Как стать автором
Обновить
21
0
Анатолий @anatoli_cologne

IT-консультант

Отправить сообщение

Автостопом по HashiCorp Vault

Уровень сложностиСредний
Время на прочтение13 мин
Количество просмотров10K

Оффтоп

Наш рассказ — это гид автостопщика, некое summary тех вещей, которых нам не хватало при знакомстве с Vault. В нем мы сделаем несколько остановок: поговорим в целом про управление секретами, о том, почему мы рекомендуем именно Vault; рассмотрим, как Vault работает; поделимся лайфхаками по работе с секретами и болью о том, чего нам не хватает в продукте.

Читать далее
Всего голосов 9: ↑9 и ↓0+9
Комментарии2

DevSecOps и практики разработки защищенного ПО в контексте современных вызовов

Время на прочтение11 мин
Количество просмотров5.8K

Всем привет!

Я Юрий Сергеев, основатель и генеральный партнер Swordfish Security. В нашем блоге мы рассказываем о новых трендах в индустрии DevSecOps, о трудностях, с которыми сталкиваемся, о применяемых инструментах, а также о том, к чему готовиться в будущем.

В этой статье хочу поговорить о технологических вызовах, рассмотреть наиболее актуальные сегодня практики безопасной разработки с точки зрения современных запросов индустрии, поделиться собственным взглядом на тренды отрасли и вектора развития в текущих реалиях.

Читать далее
Всего голосов 3: ↑3 и ↓0+3
Комментарии1

SRE: Распределённая и централизованная модели управления инцидентами

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров2.3K

Внедрение SRE-практик в компаниях может происходить по-разному. Где-то решение об этом принимает менеджмент, где-то это может быть инициатива снизу. В любом случае может встать вопрос: как организовать реагирование на инциденты и кто будет брать на себя лидерство в командах во время инцидента?

Перевели статью о двух моделях структуры для команд управления инцидентами — распределенной и централизованной. В ней рассматриваются плюсы и минусы каждой из моделей, а также примеры того, как каждая из них выглядит.

Читать далее
Всего голосов 4: ↑2 и ↓20
Комментарии2

Пишем оператор Kubernetes: руководство для начинающих

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров7.9K

Перевели туториал об основах контроллеров, операторов и CRD. В качестве практики вы можете создать кастомный оператор ConfigmapSync для синхронизации Configmap между пространствами имен. Рассказываем, как его написать и развернуть его с помощью Kubebuilder.

Читать далее
Всего голосов 5: ↑5 и ↓0+5
Комментарии0

Что происходит, когда вы создаёте Pod в Kubernetes?

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров13K

Создание Pod в Kubernetes — простая задача. Но под капотом скрывается сложный рабочий процесс, который затрагивает несколько компонентов кластера. Делимся переводом статьи, где автор рассказывает, что в этот момент происходит в кластере. Статья будет полезна тем, кто изучает Kubernetes, знакомится с его компонентами и абстракциями.

Читать далее
Всего голосов 12: ↑8 и ↓4+6
Комментарии2

Аутентификация в Kubernetes через Gitlab'овские JWT токены

Время на прочтение5 мин
Количество просмотров3.7K

Представим ситуацию, что мы деплоим по push-модели. В качестве платформы для запуска деплоя у нас используется Gitlab: в нём настроен пайплайн и джобы, разворачивающие приложения в разные окружения в Kubernetes

Какой бы инструмент мы не использовали (kubectl, helm), для манипуляций с ресурсами API нам в любом случае будет необходимо аутентифицироваться при выполнении запросов к Kubernetes. Для этого в запросе надо передать данные для аутентификации, будь то токен или сертификат. И тут возникает несколько вопросов:

1. Где хранить эти креды?

Хранить креды от кластера можно, например, в Gitlab CI/CD Variables и подставлять в джобу деплоя, но тогда потенциально все пользователи будут деплоить с одними и теми же доступами

2. Как сделать так, чтобы у каждого пользователя были свои данные для доступа в кластер?

Можно было бы вручную запускать джобы деплоя и в параметры каждый раз подставлять свои аутентификационные данные, но, очевидно, такой подход неудобен и подходит далеко не всем

А что если сделать так, чтобы в качестве провайдера аутентификационных данных для Kubernetes выступал сам Gitlab? Тогда не надо было бы нигде хранить креды, и каждый пользователь мог бы аутентифицироваться в кубере под своей учёткой при запуске деплоя

Читать далее
Всего голосов 8: ↑8 и ↓0+8
Комментарии9

Один YAML до катастрофы: «детские» ошибки администраторов Kubernetes

Уровень сложностиПростой
Время на прочтение14 мин
Количество просмотров8.1K

Когда речь заходит о безопасности кластеров Kubernetes, вспоминаются сложные методики, выверенные практики, высокий уровень сопровождения. Но так бывает не всегда. Нам встретилась статья, авторы которой изучили множество кластеров и выяснили, что значительная их часть уязвима из-за глупостей, допущенных администраторами. Статистика впечатляет! Предлагаем вашему вниманию перевод.

Читать далее
Всего голосов 23: ↑22 и ↓1+28
Комментарии4

Внедряем DevSecOps в процесс разработки. Часть 1. Обзор инструментов, Pre-commit Checks

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров7.6K

Привет! На связи Олег Казаков из Spectr.  

Вопросы безопасности разрабатываемого софта последнее время стоят очень остро, и внедрение практик безопасной разработки в существующие процессы становится необходимостью. 

Мы подготовили цикл статей, где поделимся своим опытом и наработками и расскажем, из чего состоит DevSecOps и как его внедрить в процесс разработки. 

В первой статье поговорим о теории DevSecOps и подробно рассмотрим Pre-commit Checks.

Читать далее
Всего голосов 2: ↑2 и ↓0+2
Комментарии3

The Walking Pod: основные стратегии атак изнутри кластера

Время на прочтение8 мин
Количество просмотров3.1K


У Kubernetes много инструментов защиты поставляется прямо из коробки. Но все равно степень выстроенной защиты зависит от компетенции специалистов, которые ее настраивают, требований бизнеса и ресурсов, выделенных на безопасность. В итоге сложно гарантировать, что под видом «мирного и безобидного» контейнера не скрывается «зомби», который может нанести существенный урон.
Читать дальше →
Всего голосов 10: ↑9 и ↓1+16
Комментарии0

StatefulSet в Kubernetes – примеры и наилучшие практики

Время на прочтение10 мин
Количество просмотров30K
image

Собираетесь ли вы развертывать базу данных в кластере Kubernetes? Если так – то это отличный выбор. Kubernetes – это инструмент оркестрации контейнеров, который при помощи множества инструментов координирует эксплуатацию приложений в контейнерах (подах). Один из этих контроллеров называется StatefulSet и используется для эксплуатации приложений, сохраняющих состояние.
Читать дальше →
Всего голосов 14: ↑13 и ↓1+19
Комментарии20

Практическое руководство по реализации Observability в DevOps

Время на прочтение11 мин
Количество просмотров15K

В ходе этой статьи мы развернём следующий стек инструментов Observability (наблюдаемости) Grafana:


Приступим!
Читать дальше →
Всего голосов 33: ↑32 и ↓1+47
Комментарии4

Kubernetes the hard way (Эволюция Часть 1)

Время на прочтение6 мин
Количество просмотров3.7K

Всем привет. Меня зовут Добрый Кот Telegram.

В этой статье расскажем, как развернуть кластер нашим модулем terraform в Yandex Cloud.

От коллектива FR-Solutions и при поддержке @irbgeo Telegram : Продолжаем серию статей о K8S.

Начать приключение
Всего голосов 7: ↑5 и ↓2+4
Комментарии0

Argo Rollouts с примерами

Время на прочтение13 мин
Количество просмотров3.5K

Что такое Argo Rollouts? Это контроллер Kubernetes и набор CRD для дополнительных возможностей развёртывания — сине-зелёное, канареечное, прогрессивное, анализ канареечного развёртывания и экспериментирование.

В этой статье поговорим о продвинутых возможностях развёртывания с кастомными ресурсами Kubernetes.

Читать далее
Всего голосов 8: ↑7 и ↓1+7
Комментарии0

Почему стоит использовать лимиты CPU в Kubernetes

Время на прочтение8 мин
Количество просмотров8.6K

Эту статью я написал в противовес статье “For the love of god, stop using CPU limits on Kubernetes” (Ради всего святого, прекратите использовать в Kubernetes лимиты CPU).

Мне та статья понравилась, и я считаю её хорошим чтивом. Более того, я согласен с высказанными в ней рекомендациями относительно установки объёмов запрашиваемой памяти и её лимитов для контейнеров, а также с советом всегда устанавливать запросы на выделение CPU.

При этом моё несогласие, явно выраженное в противоположном по смыслу заголовке, связано с той категоричностью, с которой в итоге автор рекомендует не устанавливать лимиты потребления CPU.
Читать дальше →
Всего голосов 30: ↑26 и ↓4+34
Комментарии9

Проверки работоспособности в Kubernetes

Время на прочтение4 мин
Количество просмотров17K

В Kubernetes есть механизм проверки работоспособности, с помощью которого можно узнать, работает контейнер в pod’е или нет. В этой статье поговорим про 3 вида проверок работоспособности kubelet: пробу запуска (startup),пробу работоспособности (liveness) и пробу готовности (readiness).

Читать далее
Всего голосов 12: ↑11 и ↓1+11
Комментарии3

Интеграция Open Policy Agent (OPA) в Kubernetes

Время на прочтение14 мин
Количество просмотров3.4K

OPA можно интегрировать практически куда угодно, включая Kubernetes. Из этого материала вы узнаете, как интегрировать OPA в Kubernetes, и на примерах рассмотрите преимущества этой интеграции. В Kubernetes мы развертываем OPA как контроллер доступа. 

Читать далее
Всего голосов 7: ↑7 и ↓0+7
Комментарии1

Начало работы с управлением политиками Kubernetes и Kyverno на платформе контейнеров OpenShift

Время на прочтение6 мин
Количество просмотров3.8K
image

В этой статье речь пойдёт о том, как начать работу с Kyverno на платформе контейнеров OpenShift, с помощью которой можно повысить безопасность, легко внедрять передовые технологии и решать другие непростые задачи.
Читать дальше →
Всего голосов 6: ↑6 и ↓0+6
Комментарии0

Руководство по обеспечению высокой доступности в Kubernetes

Время на прочтение11 мин
Количество просмотров11K

Перед вами полноценный гайд по запуску приложений с высокой доступностью (HA) в Kubernetes. В его основу лёг мой многолетний опыт работы с этой системой, приправленный лучшими практиками из официальной документации OpenShift и Kubernetes.
Читать дальше →
Всего голосов 38: ↑36 и ↓2+51
Комментарии4

Как организовать мультитенантность в кластерах Kubernetes

Время на прочтение14 мин
Количество просмотров8.4K

Компаниям, которые используют Kubernetes и одновременно разрабатывают несколько продуктов, часто приходится решать вопрос с разделением сред разработки и организацией доступа к кластерам. Нужно, чтобы во время работы команды не мешали друг другу, а в идеале и вовсе не могли это сделать.

Меня зовут Михаил Сидоров, я разработчик в команде R&D СберТеха. Мы создаём Platform V — облачную платформу для разработки enterprise-приложений. Платформа создавалась как инструмент миграции с legacy на микросервисную архитектуру: она должна была организовать и упростить работу примерно 3000 команд разработки в Сбере.

За время разработки Platform V нам удалось изучить вопросы мультитенантности в Kubernetes-кластерах и создать собственное решение для организации мультитенантных кластеров. В этой статье расскажу об основных подходах, плюсах и минусах каждого паттерна, а во второй части подробно опишу наш собственный проект.

Читать далее
Всего голосов 9: ↑9 и ↓0+9
Комментарии2

Архитектура и решения безопасности в облаке часть 1

Время на прочтение5 мин
Количество просмотров5.8K

При увеличении объёма использования облачных ресурсов возникла необходимость встраивания методологии CI/CD в процесс облачной разработки, так как в текущем варианте скорость раскатки приложений и сервисов хоть и стала быстрее, но по концепции не сильно отличалась от baremetal-инфраструктуры.

Читать далее
Всего голосов 7: ↑7 и ↓0+7
Комментарии4
1
23 ...

Информация

В рейтинге
Не участвует
Откуда
Köln, Nordrhein-Westfalen, Германия
Зарегистрирован
Активность