Сетевые политики на защите рабочих нагрузок в кластере Kubernetes
В кластере Kubernetes нам доступен любой сервис в любом пространстве имён, то есть по умолчанию pod открыт для любого трафика.
Мы можем определить сетевую политику для пространства имён или pod’а, чтобы защитить рабочие нагрузки в кластере. Например, разделить рабочие нагрузки в мультитенантном кластере по проектам, командам или организациям.
Rus https://habr.com/ru/company/southbridge/blog/718262/
Eng https://medium.com/geekculture/network-policy-to-secure-workloads-on-kubernetes-cluster-99017698c748
👉 @devops_star
В кластере Kubernetes нам доступен любой сервис в любом пространстве имён, то есть по умолчанию pod открыт для любого трафика.
Мы можем определить сетевую политику для пространства имён или pod’а, чтобы защитить рабочие нагрузки в кластере. Например, разделить рабочие нагрузки в мультитенантном кластере по проектам, командам или организациям.
Rus https://habr.com/ru/company/southbridge/blog/718262/
Eng https://medium.com/geekculture/network-policy-to-secure-workloads-on-kubernetes-cluster-99017698c748
👉 @devops_star
👍3
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Docker
01- Основы. Принцип работы. Почему docker. Сравнение с виртульной машиной. Применение.
02- Установка Docker в Linux и Windows.
03- Основные команды. Управление портами. Port Mapping.
04- Переменные. Environment Variables.
05- Volumes. Постоянные данные. Persisting Data.
06- Сети в докер. Network: bridge, host, none, macvlan, ipvlan
07- Dockerfile. Создаем СВОИ контейнеры.
08- Docker-COMPOSE. Простой запуск контейнеров.
09- Portainer. Управлять Docker ПРОСТО. Обзор, установка, настройка.
10- Watchtower. Автоматизация: обновление Docker контейнеров.
источник
👉 @devops_star
01- Основы. Принцип работы. Почему docker. Сравнение с виртульной машиной. Применение.
02- Установка Docker в Linux и Windows.
03- Основные команды. Управление портами. Port Mapping.
04- Переменные. Environment Variables.
05- Volumes. Постоянные данные. Persisting Data.
06- Сети в докер. Network: bridge, host, none, macvlan, ipvlan
07- Dockerfile. Создаем СВОИ контейнеры.
08- Docker-COMPOSE. Простой запуск контейнеров.
09- Portainer. Управлять Docker ПРОСТО. Обзор, установка, настройка.
10- Watchtower. Автоматизация: обновление Docker контейнеров.
источник
👉 @devops_star
👍7
Firezone, или как спрятать свою инфраструктуру от посторонних глаз
Аутсорс-разработка цифровых продуктов — одно из ключевых направлений нашей деятельности. Для доступа в собственные внутренние контуры и защищенные среды клиентов нашим сотрудникам приходилось каждый раз использовать разные связки логинов и паролей. С ростом числа клиентов это становилось неудобным, и перед нами встала непростая задача — обеспечить единую точку входа в разные среды.
Мы решили проблему с помощью сервиса Firezone, и в этой статье я хочу поделиться нашим опытом. Сегодня я расскажу о том, как DevOps-юнит KTS:
⚫️ внедрил виртуальную сеть в существующую инфраструктуру, состоящую из двух k8s-кластеров и нескольких ВМ в разных облаках;
⚫️ обеспечил бесперебойный доступ для более чем 150 сотрудников к веб-сервисам.
https://habr.com/ru/companies/kts/articles/869704/
👉 @devops_star
Аутсорс-разработка цифровых продуктов — одно из ключевых направлений нашей деятельности. Для доступа в собственные внутренние контуры и защищенные среды клиентов нашим сотрудникам приходилось каждый раз использовать разные связки логинов и паролей. С ростом числа клиентов это становилось неудобным, и перед нами встала непростая задача — обеспечить единую точку входа в разные среды.
Мы решили проблему с помощью сервиса Firezone, и в этой статье я хочу поделиться нашим опытом. Сегодня я расскажу о том, как DevOps-юнит KTS:
https://habr.com/ru/companies/kts/articles/869704/
👉 @devops_star
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Защита рабочих нагрузок Kubernetes с помощью gVisor
Мы все знакомы с контейнерами и любим их. Контейнеры используют одно и то же ядро хоста, что делает их довольно портативным и легким решением. С другой стороны, мы бы предпочли снизить риск нанесения вреда хост-машине или операционной системе, что можно сделать с помощью технологий песочницы, и gVisor - одна из них.
https://moshe-beladev-mb.medium.com/secure-your-kubernetes-workloads-with-gvisor-f189321792e1
👉 @devops_star
Мы все знакомы с контейнерами и любим их. Контейнеры используют одно и то же ядро хоста, что делает их довольно портативным и легким решением. С другой стороны, мы бы предпочли снизить риск нанесения вреда хост-машине или операционной системе, что можно сделать с помощью технологий песочницы, и gVisor - одна из них.
https://moshe-beladev-mb.medium.com/secure-your-kubernetes-workloads-with-gvisor-f189321792e1
👉 @devops_star
👍1
Практические вопросы для экзамена Certified Kubernetes Security Specialist (CKS)
https://github.com/snigdhasambitak/cks/tree/main
👉 @devops_star
https://github.com/snigdhasambitak/cks/tree/main
👉 @devops_star
👍3🔥1
Media is too big
VIEW IN TELEGRAM
Docker от Ивана Глазкова
#1. Зачем оно нужно? Установка и первый запуск контейнера.
#2 Открываем порты для доступа в контейнер.
#3. Что такое слои в образе, как они получаются и как выглядят.
#4. Базовые принципы сборки образа.
#5. Volume и монтирование в контейнер
#6. Multi Stage Build из исходников и ENV в dockerfile
источник
👉 @devops_star
#1. Зачем оно нужно? Установка и первый запуск контейнера.
#2 Открываем порты для доступа в контейнер.
#3. Что такое слои в образе, как они получаются и как выглядят.
#4. Базовые принципы сборки образа.
#5. Volume и монтирование в контейнер
#6. Multi Stage Build из исходников и ENV в dockerfile
источник
👉 @devops_star
👍4🔥2
Руководство по GitOps: ArgoCD против Flux
GitOps стал чрезвычайно популярным способом управления инфраструктурой и приложениями Kubernetes. Используя Git в качестве единого источника, GitOps позволяет использовать инфраструктуру как код и автоматизировать развертывание приложений в Kubernetes. Этот подход сегодня используют многие компании, поэтому я хотел поделиться нашим путешествием по GitOps в серии постов на эту тему.
https://www.codereliant.io/gitops-guide-argocd-vs-flux/
👉 @devops_star
GitOps стал чрезвычайно популярным способом управления инфраструктурой и приложениями Kubernetes. Используя Git в качестве единого источника, GitOps позволяет использовать инфраструктуру как код и автоматизировать развертывание приложений в Kubernetes. Этот подход сегодня используют многие компании, поэтому я хотел поделиться нашим путешествием по GitOps в серии постов на эту тему.
https://www.codereliant.io/gitops-guide-argocd-vs-flux/
👉 @devops_star
👍3❤1
Шпаргалка по командам управления Docker
Команды управления Docker используются для управления контейнерами Docker, образами, сетями, томами и многим другим. С помощью этих команд вы можете взаимодействовать с демоном Docker и запускать контейнеры, создавать и распространять образы, управлять сетями и томами, а также выполнять многие другие задачи. Команды управления Docker позволяют разработчикам и системным администраторам управлять ресурсами Docker и автоматизировать различные задачи, связанные с контейнерами.
https://www.linuxteck.com/docker-management-command-cheat-sheet/
👉 @devops_star
Команды управления Docker используются для управления контейнерами Docker, образами, сетями, томами и многим другим. С помощью этих команд вы можете взаимодействовать с демоном Docker и запускать контейнеры, создавать и распространять образы, управлять сетями и томами, а также выполнять многие другие задачи. Команды управления Docker позволяют разработчикам и системным администраторам управлять ресурсами Docker и автоматизировать различные задачи, связанные с контейнерами.
https://www.linuxteck.com/docker-management-command-cheat-sheet/
👉 @devops_star
👍2
Media is too big
VIEW IN TELEGRAM
Стандарты безопасности в Kubernetes (Константин Аксенов, VK Kubernetes Conf 2023)
Доклад руководителя разработки Deckhouse Kubernetes Platform (https://deckhouse.ru/) Константина Аксенова на VK Kubernetes Conf 2023. Автор рассказывает про рецепты и лучшие практики безопасности в Kubernetes, разбирает, какие из них действительно необходимы.
(0:00) Intro
(0:36) Безопасность в Kubernetes и как она влияет на доставку
(3:10) О стандартах безопасности
(5:08) Общая идея всех стандартов
(6:28) Пять шагов к безопасности в Kubernetes
(7:03) Шаг 1: корректная конфигурация кластера
(9:58) Шаг 2: сканирование образов
(11:48) Шаг 3: сетевая безопасность
(15:09) Шаг 4: контроль над запускаемыми приложениями
(18:08) Шаг 5: аудит и регистрация событий
(25:27) Итоги
(26:37) Q&A
⚫️ Текстовый обзор доклада: https://habr.com/ru/companies/vk/articles/730158/
⚫️ Презентация: https://speakerdeck.com/flant/standarty-biezopasnosti-v-kubernetes
источник
👉 @devops_star
Доклад руководителя разработки Deckhouse Kubernetes Platform (https://deckhouse.ru/) Константина Аксенова на VK Kubernetes Conf 2023. Автор рассказывает про рецепты и лучшие практики безопасности в Kubernetes, разбирает, какие из них действительно необходимы.
(0:00) Intro
(0:36) Безопасность в Kubernetes и как она влияет на доставку
(3:10) О стандартах безопасности
(5:08) Общая идея всех стандартов
(6:28) Пять шагов к безопасности в Kubernetes
(7:03) Шаг 1: корректная конфигурация кластера
(9:58) Шаг 2: сканирование образов
(11:48) Шаг 3: сетевая безопасность
(15:09) Шаг 4: контроль над запускаемыми приложениями
(18:08) Шаг 5: аудит и регистрация событий
(25:27) Итоги
(26:37) Q&A
источник
👉 @devops_star
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Kubefirst
Платформа с открытым исходным кодом Kubefirst
Это полностью автоматизированная и операционная платформа с открытым исходным кодом, которая включает в себя некоторые из самых популярных инструментов с открытым исходным кодом, доступных в пространстве Kubernetes, и все они работают вместе из одной команды.
Мы поддерживаем локальные облака, облака AWS и Civo. Запустив наши команды cli в пустой среде, вы получите экосистему облачного управления и доставки приложений GitOps с автоматизированными рабочими процессами Terraform, управлением секретами Vault, интеграцией GitLab или GitHub с Argo, а также демонстрационными приложениями, демонстрирующими, как все это работает вместе.
Документация https://docs.kubefirst.io/
https://github.com/kubefirst/kubefirst
👉 @devops_star
Платформа с открытым исходным кодом Kubefirst
Это полностью автоматизированная и операционная платформа с открытым исходным кодом, которая включает в себя некоторые из самых популярных инструментов с открытым исходным кодом, доступных в пространстве Kubernetes, и все они работают вместе из одной команды.
Мы поддерживаем локальные облака, облака AWS и Civo. Запустив наши команды cli в пустой среде, вы получите экосистему облачного управления и доставки приложений GitOps с автоматизированными рабочими процессами Terraform, управлением секретами Vault, интеграцией GitLab или GitHub с Argo, а также демонстрационными приложениями, демонстрирующими, как все это работает вместе.
Документация https://docs.kubefirst.io/
https://github.com/kubefirst/kubefirst
👉 @devops_star
👍3