24-noyabr kuni Kubernetes bo'yicha ilg'or intensiv kurs Slurm Mega yakunlandi.
Slurm Mega g'oyasi: biz klaster qopqog'ini ko'rib chiqamiz, ishlab chiqarishga tayyor klasterni o'rnatish va sozlashning nozik tomonlarini nazariy va amaliyotda tahlil qilamiz ("unchalik oson bo'lmagan usul"), mexanizmlarni ko'rib chiqamiz. ilovalarning xavfsizligi va xatolarga chidamliligini ta'minlash uchun.
Mega Bonus: Slurm Basic va Slurm Mega-dan o'tganlar imtihondan o'tish uchun zarur bo'lgan barcha bilimlarni oladilar.
Amaliyot uchun bulut taqdim etgani uchun Selectel-ga alohida rahmat, buning natijasida har bir ishtirokchi o'zining to'liq klasterida ishladi va biz buning uchun chipta narxiga qo'shimcha 5 ming qo'shishimiz shart emas edi.
Slurm Mega. Birinchi kun.
Slurm Mega-ning birinchi kunida biz ishtirokchilarga 4 ta mavzuni yukladik. Pavel Selivanov ichkaridan uzilish klasterini yaratish jarayoni, Kubeadm ishi haqida, shuningdek, klasterni sinovdan o‘tkazish va nosozliklarni bartaraf etish haqida gapirdi.
Birinchi kofe tanaffusi. Odatda "o'qituvchi qo'ng'irog'i", lekin Slurmda, talabalar qahva ichishganda, o'qituvchilar savollarga javob berishda davom etadilar.
Va Pavel Selivanovning boshida "Break II" buluti aylanib yurganiga qaramay, tanaffusga borish uning taqdiri emas.
Sergey Bondarev va Marsel Ibraev minbarga chiqish navbatini kutishmoqda.
Tanaffus paytida men Sergey Bondarevga murojaat qildim va so'radim: "Mijozlarimiz klasterlari bilan ishlash tajribangizga asoslanib, barcha Kubernetes muhandislariga qanday maslahat berasiz?"
Sergey oddiy tavsiya berdi: "Internetdan API serveriga kirishni bloklash. Chunki vaqti-vaqti bilan ruxsatsiz foydalanuvchilarning klasterga kirishiga imkon beruvchi xavfsizlik tahdidlari mavjud.»
Bir necha daqiqa va bir shisha mineral suvdan so'ng, Pavel Selivanov "Tashqi provayder yordamida klasterda avtorizatsiya", ya'ni LDAP (Nginx + Python) va OIDC (Dex + Gangway) mavzusining soyasi bilan jangga kirishdi.
Navbatdagi tanaffusda Slurm spikeri, Kubernetesning sertifikatlangan administratori Marsel Ibraev Kubernetes muhandislariga o‘z maslahatlarini berdi: “Men arzimasdek tuyulgan narsani aytaman, lekin men bunga qanchalik tez-tez duch kelganimni hisobga olsam, hamma ham buni hisobga olmasligiga shubha qilaman. U yoki bu yechim qanchalik ajoyib ishlashini aytib beradigan Internetdan qanday qilib ko'r-ko'rona ishonmasligingiz kerak. Kubernetes kontekstida bu alohida ma'noga ega. Chunki Kubernetes murakkab tizim boʻlib, unga muayyan loyihangizda va klaster oʻrnatishingizda sinovdan oʻtmagan yechimni qoʻshish, internetda uning salqinligi haqida yozganiga qaramay, dahshatli oqibatlarga olib kelishi mumkin. Muvozanatli yondashuvsiz Kubernetesning o'zi ham sizning loyihangizga zarar etkazishi mumkin, "rus uchun yaxshi narsa nemis uchun o'limdir". Shuning uchun biz har qanday yechimni o'zimiz amalga oshirishdan oldin sinab ko'ramiz, tekshiramiz va sinab ko'ramiz. Bu paydo bo'lishi mumkin bo'lgan barcha nuanslarni hisobga olishning yagona yo'li.".
Tushlikdan keyin Sergey Bondarev jangga kirdi. Uning mavzusi Tarmoq siyosati, ya'ni CNI va Tarmoq xavfsizligi siyosatiga kirish.
Internet Tarmoq siyosati haqidagi maqolalarga to'la. Administratorlar orasida Tarmoq siyosatidan voz kechish mumkin degan fikr bor, ammo xavfsizlik bo'yicha mutaxassislar ushbu vositani juda yaxshi ko'radilar va Tarmoq siyosatini yoqishni talab qilishadi.
Pavel Selivanov Kubernetes boshqaruvini Sergey Bondarevdan “Klasterdagi xavfsiz va yuqori darajada mavjud ilovalar” mavzusi bilan oldi. Uning sevimli mavzulari bor: PodSecurityPolicy, PodDisruptionBudget, LimitRange/ResourceQuota.
Pavel DevOpsConf-da gapirgan Mega mavzusi:
Kubernetes klasterini qanchalik osonlik bilan buzish mumkinligini aytganidan so'ng, shubhali administratorlar: "Ha, aytdim, sizning Kubernetesingiz teshiklarga to'la." Pavel klasterda xavfsizlikni sozlash mumkinligini tushuntiradi va bu qiyin emas, shunchaki xavfsizlik sozlamalari sukut bo'yicha o'chirilgan. Tafsilotlar transkriptda
- Klasterni kim buzdi? U klasterni buzdi! Men bu erdan juda yaxshi ko'raman!
Slurms-da zerikmaslik uchun hamma narsa hech qachon oddiy va oson bo'lmaydi. Ammo bu safar Telegram hammaga beshinchi nuqtani ko'rsatishga qaror qildi:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
Bu yorqin va amaliy bilimlarga boy birinchi kun yakunlandi. Ikkinchi kuni misol sifatida PostgreSQL-dan foydalangan holda ma'lumotlar bazasi klasterini ishga tushirish, RabbitMQ klasterini ishga tushirish, Kubernetes-da sirlarni boshqarish amaliyoti yanada ko'proq bo'ladi.
Slurm Mega. Ikkinchi kun.
Taqdimotchi ikkinchi kunni quvnoq e'lon bilan boshladi: "Ertalab, kechagi Pavel aytganidek, bizni haqiqiy hardkor kutmoqda. Jarrohlar tili bilan aytganda, biz Kubernetesning ichagiga kiramiz!”
Ommaviy ko'ngilochar - bu boshqa voqea. Slurm bilan bog'liq muammolardan biri shundaki, odamlar ortiqcha ma'lumot yukidan o'chib, uxlab qolishadi. Biz har doim bu haqda nimadir qilish yo'lini qidirardik va tomoshabinlar bilan kichik o'yinlar oxirgi Slurmda yaxshi ishladi. Bu safar maxsus o‘qitilgan odamni ishga oldik. Suhbatda "qiziqarli musobaqalar" haqida juda ko'p hazillar bo'ldi, ammo haqiqat shundaki, biz bunday quvnoq ishtirokchilarni ko'rmaganmiz.
Ular Marsel Ibraevga yordamga kelishdi - va u klasterda Davlat dasturlarini o'rganishni boshladi. Xususan, misol sifatida PostgreSQL yordamida ma'lumotlar bazasi klasterini ishga tushirish va RabbitMQ klasterini ishga tushirish.
Tushlikdan keyin Sergey Bondarev K8Sda ishlay boshladi. Va mavzu "Sirlarni saqlash" edi. Mulder va Skalli uni yopishdi. Kubernetes va Vaultda maxfiy boshqaruvni o'rgangan. Va shuningdek, "Haqiqat u erda".
Bu kechgacha davom etdi, Pavel Selivanov Gorizontal Pod Autoscaler haqida gapira boshladi.
Slurm Mega. Uchinchi kun.
Keskin va quvnoq, ertalabdan boshlab, Sergey Bondarev tomoshabinlarni zaxira va muvaffaqiyatsizliklardan qutqarish bilan hayajonlantirdi. Men shaxsan Heptio Velero va etcd yordamida klasterning zaxira nusxasini va tiklanishini tekshirdim.
Sergey klasterda sertifikatlarning yillik aylanishi mavzusini davom ettirdi: kubeadm yordamida boshqaruv-samolyot sertifikatlarini yangilash. Tushlikdan oldin, ishtirokchilarning ishtahasini qo'zg'atish yoki uni butunlay yo'q qilish uchun Pavel Selivanov dasturni qo'llash mavzusini ko'tardi.
Shablonlashtirish va joylashtirish vositalari, shuningdek, joylashtirish strategiyalari ko'rib chiqildi.
Pavel Selivanov yangi mavzu haqida gapirdi: Service Mesh, Istio o'rnatish. Mavzu shu qadar boy bo'lib chiqdiki, siz u bo'yicha alohida intensiv kurs o'tishingiz mumkin. Biz rejalarni muhokama qilmoqdamiz, e'lonlarni kuzatib boring.
Asosiysi, hamma narsa to'g'ri ishlaydi. Chunki mashq qilish vaqti keldi:
ilovalarni joylashtirish va klasterni yangilashni bir vaqtda ishga tushirish uchun CI/CD yaratish. Ta'lim loyihalarida hamma narsa yaxshi ishlaydi. Va hayot ba'zan kutilmagan hodisalarga to'la.
Slurm siz bilan bo'lsin!
Manba: www.habr.com