eraser — помогает администраторам Kubernetes удалить список неработающих образов со всех узлов Kubernetes в кластере.
📌 Подробнее: https://github.com/eraser-dev/eraser
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - eraser-dev/eraser: 🧹 Cleaning up images from Kubernetes nodes
🧹 Cleaning up images from Kubernetes nodes. Contribute to eraser-dev/eraser development by creating an account on GitHub.
👍3
Доклад “Sandboxes, Seccomp, and Syscalls: Chasing Isolation in Kubernetes” от Mark Manning посвящён одной из самых сложных тем в Kubernetes — изоляции контейнеров и реальной безопасности sandbox-окружений.
Автор подробно разбирает, почему контейнеры сами по себе не являются полноценной границей безопасности, какие ограничения есть у seccomp и где проходит граница между виртуализацией и изоляцией. Особенно интересно, что в докладе рассматриваются не только способы защиты workload’ов, но и реальные сценарии обхода sandbox-механизмов.
Доклад будет полезен всем, кто работает с multi-tenant Kubernetes-кластерами и хочет лучше понимать риски container isolation.
📌 Подробнее: https://www.youtube.com/watch?v=AKimmv-OYgE
MemOps🤨
Автор подробно разбирает, почему контейнеры сами по себе не являются полноценной границей безопасности, какие ограничения есть у seccomp и где проходит граница между виртуализацией и изоляцией. Особенно интересно, что в докладе рассматриваются не только способы защиты workload’ов, но и реальные сценарии обхода sandbox-механизмов.
Доклад будет полезен всем, кто работает с multi-tenant Kubernetes-кластерами и хочет лучше понимать риски container isolation.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
BSidesSF 2026 - Sandboxes, Seccomp, and Syscalls: Chasing Isolation in Kubernetes (Mark Manning)
Sandboxes, Seccomp, and Syscalls: Chasing Isolation in Kubernetes
Mark Manning
Containers aren’t a security boundary — but we love dangerous things. This talk dives into real-world k8s sandboxing: sharp edges of seccomp, lines between virtualization and…
Mark Manning
Containers aren’t a security boundary — but we love dangerous things. This talk dives into real-world k8s sandboxing: sharp edges of seccomp, lines between virtualization and…
❤1👍1
Kubesplaining — CLI-инструмент для анализа безопасности Kubernetes, написанный на Go. Он позиционируется как «Cloudsplaining для Kubernetes».
В отличие от большинства сканеров (Kubescape, Trivy, Polaris), которые ищут отдельные misconfigurations, данный инструмент строит граф privilege escalation и показывает реальные многошаговые цепочки атаки от любого непривилегированного субъекта до критических:
- cluster-admin / system:masters
- node-escape (привилегированные поды + hostPath)
- доступ к секретам в kube-system
Он использует BFS поиск по RBAC + состоянию подов и выдаёт полную цепочку с объяснениями, evidence и remediation.
Ключевые возможности:
- Модули (всего ~45 правил): RBAC (wildcard, impersonation, bind/escalate и т.д.), Pod Security, NetworkPolicy, Admission Webhooks, Secrets, ServiceAccounts, Least-Privilege (на основе audit logs).
- Поддержка живого кластера, snapshot (JSON) и отдельных манифестов.
- Отличные отчёты: интерактивный HTML, JSON, CSV, SARIF (для GitHub Code Scanning).
- CI-friendly: --baseline, --ci-mode, delta-анализ.
- Полностью offline-анализ после скачивания snapshot'а.
- Хорошая документация, примеры remediation (kubectl patch, Kyverno/Gatekeeper).
Здесь можно посмотреть демо отчет.
📌 Подробнее: https://github.com/eraser-dev/eraser
MemOps🤨
В отличие от большинства сканеров (Kubescape, Trivy, Polaris), которые ищут отдельные misconfigurations, данный инструмент строит граф privilege escalation и показывает реальные многошаговые цепочки атаки от любого непривилегированного субъекта до критических:
- cluster-admin / system:masters
- node-escape (привилегированные поды + hostPath)
- доступ к секретам в kube-system
Он использует BFS поиск по RBAC + состоянию подов и выдаёт полную цепочку с объяснениями, evidence и remediation.
Ключевые возможности:
- Модули (всего ~45 правил): RBAC (wildcard, impersonation, bind/escalate и т.д.), Pod Security, NetworkPolicy, Admission Webhooks, Secrets, ServiceAccounts, Least-Privilege (на основе audit logs).
- Поддержка живого кластера, snapshot (JSON) и отдельных манифестов.
- Отличные отчёты: интерактивный HTML, JSON, CSV, SARIF (для GitHub Code Scanning).
- CI-friendly: --baseline, --ci-mode, delta-анализ.
- Полностью offline-анализ после скачивания snapshot'а.
- Хорошая документация, примеры remediation (kubectl patch, Kyverno/Gatekeeper).
Здесь можно посмотреть демо отчет.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - 0hardik1/kubesplaining: Kubernetes security assessment CLI: RBAC, pod-escape, and privilege-escalation path analysis.…
Kubernetes security assessment CLI: RBAC, pod-escape, and privilege-escalation path analysis. Cloudsplaining for Kubernetes. - 0hardik1/kubesplaining
👍2
sig-storage-local-static-provisioner - это официальный проект из экосистемы Kubernetes, который автоматизирует работу с локальными дисками как с PersistentVolume.
Он сканирует ноды, находит локальные директории или блочные устройства и автоматически создает для них PersistentVolume ресурсы. Такой подход полезен, когда нужно:
- использовать быстрые локальные SSD для подов;
- минимизировать задержки по сравнению с сетевым хранилищем;
- избежать ручного управления PV.
Поддерживаются как файловые директории, так и raw-блоки. Также есть механизмы очистки после удаления PVC (wipefs, shred, rm).
Это решение активно применяют в продакшене для stateful-нагрузок, где важна производительность — например, для баз данных или кешей.
📌 Подробнее: https://github.com/kubernetes-sigs/sig-storage-local-static-provisioner
MemOps🤨
Он сканирует ноды, находит локальные директории или блочные устройства и автоматически создает для них PersistentVolume ресурсы. Такой подход полезен, когда нужно:
- использовать быстрые локальные SSD для подов;
- минимизировать задержки по сравнению с сетевым хранилищем;
- избежать ручного управления PV.
Поддерживаются как файловые директории, так и raw-блоки. Также есть механизмы очистки после удаления PVC (wipefs, shred, rm).
Это решение активно применяют в продакшене для stateful-нагрузок, где важна производительность — например, для баз данных или кешей.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - kubernetes-sigs/sig-storage-local-static-provisioner: Static provisioner of local volumes
Static provisioner of local volumes. Contribute to kubernetes-sigs/sig-storage-local-static-provisioner development by creating an account on GitHub.
boring — простой менеджер SSH-туннелей. Управляется из командной строки.
📌 Подробнее: https://github.com/alebeck/boring
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - alebeck/boring: The `boring` SSH tunnel manager
The `boring` SSH tunnel manager. Contribute to alebeck/boring development by creating an account on GitHub.
❤1
pinger — комплексный инструмент для тестирования производительности DNS, который проверяет более 60 общедоступных DNS-серверов, чтобы найти самый быстрый и надежный DNS-резолвер для вашей сети.Возможности:
— тестирует более 60 DNS-серверов, включая Google, Cloudflare, Quad9, OpenDNS, AdGuard и многие другие.
- многократные итерации тестирования: выполняет 5 тестов на каждом сервере, используя различные популярные домены.
- анализ корреляции DNS-Ping: измеряет как время выполнения DNS-запроса, так и задержку сети.
— интеллектуальная система оценки: взвешенная оценка (70% DNS, 30% ping) для оптимального выбора сервера.
— цветовая кодировка результатов: визуальные индикаторы производительности (зеленый = отлично, желтый = хорошо, красный = медленно).
— рекомендации по настройке: Предоставляет готовые к использованию варианты основного и дополнительного DNS-сервера.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Panchajanya1999/pingerr: Find the most optimal DNS server for your router/machine
Find the most optimal DNS server for your router/machine - Panchajanya1999/pingerr
👍3
PII-Shield —
Сочетание
open-source инструмент для защиты логов и данных от утечки персональной информации прямо в Kubernetes . Он работает как sidecar контейнер, перехватывает stdout/stderr, находит секреты и чувствительные данные до того, как они попадут в лог-системы.Сочетание
Shannon Entropy для поиска неизвестных секретов (токены, API-ключи, пароли) и O(1) regex для точного детектирования известных паттернов снижает false positive и позволяет находить даже то, что не было заранее описано правилами.PII-Shield работает полностью локально, без API вызовов наружу, с почти нулевой нагрузкой на GC. Интересный проект, чтобы попробовать безопасно коррелировать логи между сервисами, не раскрывая реальные данные.❤4
Loki «Next Wave»: как Grafana Labs переписала правила логирования на GrafanaCON 2026
Обновления, которые появились в Loki 3.0:
🚀 поддержка Kafka в качестве локального инджестера для всех инджестеров (ранее между ними выполнялась репликация).
🚀 обновленный планировщик запросов, который распределяет запросы между партициями, разбивая большой запрос на независимые подзапросы по партициям.
🚀 Logline для поиска по данным теперь часть Grafana Labs.
Если вы платите за трафик для S3, то Grafana обещает 20-кратное снижение объема сканируемых данных.
P.S. Полный список анонсов с GrafanaCON 2026 можно найти в этой статье в блоге Grafana.
boring — простой менеджер SSH-туннелей. Управляется из командной строки.
📌 Подробнее: https://habr.com/ru/articles/1030716/
MemOps🤨
Обновления, которые появились в Loki 3.0:
🚀 поддержка Kafka в качестве локального инджестера для всех инджестеров (ранее между ними выполнялась репликация).
🚀 обновленный планировщик запросов, который распределяет запросы между партициями, разбивая большой запрос на независимые подзапросы по партициям.
🚀 Logline для поиска по данным теперь часть Grafana Labs.
Если вы платите за трафик для S3, то Grafana обещает 20-кратное снижение объема сканируемых данных.
P.S. Полный список анонсов с GrafanaCON 2026 можно найти в этой статье в блоге Grafana.
boring — простой менеджер SSH-туннелей. Управляется из командной строки.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from godnoTECH - Новости IT
Уволенный девопс Atlassian выкатил на YouTube архитектуру Jira
После 8 лет работы Atlassian выставила инженера-программиста на мороз. Эффективные менеджеры сократили 10% штата (1600 человек), прикрываясь необходимостью «инвестиций в ИИ» и адаптацией к рынку. В ответ парень не стал писать слезливые посты об уходе в LinkedIn, а просто залил на YouTube 40-минутный разбор всей инфраструктуры маршрутизации и балансировки трафика, которую он годами строил для глобальных продуктов вроде Jira, Confluence и Bitbucket.
В видосе детальный расклад по стеку: Python, FastAPI, Envoy Proxy, K8s и AWS. На Reddit ролик предсказуемо окрестили изощренной местью, ведь теперь любой может буквально по винтикам скопировать энтерпрайз-архитектуру компании. Сам автор уверяет, что просто делится опытом с коллегами по несчастью.
🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX
После 8 лет работы Atlassian выставила инженера-программиста на мороз. Эффективные менеджеры сократили 10% штата (1600 человек), прикрываясь необходимостью «инвестиций в ИИ» и адаптацией к рынку. В ответ парень не стал писать слезливые посты об уходе в LinkedIn, а просто залил на YouTube 40-минутный разбор всей инфраструктуры маршрутизации и балансировки трафика, которую он годами строил для глобальных продуктов вроде Jira, Confluence и Bitbucket.
В видосе детальный расклад по стеку: Python, FastAPI, Envoy Proxy, K8s и AWS. На Reddit ролик предсказуемо окрестили изощренной местью, ведь теперь любой может буквально по винтикам скопировать энтерпрайз-архитектуру компании. Сам автор уверяет, что просто делится опытом с коллегами по несчастью.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24😁10❤5🔥3
The Human Infrastructure: How Netflix Built the Operations Layer Behind Live at Scale
📌 Подробнее: https://netflixtechblog.com/the-human-infrastructure-how-netflix-built-the-operations-layer-behind-live-at-scale-33e2a311c597
MemOps🤨
За три года, прошедшие с момента нашего первого прямого эфира, Chris Rock: Selective Outrage, мы стали свидетелями невероятного расширения нашего контента в прямом эфире и поддерживающей его работы системы. Начав с трансляции всего одного шоу в месяц, мы теперь можем транслировать более девяти шоу в день, охватывая десятки миллионов одновременно подключенных пользователей. В этом посте мы приоткроем завесу тайны над командами, отвечающими за организацию прямых трансляций, которые обеспечивают такой стремительный рост.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
The Human Infrastructure: How Netflix Built the Operations Layer Behind Live at Scale
By: Brett Axler, Casper Choffat, and Alo Lowry
❤2
Pghero — панель управления производительностью для Postgres
📌 Подробнее: https://github.com/ankane/pghero
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5