Речь о том, что ключи УЦ есть у ФСБ (весьма вероятно)
И при желании они могут скрафтить сертификаты (или делать это на лету) для любого компа, который имеет установленный корень от минцифры. Пользователь даже не заметит подмены, к сожалению. Так как вся инфраструктура DNS и CA в целом косячная и не рассчитана на противоборство государству.
Отличная статья. Главный вывод - что нужно документировать все действия, которые могут подтвердить ТВОЮ точку зрения. И не документировать те действия, которые ей противоречат ))))
Я, наверное, в экономике ничего не понимаю, но не это вы платите НДС, а Вы увеличиваете стоимость товара на НДС и просто собираете и отдаете его в гос-во. Другой вопрос, что для частного клиента пофиг - это выглядит как подорожание на 7% (если не на 22%) в лучшем случае. Но для юрика ок.
Непонятно к чему вообще нужно противопостовлять механизм ядра операционной системы и механизм логического разделения ресурсов в проложении?
иллюстрация того, что есть термины, которые загажены. Неймспейс - такой термин. Используют по делу или не по делу. Аналогично - "state" в saltstack. Там это и стейт в смысле состояние целевой машины, и стейт как модуль применения части этого состояния (аналог плейбука в ансибле), и хуже того - стейт как атомарная часть этого конкретного манифеста... Вот потом сиди и гадай - что же автор имел в виду. Мы за однозначность.
Откуда он берётся этот образ контейнера?
скачивается из docker registry. Ну, что за вопросы, в конце-концов? Какая разница откуда. Вы же не спрашиваете, откуда берутся образа для control plane k8s? В целом, это база.
Собирается вместе с основным образом контейнера рабочего приложения, или откуда-то подкладывается/скачивается?
нет. См. выше. Это вполне официальный образ, который задается в настройках контейнер рантайма.
не совсем понятно зачем контейнеру (pause) держать механизм ядра операционной системы namespace?
потому что есть ассоциация под - контейнер. Под должен состоять из 1 или более контейнеров. Так сделано, что всегда существует контейнер с pause. Если контейнеры приложения (дополнительные к pause) перестартуют - были бы приключения с переназначением IP адресов на контейнер. Поэтому разработчики контейнеризации (кстати, фигня, а не настоящие контейнеры, часть не jail в bsd) придумали, что надо чтобы был один служебный контейнер, который постоянно живет. Пустой. Без каких-либо осмысленных приложений в нем. Я не знаю, насколько тут надо впадать в детализацию. Но этим всем можно заинтересовать и самостоятельно почитать. Документации полно.
Потому что возникает логиный вопрос: как это реализовано в Windows, где в ядре отсутствует механизм namespase?
контейнеры винды не обсуждаем, это вообще отдельный вид паралимпийских игр. Но если совсем коротко - в винде не контейнеры, а полноценные виртуальные машины, которые пытаются продать как контейнеры. У виртуалки ОЧЕВИДНО есть айпи адрес всегда (минимум один).
вообще-то как раз шифрованными (и кажется, это уже настройка по умолчанию). Другой вопрос, что толку от этого, если у нас есть доступ к апи серверу
Еще порадовало на картинке выше - и «control plane», и «master» - так все-таки, что имеется в виду ? Терминология «мастер» устарела, уже года как три, как в применении к узлам, так и к самому control plane кластера.
Рекомендации по выставлению прав на файлы - so-so, стоит уточнить, что это работает только для установок kubernetes, основанных на kubeadm, или kube-spray. А так - попробуй на опеншифт, или rancher сделать то же самое (в частности, rke v1, или K3s). А тем более в решениях, где кластера работают по принципу kubernetes-in-kubernetes - например, cozystack.io или проект https://github.com/clastix/kamaji
Серьезный вопрос - харденинг кластеров, построенных на базе cluster api (штурвал и прочие?)
В остальном - согласен полностью с тем, что надо думать о безопасности кластеров и внедрять ее прямо с самого старта, иначе можно отгрести серьезных проблем
p.s. реклама выделенных серверов в середине статьи абсолютно не органична
Ок в части противодействия пропаганде, запрет российских СМИ еще в рамках этого всего можно объяснить, но именно сам язык внутри страны и его использование чем мешает.
если бы на официальном литовском тв была бы антипропаганда на русском языке - это работало бы явно лучше, чем запрет русского языка на ТВ, но мы то пониманием, какие цели у латвийцев/литовцев.
Официальными языками ООН являются 6 языков: английский, арабский, испанский, китайский, русский и французский языки. Если делегация желает выступить на языке, который не является официальным, то она должна обеспечить устный или письменный перевод выступления на один из официальных языков.
не совсем то, но очень близко. Дальше нужно немного времени )
шведы в целом (как и финны) лучше знают английский - и поэтому - у них и желание говорить на нем больше. Это @Neusser взаимосвязанные вещи. Да, не полностью релевантные, но тем не менее. Но западные европейцы, по ощущениям, все-таки снобы.
это только означает ваш ограниченный опыт. Я практически наверняка уверен, что у меня опыт более релевантный, потому что я всю (окей, для красного словца, но действительно много стран и далеко не всегда туристические места) Европу объездил по несколько раз. Иначе получается такой анекдот
Инженер, физик и математик, проезжая через Шотландию, замечают чёрную овцу, пасущуюся на поле. — Ага! — восклицает инженер. — Шотландские овцы чёрные! — Хм… — говорит физик. — Я бы сказал, что некоторые из шотландских овец чёрные. — Нет, — возражает математик. — Всё, что мы знаем, — это то, что в Шотландии есть как минимум одна овца и как минимум одна сторона этой овцы чёрная.
Ну, или так
Решили однажды шесть слепых, считавших себя мудрецами, узнать, что такое слон. Первый потрогал слона за хобот и сказал – «Он похож на змею на удава – такой же гибкий и толстый». Второй потрогал хвост слона и сказал – «Нет он как веревка – тонкий и жесткий». Третий ощупал ногу слона и заявил другим слепцам – «Вы ошибаетесь господа, он похож на колонну, что несокрушимо стоит на земле». Четвертый нащупал бивень слона и сделал вывод: – «Нет друзья вы все не правы, он острый и круглый как пика или копье». Пятый подошел к боку слона и заявил: – «Я абсолютно уверен, он большой и плоский как стена». Шестой подошел к уху слона и сделал окончательный вывод: «Он гибкий и парусный как веер».
И стали они спорить друг с другом. Каждый был уверен в своей правоте и пытался переубедить других, не слушая их мнения. Каждый был убежден в своей истине на основе личного опыта: «Это именно так, я сам убедился в этом».
У французов в целом лютая аллергия на англофонов. Не говоря уже о том, что ТЫ ПРИЕЗЖАЕШЬ в national state и пытаешься там че-то вякать на инглише, который там вообще никакой. Не государственный. Никакой. Какого отношения ты тогда ждешь?
Давно уже придумали сервисы типа Deel и прочие Remote, который без проблем тебя наймут и будут платить ЗП.
только посчитайте общую стоимость владения. Потому что эти все зарплату будут платить, но Deel'у и ремоуту надо будет заплатить сверху комиссий (примерно 100-300 евро) и еще налоги (потому что есть еще часть соцстраха работодателя примерно 30%).
Во-вторых, никто не запрещает тебе платить минимально достаточную зарплату из своего бизнеса, а не выводить все дивидендами. Так ты не сильно будешь отличаться от любого другого номада или местного аналога ипшника.
можно просто взять деньги у фирмы в долг... и дело с концом.
Румыния только недавно получила внятный статус в ЕС
ну-да, ну-да.
И да, я не теоретик. У меня бизнесы в Испании, США, Эстонии и РФ.
ну, и про КИК в курсе, ну, да.
А все эти рейтинги - это, простите, туфта.
Например, по PIT Венгрия вообще НОМЕР 1 в Европе. Только вот забывают сказать, что суммарная налоговая нагрузка, что в найме в Венгрии (ну, и ИП) абсолютно не выгодно быть. Поэтому все Kft.
Например, Эстония дает 0% на нераспределенную прибыль. Ближе всего к это цифре, насколько я помню, Литва, которая дает 5%. И это сильно лучше, чем могут дать другие страны.
Вы часом не тот человек, который открывает другим компании? Помогатор очередной? Нет? Потому что надо считать не налоговую ставку в вакууме, а общую совокупную стоимость владения фирмой...
Возникает логичный вопрос на базе какого именно образа запускается этот контейнер?
так отвечено же. pause.
Что его держать?
ну, вот так, айпишник пода же где-то должен висеть, когда пересоздаются его контейнеры.
держит сетевой неймспейс ядра линукса?
слово неймспейс, к сожалению, неудачное в том ключе, что его используют где попало. Здесь оно идет вероятно в противопоставлении к namespace кубернетеса, которые логические сущности
Речь о том, что ключи УЦ есть у ФСБ (весьма вероятно)
И при желании они могут скрафтить сертификаты (или делать это на лету) для любого компа, который имеет установленный корень от минцифры. Пользователь даже не заметит подмены, к сожалению. Так как вся инфраструктура DNS и CA в целом косячная и не рассчитана на противоборство государству.
Все веселее, потому что в списках уц есть, например, испанский FNMT или ACCV
Как можно догадаться, степень их аффилиации к госорганам примерно такая же как у сертификационного центра минцифры. Поэтому паника отменяется :)
это отдельное действие. Пускай бабка в суд на мошенников подает.
скорее страна БЕЗГРАНИЧНЫХ возможностей. Воистину
Отличная статья. Главный вывод - что нужно документировать все действия, которые могут подтвердить ТВОЮ точку зрения. И не документировать те действия, которые ей противоречат ))))
Я, наверное, в экономике ничего не понимаю, но не это вы платите НДС, а Вы увеличиваете стоимость товара на НДС и просто собираете и отдаете его в гос-во. Другой вопрос, что для частного клиента пофиг - это выглядит как подорожание на 7% (если не на 22%) в лучшем случае. Но для юрика ок.
привет!
Попробую по пунктам
иллюстрация того, что есть термины, которые загажены. Неймспейс - такой термин. Используют по делу или не по делу. Аналогично - "state" в saltstack. Там это и стейт в смысле состояние целевой машины, и стейт как модуль применения части этого состояния (аналог плейбука в ансибле), и хуже того - стейт как атомарная часть этого конкретного манифеста... Вот потом сиди и гадай - что же автор имел в виду. Мы за однозначность.
скачивается из docker registry. Ну, что за вопросы, в конце-концов? Какая разница откуда. Вы же не спрашиваете, откуда берутся образа для control plane k8s? В целом, это база.
нет. См. выше. Это вполне официальный образ, который задается в настройках контейнер рантайма.
потому что есть ассоциация под - контейнер. Под должен состоять из 1 или более контейнеров. Так сделано, что всегда существует контейнер с pause. Если контейнеры приложения (дополнительные к pause) перестартуют - были бы приключения с переназначением IP адресов на контейнер. Поэтому разработчики контейнеризации (кстати, фигня, а не настоящие контейнеры, часть не jail в bsd) придумали, что надо чтобы был один служебный контейнер, который постоянно живет. Пустой. Без каких-либо осмысленных приложений в нем. Я не знаю, насколько тут надо впадать в детализацию. Но этим всем можно заинтересовать и самостоятельно почитать. Документации полно.
контейнеры винды не обсуждаем, это вообще отдельный вид паралимпийских игр. Но если совсем коротко - в винде не контейнеры, а полноценные виртуальные машины, которые пытаются продать как контейнеры. У виртуалки ОЧЕВИДНО есть айпи адрес всегда (минимум один).
Ну, и самый полезный док, который я видел в русскоязычной среде по безопасности кубера - был подготовлен компанией jet и его можно найти тут
https://github.com/Jet-Security-Team/Jet-Container-Security-Framework
Почитал статью. Честно, пользы меньше, чем вреда.
вообще-то как раз шифрованными (и кажется, это уже настройка по умолчанию). Другой вопрос, что толку от этого, если у нас есть доступ к апи серверу
Еще порадовало на картинке выше - и «control plane», и «master» - так все-таки, что имеется в виду ? Терминология «мастер» устарела, уже года как три, как в применении к узлам, так и к самому control plane кластера.
Рекомендации по выставлению прав на файлы - so-so, стоит уточнить, что это работает только для установок kubernetes, основанных на kubeadm, или kube-spray. А так - попробуй на опеншифт, или rancher сделать то же самое (в частности, rke v1, или K3s). А тем более в решениях, где кластера работают по принципу kubernetes-in-kubernetes - например, cozystack.io или проект https://github.com/clastix/kamaji
Серьезный вопрос - харденинг кластеров, построенных на базе cluster api (штурвал и прочие?)
В остальном - согласен полностью с тем, что надо думать о безопасности кластеров и внедрять ее прямо с самого старта, иначе можно отгрести серьезных проблем
p.s. реклама выделенных серверов в середине статьи абсолютно не органична
если бы на официальном литовском тв была бы антипропаганда на русском языке - это работало бы явно лучше, чем запрет русского языка на ТВ, но мы то пониманием, какие цели у латвийцев/литовцев.
пока что такое нашел
не совсем то, но очень близко. Дальше нужно немного времени )
при этом русский считается языком международного общения в ЕС... двойные стандарты такие двойные...
вынужден согласиться.
шведы в целом (как и финны) лучше знают английский - и поэтому - у них и желание говорить на нем больше. Это @Neusser взаимосвязанные вещи. Да, не полностью релевантные, но тем не менее. Но западные европейцы, по ощущениям, все-таки снобы.
это только означает ваш ограниченный опыт. Я практически наверняка уверен, что у меня опыт более релевантный, потому что я всю (окей, для красного словца, но действительно много стран и далеко не всегда туристические места) Европу объездил по несколько раз. Иначе получается такой анекдот
Инженер, физик и математик, проезжая через Шотландию, замечают чёрную овцу, пасущуюся на поле. — Ага! — восклицает инженер. — Шотландские овцы чёрные! — Хм… — говорит физик. — Я бы сказал, что некоторые из шотландских овец чёрные. — Нет, — возражает математик. — Всё, что мы знаем, — это то, что в Шотландии есть как минимум одна овца и как минимум одна сторона этой овцы чёрная.
Ну, или так
Решили однажды шесть слепых, считавших себя мудрецами, узнать, что такое слон. Первый потрогал слона за хобот и сказал – «Он похож на змею на удава – такой же гибкий и толстый». Второй потрогал хвост слона и сказал – «Нет он как веревка – тонкий и жесткий». Третий ощупал ногу слона и заявил другим слепцам – «Вы ошибаетесь господа, он похож на колонну, что несокрушимо стоит на земле». Четвертый нащупал бивень слона и сделал вывод: – «Нет друзья вы все не правы, он острый и круглый как пика или копье». Пятый подошел к боку слона и заявил: – «Я абсолютно уверен, он большой и плоский как стена». Шестой подошел к уху слона и сделал окончательный вывод: «Он гибкий и парусный как веер».
И стали они спорить друг с другом. Каждый был уверен в своей правоте и пытался переубедить других, не слушая их мнения. Каждый был убежден в своей истине на основе личного опыта: «Это именно так, я сам убедился в этом».
https://taxfoundation.org/data/all/eu/controlled-foreign-corporation-rules-cfc-rules-in-europe-2020/#:~:text=Eleven countries tax both active,Latvia%2C Luxembourg%2C and Slovakia.
У французов в целом лютая аллергия на англофонов. Не говоря уже о том, что ТЫ ПРИЕЗЖАЕШЬ в national state и пытаешься там че-то вякать на инглише, который там вообще никакой. Не государственный. Никакой. Какого отношения ты тогда ждешь?
только посчитайте общую стоимость владения. Потому что эти все зарплату будут платить, но Deel'у и ремоуту надо будет заплатить сверху комиссий (примерно 100-300 евро) и еще налоги (потому что есть еще часть соцстраха работодателя примерно 30%).
можно просто взять деньги у фирмы в долг... и дело с концом.
ну-да, ну-да.
ну, и про КИК в курсе, ну, да.
А все эти рейтинги - это, простите, туфта.
Например, по PIT Венгрия вообще НОМЕР 1 в Европе. Только вот забывают сказать, что суммарная налоговая нагрузка, что в найме в Венгрии (ну, и ИП) абсолютно не выгодно быть. Поэтому все Kft.
Вы часом не тот человек, который открывает другим компании? Помогатор очередной? Нет? Потому что надо считать не налоговую ставку в вакууме, а общую совокупную стоимость владения фирмой...
Скрытый текст
херово
Попробуй во Франции или Германии, желательно, деревне поговорить по-английски. Зато румыны хорошо говорят.
так отвечено же. pause.
ну, вот так, айпишник пода же где-то должен висеть, когда пересоздаются его контейнеры.
слово неймспейс, к сожалению, неудачное в том ключе, что его используют где попало. Здесь оно идет вероятно в противопоставлении к namespace кубернетеса, которые логические сущности