Docker 2023: основные этапы, обновления и что дальше
▪️ 20 новых расширений Docker были добавлены в Docker extension marketplace в 2023 году. Можно выделить из них Kubescape, NebulaGraph, Gefyra, LocalStack и Grafana.
▪️ В 2024 году инвестиции в ИИ обещают предоставить клиентам Docker новые сервисы и функциональность. Недавние анонсы включают:
• GenAI Stack
• Docker AI
• Партнерство Docker и Hugging Face
▪️ Хотите глубже погрузиться в Docker? Видеоролики DockerCon теперь доступны на YouTube.
📌 Подробнее: https://www.docker.com/blog/docker-highlights-2023
MemOps🤨
▪️ 20 новых расширений Docker были добавлены в Docker extension marketplace в 2023 году. Можно выделить из них Kubescape, NebulaGraph, Gefyra, LocalStack и Grafana.
▪️ В 2024 году инвестиции в ИИ обещают предоставить клиентам Docker новые сервисы и функциональность. Недавние анонсы включают:
• GenAI Stack
• Docker AI
• Партнерство Docker и Hugging Face
▪️ Хотите глубже погрузиться в Docker? Видеоролики DockerCon теперь доступны на YouTube.
📌 Подробнее: https://www.docker.com/blog/docker-highlights-2023
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1
На выходных в новом году можно пройтись по DevOps Roadmap, а также посмотреть ключевые изменения этой «дорожной карты» в 2024 году. Это поможет найти направления, которые стоит подтянуть, и наметить свой план развития.
📌 Подробнее: https://www.devopsexplained.com/post/key-changes-in-the-devops-roadmap-2024-compared-to-2023
MemOps🎄
📌 Подробнее: https://www.devopsexplained.com/post/key-changes-in-the-devops-roadmap-2024-compared-to-2023
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🎄6👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤯6
Как сломать все! 5 вредных советов для Kubernetes
• Совет № 1 Используйте все самое новое
Всегда используйте самую свежую версию Kubernetes. Нам не по пути с ретрогадами, читающими release notes и интересующимися, как там ситуация с совместимостью. И обязательно убедитесь, что в ваши поды попадают контейнеры, собранные из самых-самых свежих образов.
• Совет № 2 Включайте все настройки и конфигурации прямо в контейнер
Контейнеры, которые попадают в ваш кластер, не должны быть универсальными. Вместо этого они должны:
– иметь заранее прописанный IP-адрес;
– содержать все необходимые логины, пароли, ключи и секреты;
– иметь жесткие ссылки на соседние сервисы, с которыми предстоит взаимодействовать.
• Совет №3 Управляйте своим кластером только с помощью kubectl
Пока ваши коллеги разрабатывают и согласовывают процедуры внесения изменений в конфигурации своих кластеров, мы решим эту проблему раз и на всегда. Нам подправить нужно буквально одну строчку в конфиге и ждать, пока согласуют эту правку, совсем не хочется, а значит, мы будем самостоятельно вносить все правки на ходу с помощью kubectl. Документировать правки лучше у себя в заметках.
• Совет № 4 Создайте один большой кластер для всех ваших нужд
Всякие девопсы-дилетанты разворачивают несколько кубернетес-кластеров для разных нужд: разработка, продакшн, тестирование и т.п. Делают это они только потому, что не понимают концепции namespaces, которая может разделить все необходимые ресурсы между ландшафтами. Есть небольшая вероятность, что если в кластере будет серьезный сбой, то мы потеряем сразу все. Или, например, хакеры взломают продакшн и попадут, куда не следовало бы. Но какие шансы? Надеюсь, что небольшие.
• Совет №5 Не отвлекайтесь на метрики, кубернетес сам справится
Кубернетес сам распределит ресурсы сервера между подами, сам обнаружит утечки памяти, ведущие к нестабильной работе, и уж точно не допустит ситуации, когда один под съедает все ресурсы, и кластер просто умирает.
✅ Это, конечно же, вредные советы. Так делать не нужно. Желаю вам в Новом году долгой и надежной работы кластера кубернетес ❤️ 🥂
MemOps🎄
• Совет № 1 Используйте все самое новое
Всегда используйте самую свежую версию Kubernetes. Нам не по пути с ретрогадами, читающими release notes и интересующимися, как там ситуация с совместимостью. И обязательно убедитесь, что в ваши поды попадают контейнеры, собранные из самых-самых свежих образов.
• Совет № 2 Включайте все настройки и конфигурации прямо в контейнер
Контейнеры, которые попадают в ваш кластер, не должны быть универсальными. Вместо этого они должны:
– иметь заранее прописанный IP-адрес;
– содержать все необходимые логины, пароли, ключи и секреты;
– иметь жесткие ссылки на соседние сервисы, с которыми предстоит взаимодействовать.
• Совет №3 Управляйте своим кластером только с помощью kubectl
Пока ваши коллеги разрабатывают и согласовывают процедуры внесения изменений в конфигурации своих кластеров, мы решим эту проблему раз и на всегда. Нам подправить нужно буквально одну строчку в конфиге и ждать, пока согласуют эту правку, совсем не хочется, а значит, мы будем самостоятельно вносить все правки на ходу с помощью kubectl. Документировать правки лучше у себя в заметках.
• Совет № 4 Создайте один большой кластер для всех ваших нужд
Всякие девопсы-дилетанты разворачивают несколько кубернетес-кластеров для разных нужд: разработка, продакшн, тестирование и т.п. Делают это они только потому, что не понимают концепции namespaces, которая может разделить все необходимые ресурсы между ландшафтами. Есть небольшая вероятность, что если в кластере будет серьезный сбой, то мы потеряем сразу все. Или, например, хакеры взломают продакшн и попадут, куда не следовало бы. Но какие шансы? Надеюсь, что небольшие.
• Совет №5 Не отвлекайтесь на метрики, кубернетес сам справится
Кубернетес сам распределит ресурсы сервера между подами, сам обнаружит утечки памяти, ведущие к нестабильной работе, и уж точно не допустит ситуации, когда один под съедает все ресурсы, и кластер просто умирает.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🎄9🔥8👍4
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14😁11🔥2
Forwarded from godnoTECH - Новости IT
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡28👍6
Please open Telegram to view this post
VIEW IN TELEGRAM
👍53🎄17❤7
Google борется с хакерами в Kubernetes
Специалисты исправили уязвимость, которая могла использоваться злоумышленником, имеющим доступ к кластеру Kubernetes, для повышения своих привилегий.
Злоумышленник, скомпрометировавший контейнер Fluent Bit, мог объединить этот доступ с более высокими привилегиями, необходимыми для Anthos Service Mesh (в кластерах, где это доступно), чтобы повысить свои привилегии в кластере.
Баг был устранен в следующих версиях Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM):
25.16-gke.1020000;
26.10-gke.1235000;
27.7-gke.1293000;
28.4-gke.1083000;
17.8-asm.8;
18.6-asm.2;
19.5-asm.4.
В качестве исправления Google удалила доступ Fluent Bit к токенам и перестроила функциональность ASM таким образом, чтобы избавиться от избыточных RBAC-разрешений.
MemOps🎄
Специалисты исправили уязвимость, которая могла использоваться злоумышленником, имеющим доступ к кластеру Kubernetes, для повышения своих привилегий.
Злоумышленник, скомпрометировавший контейнер Fluent Bit, мог объединить этот доступ с более высокими привилегиями, необходимыми для Anthos Service Mesh (в кластерах, где это доступно), чтобы повысить свои привилегии в кластере.
Баг был устранен в следующих версиях Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM):
25.16-gke.1020000;
26.10-gke.1235000;
27.7-gke.1293000;
28.4-gke.1083000;
17.8-asm.8;
18.6-asm.2;
19.5-asm.4.
В качестве исправления Google удалила доступ Fluent Bit к токенам и перестроила функциональность ASM таким образом, чтобы избавиться от избыточных RBAC-разрешений.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤3