Nous ne ferons pas de vous un spécialiste avancé en trois jours, et la participation à l'intensif en soi n'augmentera pas votre salaire. Mais vous acquerrez des compétences pratiques en gestion d'infrastructure que vous pourrez utiliser en toute confiance avec Kubernetes en production.
Pavel Selivanov, ingénieur DevOps senior chez Mail.ru Cloud Solutions, Sergey Bondarev, architecte chez Southbridge, et Marsel Ibraev, CTO chez Slurm analyseront les subtilités de l'installation, de la configuration d'un cluster prêt pour la production ("the-not-so-easy -way ") et répondez à vos questions.
tolérance aux pannes
Faisons connaissance avec l'architecture d'un cluster de basculement, parlons de l'utilitaire avec lequel le cluster est déployé et des composants supplémentaires.
Et afin de protéger le cluster d'une météorite tombant sur le centre de données, nous allons montrer un outil qui vous permet d'organiser une sauvegarde dans un cluster Kubernetes.
Sujet 1: Processus de création d'un cluster de basculement de l'intérieur
- Travailler avec Kubeadm,
- Test de cluster et dépannage.
Sujet 9: Sauvegarde et reprise après sinistre
- Méthodes de sauvegarde,
- Sauvegarde et restauration de cluster à l'aide de Heptio Velero (ex. Ark) et etcd.
En parlant de cluster, nous pensons à une sorte de système distribué tolérant aux pannes dans lequel presque tout est dupliqué: disques, processeurs, mémoire, liaisons réseau, systèmes de stockage de données.
Ce niveau de redondance permet de réduire le risque de temps d'arrêt dû à des pannes matérielles.
Sécurité
Tous les composants du cluster entre eux sont authentifiés à l'aide de certificats. Nous vous dirons quoi faire si les certificats ont expiré et comment éviter de telles situations.
Mais pour les utilisateurs "live", cette option n'est pas très bonne, car elle est difficile à utiliser, nous allons certainement vous parler des meilleures options: Proxy d'authentification et OIDC.
Il existe également une option sécurisée avec des mots de passe ou des jetons, mais cela fait déjà partie du sujet du stockage des secrets, pour les utilisateurs, ce n'est pas très pratique à mettre en œuvre, en particulier dans le cas de plusieurs nœuds maîtres.
Sujet 2: Autorisation dans le cluster à l'aide d'un fournisseur externe
- LDAP (Nginx + Python),
- OIDC (Dex + Passerelle).
Sujet 4: Applications sécurisées et hautement disponibles dans le cluster
- PodSecurityPolicy,
- PodDisruptionBudget,
- Classe prioritaire,
- LimitRange / ResourceQuota.
Thème 7: Garder les secrets
- Gestion des secrets dans Kubernetes,
- Sauter.
Thème 10: Rotation annuelle des certificats dans le cluster
- Certificats de composants de cluster,
- Renouveler les certificats de plan de contrôle avec kubeadm.
De manière générale, il est important de comprendre comment utiliser les outils pour assurer non seulement la sécurité des utilisateurs, mais aussi de vos applications, ainsi que des données confidentielles.
Appareil Kubernetes
Le choix éclairé des outils les plus efficaces s'accompagne d'une compréhension de l'appareil Kubernetes, de ses composants, de la structure du réseau et du processus de sa création.
Thème 3: Politique de réseau
- Introduction à CNI,
- Politique de sécurité réseau.
Thème 5: Kubernetes. On regarde sous le capot
- Structure du contrôleur,
- Opérateurs et CRD.
Une meilleure compréhension du fonctionnement de Kubernetes, la mise en réseau dans un cluster vous permettra de résoudre des tâches de niveau avancé, telles que, par exemple, l'écriture de votre propre contrôleur, une mise en réseau optimale dans un cluster Kubernetes.
Bases de données dans Kubernetes
Est-il possible d'exécuter une base de données dans Kubernetes - c'est possible, mais il y a des nuances. Vous devez réfléchir: vaut-il la peine de lancer des applications avec état, quels en sont les avantages et quels problèmes vous allez rencontrer. Regardons un exemple réel de la façon dont vous pouvez démarrer une base de données dans Kubernetes.
Sujet 6: Applications avec état dans un cluster
- Nuances de l'exécution d'une base de données dans Kubernetes,
- Démarrage d'un cluster de base de données à l'aide de l'exemple de RabbitMQ et CockroachDB.
Le seul point positif est la simplicité et la rapidité de lancement d'une application avec état, de sorte que les bases de production qui fonctionnent sous charge doivent être exécutées sur des serveurs dédiés séparés.
Mais ce n'est pas si mal que ça. Pour le développement et les tests, il est parfaitement possible d'exécuter des bases de données dans kubernetes.
Mise à l'échelle
L'une des demandes les plus courantes dans Kubernetes est de mettre à l'échelle automatiquement le nombre d'instances d'application en fonction de la charge et d'autres métriques.
Les conférenciers parleront de l'outil Kubernetes qui vous permettra de gérer dynamiquement le nombre de répliques d'applications.
Sujet 8: Autoscaler de pod horizontal
- Mise à l'échelle basée sur des métriques intégrées,
- Métriques personnalisées.
Déployer l'application
Il existe six des stratégies de déploiement les plus populaires, certaines sont implémentées nativement dans Kubernetes, pour d'autres, vous devez utiliser des outils spéciaux
Sujet 11: déployer l'application
- Outils de création de modèles et de déploiement,
- Stratégies de déploiement.
Connaître et utiliser une variété de stratégies de déploiement vous permettra d'aborder de manière plus flexible le déploiement de votre application. Utilisez les avantages de certaines stratégies et ne contournez pas les inconvénients d'autres, le cas échéant. Tu peux choisir.
Maillage de service
Un aperçu de la technologie de maillage de service et de son implémentation spécifique d'Istio est nécessaire pour comprendre quels problèmes le maillage de service peut résoudre, avec quels outils et quand il peut être utilisé.
Thème 12: Service mesh
- Installer Istio,
- Vue d'ensemble des abstractions de base.
Certification
Travaux pratiques finaux La
certification du centre de formation Slurm confirme que vous êtes vraiment propriétaire du matériel. Pour obtenir un certificat, vous devez passer un examen interne: nous vous confierons une mission et vous fournirons un stand à compléter.
Une fois la tâche terminée, vous envoyez le cluster configuré pour examen. Nous évaluons la qualité de la personnalisation, donnons des points sur le sujet. Si vous avez obtenu suffisamment de points, nous vous délivrerons un certificat personnel numéroté.
Format
Les tâches pratiques et la certification seront effectuées à partir d'un compte personnel, la diffusion avec haut-parleurs sera zoomée, et pour la communication, il y aura un chat télégramme supplémentaire.
Il reste 2 semaines avant l'intensif, inscrivez-vous via le lien: slurm.club/megamay21
Questions sur l'intensif - dans les commentaires.