Forwarded from Sysadmin Tools 🇺🇦
Роман в 6 частях - A Deep Dive into Kubernetes Metricshttps://blog.freshtracks.io/a-deep-dive-into-kubernetes-metrics-b190cc97f0f6
#monitoring #k8s #kubernetes #prometheus #metrics #victoriametrics #docker
Forwarded from The After Times
Как распознать стрёмного работодателя. #змеиные_истории https://alvirmob.medium.com/как-распознать-стрёмного-работодателя-cb307fad0cac
Forwarded from k8s (in)security (D1g1)
Третья часть [1,2] по мыслям о сканирование образов (
Во второй части мы говорили о мифах, недостатках и проблемах инструментов данного класса. Сейчас рассмотрим, как же всё-таки можно улучшить данную картину. Основная проблема как мы уже выяснили это количество "шума", которое генерируют данные инструменты.
Можно, конечно, пойти по пути фильтрации и приоритезации данного "шума", накручивая по верх данных сканеров собственные метрики и эвристики. Но на мой взгляд качество этого будут сильно завесить от самой реализации и не застраховано от сбоев.
Лучше идти по пути уменьшения количества данного "шума". И в первую очередь это будет связано не с внедрением каких-то других решений по безопасности, а с культурой разработки продукта внутри вашей компании (это вам никто не продаст в виде готовой коробочки).
1) Культура ведения кода - отдельная большая область, которая покрывает темы от монорепов до использования сторонних библиотек во внутренних репозитариях (а не выдирать уязвимые куски кода и вставлять в свой проект). Общая цель которой это упростить автоматическим средствам анализа поиск недостатков.
2) Distroless images - убрать дистрибутив с кучей его бинарей, библиотек из image. Дает сразу море преимуществ - тут и размер образа уменьшается, и attack surface уменьшается, уменьшается и возможности атакующего, что попадет внутрь такого контейнера, так и "шум" уменьшается. Общая цель убрать, то, что не используется, чтобы уменьшить от них “шум”.
3) Оптимизированный порядок слоев в образе - слои в образе должны быть от более толстых, к более тонким (к часто обновляемым). Общая цель которой это упростить и ускорить автоматическим средствам анализа поиск недостатков.
Ну и на последок можно рассмотреть честный Shiftleft security подход - на пример, это умеют некоторые решения класса SCA (Software Composition Analysis).
images) контейнеров.Во второй части мы говорили о мифах, недостатках и проблемах инструментов данного класса. Сейчас рассмотрим, как же всё-таки можно улучшить данную картину. Основная проблема как мы уже выяснили это количество "шума", которое генерируют данные инструменты.
Можно, конечно, пойти по пути фильтрации и приоритезации данного "шума", накручивая по верх данных сканеров собственные метрики и эвристики. Но на мой взгляд качество этого будут сильно завесить от самой реализации и не застраховано от сбоев.
Лучше идти по пути уменьшения количества данного "шума". И в первую очередь это будет связано не с внедрением каких-то других решений по безопасности, а с культурой разработки продукта внутри вашей компании (это вам никто не продаст в виде готовой коробочки).
1) Культура ведения кода - отдельная большая область, которая покрывает темы от монорепов до использования сторонних библиотек во внутренних репозитариях (а не выдирать уязвимые куски кода и вставлять в свой проект). Общая цель которой это упростить автоматическим средствам анализа поиск недостатков.
2) Distroless images - убрать дистрибутив с кучей его бинарей, библиотек из image. Дает сразу море преимуществ - тут и размер образа уменьшается, и attack surface уменьшается, уменьшается и возможности атакующего, что попадет внутрь такого контейнера, так и "шум" уменьшается. Общая цель убрать, то, что не используется, чтобы уменьшить от них “шум”.
3) Оптимизированный порядок слоев в образе - слои в образе должны быть от более толстых, к более тонким (к часто обновляемым). Общая цель которой это упростить и ускорить автоматическим средствам анализа поиск недостатков.
Ну и на последок можно рассмотреть честный Shiftleft security подход - на пример, это умеют некоторые решения класса SCA (Software Composition Analysis).
Telegram
k8s (in)security
На этой неделе целенаправленно поговорим о сканирование образов (images) контейнеров, хотя уже не раз это обсуждали.
И так сканирование образа может проходить на 3-х стадиях:
- Build: во время сбора image в CI\DI пайплайне. То, что подается как ShiftLeft…
И так сканирование образа может проходить на 3-х стадиях:
- Build: во время сбора image в CI\DI пайплайне. То, что подается как ShiftLeft…
Forwarded from Ты в курсе (IT)
3 ноября в 19:00 мск учебный центр "Слёрм" проведёт митап на тему "Профессия SRE: практика и мифы". Можно будет задать вопросы экспертам.
Повестка дня:
– Что такое SRE и зачем все это нужно IT и бизнесу?
– SRE – хайп или проверенный подход?
– Как с этим работать?
– Практики SRE
– Как внедрить у себя?
– Что нужно, чтобы стать SRE-инженером?
Эксперты:
– Артем Артемьев (Lead SRE в Inspectorio)
– Павел Селиванов (Senior DevOps Engineer в Mail.ru Cloud Solutions)
Ведущий:
– Марсель Ибраев (СТО Слёрм)
Мероприятие бесплатное, регистрация по ссылке: https://slurm.club/3mtkpMp
Повестка дня:
– Что такое SRE и зачем все это нужно IT и бизнесу?
– SRE – хайп или проверенный подход?
– Как с этим работать?
– Практики SRE
– Как внедрить у себя?
– Что нужно, чтобы стать SRE-инженером?
Эксперты:
– Артем Артемьев (Lead SRE в Inspectorio)
– Павел Селиванов (Senior DevOps Engineer в Mail.ru Cloud Solutions)
Ведущий:
– Марсель Ибраев (СТО Слёрм)
Мероприятие бесплатное, регистрация по ссылке: https://slurm.club/3mtkpMp
Forwarded from Флант | Специалисты по DevOps и Kubernetes
А также мы на днях обнаружили интересную статью с примером использования werf с GitHub Actions для решения инфраструктурной задачи по сбору логов для домашнего Kubernetes-кластера (MicroK8s): https://gievoiviktor.medium.com/%D0%BB%D0%B5%D0%B3%D0%BA%D0%BE%D0%B2%D0%B5%D1%81%D0%BD%D1%8B%D0%B9-%D1%81%D0%B1%D0%BE%D1%80%D1%89%D0%B8%D0%BA-%D0%BB%D0%BE%D0%B3%D0%BE%D0%B2-%D0%BD%D0%B0-%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D0%B5-fluentd-%D0%B2-microk8s-34c92c16c2aa
Medium
Легковесный сборщик логов на примере FluentD в K8S и WERF
Занимаясь своим проектом в домашнем кластере построенным на MicroK8s я столкнулся с проблемой падения приложения если мой сборщик логов…
Forwarded from PythonDigest
#python #pydigest
Сборник Python новостей уже перед вами.
В выпуске Python Дайджест вы найдете:
- Python. Язык, на котором просто мыслить
- Python⇒Speed: Poetry vs. Docker caching: Fight!
- Прототип на «коленке»: мониторинг датчиков сердечного ритма в спортивном зале
- Как искусственный интеллект борется с вредителями
- Забываете передавать аргументы в функцию? Вам поможет contextvars
- Удав укрощает Graal VM
- Определение токсичных комментариев на русском языке
- optimize-images v1.4.0
- Django bugfix releases issued: 3.1.3, 3.0.11, and 2.2.17
Заходите в гости - https://pythondigest.ru/issue/359/
Присылайте интересные новости через форму на сайте.
Сборник Python новостей уже перед вами.
В выпуске Python Дайджест вы найдете:
- Python. Язык, на котором просто мыслить
- Python⇒Speed: Poetry vs. Docker caching: Fight!
- Прототип на «коленке»: мониторинг датчиков сердечного ритма в спортивном зале
- Как искусственный интеллект борется с вредителями
- Забываете передавать аргументы в функцию? Вам поможет contextvars
- Удав укрощает Graal VM
- Определение токсичных комментариев на русском языке
- optimize-images v1.4.0
- Django bugfix releases issued: 3.1.3, 3.0.11, and 2.2.17
Заходите в гости - https://pythondigest.ru/issue/359/
Присылайте интересные новости через форму на сайте.
Python Дайджест
Выпуск 359
Выпуск еженедельного Python Дайджеста. Самые актуальные новости про Python за 2020-11-02 - 2020-11-08 на одной странице
This media is not supported in your browser
VIEW IN TELEGRAM
Стандартный рабочий день