Den 24 november avslutades Slurm Mega, en avancerad intensivkurs om Kubernetes. kommer att hållas i Moskva den 18-20 maj.
Idén med Slurm Mega: vi tittar under huven på klustret, analyserar i teorin och övar på krångligheterna med att installera och konfigurera ett produktionsfärdigt kluster ("det-inte-så-enkla sättet"), överväga mekanismerna för att säkerställa säkerhet och feltolerans för applikationer.
Megabonus: De som klarar Slurm Basic och Slurm Mega får all kunskap som krävs för att klara provet och 50 % rabatt på provet.
Speciellt tack till Selectel för att ha tillhandahållit ett moln för träning, tack vare vilket varje deltagare arbetade i sitt eget fullfjädrade kluster, och vi behövde inte lägga till 5 tusen extra till biljettpriset för detta.
Jag kommer inte att berätta vilka Bondarev och Selivanov är, för de som är intresserade, .
Slurm Mega. Första dagen.
Den första dagen av Slurm Mega laddade vi deltagarna med 4 ämnen. Pavel Selivanov talade om processen att skapa ett failover-kluster från insidan, om Kubeadms arbete, samt om testning och felsökning av klustret.
Första fikapausen. Vanligtvis en "lärarklocka", men på Slurm, medan eleverna dricker kaffe, fortsätter lärare att svara på frågor.
Och trots att "Break II"-molnet svävar över Pavel Selivanovs huvud, är det inte hans öde att ta en paus.
Sergej Bondarev och Marcel Ibraev väntar på deras tur att gå till predikstolen.
Under pausen gick jag fram till Sergey Bondarev och frågade: "Vilka råd skulle du ge alla Kubernetes-ingenjörer baserat på din erfarenhet av att arbeta med våra kunders kluster?"
Sergey gav en enkel rekommendation: "Blockera åtkomst från Internet till API-servern. För då och då finns det säkerhetshot som gör att obehöriga användare kan få tillgång till klustret.»
Efter ett par minuter och en flaska mineralvatten rusade Pavel Selivanov in i striden med skuggan av ämnet "Auktorisering i ett kluster med hjälp av en extern leverantör", nämligen LDAP (Nginx + Python) och OIDC (Dex + Gangway).
Under nästa paus gav Marcel Ibraev, Slurm-talare, Certified Kubernetes Administrator, sitt råd till Kubernetes ingenjörer: "Jag ska säga en till synes trivial sak, men med tanke på hur ofta jag stöter på detta, har jag en misstanke om att inte alla tar hänsyn till detta. Du ska inte blint tro på någon instruktion från Internet som berättar hur bra den eller den lösningen fungerar. I Kubernetes sammanhang får detta en speciell innebörd. Eftersom Kubernetes är ett komplext system och att lägga till en lösning till det som inte har testats i just ditt projekt och din klusterinstallation kan leda till fruktansvärda konsekvenser, trots att de skrev på Internet om dess coolhet. Även bara Kubernetes själv utan en balanserad strategi kan skada ditt projekt, "det som är bra för en ryss är döden för en tysk." Därför testar, kontrollerar och testar vi vilken lösning som helst innan vi implementerar den själva. Detta är det enda sättet du kommer att ta hänsyn till alla nyanser som kan uppstå.".
Efter lunch gick Sergei Bondarev in i striden. Hans ämne är nätverkspolicy, nämligen en introduktion till CNI och nätverkssäkerhetspolicy.
Internet är fullt av artiklar om nätverkspolicy. Det finns en åsikt bland administratörer att nätverkspolicyer kan undvaras, men säkerhetsspecialister älskar verkligen det här verktyget och kräver att nätverkspolicyer ska aktiveras.
Pavel Selivanov tog över rodret för Kubernetes från Sergey Bondarev med ämnet "Säkra och högst tillgängliga applikationer i ett kluster." Han har favoritämnen: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Megas ämne, som Pavel talade på DevOpsConf: .
Efter att ha berättat hur lätt ett Kubernetes-kluster kan hackas säger skeptiska administratörer: "Ja, jag sa till dig, din Kubernetes är full av hål." Pavel förklarar att det är möjligt att konfigurera säkerhet i ett kluster, och det är inte svårt, det är bara att säkerhetsinställningarna är inaktiverade som standard. Detaljer i avskrift .
— Vem bröt klustret? Han bröt klustret! Jag kan se perfekt härifrån!
Hos Slurms är allt aldrig enkelt och lätt, för att inte bli uttråkad. Men den här gången bestämde sig Telegram för att visa alla den femte punkten:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Detta avslutade första dagen, ljust och fyllt med praktisk kunskap. Den andra dagen kommer det att bli ännu mer övning, att lansera ett databaskluster med PostgreSQL som exempel, lansera ett RabbitMQ-kluster, hantera hemligheter i Kubernetes.
Slurm Mega. Andra dagen.
Presentatören inledde den andra dagen med ett glatt tillkännagivande: "På morgonen, som Pavel uttryckte det igår, väntar riktig hardcore på oss. På kirurgernas språk kommer vi att komma in i Kubernetes magkänsla!”
Massunderhållaren är en annan historia. Ett av problemen med Slurm är att människor stänger av sig från informationsöverbelastning och somnar. Vi letade alltid efter ett sätt att göra något åt det, och små spel med publik fungerade bra vid den senaste slurmen. Den här gången anlitade vi en specialutbildad person. Det var många skämt i chatten om "intressanta tävlingar", men faktum kvarstår att vi aldrig har sett så glada deltagare.
De kom till Marcel Ibraevs undsättning – och han började studera Stateful-applikationer i klustret. Nämligen att starta ett databaskluster med PostgreSQL som exempel och att starta ett RabbitMQ-kluster.
Efter lunch började Sergey Bondarev arbeta på K8S. Och temat var "Bevara hemligheter". Mulder och Scully täckte honom. Studerade hemlig hantering i Kubernetes och Vault. Och även "Sanningen finns där ute".
Vilket fortsatte till sent på kvällen, när Pavel Selivanov började prata om Horizontal Pod Autoscaler
Slurm Mega. Den tredje dagen.
Skarpt och glatt, redan från morgonen, rörde Sergei Bondarev upp publiken med backup och återhämtning från misslyckanden. Jag kontrollerade säkerhetskopieringen och återställningen av klustret med hjälp av Heptio Velero och etcd personligen.
Sergey fortsatte ämnet årlig rotation av certifikat i klustret: förnyelse av kontrollplanscertifikat med kubeadm. Strax före lunch, för att väcka deltagarnas aptit eller helt döda den, tog Pavel Selivanov upp frågan om att distribuera applikationen.
Mall- och distributionsverktyg övervägdes, såväl som distributionsstrategier.
Pavel Selivanov talade om ett nytt ämne: Service Mesh, Istio installation. Ämnet visade sig vara så rikt att du kan göra en separat intensivkurs om det. Vi diskuterar planer, håll utkik efter meddelanden.
Huvudsaken är att allt fungerar korrekt. För det är dags att träna:
bygga CI/CD för att samtidigt starta applikationsdistribution och klusteruppdatering. I utbildningsprojekt fungerar allt bra. Och livet är ibland fullt av överraskningar.
Må Slurmen vara med dig!
Källa: will.com