Kubernetes üzerine ileri düzey yoğun bir kurs olan Slurm Mega 24 Kasım'da sona erdi. 18-20 Mayıs'ta Moskova'da yapılacak.
Slurm Mega fikri: Kümenin kapsamına bakıyoruz, teoride analiz ediyoruz ve üretime hazır bir küme kurmanın ve yapılandırmanın inceliklerini (“o kadar da kolay olmayan yol”) analiz ediyoruz, mekanizmaları göz önünde bulunduruyoruz uygulamaların güvenliğini ve hata toleransını sağlamak için.
Mega Bonus: Slurm Basic ve Slurm Mega'yı geçenler, sınavı geçmek için gerekli tüm bilgileri alırlar ve sınavda %50 indirim.
Her katılımcının kendi tam teşekküllü kümesinde çalıştığı pratik için bir bulut sağladığı için Selectel'e özellikle teşekkür ederiz ve bunun için bilet fiyatına fazladan 5 bin eklememize gerek kalmadı.
İlgilenenler için Bondarev ve Selivanov'un kim olduğunu söylemeyeceğim. .
Slurm Mega. İlk gün.
Slurm Mega'nın ilk gününde katılımcılara 4 konu yükledik. Pavel Selivanov, içeriden bir yük devretme kümesi oluşturma sürecinden, Kubeadm'in çalışmalarından ve kümenin test edilmesi ve sorun gidermesinden bahsetti.
İlk kahve molası. Genellikle bir “öğretmen zili” ama Slurm'da öğrenciler kahve içerken öğretmenler soruları yanıtlamaya devam ediyor.
Ve Pavel Selivanov'un başının üzerinde "Break II" bulutu dolaşmasına rağmen, ara vermek onun kaderi değil.
Sergei Bondarev ve Marcel Ibraev kürsüye çıkmak için sıralarını bekliyorlar.
Mola sırasında Sergey Bondarev'e yaklaştım ve şunu sordum: "Müşterilerimizin kümeleriyle çalışma deneyiminize dayanarak tüm Kubernetes mühendislerine ne gibi tavsiyelerde bulunursunuz?"
Sergey basit bir tavsiyede bulundu: “İnternetten API sunucusuna erişimi engelleyin. Çünkü zaman zaman yetkisiz kullanıcıların kümeye erişim sağlamasına olanak tanıyan güvenlik tehditleri yaşanmaktadır.»
Birkaç dakika ve bir şişe maden suyunun ardından Pavel Selivanov, LDAP (Nginx + Python) ve OIDC (Dex + Gangway) adlı "Harici bir sağlayıcı kullanarak kümede yetkilendirme" konusunun gölgesiyle savaşa koştu.
Bir sonraki molada Slurm konuşmacısı ve Sertifikalı Kubernetes Yöneticisi Marcel Ibraev, Kubernetes mühendislerine tavsiyelerde bulundu: “Önemsiz görünen bir şey söyleyeceğim ama bununla ne kadar sıklıkla karşılaştığımı düşününce herkesin bunu hesaba katmadığına dair bir şüphem var. İnternetten size şu veya bu çözümün ne kadar harika çalıştığını söyleyen herhangi bir Nasıl Yapılır belgesine körü körüne inanmamalısınız. Kubernetes bağlamında bu özel bir anlam kazanıyor. Çünkü Kubernetes karmaşık bir sistemdir ve buna sizin özel projenizde ve küme kurulumunuzda test edilmemiş bir çözümün eklenmesi, internette bunun serinliği hakkında yazmış olmalarına rağmen, korkunç sonuçlara yol açabilir. Dengeli bir yaklaşım olmadan Kubernetes'in kendisi bile projenize zarar verebilir, "Bir Rus için iyi olan bir Alman için ölümdür." Bu nedenle herhangi bir çözümü uygulamadan önce kendimiz test ediyor, kontrol ediyor ve test ediyoruz. Ortaya çıkabilecek tüm nüansları dikkate almanın tek yolu budur.'.
Öğle yemeğinden sonra Sergei Bondarev savaşa girdi. Konusu Ağ politikası, yani CNI ve Ağ Güvenliği Politikasına giriş.
İnternet, Ağ Politikası ile ilgili makalelerle doludur. Yöneticiler arasında Ağ Politikalarından vazgeçilebileceği yönünde bir görüş var, ancak güvenlik uzmanları bu aracı gerçekten çok seviyor ve Ağ Politikalarının etkinleştirilmesini talep ediyor.
Pavel Selivanov, "Kümede güvenli ve yüksek düzeyde kullanılabilir uygulamalar" konusuyla Kubernetes'in yönetimini Sergey Bondarev'den devraldı. Favori konuları var: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Pavel'in DevOpsConf'ta konuştuğu Mega'nın konusu: .
Şüpheci yöneticiler, bir Kubernetes kümesinin ne kadar kolay hacklenebileceğini anlattıktan sonra şöyle diyor: "Evet, size söyledim, Kubernetes'iniz deliklerle dolu." Pavel, bir kümede güvenliği yapılandırmanın mümkün olduğunu ve bunun zor olmadığını, yalnızca güvenlik ayarlarının varsayılan olarak devre dışı bırakıldığını açıklıyor. Ayrıntılar transkriptte .
— Kümeyi kim kırdı? Kümeyi kırdı! Buradan mükemmel bir şekilde görebiliyorum!
Slurms'ta sıkılmamak için her şey asla basit ve kolay değildir. Ancak bu sefer Telegram herkese beşinci noktayı göstermeye karar verdi:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Böylece ilk gün parlak ve pratik bilgilerle dolu bir şekilde sona erdi. İkinci günde PostgreSQL örnek olarak kullanılarak bir veritabanı kümesinin başlatılması, bir RabbitMQ kümesinin başlatılması, Kubernetes'te sırların yönetilmesi gibi daha fazla pratik yapılacaktır.
Slurm Mega. İkinci gün.
Sunucu ikinci güne neşeli bir duyuruyla başladı: “Sabah, Pavel'in dün söylediği gibi, gerçekten hardcore bizi bekliyor. Cerrahların diliyle söylersek Kubernetes'in bağırsaklarına gireceğiz!”
Kitlesel şovmen farklı bir hikaye. Slurm'un sorunlarından biri de insanların aşırı bilgi yüklemesinden vazgeçip uykuya dalması. Her zaman bu konuda bir şeyler yapmanın bir yolunu arıyorduk ve seyircili küçük oyunlar son Slurm'da işe yaradı. Bu sefer özel eğitimli bir kişiyi işe aldık. Sohbette "ilginç yarışmalar" hakkında pek çok şaka vardı ama gerçek şu ki, hiç bu kadar neşeli katılımcılar görmemiştik.
Marcel Ibraev'in imdadına yetiştiler ve o da kümedeki Durumsal uygulamaları incelemeye başladı. Yani PostgreSQL'i örnek olarak kullanarak bir veritabanı kümesi başlatmak ve bir RabbitMQ kümesini başlatmak.
Öğle yemeğinin ardından Sergey Bondarev K8S üzerinde çalışmaya başladı. Ve tema “Sır Saklamak”tı. Mulder ve Scully onu korudu. Kubernetes ve Vault'ta gizli yönetim eğitimi aldı. Ve ayrıca "Gerçek orada bir yerde".
Bu, Pavel Selivanov'un Yatay Kapsül Otomatik Ölçekleyici hakkında konuşmaya başladığı akşamın geç saatlerine kadar devam etti.
Slurm Mega. Üçüncü gün.
Sergei Bondarev, sabahtan itibaren keskin ve neşeyle, destek ve başarısızlıklardan kurtulma konusunda seyirciyi heyecanlandırdı. Heptio Velero ve etcd'yi kullanarak kümenin yedeklenmesini ve kurtarılmasını bizzat kontrol ettim.
Sergey, kümedeki sertifikaların yıllık rotasyonu konusuna devam etti: kubeadm kullanılarak kontrol düzlemi sertifikalarının yenilenmesi. Öğle yemeğinden hemen önce, katılımcıların iştahını kabartmak veya tamamen yok etmek için Pavel Selivanov, uygulamanın dağıtılması konusunu gündeme getirdi.
Şablon oluşturma ve dağıtım araçlarının yanı sıra dağıtım stratejileri de dikkate alındı.
Pavel Selivanov yeni bir konu hakkında konuştu: Service Mesh, Istio kurulumu. Konu o kadar zengin çıktı ki bu konuda ayrı bir yoğun kurs yapabilirsiniz. Planları tartışıyoruz, duyuruları takip etmeye devam edin.
Önemli olan her şeyin doğru çalışmasıdır. Çünkü pratik yapma zamanı:
Uygulama dağıtımını ve küme güncellemesini aynı anda başlatmak için CI/CD oluşturma. Eğitim projelerinde her şey yolunda gidiyor. Ve hayat bazen sürprizlerle doludur.
Slurm sizinle olsun!
Kaynak: habr.com