Më 24 nëntor, Slurm Mega, një kurs intensiv i avancuar në Kubernetes, përfundoi.
Ideja e Slurm Mega: ne shikojmë nën kapuçin e grupit, analizojmë në teori dhe praktikë ndërlikimet e instalimit dhe konfigurimit të një grupi të gatshëm për prodhimin ("mënyra jo aq e lehtë"), shqyrtojmë mekanizmat për garantimin e sigurisë dhe tolerancës ndaj gabimeve të aplikacioneve.
Mega Bonus: Ata që kalojnë Slurm Basic dhe Slurm Mega marrin të gjitha njohuritë e nevojshme për të kaluar provimin
Falënderime të veçanta për Selectel për sigurimin e një reje për praktikë, falë së cilës secili pjesëmarrës punoi në grupin e tij të plotë, dhe ne nuk na duhej të shtonim 5 mijë shtesë në çmimin e biletës për këtë.
Slurm Mega. Dita e parë.
Në ditën e parë të Slurm Mega i ngarkuam pjesëmarrësit me 4 tema. Pavel Selivanov foli për procesin e krijimit të një grupi dështimi nga brenda, për punën e Kubeadm, si dhe për testimin dhe zgjidhjen e problemeve të grupit.
Pushimi i parë i kafesë. Zakonisht një "këmbanë mësuesi", por në Slurm, ndërsa studentët pinë kafe, mësuesit vazhdojnë t'u përgjigjen pyetjeve.
Dhe përkundër faktit se reja "Break II" po rri pezull mbi kokën e Pavel Selivanov, nuk është fati i tij të shkojë në një pushim.
Sergei Bondarev dhe Marsel Ibraev presin radhën për të shkuar në foltore.
Gjatë pushimit, iu afrova Sergey Bondarev dhe pyeta: "Çfarë këshille do t'u jepnit të gjithë inxhinierëve të Kubernetes bazuar në përvojën tuaj duke punuar me grupet e klientëve tanë?"
Sergei dha një rekomandim të thjeshtë: "Blloko aksesin nga Interneti në serverin API. Sepse herë pas here ka kërcënime sigurie që lejojnë përdoruesit e paautorizuar të kenë akses në grup.»
Pas disa minutash dhe një shishe me ujë mineral, Pavel Selivanov nxitoi në betejë me hijen e temës "Autorizimi në një grup duke përdorur një ofrues të jashtëm", përkatësisht LDAP (Nginx + Python) dhe OIDC (Dex + Gangway).
Gjatë pushimit tjetër, Marcel Ibraev, folës i Slurm, Administrator i Certifikuar i Kubernetes, u dha këshillën e tij inxhinierëve të Kubernetes:Do të them një gjë në dukje të parëndësishme, por duke pasur parasysh sa shpesh e ndesh këtë, kam një dyshim se jo të gjithë e marrin parasysh këtë. Ju nuk duhet t'i besoni verbërisht ndonjë "Si të bëhet" nga Interneti që do t'ju tregojë se sa mirë funksionon kjo apo ajo zgjidhje. Në kontekstin e Kubernetes, kjo merr një kuptim të veçantë. Sepse Kubernetes është një sistem kompleks dhe shtimi i një zgjidhjeje në të që nuk është testuar në projektin tuaj të veçantë dhe instalimin e grupit tuaj mund të çojë në pasoja të tmerrshme, pavarësisht faktit që ata shkruan në internet për freskinë e tij. Edhe vetë Kubernetes pa një qasje të ekuilibruar mund të dëmtojë projektin tuaj, "ajo që është e mirë për një rus është vdekja për një gjerman". Prandaj, ne testojmë, kontrollojmë dhe testojmë çdo zgjidhje përpara se ta zbatojmë vetë. Vetëm kështu do të merrni parasysh të gjitha nuancat që mund të lindin.'.
Pas drekës, Sergei Bondarev hyri në betejë. Tema e tij është politika e rrjetit, përkatësisht një hyrje në CNI dhe Politika e Sigurisë së Rrjetit.
Interneti është plot me artikuj rreth Politikës së Rrjetit. Ekziston një mendim midis administratorëve se Politikat e Rrjetit mund të shpërndahen, por specialistët e sigurisë e duan vërtet këtë mjet dhe kërkojnë që Politikat e Rrjetit të aktivizohen.
Pavel Selivanov mori drejtimin e Kubernetes nga Sergey Bondarev me temën "Aplikacione të sigurta dhe shumë të disponueshme në një grup". Ai ka tema të preferuara: PodSecurityPolicy, PodDisruptionBudget, Limit Range/ResourceQuota.
Tema e Mega, të cilën Pavel foli në DevOpsConf:
Pasi tregojnë se sa lehtë mund të hakohet një grup Kubernetes, administratorët skeptikë thonë: "Po, ju thashë, Kubernetes juaj është plot me vrima." Pavel shpjegon se është e mundur të konfigurosh sigurinë në një grup dhe nuk është e vështirë, thjesht se cilësimet e sigurisë janë çaktivizuar si parazgjedhje. Detajet në transkript
- Kush e theu grupin? Ai e theu grupin! Unë mund të shoh të përkryer nga këtu!
Në Slurms, gjithçka nuk është kurrë e thjeshtë dhe e lehtë, për të mos u mërzitur. Por këtë herë Telegram vendosi t'u tregojë të gjithëve pikën e pestë:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Kjo përfundoi ditën e parë, të ndritshme dhe të mbushur me njohuri praktike. Ditën e dytë do të ketë edhe më shumë praktikë, duke nisur një grup bazë të dhënash duke përdorur si shembull PostgreSQL, duke nisur një grupim RabbitMQ, duke menaxhuar sekretet në Kubernetes.
Slurm Mega. Dita e dyte.
Prezantuesja e filloi ditën e dytë me një njoftim të gëzuar: “Në mëngjes, siç tha Pavel dje, na pret një hardcore e vërtetë. Në gjuhën e kirurgëve, do të futemi në zorrët e Kubernetes!”
Një argëtues masiv është një histori tjetër. Një nga problemet me Slurm është se njerëzit fiken nga mbingarkesa me informacion dhe bien në gjumë. Ne gjithmonë kërkonim një mënyrë për të bërë diçka për të dhe lojërat e vogla me një audiencë funksionuan mirë në Slurm të fundit. Këtë herë punësuam një person të trajnuar posaçërisht. Në bisedë pati shumë shaka për "konkurse interesante", por fakti mbetet se nuk kemi parë kurrë pjesëmarrës kaq të gëzuar.
Ata erdhën në shpëtimin e Marcel Ibraev - dhe ai filloi të studiojë aplikacionet shtetërore në grup. Gjegjësisht, nisja e një grupi bazë të dhënash duke përdorur PostgreSQL si shembull dhe lëshimi i një grupi RabbitMQ.
Pas drekës, Sergey Bondarev filloi të punojë në K8S. Dhe tema ishte "Mbajtja e sekreteve". Mulder dhe Scully e mbuluan atë. Ka studiuar për menaxhim sekret në Kubernetes dhe Vault. Dhe gjithashtu "E vërteta është atje".
Që vazhdoi deri vonë në mbrëmje, kur Pavel Selivanov filloi të fliste për Horizontal Pod Autoscaler
Slurm Mega. Ditën e tretë.
Në mënyrë të mprehtë dhe të gëzuar, që në mëngjes, Sergei Bondarev nxiti audiencën me rezervë dhe shërim nga dështimet. Kontrollova rezervimin dhe rikuperimin e grupit duke përdorur personalisht Heptio Velero dhe etcd.
Sergey vazhdoi temën e rrotullimit vjetor të certifikatave në grup: rinovimi i certifikatave të avionit të kontrollit duke përdorur kubeadm. Pak para drekës, për të hapur oreksin e pjesëmarrësve ose për ta vrarë plotësisht atë, Pavel Selivanov ngriti temën e vendosjes së aplikacionit.
U morën parasysh mjetet e modelimit dhe vendosjes, si dhe strategjitë e vendosjes.
Pavel Selivanov foli për një temë të re: Rrjetë e shërbimit, instalimi Istio. Tema doli të ishte aq e pasur sa mund të bëni një kurs të veçantë intensiv për të. Jemi duke diskutuar planet, qëndroni të pritshëm për njoftimet.
Gjëja kryesore është që gjithçka të funksionojë siç duhet. Sepse është koha për të praktikuar:
ndërtimi i CI/CD për të nisur njëkohësisht vendosjen e aplikacionit dhe përditësimin e grupeve. Në projektet arsimore gjithçka funksionon mirë. Dhe jeta ndonjëherë është plot surpriza.
Qoftë Slurm me ju!
Burimi: www.habr.com