Noong Nobyembre 24, natapos ang Slurm Mega, isang advanced intensive course sa Kubernetes. ay gaganapin sa Moscow sa Mayo 18-20.
Ang ideya ng Slurm Mega: tumitingin kami sa ilalim ng hood ng cluster, pinag-aaralan sa teorya at ginagawa ang mga intricacies ng pag-install at pag-configure ng isang production-ready cluster ("the-not-so-easy-way"), isaalang-alang ang mga mekanismo para sa pagtiyak ng seguridad at fault tolerance ng mga application.
Mega Bonus: Ang mga pumasa sa Slurm Basic at Slurm Mega ay tumatanggap ng lahat ng kaalamang kailangan para makapasa sa pagsusulit at 50% na diskwento sa pagsusulit.
Espesyal na pasasalamat kay Selectel para sa pagbibigay ng cloud para sa pagsasanay, salamat sa kung saan ang bawat kalahok ay nagtrabaho sa kanilang sariling buong cluster, at hindi namin kailangang magdagdag ng dagdag na 5 libo sa presyo ng tiket para dito.
Hindi ko sasabihin sa iyo kung sino sina Bondarev at Selivanov, para sa mga interesado, .
Slurm Mega. Unang araw.
Sa unang araw ng Slurm Mega, ni-load namin ang mga kalahok ng 4 na paksa. Nagsalita si Pavel Selivanov tungkol sa proseso ng paglikha ng failover cluster mula sa loob, tungkol sa gawain ng Kubeadm, pati na rin tungkol sa pagsubok at pag-troubleshoot sa cluster.
Unang coffee break. Karaniwang "kampana ng guro," ngunit sa Slurm, habang umiinom ng kape ang mga estudyante, patuloy na sinasagot ng mga guro ang mga tanong.
At sa kabila ng katotohanan na ang ulap na "Break II" ay umaaligid sa ulo ni Pavel Selivanov, hindi niya tadhana ang magpahinga.
Sina Sergei Bondarev at Marcel Ibraev ay naghihintay ng kanilang turn para pumunta sa pulpito.
Sa panahon ng break, nilapitan ko si Sergey Bondarev at nagtanong: "Anong payo ang ibibigay mo sa lahat ng mga inhinyero ng Kubernetes batay sa iyong karanasan sa pagtatrabaho sa mga cluster ng aming mga kliyente?"
Nagbigay si Sergey ng isang simpleng rekomendasyon: "I-block ang access mula sa Internet patungo sa API server. Dahil paminsan-minsan ay may mga banta sa seguridad na nagpapahintulot sa mga hindi awtorisadong gumagamit na makakuha ng access sa cluster.Β»
Pagkatapos ng ilang minuto at isang bote ng mineral na tubig, sumugod si Pavel Selivanov sa pakikipaglaban sa anino ng paksang "Authorization in a cluster using an external provider," katulad ng LDAP (Nginx + Python) at OIDC (Dex + Gangway).
Sa susunod na pahinga, si Marcel Ibraev, tagapagsalita ng Slurm, Certified Kubernetes Administrator, ay nagbigay ng kanyang payo sa mga inhinyero ng Kubernetes: βSasabihin ko ang isang tila walang kabuluhang bagay, ngunit kung isasaalang-alang kung gaano kadalas ko ito nakakaharap, mayroon akong hinala na hindi lahat ay isinasaalang-alang ito. Hindi ka dapat bulag na maniwala sa anumang How-To mula sa Internet na magsasabi sa iyo kung gaano kahusay ito o ang solusyong iyon. Sa konteksto ng Kubernetes, nagkakaroon ito ng espesyal na kahulugan. Dahil ang Kubernetes ay isang kumplikadong sistema at nagdaragdag ng solusyon dito na hindi pa nasusubukan sa iyong partikular na proyekto at ang iyong pag-install ng cluster ay maaaring humantong sa mga kakila-kilabot na kahihinatnan, sa kabila ng katotohanang nagsulat sila sa Internet tungkol sa pagiging cool nito. Kahit na ang Kubernetes mismo na walang balanseng diskarte ay maaaring makapinsala sa iyong proyekto, "ang mabuti para sa isang Ruso ay kamatayan para sa isang Aleman." Samakatuwid, sinusuri, sinusuri, at sinusuri namin ang anumang solusyon bago ito ipatupad mismo. Ito ang tanging paraan na isasaalang-alang mo ang lahat ng mga nuances na maaaring lumitaw.'.
Pagkatapos ng tanghalian, pumasok si Sergei Bondarev sa labanan. Ang kanyang paksa ay Patakaran sa Network, katulad ng isang panimula sa CNI at Patakaran sa Seguridad ng Network.
Ang Internet ay puno ng mga artikulo tungkol sa Network Policy. May opinyon sa mga admin na maaaring ibigay ang Mga Patakaran sa Network, ngunit talagang gusto ng mga espesyalista sa seguridad ang tool na ito at hinihiling na paganahin ang Mga Patakaran sa Network.
Kinuha ni Pavel Selivanov ang timon ng Kubernetes mula kay Sergey Bondarev sa paksang "Secure at lubos na magagamit na mga application sa isang cluster." Mayroon siyang mga paboritong paksa: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Ang paksa ni Mega, na sinabi ni Pavel sa DevOpsConf: .
Pagkatapos sabihin kung gaano kadali ma-hack ang isang Kubernetes cluster, ang mga nag-aalinlangan na admin ay nagsabi: "Oo, sinabi ko sa iyo, ang iyong mga Kubernetes ay puno ng mga butas." Ipinaliwanag ni Pavel na posibleng i-configure ang seguridad sa isang kumpol, at hindi ito mahirap, ang mga setting ng seguridad ay hindi pinagana bilang default. Mga detalye sa transcript .
β Sino ang nakabasag ng kumpol? Sinira niya ang kumpol! Kitang-kita ko mula rito!
Sa Slurms, ang lahat ay hindi kailanman simple at madali, upang hindi mabagot. Ngunit sa pagkakataong ito nagpasya ang Telegram na ipakita sa lahat ang ikalimang punto:
ΠΠ°ΡΡΠ΅Π»Ρ ΠΠ±ΡΠ°Π΅Π², [22 Π½ΠΎΡΠ±. 2019 Π³., 16:52:52]:
ΠΠΎΠ»Π»Π΅Π³ΠΈ, Π² Π΄Π°Π½Π½ΡΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ Π½Π°Π±Π»ΡΠ΄Π°ΡΡΡΡ ΡΠ±ΠΎΠΈ Π² ΡΠ°Π±ΠΎΡΠ΅ Π’Π΅Π»Π΅Π³ΡΠ°ΠΌ, ΠΈΠΌΠ΅ΠΉΡΠ΅ ΡΡΠΎ Π²Π²ΠΈΠ΄Ρ
Tinapos nito ang unang araw, maliwanag at puno ng praktikal na kaalaman. Sa ikalawang araw ay magkakaroon ng higit pang pagsasanay, paglulunsad ng database cluster gamit ang PostgreSQL bilang isang halimbawa, paglulunsad ng RabbitMQ cluster, pamamahala ng mga lihim sa Kubernetes.
Slurm Mega. Pangalawang araw.
Sinimulan ng nagtatanghal ang pangalawang araw sa isang masayang anunsyo: "Sa umaga, tulad ng sinabi ni Pavel kahapon, naghihintay sa amin ang totoong hardcore. Sa wika ng mga surgeon, papasok tayo sa lakas ng loob ng Kubernetes!β
Iba ang kwento ng mass entertainer. Ang isa sa mga problema sa Slurm ay ang pag-alis ng mga tao mula sa labis na impormasyon at natutulog. Palagi kaming naghahanap ng paraan para magawa ito, at gumana nang maayos ang maliliit na laro na may audience sa huling Slurm. Sa pagkakataong ito, kumuha kami ng isang espesyal na sinanay na tao. Mayroong maraming mga biro sa chat tungkol sa "kawili-wiling mga kumpetisyon," ngunit nananatili ang katotohanan na hindi pa kami nakakita ng gayong masasayang kalahok.
Dumating sila upang iligtas si Marcel Ibraev - at nagsimula siyang mag-aral ng mga Stateful application sa cluster. Lalo na, ang paglulunsad ng isang database cluster gamit ang PostgreSQL bilang isang halimbawa at paglulunsad ng RabbitMQ cluster.
Pagkatapos ng tanghalian, nagsimulang magtrabaho si Sergey Bondarev sa K8S. At ang tema ay "Pagpapanatili ng mga Lihim." Sinalubong siya ni Mulder at Scully. Nag-aral ng secret management sa Kubernetes at Vault. At saka "The truth is out there".
Na nagpatuloy hanggang sa huli ng gabi, nang magsimulang magsalita si Pavel Selivanov tungkol sa Horizontal Pod Autoscaler
Slurm Mega. Ang ikatlong araw.
Bigla at masaya, mula sa umaga, pinukaw ni Sergei Bondarev ang madla ng backup at pagbawi mula sa mga pagkabigo. Sinuri ko ang backup at pagbawi ng cluster gamit ang Heptio Velero at etcd ng personal.
Ipinagpatuloy ni Sergey ang paksa ng taunang pag-ikot ng mga sertipiko sa kumpol: pag-renew ng mga sertipiko ng control-plane gamit ang kubeadm. Bago ang tanghalian, upang pukawin ang gana ng mga kalahok o ganap na patayin ito, itinaas ni Pavel Selivanov ang paksa ng pag-deploy ng aplikasyon.
Isinaalang-alang ang template at deployment tool, pati na rin ang mga diskarte sa deployment.
Nagsalita si Pavel Selivanov tungkol sa isang bagong paksa: Service Mesh, pag-install ng Istio. Ang paksa ay naging napakayaman na maaari kang gumawa ng isang hiwalay na masinsinang kurso tungkol dito. Pinag-uusapan natin ang mga plano, manatiling nakatutok para sa mga anunsyo.
Ang pangunahing bagay ay ang lahat ay gumagana nang tama. Dahil oras na para magsanay:
pagbuo ng CI/CD upang sabay na ilunsad ang pag-deploy ng application at pag-update ng cluster. Sa mga proyektong pang-edukasyon ang lahat ay gumagana nang maayos. At minsan ang buhay ay puno ng mga sorpresa.
Nawa ang Slurm ay kasama mo!
Pinagmulan: www.habr.com