Маленькая шпаргалка 💻
Как узнать актуальные CVE в k8s? Обратиться к Official CVE Feed.
Эту же информацию можно извлечь в формате JSON:
не идут дела.
#интересное
Как узнать актуальные CVE в k8s? Обратиться к Official CVE Feed.
Эту же информацию можно извлечь в формате JSON:
curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/index.json
Или XML:curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/feed.xml
Приятно, что для каждой CVE указывается ссылка на GitHub Issue и можно посмотреть как #интересное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Всем DevOps! 🖖
Уверены, что вы знакомы с Kubernetes (его еще называют k8s). У Kubernetes много плюсов, но есть один существенный минус — кластер Kubernetes немного сложен в настройке и требует значительных ресурсов, что затрудняет развертывание на локальной машине для обучения или разработки. В общем, не всегда возможно перейти на полноценный k8s. К счастью, на этот случай есть более легкое решение в виде k3s.
Про него и пойдет речь в сегодняшних постах. Разумеется, потом оформим все части в одну подборку 😉
Из истории k3s
Во время создания Rio (одна из разработок для kubernetes от Rancher Labs), разработчик Даррен Шепард был разочарован, что для тестирования постоянно требовалось запускать новый кластер Kubernetes. Он знал, что это занимает много времени и, если он сможет запускать кластер быстрее, то сможет выделять больше времени на написание кода и новые фичи. Даррен был хорошо знаком с исходным кодом Kubernetes и начал его разбирать, удаляя все ненужные компоненты, чтобы обеспечить быстрый запуск.
В 2019 году компания Rancher Labs объявила о запуске нового open source-проекта k3s, который представлял собой легкий и простой в установке дистрибутив k8s, предназначенный для разработчиков, ищущих способ запуска Kubernetes на платформах с ограниченными ресурсами.
Чтобы адаптировать Kubernetes к слабому железу, Rancher Labs:
• Удалили старый и неиспользуемый код. По словам разработчиков из кода было вырезано порядка 1000 строк;
• Вместо Docker использовали conteinerd;
• Добавили поддержку Kine, в качестве хранилища по умолчанию;
• Удалили драйвера облачных провайдеров.
*️⃣ 1/4: продолжение следует :)
#лонгрид #open_source
Уверены, что вы знакомы с Kubernetes (его еще называют k8s). У Kubernetes много плюсов, но есть один существенный минус — кластер Kubernetes немного сложен в настройке и требует значительных ресурсов, что затрудняет развертывание на локальной машине для обучения или разработки. В общем, не всегда возможно перейти на полноценный k8s. К счастью, на этот случай есть более легкое решение в виде k3s.
Про него и пойдет речь в сегодняшних постах. Разумеется, потом оформим все части в одну подборку 😉
Из истории k3s
Во время создания Rio (одна из разработок для kubernetes от Rancher Labs), разработчик Даррен Шепард был разочарован, что для тестирования постоянно требовалось запускать новый кластер Kubernetes. Он знал, что это занимает много времени и, если он сможет запускать кластер быстрее, то сможет выделять больше времени на написание кода и новые фичи. Даррен был хорошо знаком с исходным кодом Kubernetes и начал его разбирать, удаляя все ненужные компоненты, чтобы обеспечить быстрый запуск.
В 2019 году компания Rancher Labs объявила о запуске нового open source-проекта k3s, который представлял собой легкий и простой в установке дистрибутив k8s, предназначенный для разработчиков, ищущих способ запуска Kubernetes на платформах с ограниченными ресурсами.
Чтобы адаптировать Kubernetes к слабому железу, Rancher Labs:
• Удалили старый и неиспользуемый код. По словам разработчиков из кода было вырезано порядка 1000 строк;
• Вместо Docker использовали conteinerd;
• Добавили поддержку Kine, в качестве хранилища по умолчанию;
• Удалили драйвера облачных провайдеров.
#лонгрид #open_source
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍7🔥7🌚2
Отличия от k8s
• В k3s нет четкого различия между мастер и воркер нодами. Управление подами происходит на любой ноде, независимо от роли, которую они играют. Таким образом, понятия мастер и воркер нод не применимы к кластеру k3s
• Отсутствуют необязательные компоненты Kubernetes, например, плагины объема хранилища и API-интерфейсы облачных провайдеров.
• Добавлены некоторые элементы, включая containerd, Flannel, CoreDNS, CNI, ingress controller Traefik, локальное хранилище данных, встроенный сервис Load Balancer. Все эти элементы упакованы в один бинарный файл и выполняются в рамках одного процесса. Дистрибутив также поддерживает Helm-charts из коробки.
• K3s не имеет внешних зависимостей. Это означает, что вам не нужно ничего устанавливать, чтобы запустить его.
• Автоматическое развертывание. Оно позволяет развертывать манифесты Kubernetes и Helm-чарты, помещая их в определенный каталог. То есть k3s отслеживает изменения и заботится об их применении без дальнейшего взаимодействия. Просто создайте/обновите свою конфигурацию, и k3s обеспечит актуальность ваших deployments.
*️⃣ 2/4: продолжение следует :)
#лонгрид #open_source
• В k3s нет четкого различия между мастер и воркер нодами. Управление подами происходит на любой ноде, независимо от роли, которую они играют. Таким образом, понятия мастер и воркер нод не применимы к кластеру k3s
• Отсутствуют необязательные компоненты Kubernetes, например, плагины объема хранилища и API-интерфейсы облачных провайдеров.
• Добавлены некоторые элементы, включая containerd, Flannel, CoreDNS, CNI, ingress controller Traefik, локальное хранилище данных, встроенный сервис Load Balancer. Все эти элементы упакованы в один бинарный файл и выполняются в рамках одного процесса. Дистрибутив также поддерживает Helm-charts из коробки.
• K3s не имеет внешних зависимостей. Это означает, что вам не нужно ничего устанавливать, чтобы запустить его.
• Автоматическое развертывание. Оно позволяет развертывать манифесты Kubernetes и Helm-чарты, помещая их в определенный каталог. То есть k3s отслеживает изменения и заботится об их применении без дальнейшего взаимодействия. Просто создайте/обновите свою конфигурацию, и k3s обеспечит актуальность ваших deployments.
#лонгрид #open_source
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍7❤1
Архитектура
На приведенном выше рисунке показана разница между сервером k3s и узлами агента k3s. (Источник здесь)
Если копнуть глубже, то k3s упакован и развернут в виде одного бинарного файла размером приблизительно 60 МБ, представляющего из себя самодостаточный инкапсулированный объект, который запускает почти все компоненты кластера Kubernetes.
На рисунке мы наблюдаем две ноды, на одной из которых работает k3s service, а на второй агент k3s. API server проверяет и настраивает данные для объектов API — например pods, services и т.д. Controller Manager наблюдает за общим состоянием кластера через API-сервер, вносит в него изменения и переводит из текущего состояния в желаемое. Scheduler назначает модули узлам в соответствии с их текущим состоянием, ограничениями и доступными ресурсами. Kubelet как основной агент узла в кластере, работающий на каждой ноде. Kine, где в качестве хранилища по умолчанию используется SQLite. Containerd как исполняемая среда для запуска контейнеров. Связь между агентом и сервером осуществляется через туннельный прокси.
*️⃣ 3/4: продолжение следует :)
#лонгрид #open_source
На приведенном выше рисунке показана разница между сервером k3s и узлами агента k3s. (Источник здесь)
Если копнуть глубже, то k3s упакован и развернут в виде одного бинарного файла размером приблизительно 60 МБ, представляющего из себя самодостаточный инкапсулированный объект, который запускает почти все компоненты кластера Kubernetes.
На рисунке мы наблюдаем две ноды, на одной из которых работает k3s service, а на второй агент k3s. API server проверяет и настраивает данные для объектов API — например pods, services и т.д. Controller Manager наблюдает за общим состоянием кластера через API-сервер, вносит в него изменения и переводит из текущего состояния в желаемое. Scheduler назначает модули узлам в соответствии с их текущим состоянием, ограничениями и доступными ресурсами. Kubelet как основной агент узла в кластере, работающий на каждой ноде. Kine, где в качестве хранилища по умолчанию используется SQLite. Containerd как исполняемая среда для запуска контейнеров. Связь между агентом и сервером осуществляется через туннельный прокси.
#лонгрид #open_source
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥3❤2
Как можно развернуть k3s
Кластер из одной ноды (изображение 1)
Этот самый упрощенный метод для разворачивания кластера k3s, который оптимизирован для пограничных устройств. Вы просто запускаете команду установки при помощи команды curl, и она разворачивает полноценный кластер Kubernetes. Но стоит сразу обратить внимание, что данная архитектура развертывания не сможет обеспечить вам отказоустойчивость.
Один кластер с несколькими агентами (изображение 2)
Этот метод также использует один сервер к которому вы можете добавить агентов в кластер. Агенты безопасно подключаются с помощью токена, который сервер создает при запуске. В этой конфигурации каждый узел агента регистрируется на одном и том же узле сервера. Пользователь k3s может управлять ресурсами Kubernetes, вызывая API k3s на узле сервера.
Высокодоступный сервер k3s с внешней БД (изображение 3)
Этот метод можно использовать, если вам важно настроить отказоустойчивый кластер. Данный кластер k3s состоит из:
• Двух или более серверных узлов, которые будут обслуживать API Kubernetes и запускать другие службы плоскости управления.
• Внешнего хранилища данных (вместо встроенного хранилища данных SQLite, которое используется в конфигурациях с одним сервером по умолчанию).
Fun facts про k3s
• Более 1 миллиона загрузок. С февраля 2019 года k3s скачали более 1 миллиона раз, в среднем 20 000 установок в неделю.
• На момент 2023 года имеет на гитхабе более 24 тысяч звезд, что говорит о заинтересованности сообщества в данном проекте.
• Не существует ни полной формы названия k3s, ни официального произношения. Разработчики хотели, чтобы установка Kubernetes была вдвое меньше с точки зрения занимаемой памяти. А так как Kubernetes состоит из 10 букв, которое сообщество стилизовали под k8s, ребята из Rancher Labs просто уменьшили вдвое количество букв в Kubernetes и стилизовали под k3s.
*️⃣ 4/4
#лонгрид #open_source
Кластер из одной ноды (изображение 1)
Этот самый упрощенный метод для разворачивания кластера k3s, который оптимизирован для пограничных устройств. Вы просто запускаете команду установки при помощи команды curl, и она разворачивает полноценный кластер Kubernetes. Но стоит сразу обратить внимание, что данная архитектура развертывания не сможет обеспечить вам отказоустойчивость.
Один кластер с несколькими агентами (изображение 2)
Этот метод также использует один сервер к которому вы можете добавить агентов в кластер. Агенты безопасно подключаются с помощью токена, который сервер создает при запуске. В этой конфигурации каждый узел агента регистрируется на одном и том же узле сервера. Пользователь k3s может управлять ресурсами Kubernetes, вызывая API k3s на узле сервера.
Высокодоступный сервер k3s с внешней БД (изображение 3)
Этот метод можно использовать, если вам важно настроить отказоустойчивый кластер. Данный кластер k3s состоит из:
• Двух или более серверных узлов, которые будут обслуживать API Kubernetes и запускать другие службы плоскости управления.
• Внешнего хранилища данных (вместо встроенного хранилища данных SQLite, которое используется в конфигурациях с одним сервером по умолчанию).
Fun facts про k3s
• Более 1 миллиона загрузок. С февраля 2019 года k3s скачали более 1 миллиона раз, в среднем 20 000 установок в неделю.
• На момент 2023 года имеет на гитхабе более 24 тысяч звезд, что говорит о заинтересованности сообщества в данном проекте.
• Не существует ни полной формы названия k3s, ни официального произношения. Разработчики хотели, чтобы установка Kubernetes была вдвое меньше с точки зрения занимаемой памяти. А так как Kubernetes состоит из 10 букв, которое сообщество стилизовали под k8s, ребята из Rancher Labs просто уменьшили вдвое количество букв в Kubernetes и стилизовали под k3s.
#лонгрид #open_source
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥4❤2
k3s: легковесный дистрибутив Kubernetes
Часть 1: из истории k3s
Часть 2: отличия от k8s
Часть 3: архитектура
Часть 4: как можно развернуть k3s и Fun facts
▪️ Ссылка на репозиторий k3s
▪️ Ссылка на документацию k3s
▪️ Полезная ссылка из комментариев: «k3d — легкая оболочка для запуска k3s в докере»
#лонгрид #open_source
Часть 1: из истории k3s
Часть 2: отличия от k8s
Часть 3: архитектура
Часть 4: как можно развернуть k3s и Fun facts
▪️ Ссылка на репозиторий k3s
▪️ Ссылка на документацию k3s
▪️ Полезная ссылка из комментариев: «k3d — легкая оболочка для запуска k3s в докере»
#лонгрид #open_source
👍8❤4🔥3
Всем DevOps! 🖖
Еще немного про OpenTofu. Вышла вот такая заметка в блоге — «Why should I care about OpenTofu?»
Авторы проекта отвечают на в общем-то вполне логичный вопрос: «Смена лицензии меня не затрагивает, так почему меня это должно волновать?»
TL;DR: иметь альтернативы — это всегда хорошая стратегия, конкуренция важна, появление проектов типа OpenTofu снижает вероятность дальнейшего ужесточения лицензионных ограничений.
#новости
Еще немного про OpenTofu. Вышла вот такая заметка в блоге — «Why should I care about OpenTofu?»
Авторы проекта отвечают на в общем-то вполне логичный вопрос: «Смена лицензии меня не затрагивает, так почему меня это должно волновать?»
TL;DR: иметь альтернативы — это всегда хорошая стратегия, конкуренция важна, появление проектов типа OpenTofu снижает вероятность дальнейшего ужесточения лицензионных ограничений.
#новости
👍6🔥4
+1 полезный open-source инструмент — KubeLinter 💻
Он анализирует YAML-файлы Kubernetes и Helm-чарты и проверяет их на соответствие различным best practices, уделяя особое внимание готовности к работе и безопасности.
Некоторые распространенные проблемы, которые выявляет KubeLinter — запуск контейнеров от имени non-root user, соблюдение минимальных привилегий и хранение конфиденциальной информации только в секретах.
Лицензия Apache License 2.0, 2.5k звездочек на GitHub ⭐️
P.S. Статьи про работу с этим инструментом:
• «Ensuring YAML best practices using KubeLinter»
• «Analyze Kubernetes files for errors with KubeLinter»
• «How to add a new check in KubeLinter?»
• «Extending kube-linter To Build A Custom Template»
#open_source
Он анализирует YAML-файлы Kubernetes и Helm-чарты и проверяет их на соответствие различным best practices, уделяя особое внимание готовности к работе и безопасности.
Некоторые распространенные проблемы, которые выявляет KubeLinter — запуск контейнеров от имени non-root user, соблюдение минимальных привилегий и хранение конфиденциальной информации только в секретах.
Лицензия Apache License 2.0, 2.5k звездочек на GitHub ⭐️
P.S. Статьи про работу с этим инструментом:
• «Ensuring YAML best practices using KubeLinter»
• «Analyze Kubernetes files for errors with KubeLinter»
• «How to add a new check in KubeLinter?»
• «Extending kube-linter To Build A Custom Template»
#open_source
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍4
Дисклеймер! Статья скорее для тех, кто только погружается в тему :)
***
«Понятие DevOps знакомо многим, но все-таки ответить на вопрос "Что же такое DevOps?" непросто.
В статье мы постарались это сделать: упорядочили знания, определили основные понятия DevOps, ещё раз обозначили какие процессы существуют в этой методологии, какую роль они играют и с чего начать внедрение DevOps.»
➡️ Приятного чтения!
#статья_Nixys
***
«Понятие DevOps знакомо многим, но все-таки ответить на вопрос "Что же такое DevOps?" непросто.
В статье мы постарались это сделать: упорядочили знания, определили основные понятия DevOps, ещё раз обозначили какие процессы существуют в этой методологии, какую роль они играют и с чего начать внедрение DevOps.»
➡️ Приятного чтения!
#статья_Nixys
🔥8❤4👍3
Всем DevOps! 🖖
Хотим начать неделю с необычного поста.
Борис Ершов, CTO компании Nixys, побывал на конференции и поделился наблюдениями, которые, пожалуй, могут быть полезны и вам!
***
«В самом начале той недели я побывал на конференции Yandex Scale, увидел и услышал там много любопытного и хотел бы поделиться с вами своими наблюдениями и мыслями.
Интересные заметки на открытии:
- Хоть это явно и не обозначалось, но тем не менее озвучивалось — стратегическими направлениям для развития Яндекс Облака будут Serverless и Security;
- Ребята показали интересный график внедрения новых сервисов и технологий, согласно которому разделили жизненный цикл на 5 этапов: триггер технологии, пик завышенных ожиданий, дно разочарования, склон просветления, плато продуктивности;
- 7 из 10 их клиентов в том или ином виде использует бессерверные вычисления.
Во-вторых, вся конфа была разделена по шести секциям:
- Infra + K8s
- Serverless
- Digital Workplace
- ML
- Data Platform
- Security
Поскольку у меня с собой была только одна пара глаз и ушей, то освещение получат не все имеющиеся треки, но я постарался захватить самые массовые, а именно те, которые собирали максимальное число зрителей на докладах и стендах. По моим наблюдениям, такими были:
- ML
- Serverless
- Security
ML
Это в принципе очень хайповая тема сейчас. Бизнес видит в ней надежду и опору в вопросах оптимизации части своих процессов и сокращение расходов. Самый крутой доклад этого трека — это YandexGPT. Где рассказывалось о истории его создания, возможностях и применении. Очень интересный доклад! И интересен он был настолько, что зал едва вместил всех желающих его послушать. Мне повезло найти себе место и слушать доклад сидя. Тут же были анонсированы новые возможности на базе объединения DataSphere и YandexGPT.
Serverless
Сразу стоит отметить, что в Яндекс Serverless представлена по двум направлениями:
- Cloud Functions: это аналог Lambda AWS, когда программа выполняется, не как результат привычного процесса сборки, деплоя и работы контейнера с бинарником типа API-сервера или кэширующего сервера. А прям в виде кода, который чихать хотел и на сборку, и на деплой и на сам сервер;
- Serverless Containers: если описать в нашем понимании, то это почти привычный нам контейнер, который ничего не знает не только про сам физический или виртуальный сервер, но и про Kubernetes со всеми его сущностями. В Яндексе верхнеуровнево деплой устроен так: закидывает код (в виде архива) и Dockerfile. Далее он там сам билдится и где-то сохраняется и уже потом пользователь оперирует нужной ревизией при запуске.
Из моего общения с участниками было видно, что интерес к этой технологии, был обусловлен основными моментами:
- Возможностью сокращения затрат на облако за счёт оплаты только тех ресурсов, которые используются во время выполнения;
- Снижением зависимости от инфраструктуры и её обслуживания (это я про дефицит в DevOps)
При всём при этом, клиенты видят в ней и существенные для себя минусы. Основные из которых это:
- Необходимость менять архитектуру и переписывать приложения. Сам принцип работы Serverless накладывает на запускающийся в нём код ряд архитектурных ограничений, поэтому в некоторых случаях программу придётся переписывать весьма и весьма существенно;
- Vendor lock-in. Каждый провайдер имеет свою реализацию, у всех разные эндпоинты и даже список поддерживаемых языков, поэтому просто перетащить имеющийся код из одного облака в другое не получится, нужна будет его переработка. И на этом все приглашённые спикеры делали акцент;
⬇️
#лонгрид
Хотим начать неделю с необычного поста.
Борис Ершов, CTO компании Nixys, побывал на конференции и поделился наблюдениями, которые, пожалуй, могут быть полезны и вам!
***
«В самом начале той недели я побывал на конференции Yandex Scale, увидел и услышал там много любопытного и хотел бы поделиться с вами своими наблюдениями и мыслями.
Интересные заметки на открытии:
- Хоть это явно и не обозначалось, но тем не менее озвучивалось — стратегическими направлениям для развития Яндекс Облака будут Serverless и Security;
- Ребята показали интересный график внедрения новых сервисов и технологий, согласно которому разделили жизненный цикл на 5 этапов: триггер технологии, пик завышенных ожиданий, дно разочарования, склон просветления, плато продуктивности;
- 7 из 10 их клиентов в том или ином виде использует бессерверные вычисления.
Во-вторых, вся конфа была разделена по шести секциям:
- Infra + K8s
- Serverless
- Digital Workplace
- ML
- Data Platform
- Security
Поскольку у меня с собой была только одна пара глаз и ушей, то освещение получат не все имеющиеся треки, но я постарался захватить самые массовые, а именно те, которые собирали максимальное число зрителей на докладах и стендах. По моим наблюдениям, такими были:
- ML
- Serverless
- Security
ML
Это в принципе очень хайповая тема сейчас. Бизнес видит в ней надежду и опору в вопросах оптимизации части своих процессов и сокращение расходов. Самый крутой доклад этого трека — это YandexGPT. Где рассказывалось о истории его создания, возможностях и применении. Очень интересный доклад! И интересен он был настолько, что зал едва вместил всех желающих его послушать. Мне повезло найти себе место и слушать доклад сидя. Тут же были анонсированы новые возможности на базе объединения DataSphere и YandexGPT.
Serverless
Сразу стоит отметить, что в Яндекс Serverless представлена по двум направлениями:
- Cloud Functions: это аналог Lambda AWS, когда программа выполняется, не как результат привычного процесса сборки, деплоя и работы контейнера с бинарником типа API-сервера или кэширующего сервера. А прям в виде кода, который чихать хотел и на сборку, и на деплой и на сам сервер;
- Serverless Containers: если описать в нашем понимании, то это почти привычный нам контейнер, который ничего не знает не только про сам физический или виртуальный сервер, но и про Kubernetes со всеми его сущностями. В Яндексе верхнеуровнево деплой устроен так: закидывает код (в виде архива) и Dockerfile. Далее он там сам билдится и где-то сохраняется и уже потом пользователь оперирует нужной ревизией при запуске.
Из моего общения с участниками было видно, что интерес к этой технологии, был обусловлен основными моментами:
- Возможностью сокращения затрат на облако за счёт оплаты только тех ресурсов, которые используются во время выполнения;
- Снижением зависимости от инфраструктуры и её обслуживания (это я про дефицит в DevOps)
При всём при этом, клиенты видят в ней и существенные для себя минусы. Основные из которых это:
- Необходимость менять архитектуру и переписывать приложения. Сам принцип работы Serverless накладывает на запускающийся в нём код ряд архитектурных ограничений, поэтому в некоторых случаях программу придётся переписывать весьма и весьма существенно;
- Vendor lock-in. Каждый провайдер имеет свою реализацию, у всех разные эндпоинты и даже список поддерживаемых языков, поэтому просто перетащить имеющийся код из одного облака в другое не получится, нужна будет его переработка. И на этом все приглашённые спикеры делали акцент;
⬇️
#лонгрид
🔥7👍5👏3
На мой взгляд, из всех технологий, которые по крайней мере использует Яндекс в своём облаке, эта способна повлиять на нашу сферу с наибольшей вероятностью. И вот почему я так считаю.
Отрасль требует непрерывности деплоя и уже имеется достаточное количество инструментов для этого. Пусть не идеальных, но они есть и по большей части удовлетворяют потребностям бизнеса. Но для того, чтобы эти инструменты работали, нужна соответствующая инфраструктура. Где-то на первых этапах её обеспечивали DevOps’ы в ванильных кубах, что требовало огромных затрат. Ответом на это со стороны облачных провайдеров стали managed кубы, где затраты на обслуживание инфраструктуры и стоимость её владения стали ниже. Serverless — это дальнейшая эволюция абстракции инфраструктуры, которая делает разработку и эксплуатацию приложения ещё более простой и без дополнительных затрат на инфраструктуру.
Тем более, что сейчас уже есть несколько инструментов, которые дают возможность использовать бессерверные функции в собственном кубе (например, Knative и OpenWhisk), т.е. без использования облачного провайдера. Это может дать дополнительное ускорение внедрения этой технологии.
А поскольку наша деятельность неразрывно связана с инфраструктурой и используемыми в отрасли инструментами, то нам стоит обратить внимание на эту технологию, чтобы в прекрасный день мы обнаружили, что реалии поменялись, а мы к этому полностью готовы!
Security
На доклады этого трека я, к сожалению, попасть не смог, слушал другие темы. Но несколько наблюдений по этой теме всё же сделал.
На открытии было заявлено, что одной из стратегий развития облака будет создание простых Cloud-native решений в безопасности.
Я говорил с участниками и кроме того, что к безопасности традиционно высокий интерес, имеет место ещё и надежда, что облако сможет предоставить какие-то managed решения, что позволит внедрять у себя в проекте соответствующие инструменты без необходимости глубокого погружения в эту предметную область.
Однако, безопасники мне говорили, что специализированные компании используют намного более широкий спектр услуг с большей глубиной различных проверок, но это уже стоит очень дорого и позволить подобное могут себе только крупные компании.
Другие сервисы
По ходу посещения докладов и общения с людьми, я делал небольшие пометки по сервисам, которые могут быть интересны в решении тех или иных вопросов.
- Yandex Cloud Apps: новый сервис от Яндекса. Это маркетплейс для размещения cloud-native приложений. Пока такое ощущение, что на текущий момент туда нельзя добавлять внешние приложения, но в будущем, я думаю, с высокой вероятностью они сделают такую возможность. В этом случае это кажется отличным вариантом для размещения nxs-backup и nxs-data-anonymizer.
- Gravity UI: библиотека компонентов для React. Возможно, облегчит создание web-интерфейсов для наших инструментов. Это open-source.
- DataLens: инструмент визуализации данных. Прежде всего он задумывался как BI-инструмент. Не знаю, будет ли он полезен именно в этом качестве, но выглядит так, что он может быть полезным для визуализации прогресса по текущим целям или технологического радара. Тут нужно дополнительное исследование. Это open-source
- YDB: часто упоминалась в докладах различных крупных компаниях-партнёров Yandex. Это open source
- GreenPlum: плюс минус то же самое, что и про YDB
Пожалуй, на этом мои основные наблюдения по поводу прошедшей конференции подошли к концу»
#лонгрид
Отрасль требует непрерывности деплоя и уже имеется достаточное количество инструментов для этого. Пусть не идеальных, но они есть и по большей части удовлетворяют потребностям бизнеса. Но для того, чтобы эти инструменты работали, нужна соответствующая инфраструктура. Где-то на первых этапах её обеспечивали DevOps’ы в ванильных кубах, что требовало огромных затрат. Ответом на это со стороны облачных провайдеров стали managed кубы, где затраты на обслуживание инфраструктуры и стоимость её владения стали ниже. Serverless — это дальнейшая эволюция абстракции инфраструктуры, которая делает разработку и эксплуатацию приложения ещё более простой и без дополнительных затрат на инфраструктуру.
Тем более, что сейчас уже есть несколько инструментов, которые дают возможность использовать бессерверные функции в собственном кубе (например, Knative и OpenWhisk), т.е. без использования облачного провайдера. Это может дать дополнительное ускорение внедрения этой технологии.
А поскольку наша деятельность неразрывно связана с инфраструктурой и используемыми в отрасли инструментами, то нам стоит обратить внимание на эту технологию, чтобы в прекрасный день мы обнаружили, что реалии поменялись, а мы к этому полностью готовы!
Security
На доклады этого трека я, к сожалению, попасть не смог, слушал другие темы. Но несколько наблюдений по этой теме всё же сделал.
На открытии было заявлено, что одной из стратегий развития облака будет создание простых Cloud-native решений в безопасности.
Я говорил с участниками и кроме того, что к безопасности традиционно высокий интерес, имеет место ещё и надежда, что облако сможет предоставить какие-то managed решения, что позволит внедрять у себя в проекте соответствующие инструменты без необходимости глубокого погружения в эту предметную область.
Однако, безопасники мне говорили, что специализированные компании используют намного более широкий спектр услуг с большей глубиной различных проверок, но это уже стоит очень дорого и позволить подобное могут себе только крупные компании.
Другие сервисы
По ходу посещения докладов и общения с людьми, я делал небольшие пометки по сервисам, которые могут быть интересны в решении тех или иных вопросов.
- Yandex Cloud Apps: новый сервис от Яндекса. Это маркетплейс для размещения cloud-native приложений. Пока такое ощущение, что на текущий момент туда нельзя добавлять внешние приложения, но в будущем, я думаю, с высокой вероятностью они сделают такую возможность. В этом случае это кажется отличным вариантом для размещения nxs-backup и nxs-data-anonymizer.
- Gravity UI: библиотека компонентов для React. Возможно, облегчит создание web-интерфейсов для наших инструментов. Это open-source.
- DataLens: инструмент визуализации данных. Прежде всего он задумывался как BI-инструмент. Не знаю, будет ли он полезен именно в этом качестве, но выглядит так, что он может быть полезным для визуализации прогресса по текущим целям или технологического радара. Тут нужно дополнительное исследование. Это open-source
- YDB: часто упоминалась в докладах различных крупных компаниях-партнёров Yandex. Это open source
- GreenPlum: плюс минус то же самое, что и про YDB
Пожалуй, на этом мои основные наблюдения по поводу прошедшей конференции подошли к концу»
#лонгрид
🔥10👍7👏3👎1
Что было интересного на прошлой неделе? ⚡️
▪️День Рождения — kubeadm исполнилось 7 лет. kubeadm — это инструмент для запуска минимально жизнеспособного кластера.
▪️ClickHouse анонсировали альтернативу ZooKeeper — ClickHouse Keeper. В анонсе говорится, что новый инструмент станет полной заменой ZooKeeper с полностью совместимым клиентским протоколом и той же моделью данных.
▪️GitLab нашли несколько уязвимостей уровня «high» и выпустили для них патчи. Рекомендовано как можно скорее обновиться до последней версии.
▪️Helm 3.13 — флаг
▪️Docker улучшает видимость токенов личного доступа пользователей Docker Desktop и Hub. В частности, меняет способ обработки токенов в сеансах между двумя инструментами. В работе Docker Hub, Docker Desktop и Docker CLI не произойдет заметных изменений, но рекомендовано использовать последние версии Docker Desktop и Docker CLI, чтобы получить новейшие функции и обновления безопасности.
▪️Релиз KEDA v2.12.0. Kubernetes Event Driven Autoscaling (KEDA) — оператор Kubernetes с открытым исходным кодом. Полный список изменений доступен в Release Notes.
Всем DevOps! 🖖
#новости
▪️День Рождения — kubeadm исполнилось 7 лет. kubeadm — это инструмент для запуска минимально жизнеспособного кластера.
▪️ClickHouse анонсировали альтернативу ZooKeeper — ClickHouse Keeper. В анонсе говорится, что новый инструмент станет полной заменой ZooKeeper с полностью совместимым клиентским протоколом и той же моделью данных.
▪️GitLab нашли несколько уязвимостей уровня «high» и выпустили для них патчи. Рекомендовано как можно скорее обновиться до последней версии.
▪️Helm 3.13 — флаг
--dry-run теперь имеет несколько опций, в обработке значений были исправлены многочисленные проблемы, появилась возможность работать с реестрами OCI через HTTP, используя --plain-http, новая команда helm get metadata и другие обновления. Вся информация — в Release Notes.▪️Docker улучшает видимость токенов личного доступа пользователей Docker Desktop и Hub. В частности, меняет способ обработки токенов в сеансах между двумя инструментами. В работе Docker Hub, Docker Desktop и Docker CLI не произойдет заметных изменений, но рекомендовано использовать последние версии Docker Desktop и Docker CLI, чтобы получить новейшие функции и обновления безопасности.
▪️Релиз KEDA v2.12.0. Kubernetes Event Driven Autoscaling (KEDA) — оператор Kubernetes с открытым исходным кодом. Полный список изменений доступен в Release Notes.
Всем DevOps! 🖖
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥2
Среда — маленькая пятница 🥳
Собрали интересные материалы, можно сделать небольшой перерыв и почитать.
▪️Статья «13 распространенных задач в Kubernetes и способы их решения» — о проблемах в Kubernetes, с которыми часто сталкиваются инженеры-разработчики при запуске новых масштабируемых отказоустойчивых веб-сервисов.
▪️Заметка «Death by a thousand microservices» — еще одна статья в копилку противостояния «монолит или микросервисы».
▪️Статья (аж на 36 минут) «Understanding Kubernetes' Cluster Networking» — очень детально описано устройство сети Kubernetes. Радует и отличная наглядность, в статье много схем.
▪️Цикл из трех статей «Learning Linux Kernel Exploitation» — рассказывается о некоторых основных моментах эксплуатации ядра Linux: от базовой настройки среды до некоторых популярных средств защиты ядра и соответствующих им методов эксплуатации.
▪️Статья про самую бессмысленную команду Docker за всю историю — сохраним интригу и не будем делать краткое описание :)
#статьи
Собрали интересные материалы, можно сделать небольшой перерыв и почитать.
▪️Статья «13 распространенных задач в Kubernetes и способы их решения» — о проблемах в Kubernetes, с которыми часто сталкиваются инженеры-разработчики при запуске новых масштабируемых отказоустойчивых веб-сервисов.
▪️Заметка «Death by a thousand microservices» — еще одна статья в копилку противостояния «монолит или микросервисы».
▪️Статья (аж на 36 минут) «Understanding Kubernetes' Cluster Networking» — очень детально описано устройство сети Kubernetes. Радует и отличная наглядность, в статье много схем.
▪️Цикл из трех статей «Learning Linux Kernel Exploitation» — рассказывается о некоторых основных моментах эксплуатации ядра Linux: от базовой настройки среды до некоторых популярных средств защиты ядра и соответствующих им методов эксплуатации.
▪️Статья про самую бессмысленную команду Docker за всю историю — сохраним интригу и не будем делать краткое описание :)
#статьи
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍2🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
Мы уже упоминали ( и не раз) этого автора и его обучающие материалы, теперь хотим обратить внимание на одну полезную open-source разработку.
Да, есть вероятность, что вы про нее слышали, но будет не лишним упомянуть еще раз.
k'exp — Kubernetes Explorer
k'exp отражает состояние вашего кластера в режиме реального времени, показывает «связанные» объекты и может показывать информацию по конкретным объектам.
Здесь — плейлист с демо-видео :)
💻 Репозиторий инструмента
P.S. Другие open-source проекты автора можно найти вот здесь.
#open_source
Да, есть вероятность, что вы про нее слышали, но будет не лишним упомянуть еще раз.
k'exp — Kubernetes Explorer
k'exp отражает состояние вашего кластера в режиме реального времени, показывает «связанные» объекты и может показывать информацию по конкретным объектам.
Здесь — плейлист с демо-видео :)
P.S. Другие open-source проекты автора можно найти вот здесь.
#open_source
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥3❤2
В команду Nixys требуются DevOps-инженеры — от Junior до Senior
Nixys — профессионалы в поддержке HighLoad / HA web-проектов с более чем 13-летним опытом. На постоянном обслуживании компании находится более 300 крупных известных брендов.
⚙️ Стек: Linux (ubuntu/debian, centos), Kubernetes (k8s, k3s, OKD), Prometheus/Grafana/Zabbix, ELK/EFK, CI/CD (GitLab, Jenkins), Docker, Docker Compose, Nginx, Apache, PHP-FPM, MySQL, PostgreSQL, MariaDB, MongoDB, Redis, Clickhouse, Minio, IaC (Terraform, Ansible), Yandex Cloud, GCP, AWS
📌 Основные задачи:
• проектирование архитектуры инфраструктурной части проекта и процессов по запросу клиента;
• мониторинг и контроль работоспособности сервисов;
• разработка и поддержка процессов CI/CD;
• подготовка и администрирование тестовых и промышленных сред, предоставление сервиса, соответствующего SLA;
• автоматизация рутины с помощью python/bash/golang;
• администрирование и настройка систем контейнеризации, Linux-систем (CentOS, Debian, Ubuntu), различных сервисов БД, очередей и т.д.
➡️ Полную информацию по вакансиям (условия, контакты и т.д.) можно найти на сайте или на hh.ru
Nixys — профессионалы в поддержке HighLoad / HA web-проектов с более чем 13-летним опытом. На постоянном обслуживании компании находится более 300 крупных известных брендов.
⚙️ Стек: Linux (ubuntu/debian, centos), Kubernetes (k8s, k3s, OKD), Prometheus/Grafana/Zabbix, ELK/EFK, CI/CD (GitLab, Jenkins), Docker, Docker Compose, Nginx, Apache, PHP-FPM, MySQL, PostgreSQL, MariaDB, MongoDB, Redis, Clickhouse, Minio, IaC (Terraform, Ansible), Yandex Cloud, GCP, AWS
📌 Основные задачи:
• проектирование архитектуры инфраструктурной части проекта и процессов по запросу клиента;
• мониторинг и контроль работоспособности сервисов;
• разработка и поддержка процессов CI/CD;
• подготовка и администрирование тестовых и промышленных сред, предоставление сервиса, соответствующего SLA;
• автоматизация рутины с помощью python/bash/golang;
• администрирование и настройка систем контейнеризации, Linux-систем (CentOS, Debian, Ubuntu), различных сервисов БД, очередей и т.д.
➡️ Полную информацию по вакансиям (условия, контакты и т.д.) можно найти на сайте или на hh.ru
🔥16👍6❤3
В эфире — новости ⚡️
🔸 4-5 октября прошла конференция «DockerCon», на которой компания Docker анонсировала множество новых продуктов: новый сервис удаленной сборки, новые инструменты для отладки, общедоступность Docker Scout и новый стек GenAI.
🔸 Kubernetes объявили состав Руководящего комитета, в этом году туда выбирали 4 человек из 7. Руководящий комитет контролирует управление всем проектом Kubernetes.
🔸 Релиз Terraform 1.6. Новая среда тестирования Terraform, поддержка выражений для config-driven import и т.д. Все улучшения можно найти в Changelog.
🔸 Linux Foundation, BastionZero и Docker представили новый открытый проект OpenPubKey, развивающий одноимённый криптографический протокол для заверения цифровой подписью произвольных объектов. Технология разработана с целью упрощения заверения цифровыми подписями образов контейнеров Docker для исключения их подмены и для подтверждения сборки, заявленной создателем.
Всем DevOps и хорошей недели! 🖖
#новости
🔸 4-5 октября прошла конференция «DockerCon», на которой компания Docker анонсировала множество новых продуктов: новый сервис удаленной сборки, новые инструменты для отладки, общедоступность Docker Scout и новый стек GenAI.
🔸 Kubernetes объявили состав Руководящего комитета, в этом году туда выбирали 4 человек из 7. Руководящий комитет контролирует управление всем проектом Kubernetes.
🔸 Релиз Terraform 1.6. Новая среда тестирования Terraform, поддержка выражений для config-driven import и т.д. Все улучшения можно найти в Changelog.
🔸 Linux Foundation, BastionZero и Docker представили новый открытый проект OpenPubKey, развивающий одноимённый криптографический протокол для заверения цифровой подписью произвольных объектов. Технология разработана с целью упрощения заверения цифровыми подписями образов контейнеров Docker для исключения их подмены и для подтверждения сборки, заявленной создателем.
Всем DevOps и хорошей недели! 🖖
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍2
Forwarded from CORTEL
— Основы программирования для Linux (тут):
— Основы Linux (тут);
— Бесплатный онлайн-курс DevOps (тут);
— GIT (тут);
— Docker (тут);
— Azure (тут);
— Специализация Python Scripting for DevOps (тут);
— Kubernetes (тут);
— Jenkins (тут);
— Chef (тут);
— Cloud Computing (тут).
@Cortel_cloud
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥15🗿1
Всем DevOps! 🖖
Сегодня — про Helm и инструменты для работы с ним.
Немного теории
Для начала вспомним, что это вообще такое.
Helm — это пакетный менеджер, который позволяет вам работать с приложениями в K8s так-же просто и удобно, как с привычным пакетным менеджером, например apt или yum, помогает доставлять одно и то же приложение в разные окружения с различными параметрами и позволяет легко и удобно управлять жизненным циклом приложения. На практике является одним из самых распространённых и простых способов релиза приложений в куб.
Для получения манифестов k8s в Helm используется go-templates. Это мощный и удобный инструмент, позволяющий реализовывать очень много интересных вещей и обладающий гибкой логикой.
Для работы с чартами используются артефакт хабы. Осуществлять поиск и установку нужной версии очень легко. Если публичные чарты вам не подходят, вы можете использовать свой собственный регистри хаб или чей то ещё. Некоторые дистрибутивы k8s (OS, OKD, Rancher) вообще предоставляют для данного функционала GUI из коробки, позволяя работать с Helm максимально удобным способом.
При установке приложения через Helm создаётся релиз. Релиз Helm — это полноценное состояние приложения, включая его конфигурации и переменные окружения (если они хранятся в k8s). Переключаясь между релизами Helm, например, откатывая релиз, вы также получаете именно те параметры, с которыми было запущено приложение, в отличие, например, от переключения между версиями репликасетов в деплойменте.
В Helm есть хуки. Это очень удобный инструмент, который позволяет вам выполнить какой-либо джоб до того, как будет выполнено обновление других манифестов k8s. Например, если у вас приложение состоит из деплоймента и кронджобов, а миграция БД выполняется в init-контейнере, вы не застрахованы от ситуации, когда миграция ещё не завершилась, а кроны с новым кодом уже падают, из-за того, что версия БД еще старая. Хук в данном случае решает задачу.
Удобно реализована работа с зависимостями. Параметры запуска зависимости настраиваются точно так же, как и само приложение: всё что вам нужно — добавить зависимость в описание чарта, а её параметры — в файл values.
У Helm большое комьюнити, и практически все open-source проекты имеют свой собственный чарт. Вам ничто не помешает скачать любой чарт, и локально поменять в нём всё что угодно.
Если для деплоя вы используете манифесты k8s без шаблонизации, то вам потребуется поработать с существенно большим объёмом данных, чтобы настроить ваше приложение в нескольких окружениях.
Недостатки:
• При использовании публичных чартов есть шанс столкнуться с багами.
• Тяжело реализуется сложная логика, есть ограничения.
• Для создания минималистичного values файла чарт должен быть заточен под приложение.
1/2
#лонгрид
Сегодня — про Helm и инструменты для работы с ним.
Немного теории
Для начала вспомним, что это вообще такое.
Helm — это пакетный менеджер, который позволяет вам работать с приложениями в K8s так-же просто и удобно, как с привычным пакетным менеджером, например apt или yum, помогает доставлять одно и то же приложение в разные окружения с различными параметрами и позволяет легко и удобно управлять жизненным циклом приложения. На практике является одним из самых распространённых и простых способов релиза приложений в куб.
Для получения манифестов k8s в Helm используется go-templates. Это мощный и удобный инструмент, позволяющий реализовывать очень много интересных вещей и обладающий гибкой логикой.
Для работы с чартами используются артефакт хабы. Осуществлять поиск и установку нужной версии очень легко. Если публичные чарты вам не подходят, вы можете использовать свой собственный регистри хаб или чей то ещё. Некоторые дистрибутивы k8s (OS, OKD, Rancher) вообще предоставляют для данного функционала GUI из коробки, позволяя работать с Helm максимально удобным способом.
При установке приложения через Helm создаётся релиз. Релиз Helm — это полноценное состояние приложения, включая его конфигурации и переменные окружения (если они хранятся в k8s). Переключаясь между релизами Helm, например, откатывая релиз, вы также получаете именно те параметры, с которыми было запущено приложение, в отличие, например, от переключения между версиями репликасетов в деплойменте.
В Helm есть хуки. Это очень удобный инструмент, который позволяет вам выполнить какой-либо джоб до того, как будет выполнено обновление других манифестов k8s. Например, если у вас приложение состоит из деплоймента и кронджобов, а миграция БД выполняется в init-контейнере, вы не застрахованы от ситуации, когда миграция ещё не завершилась, а кроны с новым кодом уже падают, из-за того, что версия БД еще старая. Хук в данном случае решает задачу.
Удобно реализована работа с зависимостями. Параметры запуска зависимости настраиваются точно так же, как и само приложение: всё что вам нужно — добавить зависимость в описание чарта, а её параметры — в файл values.
У Helm большое комьюнити, и практически все open-source проекты имеют свой собственный чарт. Вам ничто не помешает скачать любой чарт, и локально поменять в нём всё что угодно.
Если для деплоя вы используете манифесты k8s без шаблонизации, то вам потребуется поработать с существенно большим объёмом данных, чтобы настроить ваше приложение в нескольких окружениях.
Недостатки:
• При использовании публичных чартов есть шанс столкнуться с багами.
• Тяжело реализуется сложная логика, есть ограничения.
• Для создания минималистичного values файла чарт должен быть заточен под приложение.
1/2
#лонгрид
👍17