Случалось ли вам по ошибке обновить Kubernetes Secret?

Такое происходит чаще, чем кажется. Например:

Вы обновляете Secret для одного сервиса в кластере, но случайно редактируете Secret, который используется критичным приложением.

Через пару секунд приложение падает, потому что креды больше не совпадают.

Чтобы предотвратить такие ситуации, Kubernetes позволяет сделать Secrets immutable.

Достаточно добавить одну строку immutable: true в манифест, вы можете залочить этот Secret.

Если кто-то попробует его изменить, Kubernetes заблокирует обновление.

Если всё же нужно обновить immutable Secret, его придётся удалить и создать заново.

Есть и другой способ избежать случайных изменений – использовать Secrets Store CSI Driver.

Он монтирует внешние секреты из провайдеров вроде AWS Secrets Manager напрямую как read-only тома в поды, так что их нельзя модифицировать из кластера.

Чтобы узнать больше о Secrets Store CSI Drive, прочитайте эту статью:
https://devopscube.com/secrets-store-csi-dirver-eks/

👉 DevOps Portal

Традиционно наибольшему глубинному пониманию и максимально переносимым знаниям способствует такой порядок обучения:

Linux → Networking → Containers → {Kubernetes, Cloud}

Переходить сразу к изучению более высокоуровневых сетевых компонентов, таких как AWS VPC, Security Groups, Internet Gateways и т.п., вполне распространённая практика, но, по моему опыту, это часто приводит к тому, что на освоение уходит больше времени, а при переходе с AWS на Azure или при отказе от удобств облака в пользу более дешёвой, но и более суровой реальности on-prem-развёртываний приходится буквально переучиваться с нуля.

В противоположность этому, когда вы сначала разбираетесь с LAN’ами (L2-широковещательные домены, типовые топологии коммутаторов и т. п.), затем с L3-маршрутизацией, iptables и NAT, понимание того, что такое VPC и Security Group на самом деле, становится гораздо проще.

И самое приятное в том, что у фокуса на фундаментальных вещах есть ещё одно важное преимущество: знания становятся переносимыми и в сторону тоже

Например, контейнерная сеть (типичная bridge-сеть Docker) и Node/Pod-сети в Kubernetes опираются на те же концепции, даже если отдельные примитивы виртуализированы (Linux bridge выступает виртуальным коммутатором, а network namespace — аналогом изолированного сетевого узла).

Поэтому в iximiuz Labs делается акцент на фундаментальных аспектах серверных технологий:

- [course] Computer Networking Fundamentals For Developers, DevOps, and Platform Engineers — https://labs.iximiuz.com/courses/computer-networking-fundamentals

- [hands-on] Practical Networking 101 problems — https://labs.iximiuz.com/challenges?category=networking

👉 DevOps Portal

Откопал годный инструмент – Pinniped

По сути, Pinniped выступает в роли authentication service для Kubernetes кластера. Он поддерживает различные authenticator types и OIDC identity providers, а также имплементирует различные стратегии интеграции с различными дистрибутивами Kubernetes для облегчения аутентификации

👉 DevOps Portal

Лёгкий GUI для управления несколькими Kubernetes-кластерами из одного места, с отображением в реальном времени, порт-форвардингом, агрегированными логами и опциональной AI-поддержкой для Troubleshooting через OpenAI/Claude/Gemini/Ollama

GitHub: kubewall

👉 DevOps Portal

Как превратить свой старый телефон в веб-сервер

Эта статья хостится на лежащем в ящике Fairphone 2 2015 года, работающем на postmarketOS

В этом туториале тебя проведут по шагам, которые привели к такому результату

В итоге у тебя получится небольшой домашний сервер, способный запускать базовые сервисы

Читайте здесь

👉 DevOps Portal

Годная серия статей - "Hands-on lab: Full Kubernetes compromise, what will your SOC do about it?". Она включает четыре части:

1) Введение - легенда про вымышленную компанию Kuby, в которой случился инцидент и были слиты их данные. Дается описание инфраструктуры компании.
2) Построение уязвимой инфраструктуры Kuby - стек Terraform, Amazon EKS, GitHub Actions CI/CD pipeline.
3) Атака инфраструктуры Kuby - supply-chain attack приводящий к backdoor.
4) Расследование инцидента - анализ событий в GuardDuty и сбор релевантных артефактов и что можно еще улучшить.

Полезно 👍

👉 DevOps Portal

Kubectl плагин для Kubernetes OpenID Connect аутентификации. Также известен как kubectl oidc-login.

Принцип его работы довольно простой: при запуске kubectl, kubelogin открывает страницу, где можно залогиниться через провайдера. Получив токен от провайдера, он передается в kubectl и используется для доступа в Kubernetes API.

GitHub: kubelogin

👉 DevOps Portal

От 300 МБ до 6 МБ в контейнерном образе

Вот как

Когда вы собираете контейнерные образы, чаще всего начинаете с базового образа вроде Ubuntu, Alpine или Debian.

Но что, если можно стартовать с пустоты?

❌ Без ОС
❌ Без shell
❌ Без лишних файлов
✅ Только ваше приложение и конфиги

Именно это и позволяет сделать базовый образ Docker scratch.

Вот простой гайд, который охватывает следующее:

- Как работают scratch-образы
- Добавление SSL-сертификатов
- Управление данными таймзоны
- Настройка пользователя и многое другое

Читайте здесь

👉 DevOps Portal

Advanced Linux Detection and Forensics Cheatsheet - полезный систематизирующий документ по моментам связанным с обнаружением и расследованием инцидентов в Linux

👉 DevOps Portal

Управление микросервисами с Managed Service for Kubernetes®

На Kuber Conf by AOT участники обсудили возможности Managed Service for Kubernetes® — инструмента для оркестрации микросервисов внутри корпоративных сред.

Платформа позволяет автоматизировать развертывание, масштабирование и контроль состояния Kubernetes-кластеров, обеспечивая стабильность и предсказуемость работы сервисов.

На стенде участники проверяли свои знания в Kubernetes®, сражались с Chaos Monster и восстанавливали систему в игре «Спасение Контейнерленда».

👉 DevOps Portal

Этот инструмент предоставляет десктопный и мобильный GUI для управления кластерами Kubernetes.

Он позволяет:

- импортировать kubeconfig'и,
- просматривать ресурсы и метрики,
- выполнять exec в поды,
- пробрасывать порты,
- управлять релизами Helm.

GitHub: kubeterm

👉 DevOps Portal

Kubetools – репозиторий с самой большой подборкой Open Source инструментов для Kubernetes на любые случаи жизни.

Все инструменты поделены на категории

👉 DevOps Portal

Быстрый совет по Linux

Чтобы получить список файлов, которые содержат заданную строку, используйте:

grep -rl string .

-r — рекурсивный обход

-l — вывести имена файлов с совпадениями

👉 DevOps Portal

Практический Docker Roadmap

Она включает более 50 практических заданий, дополненных десятками визуальных разборов и несколькими теоретическими глубокими погружениями. На данный момент вы можете изучить:

- Как запускать разные типы контейнеров (веб-приложения, CLI-утилиты, базы данных и т.д.)
- Как перечислять, инспектировать и управлять локальными контейнерами
- Как выполнять команды внутри контейнеров и отлаживать простые проблемы
- Как обновлять контейнерные образы для stateless и stateful приложений
- Как собирать контейнерные образы как профи
...и несколько других тем

https://labs.iximiuz.com/roadmaps/docker

👉 DevOps Portal

Релиз Kubernetes v1.35 приближается (ожидается 17 декабря 2025 года): в следующей мажорной версии запланировано 17 изменений в области безопасности, включая новые проверки, вывод из эксплуатации устаревших возможностей, таких как cgroup v1 и режим IPVS, in-place-ресайзинг подов и улучшенную стабильность. Предварительный обзор подчёркивает сокращение legacy-компонентов, например переход от Ingress NGINX к HAProxy.

Подробнее тут

👉 DevOps Portal

Устали продираться через тысячи пакетов?

Команда tshark, запущенная с ключом -Y, – это ваше секретное оружие для быстрой фильтрации и точного поиска нужных данных

👉 DevOps Portal

Хорошая статья о том как Kubernetes распределяет Pods по Nodes.

Рассматривается как и в целом работа scheduler’а, так и принципы работы механизмов для распределения Pods:

- nodeSelector
- Node affinity
- Pod affinity/anti-affinity
- Taints and tolerations
- Topology constraints
- Scheduler profiles

Читайте здесь

👉 DevOps Portal

SAST: руководство для начинающих

Статья про Static Application Security Testing. Автор кратко описывает что это такое, зачем оно нужно и почему это важно. Также рассказывает про способы анализа, которые могут быть «под капотом» у анализатора

Рассматривается следующее:
- «Grep»-техника (она же pattern-matching)
- Control Flow Analysis
- Data Flow Analysis
- Taint Analysis

Для каждой техники приводится лаконичное описание логики работы, примеры, а также ее преимущества и недостатки.

Хорошее руководство для новичков, которые только начинают свой путь в SAST ✌️

👉 DevOps Portal

Советы по работе с Helm Chart

Когда речь заходит об управлении конфигурацией Kubernetes,
Helm – один из ключевых инструментов, который используют многие компании.

В этой статье разберём несколько полезных практик работы с Helm-чартами:
- Правильное использование community charts
- Ревью и анализ SubCharts
- Безопасная работа с образами из публичных регистри
- Поиск всех контейнерных образов, используемых в чарте
- Конвертация чарта в обычные YAML-манифесты для аудита
- Управление несколькими окружениями через аккуратные values-файлы
- Best practices для Chart.yaml
- Тестирование и валидация

Подробный блог-пост:
https://devopscube.com/helm-best-practices-essential-tips-to-know/

👉 DevOps Portal

Совет дня по Linux

Можно использовать команду fc для редактирования команд из истории. Допустим, вам нужно отредактировать команды с номерами 230 по 232 в истории.

fc 230 232

Это откроет выбранные команды в редакторе терминала по умолчанию. Внесите изменения в команды, сохраните файл и выйдите, после этого команда будет выполнена

👉 DevOps Portal