Админим с Буквой
@bykvaadm
5.52K subscribers
303 photos
8 videos
59 files
1.16K links
Канал о системном администрировании, DevOps и немного Инфобеза.

По всем вопросам обращаться к @bykva. Рекламу не размещаю.
Download Telegram
About
Blog
Apps
Platform
Join
Админим с Буквой
5.52K subscribers
Админим с Буквой
Forwarded from Пятничный деплой
Статья про лимиты в Linux - пригодится для подготовки к собесу, ну и вообще полезно https://ops.tips/blog/proc-pid-limits-under-the-hood/ #limits #linux #ops
ops.tips
Process resource limits under the hood
Go through the internals of implementing ulimit, how prlimit works, as well as inspecting how the kernel limits the number of open files
50 viewsbykva
Админим с Буквой
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
No dockershim in k8s, what about security?

Громкая новость, что в kubernetes 1.20 будет выпилен dockershim как high-level runtime. Таким образом, к концу 2021 году всем необходимо будет перейти на cri-o или containerd.

Через некоторое время появляется страница в официальной документации k8s:

Don't Panic: Kubernetes and Docker

А чтобы разобраться, что это вообще такое, советую взглянуть на следующие материалы:

- How Container Runtimes matter in Kubernetes?
- Diving Deeper Into Runtimes: Kubernetes, CRI, and Shims

С точки зрения security советую вам посмотреть следующее видео:

Security Considerations for Container Runtimes

Если коротко, то мы первое, в чем выиграет безопасность, так это отсутствие CAP_NET_RAW в качестве capability, при этом сохраняется возможность делать ping внутри котейнера. Это должно решить проблему с CVE-2020-14386 и возможностью проведения MiTM атак.

#k8s #ops #docer
GitHub
kubernetes/CHANGELOG/CHANGELOG-1.20.md at master · kubernetes/kubernetes
Production-Grade Container Scheduling and Management - kubernetes/kubernetes
2.8K viewsbykva