24-р сарын XNUMX-нд Kubernetes-ийн гүнзгийрүүлсэн сургалт болох Slurm Mega төгсөв.
Slurm Mega-ийн санаа: бид кластерын бүрээс дор харж, үйлдвэрлэхэд бэлэн кластер суурилуулах, тохируулах нарийн ширийн зүйлийг онол, практикийн хувьд дүн шинжилгээ хийдэг ("тийм ч хялбар биш арга"), механизмыг авч үзье. програмуудын аюулгүй байдал, алдааг тэсвэрлэх чадварыг хангах.
Мега урамшуулал: Slurm Basic болон Slurm Mega-д тэнцсэн хүмүүс шалгалтанд тэнцэхэд шаардлагатай бүх мэдлэгийг авдаг.
Оролцогч бүр өөрийн гэсэн бүрэн хэмжээний кластерт ажилласны ачаар дадлага хийх үүл өгсөн Selectel-д онцгой талархал илэрхийлье, бид тасалбарын үнэ дээр нэмэлт 5 мянга нэмэх шаардлагагүй болсон.
Slurm Mega. Эхний өдөр.
Slurm Mega-ийн эхний өдөр бид оролцогчдод 4 сэдвээр ачааллаа. Павел Селиванов дотроос бүтэлгүйтлийн кластер үүсгэх үйл явц, Kubeadm-ийн ажлын талаар, мөн кластерийг турших, алдааг олж засварлах талаар ярьсан.
Эхний кофены завсарлага. Ихэвчлэн "багшийн хонх" дууддаг ч Slurm дээр оюутнууд кофе ууж байхад багш нар асуултанд хариулсаар байна.
Павел Селивановын толгой дээр "Break II" үүл эргэлдэж байгаа ч завсарлага авах нь түүний хувь тавилан биш юм.
Сергей Бондарев, Марсель Ибраев нар индэрт гарах ээлжээ хүлээж байна.
Завсарлагааны үеэр би Сергей Бондарев руу дөхөж очоод: "Та манай үйлчлүүлэгчдийн кластертай ажиллаж байсан туршлага дээрээ үндэслэн Кубернетесийн бүх инженерүүдэд ямар зөвлөгөө өгөх вэ?"
Сергей энгийн зөвлөмж өгсөн: "Интернэтээс API сервер рүү нэвтрэхийг хориглох. Учир нь үе үе зөвшөөрөлгүй хэрэглэгчдэд кластерт нэвтрэх боломжийг олгодог аюулгүй байдлын аюул заналхийлэл байдаг.»
Хэдэн минут, нэг шил рашаан уусны дараа Павел Селиванов "Гадны үйлчилгээ үзүүлэгч ашиглан кластерт зөвшөөрөл олгох" сэдвийн сүүдэртэй тулалдаанд оров, тухайлбал LDAP (Nginx + Python) болон OIDC (Dex + Gangway).
Дараагийн завсарлагааны үеэр Slurm илтгэгч, Кубернетесийн гэрчилгээжсэн администратор Марсель Ибраев Кубернетес инженерүүдэд дараах зөвлөгөөг өглөө.Би өчүүхэн мэт санагдах зүйлийг хэлэх болно, гэхдээ би үүнтэй хэр олон удаа тулгардагийг бодоход хүн бүр үүнийг анхаарч үздэггүй гэж би хардаж байна. Та энэ эсвэл тэр шийдэл хэр сайн ажилладгийг хэлж өгөх Интернэтээс "Хэрхэн"-д сохроор итгэх ёсгүй. Kubernetes-ийн хүрээнд энэ нь онцгой утгатай болно. Кубернетес бол нарийн төвөгтэй систем учраас таны тодорхой төсөл болон кластерын суулгац дээр туршиж үзээгүй шийдлийг нэмэх нь түүний сэрүүн байдлын талаар Интернетэд бичсэн байсан ч аймшигтай үр дагаварт хүргэж болзошгүй юм. Тэнцвэртэй арга барилгүй Кубернетес өөрөө ч таны төсөлд хор хөнөөл учруулж болзошгүй, "Орос хүний хувьд сайн зүйл бол Герман хүний хувьд үхэл". Тиймээс бид аливаа шийдлийг өөрсдөө хэрэгжүүлэхээсээ өмнө туршиж, шалгаж, туршиж үздэг. Энэ нь та үүсч болзошгүй бүх нарийн ширийн зүйлийг харгалзан үзэх цорын ганц арга зам юм.".
Үдийн хоолны дараа Сергей Бондарев тулалдаанд оров. Түүний сэдэв нь Сүлжээний бодлого, тухайлбал CNI болон Сүлжээний аюулгүй байдлын бодлогын танилцуулга юм.
Интернет сүлжээний бодлогын тухай нийтлэлээр дүүрэн байдаг. Админуудын дунд Сүлжээний бодлогыг хэрэгсэхгүй болгож болно гэсэн бодол байдаг ч аюулгүй байдлын мэргэжилтнүүд энэ хэрэгсэлд үнэхээр дуртай бөгөөд Сүлжээний бодлогыг идэвхжүүлэхийг шаарддаг.
Павел Селиванов Сергей Бондареваас Кубернетесийн удирдлагыг "Кластер дахь аюулгүй, өндөр хүртээмжтэй програмууд" сэдвээр авсан. Тэр дуртай сэдвүүдтэй: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Павелын DevOpsConf дээр хэлсэн Мегагийн сэдэв:
Kubernetes кластерийг хэр амархан хакердуулж болохыг хэлсний дараа эргэлзсэн админууд: "Тийм ээ, би чамд хэлсэн, таны Кубернетес цоорхойгоор дүүрэн байна." Аюулгүй байдлыг кластерт тохируулах боломжтой гэж Павел тайлбарлаж байгаа бөгөөд энэ нь тийм ч хэцүү биш, зүгээр л аюулгүй байдлын тохиргоог анхдагчаар идэвхгүй болгосон явдал юм. Дэлгэрэнгүй мэдээллийг хуулбараар авна уу
- Кластерийг хэн эвдсэн бэ? Тэр кластерыг эвдсэн! Би эндээс төгс харж байна!
Slurms-д уйдахгүйн тулд бүх зүйл хэзээ ч энгийн бөгөөд хялбар байдаггүй. Гэхдээ энэ удаад Telegram тав дахь цэгийг хүн бүрт үзүүлэхээр шийджээ.
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Үүгээр гэгээлэг, практик мэдлэгээр дүүрэн эхний өдөр өндөрлөв. Хоёр дахь өдөр нь жишээ болгон PostgreSQL ашиглан мэдээллийн сангийн кластер ажиллуулах, RabbitMQ кластерийг эхлүүлэх, Kubernetes дахь нууцыг удирдах зэрэг олон дадлага хийх болно.
Slurm Mega. Хоёр дахь өдөр.
Хөтлөгч хоёр дахь өдрөө хөгжилтэй мэдэгдлээр эхлүүлсэн: "Өчигдөр Павел хэлсэнчлэн, өглөө биднийг жинхэнэ хардкор хүлээж байна. Мэс засалчдын хэлээр бид Кубернетесийн гэдэс рүү орох болно!"
Олон нийтийн энтертайнер бол өөр түүх юм. Slurm-ийн нэг асуудал бол хүмүүс мэдээллийн хэт ачааллаас салж, унтдаг. Бид үргэлж энэ талаар ямар нэг зүйл хийх арга замыг эрэлхийлдэг байсан бөгөөд үзэгчидтэй хийсэн жижиг тоглоомууд сүүлчийн Slurm дээр сайн ажилласан. Энэ удаад тусгайлан бэлтгэгдсэн хүнийг ажилд авлаа. Чат дунд "сонирхолтой тэмцээнүүд"-ийн талаар олон хошигнол байсан ч ийм хөгжилтэй оролцогчдыг хэзээ ч харж байгаагүй нь үнэн юм.
Тэд Марсель Ибраевыг аврахаар ирсэн бөгөөд тэр кластер дахь Stateful програмуудыг судалж эхлэв. Тухайлбал, жишээ болгон PostgreSQL ашиглан өгөгдлийн сангийн кластер ажиллуулж, RabbitMQ кластер ажиллуулна.
Үдийн хоолны дараа Сергей Бондарев K8S дээр ажиллаж эхлэв. Мөн сэдэв нь "Нууц хадгалах" байв. Мулдер, Скалли хоёр түүнийг бүрхэв. Kubernetes болон Vault-д нууц менежментийн чиглэлээр суралцсан. Мөн "Үнэн тэнд байна".
Энэ нь орой болтол Павел Селиванов хэвтээ pod Autoscaler-ийн тухай ярьж эхлэх хүртэл үргэлжилсэн.
Slurm Mega. Гурав дахь өдөр.
Сергей Бондарев өглөөнөөс эхлэн хурц, хөгжилтэйгээр үзэгчдийг нөөцлөлт, бүтэлгүйтлээс сэргээж байв. Би Heptio Velero болон etcd ашиглан кластерын нөөцлөлт, сэргээлтийг биечлэн шалгасан.
Сергей кластер дахь гэрчилгээг жил бүр эргүүлэх сэдвийг үргэлжлүүлэв: kubeadm ашиглан хяналтын онгоцны гэрчилгээг шинэчлэх. Үдийн хоолны өмнөхөн оролцогчдын хоолны дуршлыг өдөөх эсвэл бүрмөсөн устгахын тулд Павел Селиванов програмыг ашиглах сэдвийг хөндсөн.
Загвар хийх, байршуулах хэрэгслүүд, түүнчлэн байршуулах стратегийг авч үзсэн.
Павел Селиванов шинэ сэдвийн талаар ярьсан: Үйлчилгээний тор, Istio суурилуулалт. Энэ сэдэв нь маш баялаг болсон тул та тусад нь эрчимжүүлсэн сургалтанд хамрагдах боломжтой болсон. Бид төлөвлөгөөгөө хэлэлцэж байна, зарлалуудыг хүлээж байгаарай.
Хамгийн гол нь бүх зүйл зөв ажиллах явдал юм. Дадлага хийх цаг болсон тул:
Програмыг байршуулах болон кластерын шинэчлэлтийг нэгэн зэрэг эхлүүлэхийн тулд CI/CD-г бий болгох. Боловсролын төслүүдэд бүх зүйл сайн ажилладаг. Мөн амьдрал заримдаа гэнэтийн зүйлээр дүүрэн байдаг.
Slurm тантай хамт байх болтугай!
Эх сурвалж: www.habr.com