Хоттабыч
Местный
[Слёрм] Kubernetes: продвинутый уровень (2026)
Полное обновление курса в 2025
- Актуальные версии Kubernetes 1.30, Kubespray 1.29.5
- Практика — задачи разного уровня сложности
- Сложные задания — доступ к эталонным решениям открывается после самостоятельной попытки решить задачу
Инженерам DevOps и системным администраторам:
- Приведёте «зоопарк» инструментов к управляемой экосистеме
- Сможете уверенно перевести продукты компании на кластеры Kubernetes
- Получите экспертизу, за которую компании готовы платить
Для руководителей, которые хотят повышать отказоустойчивость продукта, автоматизировать развёртывания и научиться лучше траблшутить
Для архитекторов, которые хотят использовать все возможности k8s при проектировании платформенных решений
Углублённое знание администрирования Kubernetes — это ключ к высокооплачиваемым позициям
Чему научим:
- Улучшать существующие кластеры
- Применять на практике новые знания при построении новых окружений
- Создавать надёжные кластеры под разные задачи
- Управлять кластером k8s и обновлять его
- Разрабатывать современные технологические решения на базе Kubernetes
- Переносить продукт на платформу Kubernetes
- Правильно настраивать сеть сервисов (service mesh)
- Производить ротацию сертификатов в кластере
- Внедрять service mesh, настраивать внешний доступ, применять сертификаты
- Переходить из Docker Swarm в k8s
- Использовать возможности k8s при проектировании платформенных решений
- Использовать управляемый сервис Kubernetes для развёртывания OpenStack
- Сопровождать и развёртывать приложения в k8s
- Повышать осознанность при внедрении решений
- Интегрировать с HashiCorp Vault
- Интегрировать k8s в инфраструктуру разработки
Введение. Вводный модуль
- Знакомство с курсом
- Как организована работа на курсе
- Как выполнять практики
- Как учиться онлайн
- Полезные материалы
- Взаимодействие компонентов кластера
- Управление потоком (Flow control)
- Плагин планировщика (Scheduler plugin)
- Собственный планировщик (Custom scheduler)
- Компонент Etcd
- Kube-controller-manager
- Сервис Kubelet
- Настроите лимиты запросов в Kubernetes от разных пользователей
- Настроите kube-scheduler и проконтролируете параметры отдельных плагинов и доставите в кластер собственный scheduler без замены стандартного
- Научитесь взаимодействовать с etcd на «низком» уровне и разберетесь почему важно шифровать данные в etcd
- Введение в архитектуру HA-кластера Kubernetes
- Подготовка среды для Kubernetes-кластера
- Настройка второго и третьего мастера
- Инструмент Kubeadm: создание HA control plane кластера. Подключение и настройка рабочих узлов (Worker node)
- Запуск и настройка дополнительных компонентов
- Автоматизация развертывания и обслуживания промышленной среды (Prod) Kubernetes
- Минимальные рекомендованные практики безопасности Prod Kubernetes
- Поймете что такое архитектура HA-кластера Kubernetes
- Настроите три Master Node (управляющих узла) и Worker Node (рабочих узла)
- Подготовите к развёртыванию приложений с помощью Helm
- Развернете высокодоступного кластера (HA) Kubernetes c помощью инструмента автоматизации KubeOne
- Типы развёртывания
- Развёртывания по стратегии «синий-зелёный» (Blue-green deployment)
- Канареечные релизы (Canary deployments) и A/B тестирование
- Настроите canary-релизы и стратегию blue/green развёртывания в Kubernetes с используете нативных средств
- Kubernetes под микроскопом. Концепция сетевых политик.
- Запрещено все, что не разрешено
- Применение GitOps для управления Network Policy
- Изучите Calico CNI и основные подходы к просмотре настроек и конфигурирования с помощью инструмент calicoctl или плагин kubectl-calico.
- Настроите и используете базовые сетевые политики, встроенные в Kubernetes.
- Создадите и примените сетевые политики Cilium и используете Hubble для мониторинга.
- Сетевой ландшафт Kubernetes
- Аутентификация пользователей в кластере. Общие принципы
- Аутентификация по токенам
- Доступ по сертификатам
- Webhook аутентификация
- Audit policy
- Abac auth
- Authentication proxy
- Rancher
- Поймете что такое аутентификации, авторизация OIDC
- Настроите аутентификацию по статическим токенам и аутентификацию по сертификатам
- Настроите webhook-аутентификацию и audit policy, ABAC-авторизацию. (аутентификация будет сделана через сертификаты.), аутентификацию в режиме использования промежуточного прокси
- Свяжите Rancher с работающим кластером Kubernetes для управления RBAC из панели управления администратора
- Keycloak
- Структурированная конфигурация аутентификации.
- Настроите keycloak и привяжите его к программному интерфейсу (API) Kubernetes.
- Поймете, как работает openid изнутри, какие конечные точки запрашиваются, чтобы разобраться. Сможете отлаживать, если что-то не работает
- Развертывание RKE и интерфейс управления кластером
- Поднимите кластер через RKE и сможите управлять через него правами и доступами
- Безопасность контейнеров и модулей (подов)
- Контекст безопасности (Security Context)
- Пространство имён пользователя (User Namespace)
- Доступность приложения в кластере
- Функционал PDB (Pod Disruption Budget)
- Лимиты и квоты ресурсов (LimitRange и ResourceQuota)
- Класс приоритета (Priority Class)
- Настроите Security Context в Kubernetes для управления правами пользователя и группы внутри контейнеров
- Используете Pod Disruption Budget (PDB) для обеспечения высокой доступности приложения во время обслуживания узлов (нод)
- Создадите и примените LimitRange и ResourceQuota для управления и ограничения использования ресурсов в Kubernetes-кластере
- Создадите и используете новые Priority Class в Kubernetes для управления приоритетами модулей (подов)
- Нативные инструменты
- Open Policy Agent
- Настроите валидацию манифестов в Kubernetes с помощью инструмента OPA для предотвращения применения ресурсов с потенциально небезопасным содержимым
- Управление секретами
- Vault agent sidecar injector
- Оператор Vault
- Bank vaults
- Secret store CSI driver
- Etcd encrypt
- Настроите связку k8s и vault через vault injector, чтобы доставлять секреты в приложения безопасным образом
- Поработаете с vault-operator и доставите секреты в кластер и настроите bank vaults secret injection вебхук (обработчик событий) для более безопасной доставки секретов в приложения
- Настроите secret store csi driver для связи vault и csi для получения возможности монтировать секреты в поды в виде томов (volumes)
- Настроите шифрование для хранимых в etcd данных, а также ротируете секреты, используемые для шифрования
- Разберем типичную ошибку
- Ищем способ справиться
- Запускаем БД в кластере
- Запуск RabbitMQ в кластере
- Создание кластера CockroachDB
- Установите RabbitMQ в Kubernetes с помощью Helm, масштабируете его и поймете особенности работы и устойчивости stateful приложений в кластере
- Установите и настроите CockroachDB в Kubernetes, проверите репликацию данных и устойчивость системы к сбоям
- Работа с KEDA и ее элементами (TriggerAuthentificnation). В качестве источника данных для масштабирования будет использоваться Prometheus.
- Знакомство с HPA и подготовка к работе
- HPA v1 и v2
- KEDA и масштабирование на основе событий
- Поработаете с Horizontal Pod Autoscaler v1 и познакомитесь с принципами работы HPA в Kubernetes.
- Автоматизируете масштабирование модулей (подов) в кластере для повышения устойчивости и гибкости приложений, а также наглядно продемонстрируете особенности управления нагрузкой с использованием HPA.
- Объекты резервного копирования кластера
- Методы и способы резервного копирования
- Работа с Heptio Velero
- Примените Velero для создания резервных копий и восстановления приложений и данных в кластере Kubernetes
- Устраните проблемы в случае истечения срока жизни сертификатов компонента кластера
- Архитектура инфраструктуры открытых ключей (PKI) и методы применения в Kubernetes
- Сертификаты компонентов Kubernetes-кластера
- Ежегодная ротация сертификатов Kubernetes
- Ошибки и предупреждения
- Познакомитесь с сертификатами которые создаются для компонент кубернетес с помощью kubeadm и с процедурой TLS Bootstrap
- Познакомитесь с командами, которые используются для обновления сертификатов кластеров
- Примените на практике подходы к обновлению сертификатов в кубернетес развернутом с помощью kubeadm
- Операторы k8s
- Operator-sdk
- Примените комплект средств разработки (operator-sdk) для написания операторов Kubernetes
- Знакомство с Service Mesh и Istio
- Управление трафиком в Istio
- Политики и управление ресурсами
- Установите Istio с помощью инструмента istioctl, а также проверите его установка и базовую конфигурацию сервисов Istio
- Настроите шлюз Gateway, DestinationRule и VirtualService в Istio для маршрутизации трафика к нескольким уникальным сервисам
- Kubernetes-кластере, каждый из которых имеет свой уникальный вывод
- Используете ServiceEntry для добавления внешних сервисов и прокси-контейнер Sidecar для управления видимостью трафика между сервисами в Kubernetes-кластере
- Развернете тестовые сервисы, настроите отказоустойчивость и проведете тестирование с помощью команд в терминале и для проверки тайм-аута создадите искусственную задержку на одном из сервисов
- Мониторинг и трассировка сервисов с Istio
Результат: примените Kiali для визуализации взаимодействий между сервисами, чтобы наблюдать за сетевым трафиком в кластере Kubernetes - Безопасность в Kubernetes с Istio
Результат: поработаете с аутентификацией запросов (Request Authentication) для проверки JWT-токенов и AuthorizationPolicy для контроля доступа к сервисам - Развёртывание по канареечным методам и A/Б (Canary and A/B Deployments)
Результат: реализуете A/B и канареечного тестирования с помощью возможностей Istio
Марсель Ибраев
- Ведущий системный инженер в Core42
- Инженер с 12-летним стажем, прошёл долгий путь от системного администратора до инженера в DevOps
- Certified Kubernetes Administrator
- Внедрял Kubernetes для клиентов Southbridge
- Старший инженер в международном игровом холдинге, бывший сотрудник Megafon и Mail.ru Group
- В ИТ и информационной безопасности с 2012 года. Опыт работы на стороне вендора, интегратора, а также в телекоме в таких направлениях, как DevOps, DevSecOps, безопасность продукта и инфраструктуры, искусственный интеллект (AI), машинное обучение (ML)
- Автор и спикер ИТ-курсов
- Certified Kubernetes Administrator
- Руководитель направления DevOps в Anorbank
- PhD в сфере пучково-плазменных технологий, технике высоких напряжений
- Эксперт по связям с разработчиками QCloudy
- 3+ года в DevOps
- Работает с k8s и другими оркестраторами, как локально, так и на базе облачных решений
- Участник комитета по докладам на DevOpsDays Almaty 2023, 2024
- Инженер по надёжности (SRE) в нидерландской компании в туристической отрасли (TravelTech), ранее — старший инженер-разработчик в «Авито»
- 9+ лет в коммерческой разработке
- Работал в стартапах, на аутсорсе и в командах разработки продукта
- Пишет сложные проекты с нетривиальной бизнес-логикой на PHP, Python, Golang и немного на Java, Node.js
- Разрабатывал интерфейсную часть (фронтенд), настраивал CI/CD и AWS, оптимизировал серверную часть (бэкенд) и проводил технические собеседования
- Senior System Engineer в MTS Web Services
- В DevOps с 2019 года
- Опыт работы DevOps, SRE, DevSecOps, администратор базы данных (DBA)
- Работал в крупных технических компаниях и продуктовых командах
- Строил инфраструктуру под проекты, в публичных облаках и в on-premise (более 2000 узлов (нод) k8s)
- Спикер на различных конференциях
- Видеоуроки
📥 Скрытое содержимое! Войдите или Зарегистрируйтесь
