Комментарии 37
Без обид, правда удивлен)
1) полгода назад у моей жены мошенники похитили со сбера 800к рублей
2) месяц назад я продал квартиру через ДомКлик, завел счет в сбере. И через 20 минут после сделки мне сразу позвонили эти же мошенники. И я не верю что данные просто слили вручную, так оперативно можно сделать если всё это мошенничество также автоматизировано.
С точки зрения безопасности в кубере все очень сложно. Не удивлюсь если подсосаться к системе этой могут и без явных следов.
Если даже apple жил с 10к лет с дырой, которую использовали для удаленного управления устройством, то кубер даже смешно
пруф про apple ниже
safe.cnews.ru/news/top/2020-04-27_hakery_atakuyut_vippolzovatelej
PS за ошибки в тексте извините
Оффтопик: как спать спокойно после оформления сделки через Домклик, зная, что злоумышленники могут выпустить ЭЦП на твоё имя и провернуть операции с недвижимостью?
Про визуализацию мониторинга через Ранчер ничего не скажу. Сам Ранчер нам не интересен — его фичи либо уже у нас есть, либо не интересны. Графана — стандарт индустрии, хорошая документация и все ее умеют. Она была до Кубера и наверное будет когда его не станет :) Хотелось бы чтобы она просто не тормозила хотя бы на топовых компах на той же community Kubernetes Dashboard.
Подскажите, пожалуйста, как часто вы выкатываете релизы на прод?
Используете ли вы кросфункциональнвн продуктовые / фича команды? Если да, то какого размера?
Какое у вас среднее время производства фичи? ( ну типа от момента когда взяли в работу и до выпуска на прод?)
Спасибо за статью! Подскажите, хорошо ли чувствует себя сам сервер Docker под нагрузкой? У вас нет в планах переводить рантайм с Docker на что-то другое? Какое у вас в среднем количество подов на ноду ?
1000 микросервисов… а почему так много? Что делает каждый микросервис, можете привести примеры? Даже не каждый, а по группам побить.
Была разработана система «рекомендаций»
А чем полезна эта система? Системные поды
а) подпадают в обе категории,
б) судя по скроллбару там много подов которым неплохо бы урезать аппетиты.
Эти "рекомендации" не применяются и сделаны исключительно для отчетности?
Императивным Ansible может быть только потому что вы его сами используете как Bash на стероидах. У меня на проекте используются ислючительно идемпотентные роли, никаких сайд-эффектов (то что вы называете "мусором") никогда не имелось. Ну и медленность давно уже лечится хоть тем же Mitogen.
Для меня является недостатком то, что необходимо писать такую логику.
Чтобы откатить настройки роли, нужно смерджить в гит или нажать специальную кнопку в CI-системе, которая откатит состояние на предыдущий коммит.
Или самое тупое: подготовить заранее PR для отката.
Мы каким-то разным ансиблом пользуемся )
А что будет в случае проблем после обновления, но если его заметили в следующий день, т.е. в воскресенье?
Обычно если что-то не заметили сразу, то это не является чем-то сильно критичным.
У нас есть дашборды, показывающие «где что болит» и детальные дашборды по разным компонентам куба. Пропустить «большой косяк» довольно сложно, а мелкие косяки могут починить и ночные админы, либо утром сами починим, если не критично.
Деплой и настройка дженкинса автоматизировано?
Я не большой спец по Дженкинсу, недавно стало писать под него. Может я неправильно понял вопрос.
Дженкинс у нас только для Ops-проектов и руками завести пайплайн раз в 2 недели не проблема
ИМХО, у ansible недостатков много
Почти полностью согласен. Производительность Kubespray довольно ужасна, хотим слезть с него.
Как с безопасностью?
Довольно много работаем над этим. Не всё идеально, но лучше чем обычно (что я вижу в других компаниях). Подробности раскрыть не могу.
перешли довольно болезненно с Helm 2, но очень рады опции atomic
А что не так с atomic
в самом Helm 2? Данная опция в нём делает тоже самое, что и в Helm 3.
Спасибо за статью!
Подскажите пожалуйста на какой системе(версия имеджа, ядра и и.д.) у вас крутится куб в проде?
И тюнили ли вы систему перед тем как поставить куб?
Систему тюним при заливке при помощи Ansible: там штук 50 sysctl меняем.
kubelet'ы тоже тюним — их опции выстраданы годами.
А чем красношапочное ядро не устроило? А если билдить и мэйнтэйнить ядра самим, то почему не longterm посвежее? Один eBPF чего стоит.
Kubernetes в ДомКлик: как спать спокойно, управляя кластером на 1000 микросервисов