No dia 24 de novembro terminou o Slurm Mega, curso intensivo avançado em Kubernetes. será realizado em Moscou de 18 a 20 de maio.
A ideia do Slurm Mega: olhamos os bastidores do cluster, analisamos na teoria e na prática os meandros da instalação e configuração de um cluster pronto para produção (“a maneira não tão fácil”), consideramos os mecanismos para garantir a segurança e a tolerância a falhas dos aplicativos.
Mega Bônus: Quem passar no Slurm Basic e Slurm Mega recebe todo o conhecimento necessário para passar no exame e 50% de desconto no exame.
Agradecimentos especiais à Selectel por fornecer uma nuvem para a prática, graças à qual cada participante trabalhou em seu próprio cluster completo, e não tivemos que adicionar 5 mil extras ao preço do ingresso para isso.
Não vou contar quem são Bondarev e Selivanov, para quem estiver interessado, .
Slurm Mega. Primeiro dia.
No primeiro dia do Slurm Mega, carregamos os participantes com 4 temas. Pavel Selivanov falou sobre o processo de criação de um cluster de failover por dentro, sobre o trabalho do Kubeadm, bem como sobre testes e solução de problemas do cluster.
Primeira pausa para o café. Normalmente é um “sino do professor”, mas no Slurm, enquanto os alunos tomam café, os professores continuam a responder às perguntas.
E apesar de a nuvem “Break II” estar pairando sobre a cabeça de Pavel Selivanov, não é seu destino fazer uma pausa.
Sergei Bondarev e Marcel Ibraev aguardam a sua vez de subir ao púlpito.
Durante o intervalo, abordei Sergey Bondarev e perguntei: “Que conselho você daria a todos os engenheiros do Kubernetes com base em sua experiência de trabalho com clusters de nossos clientes?”
Sergey deu uma recomendação simples: “Bloqueie o acesso da Internet ao servidor API. Porque de vez em quando existem ameaças à segurança que permitem que usuários não autorizados obtenham acesso ao cluster.»
Depois de alguns minutos e uma garrafa de água mineral, Pavel Selivanov correu para a batalha com a sombra do tópico “Autorização em um cluster usando um provedor externo”, ou seja, LDAP (Nginx + Python) e OIDC (Dex + Gangway).
Durante o intervalo seguinte, Marcel Ibraev, palestrante do Slurm e administrador certificado do Kubernetes, deu seu conselho aos engenheiros do Kubernetes: “Direi algo aparentemente trivial, mas considerando a frequência com que encontro isso, suspeito que nem todo mundo leva isso em consideração. Você não deve acreditar cegamente em nenhum tutorial da Internet que lhe dirá como esta ou aquela solução funciona bem. No contexto do Kubernetes, isso assume um significado especial. Porque o Kubernetes é um sistema complexo e adicionar a ele uma solução que não foi testada em seu projeto específico e a instalação do cluster pode levar a consequências terríveis, apesar de terem escrito na Internet sobre sua frieza. Mesmo o próprio Kubernetes sem uma abordagem equilibrada pode prejudicar o seu projeto, “o que é bom para um russo é a morte para um alemão”. Portanto, testamos, verificamos e testamos qualquer solução antes de implementá-la nós mesmos. Só assim você levará em consideração todas as nuances que possam surgir.".
Depois do almoço, Sergei Bondarev entrou na batalha. Seu tópico é Política de Rede, ou seja, uma introdução ao CNI e à Política de Segurança de Rede.
A Internet está cheia de artigos sobre Política de Rede. Há uma opinião entre os administradores de que as Políticas de Rede podem ser dispensadas, mas os especialistas em segurança realmente adoram essa ferramenta e exigem que as Políticas de Rede sejam habilitadas.
Pavel Selivanov assumiu o comando do Kubernetes de Sergey Bondarev com o tópico “Aplicativos seguros e altamente disponíveis em um cluster”. Ele tem tópicos favoritos: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Tópico de Mega, sobre o qual Pavel falou na DevOpsConf: .
Depois de contar como um cluster Kubernetes pode ser facilmente hackeado, os administradores céticos dizem: “Sim, eu te disse, seu Kubernetes está cheio de buracos”. Pavel explica que é possível configurar a segurança em um cluster, e não é difícil, apenas que as configurações de segurança estão desabilitadas por padrão. Detalhes na transcrição .
— Quem quebrou o cluster? Ele quebrou o cluster! Posso ver perfeitamente daqui!
No Slurms nem tudo é simples e fácil, para não ficar entediado. Mas desta vez o Telegram resolveu mostrar a todos o quinto ponto:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Assim encerrou o primeiro dia, luminoso e repleto de conhecimentos práticos. No segundo dia haverá ainda mais prática, lançando um cluster de banco de dados usando PostgreSQL como exemplo, lançando um cluster RabbitMQ, gerenciando segredos em Kubernetes.
Slurm Mega. Segundo dia.
O apresentador iniciou o segundo dia com um anúncio alegre: “De manhã, como disse ontem o Pavel, o verdadeiro hardcore nos espera. Na linguagem dos cirurgiões, entraremos nas entranhas do Kubernetes!”
Um artista de massa é uma história diferente. Um dos problemas do Slurm é que as pessoas desligam-se da sobrecarga de informações e adormecem. Estávamos sempre procurando uma maneira de fazer algo a respeito, e pequenos jogos com o público funcionaram bem no último Slurm. Desta vez contratamos uma pessoa especialmente treinada. Houve muitas piadas no chat sobre “competições interessantes”, mas a verdade é que nunca vimos participantes tão alegres.
Eles vieram em socorro de Marcel Ibraev - e ele começou a estudar aplicações Stateful no cluster. Ou seja, lançar um cluster de banco de dados usando PostgreSQL como exemplo e lançar um cluster RabbitMQ.
Depois do almoço, Sergey Bondarev começou a trabalhar no K8S. E o tema foi “Mantendo Segredos”. Mulder e Scully o cobriram. Estudou gerenciamento de segredos em Kubernetes e Vault. E também “A verdade está aí”.
O que continuou até tarde da noite, quando Pavel Selivanov começou a falar sobre o Horizontal Pod Autoscaler
Slurm Mega. O terceiro dia.
De forma brusca e alegre, desde a manhã, Sergei Bondarev despertou o público com apoio e recuperação de falhas. Verifiquei pessoalmente o backup e a recuperação do cluster usando Heptio Velero e etcd.
Sergey continuou o tópico da rotação anual de certificados no cluster: renovação de certificados de plano de controle usando kubeadm. Pouco antes do almoço, para aguçar o apetite dos participantes ou matá-lo completamente, Pavel Selivanov levantou o tema da implantação da aplicação.
Foram consideradas ferramentas de modelagem e implantação, bem como estratégias de implantação.
Pavel Selivanov falou sobre um novo tópico: Service Mesh, instalação do Istio. O tema acabou sendo tão rico que você pode fazer um curso intensivo separado sobre ele. Estamos discutindo planos, fique atento aos anúncios.
O principal é que tudo funcione bem. Porque é hora de praticar:
construindo CI/CD para lançar simultaneamente a implantação de aplicativos e a atualização de cluster. Nos projetos educacionais tudo funciona bem. E a vida às vezes é cheia de surpresas.
Que o Slurm esteja com você!
Fonte: habr.com