Kubernetes 1.18 состоит из 38 улучшений: 15 улучшений переходят в стабильную версию, 11 улучшений — в бета-версии и 12 — в альфа-версии.

Перед обновлением Kubernetes мы рекомендуем выполнить обновление kubectlдля оркестровки Kubernetes.
kubectlможно обновлять независимо от версии кластера Kubernetes, постоянно обновляйте, kubectlчтобы пользоваться всеми новыми функциями

Для установки или обновления kubectl: kubernetes.io/docs/tasks/tools/install-kubectl/.

Создание эфемерных контейнеров с помощью Kubectl для отладки (альфа)

Применить на стороне сервера — бета 2

kubectl apply --server-side

--force-conflicts

Улучшения Ingress API

• Новое  

  pathType

   поле, в котором можно указать, как должны быть сопоставлены входящие пути.
• Новый  

  IngressClass

   ресурс, который может указать, как контроллеры должны реализовывать Ingress.
• Поддержка подстановочных знаков в именах хостов.

Обновление кластера до Kubernetes 1.18

Перед обновлением кластера

Поймите свои потребности. Kubernetes следует политике поддержки N-2, что означает, что 3 последних минорных версии (в настоящее время 1.16, 1.17 и 1.18) продолжают получать исправления безопасности и ошибки, поэтому любая из этих версий с последним патчем считается «стабильной».

Если вам требуются новейшие функции, вам следует подумать об обновлении до последней минорной версии, в противном случае вам следует просто позаботиться о применении последних исправлений.

Убедитесь, что вы можете обновить

Обновление вашего кластера

Последний, но тем не менее важный

logical_and ::= expression "AND" logical_and
expression  ::= "NOT" expression / primary
primary     ::= "(" logical_or ")
              | rules
rules       ::= node relation node
              | node relation "ANY(" node+ ")"
              | node relation "ALL(" node+ ")“
              | node.property "=" value
              | node.property "!=" value
              | node.property "IN ANY(“ value+ “)"

Service IMPLEMENTS ANY('S3', 'SWIFT') AND (Service COMPLIES_WITH 'GDPR' OR Provider LOCATED_IN 'European Economic Area')

Service.type = 'object storage' AND Service LOCATED_IN ALL('France', 'Germany')

Бастион? Мы говорим об инди-игре?

Эта проблема

Парольная аутентификация

Аутентификация с открытым ключом

Аутентификация на основе PKI

Что нам нужно

• ДЕЛЕГАЦИЯ
  
  • Любая централизованная «группа безопасности», отвечающая за разрешение доступа для всей компании, недопустима. Он не масштабируется, как бы вы это ни делали.
  • Менеджеры или технические руководители должны быть полностью автономными в управлении своим собственным периметром, с точки зрения серверов / систем / устройств, а также в отношении тех лиц, которым предоставлен доступ в пределах их периметра.
  • Переход члена команды в другую команду или выход из компании должен быть полностью непрерывным, независимо от того, к каким системам у этого человека был доступ (помните о неоднородности выше?).
  • Предоставление доступа новому члену команды также должно быть беспрепятственным, чтобы он мог испачкать руки как можно быстрее.
  • Временное предоставление доступа кому-либо за пределами команды (или компании) к данному активу на ограниченный период времени должно быть простым.
  • Все это должно быть автономным

• АУДИТОРИЯ И ОТСЛЕЖИВАНИЕ
  
  • Каждое действие необходимо регистрировать с большим количеством деталей; будь то изменение зазора или подключение к системе; будь то успех или нет. Мы также хотим, чтобы он был доступен для некоторых SIEM .
  • Каждая терминальная сессия должна быть записана. Ага, вы правильно прочитали. Это та функция, которая вам никогда не понадобится… пока вы этого не сделаете.
  • Создание отчетов для проверки доступа должно быть простым.

• БЕЗОПАСНОСТЬ И УСТОЙЧИВОСТЬ
  
  • Мы должны обеспечить большую безопасность, чем простой прямой доступ по SSH без дополнительных затрат.
  • Любой компонент, который мы должны добавить, чтобы удовлетворить эти потребности, должен быть постоянно в рабочем состоянии, даже (и особенно), когда остальная часть вашей инфраструктуры разваливается, потому что именно тогда вам понадобится SSH.

Войдите в бастион!

• Администратор хочет подключиться к машине с именем server42
• Он не может использовать SSH напрямую со своего корпоративного ноутбука на server42, потому что server42 защищен брандмауэром и разрешает входящие SSH-соединения только из бастионных кластеров компании
• Вместо этого администратор запускает сеанс SSH с бастионом, используя на нем свою именную учетную запись. Его ноутбук согласовывает сеанс SSH, используя свой закрытый ключ. Это этап аутентификации: бастион гарантирует, что администратор, представляющий себя Джоном Админом, действительно является этим человеком, что возможно благодаря тому, что открытый ключ Джона Админа находится внутри его учетной записи-бастиона. Мы называем это * входящим * подключением.
• После аутентификации Джон Админ просит бастион открыть соединение с учетной записью root на server42.
• Бастион проверяет, разрешен ли Джон Админ доступ к учетной записи root на server42, это часть авторизации. Предположим, для этого примера, что Джон Админ действительно может подключаться к этому серверу, используя закрытый ключ бастиона его команды (подробнее об этом позже).
• Бастион инициирует SSH-соединение с server42 от имени Джона Админа, используя закрытый ключ бастиона своей команды.
• Брандмауэр server42 разрешает входящие SSH-соединения с бастиона, и соединение успешно согласовывается, поскольку открытый ключ бастиона группы администраторов John Admin установлен в учетной записи root server42. Мы называем это * исходящим * соединением.

Немного истории

• Вставьте код на свой веб-сайт, чтобы отслеживать ваши посещения, и отправьте эти результаты третьей стороне, чтобы они были обработаны.
• Сохраняйте контроль над своими данными: анализируйте собственные необработанные журналы для вычисления соответствующих показателей

• Urchin был куплен Google, и программное обеспечение больше не выпускается. Таким образом, с 2012 года он не развивался.
• Urchin основан на Flash Player. Поддержка Flash Player прекращена, и в 2020 году он будет остановлен компанией Adobe. Поддержки для него больше не будет.
• Это не лучший опыт.
• Urchin не позволяет пользователям визуализировать статистику субдоменов. (пример: app.mydomain.com)

Как мы предоставляем статистику вашего сайта?

• Возможность максимально быстро вычислить статистику всех веб-сайтов.
• Сводные данные для отображения анонимных данных.
• Не встраивайте код / ​​трекер на свой сайт
• Иметь простой в использовании интерфейс, соответствующий сегодняшним стандартам
• Дайте вам возможность видеть на уровне поддоменов вашу статистику
• Перенесите предыдущую статистику из Urchin, чтобы не потерять ее

Так что нового?

• Панель управления : сводка действий в вашем домене с помощью панели управления. 
• Браузеры : дополнительная техническая информация о различных браузерах и платформах, используемых для посещения вашего домена.
• Геолокация : какая страна / регион посещает ваш домен (данные анонимны, поэтому это только общий обзор).
• Запросы : Обзор самых просматриваемых страниц
• Роботы : Анализ ботов, посещающих ваш домен
• Статус : эволюция кода статуса и страницы с ошибками, которые следует изучить.

Было бы проще, если бы мы показали несколько картинок, не так ли?

Некоторые цифры

Хотите больше информации?

Защищая нашу свободу выбора

• Где хранятся наши медицинские данные, кто имеет к ним доступ и для чего они могут их использовать?
• Должны ли мы просто согласиться с тем, что несколько избранных игроков могут иногда полностью хранить свои основные правила в секрете?

Инициативы для надежной европейской цифровой экосистемы

• По всей Европе существует облачный проект Gaia-X — совместная инициатива государственных органов Германии и Франции, поддерживаемая их соответствующими экосистемами. Цель этого облачного проекта — определить оси влияния надежного европейского облака. Эта европейская экосистема, объединяющая интеграторов, производителей, игроков в телекоммуникационном секторе и организации, существует и объединена сильным набором ценностей.
• Во Франции существует Стратегический комитет промышленности, известный как Comité Stratégique de Filière (CSF). Он был инициирован Министерством финансов и промышленности, и такие игроки, как Atos, Oodrive, Outscale, OVHcloud, Scaleway и многие другие, подтвердили свою приверженность разработке надежных решений. Игроки интеграции, такие как CapGemini, GFI, Sopra и Thales, также много работали, чтобы предложить альтернативные, надежные суверенные решения.
• Что же касается владельцев бизнеса, то мы можем оценить успех призыва к действию от 9 апреля для улучшения цифрового суверенитета в Европе и во всем мире в будущем * (по инициативе Рафаэля Ришара (Неодиа), Паскаля Гаята (Лес Cas d'OR du Digital, Les Pionniers du Digital), Матье Хуг (Тилкаль) и Ален Гарнье (Jamespot)). Он был подписан более чем 100 владельцами бизнеса (включая меня и Октава от имени OVHcloud) и доказывает, насколько важно осознавать эти темы и насколько коллективное участие является ключевым элементом совместных действий.

Обязательство OVHcloud инвестировать и укреплять доверие в будущее

Open Trusted Cloud — каталог проверенных решений

• Выбор места для хранения и обработки данных, обеспечивающий соблюдение местного европейского законодательства.
• Соблюдение европейского «кодекса поведения» CISPE по защите данных ¹ .
• Соблюдение «Кодекса поведения» по обратимости данных при содействии Европейской комиссии (SWIPO IaaS ² )
• При необходимости, соответствие требованиям для хостинга медицинских данных (сертификация HDS) и хостинга финансовых данных (соответствие SOC / ACPR / EBA и сертификация PCI-DSS) во Франции и в некоторых европейских странах.
• И в некоторых случаях, если на решения ссылаются правильные организации, C2-хостинг для государственных услуг во Франции.

Что такое облачный образ?

Что такое метаданные cloud-init и instance ?

{
«ключи»: [
{
«данные»: «ssh-rsa AAAAB3NzaC1yc2AACABQCnZ0Ma2nE99GXH == jcollin@ovhcloud.com»,
«тип»: «ssh»,
«имя»: «ключ1»
}
],
«public_keys»: {
«key1»: «ssh-rsa AAAAB3NzaC1yc2AACABQCnZ0Ma2nE99GXH == jcollin@ovhcloud.com»
},
«uuid»: «12345678-1234-1234-1234-abcdefghijkl»,
«availability_zone»: «nova»,
«hostname»: «myhostname»,
«устройства»: [],
«launch_index»: 0,
«project_id»: «abcdefgh-4321-4321-1234-lkjihgfedcba»,
«name»: «myhostname»
}

Как это работает на BareMetal?

Изображение

Процесс

1. протирание дисков
2. настройка разделов и RAID (если есть)
3. создание раздела config-drive (об этом поговорим позже)
4. монтирование всех установочных разделов во временную папку
5. rsyncing изображения во временной папке
6. сделать его загрузочным (позже в этой части)

• если у дистрибутива должна быть лицензия, требуется один дополнительный шаг, например:

1. регистрация в RedHat © Subscription Manager '
2. перезагрузка
3. жду телефон

config-drive

Делаем образ загрузочным

• создание 

  /etc/fstab

• конфигурация grub с некоторыми конкретными предустановками
• установка инструментов типа lvm2 , mdadm
• создание 

  /boot/initramfs

  с дополнительными драйверами
• установка grub
• синхронизация 

  /boot/efi

  раздела

домашний телефон

Что делает все это сложным?

RedHat © это сложно?

• Сертифицированный ассортимент ADVANCE
• Сертифицированный ассортимент ИНФРА

Будущее

Что предлагает Cloud 66?

Почему это должно меня беспокоить?

Он работает с вашими Ruby, Node или контейнерными приложениями

• Аккаунт Cloud 66
• Git Repo, содержащий код вашего приложения
• Аккаунт в OVHcloud

Предоставьте информацию о своем приложении

Доступ к вашему репозиторию Git

Определение вашего приложения

Настройка вашего приложения

Разверните свое приложение в OVHcloud

Кто такое Cloud 66?

Что дальше?

Контекст

Механизм интерпретации

interpretability-engine --token XXX --deployment-url https://localhost:8080 --samples-path my_dataset.csv --features 0 1 2 --method 'pdp'

Пример в наборе данных iris

4.7,3.2,1.3,.2
4.6,3.1,1.5,.2
5,3.6,1.4,.2
5.4,3.9,1.7,.4
...

• Каждая строка — это экземпляр, а каждый столбец — это функция.
• Первый столбец соответствует 

  sepal.length

  , второй - 

  sepal.width

  , третий - 

  petal.length

  и последний - 

  petal.width

  .
• Порядок функции должен соответствовать порядку функции в экспортированном формате, см. Ограничения, подробно описанные ниже.

interpretability-engine --token xxx --deployment-url https://xxxx.c1.gra.serving.ai.ovh.net/iris/ --samples-path iris.csv --features 0 1 2 3 --feature-names "sepal.length" "sepal.width" "petal.length" "petal.width" --label-names "setosa" "vergicolor" "virginica"

Ограничения и будущая работа

Открытый источник

Ссылки

• christophm.github.io/interpretable-ml-book
• scikit-learn.org/stable/modules/partial_dependence.html

Ранее в блоге OVHcloud…

• Входные данные
• Архитектура нейронной сети, состоящая из «слоев»
• Вес
• Скорость обучения (шаг, используемый для настройки весов нейронной сети)

Зачем нам нужно распределенное обучение

Различные подходы к распределенному обучению

3 шпаргалки для лучшего понимания распределенного глубокого обучения

Дополнительная литература

Коротко о BigBlueButton

BBB @ ISEN

• Один выделенный сервер Rise-1 на передней панели, настроенный как масштабируемый балансировщик нагрузки Scalelite , подключенный к среде ISEN Ouest Moodle .
• Два выделенных сервера Infra-1 с 64 ГБ ОЗУ и гарантированной пропускной способностью 2 Гбит / с для видеоконференций BBB, а также для размещения виртуальных классов и встреч. Один сервер расположен в одном из наших центров обработки данных в Страсбурге, а другой — в Рубе — это распределяет нагрузку и обеспечивает непрерывность обслуживания в случае сбоя. 

BBB @ OVHcloud

• Процессор: Intel Xeon-E 2274G — 4 c / 8 t — 4 ГГц / 4,9 ГГц 
• Оперативная память: 32 ГБ
• Накопитель: 2 × 960 Go SSD, NVMe Soft RAID 
• Публичная сеть: 1 Гбит / с 
• Частная сеть: 2 Гбит / с 

• Нет необходимости устанавливать программное обеспечение локально (через веб-браузер).
• Идеальное качество звука и видео без задержки, 
• Очень просто и удобно.
• Доступны различные интерактивные режимы: доска, управление группами, совместное использование слайд-шоу и т. Д.
• Легкая интеграция с Moodle. 

BBB @ #Open_Solidarity