Как сломать все! 5 вредных советов для Kubernetes
• Совет № 1 Используйте все самое новое
Всегда используйте самую свежую версию Kubernetes. Нам не по пути с ретрогадами, читающими release notes и интересующимися, как там ситуация с совместимостью. И обязательно убедитесь, что в ваши поды попадают контейнеры, собранные из самых-самых свежих образов.
• Совет № 2 Включайте все настройки и конфигурации прямо в контейнер
Контейнеры, которые попадают в ваш кластер, не должны быть универсальными. Вместо этого они должны:
– иметь заранее прописанный IP-адрес;
– содержать все необходимые логины, пароли, ключи и секреты;
– иметь жесткие ссылки на соседние сервисы, с которыми предстоит взаимодействовать.
• Совет №3 Управляйте своим кластером только с помощью kubectl
Пока ваши коллеги разрабатывают и согласовывают процедуры внесения изменений в конфигурации своих кластеров, мы решим эту проблему раз и на всегда. Нам подправить нужно буквально одну строчку в конфиге и ждать, пока согласуют эту правку, совсем не хочется, а значит, мы будем самостоятельно вносить все правки на ходу с помощью kubectl. Документировать правки лучше у себя в заметках.
• Совет № 4 Создайте один большой кластер для всех ваших нужд
Всякие девопсы-дилетанты разворачивают несколько кубернетес-кластеров для разных нужд: разработка, продакшн, тестирование и т.п. Делают это они только потому, что не понимают концепции namespaces, которая может разделить все необходимые ресурсы между ландшафтами. Есть небольшая вероятность, что если в кластере будет серьезный сбой, то мы потеряем сразу все. Или, например, хакеры взломают продакшн и попадут, куда не следовало бы. Но какие шансы? Надеюсь, что небольшие.
• Совет №5 Не отвлекайтесь на метрики, кубернетес сам справится
Кубернетес сам распределит ресурсы сервера между подами, сам обнаружит утечки памяти, ведущие к нестабильной работе, и уж точно не допустит ситуации, когда один под съедает все ресурсы, и кластер просто умирает.
✅ Это, конечно же, вредные советы. Так делать не нужно. Желаю вам в Новом году долгой и надежной работы кластера кубернетес ❤️ 🥂
MemOps🎄
• Совет № 1 Используйте все самое новое
Всегда используйте самую свежую версию Kubernetes. Нам не по пути с ретрогадами, читающими release notes и интересующимися, как там ситуация с совместимостью. И обязательно убедитесь, что в ваши поды попадают контейнеры, собранные из самых-самых свежих образов.
• Совет № 2 Включайте все настройки и конфигурации прямо в контейнер
Контейнеры, которые попадают в ваш кластер, не должны быть универсальными. Вместо этого они должны:
– иметь заранее прописанный IP-адрес;
– содержать все необходимые логины, пароли, ключи и секреты;
– иметь жесткие ссылки на соседние сервисы, с которыми предстоит взаимодействовать.
• Совет №3 Управляйте своим кластером только с помощью kubectl
Пока ваши коллеги разрабатывают и согласовывают процедуры внесения изменений в конфигурации своих кластеров, мы решим эту проблему раз и на всегда. Нам подправить нужно буквально одну строчку в конфиге и ждать, пока согласуют эту правку, совсем не хочется, а значит, мы будем самостоятельно вносить все правки на ходу с помощью kubectl. Документировать правки лучше у себя в заметках.
• Совет № 4 Создайте один большой кластер для всех ваших нужд
Всякие девопсы-дилетанты разворачивают несколько кубернетес-кластеров для разных нужд: разработка, продакшн, тестирование и т.п. Делают это они только потому, что не понимают концепции namespaces, которая может разделить все необходимые ресурсы между ландшафтами. Есть небольшая вероятность, что если в кластере будет серьезный сбой, то мы потеряем сразу все. Или, например, хакеры взломают продакшн и попадут, куда не следовало бы. Но какие шансы? Надеюсь, что небольшие.
• Совет №5 Не отвлекайтесь на метрики, кубернетес сам справится
Кубернетес сам распределит ресурсы сервера между подами, сам обнаружит утечки памяти, ведущие к нестабильной работе, и уж точно не допустит ситуации, когда один под съедает все ресурсы, и кластер просто умирает.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🎄9🔥8👍4
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14😁11🔥2
Forwarded from godnoTECH - Новости IT
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡28👍6
Please open Telegram to view this post
VIEW IN TELEGRAM
👍53🎄17❤7
Google борется с хакерами в Kubernetes
Специалисты исправили уязвимость, которая могла использоваться злоумышленником, имеющим доступ к кластеру Kubernetes, для повышения своих привилегий.
Злоумышленник, скомпрометировавший контейнер Fluent Bit, мог объединить этот доступ с более высокими привилегиями, необходимыми для Anthos Service Mesh (в кластерах, где это доступно), чтобы повысить свои привилегии в кластере.
Баг был устранен в следующих версиях Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM):
25.16-gke.1020000;
26.10-gke.1235000;
27.7-gke.1293000;
28.4-gke.1083000;
17.8-asm.8;
18.6-asm.2;
19.5-asm.4.
В качестве исправления Google удалила доступ Fluent Bit к токенам и перестроила функциональность ASM таким образом, чтобы избавиться от избыточных RBAC-разрешений.
MemOps🎄
Специалисты исправили уязвимость, которая могла использоваться злоумышленником, имеющим доступ к кластеру Kubernetes, для повышения своих привилегий.
Злоумышленник, скомпрометировавший контейнер Fluent Bit, мог объединить этот доступ с более высокими привилегиями, необходимыми для Anthos Service Mesh (в кластерах, где это доступно), чтобы повысить свои привилегии в кластере.
Баг был устранен в следующих версиях Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM):
25.16-gke.1020000;
26.10-gke.1235000;
27.7-gke.1293000;
28.4-gke.1083000;
17.8-asm.8;
18.6-asm.2;
19.5-asm.4.
В качестве исправления Google удалила доступ Fluent Bit к токенам и перестроила функциональность ASM таким образом, чтобы избавиться от избыточных RBAC-разрешений.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤3
Бесплатные сертификационные курсы: DevOps и Cloud
✅ Linux
http://mygreatlearning.com/academy/learn-for-free/courses/linux-tutorial
✅ Специализация Python Scripting for DevOps
https://www.coursera.org/specializations/python-noscripting-devops
✅ Основы программирования для Linux
https://stepik.org/course/548/promo
✅ Бесплатный онлайн-курс DevOps
https://academiait.ru/course/devops/
✅ Основы Linux
https://stepik.org/course/762/promo
✅ GIT
http://simplilearn.com/learn-git-basics-skillup
✅ DevOps
http://openclassrooms.com/courses/7853556-discover-the-devops-methodology
✅ CI/CD
http://simplilearn.com/free-ci-cd-online-training-course-skillup
✅ Docker
http://cognitiveclass.ai/courses/docker-essentials
✅ Kubernetes
http://simplilearn.com/learn-kubernetes-basics-free-course-skillup
✅ GitHub
http://mygreatlearning.com/academy/learn-for-free/courses/github-tutorial-for-beginners
MemOps🎄
http://mygreatlearning.com/academy/learn-for-free/courses/linux-tutorial
https://www.coursera.org/specializations/python-noscripting-devops
https://stepik.org/course/548/promo
https://academiait.ru/course/devops/
https://stepik.org/course/762/promo
http://simplilearn.com/learn-git-basics-skillup
http://openclassrooms.com/courses/7853556-discover-the-devops-methodology
http://simplilearn.com/free-ci-cd-online-training-course-skillup
http://cognitiveclass.ai/courses/docker-essentials
http://simplilearn.com/learn-kubernetes-basics-free-course-skillup
http://mygreatlearning.com/academy/learn-for-free/courses/github-tutorial-for-beginners
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24❤6🔥2
Книга Паттерны Kubernetes адресована разработчикам, желающим проектировать облачные приложения для платформы Kubernetes. Наибольшую пользу из нее извлекут читатели, которые хотя бы немного знакомы с контейнерами и хотят подняться на новый уровень.
Каждый паттерн проектирования представляет собой описание реальной задачи, а решение поддерживается конкретными примерами кода. Прочитав эту книгу, вы узнаете не только о паттернах Kubernetes, но и о том, зачем они нужны и как их использовать.
📌 Подробнее: https://drive.google.com/file/d/1guyNhSKAzbAs1bUQolwclZ_BY4x2rogs/view
MemOps🎄
Каждый паттерн проектирования представляет собой описание реальной задачи, а решение поддерживается конкретными примерами кода. Прочитав эту книгу, вы узнаете не только о паттернах Kubernetes, но и о том, зачем они нужны и как их использовать.
📌 Подробнее: https://drive.google.com/file/d/1guyNhSKAzbAs1bUQolwclZ_BY4x2rogs/view
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Видео по DevSecOps
– DevSecOps. Общее погружение;
– DevOps на пальцах;
– SecOps. Защита кластера;
– DevSec. Встраивание ИБ в конвейер разработки;
– DevSecOps. Process edition;
– Что такое Audit Policy? Вебинар из цикла DevSecOps 2-й сезон;
– Зачем GitOps в Enterprise? Вебинар из цикла DevSecOps 2-й сезон;
– Управление секретами: основы;
– Persistent данные и резервное копирование в кластере;
– 8 Bad Pods: атаки на Kubernetes;
– Kubernetes в Enterprise: VMware Tanzu;
– Kubernetes в Enterprise. Обзор, проблематика, решения;
– DevOps – начало работы в кластере Kubernetes;
– DevOps в Enterprise. Tech Talks Юрий Семенюков на High Load ++ 2021;
– Как пережить сертификацию по Kubernetes. Личный опыт.
MemOps🎄
– DevSecOps. Общее погружение;
– DevOps на пальцах;
– SecOps. Защита кластера;
– DevSec. Встраивание ИБ в конвейер разработки;
– DevSecOps. Process edition;
– Что такое Audit Policy? Вебинар из цикла DevSecOps 2-й сезон;
– Зачем GitOps в Enterprise? Вебинар из цикла DevSecOps 2-й сезон;
– Управление секретами: основы;
– Persistent данные и резервное копирование в кластере;
– 8 Bad Pods: атаки на Kubernetes;
– Kubernetes в Enterprise: VMware Tanzu;
– Kubernetes в Enterprise. Обзор, проблематика, решения;
– DevOps – начало работы в кластере Kubernetes;
– DevOps в Enterprise. Tech Talks Юрий Семенюков на High Load ++ 2021;
– Как пережить сертификацию по Kubernetes. Личный опыт.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Please open Telegram to view this post
VIEW IN TELEGRAM
😁20🫡7🤯2
1. Включите VirtioFS для ускорения обмена файлами на компьютерах Mac.
2. Стратегическое наслоение для оптимизации кэша сборки Docker.
3. Избегайте раздувания, чтобы сохранить эффективность сборок.
4. Запустите свои проекты с помощью Docker Init.
5. Активно находите и устраняйте уязвимости программного обеспечения с помощью Docker Scout.
6. Ускорьте свою разработку с помощью Docker Build Cloud.
7. Быстрее решайте проблемы с кодом с помощью Docker Debug.
8. Тестируйте на реальных примерах с помощью Testcontainers.
📌 Подробнее: https://www.docker.com/blog/8-top-docker-tips-tricks-for-2024/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🫡3