На 24 ноември заврши Slurm Mega, напреден интензивен курс за Кубернетес.
Идејата за Slurm Mega: гледаме под хаубата на кластерот, ги анализираме во теорија и практикување сложеноста на инсталирање и конфигурирање на кластер подготвен за производство („не толку лесен начин“), ги разгледуваме механизмите за обезбедување безбедност и толеранција на грешки на апликациите.
Мега бонус: Оние кои ќе положат Slurm Basic и Slurm Mega ги добиваат сите знаења потребни за да го положат испитот
Посебна благодарност до Selectel што обезбеди облак за вежбање, благодарение на што секој учесник работеше во свој целосен кластер, а ние не моравме да додаваме дополнителни 5 илјади на цената на билетот за ова.
Случај мега. Прв ден.
На првиот ден од Slurm Mega ги натоваривме учесниците со 4 теми. Павел Селиванов зборуваше за процесот на креирање кластер за отстапување одвнатре, за работата на Kubeadm, како и за тестирање и решавање проблеми на кластерот.
Прва пауза за кафе. Обично „наставнички ѕвонче“, но на Слурм, додека учениците пијат кафе, наставниците продолжуваат да одговараат на прашања.
И покрај фактот што облакот „Прекик II“ лебди над главата на Павел Селиванов, неговата судбина не е да оди на пауза.
Сергеј Бондарев и Марсел Ибраев го чекаат редот да одат на говорница.
За време на паузата, му пријдов на Сергеј Бондарев и го прашав: „Каков совет би им дал на сите инженери на Кубернетес врз основа на вашето искуство со работа со кластерите на нашите клиенти?
Сергеј даде едноставна препорака:Блокирајте го пристапот од Интернет до серверот API. Бидејќи од време на време има безбедносни закани кои им овозможуваат на неовластени корисници да добијат пристап до кластерот.»
По неколку минути и шише минерална вода, Павел Селиванов се втурна во битка со сенката на темата „Овластување во кластер со помош на надворешен провајдер“, имено LDAP (Nginx + Python) и OIDC (Dex + Gangway).
За време на следната пауза, Марсел Ибраев, говорник на Slurm, сертифициран администратор на Кубернетес, им даде совет на инженерите на Кубернетес:Ќе кажам една навидум тривијална работа, но со оглед на тоа колку често се среќавам со ова, се сомневам дека не секој го зема предвид ова. Не треба слепо да верувате во какво било „Како да“ од Интернет што ќе ви каже колку одлично функционира ова или она решение. Во контекст на Кубернетес, ова добива посебно значење. Бидејќи Kubernetes е сложен систем и додавањето решение на него што не е тестирано во вашиот конкретен проект и вашата инсталација на кластерот може да доведе до страшни последици, и покрај фактот што тие напишаа на Интернет за неговата свежина. Дури и самиот Kubernetes без избалансиран пристап може да му наштети на вашиот проект, „она што е добро за Русин е смрт за Германец“. Затоа, ние тестираме, проверуваме и тестираме кое било решение пред самите да го имплементираме. Ова е единствениот начин на кој ќе ги земете предвид сите нијанси што може да се појават.".
По ручекот во битката влезе Сергеј Бондарев. Неговата тема е Мрежна политика, поточно вовед во CNI и мрежна безбедносна политика.
Интернетот е полн со статии за мрежната политика. Постои мислење меѓу администраторите дека Мрежните политики може да се отфрлат, но специјалистите за безбедност навистина ја сакаат оваа алатка и бараат да се овозможат Мрежни политики.
Павел Селиванов го презеде кормилото на Кубернетес од Сергеј Бондарев со тема „Безбедни и високо достапни апликации во кластер“. Тој има омилени теми: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Темата на Мега, за која Павел зборуваше на DevOpsConf:
Откако кажаа колку лесно може да се хакира кластерот на Кубернет, скептичните администратори велат: „Да, ти реков, твојот Кубернет е полн со дупки“. Павел објаснува дека е можно да се конфигурира безбедноста во кластер и не е тешко, само поставките за безбедност се стандардно оневозможени. Детали во препис
- Кој го скрши кластерот? Го скрши кластерот! Одовде гледам совршено!
Во Slurms никогаш сè не е едноставно и лесно, за да не ви биде досадно. Но, овој пат Телеграм одлучи на сите да им ја покаже петтата точка:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Ова го заврши првиот ден, светол и исполнет со практично знаење. Вториот ден ќе има уште повеќе вежбање, лансирање на кластер за бази на податоци користејќи PostgreSQL како пример, лансирање на кластер RabbitMQ, управување со тајни во Kubernetes.
Случај мега. Втор ден.
Водителот го започна вториот ден со весела објава: „Наутро, како што рече Павел вчера, не чека вистински хардкор. На јазикот на хирурзите, ќе им влеземе во цревата на Кубернетис!“
Масовниот забавувач е друга приказна. Еден од проблемите со Slurm е тоа што луѓето се исклучуваат од преоптоварување со информации и заспиваат. Секогаш баравме начин да направиме нешто во врска со тоа, а малите игри со публика работеа добро на последниот Slurm. Овој пат ангажиравме специјално обучено лице. Во разговорот имаше многу шеги за „интересни натпревари“, но останува фактот дека никогаш не сме виделе толку весели учесници.
Тие дојдоа да го спасат Марсел Ибраев - и тој почна да ги проучува државните апликации во кластерот. Имено, лансирање кластер за бази на податоци користејќи PostgreSQL како пример и лансирање на кластер RabbitMQ.
По ручекот, Сергеј Бондарев започна да работи на K8S. А темата беше „Чување тајни“. Мулдер и Скали го покриле. Студирал тајно управување во Кубернетис и Валт. И, исто така, „Вистината е таму надвор“.
Што продолжи до доцните вечерни часови, кога Павел Селиванов почна да зборува за Horizontal Pod Autoscaler
Случај мега. Третиот ден.
Остро и весело, од утрото, Сергеј Бондарев ја разбранува публиката со резервни копии и закрепнување од неуспеси. Ги проверив резервните копии и обновувањето на кластерот лично користејќи Heptio Velero и etcd.
Сергеј ја продолжи темата за годишна ротација на сертификати во кластерот: обновување на сертификатите за контролен авион користејќи kubeadm. Непосредно пред ручекот, за да го разбуди апетитот на учесниците или целосно да го убие, Павел Селиванов ја покрена темата за распоредување на апликацијата.
Беа разгледани алатките за шаблони и распоредување, како и стратегии за распоредување.
Павел Селиванов зборуваше за нова тема: Сервисна мрежа, инсталација на Истио. Темата се покажа толку богата што можете да направите посебен интензивен курс за неа. Разговараме за планови, останете со најавите.
Главната работа е дека сè работи правилно. Затоа што е време за вежбање:
градење на CI/CD за истовремено стартување на распоредувањето на апликациите и ажурирањето на кластерот. Во образовните проекти сè функционира добро. А животот понекогаш е полн со изненадувања.
Нека Слурм е со вас!
Извор: www.habr.com