Kubernetes: продвинутый уровень [Тариф Видеокурс] [Слёрм] [Марсель Ибраев, Артём Прима]

Складчина: Kubernetes: продвинутый уровень [Тариф Видеокурс] [Слёрм] [Марсель Ибраев, Артём Прима]

Полное обновление курса в 2025

• Актуальные версии Kubernetes 1.30, Kubespray 1.29.5
• Практика — задачи разного уровня сложности
• Сложные задания — доступ к эталонным решениям открывается после самостоятельной попытки решить задачу

Вас ждут инциденты с «протухшими» сертификатами, сбоями в компоненте etcd, ошибками в конфигурации сервиса kubelet, неравномерным распределением модулей (подов) и нестабильной работой кластера

Инженерам DevOps и системным администраторам:

• Приведёте «зоопарк» инструментов к управляемой экосистеме
• Сможете уверенно перевести продукты компании на кластеры Kubernetes
• Получите экспертизу, за которую компании готовы платить

Для инженеров по надёжности систем (SRE), которые хотят уверенно создавать отказоустойчивые кластеры
Для руководителей, которые хотят повышать отказоустойчивость продукта, автоматизировать развёртывания и научиться лучше траблшутить
Для архитекторов, которые хотят использовать все возможности k8s при проектировании платформенных решений
Углублённое знание администрирования Kubernetes — это ключ к высокооплачиваемым позициям

Чему научим:

• Улучшать существующие кластеры
• Применять на практике новые знания при построении новых окружений
• Создавать надёжные кластеры под разные задачи
• Управлять кластером k8s и обновлять его
• Разрабатывать современные технологические решения на базе Kubernetes
• Переносить продукт на платформу Kubernetes
• Правильно настраивать сеть сервисов (service mesh)
• Производить ротацию сертификатов в кластере
• Внедрять service mesh, настраивать внешний доступ, применять сертификаты
• Переходить из Docker Swarm в k8s
• Использовать возможности k8s при проектировании платформенных решений
• Использовать управляемый сервис Kubernetes для развёртывания OpenStack
• Сопровождать и развёртывать приложения в k8s
• Повышать осознанность при внедрении решений
• Интегрировать с HashiCorp Vault
• Интегрировать k8s в инфраструктуру разработки

Программа:

• Введение. Вводный модуль
• Тема 1. Kubernetes под капотом
• Тема 2. Создание отказоустойчивого кластера изнутри
• Тема 3. Развёртывание приложений
• Тема 4. Kubernetes сети (Networking)
• Тема 5. Аутентификация пользователей в кластере
• Тема 6. Keycloak
• Тема 7. RKE
• Тема 8. Безопасные и высокодоступные приложения в кластере
• Тема 9. Валидация манифестов
• Тема 10. Хранение секретов
• Тема 11. Приложения с сохранением состояния (Stateful) в кластере
• Тема 12. Горизонтальное масштабирование модулей (HPA)
• Тема 13. Резервное копирование кластера
• Тема 14. Обновление сертификатов Kubernetes
• Тема 15. Собственный оператор Kubernetes
• Тема 16. Сеть сервисов (Service Mesh)

Спойлер: Программа подробно

Введение. Вводный модуль

• Знакомство с курсом
• Как организована работа на курсе
• Как выполнять практики
• Как учиться онлайн
• Полезные материалы

Тема 1. Kubernetes под капотом

• Взаимодействие компонентов кластера
• Управление потоком (Flow control)
• Плагин планировщика (Scheduler plugin)
• Собственный планировщик (Custom scheduler)
• Компонент Etcd
• Kube-controller-manager
• Сервис Kubelet

Результат:

• Настроите лимиты запросов в Kubernetes от разных пользователей
• Настроите kube-scheduler и проконтролируете параметры отдельных плагинов и доставите в кластер собственный scheduler без замены стандартного
• Научитесь взаимодействовать с etcd на «низком» уровне и разберетесь почему важно шифровать данные в etcd

Тема 2. Создание отказоустойчивого кластера изнутри

• Введение в архитектуру HA-кластера Kubernetes
• Подготовка среды для Kubernetes-кластера
• Настройка второго и третьего мастера
• Инструмент Kubeadm: создание HA control plane кластера. Подключение и настройка рабочих узлов (Worker node)
• Запуск и настройка дополнительных компонентов
• Автоматизация развертывания и обслуживания промышленной среды (Prod) Kubernetes
• Минимальные рекомендованные практики безопасности Prod Kubernetes

Результат:

• Поймете что такое архитектура HA-кластера Kubernetes
• Настроите три Master Node (управляющих узла) и Worker Node (рабочих узла)
• Подготовите к развёртыванию приложений с помощью Helm
• Развернете высокодоступного кластера (HA) Kubernetes c помощью инструмента автоматизации KubeOne

Тема 3. Развёртывание приложений

• Типы развёртывания
• Развёртывания по стратегии «синий-зелёный» (Blue-green deployment)
• Канареечные релизы (Canary deployments) и A/B тестирование

Результат:

• Настроите canary-релизы и стратегию blue/green развёртывания в Kubernetes с используете нативных средств

Тема 4. Kubernetes сети (Networking)

• Kubernetes под микроскопом. Концепция сетевых политик.
• Запрещено все, что не разрешено
• Применение GitOps для управления Network Policy

Результат:

• Изучите Calico CNI и основные подходы к просмотре настроек и конфигурирования с помощью инструмент calicoctl или плагин kubectl-calico.
• Настроите и используете базовые сетевые политики, встроенные в Kubernetes.
• Создадите и примените сетевые политики Cilium и используете Hubble для мониторинга.
• Сетевой ландшафт Kubernetes

Тема 5. Аутентификация пользователей в кластере

• Аутентификация пользователей в кластере. Общие принципы
• Аутентификация по токенам
• Доступ по сертификатам
• Webhook аутентификация
• Audit policy
• Abac auth
• Authentication proxy
• Rancher

Результат:

• Поймете что такое аутентификации, авторизация OIDC
• Настроите аутентификацию по статическим токенам и аутентификацию по сертификатам
• Настроите webhook-аутентификацию и audit policy, ABAC-авторизацию. (аутентификация будет сделана через сертификаты.), аутентификацию в режиме использования промежуточного прокси
• Свяжите Rancher с работающим кластером Kubernetes для управления RBAC из панели управления администратора

Тема 6. Keycloak

• Keycloak
• Структурированная конфигурация аутентификации.

Результат:

• Настроите keycloak и привяжите его к программному интерфейсу (API) Kubernetes.
• Поймете, как работает openid изнутри, какие конечные точки запрашиваются, чтобы разобраться. Сможете отлаживать, если что-то не работает

Тема 7. RKE

• Развертывание RKE и интерфейс управления кластером

Результат:

• Поднимите кластер через RKE и сможите управлять через него правами и доступами

Тема 8. Безопасные и высокодоступные приложения в кластере

• Безопасность контейнеров и модулей (подов)
• Контекст безопасности (Security Context)
• Пространство имён пользователя (User Namespace)
• Доступность приложения в кластере
• Функционал PDB (Pod Disruption Budget)
• Лимиты и квоты ресурсов (LimitRange и ResourceQuota)
• Класс приоритета (Priority Class)

Результат:

• Настроите Security Context в Kubernetes для управления правами пользователя и группы внутри контейнеров
• Используете Pod Disruption Budget (PDB) для обеспечения высокой доступности приложения во время обслуживания узлов (нод)
• Создадите и примените LimitRange и ResourceQuota для управления и ограничения использования ресурсов в Kubernetes-кластере
• Создадите и используете новые Priority Class в Kubernetes для управления приоритетами модулей (подов)

Тема 9. Валидация манифестов

• Нативные инструменты
• Open Policy Agent

Результат:

• Настроите валидацию манифестов в Kubernetes с помощью инструмента OPA для предотвращения применения ресурсов с потенциально небезопасным содержимым

Тема 10. Хранение секретов

• Управление секретами
• Vault agent sidecar injector
• Оператор Vault
• Bank vaults
• Secret store CSI driver
• Etcd encrypt

Результат:

• Настроите связку k8s и vault через vault injector, чтобы доставлять секреты в приложения безопасным образом
• Поработаете с vault-operator и доставите секреты в кластер и настроите bank vaults secret injection вебхук (обработчик событий) для более безопасной доставки секретов в приложения
• Настроите secret store csi driver для связи vault и csi для получения возможности монтировать секреты в поды в виде томов (volumes)
• Настроите шифрование для хранимых в etcd данных, а также ротируете секреты, используемые для шифрования

Тема 11. Приложения с сохранением состояния (Stateful) в кластере

• Разберем типичную ошибку
• Ищем способ справиться
• Запускаем БД в кластере
• Запуск RabbitMQ в кластере
• Создание кластера CockroachDB

Результат:

• Установите RabbitMQ в Kubernetes с помощью Helm, масштабируете его и поймете особенности работы и устойчивости stateful приложений в кластере
• Установите и настроите CockroachDB в Kubernetes, проверите репликацию данных и устойчивость системы к сбоям

Тема 12. Горизонтальное масштабирование модулей (HPA)

• Работа с KEDA и ее элементами (TriggerAuthentificnation). В качестве источника данных для масштабирования будет использоваться Prometheus.
• Знакомство с HPA и подготовка к работе
• HPA v1 и v2
• KEDA и масштабирование на основе событий

Результат:

• Поработаете с Horizontal Pod Autoscaler v1 и познакомитесь с принципами работы HPA в Kubernetes.
• Автоматизируете масштабирование модулей (подов) в кластере для повышения устойчивости и гибкости приложений, а также наглядно продемонстрируете особенности управления нагрузкой с использованием HPA.

Тема 13. Резервное копирование кластера

• Объекты резервного копирования кластера
• Методы и способы резервного копирования
• Работа с Heptio Velero

Результат:

• Примените Velero для создания резервных копий и восстановления приложений и данных в кластере Kubernetes

Тема 14. Обновление сертификатов Kubernetes

• Устраните проблемы в случае истечения срока жизни сертификатов компонента кластера
• Архитектура инфраструктуры открытых ключей (PKI) и методы применения в Kubernetes
• Сертификаты компонентов Kubernetes-кластера
• Ежегодная ротация сертификатов Kubernetes
• Ошибки и предупреждения

Результат:

• Познакомитесь с сертификатами которые создаются для компонент кубернетес с помощью kubeadm и с процедурой TLS Bootstrap
• Познакомитесь с командами, которые используются для обновления сертификатов кластеров
• Примените на практике подходы к обновлению сертификатов в кубернетес развернутом с помощью kubeadm

Тема 15. Собственный оператор Kubernetes

• Операторы k8s
• Operator-sdk

Результат:

• Примените комплект средств разработки (operator-sdk) для написания операторов Kubernetes

Тема 16. Сеть сервисов (Service Mesh)

• Знакомство с Service Mesh и Istio
• Управление трафиком в Istio
• Политики и управление ресурсами

Результат:

• Установите Istio с помощью инструмента istioctl, а также проверите его установка и базовую конфигурацию сервисов Istio
• Настроите шлюз Gateway, DestinationRule и VirtualService в Istio для маршрутизации трафика к нескольким уникальным сервисам
• Kubernetes-кластере, каждый из которых имеет свой уникальный вывод
• Используете ServiceEntry для добавления внешних сервисов и прокси-контейнер Sidecar для управления видимостью трафика между сервисами в Kubernetes-кластере
• Развернете тестовые сервисы, настроите отказоустойчивость и проведете тестирование с помощью команд в терминале и для проверки тайм-аута создадите искусственную задержку на одном из сервисов

Дополнительно:

• Мониторинг и трассировка сервисов с Istio
  Результат: примените Kiali для визуализации взаимодействий между сервисами, чтобы наблюдать за сетевым трафиком в кластере Kubernetes
• Безопасность в Kubernetes с Istio
  Результат: поработаете с аутентификацией запросов (Request Authentication) для проверки JWT-токенов и AuthorizationPolicy для контроля доступа к сервисам
• Развёртывание по канареечным методам и A/Б (Canary and A/B Deployments)
  Результат: реализуете A/B и канареечного тестирования с помощью возможностей Istio

Спикеры курса

Марсель Ибраев

• Ведущий системный инженер в Core42
• Инженер с 12-летним стажем, прошёл долгий путь от системного администратора до инженера в DevOps
• Certified Kubernetes Administrator
• Внедрял Kubernetes для клиентов Southbridge

Виктор Чаплыгин

• Старший инженер в международном игровом холдинге, бывший сотрудник Megafon и Mail.ru Group
• В ИТ и информационной безопасности с 2012 года. Опыт работы на стороне вендора, интегратора, а также в телекоме в таких направлениях, как DevOps, DevSecOps, безопасность продукта и инфраструктуры, искусственный интеллект (AI), машинное обучение (ML)
• Автор и спикер ИТ-курсов
• Certified Kubernetes Administrator

Артём Прима

• Руководитель направления DevOps в Anorbank
• PhD в сфере пучково-плазменных технологий, технике высоких напряжений
• Эксперт по связям с разработчиками QCloudy
• 3+ года в DevOps
• Работает с k8s и другими оркестраторами, как локально, так и на базе облачных решений
• Участник комитета по докладам на DevOpsDays Almaty 2023, 2024

Виталий Лихачев

• Инженер по надёжности (SRE) в нидерландской компании в туристической отрасли (TravelTech), ранее — старший инженер-разработчик в «Авито»
• 9+ лет в коммерческой разработке
• Работал в стартапах, на аутсорсе и в командах разработки продукта
• Пишет сложные проекты с нетривиальной бизнес-логикой на PHP, Python, Golang и немного на Java, Node.js
• Разрабатывал интерфейсную часть (фронтенд), настраивал CI/CD и AWS, оптимизировал серверную часть (бэкенд) и проводил технические собеседования

Станислав Левин

• Senior System Engineer в MTS Web Services
• В DevOps с 2019 года
• Опыт работы DevOps, SRE, DevSecOps, администратор базы данных (DBA)
• Работал в крупных технических компаниях и продуктовых командах
• Строил инфраструктуру под проекты, в публичных облаках и в on-premise (более 2000 узлов (нод) k8s)
• Спикер на различных конференциях

Тариф Видеокурс

• Видеоуроки

Цена 60000 руб.
Скрытая ссылка