Как можно защитить кластер Kubernetes?
Следуйте модели безопасности 4C для защиты кластера Kubernetes:
1. Безопасность облачного провайдера: используйте роли IAM и правила брандмауэра.
2. Безопасность кластера: включите RBAC, журналы аудита и безопасность сервера API.
3. Безопасность контейнера: сканируйте образы и используйте некорневых пользователей.
4. Безопасность кода: реализуйте управление секретами и используйте сетевые политики.
Библиотека собеса по DevOps
1. Безопасность облачного провайдера: используйте роли IAM и правила брандмауэра.
2. Безопасность кластера: включите RBAC, журналы аудита и безопасность сервера API.
3. Безопасность контейнера: сканируйте образы и используйте некорневых пользователей.
4. Безопасность кода: реализуйте управление секретами и используйте сетевые политики.
Библиотека собеса по DevOps
Что такое bearer token?
Bearer token, также известный как токен учетной записи службы, представляет собой JWT-токен, который генерируется автоматически при создании новой учетной записи службы. Он содержит информацию о конкретной учетной записи службы и подписывается корневым сертификатом кластера. Этот токен сохраняется в объекте типа secret, который затем монтируется в POD по стандартному пути и периодически обновляется. При использовании данного токена процесс, запущенный в контейнере, получает доступ к API Kubernetes и может выполнять только разрешенные действия.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
Как можно выполнить техническое обслуживание в одном поде?
Вот шаги для выполнения обслуживания в одном модуле:
✔️ Получить имя модуля, для которого вы хотите выполнить обслуживание, с помощью команды;
✔️ Перевести модуль в режим обслуживания, добавив к нему метку;
✔️ Убедиться, что метка была применена к модулю;
✔️ Выполнить обслуживание модуля по мере необходимости;
✔️ Удалить метку обслуживания с модуля, когда закончите;
✔️ Убедиться, что метка была удалена.
Библиотека собеса по DevOps
Вот шаги для выполнения обслуживания в одном модуле:
✔️ Перевести модуль в режим обслуживания, добавив к нему метку;
✔️ Убедиться, что метка была применена к модулю;
✔️ Выполнить обслуживание модуля по мере необходимости;
✔️ Удалить метку обслуживания с модуля, когда закончите;
✔️ Убедиться, что метка была удалена.
Библиотека собеса по DevOps
Что такое хранимая процедура и чем она отличается от функции в SQL?
Хранимая процедура — это предварительно скомпилированный набор операторов SQL, которые могут быть выполнены как единое целое для выполнения определенной задачи. В отличие от функций, хранимые процедуры могут возвращать несколько наборов результатов и изменять объекты базы данных, тогда как функции обычно возвращают одно значение и не могут изменять данные.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
Вы видите в Kibana после нажатия на «Discover» «561 hits». Что это значит?
Общее количество документов, соответствующих результатам поиска. Если не используется запрос, то просто общее количество документов.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
Назовите три типичные причины ошибок Pod и способы их устранения
Модули могут зависнуть в состояниях Pending, CrashLoopBackOff или ImagePullBackOff:
✔️ Модуль завис в состоянии Pending: Проверьте доступность узла и ограничения ресурсов. Для получения дополнительной информации см. события модуля.
✔️ CrashLoopBackOff: Проверьте журналы приложения и проверьте правильность конфигурации.
✔️ ImagePullBackOff: Убедитесь, что указаны правильное имя образа и учётные данные для извлечения. Для получения дополнительной информации см. события модуля.
Вы можете проверить события модуля с помощью команды describe:
kubectl describe pod <pod-name>
Библиотека собеса по DevOps
✔️ Модуль завис в состоянии Pending: Проверьте доступность узла и ограничения ресурсов. Для получения дополнительной информации см. события модуля.
✔️ CrashLoopBackOff: Проверьте журналы приложения и проверьте правильность конфигурации.
✔️ ImagePullBackOff: Убедитесь, что указаны правильное имя образа и учётные данные для извлечения. Для получения дополнительной информации см. события модуля.
Вы можете проверить события модуля с помощью команды describe:
kubectl describe pod <pod-name>
Библиотека собеса по DevOps
Что такое sidecar-контейнеры Kubernetes и как они используются?
Контейнер sidecar работает параллельно с основным контейнером приложения внутри того же модуля. Он обычно используется для:
Ведения журнала и мониторинга (например, сбора журналов с помощью Fluentd).
Прокси-серверов безопасности (например, запуск прокси-сервера Envoy от Istio для сервисной сетки).
Управления конфигурацией (например, синхронизации настроек приложения).
Пример контейнера sidecar для обработки журналов:
apiVersion: v1
kind: Pod
metadata:
name: app-with-sidecar
spec:
containers:
- name: main-app
image: my-app
volumeMounts:
- mountPath: /var/log
name: shared-logs
- name: log-collector
image: fluentd
volumeMounts:
- mountPath: /var/log
name: shared-logs
volumes:
- name: shared-logs
emptyDir: {}
Библиотека собеса по DevOps
Ведения журнала и мониторинга (например, сбора журналов с помощью Fluentd).
Прокси-серверов безопасности (например, запуск прокси-сервера Envoy от Istio для сервисной сетки).
Управления конфигурацией (например, синхронизации настроек приложения).
Пример контейнера sidecar для обработки журналов:
kind: Pod
metadata:
name: app-with-sidecar
spec:
containers:
- name: main-app
image: my-app
volumeMounts:
- mountPath: /var/log
name: shared-logs
- name: log-collector
image: fluentd
volumeMounts:
- mountPath: /var/log
name: shared-logs
volumes:
- name: shared-logs
emptyDir: {}
Библиотека собеса по DevOps
👍1😁1👾1
Что такое пейджинг по требованию?
Пейджинг по требованию — это метод управления памятью, при котором страницы загружаются в физическую память только при доступе к ним процесса. Он оптимизирует использование памяти, загружая страницы по требованию, что снижает задержку запуска и накладные расходы на пространство. Однако он вносит некоторую задержку при первом доступе к страницам. В целом, это экономически эффективный подход к управлению ресурсами памяти в операционных системах.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
В чем разница между var x int = 2 и x := 2 в Go?
Результат тот же — переменная со значением 2. С помощью var x int = 2 мы устанавливаем тип переменной как целое число, а с помощью x := 2 мы позволяем Go самому определить тип.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
Знаете ли вы, что такое «теорема CAP»? (так называемая теорема Брюера)
Согласно теореме CAP, распределенное хранилище данных не может одновременно предоставлять более двух из следующих данных:
Доступность: на каждый запрос приходит ответ (не обязательно самые последние данные); Согласованность: на каждый запрос приходит ответ с самыми последними данными.
Библиотека собеса по DevOps
Доступность: на каждый запрос приходит ответ (не обязательно самые последние данные); Согласованность: на каждый запрос приходит ответ с самыми последними данными.
Библиотека собеса по DevOps
Что такое сокет? Где можно увидеть список сокетов в вашей системе?
Сокет — это программная конечная точка, которая обеспечивает двустороннюю связь между процессами по сети. Сокеты предоставляют стандартизированный интерфейс для сетевой связи, позволяя приложениям отправлять и получать данные по сети. Чтобы просмотреть список открытых сокетов в системе Linux: netstat -an Эта команда отображает список всех открытых сокетов, а также их протокол, локальный адрес, внешний адрес и состояние.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
Какие типы гипервизоров существуют?
Хостинговые гипервизоры и гипервизоры без операционной системы.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
🤔2😢2
Объясните, что такое прошивка.
В вычислительной технике прошивка — это особый класс компьютерного программного обеспечения, которое обеспечивает низкоуровневый контроль над определенным оборудованием устройства. Прошивка, например BIOS персонального компьютера, может содержать базовые функции устройства и может предоставлять сервисы абстракции оборудования для программного обеспечения более высокого уровня, например операционных систем.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
👍3❤1
Перечислите лучшие инструменты непрерывного тестирования?
Ниже приведены лучшие инструменты непрерывного тестирования:
✍🏻 Selenium
✍🏻 Katalon Studio
✍🏻 Eggplant
✍🏻 Watir
✍🏻 Tosca
Библиотека собеса по DevOps
✍🏻 Selenium
✍🏻 Katalon Studio
✍🏻 Eggplant
✍🏻 Watir
✍🏻 Tosca
Библиотека собеса по DevOps
В чем разница между первичным ключом и уникальным ключом?
Хотя оба типа ключей обеспечивают уникальность значений в столбце таблицы, первый однозначно идентифицирует каждую запись таблицы, а второй предотвращает дубликаты в этом столбце.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
🔥 Вы ещё можете застать старый добрый Proglib — с вечным доступом к курсам.
С 1 августа всё меняется: навсегда — останутся только те, кто успел купить сейчас.
-40% на все курсы. Включая обновлённый Python (кроме курса по AI-агентам)
Это не просто распродажа. Это — последняя точка входа в Proglib Academy по старым правилам.
📚 Выбрать и забрать свой курс навсегда → https://clc.to/TBtqYA
С 1 августа всё меняется: навсегда — останутся только те, кто успел купить сейчас.
-40% на все курсы. Включая обновлённый Python (кроме курса по AI-агентам)
Это не просто распродажа. Это — последняя точка входа в Proglib Academy по старым правилам.
📚 Выбрать и забрать свой курс навсегда → https://clc.to/TBtqYA
Какие коды ответа HTTP существуют?
1xx — информационный
2xx — успех
3xx — перенаправление
4xx — ошибка, сбой клиента
5xx — ошибка, сбой сервера
Библиотека собеса по DevOps
2xx — успех
3xx — перенаправление
4xx — ошибка, сбой клиента
5xx — ошибка, сбой сервера
Библиотека собеса по DevOps
Объясните концепцию Sudo в Linux.
Команда sudo (superuser do) в Linux — это мощная утилита, которая позволяет пользователям выполнять команды с привилегиями другого пользователя, обычно суперпользователя или root. Концепция sudo обеспечивает контролируемый способ управления тем, какие пользователи могут выполнять административные задачи, не предоставляя им неограниченный root-доступ.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
👏2
Поясните разницу между docker run и docker create
Основное различие между этими двумя командами заключается в том, что вторая создаст контейнер в остановленном состоянии. Кроме того, docker create может быть использована для сохранения и вывода идентификатора контейнера для последующего использования. Рекомендуется использовать docker run с опцией --cidfile FILENAME, чтобы избежать перезаписи файла при повторном запуске.
Библиотека собеса по DevOps
Библиотека собеса по DevOps
В чем разница между ConfigMaps и Secret?
В то время как Secret хранит критически важные данные в зашифрованном виде, ConfigMaps хранит конфигурацию приложения в обычном текстовом формате. Однако оба этих формата можно использовать в качестве тома и монтировать в модуль через файл определения модуля.
Библиотека собеса по DevOps
Библиотека собеса по DevOps