انتهت 24 نوفمبر مع Slurme Mega ، وهو متقدم مكثف على Kubernetes. وستعقد ميجا المقبل في موسكو في الفترة 18-20 مايو.
فكرة Slurm Mega: ننظر تحت غطاء المجموعة ، ونحلل من الناحية النظرية ونمارس تعقيدات تثبيت وتكوين المجموعة الجاهزة للإنتاج ("الطريقة غير السهلة") ، وننظر في آليات ضمان الأمن والتسامح مع الأخطاء للتطبيقات.
المكافآت الضخمة: أولئك الذين يجتازون Slurm Basic و Slurm Mega يحصلون على كل المعرفة اللازمة لاجتياز اختبار CKA في CNCF وخصم 50 ٪ على الامتحان.
شكر خاص لـ Selectel لتوفير السحابة للممارسة ، وذلك بفضل عمل كل مشارك في المجموعة الخاصة بهم كاملة ، ولم يكن لدينا لإضافة 5 آلاف إضافية إلى سعر التذكرة لهذا الغرض.
لن أخبر من هم بونداريف وسيليفانوف ، المهتمين ، اقرأ هنا .
Slurm Mega. اليوم الأول
في اليوم الأول من Slurm Mega ، قمنا بتحميل المشاركين بـ 4 موضوعات. تحدث بافل سيليفانوف عن عملية إنشاء مجموعة آمنة من الفشل من الداخل ، وعن عمل Kubeadm ، وكذلك عن الاختبار وتكتل المجموعات.
استراحة القهوة الأولى. عادةً ما تكون "دعوة إلى معلم" ، ولكن في Slurm ، بينما يشرب الطلاب القهوة ، يواصل المعلمون الإجابة على الأسئلة.
وعلى الرغم من أن سحابة "Break II" تحوم فوق رأس Pavel Selivanov ، فليس من المصير أن نترك لقضاء عطلة.
سيرجي بونداريف ومارسيل Ibraev ينتظرون في الطابور للذهاب إلى القسم.
خلال فترة الاستراحة ، صعدت إلى سيرجي بونداريف وسألته: "ما الذي تنصح به جميع مهندسي Kubernetes بناءً على تجربتك في العمل مع مجموعات من عملائنا؟"
قدم سيرجي توصية بسيطة: " حظر الوصول من الإنترنت إلى خادم API. لأن هناك تهديدات أمنية بشكل دوري تسمح للمستخدمين غير المصرح لهم بالوصول إلى الكتلة. "
بعد بضع دقائق وزجاجة من المياه المعدنية ، اندفع بافل سيليفانوف إلى المعركة مع ظل موضوع "تسجيل الدخول إلى الكتلة باستخدام موفر خارجي" ، وهما LDAP (Nginx + Python) و OIDC (Dex + Gangway).
في الاستراحة التالية ، تم تقديم المشورة لمهندسي Kubernetes من قبل مارسيل Ibraev ، رئيس Slerm ، مدير Kubernetes المعتمد: " سأقول شيئًا تافهًا ، لكن بالنظر إلى عدد مرات تواجدي هذا ، هناك شك في أن ليس كل شخص يأخذ ذلك في الاعتبار. لا تصدق عمياء جميع أنواع "التعليمات" من الإنترنت ، والتي سوف تخبرك بمدى نجاح هذا الحل أو هذا الحل. في سياق Kubernetes ، يأخذ هذا معنى خاصًا. بالنسبة لنظام Kubernetes ، يمكن لنظام معقد وإضافة حل له لم يتم اختباره على وجه التحديد في مشروعك وتثبيت المجموعة ، أن يؤدي إلى عواقب محزنة ، على الرغم من حقيقة أنهم كتبوا عن برودته على الإنترنت. حتى Kubernetes نفسه ، دون اتباع نهج متوازن ، يمكن أن يضر مشروعك ، "ما هو جيد بالنسبة للروسي ، ثم الألماني هو الموت". لذلك ، نحن نختبر ونفحص ونعمل في أي حل قبل تنفيذه في المنزل. بهذه الطريقة فقط ستأخذ بعين الاعتبار جميع الفروق الدقيقة التي قد تنشأ ".
بعد الغداء انضم سيرجي بونداريف إلى المعركة. موضوعه هو سياسة الشبكة ، وهي مقدمة إلى CNI وسياسة أمان الشبكة.
الإنترنت مليء بمقالات حول سياسة الشبكة. هناك رأي بين المشرفين بأنه يمكنك الاستغناء عن "سياسات الشبكة" ، لكن حراس الأمن يحبون هذه الأداة كثيرًا ويطلبون تمكين "سياسات الشبكة".
قام بافل سيليفانوف باعتراض عجلة قيادة Kubernetes من سيرجي بونداريف مع موضوع "التطبيقات الآمنة ويمكن الوصول إليها للغاية في الكتلة". لديه موضوعاته المفضلة: PodSecurityPolicy ، PodDisruptionB Budget ، LimitRange / ResourceQuota.
موضوع ميجا الذي تحدثه بافل في DevOpsConf: كيف يمكن بسهولة كسر مجموعة Kubernetes والحصول على جميع الحقوق في 5 دقائق .
بعد القصة ، ومدى سهولة تكسير مجموعة Kubernetes ، يقول المسؤولون المشككون: "نعم ، أخبرتك ، Kubernetes الخاص بك هو هراء." يوضح Pavel أنه من الممكن تكوين الأمان في كتلة ، وهذا ليس بالأمر الصعب ، فقط إعدادات الأمان معطلة بشكل افتراضي. التفاصيل في نسخة التقرير .
- من الذي كسر الكتلة؟ لذلك كسر كتلة! أستطيع أن أرى تماما من هنا!
كل شيء بسيط وسهل على Slmerms ، حتى لا تشعر بالملل. لكن هذه المرة قررت Telegram أن تُظهر للجميع النقطة الخامسة:
, [22 . 2019 ., 16:52:52]: , ,
على هذا مشرق ومليء المعرفة العملية في اليوم الأول انتهى. في اليوم الثاني ، سيكون هناك المزيد من التدريب ، بدء تشغيل قاعدة بيانات باستخدام مثال PostgreSQL ، بدء تشغيل مجموعة RabbitMQ ، إدارة الأسرار في Kubernetes.
Slurm Mega. اليوم الثاني.
بدأ المضيف في اليوم الثاني بإعلان صريح: "في الصباح ، كما قال بافل بالأمس ، ينتظرنا متشدد حقيقي. بلغة الجراحين ، نحفر في أحشاء Kubernetes! "
الترفيه الجماعي هو قصة منفصلة. واحدة من مشاكل Slurm هي أن الناس من الحمل الزائد للمعلومات مفصولون وينامون. لقد كنا نبحث دائمًا عن طريقة لفعل شيء حيال ذلك ، وفي سلورم الأخيرة ، أظهرت الألعاب الصغيرة مع الجمهور أنفسهم جيدًا. هذه المرة استأجرنا شخصًا مدربًا بشكل خاص. تحدثنا كثيرًا عن "مسابقات مثيرة للاهتمام" في الدردشة ، ولكن تظل الحقيقة أننا لم نر مثل هؤلاء المشاركين الزاخبين.
جاء مارسيل إبراهيم إلى عملية الإنقاذ - وبدأ في دراسة طلبات الدولة في المجموعة. وهي ، بدء كتلة قاعدة بيانات باستخدام مثال PostgreSQL وبدء كتلة RabbitMQ.
بعد الغداء ، انتقل سيرجي بونداريف إلى K8S. وكان موضوعه "الحفاظ على الأسرار". تمت تغطيته بواسطة مولدر وسكولي. تعلم إدارة الأسرار في Kubernetes و Vault. وكذلك "الحقيقة موجودة".
التي استمرت حتى وقت متأخر من المساء عندما تحدث بافل سيليفانوف عن أفقي قرحة Autoscaler
Slurm Mega. اليوم الثالث
بحدة ونشاط في الصباح ، صدم سيرجي بونداريف الجمهور بالنسخ الاحتياطي والاسترداد بعد الفشل. تم التحقق من النسخ الاحتياطي للكتلة والانتعاش باستخدام Heptio Velero و etcd شخصيًا.
واصل سيرجي موضوع تناوب الشهادة السنوية في مجموعة: تجديد شهادات طائرة التحكم باستخدام kubeadm. قبل الغداء مباشرة ، ولإثارة شهية المشاركين أو صده تمامًا ، أثار بافيل سيليفانوف موضوع نشر التطبيق.
درسنا أدوات templating والنشر ، وفي نفس الوقت استراتيجيات النشر.
وقال بافل سيليفانوف موضوع جديد: شبكة الخدمة ، وتركيب Istio. اتضح أن الموضوع غني بحيث يمكن القيام به بشكل منفصل بشكل مكثف. نناقش الخطط ، اتبع الإعلانات.
الشيء الرئيسي هو أن كل شيء يعمل بشكل صحيح. لأنه حان الوقت لممارسة:
بناء CI / CD لتشغيل نشر التطبيق وتحديث نظام المجموعة في وقت واحد. في مشاريع التدريب ، كل شيء يعمل بشكل جيد. وأحيانا تكون الحياة مليئة بالمفاجآت.
قد يكون الطير معك!