24. novembra se je zaključil Slurm Mega, nadaljevalni intenzivni tečaj o Kubernetesu. bo v Moskvi od 18. do 20. maja.
Zamisel o Slurm Mega: pogledamo pod pokrov gruče, analiziramo v teoriji in prakticiramo zapletenost namestitve in konfiguracije grozda, pripravljenega za proizvodnjo (»the-not-so-easy-way«), upoštevamo mehanizme za zagotavljanje varnosti in odpornosti na napake aplikacij.
Mega bonus: Tisti, ki opravijo Slurm Basic in Slurm Mega, prejmejo vse potrebno znanje za opravljanje izpita in 50% popust na izpit.
Posebna zahvala Selectelu za zagotavljanje oblaka za vadbo, zahvaljujoč kateremu je vsak udeleženec delal v svojem polnopravnem grozdu in za to nam ni bilo treba dodati dodatnih 5 tisočakov k ceni vstopnice.
Ne bom povedal, kdo sta Bondarev in Selivanov, za tiste, ki jih zanima, .
Slurm Mega. Prvi dan.
Prvi dan Slurm Mega smo udeležencem naložili 4 teme. Pavel Selivanov je spregovoril o procesu ustvarjanja failover grozda od znotraj, o delu Kubeadma, pa tudi o testiranju in odpravljanju težav gruče.
Prvi odmor za kavo. Običajno "učiteljev zvonec", toda v Slurmu, medtem ko učenci pijejo kavo, učitelji še naprej odgovarjajo na vprašanja.
In kljub dejstvu, da oblak "Break II" lebdi nad glavo Pavla Selivanova, mu ni usojeno, da gre na odmor.
Sergej Bondarev in Marcel Ibraev čakata, da prideta na vrsto za prižnico.
Med odmorom sem pristopil k Sergeju Bondarevu in ga vprašal: »Kaj bi svetoval vsem inženirjem Kubernetes na podlagi svojih izkušenj pri delu z grozdi naših strank?«
Sergej je dal preprosto priporočilo: "Blokirajte dostop iz interneta do strežnika API. Ker se od časa do časa pojavijo varnostne grožnje, ki nepooblaščenim uporabnikom omogočajo dostop do gruče.»
Po nekaj minutah in steklenici mineralne vode je Pavel Selivanov pohitel v boj s senco teme "Avtorizacija v gruči z uporabo zunanjega ponudnika", in sicer LDAP (Nginx + Python) in OIDC (Dex + Gangway).
Med naslednjim odmorom je Marcel Ibraev, govornik Slurm, certificirani skrbnik Kubernetes, dal svoj nasvet inženirjem Kubernetes: “Povedal bom navidezno nepomembno stvar, a glede na to, kako pogosto se s tem srečujem, sumim, da tega vsi ne upoštevajo. Ne bi smeli slepo verjeti nobenemu nasvetu iz interneta, ki vam bo povedal, kako odlična deluje ta ali ona rešitev. V kontekstu Kubernetesa ima to poseben pomen. Ker je Kubernetes kompleksen sistem in dodajanje rešitve, ki ni bila preizkušena v vašem konkretnem projektu in vaši namestitvi gruče, lahko povzroči hude posledice, kljub dejstvu, da so na internetu pisali o njeni kul. Tudi sam Kubernetes brez uravnoteženega pristopa lahko škoduje vašemu projektu, "kar je dobro za Rusa, je smrt za Nemca." Zato vsako rešitev preizkusimo, preverimo in testiramo, preden jo sami implementiramo. Le tako boste upoštevali vse nianse, ki se lahko pojavijo.".
Po kosilu je v boj vstopil Sergej Bondarev. Njegova tema je Network policy, in sicer uvod v CNI in Network Security Policy.
Internet je poln člankov o omrežni politiki. Med skrbniki obstaja mnenje, da se je mogoče odreči omrežnim pravilnikom, vendar varnostni strokovnjaki resnično obožujejo to orodje in zahtevajo, da se omogočijo omrežni pravilniki.
Pavel Selivanov je prevzel krmilo Kubernetesa od Sergeja Bondareva s temo »Varne in visoko razpoložljive aplikacije v gruči«. Ima najljubše teme: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Mega tema, o kateri je Pavel govoril na DevOpsConf: .
Potem ko so povedali, kako enostavno je mogoče vdreti v gručo Kubernetes, skeptični skrbniki rečejo: "Ja, rekel sem vam, vaš Kubernetes je poln lukenj." Pavel pojasnjuje, da je možno konfigurirati varnost v gruči in ni težko, samo varnostne nastavitve so privzeto onemogočene. Podrobnosti v prepisu .
— Kdo je razbil grozd? Razbil je grozd! Od tod vidim popolnoma!
Pri Slurms nikoli ni vse preprosto in enostavno, da ne bi bilo dolgčas. Toda tokrat se je Telegram odločil vsem pokazati peto točko:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
S tem se je zaključil prvi dan, pester in poln praktičnega znanja. Drugi dan bo še več vaje, zagon gruče baze podatkov z uporabo PostgreSQL kot primera, zagon gruče RabbitMQ, upravljanje skrivnosti v Kubernetesu.
Slurm Mega. Drugi dan.
Voditeljica je drugi dan začela z veselo napovedjo: »Zjutraj nas, kot je rekel včeraj Pavel, čaka pravi hardcore. V jeziku kirurgov, prišli bomo v drobovje Kubernetesa!«
Masovni zabavljač je druga zgodba. Ena od težav Slurma je, da se ljudje izklopijo iz informacijske prenasičenosti in zaspijo. Vedno smo iskali način, kako narediti nekaj glede tega, in majhne igre z občinstvom so se dobro obnesle na zadnjem Slurmu. Tokrat smo zaposlili posebej usposobljeno osebo. V klepetu je bilo veliko šal o »zanimivih tekmovanjih«, a dejstvo ostaja, da tako veselih udeležencev še nismo videli.
Priskočili so na pomoč Marcelu Ibraevu - in začel je preučevati aplikacije Stateful v grozdu. In sicer zagon gruče podatkovne baze na primeru PostgreSQL in zagon gruče RabbitMQ.
Po kosilu je Sergey Bondarev začel delati na K8S. In tema je bila "Ohranjanje skrivnosti." Mulder in Scully sta ga pokrivala. Študiral tajno upravljanje v Kubernetes in Vault. In tudi "Resnica je zunaj".
Kar se je nadaljevalo do poznega večera, ko je Pavel Selivanov začel govoriti o Horizontal Pod Autoscaler
Slurm Mega. Tretji dan.
Ostro in veselo, od samega jutra, je Sergej Bondarev vznemiril občinstvo s podporo in okrevanjem po napakah. Osebno sem preveril varnostno kopiranje in obnovitev gruče z uporabo Heptio Velero in itd.
Sergej je nadaljeval temo letne rotacije certifikatov v grozdu: obnovitev certifikatov nadzorne ravnine z uporabo kubeadm. Tik pred kosilom je Pavel Selivanov, da bi zbudil apetit udeležencev ali ga popolnoma ubil, izpostavil temo uvajanja aplikacije.
Upoštevana so bila orodja za predloge in uvajanje ter strategije uvajanja.
Pavel Selivanov je govoril o novi temi: Service Mesh, namestitev Istio. Tema se je izkazala za tako bogato, da lahko o njej naredite ločen intenzivni tečaj. Pogovarjamo se o načrtih, spremljajte obvestila.
Glavna stvar je, da vse deluje pravilno. Ker je čas za vadbo:
izdelava CI/CD za hkraten zagon uvajanja aplikacije in posodobitev gruče. V izobraževalnih projektih vse deluje dobro. In življenje je včasih polno presenečenj.
Naj bo Slurm z vami!
Vir: www.habr.com