24. novembrÄ« noslÄdzÄs Kubernetes padziļinÄtais intensÄ«vais kurss Slurm Mega. 18.-20.maijÄ notiks MaskavÄ.
Slurm Mega ideja: mÄs skatÄmies zem klastera pÄrsega, teorÄtiski analizÄjam un praktizÄjam ražoÅ”anai gatava klastera instalÄÅ”anas un konfigurÄÅ”anas sarežģītÄ«bas (āne tik vienkÄrÅ”ais veidsā), apsveram mehÄnismus. lai nodroÅ”inÄtu lietojumprogrammu droŔību un kļūdu toleranci.
Mega Bonuss: Tie, kas nokÄrto Slurm Basic un Slurm Mega, saÅem visas zinÄÅ”anas, kas nepiecieÅ”amas eksÄmena nokÄrtoÅ”anai un 50% atlaide eksÄmenam.
ÄŖpaÅ”s paldies Selectel par mÄkoÅa nodroÅ”inÄÅ”anu praksei, pateicoties kuram katrs dalÄ«bnieks strÄdÄja savÄ pilnvÄrtÄ«gÄ klasterÄ«, un par to mums nebija jÄpieskaita biļetes cenai papildus 5 tÅ«kstoÅ”i.
Es jums neteikÅ”u, kas ir Bondarevs un Seļivanovs, tiem, kurus interesÄ, .
Slurm Mega. PirmÄ diena.
PirmajÄ Slurm Mega dienÄ dalÄ«bniekus ielÄdÄjÄm ar 4 tÄmÄm. PÄvels Seļivanovs stÄstÄ«ja par kļūmjpÄrlÄces klastera izveides procesu no iekÅ”puses, par Kubeadm darbu, kÄ arÄ« par klastera testÄÅ”anu un problÄmu novÄrÅ”anu.
PirmÄ kafijas pauze. Parasti āskolotÄju zvansā, bet SlurmÄ, kamÄr skolÄni dzer kafiju, skolotÄji turpina atbildÄt uz jautÄjumiem.
Un, neskatoties uz to, ka āBreak IIā mÄkonis lidinÄs virs PÄvela Seļivanova galvas, viÅam nav lemts doties pÄrtraukumÄ.
Sergejs Bondarevs un Marsels Ibrajevs gaida savu kÄrtu doties uz kanceli.
PÄrtraukumÄ es vÄrsos pie Sergeja Bondareva un jautÄju: "KÄdu padomu jÅ«s sniegtu visiem Kubernetes inženieriem, pamatojoties uz savu pieredzi darbÄ ar mÅ«su klientu klasteriem?"
Sergejs sniedza vienkÄrÅ”u ieteikumu: āBloÄ·Äjiet piekļuvi API serverim no interneta. Jo laiku pa laikam rodas droŔības apdraudÄjumi, kas ļauj neautorizÄtiem lietotÄjiem piekļūt klasterim.Ā»
PÄc pÄris minÅ«tÄm un minerÄlÅ«dens pudeles PÄvels Seļivanovs metÄs cÄ«ÅÄ ar tÄmas āAutorizÄcija klasterÄ«, izmantojot ÄrÄju pakalpojumu sniedzÄjuā, proti, LDAP (Nginx + Python) un OIDC (Dex + Gangway) Änu.
NÄkamajÄ pÄrtraukumÄ Marsels Ibrajevs, Slurm runÄtÄjs, sertificÄts Kubernetes administrators, sniedza padomu Kubernetes inženieriem: āTeikÅ”u Ŕķietami triviÄlu lietu, taÄu, Åemot vÄrÄ, cik bieži ar to sastopos, man ir aizdomas, ka ne visi to Åem vÄrÄ. Jums nevajadzÄtu akli ticÄt nevienam pamÄcÄ«bÄm no interneta, kas jums pateiks, cik lieliski darbojas Å”is vai cits risinÄjums. Kubernetes kontekstÄ tas iegÅ«st Ä«paÅ”u nozÄ«mi. TÄ kÄ Kubernetes ir sarežģīta sistÄma, un, pievienojot tai risinÄjumu, kas nav pÄrbaudÄ«ts jÅ«su konkrÄtajÄ projektÄ un jÅ«su klastera instalÄcijÄ, tas var radÄ«t briesmÄ«gas sekas, neskatoties uz to, ka viÅi rakstÄ«ja internetÄ par tÄs vÄsumu. Pat tikai pati Kubernetes bez lÄ«dzsvarotas pieejas var kaitÄt jÅ«su projektam: "Kas krievam ir labs, vÄcietim ir nÄve." TÄpÄc mÄs pÄrbaudÄm, pÄrbaudÄm un pÄrbaudÄm jebkuru risinÄjumu, pirms to ievieÅ”am paÅ”i. Tikai tÄ Åemsi vÄrÄ visas nianses, kas var rasties.'.
PÄc pusdienÄm kaujÄ iesaistÄ«jÄs Sergejs Bondarevs. ViÅa tÄma ir tÄ«kla politika, proti, ievads CNI un tÄ«kla droŔības politikÄ.
Internets ir pilns ar rakstiem par tÄ«kla politiku. Administratoru vidÅ« pastÄv viedoklis, ka no tÄ«kla politikÄm var iztikt, taÄu droŔības speciÄlisti patieÅ”Äm mÄ«l Å”o rÄ«ku un pieprasa, lai tÄ«kla politikas bÅ«tu iespÄjotas.
PÄvels Seļivanovs pÄrÅÄma Kubernetes stÅ«ri no Sergeja Bondareva ar tÄmu āDroÅ”as un ļoti pieejamas lietojumprogrammas klasterÄ«ā. ViÅam ir iecienÄ«tÄkÄs tÄmas: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Mega tÄma, par kuru PÄvels runÄja DevOpsConf: .
PastÄstÄ«juÅ”i, cik viegli var uzlauzt Kubernetes kopu, skeptiski noskaÅoti administratori saka: "JÄ, es jums teicu, jÅ«su Kubernetes ir pilns ar caurumiem." PÄvels skaidro, ka droŔību ir iespÄjams konfigurÄt klasterÄ«, un tas nav grÅ«ti, vienkÄrÅ”i droŔības iestatÄ«jumi pÄc noklusÄjuma ir atspÄjoti. SÄ«kÄka informÄcija stenogrammÄ .
ā Kas salauza kopu? ViÅÅ” salauza kopu! No Å”ejienes es lieliski redzu!
Slurms nekad nav vienkÄrÅ”i un viegli, lai nebÅ«tu garlaicÄ«gi. TaÄu Å”oreiz Telegram nolÄma visiem parÄdÄ«t piekto punktu:
ŠŠ°ŃŃŠµŠ»Ń ŠŠ±ŃŠ°ŠµŠ², [22 Š½Š¾ŃŠ±. 2019 Š³., 16:52:52]:
ŠŠ¾Š»Š»ŠµŠ³Šø, Š² Š“Š°Š½Š½ŃŠ¹ Š¼Š¾Š¼ŠµŠ½Ń Š½Š°Š±Š»ŃŠ“Š°ŃŃŃŃ ŃŠ±Š¾Šø Š² ŃŠ°Š±Š¾ŃŠµ Š¢ŠµŠ»ŠµŠ³ŃŠ°Š¼, ŠøŠ¼ŠµŠ¹ŃŠµ ŃŃŠ¾ Š²Š²ŠøŠ“Ń
Ar to gaiÅ”a un praktiskÄm zinÄÅ”anÄm piepildÄ«ta pirmÄ diena noslÄdzÄs. OtrajÄ dienÄ bÅ«s vÄl vairÄk prakses, datu bÄzes klastera palaiÅ”ana, izmantojot PostgreSQL kÄ piemÄru, RabbitMQ klastera palaiÅ”ana, noslÄpumu pÄrvaldÄ«ba Kubernetes.
Slurm Mega. OtrÄ diena.
Otro dienu vadÄ«tÄjs iesÄka ar jautru paziÅojumu: āNo rÄ«ta, kÄ vakar izteicÄs PÄvels, mÅ«s sagaida Ä«sts hÄrdkors. Ķirurgu valodÄ dabÅ«sim Kubernetes iekÅ”Äs!ā
Masu izklaidÄtÄjs ir cits stÄsts. Viena no Slurm problÄmÄm ir tÄ, ka cilvÄki atslÄdzas no informÄcijas pÄrslodzes un aizmieg. MÄs vienmÄr meklÄjÄm veidu, kÄ kaut ko darÄ«t lietas labÄ, un nelielas spÄles ar auditoriju labi darbojÄs pÄdÄjÄ Slurm. Å oreiz pieÅÄmÄm darbÄ speciÄli apmÄcÄ«tu cilvÄku. TÄrzÄÅ”anÄ bija daudz joku par āinteresantÄm sacensÄ«bÄmā, taÄu fakts paliek fakts, ka tik jautrus dalÄ«bniekus mÄs nekad neesam redzÄjuÅ”i.
ViÅi nÄca palÄ«gÄ Marselam Ibrajevam - un viÅÅ” klasterÄ« sÄka pÄtÄ«t Stateful lietojumprogrammas. Proti, datu bÄzes klastera palaiÅ”ana, izmantojot PostgreSQL kÄ piemÄru, un RabbitMQ klastera palaiÅ”ana.
PÄc pusdienÄm Sergejs Bondarevs sÄka strÄdÄt pie K8S. Un tÄma bija "NoslÄpumu glabÄÅ”ana". Malders un Skallija viÅu aizsedza. StudÄjis slepeno pÄrvaldÄ«bu Kubernetes un Vault. Un arÄ« "PatiesÄ«ba ir tur ÄrÄ".
Kas turpinÄjÄs lÄ«dz vÄlam vakaram, kad PÄvels Seļivanovs sÄka runÄt par Horizontal Pod Autoscaler
Slurm Mega. TreÅ”Ä diena.
Asi un jautri jau no paÅ”a rÄ«ta Sergejs Bondarevs publiku rosinÄja ar dublÄÅ”anos un atgÅ«Å”anos no neveiksmÄm. Es pÄrbaudÄ«ju klastera dublÄÅ”anu un atkopÅ”anu, izmantojot Heptio Velero un etcd personÄ«gi.
Sergejs turpinÄja tÄmu par ikgadÄjo sertifikÄtu rotÄciju klasterÄ«: vadÄ«bas plaknes sertifikÄtu atjaunoÅ”ana, izmantojot kubeadm. TieÅ”i pirms pusdienÄm, lai izraisÄ«tu dalÄ«bnieku apetÄ«ti vai to pilnÄ«bÄ iznÄ«cinÄtu, PÄvels Seļivanovs izvirzÄ«ja tÄmu par aplikÄcijas izvietoÅ”anu.
Tika apsvÄrti veidÅu un izvietoÅ”anas rÄ«ki, kÄ arÄ« izvietoÅ”anas stratÄÄ£ijas.
PÄvels Seļivanovs runÄja par jaunu tÄmu: Service Mesh, Istio uzstÄdÄ«Å”ana. TÄma izrÄdÄ«jÄs tik bagÄta, ka par to var veikt atseviŔķu intensÄ«vo kursu. MÄs apspriežam plÄnus, sekojiet lÄ«dzi paziÅojumiem.
Galvenais, lai viss darbojas pareizi. Jo ir pienÄcis laiks vingrinÄties:
veidojot CI/CD, lai vienlaikus palaistu lietojumprogrammu izvietoÅ”anu un klasteru atjauninÄÅ”anu. IzglÄ«tÄ«bas projektos viss darbojas labi. Un dzÄ«ve reizÄm ir pÄrsteigumu pilna.
Lai Slurm ir ar jums!
Avots: www.habr.com
