24. november ble Slurm Mega, et avansert intensivkurs på Kubernetes, avsluttet. arrangeres i Moskva 18.-20. mai.
Ideen til Slurm Mega: vi ser under panseret på klyngen, analyserer i teorien og praktiserer vanskelighetene ved å installere og konfigurere en produksjonsklar klynge ("den-ikke-så-lette-måten"), vurdere mekanismene for å sikre sikkerhet og feiltoleranse for applikasjoner.
Megabonus: De som består Slurm Basic og Slurm Mega får all nødvendig kunnskap for å bestå eksamen og 50 % rabatt på eksamen.
Spesiell takk til Selectel for å tilby en sky for praksis, takket være at hver deltaker jobbet i sin egen fullverdige klynge, og vi trengte ikke å legge til 5 tusen ekstra til billettprisen for dette.
Jeg vil ikke fortelle deg hvem Bondarev og Selivanov er, for de som er interessert, .
Slurm Mega. Første dag.
På den første dagen av Slurm Mega lastet vi deltakerne med 4 emner. Pavel Selivanov snakket om prosessen med å lage en failover-klynge fra innsiden, om arbeidet til Kubeadm, samt om testing og feilsøking av klyngen.
Første kaffepause. Vanligvis en «lærerklokke», men på Slurm, mens elevene drikker kaffe, fortsetter lærerne å svare på spørsmål.
Og til tross for at "Break II"-skyen svever over hodet til Pavel Selivanov, er det ikke hans skjebne å gå på pause.
Sergei Bondarev og Marcel Ibraev venter på deres tur til å gå til prekestolen.
I pausen henvendte jeg meg til Sergey Bondarev og spurte: "Hvilke råd vil du gi til alle Kubernetes-ingeniører basert på din erfaring med å jobbe med våre kunders klynger?"
Sergey ga en enkel anbefaling: "Blokker tilgang fra Internett til API-serveren. For fra tid til annen er det sikkerhetstrusler som lar uautoriserte brukere få tilgang til klyngen.»
Etter et par minutter og en flaske mineralvann stormet Pavel Selivanov inn i kamp med skyggen av emnet "Autorisasjon i en klynge ved hjelp av en ekstern leverandør," nemlig LDAP (Nginx + Python) og OIDC (Dex + Gangway).
I løpet av neste pause ga Marcel Ibraev, Slurm-taler, sertifisert Kubernetes-administrator, sitt råd til Kubernetes-ingeniører: "Jeg vil si en tilsynelatende triviell ting, men med tanke på hvor ofte jeg møter dette, har jeg en mistanke om at ikke alle tar hensyn til dette. Du bør ikke blindt tro på noen veiledninger fra Internett som vil fortelle deg hvor bra denne eller den løsningen fungerer. I Kubernetes-sammenheng får dette en spesiell betydning. Fordi Kubernetes er et komplekst system, og å legge til en løsning til det som ikke har blitt testet i ditt spesielle prosjekt og din klyngeinstallasjon kan føre til alvorlige konsekvenser, til tross for at de skrev på Internett om dets kulhet. Selv bare Kubernetes selv uten en balansert tilnærming kan skade prosjektet ditt, "det som er bra for en russer er døden for en tysker." Derfor tester, sjekker og tester vi enhver løsning før vi implementerer den selv. Dette er den eneste måten du vil ta hensyn til alle nyansene som kan oppstå.'.
Etter lunsj gikk Sergei Bondarev inn i slaget. Emnet hans er Network policy, nemlig en introduksjon til CNI og Network Security Policy.
Internett er fullt av artikler om nettverkspolitikk. Det er en oppfatning blant administratorer om at nettverkspolicyer kan unnlates, men sikkerhetsspesialister elsker dette verktøyet og krever at nettverkspolicyer aktiveres.
Pavel Selivanov tok over roret til Kubernetes fra Sergey Bondarev med emnet "Sikkere og svært tilgjengelige applikasjoner i en klynge." Han har favorittemner: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Megas emne, som Pavel snakket på DevOpsConf: .
Etter å ha fortalt hvor lett en Kubernetes-klynge kan hackes, sier skeptiske administratorer: «Ja, jeg sa til deg, Kubernetes-enheten din er full av hull.» Pavel forklarer at det er mulig å konfigurere sikkerhet i en klynge, og det er ikke vanskelig, det er bare at sikkerhetsinnstillingene er deaktivert som standard. Detaljer i utskrift .
— Hvem knuste klyngen? Han knuste klyngen! Jeg kan se perfekt herfra!
Hos Slurms er alt aldri enkelt og lett, for ikke å gå lei. Men denne gangen bestemte Telegram seg for å vise alle det femte punktet:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Dette avsluttet den første dagen, lyst og fylt med praktisk kunnskap. På den andre dagen blir det enda mer trening, lansering av en databaseklynge med PostgreSQL som eksempel, lansering av en RabbitMQ-klynge, håndtering av hemmeligheter i Kubernetes.
Slurm Mega. Andre dagen.
Programlederen startet den andre dagen med en munter kunngjøring: «Om morgenen, som Pavel sa det i går, venter ekte hardcore på oss. På kirurgenes språk vil vi komme inn i innvollene til Kubernetes!»
En masseunderholder er en annen historie. Et av problemene med Slurm er at folk slår seg av fra informasjonsoverbelastning og sovner. Vi var alltid på utkikk etter en måte å gjøre noe med det på, og små spill med publikum fungerte bra på siste slurm. Denne gangen ansatte vi en spesialutdannet person. Det var mange vitser i chatten om "interessante konkurranser", men faktum er at vi aldri har sett så muntre deltakere.
De kom Marcel Ibraev til unnsetning - og han begynte å studere Stateful-applikasjoner i klyngen. Nemlig å starte en databaseklynge med PostgreSQL som eksempel og å starte en RabbitMQ-klynge.
Etter lunsj begynte Sergey Bondarev å jobbe med K8S. Og temaet var «Bevare hemmeligheter». Mulder og Scully dekket ham. Studerte hemmelig ledelse i Kubernetes og Vault. Og også "Sannheten er der ute".
Noe som fortsatte til sent på kvelden, da Pavel Selivanov begynte å snakke om Horizontal Pod Autoscaler
Slurm Mega. Den tredje dagen.
Skarpt og muntert, fra morgenstunden, hisset Sergei Bondarev opp publikum med sikkerhetskopiering og gjenoppretting etter feil. Jeg sjekket sikkerhetskopieringen og gjenopprettingen av klyngen ved hjelp av Heptio Velero og etcd personlig.
Sergey fortsatte temaet årlig rotasjon av sertifikater i klyngen: fornyelse av kontrollflysertifikater ved bruk av kubeadm. Rett før lunsj, for å vekke deltakernes appetitt eller fullstendig drepe den, tok Pavel Selivanov opp temaet om distribusjon av applikasjonen.
Mal- og distribusjonsverktøy ble vurdert, samt distribusjonsstrategier.
Pavel Selivanov snakket om et nytt emne: Service Mesh, Istio-installasjon. Emnet viste seg å være så rikt at du kan ta et eget intensivkurs om det. Vi diskuterer planer, følg med for kunngjøringer.
Det viktigste er at alt fungerer som det skal. For det er på tide å øve:
bygge CI/CD for samtidig å starte applikasjonsdistribusjon og klyngeoppdatering. I pedagogiske prosjekter fungerer alt bra. Og livet er noen ganger fullt av overraskelser.
Måtte slurmen være med deg!
Kilde: www.habr.com