Kubeshark — мониторинг и анализ Kubernetes

Kubershark был хорошим инструментов до ~39 версии. Так как он был бесплатным. А теперь в бесплатной версии до двух нод кластера. Поэтому данный продукт стал бесполезным!

Kubernetes в НСПК

Правильней было написать не yaml-файл, а crd-объект. Как пример:

kind: Team
metadata:
  name: test-namepaspace
spec:
  nodeselector: test-worker=role
  max_pods: 50
  max_services: 20
  max_loadbalancers: 2
  max_nodeports: 10
  resourcequota:
    limits:
      memory: 20Gi
      cpu: 2000m
    requests:
      memory: 10Gi
      cpu: 1000m
  limitrange:
    max:
      cpu: 2
      memory: 1Gi
    min:
      cpu: 200m
      memory: 128Mi
  pvc:
    min: 200Mi
    max: 5Gi
  admins:
    - kubernetes-test-adm
  developer:
    - kubernetes-test-dev
  networkpolicy:
     default: true

Kubernetes в НСПК

В нашей инфраструктуре мы используем приватные Container Registry. При тестировании containerd в Kubernetes у нас возникали трудности с использованием нескольких Container Registry. С cri-o таких проблем не обнаружили.

Триллер о настройке серверов без чудес с Configuration Management

Общий цикл проверок по всем хостам конкретно в этой инсталляции укладывается в 1-1,5 часа.

Получается в этот промежуток нельзя создать и настроить VM, так как у вас single instance. И чем больше у вас будет VM, тем больше будет данный помежуток. Что не есть хорошо!

Mitogen вам поможет ускорить работу Ansible, но лучше уходить от одного инстанса.

Триллер о настройке серверов без чудес с Configuration Management

Мы реализовали это с помощью периодических запусков всех Ansible playbook с опцией «--check» на production-серверах.

Сколько по времени длится такой job? Запуск идет на отдельный инстанс AWX?

Как мы автоматизировали весь жизненный цикл серверов

Удаляем VM вручную. Учет не делали через VMWare по причине того, что у нас имеются и физические сервера. А хотелось сделать универсально для всего. Поэтому учет серверов реализован через ansible. С api больших проблем не наблюдали, при изменениях в инфраструктуре тестируем.
Все верно, у snmp ограниченные возможности. Но у ipmi есть REST API, поэтому планируем в ближайшее время перейти на него.

Как мы автоматизировали весь жизненный цикл серверов

Обновление прошивок, как и ОС, происходит на периодической основе.
Версии прошивок тоже централизованно собираются и анализируются на наличие известных уязвимостей, обновляются регулярно, хоть и в ручном режиме.
Все события, включая IPMI, отправляются и анализируются в SIEM.
Все логи приходят в системы мониторинга и аналитики.
В нашем случае, у нас полная автоматизация цикла виртуальной фермы серверов.