Azure顾问一直在寻求扩大我们的专业范围,我最近在悉尼参加了一个微软容器OpenHack。这次活动对我来说是一次巨大的成功,通过三天的一系列挑战,我快速的了解了Kubernetes (K8s)和Azure Kubernetes Service (AKS)。
微软OpenHack是一个开发者为中心的参与,其中各种各样的参与者(开放),通过使用基于真实的客户设计,模拟开发商旅程场景挑战动手实验(破解版)学习 - 来源:Microsoft
我在OpenHack的经历
大约80名与会者被分配到房间里的20张桌子上。我的团队有2名国际参会者和3名当地人(包括我自己)。每个人都是带着不同程度的K8s/AKS实际经验加入OpenHack的,所以事情注定是有趣的。OpenHack的基本主题是,在挑战面前没有明确的前进道路,“未知”因素一直存在。
该超级真棒黑客特攻队
- 陈 - 新加坡
- 永 - 韩国
- 克里斯 - 澳大利亚
- 俄罗斯人——澳大利亚
- 杰西(ME) - 澳大利亚
作为乐趣的一部分(因为我们被分配到Azure订阅的独立AAD登录),我们的团队使用了诸如此类的别名hacker1,hacker2,hackerX。在大多数的挑战,那感觉就好像我们真的做到了黑客共同的解决方案只是通过成功的标准。
并通过黑客我指的是过程:
- 通过代码样本或体系结构指导KB文章搜索
- 创建新.YAML配置文件将更改应用于K8S / AKS
- 通过VSCode测试中Kubectl和AzureCLI代码样本
- 排除抽象错误和/或连接/安全问题
- 通过知识库文章进行更多搜索
- 更多的代码测试
- 最后得到的东西的工作,满足成功标准
在K8S运行我们的应用程序的元素/ AKS有时会在我们的变化打破,我们不得不乐趣修复它。这是通过中断/修复一个巨大的学习机会,而不是东西,你会遇到很多时候在正常情况下。
在修改我们的K8S / AKS环境为每挑战的要求后,我们的教练要我们证明/证明每个成功的标准。例如:证明你提示群集访问与AAD进行身份验证。有一些紧张的时刻在这里我们等待的东西,什么都休息。
由于OpenHack(3天)的时间有限的重点是通过满足成功标准迅速完成挑战。这往往使我们实现任何可用的解决方案,因为没有足够的时间进行比较与选择请接受我最美好的祝愿,vs次优的决定。在这种情况下,我很乐意把咨询习惯放在一边,让事情继续进行下去。
我个人认为OpenHack结构工作,因为,类似的逃生室,就好像微软已经锁定你走进房间,走出你需要建立在Azure上工作Kubernetes环境。这种形式的比赛,在球队有有限的时间和资源来设计和展示他们的提交,也都是一个类似的理念发挥到了OpenHack如何运作。
挑战和主要概念
OpenHack集装箱由8个挑战组成,需要在3天内完成。不幸的是,我们这个超级棒的黑客团队已经没有时间来完成所有的任务了,但不管怎么说,这都是一次很好的学习经历。
我试着给每一个挑战,压缩到下面一个段落,包括联系的关键概念。
挑战1/1的天
我们使用搬运工人来构建、标记和推送图像Azure的容器注册(ACR)基于应用程序的源代码。码头工人也被用来拉,跑,并配置SQL Server容器在Azure上。
- https://docs.docker.com/get-started/
- https://docs.docker.com/engine/reference/builder/
- https://docs.docker.com/engine/reference/commandline/cli/
- https://docs.docker.com/network/
- https://docs.microsoft.com/en-us/azure/container-registry/
- https://docs.microsoft.com/en-us/azure/container-registry/container-registry-tutorial-quick-task
- https://docs.microsoft.com/en-us/sql/linux/quickstart-install-connect-docker?view=sql-server-2017&pivots=cs1-bash
- https://docs.microsoft.com/en-us/sql/linux/sql-server-linux-configure-docker?view=sql-server-ver15
挑战2/1天
我们创建了一个Azure的Kubernetes服务(AKS)集群,并且被配置环境变量对于应用程序的microservices连接到海誓山盟,然后将应用程序部署到AKS集群。
- https://docs.microsoft.com/en-us/azure/aks/concepts-clusters-workloads
- https://kubernetes.io/docs/concepts/services-networking/connect-applications-service/
- https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/
- https://kubernetes.io/docs/tasks/access-application-cluster/port-forward-access-application-cluster/
- https://kubernetes.io/docs/tasks/access-application-cluster/create-external-load-balancer/
- https://kubernetes.io/docs/reference/kubectl/overview/
- https://docs.microsoft.com/en-us/azure/aks/kubernetes-walkthrough
- https://docs.microsoft.com/en-us/cli/azure/aks?view=azure-cli-latest#az-aks-create
- https://docs.microsoft.com/en-gb/azure/aks/cluster-container-registry-integration
挑战3 /第2天
我们配置了专用VNET /子网为了AKS集群和设置Azure容器网络接口(CNI)。我们还设置AAD用于集群身份验证的集成。
- https://docs.microsoft.com/en-us/azure/aks/concepts-identity
- https://docs.microsoft.com/en-us/azure/aks/azure-ad-integration-cli
- https://docs.microsoft.com/en-us/azure/aks/control-kubeconfig-access
- https://docs.microsoft.com/en-us/cli/azure/ad?view=azure-cli-latest
- https://docs.microsoft.com/en-us/azure/aks/configure-azure-cni
挑战4 /第2天
我们配置Kubernetes名称空间和RBAC绑定将访问权分配给不同的应用程序团队。我们使用关键库FlexVolume和Azure KeyVault保护我们的环境的秘密。我们还创建Kubernetes入口控制器入站7层流量转发到我们的服务。
- https://kubernetes.io/docs/concepts/overview/working-with-objects/namespaces/
- https://github.com/Azure/kubernetes-keyvault-flexvol
- https://docs.microsoft.com/en-us/azure/aks/concepts-network#ingress-controllers
- https://docs.microsoft.com/en-us/azure/aks/ingress-basic
- https://docs.microsoft.com/en-us/azure/aks/operator-best-practices-cluster-security
- https://docs.microsoft.com/en-us/azure/aks/concepts-identity#role-based-access-controls-rbac
- https://docs.microsoft.com/en-us/azure/aks/azure-ad-rbac
挑战5 /第三天
我们使用AKS集群设置监视、日志记录和警报Azure监控的见解、实现资源限制通过YAML在新部署的应用程序(这是消耗资源),并测试了Kubernetes仪表板。
- https://docs.microsoft.com/en-us/azure/architecture/microservices/logging-monitoring
- https://docs.microsoft.com/en-us/azure/azure-monitor/insights/container-insights-overview
- https://docs.microsoft.com/en-us/azure/azure-monitor/insights/container-insights-agent-config
- https://docs.microsoft.com/en-us/azure/azure-monitor/insights/container-insights-log-search#search-logs-to-analyze-data
- https://docs.microsoft.com/en-us/azure/kusto/
- https://docs.microsoft.com/en-us/azure/azure-monitor/insights/container-insights-alerts
- https://kubernetes.io/docs/tasks/access-application-cluster/web-ui-dashboard/
挑战6 /第三天
我们看着增强集群安全通过采用限制流量和应用的访问。最终球队决定不追求这个挑战,由于时间的限制。
- https://kubernetes.io/docs/reference/access-authn-authz/service-accounts-admin/
- https://docs.microsoft.com/en-us/azure/aks/use-pod-security-policies
- https://docs.microsoft.com/en-us/azure/aks/use-network-policies
- https://docs.microsoft.com/en-us/azure/aks/api-server-authorized-ip-ranges
- https://docs.microsoft.com/en-us/azure/aks/limit-egress-traffic
- https://docs.microsoft.com/en-us/azure/sql-database/sql-database-vnet-service-endpoint-rule-overview
- https://docs.microsoft.com/en-us/cli/azure/network/vnet/subnet?view=azure-cli-latest#az-network-vnet-subnet-update
- https://docs.microsoft.com/en-us/cli/azure/sql/server/firewall-rule?view=azure-cli-latest
挑战7/3天
我们部署了AKS Windows群集和Windows Nodepools。我们还配置了污染了在Nodepools和Tolerations允许将Linux和Windows容器部署到相同的AKS集群。
- https://kubernetes.io/docs/setup/production-environment/windows/intro-windows-in-kubernetes/
- https://docs.microsoft.com/en-us/azure/aks/use-multiple-node-pools
- https://docs.microsoft.com/en-us/azure/aks/windows-container-cli
- https://docs.microsoft.com/en-us/virtualization/windowscontainers/about/
- https://docs.microsoft.com/en-us/azure/aks/use-multiple-node-pools#schedule-pods-using-taints-and-tolerations
挑战8/3天
我们研究了部署a服务网格使用其中之一进入AKS集群Linkerd或Istio。服务网会提供类似的功能交通管理和弹性将这些功能从应用层解耦到基础设施层。最终,我们在这里的时间不够了,无法让它工作。
- https://docs.microsoft.com/en-us/azure/aks/servicemesh-about
- https://linkerd.io/2/getting-started/
- https://docs.microsoft.com/en-us/azure/aks/servicemesh-linkerd-about
- https://docs.microsoft.com/en-us/azure/aks/servicemesh-linkerd-install?pivots=client-operating-system-linux
- https://istio.io/docs/concepts/what-is-istio/
- https://docs.microsoft.com/en-us/azure/aks/servicemesh-istio-about
- https://docs.microsoft.com/en-us/azure/aks/servicemesh-istio-install?pivots=client-operating-system-linux
闭幕词
我的第一个微软OpenHack是一个伟大的经验。我带着较低的期望进入公司,并在离开的时候获得了更多的Kubernetes和Azure Kubernetes服务的实践经验,这比我希望在3天内完成的要多。
你可以看看是否有您附近即将到来的事件 -https://openhack.microsoft.com/
干杯,杰西