24月XNUMX日,Kubernetes高级强化课程Slurm Mega结束。 将于18月20日至XNUMX日在莫斯科举行。
Slurm Mega 的想法:我们深入了解集群的本质,从理论上分析并实践安装和配置生产就绪集群的复杂性(“不那么简单的方法”),考虑机制确保应用程序的安全性和容错性。
超级奖励:通过 Slurm Basic 和 Slurm Mega 的人将获得通过考试所需的所有知识 以及考试 50% 的折扣。
特别感谢 Selectel 提供了用于练习的云,多亏了每个参与者都在自己成熟的集群中工作,我们不需要为此额外增加 5 美元的门票价格。
我不会告诉你邦达列夫和塞利万诺夫是谁,有兴趣的人, .
泥浆超级。 第一天。
在 Slurm Mega 的第一天,我们向参与者提出了 4 个主题。 Pavel Selivanov 谈到了从内部创建故障转移集群的过程、Kubeadm 的工作以及集群的测试和故障排除。
第一个喝咖啡休息时间。 通常是“老师铃声”,但在 Slurm,当学生喝咖啡时,老师会继续回答问题。
尽管“休息二号”的阴云笼罩在帕维尔·塞利瓦诺夫的头顶,但休息并不是他的命运。
谢尔盖·邦达列夫和马塞尔·伊布拉耶夫正在等待上讲坛。
休息期间,我找到 Sergey Bondarev 并问道:“根据您与我们客户集群合作的经验,您会给所有 Kubernetes 工程师什么建议?”
谢尔盖给出了一个简单的建议:“阻止从 Internet 访问 API 服务器。 因为时不时会存在允许未经授权的用户访问集群的安全威胁。»
几分钟后,Pavel Selivanov 喝了一瓶矿泉水,带着“使用外部提供商在集群中进行授权”主题的阴影,即 LDAP (Nginx + Python) 和 OIDC (Dex + Gangway) 冲上战场。
在下一次休息期间,Slurm 演讲者、认证 Kubernetes 管理员 Marcel Ibraev 向 Kubernetes 工程师提出了他的建议:“我会说一件看似微不足道的事情,但考虑到我经常遇到这种情况,我怀疑并不是每个人都考虑到这一点。 您不应该盲目相信互联网上的任何操作方法,它们会告诉您这个或那个解决方案有多好。 在 Kubernetes 的背景下,这具有特殊的意义。 因为 Kubernetes 是一个复杂的系统,向其中添加尚未在您的特定项目和集群安装中测试过的解决方案可能会导致可怕的后果,尽管他们在互联网上写过它的酷炫之处。 即使只是没有平衡方法的 Kubernetes 本身也会损害你的项目,“对俄罗斯人来说,对德国人来说就是死亡。” 因此,我们在自己实施任何解决方案之前都会对其进行测试、检查和测试。 这是您考虑可能出现的所有细微差别的唯一方法。“。
午餐后,谢尔盖·邦达列夫投入战斗。 他的主题是网络策略,即CNI和网络安全策略的介绍。
互联网上充满了有关网络策略的文章。 管理员中有一种观点认为可以取消网络策略,但安全专家非常喜欢这个工具并要求启用网络策略。
Pavel Selivanov 从 Sergey Bondarev 手中接管了 Kubernetes,主题是“集群中的安全且高度可用的应用程序”。 他最喜欢的主题是:PodSecurityPolicy、PodDisruptionBudget、LimitRange/ResourceQuota。
Pavel 在 DevOpsConf 上谈到的 Mega 主题: .
在讲述了 Kubernetes 集群多么容易被黑客攻击后,持怀疑态度的管理员说:“是的,我告诉过你,你的 Kubernetes 充满了漏洞。” Pavel 解释说,在集群中配置安全性是可以的,而且并不困难,只是安全设置默认是禁用的。 详细内容见成绩单 .
— 谁破坏了集群? 他打破了星团! 从这里我可以看得很清楚!
在 Slurms,一切都不会简单易行,以免感到无聊。 但这次 Telegram 决定向大家展示第五点:
Марсель Ибраев, [22 нояб. 2019 г., 16:52:52]:
Коллеги, в данный момент наблюдаются сбои в работе Телеграм, имейте это ввиду
第一天的课程就这样结束了,充满了实用知识。 第二天会有更多练习,以 PostgreSQL 为例启动数据库集群,启动 RabbitMQ 集群,在 Kubernetes 中管理机密。
泥浆超级。 第二天。
主持人以一个令人愉快的公告开始了第二天:“正如帕维尔昨天所说的那样,早上,真正的硬核在等待着我们。 用外科医生的语言来说,我们将深入 Kubernetes 的内部!”
大众艺人则是另一回事。 Slurm 的问题之一是人们会从信息过载中解脱出来并入睡。 我们一直在寻找一种方法来解决这个问题,在上一届 Slurm 中,有观众的小型游戏效果很好。 这次我们聘请了经过专门培训的人员。 聊天里有很多关于“有趣的比赛”的笑话,但事实是我们从未见过如此高兴的参与者。
他们拯救了 Marcel Ibraev,他开始研究集群中的有状态应用程序。 即启动一个以PostgreSQL为例的数据库集群,启动一个RabbitMQ集群。
午餐后,Sergey Bondarev 开始研究 K8S。 主题是“保守秘密”。 Mulder和Scully掩护着他。 研究了 Kubernetes 和 Vault 中的秘密管理。 还有“真相就在那里”。
这种情况一直持续到深夜,Pavel Selivanov 开始谈论 Horizontal Pod Autoscaler
泥浆超级。 第三天。
从一早起,谢尔盖·邦达列夫就以故障备份和恢复的方式让观众兴奋不已。 我亲自使用Heptio Velero和etcd检查了集群的备份和恢复。
Sergey 继续讨论集群中证书每年轮换的主题:使用 kubeadm 续订控制平面证书。 午餐前,为了吊起与会者的胃口,或者彻底吊死他们的胃口,帕维尔·塞利瓦诺夫提出了部署应用程序的话题。
考虑了模板和部署工具以及部署策略。
Pavel Selivanov 谈到了一个新主题:Service Mesh、Istio 安装。 事实证明,这个主题非常丰富,您可以单独开设一个强化课程。 我们正在讨论计划,敬请关注公告。
最重要的是一切正常。 因为是时候练习了:
构建 CI/CD 以同时启动应用程序部署和集群更新。 在教育项目中一切都很顺利。 而生活有时也充满惊喜。
愿泥浆与你同在!
来源: habr.com