Что, если… забыть про безопасность кластера k8s?
Я думаю, многие слышали про громкий инцидент, произошедший с Tesla в 2018 году, когда группа хакеров через консоль Kubernetes смогла получить доступ к аккаунту. После получения доступа ребята изрядно повеселились, настроив майнер в облачном сервисе Amazon Web Services.
У многих людей сразу же возникнут закономерные вопросы “А как они это сделали?” и “Почему многоуважаемые ИБ данной компании не подумали о потенциальной дыре в безопасности?”. Как правило, при разработке любого продукта могут быть лишь две причины возникновения уязвимостей. Первая причина - человеческий фактор. Ведь кто из нас не забывал что-либо в ходе кропотливой работы над проектом или же не откладывал в бэклог решение “не самых срочных вопросов..?”. Вторая причина - отсутствие необходимых компетенций в той или иной области. Далее
#devops #девопс
Подпишись 👉@i_DevOps
Я думаю, многие слышали про громкий инцидент, произошедший с Tesla в 2018 году, когда группа хакеров через консоль Kubernetes смогла получить доступ к аккаунту. После получения доступа ребята изрядно повеселились, настроив майнер в облачном сервисе Amazon Web Services.
У многих людей сразу же возникнут закономерные вопросы “А как они это сделали?” и “Почему многоуважаемые ИБ данной компании не подумали о потенциальной дыре в безопасности?”. Как правило, при разработке любого продукта могут быть лишь две причины возникновения уязвимостей. Первая причина - человеческий фактор. Ведь кто из нас не забывал что-либо в ходе кропотливой работы над проектом или же не откладывал в бэклог решение “не самых срочных вопросов..?”. Вторая причина - отсутствие необходимых компетенций в той или иной области. Далее
#devops #девопс
Подпишись 👉@i_DevOps
👍3
Эскалация привилегий в Kubernetes
Когда кто-то говорит о безопасности, в первую очередь имеет ввиду авторизацию и аутентификацию, но в контексте Kubernetes эти две составляющие являются лишь маленькими кусочками большого пазла.
В этой статье вы увидите, как пользователь с ограниченными правами, может повысить свои привилегии и стать админом кластера.
#devops #девопс
Подпишись 👉@i_DevOps
Когда кто-то говорит о безопасности, в первую очередь имеет ввиду авторизацию и аутентификацию, но в контексте Kubernetes эти две составляющие являются лишь маленькими кусочками большого пазла.
В этой статье вы увидите, как пользователь с ограниченными правами, может повысить свои привилегии и стать админом кластера.
#devops #девопс
Подпишись 👉@i_DevOps
👍2
Об управлении секретами в DevOps-окружениях за 5 минут! 🎥
Смотрите новый сезон Security Small Talk — короткие обучающие ролики, где простыми словами и без воды рассказывают об узких областях ИБ.
В новом выпуске окунемся в мир безопасной разработки и управление секретами в DevOps-окружениях.
Зачем смотреть?
⚡️ Узнать, что такое секреты и в чем отличие «human-to-machine» и «machine-to-machine» секретов
⚡️ Разобраться в управлении секретами на всех этапах жизненного цикла
⚡️ Узнать, как можно защищать секреты, какие практики и средства автоматизации можно использовать
Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.
Смотрите новый сезон Security Small Talk — короткие обучающие ролики, где простыми словами и без воды рассказывают об узких областях ИБ.
В новом выпуске окунемся в мир безопасной разработки и управление секретами в DevOps-окружениях.
Зачем смотреть?
⚡️ Узнать, что такое секреты и в чем отличие «human-to-machine» и «machine-to-machine» секретов
⚡️ Разобраться в управлении секретами на всех этапах жизненного цикла
⚡️ Узнать, как можно защищать секреты, какие практики и средства автоматизации можно использовать
Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.
YouTube
#SecuritySmallTalk Об управлении секретами
Зачем смотреть?
🔹 Узнать, что такое секреты и какими они бывают. В чем отличие «human-to-machine» от «machine-to-machine» секретов
🔹 Понять общую проблематику информационной безопасности, связанную с управлением секретами на всех этапах жизненного цикла
🔹…
🔹 Узнать, что такое секреты и какими они бывают. В чем отличие «human-to-machine» от «machine-to-machine» секретов
🔹 Понять общую проблематику информационной безопасности, связанную с управлением секретами на всех этапах жизненного цикла
🔹…
Снапшоты в Kubernetes: что это и как ими пользоваться
С появлением snapshot-controller в Kubernetes появилась возможность создавать снапшоты для совместимых с ними CSI-драйверов и облачных провайдеров.
Как и всё в Kubernetes, имплементация API является универсальной и не зависит от какого-либо вендора, что позволяет нам рассмотреть данный функционал в общем порядке. Как же устроены снапшоты и какую пользу они могут принести пользователям Kubernetes?
#devops #девопс
Подпишись 👉@i_DevOps
С появлением snapshot-controller в Kubernetes появилась возможность создавать снапшоты для совместимых с ними CSI-драйверов и облачных провайдеров.
Как и всё в Kubernetes, имплементация API является универсальной и не зависит от какого-либо вендора, что позволяет нам рассмотреть данный функционал в общем порядке. Как же устроены снапшоты и какую пользу они могут принести пользователям Kubernetes?
#devops #девопс
Подпишись 👉@i_DevOps
👍2
Gitlab ci/cd
В прод с помощью GITLAB CI/CD. На простом примере. Основы.
GITLAB CI/CD vs JENKINS. Что выбрать для своих CI CD pipeline?
GITLAB CI CD сокращаем код. Gitlab ci include, extends, reference, remote, local
Docker BUILD в GITLAB CI CD и kubernetes. Как правильно? Бонус настройка gitlab runner
источник
#devops #девопс
Подпишись 👉@i_DevOps
В прод с помощью GITLAB CI/CD. На простом примере. Основы.
GITLAB CI/CD vs JENKINS. Что выбрать для своих CI CD pipeline?
GITLAB CI CD сокращаем код. Gitlab ci include, extends, reference, remote, local
Docker BUILD в GITLAB CI CD и kubernetes. Как правильно? Бонус настройка gitlab runner
источник
#devops #девопс
Подпишись 👉@i_DevOps
👍10
DevOps and Cloud InfoQ Trends Report – June 2022
https://www.infoq.com/articles/devops-and-cloud-trends-2022/
#devops #девопс
Подпишись 👉@i_DevOps
https://www.infoq.com/articles/devops-and-cloud-trends-2022/
#devops #девопс
Подпишись 👉@i_DevOps
👍1
Запуск Flannel & kube-proxy отдельно от кластера
Всем привет! В сегодняшнем материале разберемся, как сделать внутренние сетевые ресурсы кластера k8s доступными напрямую с внешнего хоста. Спойлер: в этом нам поможет запуск Flannel в связке с kube-proxy на этом самом хосте.
#devops #девопс
Подпишись 👉@i_DevOps
Всем привет! В сегодняшнем материале разберемся, как сделать внутренние сетевые ресурсы кластера k8s доступными напрямую с внешнего хоста. Спойлер: в этом нам поможет запуск Flannel в связке с kube-proxy на этом самом хосте.
#devops #девопс
Подпишись 👉@i_DevOps
👍2
Top 50 Kubernetes Interview Questions You Must Prepare In 2022
https://www.edureka.co/blog/interview-questions/kubernetes-interview-questions/
#devops #девопс
Подпишись 👉@i_DevOps
https://www.edureka.co/blog/interview-questions/kubernetes-interview-questions/
#devops #девопс
Подпишись 👉@i_DevOps
Edureka
Top 50 Kubernetes Interview Questions And Answers for 2025 [Updated]
Kubernetes Interview Questions and Answers will prepare you to ace all the Kubernetes Interviews and crack them in the first attempt in 2025. Read on!
👍2
This media is not supported in your browser
VIEW IN TELEGRAM
Уже завтра стартует онлайн CyberCamp 2022 — событие, которое нельзя пропустить, если вы занимаетесь ИБ!💥
Центральная тема мероприятия — оперативное обнаружение инцидентов ИБ и устранение их последствий.
Практики по кибербезопасности (пентестеры, специалисты по мониторингу и расследованию инцидентов) в течение 3 дней будут делиться практическими знаниями о том, как противодействовать атакам злоумышленников.
Каждому спикеру можно будет задать вопросы, а после выступлений проверить знания в интерактивных заданиях.
Ты еще успеваешь присоединиться! Участие бесплатное.
👉 Регистрация на сайте CyberCamp 2022
Подробности в телеграм-канале CyberCamp
Центральная тема мероприятия — оперативное обнаружение инцидентов ИБ и устранение их последствий.
Практики по кибербезопасности (пентестеры, специалисты по мониторингу и расследованию инцидентов) в течение 3 дней будут делиться практическими знаниями о том, как противодействовать атакам злоумышленников.
Каждому спикеру можно будет задать вопросы, а после выступлений проверить знания в интерактивных заданиях.
Ты еще успеваешь присоединиться! Участие бесплатное.
👉 Регистрация на сайте CyberCamp 2022
Подробности в телеграм-канале CyberCamp
👍2
.Net Microservices The Hardcore Way: туториал от инженеров Microsoft, получаем PROD опыт
Для тех кто хочет погрузиться в проектирование .Net микросервисов, Kubernetes, Azure или CI/CD. Команда разработки Microsoft, выпустила несколько электронных книг и материал получился необычный, особенность этих изданий в том, что с разных сторон рассматривается один микросервисный проект PROD grade уровня, спроектированный топовыми инженерами отрасли. Далее
#devops #девопс
Подпишись 👉@i_DevOps
Для тех кто хочет погрузиться в проектирование .Net микросервисов, Kubernetes, Azure или CI/CD. Команда разработки Microsoft, выпустила несколько электронных книг и материал получился необычный, особенность этих изданий в том, что с разных сторон рассматривается один микросервисный проект PROD grade уровня, спроектированный топовыми инженерами отрасли. Далее
#devops #девопс
Подпишись 👉@i_DevOps
Напишите свою инфраструктуру Kubernetes — как код Go
Я продемонстрирую, как можно использовать Kubernetes Custom Resource Definitions при помощи cdk8s. Мы начнём с простого примера Nginx, а затем используем комбинацию CRD проекта Strimzi вместе с Go cdk8s для описания и развёртывания кластера Kafka на Kubernetes!
#devops #девопс
Подпишись 👉@i_DevOps
Я продемонстрирую, как можно использовать Kubernetes Custom Resource Definitions при помощи cdk8s. Мы начнём с простого примера Nginx, а затем используем комбинацию CRD проекта Strimzi вместе с Go cdk8s для описания и развёртывания кластера Kafka на Kubernetes!
#devops #девопс
Подпишись 👉@i_DevOps
👍5
Правим QEMU железным кулаком
Виртуализация, на мой взгляд, всё ещё остаётся одной из самых важных технологий в администрировании ЦОД. Да, конечно “все” будут рассказывать, что контейнеры намного более удобные, и всё надо запихивать в Кубер, и всё такое… Но после гигантского нагромождения никому не нужных конфигов, в какой-то момент ты начинаешь понимать, что зашёл слишком далеко. Далее
#devops #девопс
Подпишись 👉@i_DevOps
Виртуализация, на мой взгляд, всё ещё остаётся одной из самых важных технологий в администрировании ЦОД. Да, конечно “все” будут рассказывать, что контейнеры намного более удобные, и всё надо запихивать в Кубер, и всё такое… Но после гигантского нагромождения никому не нужных конфигов, в какой-то момент ты начинаешь понимать, что зашёл слишком далеко. Далее
#devops #девопс
Подпишись 👉@i_DevOps
👎4👍2💩2
Зачем мы сделали собственный контроллер для копирования секретов в Kubernetes
Сегодня хочу поделиться нашей внутренней разработкой — Kubernetes-контроллером mirrors. Мы создали его внутри нашего DevOps-отдела для копирования Kubernetes-секретов между неймспейсами кластера. В итоге mirrors превратился в универсальный инструмент синхронизации данных из разных источников.
В статье расскажу, с чего все начиналось и к чему мы в итоге пришли. Возможно, статья вдохновит вас на написание собственного контроллера под ваши задачи.
#devops #девопс
Подпишись 👉@i_DevOps
Сегодня хочу поделиться нашей внутренней разработкой — Kubernetes-контроллером mirrors. Мы создали его внутри нашего DevOps-отдела для копирования Kubernetes-секретов между неймспейсами кластера. В итоге mirrors превратился в универсальный инструмент синхронизации данных из разных источников.
В статье расскажу, с чего все начиналось и к чему мы в итоге пришли. Возможно, статья вдохновит вас на написание собственного контроллера под ваши задачи.
#devops #девопс
Подпишись 👉@i_DevOps
👍6
Большой гайд. Пишем микросервисы на Java и Spring Boot, заворачиваем в Docker, запускаем на EKS, мониторим на Grafana
Туториалы делятся на две больших категории: либо "как нарисовать сову", либо подробно расписанные тысячи шагов в формате "напиши туториал для дурака - и только дурак захочет его читать".
К какой из двух категорий относится эта статья — решать вам.
В этой статье вы увидите пошаговое создание cloud-native микросервиса на Amazon AWS, пригодное для "чтения с листа". Чтобы понять, что здесь происходит, не нужно разворачивать проект - достаточно обладать живым воображением и прочитать текст по диагонали. Если же вы всё-таки захотите повторить шаги, вам будут жизненно нужны знания вида, как создавать классы в IDE и что такое Spring.
#devops #девопс
Подпишись 👉@i_DevOps
Туториалы делятся на две больших категории: либо "как нарисовать сову", либо подробно расписанные тысячи шагов в формате "напиши туториал для дурака - и только дурак захочет его читать".
К какой из двух категорий относится эта статья — решать вам.
В этой статье вы увидите пошаговое создание cloud-native микросервиса на Amazon AWS, пригодное для "чтения с листа". Чтобы понять, что здесь происходит, не нужно разворачивать проект - достаточно обладать живым воображением и прочитать текст по диагонали. Если же вы всё-таки захотите повторить шаги, вам будут жизненно нужны знания вида, как создавать классы в IDE и что такое Spring.
#devops #девопс
Подпишись 👉@i_DevOps
👍3
Forwarded from Книги для Системного Администратора
Kubernetes-Kubectl-CLI-Cheat-Sheet.pdf
14 MB
Kubernetes-Kubectl-CLI-Cheat-Sheet
👍5
Куда исчезают секреты Kubernetes
Секреты используют в кластерах Kubernetes в разных целях. Одна из основных — разместить учетные данных сервисных аккаунтов, чтобы аутентифицировать рабочие нагрузки в кластерах API-сервером.
В чем суть проблемы
Когда вы создаете сервисный аккаунт, Kubernetes автоматически создает секрет к нему. Потом вы указываете, что этот сервисный аккаунт надо использовать для вашей рабочей нагрузки. И Kubernetes монтирует в нее секрет. Далее
#devops #девопс
Подпишись 👉@i_DevOps
Секреты используют в кластерах Kubernetes в разных целях. Одна из основных — разместить учетные данных сервисных аккаунтов, чтобы аутентифицировать рабочие нагрузки в кластерах API-сервером.
В чем суть проблемы
Когда вы создаете сервисный аккаунт, Kubernetes автоматически создает секрет к нему. Потом вы указываете, что этот сервисный аккаунт надо использовать для вашей рабочей нагрузки. И Kubernetes монтирует в нее секрет. Далее
#devops #девопс
Подпишись 👉@i_DevOps
👍3
Model serving в Kubernetes: сравнение инструментов
Последние несколько лет в решении бизнес-задач прогрессирует тренд использования Искусственного Интеллекта. Перед специалистами, отвечающими за инфраструктуру встают вопросы о том, какие решения они могут предложить ML-специалистам для закрытия их потребностей в отказоустойчивой и гибкой инфраструктуре с учетом специфических потребностей сферы ML. В том числе, растет число инструментов и фич, которые они предоставляют, и многие задаются вопросом: как собрать свой MLOps-стек, чтобы он был удобный, (желательно) бесплатный и закрывал большинство распространенных потребностей?
В сегодняшней статье рассмотрим способы реализации model serving, то есть инструментов, которые нужны для того, чтобы подготовить модель к деплою и запустить в Kubernetes.
#devops #девопс
Подпишись 👉@i_DevOps
Последние несколько лет в решении бизнес-задач прогрессирует тренд использования Искусственного Интеллекта. Перед специалистами, отвечающими за инфраструктуру встают вопросы о том, какие решения они могут предложить ML-специалистам для закрытия их потребностей в отказоустойчивой и гибкой инфраструктуре с учетом специфических потребностей сферы ML. В том числе, растет число инструментов и фич, которые они предоставляют, и многие задаются вопросом: как собрать свой MLOps-стек, чтобы он был удобный, (желательно) бесплатный и закрывал большинство распространенных потребностей?
В сегодняшней статье рассмотрим способы реализации model serving, то есть инструментов, которые нужны для того, чтобы подготовить модель к деплою и запустить в Kubernetes.
#devops #девопс
Подпишись 👉@i_DevOps
👍2