24. novembra skončil Slurm Mega, pokročilý intenzívny kurz na Kubernetes. sa bude konať v Moskve 18. – 20. mája.
Myšlienka Slurm Mega: pozeráme sa pod kapotu klastra, teoreticky analyzujeme a cvičíme zložitosti inštalácie a konfigurácie klastra pripraveného na výrobu („nie tak jednoduchý spôsob“), zvažujeme mechanizmy na zaistenie bezpečnosti a odolnosti aplikácií voči chybám.
Mega bonus: Tí, ktorí prejdú Slurm Basic a Slurm Mega, získajú všetky znalosti potrebné na zloženie skúšky a 50% zľavu na skúšku.
Špeciálne poďakovanie patrí spoločnosti Selectel za poskytnutie cloudu na prax, vďaka ktorému každý účastník pracoval vo svojom plnohodnotnom klastri a nemuseli sme si za to pripočítať k cene lístka ďalších 5 tisíc.
Nepoviem vám, kto sú Bondarev a Selivanov, pre tých, ktorých to zaujíma, .
Slurm Mega. Prvý deň.
Prvý deň Slurm Mega sme účastníkom naložili 4 témy. Pavel Selivanov hovoril o procese vytvárania failover klastra zvnútra, o práci Kubeadmu, ako aj o testovaní a riešení problémov s klastrom.
Prvá prestávka na kávu. Zvyčajne „učiteľský zvonček“, ale v Slurme, zatiaľ čo študenti pijú kávu, učitelia naďalej odpovedajú na otázky.
A napriek tomu, že nad hlavou Pavla Selivanova sa vznáša oblak „Break II“, nie je jeho osudom ísť na prestávku.
Sergej Bondarev a Marcel Ibraev čakajú, kým na nich príde rad na kazateľnicu.
Počas prestávky som oslovil Sergeja Bondareva a spýtal som sa: „Akú radu by ste dali všetkým inžinierom Kubernetes na základe vašich skúseností s prácou s klastrami našich klientov?
Sergey dal jednoduché odporúčanie: „Zablokujte prístup z internetu na server API. Pretože z času na čas existujú bezpečnostné hrozby, ktoré umožňujú neoprávneným používateľom získať prístup do klastra.»
Po pár minútach a fľaši minerálky sa Pavel Selivanov vrhol do boja s tieňom témy „Autorizácia v klastri pomocou externého poskytovateľa“, konkrétne LDAP (Nginx + Python) a OIDC (Dex + Gangway).
Počas ďalšej prestávky Marcel Ibraev, rečník Slurm, certifikovaný správca Kubernetes, radil inžinierom Kubernetes: “Poviem zdanlivo triviálnu vec, ale vzhľadom na to, ako často sa s tým stretávam, mám podozrenie, že nie každý to berie do úvahy. Nemali by ste slepo veriť žiadnym návodom z internetu, ktoré vám povedia, ako skvele to či ono riešenie funguje. V kontexte Kubernetes to nadobúda osobitný význam. Kubernetes je totiž komplexný systém a pridanie riešenia, ktoré nebolo testované na vašom konkrétnom projekte a vašej klastrovej inštalácii, môže viesť k strašným následkom, napriek tomu, že na internete písali o jeho pohode. Dokonca aj samotný Kubernetes bez vyváženého prístupu môže poškodiť váš projekt, „čo je dobré pre Rusa, je smrť pre Nemca“. Preto testujeme, kontrolujeme a testujeme akékoľvek riešenie predtým, ako ho sami implementujeme. Len tak budete brať do úvahy všetky nuansy, ktoré môžu vzniknúť.".
Po obede vstúpil do bitky Sergej Bondarev. Jeho témou je Sieťová politika, konkrétne úvod do CNI a Politika bezpečnosti siete.
Internet je plný článkov o sieťovej politike. Medzi administrátormi panuje názor, že sieťové politiky možno vynechať, ale odborníci na bezpečnosť tento nástroj skutočne milujú a požadujú, aby boli sieťové politiky povolené.
Pavel Selivanov prevzal kormidlo Kubernetes od Sergeja Bondareva s témou „Bezpečné a vysoko dostupné aplikácie v klastri“. Má obľúbené témy: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Téma Mega, o ktorej hovoril Pavel na DevOpsConf: .
Po vysvetlení, ako ľahko sa dá hacknúť klaster Kubernetes, skeptickí správcovia povedia: „Áno, povedal som vám, že váš Kubernetes je plný dier.“ Pavel vysvetľuje, že je možné nakonfigurovať zabezpečenie v klastri a nie je to ťažké, len sú nastavenia zabezpečenia predvolene vypnuté. Podrobnosti v prepise .
— Kto rozbil klaster? Rozbil klaster! Odtiaľto vidím dokonale!
V Slurms nie je nikdy všetko jednoduché a ľahké, aby ste sa nenudili. Tentokrát sa však Telegram rozhodol všetkým ukázať piaty bod:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Toto skončilo prvý deň, jasný a plný praktických vedomostí. Na druhý deň bude ešte viac praxe, spustenie databázového klastra s použitím PostgreSQL ako príkladu, spustenie klastra RabbitMQ, správa tajomstiev v Kubernetes.
Slurm Mega. Druhý deň.
Moderátorka začala druhý deň veselým oznámením: „Ráno, ako sa včera vyjadril Pavel, nás čaká poriadny hardcore. V jazyku chirurgov sa dostaneme do útrob Kubernetesa!“
Masový zabávač je iný príbeh. Jedným z problémov Slurmu je, že ľudia sa vypnú z preťaženia informáciami a zaspia. Stále sme hľadali spôsob, ako s tým niečo urobiť a na poslednom Slurme dobre fungovali malé hry s publikom. Tentokrát sme najali špeciálne vyškoleného človeka. V chate bolo veľa vtipov o „zaujímavých súťažiach“, no faktom zostáva, že tak veselých účastníkov sme ešte nevideli.
Prišli k záchrane Marcela Ibraeva - a ten začal v klastri študovať aplikácie Stateful. Konkrétne spustenie databázového klastra pomocou PostgreSQL ako príkladu a spustenie klastra RabbitMQ.
Po obede začal Sergey Bondarev pracovať na K8S. A témou bolo „Uchovávanie tajomstiev“. Mulder a Scullyová ho prikryli. Vyštudoval tajnú správu v Kubernetes a Vault. A tiež „Pravda je tam vonku“.
Čo pokračovalo až do neskorého večera, keď Pavel Selivanov začal rozprávať o Horizontal Pod Autoscaler
Slurm Mega. Tretí deň.
Ostro a veselo od samého rána Sergei Bondarev burcoval publikum zálohovaním a zotavovaním sa z porúch. Osobne som skontroloval zálohovanie a obnovu klastra pomocou Heptio Velero a etcd.
Sergey pokračoval v téme ročnej rotácie certifikátov v klastri: obnova certifikátov control-plane pomocou kubeadm. Tesne pred obedom, s cieľom povzbudiť chuť do jedla alebo ju úplne zabiť, nastolil Pavel Selivanov tému nasadenia aplikácie.
Zvažovali sa nástroje na vytváranie šablón a nasadenia, ako aj stratégie nasadenia.
Pavel Selivanov hovoril o novej téme: Service Mesh, inštalácia Istio. Téma sa ukázala byť taká bohatá, že si na ňu môžete urobiť samostatný intenzívny kurz. Diskutujeme o plánoch, zostaňte naladení na oznámenia.
Hlavná vec je, že všetko funguje správne. Pretože je čas cvičiť:
vytváranie CI/CD na súčasné spustenie nasadzovania aplikácií a aktualizácie klastra. Vo vzdelávacích projektoch všetko funguje dobre. A život je niekedy plný prekvapení.
Nech je Slurm s vami!
Zdroj: hab.com