Op 24 november eindigde Slurm Mega, een intensieve cursus voor gevorderden over Kubernetes. zal van 18 tot en met 20 mei in Moskou plaatsvinden.
Het idee van Slurm Mega: we kijken onder de motorkap van het cluster, analyseren in theorie en oefenen de fijne kneepjes van het installeren en configureren van een productieklaar cluster (“de-niet-zo-makkelijke-weg”), beschouwen de mechanismen voor het garanderen van de veiligheid en fouttolerantie van applicaties.
Mega Bonus: Wie slaagt voor Slurm Basic en Slurm Mega krijgt alle kennis die nodig is om voor het examen te slagen en 50% korting op het examen.
Speciale dank aan Selectel voor het ter beschikking stellen van een cloud om te oefenen, waardoor elke deelnemer in zijn eigen volwaardige cluster werkte, en we hiervoor geen 5 extra aan de ticketprijs hoefden toe te voegen.
Ik zal je niet vertellen wie Bondarev en Selivanov zijn, voor degenen die geïnteresseerd zijn: .
Slurm Mega. Eerste dag.
Op de eerste dag van Slurm Mega hebben we de deelnemers geladen met 4 onderwerpen. Pavel Selivanov sprak over het proces van het van binnenuit creëren van een failovercluster, over het werk van Kubeadm, maar ook over het testen en oplossen van problemen met het cluster.
Eerste koffiepauze. Meestal een ‘lerarenbel’, maar bij Slurm blijven docenten, terwijl leerlingen koffie drinken, vragen beantwoorden.
En ondanks het feit dat de ‘Break II’-wolk boven het hoofd van Pavel Selivanov zweeft, is het niet zijn lot om op pauze te gaan.
Sergei Bondarev en Marcel Ibraev wachten op hun beurt om naar de preekstoel te gaan.
Tijdens de pauze benaderde ik Sergey Bondarev en vroeg: “Welk advies zou u alle Kubernetes-ingenieurs geven op basis van uw ervaring met het werken met de clusters van onze klanten?”
Sergey gaf een eenvoudige aanbeveling: “Blokkeer de toegang van internet tot de API-server. Omdat er van tijd tot tijd beveiligingsrisico's zijn waardoor ongeautoriseerde gebruikers toegang kunnen krijgen tot het cluster.»
Na een paar minuten en een fles mineraalwater stortte Pavel Selivanov zich in de strijd met de schaduw van het onderwerp 'Autorisatie in een cluster met behulp van een externe provider', namelijk LDAP (Nginx + Python) en OIDC (Dex + Gangway).
Tijdens de volgende pauze gaf Marcel Ibraev, Slurm-spreker en Certified Kubernetes Administrator, zijn advies aan Kubernetes-ingenieurs: “Ik zeg iets ogenschijnlijk triviaal, maar gezien hoe vaak ik dit tegenkom, heb ik het vermoeden dat niet iedereen daar rekening mee houdt. Je moet niet blindelings een How-To van internet geloven die je vertelt hoe goed deze of gene oplossing werkt. In de context van Kubernetes krijgt dit een bijzondere betekenis. Omdat Kubernetes een complex systeem is en er een oplossing aan toevoegt die niet is getest in uw specifieke project en uw clusterinstallatie, kan dit tot ernstige gevolgen leiden, ondanks het feit dat ze op internet over de coolheid ervan schreven. Zelfs alleen Kubernetes zelf zonder een evenwichtige aanpak kan uw project schaden: “wat goed is voor een Rus is de dood voor een Duitser.” Daarom testen, controleren en testen we elke oplossing voordat we deze zelf implementeren. Alleen op deze manier houdt u rekening met alle nuances die zich kunnen voordoen..
Na de lunch ging Sergei Bondarev de strijd aan. Zijn onderwerp is Netwerkbeleid, namelijk een inleiding tot CNI en Netwerkbeveiligingsbeleid.
Het internet staat vol met artikelen over netwerkbeleid. Er is een mening onder beheerders dat netwerkbeleid achterwege kan blijven, maar beveiligingsspecialisten zijn dol op deze tool en eisen dat netwerkbeleid wordt ingeschakeld.
Pavel Selivanov nam het roer van Kubernetes over van Sergey Bondarev met het onderwerp “Veilige en zeer beschikbare applicaties in een cluster.” Hij heeft favoriete onderwerpen: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Mega's onderwerp, dat Pavel sprak op DevOpsConf: .
Nadat ze hebben verteld hoe gemakkelijk een Kubernetes-cluster kan worden gehackt, zeggen sceptische beheerders: “Ja, ik zei het toch, je Kubernetes zit vol gaten.” Pavel legt uit dat het mogelijk is om de beveiliging in een cluster te configureren, en dat is niet moeilijk, alleen zijn de beveiligingsinstellingen standaard uitgeschakeld. Details in transcriptie .
— Wie heeft de cluster kapot gemaakt? Hij brak het cluster! Ik kan vanaf hier perfect zien!
Bij Slurms is alles nooit eenvoudig en gemakkelijk, om je niet te vervelen. Maar deze keer besloot Telegram iedereen het vijfde punt te laten zien:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Hiermee werd de eerste dag helder en vol praktische kennis afgesloten. Op de tweede dag zal er nog meer geoefend worden, het lanceren van een databasecluster met PostgreSQL als voorbeeld, het lanceren van een RabbitMQ cluster, het beheren van geheimen in Kubernetes.
Slurm Mega. Tweede dag.
De presentator begon de tweede dag met een vrolijke mededeling: “In de ochtend staat, zoals Pavel het gisteren verwoordde, echte hardcore op ons te wachten. In de taal van chirurgen: we duiken in het lef van Kubernetes!”
De massa-entertainer is een ander verhaal. Een van de problemen met Slurm is dat mensen zich afwenden van de informatie-overload en in slaap vallen. We waren altijd op zoek naar een manier om er iets aan te doen, en bij de laatste Slurm werkten kleine spelletjes met publiek goed. Deze keer hebben we een speciaal opgeleid persoon ingehuurd. Er werd veel gelachen in de chat over ‘interessante wedstrijden’, maar feit blijft dat we nog nooit zulke vrolijke deelnemers hebben gezien.
Ze kwamen Marcel Ibraev te hulp - en hij begon Stateful-applicaties in het cluster te bestuderen. Namelijk het starten van een databasecluster met PostgreSQL als voorbeeld en het starten van een RabbitMQ-cluster.
Na de lunch begon Sergey Bondarev aan K8S te werken. En het thema was ‘Geheimen bewaren’. Mulder en Scully bedekten hem. Studeerde geheim management in Kubernetes en Vault. En ook: “De waarheid is daar”.
Dat ging door tot laat in de avond, toen Pavel Selivanov begon te praten over de Horizontal Pod Autoscaler
Slurm Mega. De derde dag.
Scherp en opgewekt, vanaf de ochtend, bracht Sergei Bondarev het publiek in beroering met back-ups en herstel na mislukkingen. Ik heb de back-up en het herstel van het cluster persoonlijk gecontroleerd met Heptio Velero en etcd.
Sergey vervolgde het onderwerp van de jaarlijkse rotatie van certificaten in het cluster: vernieuwing van certificaten op het controlevlak met behulp van kubeadm. Om de eetlust van de deelnemers op te wekken of volledig te doden, bracht Pavel Selivanov vlak voor de lunch het onderwerp van de implementatie van de applicatie ter sprake.
Er werd gekeken naar sjablonen en implementatietools, evenals naar implementatiestrategieën.
Pavel Selivanov sprak over een nieuw onderwerp: Service Mesh, Istio-installatie. Het onderwerp bleek zo rijk dat je er een aparte intensieve cursus over kunt volgen. We bespreken plannen, houd ons in de gaten voor aankondigingen.
Het belangrijkste is dat alles correct werkt. Omdat het tijd is om te oefenen:
het bouwen van CI/CD om gelijktijdig de implementatie van applicaties en clusterupdates te starten. In onderwijsprojecten werkt alles goed. En het leven zit soms vol verrassingen.
Moge de Slurm bij je zijn!
Bron: www.habr.com