыты келді:
қолданбаларды орналастыру мен кластерді жаңартуды бір уақытта іске қосу үшін CI/CD құрастыру. Білім беру жобаларында бәрі жақсы жұмыс істейді. Ал өмір кейде тосын сыйларға толы.
Slurm сізбен бірге болсын!
Ақпарат көзі: www.habr.com