Безопасность контейнерных сред: как отбить атаки киберпиратов
В современном мире практически ни одна разработка программного обеспечения не обходится без использования средств контейнеризации, что связано с удобством хранения артефактов и зависимостей. Киберпираты следуют трендам DevSecOps, чтобы повышать энтропию атак на контейнерные среды. Кроме того, растет количество APT группировок, что является сегодня довольно значимой проблемой. В данной статье мы подробно рассматриваем техники злоумышленников, а также рассказываем о существующих тактиках защиты для того, чтобы разработчики или DevOps-инженеры смогли применять их в своей повседневной работе.
https://habr.com/ru/companies/neoflex/articles/837946/
#devops #девопс
Подпишись 👉@i_DevOps
В современном мире практически ни одна разработка программного обеспечения не обходится без использования средств контейнеризации, что связано с удобством хранения артефактов и зависимостей. Киберпираты следуют трендам DevSecOps, чтобы повышать энтропию атак на контейнерные среды. Кроме того, растет количество APT группировок, что является сегодня довольно значимой проблемой. В данной статье мы подробно рассматриваем техники злоумышленников, а также рассказываем о существующих тактиках защиты для того, чтобы разработчики или DevOps-инженеры смогли применять их в своей повседневной работе.
https://habr.com/ru/companies/neoflex/articles/837946/
#devops #девопс
Подпишись 👉@i_DevOps
👍2
🌟 GitHub Actions для Terraform 🌟
Если вы используете Terraform и хотите интегрировать его с CI/CD процессами на GitHub Actions, используйте библиотеку terraform-github-actions.
С её помощью вы сможете:
- Автоматизировать и тестировать Terraform-код.
- Настраивать проверки terraform plan и terraform apply.
- Ускорить деплой инфраструктуры.
Документация в репозитории описывает примеры использования и тонкости настройки.
https://github.com/dflook/terraform-github-actions
#devops #девопс
Подпишись 👉@i_DevOps
Если вы используете Terraform и хотите интегрировать его с CI/CD процессами на GitHub Actions, используйте библиотеку terraform-github-actions.
С её помощью вы сможете:
- Автоматизировать и тестировать Terraform-код.
- Настраивать проверки terraform plan и terraform apply.
- Ускорить деплой инфраструктуры.
Документация в репозитории описывает примеры использования и тонкости настройки.
https://github.com/dflook/terraform-github-actions
#devops #девопс
Подпишись 👉@i_DevOps
👍4
Привет всем пользователям и администраторам Linux! Специально для вас я создал канал @/usr/bin, в котором регулярно делюсь своим опытом и опытом других людей по администрированию ОС и приложений на ней. Каждый день в канале публикуется новая интересная статья.
В планах собрать интересную базу знаний, которой потом можно будет постоянно пользоваться.
Топ последних постов, опубликованных на канале:
🚀 Подстроки в Bash: извлечение и обработка
🚀 Как устроен кэш Linux: руководство для начинающих
🚀 Статья о том, как стать grep-ниндзей
🚀 Буферный кэш PostgreSQL: автоматизация анализа с помощью bash-скрипта
🚀 Как проверить, используется ли папка службами в Linux
Подписывайтесь на канал /usr/bin, чтобы не пропустить новые интересные статьи.
Есть и другие каналы, которыми тоже занимаюсь:
🚀 @monitorim_it — всё о мониторинге
🚀 @zabbix_ru — лайфхаки в Zabbix
🚀 @elasticstack_ru — лайфхаки ElasticSearch/OpenSearch
В планах собрать интересную базу знаний, которой потом можно будет постоянно пользоваться.
Топ последних постов, опубликованных на канале:
🚀 Подстроки в Bash: извлечение и обработка
🚀 Как устроен кэш Linux: руководство для начинающих
🚀 Статья о том, как стать grep-ниндзей
🚀 Буферный кэш PostgreSQL: автоматизация анализа с помощью bash-скрипта
🚀 Как проверить, используется ли папка службами в Linux
Подписывайтесь на канал /usr/bin, чтобы не пропустить новые интересные статьи.
Есть и другие каналы, которыми тоже занимаюсь:
🚀 @monitorim_it — всё о мониторинге
🚀 @zabbix_ru — лайфхаки в Zabbix
🚀 @elasticstack_ru — лайфхаки ElasticSearch/OpenSearch
👍2
💡Local Path Provisioner — это удобное решение для предоставления локального хранилища в Kubernetes-кластерах. Оно позволяет пользователям создавать PersistentVolume на узлах с использованием локального хранилища.
Основные преимущества:
- Простая настройка и использование.
- Гибкость в указании путей для хранения.
- Отличный выбор для разработки и тестирования.
https://github.com/rancher/local-path-provisioner/tree/master
#devops #девопс
Подпишись 👉@i_DevOps
Основные преимущества:
- Простая настройка и использование.
- Гибкость в указании путей для хранения.
- Отличный выбор для разработки и тестирования.
https://github.com/rancher/local-path-provisioner/tree/master
#devops #девопс
Подпишись 👉@i_DevOps
👍3
Redis-operator
Создает/настраивает/управляет высокой доступностью redis
https://github.com/spotahome/redis-operator
#devops #девопс
Подпишись 👉@i_DevOps
Создает/настраивает/управляет высокой доступностью redis
https://github.com/spotahome/redis-operator
#devops #девопс
Подпишись 👉@i_DevOps
👍1
👍4
Основы контейнеризации, микросервисы, Kubernetes и как это защитить?
Контейнеры, микросервисы, лямбды и где они обитают
Устройство сети в Kubernetes
Calico для сети в Kubernetes
Межсетевой экран и Kubernetes
Сетевые политики Kubernetes
CloudGuard для Kubernetes - Обзор и демо
источник
#devops #девопс
Подпишись 👉@i_DevOps
Контейнеры, микросервисы, лямбды и где они обитают
Устройство сети в Kubernetes
Calico для сети в Kubernetes
Межсетевой экран и Kubernetes
Сетевые политики Kubernetes
CloudGuard для Kubernetes - Обзор и демо
источник
#devops #девопс
Подпишись 👉@i_DevOps
👍3
Juniper routers, как правильно собрать syslogs и красиво оформить dashboard в grafana
В данное статье рассматривается порядок развертывания системы сбора и анализа логов с сетевых устройств производства Juniper Networks, посредством применения «Vector», «Loki» и «Grafana». Подробно описан процесс развертывания данных инструментов с помощью docker‑compose. Помимо этого, в статье затрагивается конфигурация сетевых устройств с использованием Ansible. Отдельное внимание отведено визуализации данных в Grafana, посредством создания dashboard.
https://habr.com/ru/articles/876542/
#devops #девопс
Подпишись 👉@i_DevOps
В данное статье рассматривается порядок развертывания системы сбора и анализа логов с сетевых устройств производства Juniper Networks, посредством применения «Vector», «Loki» и «Grafana». Подробно описан процесс развертывания данных инструментов с помощью docker‑compose. Помимо этого, в статье затрагивается конфигурация сетевых устройств с использованием Ansible. Отдельное внимание отведено визуализации данных в Grafana, посредством создания dashboard.
https://habr.com/ru/articles/876542/
#devops #девопс
Подпишись 👉@i_DevOps
👍2🔥1
Внедряем AI Code Assistant в разработку бесплатно и без вендорлока — Инструкция
По разным данным, code assistant'ы позволяют ускорить процесс написания кода до 25%, а это очень существенно. И в этой статье я хотел бы развеять мифы о том, что кодинг-ассистент и их внедрение это что-то далекое от реальности. Более того, это не всегда привязка к определенному вендору LLM или определенной среде разработки (IDE), а также я развею миф о том, что внедрение такого ассистента это очень дорого и для этого нужно очень много ресурсов. Ну что ж, поехали.
https://habr.com/ru/articles/875816/
#devops #девопс
Подпишись 👉@i_DevOps
По разным данным, code assistant'ы позволяют ускорить процесс написания кода до 25%, а это очень существенно. И в этой статье я хотел бы развеять мифы о том, что кодинг-ассистент и их внедрение это что-то далекое от реальности. Более того, это не всегда привязка к определенному вендору LLM или определенной среде разработки (IDE), а также я развею миф о том, что внедрение такого ассистента это очень дорого и для этого нужно очень много ресурсов. Ну что ж, поехали.
https://habr.com/ru/articles/875816/
#devops #девопс
Подпишись 👉@i_DevOps
👍3
Topolvm — это проект с открытым исходным кодом, обеспечивающий управление томами для Kubernetes на основе LV (Logical Volume). Он позволяет эффективно использовать локальное хранилище на узлах кластера и автоматизирует создание, управление и удаление томов.
Среди основных возможностей Topolvm:
- Dynamic provisioning: автоматическое создание логических томов для Kubernetes PersistentVolumeClaims.
- Тонкое использование ресурсов: поддержка thin provisioning, что позволяет эффективно расходовать доступное пространство.
- Интеграция с CSI: поддержка интерфейса CSI (Container Storage Interface) для работы с Kubernetes.
- Полный контроль над хранилищем: локальные тома автоматически распределяются на основе доступных ресурсов.
Репозиторий проекта содержит документацию, примеры использования и подробные инструкции для интеграции с Kubernetes.
https://github.com/topolvm/topolvm/
#devops #девопс
Подпишись 👉@i_DevOps
Среди основных возможностей Topolvm:
- Dynamic provisioning: автоматическое создание логических томов для Kubernetes PersistentVolumeClaims.
- Тонкое использование ресурсов: поддержка thin provisioning, что позволяет эффективно расходовать доступное пространство.
- Интеграция с CSI: поддержка интерфейса CSI (Container Storage Interface) для работы с Kubernetes.
- Полный контроль над хранилищем: локальные тома автоматически распределяются на основе доступных ресурсов.
Репозиторий проекта содержит документацию, примеры использования и подробные инструкции для интеграции с Kubernetes.
https://github.com/topolvm/topolvm/
#devops #девопс
Подпишись 👉@i_DevOps
👍4🔥1
📌 Kubernetes 101: назначение Pod'ов на узлы
В статье подробно рассматриваются механизмы назначения Pod'ов на узлы в Kubernetes. Автор объясняет такие инструменты, как nodeSelector, nodeAffinity и taints/tolerations, которые позволяют контролировать, где именно будут запускаться ваши Pod'ы.
🔧 Основные моменты:
- nodeSelector — простой способ указать, на каком узле должен работать Pod.
- Node Affinity — более гибкий способ задания условий, включая hard и soft требования.
- Taints и Tolerations — эффективный способ предотвращать запуск Pod'ов на неподходящих узлах, если те не "терпят" заданные taints.
Эти инструменты помогают оптимизировать использование ресурсов кластера и избегать перегрузки узлов.
https://hwchiu.medium.com/kubernetes-101-assigning-pod-to-nodes-e52eebb4bc38
#devops #девопс
Подпишись 👉@i_DevOps
В статье подробно рассматриваются механизмы назначения Pod'ов на узлы в Kubernetes. Автор объясняет такие инструменты, как nodeSelector, nodeAffinity и taints/tolerations, которые позволяют контролировать, где именно будут запускаться ваши Pod'ы.
🔧 Основные моменты:
- nodeSelector — простой способ указать, на каком узле должен работать Pod.
- Node Affinity — более гибкий способ задания условий, включая hard и soft требования.
- Taints и Tolerations — эффективный способ предотвращать запуск Pod'ов на неподходящих узлах, если те не "терпят" заданные taints.
Эти инструменты помогают оптимизировать использование ресурсов кластера и избегать перегрузки узлов.
https://hwchiu.medium.com/kubernetes-101-assigning-pod-to-nodes-e52eebb4bc38
#devops #девопс
Подпишись 👉@i_DevOps
👍9
🚀 OpenEBS LocalPV Hostpath: простое и производительное локальное хранилище для Kubernetes
🔹 Что это?
LocalPV Hostpath — это тип локального тома, который использует директории на узлах Kubernetes для хранения данных. Идеально подходит для приложений, где важна низкая задержка и высокая производительность.
🔹 Плюсы:
✅ Простота настройки.
✅ Высокая производительность за счет локального хранения.
✅ Полная интеграция с Kubernetes.
🔹 Когда использовать?
- Тестирование и разработка.
- Приложения с низкими требованиями к задержке (базы данных, кэши).
- Системы, где данные не критичны или легко восстанавливаются.
📚 Как начать?
В статье вы найдете пошаговые инструкции по установке, настройке и использованию LocalPV Hostpath, а также примеры YAML-манифестов.
https://staging--openebs-docs-staging.netlify.app/docs/next/uglocalpv-hostpath
#devops #девопс
Подпишись 👉@i_DevOps
🔹 Что это?
LocalPV Hostpath — это тип локального тома, который использует директории на узлах Kubernetes для хранения данных. Идеально подходит для приложений, где важна низкая задержка и высокая производительность.
🔹 Плюсы:
✅ Простота настройки.
✅ Высокая производительность за счет локального хранения.
✅ Полная интеграция с Kubernetes.
🔹 Когда использовать?
- Тестирование и разработка.
- Приложения с низкими требованиями к задержке (базы данных, кэши).
- Системы, где данные не критичны или легко восстанавливаются.
📚 Как начать?
В статье вы найдете пошаговые инструкции по установке, настройке и использованию LocalPV Hostpath, а также примеры YAML-манифестов.
https://staging--openebs-docs-staging.netlify.app/docs/next/uglocalpv-hostpath
#devops #девопс
Подпишись 👉@i_DevOps
👍1
Какая роль у контроллера DaemonSet?
Контроллер DaemonSet в Kubernetes играет важную роль в обеспечении того, чтобы определённый под (Pod) запускался на каждом узле (Node) кластера (или на определённом подмножестве узлов, если заданы ограничения). Основные задачи и функции контроллера DaemonSet:
1. Запуск подов на каждом узле
- DaemonSet гарантирует, что на каждом узле кластера будет запущен экземпляр указанного пода.
- Это полезно для задач, которые должны выполняться на каждом узле, например:
- Сбор логов (например, Fluentd, Logstash).
- Мониторинг (например, Prometheus Node Exporter).
- Сетевые плагины (например, Calico, Weave).
- Хранение данных (например, распределённые хранилища).
2. Автоматическое добавление подов при добавлении новых узлов
- Когда в кластер добавляется новый узел, DaemonSet автоматически создаёт на нём под.
- Это обеспечивает согласованность и автоматизацию развёртывания.
3. Удаление подов при удалении узлов
- Если узел удаляется из кластера, DaemonSet автоматически удаляет под, связанный с этим узлом.
4. Поддержка селекторов и толерантностей
- DaemonSet позволяет использовать селекторы для выбора узлов, на которых будут запускаться поды.
- Также можно использовать толерантности (tolerations), чтобы разрешить запуск подов на узлах с определёнными метками (например, на узлах с taint
5. Обновление и управление подами
- DaemonSet поддерживает стратегии обновления (например, RollingUpdate или OnDelete), что позволяет обновлять поды на узлах с минимальным простоем.
- Контроллер следит за состоянием подов и обеспечивает их корректную работу.
Примеры использования DaemonSet:
- Сетевые плагины: Запуск сетевых агентов на каждом узле для обеспечения сетевой связности.
- Мониторинг: Запуск агентов сбора метрик (например, Prometheus Node Exporter) на каждом узле.
- Логирование: Запуск агентов сбора логов (например, Fluentd) на каждом узле.
- Хранение данных: Запуск компонентов распределённых хранилищ (например, Ceph, GlusterFS).
Отличие DaemonSet от других контроллеров:
- Deployment: Запускает определённое количество реплик подов, которые могут быть распределены по любым узлам.
- StatefulSet: Управляет подами с устойчивыми идентификаторами и хранилищем.
- DaemonSet: Запускает по одному поду на каждом узле (или на подмножестве узлов).
Таким образом, роль контроллера DaemonSet заключается в обеспечении запуска и поддержания определённого пода на каждом узле кластера, что делает его идеальным инструментом для задач, которые должны выполняться на всех узлах.
#devops #девопс
Подпишись 👉@i_DevOps
Контроллер DaemonSet в Kubernetes играет важную роль в обеспечении того, чтобы определённый под (Pod) запускался на каждом узле (Node) кластера (или на определённом подмножестве узлов, если заданы ограничения). Основные задачи и функции контроллера DaemonSet:
1. Запуск подов на каждом узле
- DaemonSet гарантирует, что на каждом узле кластера будет запущен экземпляр указанного пода.
- Это полезно для задач, которые должны выполняться на каждом узле, например:
- Сбор логов (например, Fluentd, Logstash).
- Мониторинг (например, Prometheus Node Exporter).
- Сетевые плагины (например, Calico, Weave).
- Хранение данных (например, распределённые хранилища).
2. Автоматическое добавление подов при добавлении новых узлов
- Когда в кластер добавляется новый узел, DaemonSet автоматически создаёт на нём под.
- Это обеспечивает согласованность и автоматизацию развёртывания.
3. Удаление подов при удалении узлов
- Если узел удаляется из кластера, DaemonSet автоматически удаляет под, связанный с этим узлом.
4. Поддержка селекторов и толерантностей
- DaemonSet позволяет использовать селекторы для выбора узлов, на которых будут запускаться поды.
- Также можно использовать толерантности (tolerations), чтобы разрешить запуск подов на узлах с определёнными метками (например, на узлах с taint
node-role.kubernetes.io/master).5. Обновление и управление подами
- DaemonSet поддерживает стратегии обновления (например, RollingUpdate или OnDelete), что позволяет обновлять поды на узлах с минимальным простоем.
- Контроллер следит за состоянием подов и обеспечивает их корректную работу.
Примеры использования DaemonSet:
- Сетевые плагины: Запуск сетевых агентов на каждом узле для обеспечения сетевой связности.
- Мониторинг: Запуск агентов сбора метрик (например, Prometheus Node Exporter) на каждом узле.
- Логирование: Запуск агентов сбора логов (например, Fluentd) на каждом узле.
- Хранение данных: Запуск компонентов распределённых хранилищ (например, Ceph, GlusterFS).
Отличие DaemonSet от других контроллеров:
- Deployment: Запускает определённое количество реплик подов, которые могут быть распределены по любым узлам.
- StatefulSet: Управляет подами с устойчивыми идентификаторами и хранилищем.
- DaemonSet: Запускает по одному поду на каждом узле (или на подмножестве узлов).
Таким образом, роль контроллера DaemonSet заключается в обеспечении запуска и поддержания определённого пода на каждом узле кластера, что делает его идеальным инструментом для задач, которые должны выполняться на всех узлах.
#devops #девопс
Подпишись 👉@i_DevOps
👍10❤1