24. novembrī noslēdzās Kubernetes padziļinātais intensīvais kurss Slurm Mega. 18.-20.maijā notiks Maskavā.
Slurm Mega ideja: mēs skatāmies zem klastera pārsega, teorētiski analizējam un praktizējam ražošanai gatava klastera instalēšanas un konfigurēšanas sarežģītības (“ne tik vienkāršais veids”), apsveram mehānismus. lai nodrošinātu lietojumprogrammu drošību un kļūdu toleranci.
Mega Bonuss: Tie, kas nokārto Slurm Basic un Slurm Mega, saņem visas zināšanas, kas nepieciešamas eksāmena nokārtošanai un 50% atlaide eksāmenam.
Īpašs paldies Selectel par mākoņa nodrošināšanu praksei, pateicoties kuram katrs dalībnieks strādāja savā pilnvērtīgā klasterī, un par to mums nebija jāpieskaita biļetes cenai papildus 5 tūkstoši.
Es jums neteikšu, kas ir Bondarevs un Seļivanovs, tiem, kurus interesē, .
Slurm Mega. Pirmā diena.
Pirmajā Slurm Mega dienā dalībniekus ielādējām ar 4 tēmām. Pāvels Seļivanovs stāstīja par kļūmjpārlēces klastera izveides procesu no iekšpuses, par Kubeadm darbu, kā arī par klastera testēšanu un problēmu novēršanu.
Pirmā kafijas pauze. Parasti “skolotāju zvans”, bet Slurmā, kamēr skolēni dzer kafiju, skolotāji turpina atbildēt uz jautājumiem.
Un, neskatoties uz to, ka “Break II” mākonis lidinās virs Pāvela Seļivanova galvas, viņam nav lemts doties pārtraukumā.
Sergejs Bondarevs un Marsels Ibrajevs gaida savu kārtu doties uz kanceli.
Pārtraukumā es vērsos pie Sergeja Bondareva un jautāju: "Kādu padomu jūs sniegtu visiem Kubernetes inženieriem, pamatojoties uz savu pieredzi darbā ar mūsu klientu klasteriem?"
Sergejs sniedza vienkāršu ieteikumu: “Bloķējiet piekļuvi API serverim no interneta. Jo laiku pa laikam rodas drošības apdraudējumi, kas ļauj neautorizētiem lietotājiem piekļūt klasterim.»
Pēc pāris minūtēm un minerālūdens pudeles Pāvels Seļivanovs metās cīņā ar tēmas “Autorizācija klasterī, izmantojot ārēju pakalpojumu sniedzēju”, proti, LDAP (Nginx + Python) un OIDC (Dex + Gangway) ēnu.
Nākamajā pārtraukumā Marsels Ibrajevs, Slurm runātājs, sertificēts Kubernetes administrators, sniedza padomu Kubernetes inženieriem: “Teikšu šķietami triviālu lietu, taču, ņemot vērā, cik bieži ar to sastopos, man ir aizdomas, ka ne visi to ņem vērā. Jums nevajadzētu akli ticēt nevienam pamācībām no interneta, kas jums pateiks, cik lieliski darbojas šis vai cits risinājums. Kubernetes kontekstā tas iegūst īpašu nozīmi. Tā kā Kubernetes ir sarežģīta sistēma, un, pievienojot tai risinājumu, kas nav pārbaudīts jūsu konkrētajā projektā un jūsu klastera instalācijā, tas var radīt briesmīgas sekas, neskatoties uz to, ka viņi rakstīja internetā par tās vēsumu. Pat tikai pati Kubernetes bez līdzsvarotas pieejas var kaitēt jūsu projektam: "Kas krievam ir labs, vācietim ir nāve." Tāpēc mēs pārbaudām, pārbaudām un pārbaudām jebkuru risinājumu, pirms to ieviešam paši. Tikai tā ņemsi vērā visas nianses, kas var rasties.'.
Pēc pusdienām kaujā iesaistījās Sergejs Bondarevs. Viņa tēma ir tīkla politika, proti, ievads CNI un tīkla drošības politikā.
Internets ir pilns ar rakstiem par tīkla politiku. Administratoru vidū pastāv viedoklis, ka no tīkla politikām var iztikt, taču drošības speciālisti patiešām mīl šo rīku un pieprasa, lai tīkla politikas būtu iespējotas.
Pāvels Seļivanovs pārņēma Kubernetes stūri no Sergeja Bondareva ar tēmu “Drošas un ļoti pieejamas lietojumprogrammas klasterī”. Viņam ir iecienītākās tēmas: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Mega tēma, par kuru Pāvels runāja DevOpsConf: .
Pastāstījuši, cik viegli var uzlauzt Kubernetes kopu, skeptiski noskaņoti administratori saka: "Jā, es jums teicu, jūsu Kubernetes ir pilns ar caurumiem." Pāvels skaidro, ka drošību ir iespējams konfigurēt klasterī, un tas nav grūti, vienkārši drošības iestatījumi pēc noklusējuma ir atspējoti. Sīkāka informācija stenogrammā .
— Kas salauza kopu? Viņš salauza kopu! No šejienes es lieliski redzu!
Slurms nekad nav vienkārši un viegli, lai nebūtu garlaicīgi. Taču šoreiz Telegram nolēma visiem parādīt piekto punktu:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Ar to gaiša un praktiskām zināšanām piepildīta pirmā diena noslēdzās. Otrajā dienā būs vēl vairāk prakses, datu bāzes klastera palaišana, izmantojot PostgreSQL kā piemēru, RabbitMQ klastera palaišana, noslēpumu pārvaldība Kubernetes.
Slurm Mega. Otrā diena.
Otro dienu vadītājs iesāka ar jautru paziņojumu: “No rīta, kā vakar izteicās Pāvels, mūs sagaida īsts hārdkors. Ķirurgu valodā dabūsim Kubernetes iekšās!”
Masu izklaidētājs ir cits stāsts. Viena no Slurm problēmām ir tā, ka cilvēki atslēdzas no informācijas pārslodzes un aizmieg. Mēs vienmēr meklējām veidu, kā kaut ko darīt lietas labā, un nelielas spēles ar auditoriju labi darbojās pēdējā Slurm. Šoreiz pieņēmām darbā speciāli apmācītu cilvēku. Tērzēšanā bija daudz joku par “interesantām sacensībām”, taču fakts paliek fakts, ka tik jautrus dalībniekus mēs nekad neesam redzējuši.
Viņi nāca palīgā Marselam Ibrajevam - un viņš klasterī sāka pētīt Stateful lietojumprogrammas. Proti, datu bāzes klastera palaišana, izmantojot PostgreSQL kā piemēru, un RabbitMQ klastera palaišana.
Pēc pusdienām Sergejs Bondarevs sāka strādāt pie K8S. Un tēma bija "Noslēpumu glabāšana". Malders un Skallija viņu aizsedza. Studējis slepeno pārvaldību Kubernetes un Vault. Un arī "Patiesība ir tur ārā".
Kas turpinājās līdz vēlam vakaram, kad Pāvels Seļivanovs sāka runāt par Horizontal Pod Autoscaler
Slurm Mega. Trešā diena.
Asi un jautri jau no paša rīta Sergejs Bondarevs publiku rosināja ar dublēšanos un atgūšanos no neveiksmēm. Es pārbaudīju klastera dublēšanu un atkopšanu, izmantojot Heptio Velero un etcd personīgi.
Sergejs turpināja tēmu par ikgadējo sertifikātu rotāciju klasterī: vadības plaknes sertifikātu atjaunošana, izmantojot kubeadm. Tieši pirms pusdienām, lai izraisītu dalībnieku apetīti vai to pilnībā iznīcinātu, Pāvels Seļivanovs izvirzīja tēmu par aplikācijas izvietošanu.
Tika apsvērti veidņu un izvietošanas rīki, kā arī izvietošanas stratēģijas.
Pāvels Seļivanovs runāja par jaunu tēmu: Service Mesh, Istio uzstādīšana. Tēma izrādījās tik bagāta, ka par to var veikt atsevišķu intensīvo kursu. Mēs apspriežam plānus, sekojiet līdzi paziņojumiem.
Galvenais, lai viss darbojas pareizi. Jo ir pienācis laiks vingrināties:
veidojot CI/CD, lai vienlaikus palaistu lietojumprogrammu izvietošanu un klasteru atjaunināšanu. Izglītības projektos viss darbojas labi. Un dzīve reizēm ir pārsteigumu pilna.
Lai Slurm ir ar jums!
Avots: www.habr.com