Forwarded from Библиотека девопса | DevOps, SRE, Sysadmin
Если вы работаете с Kubernetes, вы, вероятно, знакомы с инструментом командной строки kubectl. kubectl поддерживает механизм плагинов, и в этом посте есть довольно много удобных плагинов для администраторов.
https://proglib.io/w/e2adf0ae
https://proglib.io/w/e2adf0ae
Forwarded from CatOps
A series of articles by Rookout on developer tools for working with a Kubernetes cluster.
- Part I: Helm, Kustomize, and Skaffold
- Part II: Skaffold, Tilt, and Garden
- Part III: Lens, VSCode, IntelliJ & Gitpod
- Part IV: Docker, BuildKit, Buildpacks, Jib & Kaniko
- Part V: Development Machines
The second part is particularly interesting because of the comparison table.
#kubernetes
- Part I: Helm, Kustomize, and Skaffold
- Part II: Skaffold, Tilt, and Garden
- Part III: Lens, VSCode, IntelliJ & Gitpod
- Part IV: Docker, BuildKit, Buildpacks, Jib & Kaniko
- Part V: Development Machines
The second part is particularly interesting because of the comparison table.
#kubernetes
Forwarded from Библиотека девопса | DevOps, SRE, Sysadmin
Интересный мысленный эксперимент, рассматривающий, как будут обрабатываться различные крупномасштабные инциденты с гигантским регионом AWS us-east-1.
https://proglib.io/w/e797db48
https://proglib.io/w/e797db48
Forwarded from k8s (in)security (D1g1)
В 2019 году на конференции
Как оказалось подход
1)
2)
3)
4)
И еще там многое всего другого интересного:
Все это впечатляет конечно!
KubeCon сотрудник U.S. Air Force и Department of Defense (DoD) выступил с любопытным докладом "How the Department of Defense Moved to Kubernetes and Istio". Как оказалось подход
DoD к работе с Kubernetes представлен не только в этом выступлении, но и в целой серии публичных документов. Среди них наиболее близким к тематике канала является документ "DoD Enterprise DevSecOps Reference Design: CNCF Kubernetes" от 2021 года. По сути, документ рассказывает о том, как они подходят к безопасности с использование Kubernetes - для ознакомления он точно MUST READ! Его можно разбить на море отдельных постов, но я выделю несколько на мой взгляд ключевых моментов:1)
Containerized Software Factory - все включая CI/CD pipline контейнерезировано и запущено в Kubernetes, чтобы ко всему применять одни и те же подходы по защите и контролю контейнеров и уменьшить blast radius.2)
Sidecar Container Security Stack (SCSS) - ничему не доверяем и в каждый Pod инжектим sidecar с кучей функций по security, logging, telemetry и т.д. для ZeroTrust.3)
Service Mesh - покрывает все для контроля и распределения всего east-west трафика.4)
Locally Centralized Artifact Repository - централизованное локальное хранилище для всех артефактов с пройденным hardening'ом.И еще там многое всего другого интересного:
IaC/CaC, GitOps, SOAR и т.д.Все это впечатляет конечно!
YouTube
How the Department of Defense Moved to Kubernetes and Istio - Nicolas Chaillan
Join us for Kubernetes Forums Seoul, Sydney, Bengaluru and Delhi - learn more at kubecon.io
Don't miss KubeCon + CloudNativeCon 2020 events in Amsterdam March 30 - April 2, Shanghai July 28-30 and Boston November 17-20! Learn more at kubecon.io. The conference…
Don't miss KubeCon + CloudNativeCon 2020 events in Amsterdam March 30 - April 2, Shanghai July 28-30 and Boston November 17-20! Learn more at kubecon.io. The conference…
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Kubernetes Security Checklist and Requirements
В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements 🎉
Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!
Кстати, есть также версия на русском.
#k8s #ops
В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements 🎉
Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!
Кстати, есть также версия на русском.
#k8s #ops
GitHub
GitHub - Vinum-Security/kubernetes-security-checklist: Kubernetes Security Checklist and Requirements - All in One (authentication…
Kubernetes Security Checklist and Requirements - All in One (authentication, authorization, logging, secrets, configuration, network, workloads, dockerfile) - Vinum-Security/kubernetes-security-che...
Forwarded from DevOps&SRE Library
Forwarded from DevOps&SRE Library
peirates
Peirates, a Kubernetes penetration tool, enables an attacker to escalate privilege and pivot through a Kubernetes cluster. It automates known techniques to steal and collect service accounts, obtain further code execution, and gain control of the cluster.https://github.com/inguardians/peirates
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
10 Types of Web Vulnerabilities that are Often Missed, OWASP Top 10 Over Time
Сегодня у нас на очереди снова веб, а именно 10 уязвимостей, которые часто упускают.
Среди них:
- HTTP/2 Smuggling
- XXE via Office Open XML Parsers
- SSRF via XSS in PDF Generators
- XSS via SVG Files
- Blind XSS
- Web Cache Deception
- Web Cache Poisoning
- h2c Smuggling
- Second Order Subdomain Takeovers
- postMessage bugs
А на картинке вы, кстати, видете, как менялся OWASP Top 10 с 2004 по 2021 год.
#dev
Сегодня у нас на очереди снова веб, а именно 10 уязвимостей, которые часто упускают.
Среди них:
- HTTP/2 Smuggling
- XXE via Office Open XML Parsers
- SSRF via XSS in PDF Generators
- XSS via SVG Files
- Blind XSS
- Web Cache Deception
- Web Cache Poisoning
- h2c Smuggling
- Second Order Subdomain Takeovers
- postMessage bugs
А на картинке вы, кстати, видете, как менялся OWASP Top 10 с 2004 по 2021 год.
#dev
Forwarded from Книги для программистов
Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Количество страниц: 526
Хотите безопасно и надежно работать с Kubernetes? Эта практическая книга представляет собой руководство по безопасности с учетом всех типов угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются прошедшие громкие атаки. Авторы Эндрю Мартин и Майкл Хаузенблас делятся передовой конфигурацией, которая поможет вам укрепить кластеры со всех возможных углов атаки.
Во время чтения книги вы:
✔️Узнаете, где ваша система Kubernetes уязвима, с помощью методов моделирования угроз;
✔️Погрузитесь глубоко в методы песочницы и изоляции;
✔️Узнаете, как обнаруживать и смягчать атаки на цепочки поставок;
✔️Исследуете файловые системы, тома и конфиденциальную информацию в состоянии покоя;
✔️Узнаете, что может пойти не так при многопользовательских рабочих нагрузках в кластере.
Достоинства:
➕Авторы имеют практический опыт в своей области;
➕Актуальность материала.
Недостатки:
➖Не замечено.
Скачать книгу
Авторы: Andrew Martin, Michael Hausenblas
Количество страниц: 526
Хотите безопасно и надежно работать с Kubernetes? Эта практическая книга представляет собой руководство по безопасности с учетом всех типов угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются прошедшие громкие атаки. Авторы Эндрю Мартин и Майкл Хаузенблас делятся передовой конфигурацией, которая поможет вам укрепить кластеры со всех возможных углов атаки.
Во время чтения книги вы:
✔️Узнаете, где ваша система Kubernetes уязвима, с помощью методов моделирования угроз;
✔️Погрузитесь глубоко в методы песочницы и изоляции;
✔️Узнаете, как обнаруживать и смягчать атаки на цепочки поставок;
✔️Исследуете файловые системы, тома и конфиденциальную информацию в состоянии покоя;
✔️Узнаете, что может пойти не так при многопользовательских рабочих нагрузках в кластере.
Достоинства:
➕Авторы имеют практический опыт в своей области;
➕Актуальность материала.
Недостатки:
➖Не замечено.
Скачать книгу
Forwarded from DevOps&SRE Library
10 Trends in real-world container use
Updated October 2021.https://www.datadoghq.com/container-report
1. Nearly 90 percent of Kubernetes users leverage cloud-managed services
2. Amazon ECS users are shifting to AWS Fargate
3. The average number of pods per organization has doubled
4. Host density is 3 times higher on Kubernetes than on Amazon ECS
5. Pod auto-scaling is becoming more popular
6. Organizations are deploying more stateful workloads on containers
7. Organizations running container environments create more monitors
8. Organizations are starting to replace Docker with containerd as their preferred runtime for Kubernetes
9. OpenShift adoption is growing rapidly
10. NGINX, Redis, and Postgres are the top three container images
сейчас в прогрессе 24х часовая конференция по DevOps
https://www.alldaydevops.com/
всегда можно найти что-нибудь новое, неизвестное и интересное на ней для себя 🙂
https://www.alldaydevops.com/
всегда можно найти что-нибудь новое, неизвестное и интересное на ней для себя 🙂
Alldaydevops
All Day DevOps | The World's Largest DevOps Conference
Join us for the largest virtual DevOps conference. Now available on-demand!
24 Hours | 5 tracks | Free Online
24 Hours | 5 tracks | Free Online
Forwarded from Технологический Болт Генона
Записи всех стримов с Linux Plumbers Conference 2021, которая проходила на этой неделе, собраны в отдельный плейлист
https://www.youtube.com/playlist?list=PLVsQ_xZBEyN2c21jFUgqI2iMa094zXanH
Куча всего интересного, осталось найти время, что бы всё интересное посмотреть 🌝
Полное расписание
https://linuxplumbersconf.org/event/11/timetable/#all
https://www.youtube.com/playlist?list=PLVsQ_xZBEyN2c21jFUgqI2iMa094zXanH
Куча всего интересного, осталось найти время, что бы всё интересное посмотреть 🌝
Полное расписание
https://linuxplumbersconf.org/event/11/timetable/#all