Pull to refresh
21
Karma
0
Rating
  • Followers 2
  • Following
  • Posts
  • Comments

Аутентификация в Kubernetes с помощью Dex: прикручиваем LDAP

DataLine corporate blog IT Infrastructure *Virtualization *DevOps *Kubernetes *
Tutorial
Сегодня я подробно разберу настройку аутентификации в Kubernetes с помощью Dex в связке с LDAP, а также покажу, как можно добавлять статических пользователей в Dex. 

В статье не буду останавливаться на основных принципах работы Dex, а сразу перейду к установке и настройке LDAP. Познакомиться с принципами работы Dex можно в этой статье.

Что будем делать:

  1. Установим OpenLDAP и настроим на нем поддержку STARTTLS. 
  2. Опишем структуру LDAP-каталога нашей организации.
  3. Включим поддержку OIDC (OpenID Connect) на kube-api-серверах.
  4. Получим SAN-сертификат для доменов, которые будет использовать Dex.
  5. Установим Dex и Dex-auth, где мы опишем LDAP-каталог и статических пользователей
  6. Сгенерируем kubeconfig нашего пользователя для работы с кластером.
  7. Настроим RBAC-авторизацию для групп и пользователей в кластере.

Итак, поехали.



Показывать буду на примере уже готового кластера Kubernetes с Helm версии 3 и Ingress, а также тремя доменными именами.
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 3.9K
Comments 0

А продемонстрируйте, или Как мы проходили аудит Operational Sustainability в Uptime Institute

DataLine corporate blog IT Infrastructure *IT Standards *Systems engineering

Руководитель отдела эксплуатации залез в люк подземного топливохранилища, чтобы показать маркировку на электромагнитном клапане.

В начале февраля наш самый большой дата-центр Tier III NORD-4 прошел повторную сертификацию Uptime institute (UI) по стандарту Operational Sustainability. Сегодня расскажем, на что смотрят аудиторы и с какими результатами мы финишировали.

Для тех, кто с дата-центрами на «вы», кратко пройдемся по матчасти. Tier Standards оценивает и сертифицирует дата-центры на трех этапах:

  • проект (Dеsign): проверяется пакет проектной документации.Тут как раз присваиваются всем известные Tier. Всего их 4: Tier I–IV. Последний, соответственно, самый высокий.
  • построенный объект (Facility): проверяется инженерная инфраструктура дата-центра и ее соответствие проекту. Дата-центр проверяют под полной проектной загрузкой с помощью множества тестов примерно такого содержания: один из ИБП (ДГУ, чиллеров, прецизионных кондиционеров, распределительных шкафов, шинопроводов и т.п.) выводится из эксплуатации на обслуживание или ремонт, при этом отключается городское энергоснабжение. ЦОД уровня Tier III и выше должен справиться с ситуацией без каких-либо последствий для полезной ИТ-нагрузки.

    Facility можно сдавать, если дата-центр уже прошел сертификацию Dеsign.
    NORD-4 получил свой сертификат Design в 2015 году, а Facility —  в 2016.
  • эксплуатация (Operational Sustainability). По сути, самая главная и сложная сертификация. Она в комплексе оценивает процессы и компетенции оператора по обслуживанию и управлению дата-центром с установленным уровнем Tier (чтобы сдать Operational Sustainability, вы уже должны иметь сертификат Facility). Ведь без правильно выстроенных процессов эксплуатации и квалифицированной команды даже дата-центр Tier IV может превратиться в бесполезное здание с очень дорогим оборудованием.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 2.4K
Comments 1

Катастрофоустойчивое облако: как это работает

DataLine corporate blog IT Infrastructure *Virtualization *Cloud computing *Cloud services
Привет, Хабр!

После новогодних праздников мы перезапустили катастрофоустойчивое облако на базе двух площадок. Сегодня расскажем, как это устроено, и покажем, что происходит с клиентскими виртуальными машинами при отказе отдельных элементов кластера и падении целой площадки (спойлер – с ними все хорошо).


СХД катастрофоустойчивого облака на площадке OST.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 6.4K
Comments 13

Обновляем Check Point с R77.30 на 80.20

DataLine corporate blog Information Security *IT Infrastructure *Virtualization *Cloud computing *


Осенью 2019 года Check Point прекратил поддержку версий R77.XX, и нужно было обновляться. О разнице между версиями, плюсах и минусах перехода на R80 сказано уже немало. Давайте лучше поговорим о том, как, собственно, обновить виртуальные appliance Check Point (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) и что может пойти не так.

Итак, у нас было 2 инженера CCSE, более десятка виртуальных кластеров Check Point R77.30, несколько облаков, немножечко хотфиксов и целое море разнообразных багов, глюков и всего такого, всех цветов и размеров, а еще очень сжатые сроки. Погнали!
Содержание:

Подготовка
Обновляем сервер управления
Обновляем кластер



Так выглядит типичная облачная инфраструктура клиента с виртуальным Check Point
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 3.7K
Comments 4

С Hyper-V на VMware и обратно: конвертация виртуальных дисков

DataLine corporate blog IT Infrastructure *Virtualization *Cloud computing *Cloud services


Привет, Хабр!

Периодически я слышу от практикующих инженеров странное: VMDK, VHD и VHDX – абсолютно разные форматы виртуальных дисков, чуть ли не закрытые, а конвертировать из одного в другое – долго и больно. Сегодня наглядно покажу, что это не так, разберу, как эти форматы соотносятся друг с другом и как делать быструю конвертацию при миграции с Hyper-V на VMware и обратно.

Немного теории. C точки зрения свойств, виртуальные диски делятся на два типа:

  • тонкие (thin disk, dynamic disk) и
  • толстые (thick disk, fixed disk). Все остальное — разностные, thick provisioned lazy- zeroed – лишь вариации на тему.
Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views 40K
Comments 12

Операция “Миграция”: как происходит переезд в облако DataLine

DataLine corporate blog IT Infrastructure *Virtualization *Cloud computing *Cloud services
Лет 7 назад самые первые проекты переезжали в наше облако просто и незатейливо. Образы виртуальных машин загружались на FTP-сервер, или их привозили на жестких дисках. Затем через специальный импорт-сервер ВМ загружали в облако.

Если для клиента не проблема выключить виртуалку на сутки-двое (или нет других вариантов), то можно и так. Но если простой должен быть максимум час, то такой способ не подойдет. Сегодня расскажу, какие инструменты помогут мигрировать в облако с минимальным простоем и про то, как устроен сам процесс миграции у нас.


Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 5K
Comments 4

Не только смс и токен: многофакторная аутентификация на базе SafeNet Authentication Service

DataLine corporate blog Information Security *IT Infrastructure *
Обычно при фразе “многофакторная аутентификация” люди в первую очередь вспоминают про смс-коды, которые приходят, когда оплачиваешь картой онлайн-покупки. Чуть реже на ум приходит флешка с цифрами, токен.

Сегодня я расскажу про другие способы многофакторной аутентификации и задачи, которые они помогают решить компании. Рассказывать буду на примере решения Gemalto Safenet Authentication Service (SAS), которое существует в формате облачного сервиса и on-premise версии, сертифицированной ФСТЭК.

Все примерно представляют, что такое многофакторная аутентификация: это когда помимо пароля (фактор знания) нужно ввести дополнительный подтверждающий фактор. Их два:

  • фактор владения (то, что у меня есть): коды из смс, email, мобильных приложений, USB-ключи и прочее.
  • фактор свойства (то, чем я являюсь): отпечатки пальцев, радужка глаза.


Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 6.5K
Comments 8

Моя первая виртуальная машина: как не накосячить

DataLine corporate blog IT Infrastructure *Virtualization *Cloud computing *Cloud services
Итак, вот перед вами свеженькая организация в vCloud Director, и вам только предстоит создать свою первую виртуальную машину. Сегодня расскажу, какие настройки выбирать при создании виртуальной машины, чтобы она работала и не просила есть. Поехали!


Источник: drive2.ru
Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views 14K
Comments 6

PDU и все-все-все: распределение питания в стойке

DataLine corporate blog IT Infrastructure *Systems engineering

Одна из стоек внутренней виртуализации. Заморочились с цветовой индикацией кабелей: оранжевый обозначает нечетный ввод по питанию, зеленый – четный.

Мы тут чаще всего рассказываем про “крупняк” – чиллеры, ДГУ, ГРЩ. Сегодня речь пойдет о “мелочах” – розетки в стойках, они же Power Distribution Unit (PDU). В наших дата-центрах более 4 тысяч стоек, забитых ИТ-оборудованием, поэтому в деле я видел много всякого: классические PDU, “умные” – с мониторингом и управлением, обычные блоки розеток. Сегодня расскажу, какие PDU бывают и что лучше выбрать в конкретной ситуации.
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Views 26K
Comments 33

5+ способов подключиться к облаку DataLine

DataLine corporate blog Virtualization *Cloud computing *Network technologies *Cloud services


В облаке DataLine наш клиент получает не просто отдельные виртуальные машины, а виртуальный дата-центр с возможностью организовать сложную сетевую связность. А она часто требуется на клиентских проектах. Например, в одном случае виртуальной машине нужно сделать публичный доступ из интернета, в другом – организовать для отдельных сотрудников доступ к группе виртуальных машин через VPN, в третьем – объединить облако с физическим оборудованием на нашей площадке или в другом дата-центре. Сегодня расскажем про различные способы подключения к нашему облаку и когда какой использовать.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 3.4K
Comments 0

DataLine Insight Brut Day, 3 октября, Москва

DataLine corporate blog Information Security *IT Infrastructure *Cloud computing *Cloud services


Всем привет!

3 октября в 14.00 приглашаем на DataLine Insight Brut Day.

Про что расскажем


  • последние новости и планы компании на ближайший год, в том числе в связи со сделкой с “Ростелеком”;
  • новые сервисы и дата-центры;
  • результаты расследования по пожару в дата-центре OST этим летом.

Для кого


Будем рады видеть ИТ-директоров, системных администраторов, инженеров и специалистов ИБ.

С нас живое общение, ответы на все интересующие вопросы от наших ведущих экспертов и вкусный брют ;)

Участие бесплатное, но вход только по приглашениям. Для этого нужно зарегистрироваться и получить подтверждение регистрации.

→ Регистрация
Total votes 8: ↑8 and ↓0 +8
Views 565
Comments 0

Как из бумажной безопасности сделать практическую, или зачем нам соблюдение 152-ФЗ и PCI DSS в одном облаке

DataLine corporate blog Information Security *IT Infrastructure *Cloud computing *Cloud services
Наша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет аттестат соответствия 152-ФЗ по УЗ-2 (без актуальных угроз 1-го и 2-го типа). Эта же платформа входит еще и в область действия нашей системы управления информационной безопасностью (СУИБ), которую мы сертифицировали по ISO/IEC 27001:2013. Про это и про STAR Cloud Security Alliance (CSA) я обязательно как-нибудь тоже расскажу, но сегодня остановлюсь на плюсах синергии PCI DSS и 152-ФЗ для наших клиентов.
Читать дальше →
Total votes 20: ↑18 and ↓2 +16
Views 6.3K
Comments 13

Не сканированием единым, или как построить процесс управления уязвимостями за 9 шагов

DataLine corporate blog Information Security *IT Infrastructure *
4 июля мы проводили большой семинар по управлению уязвимостями. Сегодня мы публикуем расшифровку выступления Андрея Новикова из Qualys. Он расскажет, какие этапы нужно пройти, чтобы выстроить рабочий процесс управления уязвимостями. Спойлер: до сканирования мы доберемся только к середине пути.


Total votes 23: ↑22 and ↓1 +21
Views 4.8K
Comments 0

DISKOBALL: соревнования по метанию HDD-дисков, 23 августа, г. Москва

DataLine corporate blog Health


У нас было 150 дисков, 300 литров пива и 150 айтишников, готовых пустить все это в дело.
Это мы про DISKOBALL: первые в России соревнования по метанию HDD-дисков, которые пройдут 23 августа в Москве.

Участники соревнований поборются за главный приз — электросамокат.
А всех желающих ждет настольный теннис, гигантская дженга, уничтожение HDD-дисков кувалдой и вкусные угощения весь вечер.

Если вы сисадмин, инженер или просто практикующий ИТ-специалист, ждем вас
23 августа в 15 часов на стадионе «Метеор» (г. Москва).
Подробности и регистрация на официальном сайте

P.S.: С таким летом, возможно, нам понадобится не пиво, а глинтвейн и пледы — но веселью это все равно не помешает ;)
Total votes 37: ↑31 and ↓6 +25
Views 8.5K
Comments 40

С днем системного администратора

DataLine corporate blog System administration *IT Infrastructure *
Всех причастных с праздником!
Желаем стабильного коннекта и ночей без алармов!
Без вас никуда, и сейчас покажем, почему ;)

p.s. Дарим спецприз тому, кто первым найдет в ролике кадр с бубном. Пишите в комментариях, на какой секунде он появился, и мы свяжемся с вами.

Total votes 14: ↑14 and ↓0 +14
Views 3.3K
Comments 14

Анализ производительности ВМ в VMware vSphere. Часть 3: Storage

DataLine corporate blog IT Infrastructure *Virtualization *Cloud computing *Cloud services
Tutorial


Часть 1. Про CPU
Часть 2. Про Memory

Сегодня разберем метрики дисковой подсистемы в vSphere. Проблема со стораджем – самая частая причина медленной работы виртуальной машины. Если в случаях с CPU и RAM траблшутинг заканчивается на уровне гипервизора, то при проблемах с диском, возможно, придется разбираться с сетью передачи данных и СХД.

Тему буду разбирать на примере блочного доступа к СХД, хотя при файловом доступе счетчики примерно те же.
Читать дальше →
Total votes 23: ↑23 and ↓0 +23
Views 20K
Comments 3

Как я стал уязвимым: сканируем ИТ-инфраструктуру с помощью Qualys

DataLine corporate blog Information Security *IT Infrastructure *Cloud services
Всем привет!

Сегодня хочу рассказать про облачное решение по поиску и анализу уязвимостей Qualys Vulnerability Management, на котором построен один из наших сервисов.

Ниже покажу, как организовано само сканирование и какую информацию по уязвимостям можно узнать по итогам.


Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 13K
Comments 0

Семинар «Управление уязвимостями: стандарты, реальность, инструменты», 4 июля, Москва

DataLine corporate blog Information Security *IT Infrastructure *


Всем привет!

4 июля мы проведем небольшой Vulnerability Management Day.

Поговорим о том, какие стандарты и best practice существуют и как это все ложится (или нет ;)) на реальную жизнь.

Мы пригласили экспертов по различным продуктам и соответственно со своим подходом к управлению уязвимостями. Будет и отдельное выступление про open-source инструменты.
Мы не будем разбирать какие-то узкие уязвимости, поговорим в общем об управлении уязвимостями.

Обещаем много полезных докладов по делу, живое общение с экспертами и вкусный фуршет на закуску. Приходите!

Регистрация на семинар и на онлайн-трансляцию по ссылке.

Дата и время: 4 июля, 10:30.
Место: Москва, Спартаковский переулок 2с1, подъезд №7, Пространство Весна
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 1.2K
Comments 0

Анализ производительности ВМ в VMware vSphere. Часть 2: Memory

DataLine corporate blog IT Infrastructure *Virtualization *Cloud computing *Cloud services
Tutorial


Часть 1. Про CPU
Часть 3. Про Storage

В этой статье поговорим про счетчики производительности оперативной памяти (RAM) в vSphere.
Вроде бы с памятью все более однозначно, чем с процессором: если на ВМ возникают проблемы с производительностью, их сложно не заметить. Зато если они появляются, справиться с ними гораздо сложнее. Но обо всем по порядку.
Читать дальше →
Total votes 36: ↑36 and ↓0 +36
Views 23K
Comments 1

VMware NSX для самых маленьких. Часть 6. Настройка VPN

DataLine corporate blog Virtualization *Cloud computing *Network technologies *Cloud services
Tutorial


Часть первая. Вводная
Часть вторая. Настройка правил Firewall и NAT
Часть третья. Настройка DHCP
Часть четвертая. Настройка маршрутизации
Часть пятая. Настройка балансировщика нагрузки

Сегодня мы посмотрим на возможности настройки VPN, которые предлагает нам NSX Edge.

В целом мы можем разделить VPN-технологии на два ключевых вида:

  • Site-to-site VPN. Чаще всего используется IPSec для создания защищенного туннеля, например, между сетью главного офиса и сетью на удаленной площадке или в облаке.
  • Remote Access VPN. Используется для подключения отдельных пользователей к частным сетям организаций с помощью ПО VPN-клиента.

NSX Edge позволяет нам использовать оба варианта.
Настройку будем производить с помощью тестового стенда с двумя NSX Edge, Linux-сервера с установленным демоном racoon и ноутбука с Windows для тестирования Remote Access VPN.
Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views 12K
Comments 6
1

Information

Rating
Does not participate
Works in
Registered
Activity