Последнее коммерческое облако в России

Поначалу кажется: зачем заморачиваться с доступами, если у нас тут всего 5 человек и один кластер.Это очень распространённая и понятная точка зрения на старте. Когда команда маленькая, все друг друга знают, и кластер k8s воспринимается как общая песочница.Мы же тут все свои, это же бюрократия, каждый из нас же понимает, что делает, кластер общий как коммунизм. И вообще быстрее дать всем cluster-admin и не париться. Максимальные права — это же хорошая мировая практика, чтобы уж точно ни у кого не возникло проблем с доступом.А потом случайно удаляется namespace с продом.Например, потому что кто-то чистил dev, а это оказался не dev.Или запустил скрипт не в том окружении.И вот тут приходит понимание, что доверие — это круто. Но надо предохраняться. Человеческий фактор неизбежен. Стоимость конфигурирования ролевой модели доступа сильно меньше в сравнении со стоимостью одного такого случайного упса.

Включили 3 из 4 линков с провайдерами (еще одну кроссировку ждем). Это наш маршрутизатор ядра сети в новом ЦОДе IXcellerate Юг.

Мыслить контейнерами — это перестроить приложения. Например:— Пароли, ключи API, токены и другие конфигурационные данные не должны быть вшиты в код или лежать в локальных файлах конфигурации рядом с бинарником (типа config.ini). Приложение должно быть способно читать конфигурацию из переменных окружения, из выделенного хранилища, а пароли — из хранилища секретов.— Вместо записи логов в файлы на локальной файловой системе приложение должно писать все логи в стандартный вывод и стандартный вывод ошибок. Желательно, чтобы логи были структурированными.— Надо стремиться стать stateless. Любое состояние (сессии, данные пользователя, кеш) должно храниться во внешних системах: базах данных, кеш-серверах (Redis), распределённых хранилищах (тот же Ceph через Persistent Volumes).— Не надо использовать локальные диски ноды для хранения важных данных, которые должны пережить перезапуск пода.— Хорошо бы быстро запускаться, чтобы ускорить масштабирование и восстановление после сбоев.— Надо уметь корректно обрабатывать сигнал SIGTERM для завершения работы: завершить текущие транзакции, закрыть соединения, сохранить временные данные перед остановкой.— Приложение должно предоставлять HTTP-эндпоинты (или другие механизмы) для проверки его «здоровья» (liveness probe — жив ли ещё процесс) и готовности принимать трафик (readiness probe — готово ли приложение к работе).— Приложение должно само отдавать метрики о своей работе (количество запросов, время ответа, размер очереди, ошибки, бизнес-метрики).— Приложение должно учитывать, что оно работает в «эфемерной» среде, где экземпляры могут появляться и исчезать. Принципы The Twelve-Factor App — хорошее руководство.И это только начало.

Вчера весь день был на MSK-IX, и вот теперь телефон разрывается от спама. Второй день звонят с предложением телеком-оборудования в обычную сотовую сеть.Пожаловался коллеге и партнёру, он сказал, что его после визита в ресторан White Rabbit спамят эскортом. Видимо, достаточно показать, что вы можете себе позволить, и начнётся. В Вотсап. Причём заходы довольно тупорылые, "у нас какой-то сверхзакрытый клуб, элитное предложение только для вас" и голосовухи от дам.В этом всём мне очень интересно, откуда у продавцов салазок и коммутаторов мой телефон, и почему он попал к ним только после визита на M9. Возможно, это вопрос к моему сотовому оператору, но не уверен.Есть идеи, как они меня спалили, если публичным Wi-Fi я принципиально не пользуюсь?

Мыслить контейнерами — это не то же самое, что мыслить виртуалками. Раньше виртуалки были как домашние питомцы: каждую холили, лелеяли, берегли аптайм. Упал — паника, срочно лечим, возвращаем к жизни.С контейнерами всё иначе — это стадо. Один упал — другой поднялся. Упал ещё один — поднялся ещё один. И так по кругу, автоматом. Можно вывести хоть 10, хоть 100, потом поднять рядом — всё равно остальные продолжат. Вторая смена парадигмы мышления в том, что раньше хранили всё в одном месте — серверы на десятки сервисов. Теперь — один сервис, один контейнер. Приложения нарезаются на микросервисы, каждый живёт своей жизнью, независимо. Надо обновить? Переупаковали контейнер, задеплоили. И главное — это не модно, это уже стандарт. Так выпускается почти весь опенсорс.