11月24日以Kubernetes的高级强化课程Slurme Mega结尾。 下一届Mega将于5月18日至20日在莫斯科举行。
Slurm Mega的想法:我们在集群的内部进行观察,我们在理论上进行分析并实践安装和配置可立即生产的集群的复杂性(“不太容易”),我们考虑了确保应用程序安全性和容错性的机制。
超级奖金:通过Slurm Basic和Slurm Mega的人将获得通过CNCF的CKA考试所需的全部知识,并获得考试折扣50%。
特别感谢Selectel提供的实践云,每个参与者都在自己的成熟集群中工作,因此我们不必为此加价5千美元。
我不会告诉您Bondarev和Selivanov谁是谁,对此感兴趣。
Slurm Mega。 第一天
在Slurm Mega的第一天,我们为参与者提供了4个主题。 Pavel Selivanov讨论了从内部创建故障安全群集的过程,Kubeadm的工作以及测试和群集集群。
第一次喝咖啡休息时间。 通常是“呼唤老师”,但在Slurm上,当学生喝咖啡时,老师继续回答问题。
而且尽管“突破II”云盘旋在帕维尔·塞利瓦诺夫(Pavel Selivanov)头顶上方,但休息一下并不是命运。
Sergei Bondarev和Marcel Ibraev正在排队等候前往该部门。
在休息期间,我走到Sergey Bondarev,问:“根据您与客户群的合作经验,您对所有Kubernetes工程师有何建议?”
Sergey提出了一个简单的建议:“ 阻止从Internet到API服务器的访问。 因为定期存在一些安全威胁,这些威胁允许未经授权的用户访问群集。 ”
几分钟后,再喝了一瓶矿泉水,帕维尔·塞利瓦诺夫(Pavel Selivanov)迅速与 阴影 主题“使用外部提供程序登录到群集”,即LDAP(Nginx + Python)和OIDC(Dex + Gangway)。
在下一个中断中,Kubernetes工程师由Slerm发言人,认证的Kubernetes管理员Marcel Ibraev提出建议:“ 我会说些琐碎的事,但是鉴于我经常遇到这种情况,所以有人怀疑并不是每个人都考虑到了这一点。 不要盲目相信互联网上的各种方法,这将告诉您该解决方案的有效性。 在Kubernetes的上下文中,这具有特殊的意义。 由于Kubernetes是一个复杂的系统,因此向其添加未在您的项目中经过特别测试的解决方案,并且您在安装集群时可能会导致可悲的后果,尽管他们在Internet上写了它的酷意。 即使只是Kubernetes本人,如果没有采取平衡的方法,也会损害您的项目,“对俄罗斯有利,那么德国就是死亡。” 因此,我们在在家中实施任何解决方案之前,都要对其进行测试,检查和运行。 只有这样,您才能考虑到可能出现的所有细微差别 。”
午餐后,谢尔盖·邦达列夫(Sergey Bondarev)参战。 他的主题是网络策略,即CNI和网络安全策略的简介。
互联网上充斥着有关网络策略的文章。 管理员之间的意见是,您可以不使用网络策略就可以执行此操作,但是安全防护人员非常喜欢此工具,并且需要启用网络策略。
来自Sergey Bondarev的Kubernetes方向盘被Pavel Selivanov拦截,主题为“集群中的安全和高度可访问的应用程序”。 他有他最喜欢的主题:PodSecurityPolicy,PodDisruptionBudget,LimitRange / ResourceQuota。
Pavel在DevOpsConf上谈到的Mega主题: 如何快速轻松地断开Kubernetes集群并在5分钟内获得所有权利 。
故事结束后,持怀疑态度的管理员说:“ Kubernetes集群很容易被破解。 Pavel解释说,可以在群集中配置安全性,这并不困难,只是默认情况下禁用安全性设置。 报告笔录中的详细内容 。
-谁打破了集群? 所以他打破了集群! 从这里我可以完美地看到!
在Slmerms上,一切都很简单容易,以免感到无聊。 但这一次Telegram决定向所有人展示第五点:
, [22 . 2019 ., 16:52:52]: , ,
在这充满了实用知识的明亮环境下,第一天结束了。 第二天会有更多实践,使用PostgreSQL示例启动数据库集群,启动RabbitMQ集群,管理Kubernetes中的机密。
Slurm Mega。 第二天
主持人在第二天开始时突然宣布:“就像帕维尔(Pavel)昨天所说的那样,早晨,真正的铁杆正在等待着我们。 用外科医生的语言,我们挖掘了Kubernetes的精髓!”
大众艺人是一个单独的故事。 Slurm的问题之一是,信息超载的人们会断开连接并入睡。 我们一直在寻找一种解决方案,在上一届Slurme中,与观众进行的小型比赛表现得很好。 这次我们雇用了受过专门训练的人。 我们在聊天中聊了很多“有趣的比赛”,但事实是我们还没有见过如此激动人心的参与者。
Marcel Ibraev进行了救援-他开始研究集群中的有状态应用程序。 即,使用PostgreSQL的示例启动数据库集群并启动RabbitMQ集群。
午餐后,谢尔盖·邦达列夫(Sergey Bondarev)前往K8S。 他的主题是“保持秘密”。 他被Mulder和Scully所掩盖。 在Kubernetes和Vault中学习了机密管理。 还有“真相就在那里”。
这种情况一直持续到深夜,直到Pavel Selivanov谈到了水平荚自动缩放器
Slurm Mega。 第三天。
早上,Sergey Bondarev敏捷而敏捷地向失败的观众提供备份和恢复,震惊了全场。 使用Heptio Velero和etcd进行的群集备份和恢复已得到个人验证。
Sergey继续了集群中年度证书轮换的主题:使用kubeadm更新控制平面证书。 午餐前,为了激发参与者的食欲或完全消除他的食欲,Pavel Selivanov提出了应用程序部署的主题。
我们研究了模板和部署工具,以及部署策略。
Pavel Selivanov讲了一个新话题:Service Mesh,Istio安装。 事实证明,该主题是如此丰富,以至于可以单独进行深入研究。 我们讨论计划,按照公告进行。
最主要的是,一切正常。 因为该练习了:
构建CI / CD以同时启动应用程序部署和集群更新。 在培训项目中,一切正常。 生活有时充满惊喜。
愿Slurm与您同在!