Добра вам, но это не так. Какая сейчас существует защита в ci/cd инструментах? Вроде где-то маскируется, но работает по-разному, может в логе пайплайна мы не увидим пароль, но если отпочковаться в другую бранчу, то у любого девопса будет возможность этот пароль скинуть в свою хелло ворлд приложуху и там его сохранить, как и любую другую переменную ci. Можно ли защитить ci, конечно, ваулт апрол и т.д., только назовите компанию где настолько не доверяют своим сотрудникам (которым выдают доступ в проекты инфры ci), чтобы городить на каждый чих такие строгие меры? Вы заеб... такие пайплайна писать, а сколько времени потратят сотрудники на реализацию такой "безопасности". А теперь про permitrootlogin yes, что если вам нужен доступ к либвирту по сокету, а у пользака таких прав нет, будете колхоз городить и палки в работу вставлять? Вы меня извините, но порядочному толковому сотруднику точно нужен рут, все данные, расклад, архитектура, без этого админ не сможет грамотно научится управлять инфрой/процессами. Я работал в компаниях с такими стремными мерами безопасности, и от всего сердца шлю их подальше, порой ИБ зазнается, и, чтобы оправдать свою востребованность, вместо пользы приносят одни неудобства. При этом ещё ни разу меня такие меры не останавливали от получения всех необходимых мне секретов для комфортной работы. Короче, все это чушь, лучше занимайтесь своими сотрудниками, не проверять часы в жире, а разговаривать и понимать мотивацию людей нужно, насколько толковые, какие амбиции и какой опыт, это даёт гораздо больше чем вот эта вот снимая безопасность
Собственно, все. На этом можно закончить статью. Но для тех, кому интересно, что тут происходит и как работать с CLI, рассмотрим происходящее более подробно.
А она начиналась?) Использовать cli/terraform для автоматизации управления ресурсов в облаке - обычное дело, для причастных к работе с OS это не новость.
Детальную доку по cli можно посмотреть в help и на openstack.org
Получили 100 пустых вмок и возвращаемся к проблемам последующей настройки ОС и деплоя сервисов. И тут стоило бы рассказать про то, как это правильно делается в облаке при помощи cicd-tool(gitlab)+terraform+cloud-init.
Выходит, что написали неполную справку по командам и частный случай создания 100 экземпляров.
Написано добротно, спасибо за статью. Меня тоже затянуло в проброс gpu с 2019 года) Единственное, я не являюсь фанатом Debian подобных ОС, просто в силу того, что на работе почти всегда использовали centos/rhel, а потом ушел в openstack и заменил proxmox на него в моем домашнем сетапе. Сути это не меняет, принципы проброса в kvm везде одинаковые, но с openstack надо ещё чуть повозиться. И как верно заметили здесь, отказаться от преимуществ такой установки с годами становиться только сложнее. Под это дело я даже провел в каждую комнату по 4 витой пары 10Гб, так что keyboard video mouse можно иметь в любом уголке квартиры)
Добра вам, но это не так. Какая сейчас существует защита в ci/cd инструментах? Вроде где-то маскируется, но работает по-разному, может в логе пайплайна мы не увидим пароль, но если отпочковаться в другую бранчу, то у любого девопса будет возможность этот пароль скинуть в свою хелло ворлд приложуху и там его сохранить, как и любую другую переменную ci. Можно ли защитить ci, конечно, ваулт апрол и т.д., только назовите компанию где настолько не доверяют своим сотрудникам (которым выдают доступ в проекты инфры ci), чтобы городить на каждый чих такие строгие меры? Вы заеб... такие пайплайна писать, а сколько времени потратят сотрудники на реализацию такой "безопасности". А теперь про permitrootlogin yes, что если вам нужен доступ к либвирту по сокету, а у пользака таких прав нет, будете колхоз городить и палки в работу вставлять? Вы меня извините, но порядочному толковому сотруднику точно нужен рут, все данные, расклад, архитектура, без этого админ не сможет грамотно научится управлять инфрой/процессами. Я работал в компаниях с такими стремными мерами безопасности, и от всего сердца шлю их подальше, порой ИБ зазнается, и, чтобы оправдать свою востребованность, вместо пользы приносят одни неудобства. При этом ещё ни разу меня такие меры не останавливали от получения всех необходимых мне секретов для комфортной работы. Короче, все это чушь, лучше занимайтесь своими сотрудниками, не проверять часы в жире, а разговаривать и понимать мотивацию людей нужно, насколько толковые, какие амбиции и какой опыт, это даёт гораздо больше чем вот эта вот снимая безопасность
А она начиналась?) Использовать cli/terraform для автоматизации управления ресурсов в облаке - обычное дело, для причастных к работе с OS это не новость.
Детальную доку по cli можно посмотреть в help и на openstack.org
Получили 100 пустых вмок и возвращаемся к проблемам последующей настройки ОС и деплоя сервисов. И тут стоило бы рассказать про то, как это правильно делается в облаке при помощи cicd-tool(gitlab)+terraform+cloud-init.
Выходит, что написали неполную справку по командам и частный случай создания 100 экземпляров.
А почему придется? Вроде же centos stream живет нормально или я что-то проморгал? Ссылочку скиньте, пожалуйста
Написано добротно, спасибо за статью. Меня тоже затянуло в проброс gpu с 2019 года) Единственное, я не являюсь фанатом Debian подобных ОС, просто в силу того, что на работе почти всегда использовали centos/rhel, а потом ушел в openstack и заменил proxmox на него в моем домашнем сетапе. Сути это не меняет, принципы проброса в kvm везде одинаковые, но с openstack надо ещё чуть повозиться. И как верно заметили здесь, отказаться от преимуществ такой установки с годами становиться только сложнее. Под это дело я даже провел в каждую комнату по 4 витой пары 10Гб, так что keyboard video mouse можно иметь в любом уголке квартиры)