• Ключевые этапы и технологии в развитии виртуализации. От VMware до Kubernetes. От серверов до микросервисов:
• Введение;
• История развития виртуализации;
• Серверы;
• Виртуальные машины;
• Гипервизоры второго типа;
• Лабораторная работа №1. Создаем VM;
• Гипервизоры первого типа;
• Лабораторная работа №2. ESXi;
• Контейнеры;
• Лабораторная работа №3;
• Микросервисная архитектура;
• Kubernetes;
• Облачные провайдеры;
• Лабораторная работа №4;
• Заключение.
#Виртуализация #Kubernetes #VMware
Please open Telegram to view this post
VIEW IN TELEGRAM
• The Kubernetes Goat is designed to be an intentionally vulnerable cluster environment to learn and practice Kubernetes security;
• Sensitive keys in codebases;
• DIND (docker-in-docker) exploitation;
• SSRF in the Kubernetes (K8S) world;
• Container escape to the host system;
• Docker CIS benchmarks analysis;
• Kubernetes CIS benchmarks analysis;
• Attacking private registry;
• NodePort exposed services;
• Helm v2 tiller to PwN the cluster;
• Analyzing crypto miner container;
• Kubernetes namespaces bypass;
• Gaining environment information;
• DoS the Memory/CPU resources;
• Hacker container preview;
• Hidden in layers;
• RBAC least privileges misconfiguration;
• KubeAudit - Audit Kubernetes clusters;
• Falco - Runtime security monitoring & detection;
• Popeye - A Kubernetes cluster sanitizer;
• Secure network boundaries using NSP;
• Cilium Tetragon - eBPF-based Security Observability and Runtime Enforcement;
• Securing Kubernetes Clusters using Kyverno Policy Engine.
• https://github.com/madhuakula/kubernetes-goat
#Kubernetes #security
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - madhuakula/kubernetes-goat: Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kubernetes…
Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kubernetes security using an interactive hands-on playground 🚀 - madhuakula/kubernetes-goat
• Полезные уроки, которые помогут освоить K8s.
• Что такое Kubernetes? Запуск локального кластера Kubernetes. Minikube;
• Запуск Kubernetes кластера на AWS, используя eksctl;
• Запуск Kubernetes кластера на AWS, используя Terraform;
• Как использовать kubectl с несколькими Kubernetes кластерами;
• Как установить Kubernetes Dashboard;
• Создание объекта Pod. Запуск контейнеров в Kubernetes;
• Метки, аннотации и пространства имён в Kubernetes;
• ReplicationController и ReplicaSet в Kubernetes;
• Deployment в Kubernetes. Стратегии обновления приложений;
• Service в Kubernetes - Часть 1. Type: ClusterIP. Endpoints;
• Service в Kubernetes - Часть 2. Types: ExternalName, NodePort и LoadBalancer. Headless Service;
• Ingress в Kubernetes. Создание Ingress на Minikube;
• Liveness и Readiness Probes в Kubernetes;
• StartupProbe и httpHeaders для httpGet в Kubernetes;
• Переопределение CMD и ENTRYPOINT Docker иструкций, используя Kubernetes;
• Настройка HTTPS для web-app в Kubernetes. NGINX Ingress и cert manager. Let's Encrypt;
• Lens - IDE для Kubernetes;
• Использование объекта DaemonSet в Kubernetes;
• Использование Jobs в Kubernetes;
• Использование CronJobs в Kubernetes;
• Volumes в Kubernetes - Часть 1. Сравнение Docker storage driver: overlay2 и volume: emptyDir;
• Volumes в Kubernetes - Часть 2. Volumes типов hostPath и awsElasticBlockStore;
• Что такое PersistentVolume, PersistentVolumeClaim и StorageClass;
• Как настроить AWS IAM Roles для Service Accounts в Kubernetes;
• Cert-manager. Настройка HTTPS. Wildcard сертификаты. DNS01 Challenge. AWS Route53;
• Использование ConfigMap и переменных окружения в Kubernetes;
• Что такое Secrets в Kubernetes и как их использовать;
• Что такое Helm. Практический выпуск. Kubernetes;
• Что такое Helm Chart Repository. Установка ChartMuseum. Kubernetes;
• Что такое ArgoCD и как с ним работать в Kubernetes. GitOps;
• Сбор, анализ и отправка Pod логов в ElasticSearch, используя Fluentd. EFK Stack;
• AWS Load Balancer Controller в Kubernetes. Target type: IP vs Instance. Настройка HTTPS;
• Что такое ExternalDNS и как его настроить с использованием AWS Route53;
• Что такое ServiceAccount, Role, RoleBinding, ClusterRole и ClusterRoleBinding в Kubernetes;
• ArgoCD. Cluster Bootstrapping. App of Apps Pattern. Deploy Infrastructure в одну команду в K8s;
• Что такое External Secrets Operator в Kubernetes. AWS: Parameter Store и Secrets Manager;
• Установка и настройка Grafana Loki в Kubernetes, используя AWS S3 Bucket. Promtail;
• Node affinity и anti-affinity vs nodeSelector. podAffinity и podAntiAffinity в Kubernetes;
• Taints и Tolerations в Kubernetes. NoSchedule, PreferNoSchedule и NoExecute;
• Topology Spread Constraints. Запуск Pods в Highly Available. Local cluster, используя Kind;
• Установка Amazon EBS CSI Driver. Использование AWS KMS для EBS;
• Установка Amazon EFS CSI Driver. Dynamic volume provisioning, используя EFS Access points;
• Network Policies в Kubernetes. Установка Calico network policy engine в Amazon EKS.
#RU #Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
• Kubernetes — это ведущая система управления контейнерами в конвейерах разработки по всему миру, но это не освобождает её от вредоносных атак. Использование Kubernetes требует глубокого понимания среды, включая разные уязвимости, с которыми можно столкнуться при создании, развертывании или запуске приложений в кластере.
• Поскольку кластер Kubernetes один из самых ценных облачных ресурсов, он нуждается в защите. Его безопасность обеспечивает безопасность облака, кластеров приложений, контейнеров, приложений и кода. Хотя Kubernetes обеспечивает преимущества в области безопасности, укрепление способов защиты имеет решающее значение для обороны вашей системы от хакеров и других кибер-угроз.
• В этой статье рассматриваются семь основных способов, которые могут подвергнуть кластер атаке, с соответствующими мерами противодействия к каждому.
#Eng #Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
Goteleport
How to Hack Kubernetes (and How to Protect It)
Practical tips for how to hack Kubernetes and how to protect your clusters.
Шпаргалка по архитектуре k8s.jpg
998.1 KB
• Дополнительный материал:
- Полезные уроки, которые помогут освоить K8s;
- Kubernetes Goat;
- Взлом и защита Kubernetes.
#Kubernetes #DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
• Это отличный и, самое главное, бесплатный курс по куберу на русском языке. Подробное описание и разбор важных тем даст Вам ценные знания и навыки.
• Вводный вебинар. Зачем нужен Kubernetes?
• Что такое Docker?
• Docker Compose и Best Practice Docker, CI/CD и Gitlab CI;
• Первое практическое занятие;
• Введение в Kubernetes, Pod, Replicaset;
• Kubernetes: Deployment, Probes, Resources;
• Второе практическое занятие;
• Kubernetes: Ingress, Service, PV, PVC, ConfigMap, Secret;
• Компоненты кластера Kubernetes;
• Сеть Kubernetes, отказоустойчивый сетап кластера;
• Kubespray. Установка кластера;
• Продвинутые абстракции Kubernetes: Daemonset, Statefulset;
• Продвинутые абстракции Kubernetes: Job, CronJob, RBAC;
• DNS в Kubernetes. Способы публикации приложений;
• Helm. Темплейтирование приложений Kubernetes;
• Подключение СХД Ceph в Kubernetes с помощью CSI;
• Как сломать Кубернетес? Disaster Recovery;
• Обновление Kubernetes;
• Траблшутинг кластера. Решения проблем при эксплуатации;
• Мониторинг кластера Kubernetes;
• Логирование в Kubernetes. Сбор и анализ логов;
• Требования к разработке приложения в Kubernetes;
• Докеризация приложения и CI/CD в Kubernetes;
• Observability — принципы и техники наблюдения за системой.
#Kubernetes #RU
Please open Telegram to view this post
VIEW IN TELEGRAM
• ClusterIP — открывает доступ к сервису по внутреннему IP-адресу в кластере. Этот тип делает сервис доступным только внутри кластера;
• NodePort — открывает сервис на том же порту каждого выбранного узла в кластере с помощью NAT. Делает сервис доступным вне кластера через
<NodeIP>:<NodePort>
. Является надмножеством ClusterIP;• LoadBalancer — создает внешний балансировщик нагрузки в текущем облаке (если это поддерживается) и назначает фиксированный внешний IP-адрес для сервиса. Является надмножеством NodePort;
• ExternalName — открывает доступ к сервису по содержимому поля
externalName
(например, foo.bar.example.com
), возвращая запись CNAME
с его значением. При этом прокси не используется. Для этого типа требуется версия kube-dns
1.7+ или CoreDNS
0.0.8+.#Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
• Вопросы по Kubernetes достаточно часты на собеседованиях на инженерные вакансии, связанные с администрированием и эксплуатацией. Они могут варьироваться от базовых, рассчитанных на механическую проверку теоретических знаний («объясните, что такое service») до более сложных и комплексных, требующих глубинного понимания внутренних принципов Kubernetes и работы (каким образом опубликовать приложение, развёрнутое в Kubernetes). Давайте пойдём от базы в направлении возрастания сложности:
• Дополнительно:
- Обучающий курс по Kubernetes;
- Шпаргалка по архитектуре Kubernetes;
- Взлом и защита Kubernetes;
- Полезные уроки, которые помогут освоить K8s;
- Top 4 Kubernetes Service Types in one diagram;
- ТОП-8 книг по DevOps в 2023 году.
#Kubernetes #DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
• Kubernetes authentication principles;
• Internal Kubernetes authentication methods;
- Static token authentication;
- Bootstrap tokens;
- X.509 client certificates;
- Service account tokens;
• External authentication methods;
- OpenID Connect (OIDC);
- Webhook token authentication;
- Authenticating proxy;
- Impersonating proxy;
• Authentication for other Kubernetes components;
- Kubelet;
- Controller manager and scheduler;
- Kube-proxy;
- Etcd;
• Conclusion.
#Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
• Коллекция полезных шпаргалок для DevOps и IT специалистов. Содержание следующее:
- #Nginx;
- #Docker;
- #Ansible;
- #Python;
- Go (Golang);
- #Git;
- Regular Expression (Regex);
- #PowerShell;
- #VIM;
- #Jenkins;
- Continuous Integration and Continuous Delivery (CI/CD);
- #Kubernetes;
- #Linux;
- Redis;
- Slack;
- Puppet;
- Google Cloud Developer;
- PostgreSQL;
- Ajax;
- Amazon Web Services (AWS).
#CheatSheet #DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM