В эфире — новости! ⚡️
▪️ Мировой рынок облаков за год вырос на $10 млрд — затраты на облачные ресурсы во II четверти 2023-го составили приблизительно $65 млрд. Это на $10 млрд больше по сравнению с аналогичным периодом предыдущего года. Таким образом, зафиксирован третий квартал подряд, когда рынок облачных вычислений вырос на $10 млрд в годовом исчислении.
▪️ Анонсирована стабильная версия Ceph Reef 18.2.0 — из важного: по состоянию на 07.08.23 невозможен билд Ceph этой версии на Debian GNU / Linux 12.0 (Bookworm) из-за ошибки на стороне Debian. С тех пор апдейтов не было.
▪️ C 16 августа 2023 г. GitLab будет требовать от пользователей, которые не используют двухфакторную аутентификацию ( 2FA ), подтвердить действительный адрес электронной почты при входе в систему.
▪️GitLab Container Registry теперь поддерживает артефакты Falcoctl OCI. Точнее это обновление войдет в релиз GitLab 16.3. Falcoctl — одна из новейших разработок сообщества Falco. Это инструмент командной строки, который позволяет управлять полным жизненным циклом правил и плагинов Falco, используя возможности OCI Artifacts.
▪️Про релиз Kubernetes 1.28 уже все знают, но обратите внимание на официальный блог k8s — после релиза там начинают выходить полезные статьи, рассказывающие про важнейшие обновления релиза, уже вышло три.
А еще Kubernetes представили репозитории, принадлежащие сообществу Kubernetes, для пакетов Debian и RPM: pkgs.k8s.io. Новые репозитории пакетов заменяют репозитории пакетов, размещенные в Google ( apt.kubernetes.io и yum.kubernetes.io), которые использовались, начиная с версии Kubernetes 1.5.
Что-то забыли? Дополняйте в комментариях :)
Всем DevOps и отличной недели! 🖖
#новости
▪️ Мировой рынок облаков за год вырос на $10 млрд — затраты на облачные ресурсы во II четверти 2023-го составили приблизительно $65 млрд. Это на $10 млрд больше по сравнению с аналогичным периодом предыдущего года. Таким образом, зафиксирован третий квартал подряд, когда рынок облачных вычислений вырос на $10 млрд в годовом исчислении.
▪️ Анонсирована стабильная версия Ceph Reef 18.2.0 — из важного: по состоянию на 07.08.23 невозможен билд Ceph этой версии на Debian GNU / Linux 12.0 (Bookworm) из-за ошибки на стороне Debian. С тех пор апдейтов не было.
▪️ C 16 августа 2023 г. GitLab будет требовать от пользователей, которые не используют двухфакторную аутентификацию ( 2FA ), подтвердить действительный адрес электронной почты при входе в систему.
▪️GitLab Container Registry теперь поддерживает артефакты Falcoctl OCI. Точнее это обновление войдет в релиз GitLab 16.3. Falcoctl — одна из новейших разработок сообщества Falco. Это инструмент командной строки, который позволяет управлять полным жизненным циклом правил и плагинов Falco, используя возможности OCI Artifacts.
▪️Про релиз Kubernetes 1.28 уже все знают, но обратите внимание на официальный блог k8s — после релиза там начинают выходить полезные статьи, рассказывающие про важнейшие обновления релиза, уже вышло три.
А еще Kubernetes представили репозитории, принадлежащие сообществу Kubernetes, для пакетов Debian и RPM: pkgs.k8s.io. Новые репозитории пакетов заменяют репозитории пакетов, размещенные в Google ( apt.kubernetes.io и yum.kubernetes.io), которые использовались, начиная с версии Kubernetes 1.5.
Что-то забыли? Дополняйте в комментариях :)
Всем DevOps и отличной недели! 🖖
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥6❤2
Классный open-source инструмент — Docker Bench 💻
Это скрипт, который проверяет десятки распространенных best practices развертывания контейнеров Docker в продакшене. Все тесты автоматизированы и основаны на CIS Docker Benchmark v1.5.0.
Для работы Docker Bench требуется Docker 1.13.0 или более поздние версии.
Лицензия Apache-2.0, 8.5k звездочек на GitHub 🌟
#open_source
Это скрипт, который проверяет десятки распространенных best practices развертывания контейнеров Docker в продакшене. Все тесты автоматизированы и основаны на CIS Docker Benchmark v1.5.0.
Для работы Docker Bench требуется Docker 1.13.0 или более поздние версии.
Лицензия Apache-2.0, 8.5k звездочек на GitHub 🌟
#open_source
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍4
Всем DevOps! 🖖
Вышло продолжение серии статей от Datadog про безопасность контейнеров: Container security fundamentals part 5: AppArmor and SELinux.
На протяжении всего цикла статей автор рассматривает различные уровни безопасности, позволяющие изолировать контейнеры не только от других процессов на хосте, но и от их базового хоста.
В новой статье рассказывается как AppArmor и SELinux могут обеспечить дополнительные ограничения за пределами других уровней изоляции, которые обсуждались ранее.
Предыдущие части серии можно найти здесь. Про SELinux тоже писали :)
#статьи
Вышло продолжение серии статей от Datadog про безопасность контейнеров: Container security fundamentals part 5: AppArmor and SELinux.
На протяжении всего цикла статей автор рассматривает различные уровни безопасности, позволяющие изолировать контейнеры не только от других процессов на хосте, но и от их базового хоста.
В новой статье рассказывается как AppArmor и SELinux могут обеспечить дополнительные ограничения за пределами других уровней изоляции, которые обсуждались ранее.
Предыдущие части серии можно найти здесь. Про SELinux тоже писали :)
#статьи
👍7🔥6
Немного про Mobile DevOps ♾
Кто-то считает, что Mobile DevOps'а — нет, есть только DevOps практики и методология, а где они используются — роли не играет. Но нам кажется, что своя специфика у Mobile DevOps есть.
Рекомендуем познакомиться с материалами по этой теме и сделать свои выводы. А еще лучше — поделиться мыслями в комментариях :)
Начать можно с двух статей:
⚙️ «Да кто такой этот ваш Mobile DevOps?» — интересный рассказ про типичные проблемы мобильных команд (да-да, вы можете узнать в них свои), а также что такое Mobile DevOps и как получить этот самый Mobile DevOps к вам в команду.
⚙️ «Зачем разработчикам приложений нужен Mobile DevOps?» — а в этой статье рассказывается про то, какие проблемы решает Mobile DevOps, почему он может принести большую пользу компаниям, стремящимся к полной интеграции IT и других операционных взаимодействий с их бизнес-целями.
▪️ После знакомства с общими статьями, можно углубиться в детали. Для этого отлично подойдет серия статей — как GitLab можно использовать для Mobile DevOps (часть 1, часть 2, часть 3)
▶️ А потом — посмотреть видео «Особенности SRE и Observability в мобильных приложениях». Так уж сложилось, что тема SRE получила наибольшее распространение именно в серверных средах — бэкенды, апишки, базы. Однако с ростом количества мобильных телефонов и увеличением их роли в жизни людей вопросы доступности, наблюдаемости и надёжности мобильных приложений стали вставать всё острее.
Что думаете про Mobile DevOps?❓
#статьи #видео
Кто-то считает, что Mobile DevOps'а — нет, есть только DevOps практики и методология, а где они используются — роли не играет. Но нам кажется, что своя специфика у Mobile DevOps есть.
Рекомендуем познакомиться с материалами по этой теме и сделать свои выводы. А еще лучше — поделиться мыслями в комментариях :)
Начать можно с двух статей:
⚙️ «Да кто такой этот ваш Mobile DevOps?» — интересный рассказ про типичные проблемы мобильных команд (да-да, вы можете узнать в них свои), а также что такое Mobile DevOps и как получить этот самый Mobile DevOps к вам в команду.
⚙️ «Зачем разработчикам приложений нужен Mobile DevOps?» — а в этой статье рассказывается про то, какие проблемы решает Mobile DevOps, почему он может принести большую пользу компаниям, стремящимся к полной интеграции IT и других операционных взаимодействий с их бизнес-целями.
▪️ После знакомства с общими статьями, можно углубиться в детали. Для этого отлично подойдет серия статей — как GitLab можно использовать для Mobile DevOps (часть 1, часть 2, часть 3)
▶️ А потом — посмотреть видео «Особенности SRE и Observability в мобильных приложениях». Так уж сложилось, что тема SRE получила наибольшее распространение именно в серверных средах — бэкенды, апишки, базы. Однако с ростом количества мобильных телефонов и увеличением их роли в жизни людей вопросы доступности, наблюдаемости и надёжности мобильных приложений стали вставать всё острее.
Что думаете про Mobile DevOps?
#статьи #видео
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥2
Happy Birthday, Linux! 💻
Про эту дату мы не могли забыть :) Вообще с днем Рождения Linux история неоднозначная, есть как минимум 4 возможные даты:
🗓 3 июля. В этот день Линус Торвальдс впервые упомянул о разработке новой ОС и попросил нужные спецификации POSIX в ньюс-группе Minix.
🗓 25 августа. В этот день было опубликовано письмо в ньюс-группе Minix с официальным анонсом проекта. Это наиболее подходящая дата, потому что есть официальный документ с датой, временем и т.д., считает Линус Торвальдс.
🗓 17 сентября. В этот день был выпущен релиз 0.01.
🗓 5 октября. День первого истинно публичного релиза, когда вышла версия 0.02 (+1 патч).
В честь праздника от души рекомендуем несколько классных материалов про Linux:
⚙️ Документальный фильм «Revolution OS» — про историю GNU, Linux, а также open source и free software-движения. Ссылка ведет на русскую озвучку, начинайте с 6:35, до этого момента автор озвучки рассказывает про себя.
⚙️ Видео «The mind behind Linux | Linus Torvalds» (en | en sub / ru sub) — 7 лет назад Линус Торвальдс дал небольшое интервью на TED и рассказал о своем видении технологий, философии open-source и немного о себе.
⚙️ Статья «Собираем и запускаем Linux-0.01 в Minix 1.5, (почти) как это делал Линус Торвальдс» — автор попытался повторить, насколько это возможно, действия Линуса Торвальдса по компиляции и запуску самой первой версии ядра Linux 0.01.
Live long and prosper, Linux! 🎉
Всем пятница и хороших выходных! 🖖
#новости #статьи #видео
Про эту дату мы не могли забыть :) Вообще с днем Рождения Linux история неоднозначная, есть как минимум 4 возможные даты:
🗓 3 июля. В этот день Линус Торвальдс впервые упомянул о разработке новой ОС и попросил нужные спецификации POSIX в ньюс-группе Minix.
🗓 25 августа. В этот день было опубликовано письмо в ньюс-группе Minix с официальным анонсом проекта. Это наиболее подходящая дата, потому что есть официальный документ с датой, временем и т.д., считает Линус Торвальдс.
🗓 17 сентября. В этот день был выпущен релиз 0.01.
🗓 5 октября. День первого истинно публичного релиза, когда вышла версия 0.02 (+1 патч).
В честь праздника от души рекомендуем несколько классных материалов про Linux:
⚙️ Документальный фильм «Revolution OS» — про историю GNU, Linux, а также open source и free software-движения. Ссылка ведет на русскую озвучку, начинайте с 6:35, до этого момента автор озвучки рассказывает про себя.
⚙️ Видео «The mind behind Linux | Linus Torvalds» (en | en sub / ru sub) — 7 лет назад Линус Торвальдс дал небольшое интервью на TED и рассказал о своем видении технологий, философии open-source и немного о себе.
⚙️ Статья «Собираем и запускаем Linux-0.01 в Minix 1.5, (почти) как это делал Линус Торвальдс» — автор попытался повторить, насколько это возможно, действия Линуса Торвальдса по компиляции и запуску самой первой версии ядра Linux 0.01.
Live long and prosper, Linux! 🎉
Всем пятница и хороших выходных! 🖖
#новости #статьи #видео
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉12👍6🔥4❤2
В эфире — новости! ⚡️
▪️Релиз ядра Linux 6.5. Еще не успели отпраздновать день Рождения Линукса, а уже можно отмечать релиз. В этом выпуске представлена поддержка MIDI 2.0 в ALSA, поддержка ACPI для архитектуры RISC-V и поддержка Landlock для UML (User-Mode Linux). Подробнее о всех новых функциях можно прочитать здесь.
▪️Релиз Grafana 10.1. Полный обзор всех обновлений можно найти в документации Grafana, журнале изменений или в документации «Что нового».
▪️Веб-сервер Angie рассказал про сходства и различия между Angie и Nginx. Например, Angie ориентируется на платформы, для которых “официальный” Nginx будет собираться еще нескоро (ALT Linux, Astra Linux SE и РЕД ОС, а также процессоры “Байкал” и “Эльбрус”). На самом деле ноги у этой заметки растут из обсуждения в комментариях, интересно получилось.
▪️Релиз Git 2.42. Для знакомства с обновлениями (и, что самое приятное, можно почитать сравнения с предыдущими версиями) рекомендуем эту заметку. А еще внутри много полезных ссылок.
Если мы пропустили что-то важное, обязательно дополняйте в комментариях :)
Всем DevOps и классной недели! 🔥
#новости
▪️Релиз ядра Linux 6.5. Еще не успели отпраздновать день Рождения Линукса, а уже можно отмечать релиз. В этом выпуске представлена поддержка MIDI 2.0 в ALSA, поддержка ACPI для архитектуры RISC-V и поддержка Landlock для UML (User-Mode Linux). Подробнее о всех новых функциях можно прочитать здесь.
▪️Релиз Grafana 10.1. Полный обзор всех обновлений можно найти в документации Grafana, журнале изменений или в документации «Что нового».
▪️Веб-сервер Angie рассказал про сходства и различия между Angie и Nginx. Например, Angie ориентируется на платформы, для которых “официальный” Nginx будет собираться еще нескоро (ALT Linux, Astra Linux SE и РЕД ОС, а также процессоры “Байкал” и “Эльбрус”). На самом деле ноги у этой заметки растут из обсуждения в комментариях, интересно получилось.
▪️Релиз Git 2.42. Для знакомства с обновлениями (и, что самое приятное, можно почитать сравнения с предыдущими версиями) рекомендуем эту заметку. А еще внутри много полезных ссылок.
Если мы пропустили что-то важное, обязательно дополняйте в комментариях :)
Всем DevOps и классной недели! 🔥
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥7
Немного про Kubernetes (как вы могли догадаться :)
Точнее про автоскейлинг.
Представьте, что приложение не может масштабироваться или использовать свои ресурсы по мере необходимости, при увеличении или уменьшении пользовательской нагрузки. Такое приложение, вероятно, не выжило бы на современном рынке. Но такую ситуацию можно преодолеть благодаря Kubernetes Autoscaling.
Механизмы автоскейлинга Kubernetes помогают автоматически масштабировать поды и ноды по мере необходимости. Есть три разных метода масштабирования:
• Horizontal Pod Autoscaler (HPA)
• Vertical Pod Autoscaler (VPA)
• Cluster Autoscaler (CA)
Чтобы подробнее разобраться в теме, рекомендуем очень подробный гайд, в котором рассматриваются все три метода (с отличными схемами).
#статьи
Точнее про автоскейлинг.
Представьте, что приложение не может масштабироваться или использовать свои ресурсы по мере необходимости, при увеличении или уменьшении пользовательской нагрузки. Такое приложение, вероятно, не выжило бы на современном рынке. Но такую ситуацию можно преодолеть благодаря Kubernetes Autoscaling.
Механизмы автоскейлинга Kubernetes помогают автоматически масштабировать поды и ноды по мере необходимости. Есть три разных метода масштабирования:
• Horizontal Pod Autoscaler (HPA)
• Vertical Pod Autoscaler (VPA)
• Cluster Autoscaler (CA)
Чтобы подробнее разобраться в теме, рекомендуем очень подробный гайд, в котором рассматриваются все три метода (с отличными схемами).
#статьи
👍7🔥2
Неделя потихоньку движется к концу, срочные задачи уже сделаны — можно немного расслабиться и почитать интересные статьи.
💻 Статья «The Cult of Kubernetes or how I got my blog onto it» — «Когда-то мир был простым местом. Раньше все имело смысл, или, по крайней мере, не было такого количества слоев, чтобы было трудно понять, что, черт возьми, происходит». Так начинается эта заметка и дальше автор рассказывает, почему зачем и как он перенес свой блог на Kubernetes. Отдельное уважение за самоироничный мем в начале статьи, даже продублируем в комментариях :)
Похожую историю (про использование k8s для личных проектов) можете найти здесь, мы их коллекционируем.
💻 Статья «Types of Technical Interviews» — не будет про софт-скиллы. Автор статьи — SRE-инженер, участвовал в процессе найма в свою компанию и прошел немало собеседований в своей жизни. Делится некоторыми мыслями о процессе найма, которые помогут подготовиться к собеседованию и знать, чего ожидать на каждом этапе.
🛠 Статья «Опыт многопоточной работы, или Как быть DevOps’ом для множества команд разработки» — об особенностях, с которыми столкнулся DevOps-инженер при взаимодействии с большим количеством команд разработки, о том, какие принципы помогли справиться с работой в таких условиях и, конечно, выводы — как получилось оптимизировать свою работу.
🧠 Статья «Why replacing programmers with AI won’t be so easy» — "Чтобы заменить программистов искусственным интеллектом, клиентам нужно начать точно описывать, чего они хотят. Мы в безопасности". Собственно, статья примерно об этом: о взаимосвязи между требованиями и программным обеспечением, а также о том, что нужно ИИ для получения хороших результатов.
Всем DevOps! 🖖
#статьи
Похожую историю (про использование k8s для личных проектов) можете найти здесь, мы их коллекционируем.
🛠 Статья «Опыт многопоточной работы, или Как быть DevOps’ом для множества команд разработки» — об особенностях, с которыми столкнулся DevOps-инженер при взаимодействии с большим количеством команд разработки, о том, какие принципы помогли справиться с работой в таких условиях и, конечно, выводы — как получилось оптимизировать свою работу.
🧠 Статья «Why replacing programmers with AI won’t be so easy» — "Чтобы заменить программистов искусственным интеллектом, клиентам нужно начать точно описывать, чего они хотят. Мы в безопасности". Собственно, статья примерно об этом: о взаимосвязи между требованиями и программным обеспечением, а также о том, что нужно ИИ для получения хороших результатов.
Всем DevOps! 🖖
#статьи
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍3🔥2
Недавно мы рассказывали про конференцию DevOops Days 2023 (до начала которой, кстати, осталась всего неделя) и получили комментарий: «жаль платно(»
Нам тоже ужасно жаль, но есть и хорошая новость — второй день онлайн-части конференции будет бесплатным для всех желающих🥳
• 10 докладов о Kubernetes, DNS и о применении Ops-практик.
• Дискуссии со спикерами и участниками после докладов.
• Чат с коллегами со всего мира.
Для получения бесплатного билета достаточно зарегистрироваться :)
Нам тоже ужасно жаль, но есть и хорошая новость — второй день онлайн-части конференции будет бесплатным для всех желающих
• 10 докладов о Kubernetes, DNS и о применении Ops-практик.
• Дискуссии со спикерами и участниками после докладов.
• Чат с коллегами со всего мира.
Для получения бесплатного билета достаточно зарегистрироваться :)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍6
+ 1 подкаст 🎧
На этот раз про Site Reliability Engineering. Есть текстовая расшифровка.
Владислав Юкис (Vladyslav Ukis), руководитель отдела R&D компании Siemens Healthineers / эксперт в области SRE, и ведущие подкаста говорят об отношениях между SRE и DevOps, балансе принципов SRE с организационной структурой и о том, как GenAI повлияет на SRE.
А еще Владислав Юкис писал про SRE для блога Stack Overflow. Можете глянуть эту заметку — «Who builds it and who runs it? SRE team topologies».
Другие подкасты можно найти по тегу #подкаст
На этот раз про Site Reliability Engineering. Есть текстовая расшифровка.
Владислав Юкис (Vladyslav Ukis), руководитель отдела R&D компании Siemens Healthineers / эксперт в области SRE, и ведущие подкаста говорят об отношениях между SRE и DevOps, балансе принципов SRE с организационной структурой и о том, как GenAI повлияет на SRE.
А еще Владислав Юкис писал про SRE для блога Stack Overflow. Можете глянуть эту заметку — «Who builds it and who runs it? SRE team topologies».
Другие подкасты можно найти по тегу #подкаст
👍5❤4🔥3
Всем DevOps! 🖖
Рекомендуем отличную схему дебага в Kubernetes. Разумеется, не покрывает все случаи, но с частью — точно поможет.
А можно просто распечатать и на стену повесить, украсить рабочее место ткскзт :)
На превью ~ 1/10 всей схемы, полностью и в хорошем качестве можно посмотреть здесь.
#интересное
Рекомендуем отличную схему дебага в Kubernetes. Разумеется, не покрывает все случаи, но с частью — точно поможет.
А можно просто распечатать и на стену повесить, украсить рабочее место ткскзт :)
На превью ~ 1/10 всей схемы, полностью и в хорошем качестве можно посмотреть здесь.
#интересное
👍12🔥8
Неплохая (и бесплатная!) возможность познакомиться с Yandex Cloud — проводят вебинар «Как начать работу в Yandex Cloud: пошаговая инструкция для новичков».
Расскажут про то, как устроена платформа Yandex Cloud, какие сервисы есть на платформе, что нужно для начала работы и как выполнить базовые задачи на старте: создать облако, запустить ВМ, настроить сеть и пр.
Когда? 07.09 в 16:00 МСК
Нужно зарегистрироваться.
P. S. Желаем классной пятницы и отличных выходных! 🔥
Расскажут про то, как устроена платформа Yandex Cloud, какие сервисы есть на платформе, что нужно для начала работы и как выполнить базовые задачи на старте: создать облако, запустить ВМ, настроить сеть и пр.
Когда? 07.09 в 16:00 МСК
Нужно зарегистрироваться.
P. S. Желаем классной пятницы и отличных выходных! 🔥
👍7🔥2🤮1
15.08.2023 Kubernetes представили репозитории, принадлежащие сообществу Kubernetes, для пакетов Debian и RPM: pkgs.k8s.iо. Новые репозитории пакетов заменяют репозитории пакетов, размещенные в Google (apt.kubernetes.iо и yum.kubernetes.iо).
С 31.08.23 Kubernetes официально прекращает поддержку устаревших репозиториев пакетов (apt.kubernetes.iо и yum.kubernetes.iо) и планирует заморозить содержимое репозиториев с 13 сентября 2023 года.
Это изменение затронет:
• пользователей, непосредственно устанавливающих исходные версии Kubernetes либо вручную, следуя официальным инструкциям по установке и обновлению, либо с помощью установщика Kubernetes, использующего пакеты, предоставленные проектом Kubernetes;
• пользователей Linux, которые выполняли установку
#новости
С 31.08.23 Kubernetes официально прекращает поддержку устаревших репозиториев пакетов (apt.kubernetes.iо и yum.kubernetes.iо) и планирует заморозить содержимое репозиториев с 13 сентября 2023 года.
Это изменение затронет:
• пользователей, непосредственно устанавливающих исходные версии Kubernetes либо вручную, следуя официальным инструкциям по установке и обновлению, либо с помощью установщика Kubernetes, использующего пакеты, предоставленные проектом Kubernetes;
• пользователей Linux, которые выполняли установку
kubectl с использованием устаревших репозиториев пакетов (как проверить).#новости
👍6
Всем DevOps! 🖖
Собрали 10 сканеров для поиска уязвимостей безопасности и неправильных конфигураций в Kubernetes, делимся!
Часть 1
▪️ Kube-bench
Репозиторий: https://github.com/aquasecurity/kube-bench
Kube-bench — это сканер, который проверяет, развернут ли Kubernetes в соответствии с best practices безопасности, определенными в CIS Kubernetes Benchmark. Kube-bench был удостоен награды InfoWorld Basic Award 2018.
Тесты настраиваются с помощью файлов YAML, что позволяет легко обновлять этот инструмент по мере развития спецификаций тестов.
Quick start
• Внутри контейнера:
Репозиторий: https://github.com/aquasecurity/kube-hunter
Kube-hunter ищет слабые места безопасности в кластерах Kubernetes. Этот инструмент был разработан для повышения осведомленности и наглядности проблем безопасности в средах Kubernetes. НЕ следует запускать kube-hunter в кластере Kubernetes, которым вы не владеете! Находясь за пределами кластера, kube-hunter сканирует домен или диапазон адресов на наличие открытых портов, связанных с Kubernetes, и проверяет наличие проблем конфигурации, которые делают ваш кластер уязвимым для злоумышленников.
Quick start
• На любой машине выберите удаленное сканирование и укажите IP-адрес или доменное имя вашего
кластера Kubernetes. Это даст вам обзор вашей настройки Kubernetes с точки зрения злоумышленника:
Репозиторий: https://github.com/Shopify/kubeaudit
Kubeaudit — это инструмент командной строки и пакет Go для аудита кластеров Kubernetes на предмет различных проблем безопасности.
Kubeaudit поставляется с большим списком «аудиторов», которые проверяют различные аспекты, такие как SecurityContext подов. Полный список аудиторов есть в репозитории.
Quick start
• Через Homebrew:
Репозиторий: https://github.com/octarinesec/kube-scan
С помощью Kube-scan можно получить оценку риска ваших рабочих нагрузок. Kube-scan дает оценку риска от 0 (нет риска) до 10 (высокий риск) для каждой рабочей нагрузки. Kube-scan предназначен для того, чтобы помочь понять, какие из рабочих нагрузок подвергаются наибольшему риску и почему, а также позволяет определить приоритетность обновлений политики безопасности вашего модуля, определений модулей и файлов манифеста, чтобы держать риск под контролем.
Quick start
Репозиторий: https://github.com/controlplaneio/kubesec
Kubesec — это open-source инструмент для оценки риска безопасности рабочих нагрузок Kubernetes на основе их конфигурации YAML.
Kubesec количественно оценивает риск для ресурсов Kubernetes, проверяя файлы конфигурации и файлы манифеста, используемые для развертываний и операций Kubernetes.
Quick start
• Docker Container:
• Kubernetes Admission Controller: https://github.com/controlplaneio/kubesec-webhook
• Kubectl Plugin: https://github.com/controlplaneio/kubectl-kubesec
Пример использования командной строки:
#open_source
Собрали 10 сканеров для поиска уязвимостей безопасности и неправильных конфигураций в Kubernetes, делимся!
Часть 1
▪️ Kube-bench
Репозиторий: https://github.com/aquasecurity/kube-bench
Kube-bench — это сканер, который проверяет, развернут ли Kubernetes в соответствии с best practices безопасности, определенными в CIS Kubernetes Benchmark. Kube-bench был удостоен награды InfoWorld Basic Award 2018.
Тесты настраиваются с помощью файлов YAML, что позволяет легко обновлять этот инструмент по мере развития спецификаций тестов.
Quick start
• Внутри контейнера:
docker run - pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest - version 1.18• Внутри Kubernetes-кластера:
kubectl apply -f https://github.com/aquasecurity/kube-bench/blob/main/job.yaml▪️ Kube-hunter
Репозиторий: https://github.com/aquasecurity/kube-hunter
Kube-hunter ищет слабые места безопасности в кластерах Kubernetes. Этот инструмент был разработан для повышения осведомленности и наглядности проблем безопасности в средах Kubernetes. НЕ следует запускать kube-hunter в кластере Kubernetes, которым вы не владеете! Находясь за пределами кластера, kube-hunter сканирует домен или диапазон адресов на наличие открытых портов, связанных с Kubernetes, и проверяет наличие проблем конфигурации, которые делают ваш кластер уязвимым для злоумышленников.
Quick start
• На любой машине выберите удаленное сканирование и укажите IP-адрес или доменное имя вашего
кластера Kubernetes. Это даст вам обзор вашей настройки Kubernetes с точки зрения злоумышленника:
pip install kube-hunter• На машине в кластере:
docker run -it — rm — network host aquasec/kube-hunter• В поде внутри кластера:
kubectl create -f https://github.com/aquasecurity/kube-hunter/blob/main/job.yaml▪️ Kubeaudit
Репозиторий: https://github.com/Shopify/kubeaudit
Kubeaudit — это инструмент командной строки и пакет Go для аудита кластеров Kubernetes на предмет различных проблем безопасности.
Kubeaudit поставляется с большим списком «аудиторов», которые проверяют различные аспекты, такие как SecurityContext подов. Полный список аудиторов есть в репозитории.
Quick start
• Через Homebrew:
brew install kubeaudit• Через Helm:
helm upgrade — install kubeaudit secureCodeBox/kubeaudit▪️ Kube-scan
Репозиторий: https://github.com/octarinesec/kube-scan
С помощью Kube-scan можно получить оценку риска ваших рабочих нагрузок. Kube-scan дает оценку риска от 0 (нет риска) до 10 (высокий риск) для каждой рабочей нагрузки. Kube-scan предназначен для того, чтобы помочь понять, какие из рабочих нагрузок подвергаются наибольшему риску и почему, а также позволяет определить приоритетность обновлений политики безопасности вашего модуля, определений модулей и файлов манифеста, чтобы держать риск под контролем.
Quick start
kubectl apply -f https://raw.githubusercontent.com/octarinesec/kube-scan/master/kube-scan.yamlЗатем установите для браузера значение
kubectl port-forward --namespace kube-scan svc/kube-scan-ui 8080:80
http://localhost:8080
▪️ KubesecРепозиторий: https://github.com/controlplaneio/kubesec
Kubesec — это open-source инструмент для оценки риска безопасности рабочих нагрузок Kubernetes на основе их конфигурации YAML.
Kubesec количественно оценивает риск для ресурсов Kubernetes, проверяя файлы конфигурации и файлы манифеста, используемые для развертываний и операций Kubernetes.
Quick start
• Docker Container:
docker.io/kubesec/kubesec:v2 https://hub.docker.com/r/kubesec/kubesec/tags• Linux/MacOS/Win binary: https://github.com/controlplaneio/kubesec/releases
• Kubernetes Admission Controller: https://github.com/controlplaneio/kubesec-webhook
• Kubectl Plugin: https://github.com/controlplaneio/kubectl-kubesec
Пример использования командной строки:
kubesec scan k8s-deployment.yaml#open_source
🔥13👍4❤1
Часть 2
▪️ Kube-score
Репозиторий: https://github.com/zegl/kube-score
Kube-score выполняет статический анализ кода для всех определений объектов Kubernetes. Результатом является список рекомендаций о том, что можно улучшить, чтобы сделать приложение более безопасным и отказоустойчивым.
Онлайн-демо
Quick start
• Docker:
▪️ KubiScan
Репозиторий: https://github.com/cyberark/KubiScan
KubiScan сканирует кластеры Kubernetes на наличие рискованных разрешений в модели разрешений управления доступом на основе ролей (RBAC) Kubernetes. KubiScan может сканировать поды, содержащие токены привилегированных сервисных учетных записей, которые можно использовать для атак с целью повышения привилегий или для компрометации кластера.
Quick start
Установка:
• Поиск подов с привилегированной учетной записью:
Репозиторий: https://github.com/Shopify/krane
Krane — это инструмент командной строки, написанный на Ruby. Krane — простой инструмент для статического анализа Kubernetes RBAC. Он выявляет потенциальные риски безопасности в конструкции RBAC K8 и дает предложения по их снижению. Панель управления Krane отображает текущее состояние безопасности RBAC и позволяет перемещаться по определению.
Quick start
Установка:
Репозиторий: https://github.com/inovex/illuminatio
Illuminatio — утилита для автоматического тестирования сетевых политик Kubernetes. Просто запустите illuminatio clean run, и illuminatio просканирует ваш кластер Kubernetes на наличие сетевых политик, создаст соответствующие тестовые примеры и выполнит их, чтобы определить, действуют ли политики.
Quick start
Установка:
Репозиторий: https://github.com/Erezf-p/kubei
В кластере Kubernetes Kubei используется для анализа непосредственных угроз. Большая часть Kubei написана на языке программирования Go.
Kubei — это инструмент сканирования уязвимостей и сравнительного анализа CIS Docker, который позволяет пользователям получить точную и немедленную оценку рисков своих кластеров Kubernetes.
Quick start
Для развертывания Kubei в кластере:
Чтобы проверить состояние Kubei и ход текущего сканирования, выполните следующую команду:
#open_source
▪️ Kube-score
Репозиторий: https://github.com/zegl/kube-score
Kube-score выполняет статический анализ кода для всех определений объектов Kubernetes. Результатом является список рекомендаций о том, что можно улучшить, чтобы сделать приложение более безопасным и отказоустойчивым.
Онлайн-демо
Quick start
• Docker:
docker pull zegl/kube-score• Homebrew:
brew install kube-score• Krew:
kubectl krew install scoreПолный список проверок см. в README_CHECKS.md
▪️ KubiScan
Репозиторий: https://github.com/cyberark/KubiScan
KubiScan сканирует кластеры Kubernetes на наличие рискованных разрешений в модели разрешений управления доступом на основе ролей (RBAC) Kubernetes. KubiScan может сканировать поды, содержащие токены привилегированных сервисных учетных записей, которые можно использовать для атак с целью повышения привилегий или для компрометации кластера.
Quick start
Установка:
- alias kubiscan='python3 https://github.com/cyberark/KubiScan/blob/master/KubiScan.pyПримеры
• Поиск подов с привилегированной учетной записью:
kubiscan -rp• Проверка наличия этой учетной записи в списке рискованных:
kubiscan -rs• Поиск всех правил, которые есть в этой учетной записи службы:
kubiscan -aaes “risky-sa” -ns “default” -k “ServiceAccount”▪️ Krane
Репозиторий: https://github.com/Shopify/krane
Krane — это инструмент командной строки, написанный на Ruby. Krane — простой инструмент для статического анализа Kubernetes RBAC. Он выявляет потенциальные риски безопасности в конструкции RBAC K8 и дает предложения по их снижению. Панель управления Krane отображает текущее состояние безопасности RBAC и позволяет перемещаться по определению.
Quick start
Установка:
gem install kraneЗатем:
krane deploy <app’s namespace> <kube context>
▪️ IlluminatioРепозиторий: https://github.com/inovex/illuminatio
Illuminatio — утилита для автоматического тестирования сетевых политик Kubernetes. Просто запустите illuminatio clean run, и illuminatio просканирует ваш кластер Kubernetes на наличие сетевых политик, создаст соответствующие тестовые примеры и выполнит их, чтобы определить, действуют ли политики.
Quick start
Установка:
pip3 install illuminatioИли через плагин Kubectl:
-> ln -s $(which illuminatio) /usr/local/bin/kubectl-illuminatioМожно проверять:
-> kubectl plugin list — name-only | grep illuminatio
illuminatio clean run
▪️ KubeiРепозиторий: https://github.com/Erezf-p/kubei
В кластере Kubernetes Kubei используется для анализа непосредственных угроз. Большая часть Kubei написана на языке программирования Go.
Kubei — это инструмент сканирования уязвимостей и сравнительного анализа CIS Docker, который позволяет пользователям получить точную и немедленную оценку рисков своих кластеров Kubernetes.
Quick start
Для развертывания Kubei в кластере:
kubectl apply -f https://raw.githubusercontent.com/Portshift/kubei/master/deploy/kubei.yamlЗатем перенаправьте порты в веб-приложение Kubei:
kubectl -n kubei port-forward $(kubectl -n kubei get pods -lapp=kubei -o jsonpath=’{.items[0].metadata.name}’) 8080
В браузере перейдите по адресу http://localhost:8080/view/ и нажмите «GO», чтобы запустить сканирование.Чтобы проверить состояние Kubei и ход текущего сканирования, выполните следующую команду:
kubectl -n kubei logs $(kubectl -n kubei get pods -lapp=kubei -o jsonpath=’{.items[0].metadata.name}’)
Обновите страницу (http://localhost:8080/view/), чтобы обновить результаты.#open_source
🔥5👍4
Всем DevOps! 🖖
Наверняка вы слышали про историю с OpenTF.
Вкратце: четыре недели назад HashiCorp перевела Terraform (и другие свои продукты) с лицензии открытого исходного кода на лицензию Business Source (BUSL). Три недели назад объединение разных компаний выпустило манифест OpenTF, в котором просило HashiCorp вернуться к лицензии с открытым исходным кодом. Две недели назад, не получив ответа от HashiCorp, был создан приватный форк Terraform и заявлено, что он будет сделан публичным через 1-2 недели.
Собственно, это и случилось🥳
Форк OpenTF уже доступен — ссылка на репозиторий.
Релизов пока нет, почему — можно узнать здесь.
#новости
Наверняка вы слышали про историю с OpenTF.
Вкратце: четыре недели назад HashiCorp перевела Terraform (и другие свои продукты) с лицензии открытого исходного кода на лицензию Business Source (BUSL). Три недели назад объединение разных компаний выпустило манифест OpenTF, в котором просило HashiCorp вернуться к лицензии с открытым исходным кодом. Две недели назад, не получив ответа от HashiCorp, был создан приватный форк Terraform и заявлено, что он будет сделан публичным через 1-2 недели.
Собственно, это и случилось
Форк OpenTF уже доступен — ссылка на репозиторий.
Релизов пока нет, почему — можно узнать здесь.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥5
Среда, конечно, маленькая пятница и хочется чего-нибудь ненапряжного, но такая классная серия статей не может ждать до четверга.
«Сети для самых маленьких» (почти, предполагается, что вы, как минимум, читали об эталонной модели OSI, о стеке протоколов TCP/IP, знаете о типах существующих VLAN’ов, о наиболее популярном сейчас port-based VLAN и об IP адресах)
Ну вы просто посмотрите на содержание!🥰
0. Планирование
1. Подключение к оборудованию cisco
2. Коммутация
3. Статическая маршрутизация
4. L2 и STP
5. NAT и ACL
6. Динамическая маршрутизация
7. VPN
8. BGP и IP SLA
8.1. Микровыпуск №3. IBGP
9. Мультикаст
10. Базовый MPLS
11. MPLS L3VPN
11.1. Микровыпуск №6. MPLS L3VPN и доступ в Интернет
12. MPLS L2VPN
12.1. Микровыпуск №7. MPLS EVPN
12.2. Микровыпуск №8. EVPN Multihoming
13. MPLS Traffic Engineering
14. Путь пакета
15. QoS
ECMP и балансировка в датацентрах
Как построить Гугл. Или сети современных датацентров
Где сохранить пакет? Чипы и буферы
Ко многим частям даже есть видео. В общем, замечательный фундаментальный цикл (первая статья — 2012 год, последняя — 2020), рекомендуем.
➡️ Приятного чтения!
#статьи
«Сети для самых маленьких» (почти, предполагается, что вы, как минимум, читали об эталонной модели OSI, о стеке протоколов TCP/IP, знаете о типах существующих VLAN’ов, о наиболее популярном сейчас port-based VLAN и об IP адресах)
Ну вы просто посмотрите на содержание!
0. Планирование
1. Подключение к оборудованию cisco
2. Коммутация
3. Статическая маршрутизация
4. L2 и STP
5. NAT и ACL
6. Динамическая маршрутизация
7. VPN
8. BGP и IP SLA
8.1. Микровыпуск №3. IBGP
9. Мультикаст
10. Базовый MPLS
11. MPLS L3VPN
11.1. Микровыпуск №6. MPLS L3VPN и доступ в Интернет
12. MPLS L2VPN
12.1. Микровыпуск №7. MPLS EVPN
12.2. Микровыпуск №8. EVPN Multihoming
13. MPLS Traffic Engineering
14. Путь пакета
15. QoS
ECMP и балансировка в датацентрах
Как построить Гугл. Или сети современных датацентров
Где сохранить пакет? Чипы и буферы
Ко многим частям даже есть видео. В общем, замечательный фундаментальный цикл (первая статья — 2012 год, последняя — 2020), рекомендуем.
➡️ Приятного чтения!
#статьи
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍8❤4👎1
Всем DevOps! 🖖
По традиции начнем эту неделю с новостей.
▪️Мы как-то писали, что у Yandex Cloud есть бесплатные курсы. Сейчас появилось еще несколько новых, например, курс по работе с базой данных ClickHouse. Вообще у этих курсов три больших раздела: «DevOps-инженерам», «Data-инженерам и аналитикам», «Security и DevSecOps-инженерам» — посмотрите, вдруг мы что-то не назвали, а вам будет интересно.
▪️Релиз Grafana Loki 2.9. Информацию об изменениях в релизе можно найти в Release Notes. И не забудьте ознакомиться с руководством по обновлению.
▪️Исследований про DevOps и облачные технологии в России становится всё больше, что не может не радовать. Появилось исследование о применении облачных технологий в промышленности. В нём участвовали представители 15 крупнейших промышленных холдингов России.
🔗 Если интересуетесь этой темой, рекомендуем статью «Как DevOps помог исправить 30 точек операционной неэффективности в промышленности».
▪️Релиз Argo 1.6. В этом выпуске было много небольших улучшений и изменений. Подробную информацию вы можете найти здесь и в Changelog.
Если мы пропустили что-то важное, обязательно дополняйте в комментариях :)
Желаем отличной недели!🔥
#новости
По традиции начнем эту неделю с новостей.
▪️Мы как-то писали, что у Yandex Cloud есть бесплатные курсы. Сейчас появилось еще несколько новых, например, курс по работе с базой данных ClickHouse. Вообще у этих курсов три больших раздела: «DevOps-инженерам», «Data-инженерам и аналитикам», «Security и DevSecOps-инженерам» — посмотрите, вдруг мы что-то не назвали, а вам будет интересно.
▪️Релиз Grafana Loki 2.9. Информацию об изменениях в релизе можно найти в Release Notes. И не забудьте ознакомиться с руководством по обновлению.
▪️Исследований про DevOps и облачные технологии в России становится всё больше, что не может не радовать. Появилось исследование о применении облачных технологий в промышленности. В нём участвовали представители 15 крупнейших промышленных холдингов России.
🔗 Если интересуетесь этой темой, рекомендуем статью «Как DevOps помог исправить 30 точек операционной неэффективности в промышленности».
▪️Релиз Argo 1.6. В этом выпуске было много небольших улучшений и изменений. Подробную информацию вы можете найти здесь и в Changelog.
Если мы пропустили что-то важное, обязательно дополняйте в комментариях :)
Желаем отличной недели!
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍4🔥2
Целый сайт, посвященный безопасности контейнеров!
Кто автор? Да-да, Рори МакКьюн, мы уже писали про его блог и рассказывали про его серию статей «Container security fundamentals».
На этом сайте собрано много полезных материалов — Container CVE List, списки инструментов для обеспечения безопасности контейнеров, стандарты безопасности, чеклисты...
В общем, очень полезная ссылка, которую стоит сохранить,чтобы больше никогда не открывать, и поделиться с коллегами 🤝
#блог
Кто автор? Да-да, Рори МакКьюн, мы уже писали про его блог и рассказывали про его серию статей «Container security fundamentals».
На этом сайте собрано много полезных материалов — Container CVE List, списки инструментов для обеспечения безопасности контейнеров, стандарты безопасности, чеклисты...
В общем, очень полезная ссылка, которую стоит сохранить,
#блог
👍8🔥3😁2
Секретный пост! Точнее, пост про секреты.
И здесь хочется просто порекомендовать две отличные статьи:
▪️Статья «How Secrets Leak in CI/CD Pipelines» — как происходит утечка секретов в пайплайнах.
▪️Статья «How Secrets Leak out of Docker Images» — как происходит утечка секретов из Docker-образов.
#статьи
И здесь хочется просто порекомендовать две отличные статьи:
▪️Статья «How Secrets Leak in CI/CD Pipelines» — как происходит утечка секретов в пайплайнах.
▪️Статья «How Secrets Leak out of Docker Images» — как происходит утечка секретов из Docker-образов.
#статьи
👍9🔥2
Приручаем GitLab 💻
«Каждый раз, подключаясь на проект, где используется GitLab, видишь одни и те же ошибки или проблемы. На Habr можно найти множество информации, связанной с кейсами, туториалами или просто интересными историями про GitLab. Но сколько бы ни было написано, найти место где было бы собрано всё и сразу — не получилось».
Алексей, DevOps-инженер компании Nixys, решил это исправить и написал статью, в которой рассказал про прикольные фишки Gitlab и инциденты, которые упростят вашу жизнь.
➡️ Приятного чтения!
#статья_Nixys
«Каждый раз, подключаясь на проект, где используется GitLab, видишь одни и те же ошибки или проблемы. На Habr можно найти множество информации, связанной с кейсами, туториалами или просто интересными историями про GitLab. Но сколько бы ни было написано, найти место где было бы собрано всё и сразу — не получилось».
Алексей, DevOps-инженер компании Nixys, решил это исправить и написал статью, в которой рассказал про прикольные фишки Gitlab и инциденты, которые упростят вашу жизнь.
➡️ Приятного чтения!
#статья_Nixys
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥7❤3