MemOps 😃

ArgoCD — мощный инструмент для GitOps-подхода, но его использование в мультикластерной среде накладывает дополнительные требования к безопасности.

Основные идеи из статьи:
— Распределённая архитектура: при работе с несколькими кластерами важно правильно выстраивать доверительные отношения между ними, чтобы избежать компрометации всей инфраструктуры.
— Аутентификация и авторизация: рекомендуется использовать внешние провайдеры идентификации (OIDC), что упрощает управление доступом и позволяет централизовать контроль.
— RBAC и политики безопасности: ограничение прав до минимально необходимых снижает риск злоупотреблений и атак через скомпрометированные учётные данные.
— Секреты и их хранение: лучше всего использовать внешние менеджеры секретов (например, HashiCorp Vault, AWS Secrets Manager), а не хранить их напрямую в кластере.
— Zero Trust подход: предполагается минимизация доверия даже внутри инфраструктуры — каждый запрос должен быть аутентифицирован и авторизован.

В итоге, защищённый мультикластерный ArgoCD — это комбинация централизованного управления доступом, минимальных прав, надёжного хранения секретов и постоянного мониторинга. Такой подход снижает поверхность атаки и повышает устойчивость CI/CD-процессов.

📌 Подробнее: https://www.tremolo.io/post/securing-multi-cluster-argocd

MemOps 🤨

MemOps 😃

Фишки Docker Compose

От чёткой структуры каталогов и использования .env файлов для безопасности до Docker Labels для фильтрации контейнеров и health checks для проверки их работоспособности.

📌 Подробнее: https://www.youtube.com/watch?v=wSODnwNYglU

MemOps 🤨

MemOps 😃

Релиз Terraform Provider для Google Cloud

Вышел стабильный релиз Terraform Provider для Google Cloud 7.0, и он уже доступен для использования.

Что нового
— Теперь можно создавать временные объекты, такие как токены доступа, которые не сохраняются в state файле.
— С новыми аттрибутами можно передавать чувствительные данные без записи их в state.
— Теперь более жесткие проверки на этапе terraform plan, что поможет избежать неожиданных сбоев при применении изменений.

📌 Подробнее: https://www.hashicorp.com/en/blog/terraform-provider-for-google-cloud-7-0-is-now-ga

MemOps 🤨

MemOps 😃

Kubernetes v1.34 представил тестовую поддержку пользовательских настроек в kubectl

Теперь можно задавать дефолтные опции команд и создавать собственные алиасы, упрощая и ускоряя работу с инструментом. Функция доступна в бета-версии, разработчики ждут обратной связи.

📌 Подробнее: https://kubernetes.io/blog/2025/08/28/kubernetes-v1-34-kubectl-kuberc-beta/

MemOps 🤨

🚬 Уязвимость в Docker Desktop открывает доступ к диску C

В Windows-версии Docker Desktop нашли критическую дыру безопасности. Уязвимость CVE-2025-9074 получила оценку 9,3 из 10 по CVSS и позволяет обойти контейнерную изоляцию, выполнив команды на уровне хоста всего через два HTTP-запроса.

Исследователь Феликс Буле показал, что злоумышленнику достаточно внедрить в контейнер вредоносный процесс, который отправит пару подготовленных POST-запросов к Docker Engine. В результате можно примонтировать диск C и получить полный контроль над системой, независимо от включённых настроек «Enhanced Container Isolation» и «Expose daemon without TLS».

Linux от этой уязвимости защищён полностью, macOS затронута частично. Пользователям Windows рекомендуется обновиться немедленно.

🥸 godnoTECH - Новости IT

Мониторинг Kubernetes с помощью ClickStack

В этом видео рассматривается мониторинг Kubernetes с помощью ClickStack, а также показан процесс: от развёртывания ClickStack с помощью Helm до настройки сбора данных и изучения пользовательского интерфейса HyperDX. А ещё вы увидите как настроить сбор метрик Kubernetes с помощью OpenTelemetry, что даст полное представление о производительности кластера.

📌 Подробнее: https://clickhouse.com/videos/monitoring-kubernetes-clickstack

MemOps 🤨

MemOps 😃

Kubectl KubeRC выходит в бета‑стадию

Kubernetes анонсировал бета‑версию Kubectl KubeRC в версии 1.34 — нового инструмента командной строки для управления ресурсами через декларативные конфигурации.

KubeRC упрощает работу с ресурсами, позволяя применять, обновлять и проверять состояние объектов Kubernetes более предсказуемо и безопасно, особенно в больших кластерах с множеством манифестов.

Новая утилита интегрируется с привычным kubectl и поддерживает возможности планирования изменений и предварительной проверки конфигураций, снижая риск ошибок при деплое.

📌 Подробнее: https://kubernetes.io/blog/2025/08/28/kubernetes-v1-34-kubectl-kuberc-beta/

MemOps 🤨

MemOps 😃

Kubernetes 1.34: управление перезапусками контейнеров с точностью до отдельного контейнера

В версии 1.34 появилась альфа-функция, которая позволяет задавать политику перезапуска для каждого контейнера отдельно, включая правила по кодам выхода. Это решает ограничения предыдущих версий с одним общим правилом на Pod.

📌 Подробнее: https://kubernetes.io/blog/2025/08/29/kubernetes-v1-34-per-container-restart-policy/

MemOps 🤨

MemOps 😃

6 причин, по которым вам не нужна команда SRE

Модель крупных команд SRE, охватывающих множество сервисов, расплывчата и туманна, что позволяет многократно интерпретировать ее по-новому. В основном это побочный эффект (а) чрезмерного увлечения созданием таких крупных групп или (б) внедрения SRE/DevOps в уже существующие группы без необходимой ориентации на надежность в масштабах компании (или без решимости отказаться от такой крупной группы для выполнения SRE).

📌 Подробнее: https://log.andvari.net/6reasons.html

MemOps 🤨

MemOps 😃

Почему я рекомендую использовать Prometheus, а не OpenTelemetry

📌 Подробнее: https://promlabs.com/blog/2025/07/17/why-i-recommend-native-prometheus-instrumentation-over-opentelemetry [en]

MemOps 🤨

Восстание серверов всё ближе

MemOps 😃