Migrating etcd between cloud Kubernetes clusters with no downtime

https://blog.palark.com/etcd-in-kubernetes-migration-tutorial

#k8s #kubernetes

Kubernetes Taints, Tolerations, and Understanding the PreferNoSchedule Effect

В статье описан процесс подсчета скорринга узлов кластера для развертывания pods на оптимальный узел. Также рассмотрено применение эффекта PreferNoSchedule который вы возможно еще не используете предпочитая NoExecute и NoSchedule.

👉 https://trstringer.com/understanding-prefernoschedule/

#kubernetes

Chaos-driven observability: spotting network failures in a Kubernetes cluster

https://coroot.com/blog/chaos-driven-observability-spotting-network-failures

#k8s #kubernetes #coroot #observability

kubepug - kubectl плагин который обнаруживает проблемы и потенциальные уязвимости в вашем конфигурационном файле Kubernetes и предлагает рекомендации по исправлению. Например, он поможет вам найти устаревшие и удаленные API в ваших ресурсах Kubernetes перед переходом на новую версию.

👉 https://github.com/rikatz/kubepug

Другие полезные плагины

👉 https://habr.com/ru/companies/southbridge/articles/750264/

#kubernetes

PostgreSQL Disaster Recovery with Kubernetes’ Volume Snapshots

https://www.enterprisedb.com/postgresql-disaster-recovery-with-kubernetes-volume-snapshots-using-cloudnativepg

#k8s #kubernetes #postgres #backups

Как управлять сотнями sidecar-контейнеров без боли и сожаления

При использовании дополнительных контейнеров в Kubernetes важно развернуть их так, чтобы сократить количество YAML-кода и при этом не лишить платформенные команды возможности публиковать sidecar'ы без запроса на обновление приложение. Для этого подходят Sidecar Injector'ы — решения, которые позволяют писать свою логику изменения создаваемых ресурсов «на лету».

👉 https://habr.com/ru/companies/oleg-bunin/articles/768224

#kubernetes

k8s-bootstrapper

Bootstrapping a Production-Ready DigitalOcean Kubernetes Cluster Using Terraform and Argo CD

#kubernetes #devops #terraform #grafana #prometheus #k8s #loki #argocd #gitops

Helm Dashboard — a GUI for managing Helm releases in Kubernetes

https://blog.palark.com/helm-dashboard-gui-for-helm

#helm #k8s #kubernetes

Kubernetes: шпаргалка для собеседования

Вопросы по Kubernetes достаточно часты на собеседованиях на инженерные вакансии, связанные с администрированием и эксплуатацией. Они могут варьироваться от базовых, рассчитанных на механическую проверку теоретических знаний («объясните, что такое service») до более сложных и комплексных, требующих глубинного понимания внутренних принципов работы Kubernetes.

Часть 1
Часть 2

#kubernetes

Квоты в Kubernetes: очевидные, менее очевидные и совсем не очевидные

Разберемся как работают квоты в Kubernetes. Там есть немало граблей. Чем квоты хороши, что у них под капотом, в каких задачах используются и почему нужны даже в среде single-tenant?

👉 https://habr.com/ru/companies/oleg-bunin/articles/790112/

#kubernetes

Что делать, когда кластер превращается в тыкву?

Обсудим с какими потенциальными проблемами можно столкнуться при значительном росте размеров K8s кластеров. Вопрос не праздный потому что зачастую командам эксплуатации приходится решать их самостоятельно не полагаясь на community и известные best practices.

👉 https://habr.com/ru/companies/dbraincloud/articles/793180/

#kubernetes

Headlamp
A Kubernetes web UI that is fully-featured, user-friendly and extensible
#kubernetes #debugging #devops #dashboard #kubernetes-ui
https://github.com/headlamp-k8s/headlamp

KHI

Kubernetes History Inspector (KHI) is a rich log visualization tool for Kubernetes clusters. KHI transforms vast quantities of logs into an interactive, comprehensive timeline view. This makes it an invaluable tool for troubleshooting complex issues that span multiple components within your Kubernetes clusters.

https://github.com/GoogleCloudPlatform/khi

#k8s #kubernetes #gcp #observability

Kubernetes в изоляции: когда ваш кластер не должен знать о существовании интернета

Вы думаете, что развернуть Kubernetes без интернета — это просто kubeadm init плюс пара манифестов? Посмотрим, как скрипты решают проблемы, о которых вы даже не задумывались.

Спойлер: здесь есть чему удивиться.
И философский вопрос: зачем это всё?

Потому что настоящий DevOps — не тот, кто умеет копировать команды из интернета, а тот, кто может развернуть production‑кластер:
- на заброшенной арктической станции,
- на сервере с доступом только через 3G‑модем,
- в подвале банка с железобетонными стенами.

👉 https://habr.com/ru/companies/slsoft/articles/897102/

#kubernetes

OS Talos Linux. Хайп или реальный продукт

OS Talos Linux спроектирован специально под Kubernetes.
На трансляции разберем почему поднялся хайп вокруг этой OS и на сколько она функциональна, а так же:
• архитектуру и философию проекта
• эксплуатацию
• кейсы
• примеры решений

👉 https://www.youtube.com/watch?v=liso5CNn4G4&t=1458s

#kubernetes #talos

🔒 Отключаем анонимный доступ к kube-apiserver, но оставляем health checks!

Привет! Недавно ко мне пришел коллега-безопасник (Дима привет!) с интересным вопросом: как полностью отключить анонимный доступ к API-серверу Kubernetes, но оставить рабочими проверки /livez, /readyz и /healthz? 🤔 Сходу не ответил, полез копаться в исходниках и KEPах.

Проблема в том, что по умолчанию (`--anonymous-auth=true`) любой может дернуть эндпоинты health-чеков и не только health-чеков:

curl -k https://<API_SERVER_IP>:6443/livez
# Output: ok

Это удобно, но создает потенциальный вектор атаки, если RBAC настроен не идеально или найдется уязвимость. Безопасники такое не любят. 😟

К счастью, в KEP-4633 сообщество Kubernetes предложило решение! Теперь можно тонко настроить, к каким путям разрешен анонимный доступ, даже если глобально он выключен.

Сделать это можно так:

Сначала выключаем глобальный анонимный доступ в манифесте kube-apiserver:

    spec:
      containers:
      - command:
        - kube-apiserver
        # ... другие флаги ...
        - --anonymous-auth=false # <--- Выключаем!
        - --authentication-config=/etc/kubernetes/auth-config.yaml # <--- Указываем конфиг
    

Затем создаем файл конфигурации /etc/kubernetes/auth-config.yaml на control plane нодах и монтируем его в под kube-apiserver:

    # /etc/kubernetes/auth-config.yaml
    apiVersion: apiserver.config.k8s.io/v1beta1
    kind: AuthenticationConfiguration
    anonymous:
      enabled: true # Включаем анонимный доступ *только* для указанных путей
      conditions:
      - path: /livez
      - path: /readyz
      - path: /healthz
    

*(Не забудьте добавить volume и volumeMount в манифест kube-apiserver для этого файла)*

В итоге получаем:
- Запросы к /livez, /readyz, /healthz проходят как system:anonymous.
- Запросы к другим путям (например, /apis) без аутентификации получают 401 Unauthorized.

Кстати, эта функциональность появилась как Alpha в Kubernetes 1.31 и стала Beta в 1.32.

Теперь можно спать спокойнее, зная, что анонимный доступ под контролем!

#kubernetes #k8s #security #authentication #kubeadm #devops #infosec

Привет! В эту пятницу предлагаем разобраться, как Kubernetes управляет сетями — от ядра Linux до сервис-мешей.

Лука Каваллин написал подробную статью о том, что происходит с пакетами и подами в Kubernetes-кластере. В статье — фундаментальные принципы работы сетей в Linux, контейнерах и Kubernetes, а также современные абстракции: Service, Ingress и Gateway API. Автор не обошёл стороной и работу в мультикластерах, и типичные проблемы с сетевой доступностью между подами.

С деталями можно ознакомиться по ссылке.

Желаем приятного чтения! Тем, кто отдыхает — хороших выходных, а тем, кто работает — спокойных дежурных смен!

#devops #kubernetes #networking #pods

Как работает ingress-nginx: нырнем поглубже

В этой серии статей, созданной по мотивам выступления на DevOpsConf’25, подробно разберемся как работает сам ingress-nginx контроллер и почему это не совсем классический nginx. Погрузимся в дебри LUA-кода чтобы понять, как реализована балансировка. А также затронем тему сниппетов, как их включить если они вам очень нужны, и почему этого делать не стоит 😀

🔹 Часть 1 — basics
🔹 Часть 2 — балансировка

#kubernetes #nginx