В статье "Kubernetes security fundamentals: Secrets" автор разбирает управление секретами, выделяя три основные категории угроз: атаки на секреты в состоянии покоя (в etcd, на узлах или дисках), в процессе передачи и на API, которые их предоставляют.
Особое внимание стоит уделить двум нюансам: монтирование секретов как файлов в контейнер значительно безопаснее, чем передача их через переменные окружения, так как последние часто попадают в логи отладки. Также важно знать, что любой пользователь, который может создать pod в неймспейсе, автоматически получает доступ ко всем секретам в этом неймспейсе через механизмы kubelet.
Внешние менеджеры секретов предлагают расширенные возможности контроля доступа и аудита. Однако их использование добавляет ещё одну систему, требующую обслуживания, поэтому выбор решения всегда должен основываться на вашей конкретной модели угроз.
📌 Подробнее: https://securitylabs.datadoghq.com/articles/kubernetes-security-fundamentals-part-8
MemOps🤨
Особое внимание стоит уделить двум нюансам: монтирование секретов как файлов в контейнер значительно безопаснее, чем передача их через переменные окружения, так как последние часто попадают в логи отладки. Также важно знать, что любой пользователь, который может создать pod в неймспейсе, автоматически получает доступ ко всем секретам в этом неймспейсе через механизмы kubelet.
Внешние менеджеры секретов предлагают расширенные возможности контроля доступа и аудита. Однако их использование добавляет ещё одну систему, требующую обслуживания, поэтому выбор решения всегда должен основываться на вашей конкретной модели угроз.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Vibe Coding a Kubernetes Media Server: What I Learned About AI-First Engineering
📌 Подробнее: https://medium.com/@fl.lettner/vibe-coding-a-kubernetes-media-server-what-i-learned-about-ai-first-engineering-88a38224ea5e
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Vibe Coding a Kubernetes Media Server: What I Learned About AI-First Engineering
Zero Kubernetes experience. One week of vibe coding. What AI gets right — and where it needed a human.
❤2
Keeping Your Security Model Intact When Running VMs in Kubernetes
📌 Подробнее: https://medium.com/@dillon_b/migrating-vms-on-kubernetes-without-losing-nsx-level-security-1c4027396568
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Keeping Your Security Model Intact When Running VMs in Kubernetes
The Situation
👍1
otel-cardinality-processor — утилита для борьбы с высокой кардинальностью метрик. Встраивается в качестве процессора в OpenTelemetry Collector. Считает не в абсолютных значениях, а в относительных (дельта) в рамках заданного временного окна.
📌 Подробнее: https://github.com/YElayyat/otel-cardinality-processor
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - YElayyat/otel-cardinality-processor: 🛡️ Cardinality Guardian: A production-grade OpenTelemetry processor to prevent cardinality…
🛡️ Cardinality Guardian: A production-grade OpenTelemetry processor to prevent cardinality explosions and stop TSDB billing spikes. - YElayyat/otel-cardinality-processor
👍2
Аудитные логи в облаке — отдельная распределённая система со своими требованиями к надёжности и стоимости хранения, а не «таблица с событиями».
Команда MWS Cloud Platform выложила подробный разбор архитектуры своего сервиса: от библиотеки, которую подключают сервисы облака, до хранилища на Apache Iceberg и движка StarRocks, с объяснением, почему выбрали именно такой набор технологий и где спрятаны неочевидные грабли.
Полезно всем, кто разрабатывает ИБ-инструменты, работает с большим количеством событий или просто интересуется инструментами безопасности в облаке.
Читать статью на Хабре
Команда MWS Cloud Platform выложила подробный разбор архитектуры своего сервиса: от библиотеки, которую подключают сервисы облака, до хранилища на Apache Iceberg и движка StarRocks, с объяснением, почему выбрали именно такой набор технологий и где спрятаны неочевидные грабли.
Полезно всем, кто разрабатывает ИБ-инструменты, работает с большим количеством событий или просто интересуется инструментами безопасности в облаке.
Читать статью на Хабре
CloudnativePG: postgres database the modern way
📌 Подробнее: https://medium.com/@pascal.toepke/cloudnativepg-postgres-database-the-modern-way-6a3bc9cf5eba
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
CloudnativePG: postgres database the modern way
For years, running a highly available (HA) PostgreSQL cluster was considered one of the “final bosses” of database administration. If you…
👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
😁20🤯1💯1
ayaFlow — высокопроизводительный анализатор сетевого трафика на основе eBPF, написанный на Rust. Разработан для работы в Kubernetes в качестве DaemonSet без sidecar-контейнера, обеспечивая видимость сетевого трафика на уровне всего узла с минимальными накладными расходами.
📌 Подробнее: https://github.com/DavidHavoc/ayaFlow
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - DavidHavoc/ayaFlow: A high-performance, eBPF-based network traffic analyzer written in Rust.
A high-performance, eBPF-based network traffic analyzer written in Rust. - DavidHavoc/ayaFlow
👍3
teleskopio — небольшой и красивый веб-клиент Kubernetes с открытым исходным кодом.
📌 Подробнее: https://github.com/teleskopio/teleskopio
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - teleskopio/teleskopio: teleskopio is an open-source small and beautiful Web Kubernetes client.
teleskopio is an open-source small and beautiful Web Kubernetes client. - teleskopio/teleskopio
Статья "Beyond Container Capabilities: Understanding Linux Capability Sets". В данной статье достаточно коротко и ясно с визуализацией объясняют концепцию Capabilities.
Это важно понимать, чтобы осмысленно добавлять и забирать Capabilities в процессе следования принципу наименьших привилегий.
📌 Подробнее: https://www.utam0k.jp/en/blog/2025/12/14/linux-capability-sets/
MemOps🤨
Это важно понимать, чтобы осмысленно добавлять и забирать Capabilities в процессе следования принципу наименьших привилегий.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
utam0k
Beyond Container Capabilities: Understanding Linux Capability Sets
❤2
ingress-nginx-migration — инструмент анализирует ресурсы Kubernetes NGINX Ingress и помогает в планировании миграции на Traefik.
📌 Подробнее: https://github.com/traefik/ingress-nginx-migration
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - traefik/ingress-nginx-migration: Ingress Nginx Migration
Ingress Nginx Migration. Contribute to traefik/ingress-nginx-migration development by creating an account on GitHub.
👍5😁1
Otelite — это инструмент мониторинга, работающий в виде единого бинарника, который получает данные OpenTelemetry (логи, трейсы, метрики) и предоставляет дашборд и интерфейс терминала для их просмотра. Можно использовать для локальной разработки.
📌 Подробнее: https://github.com/planetf1/otelite
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - planetf1/otelite: Lightweight OpenTelemetry receiver and local dashboard for LLM development — single binary, zero dependencies
Lightweight OpenTelemetry receiver and local dashboard for LLM development — single binary, zero dependencies - planetf1/otelite
👍4