Forwarded from Книги для программистов
Hacking Kubernetes (2021)
Авторы: Andrew Martin, Michael Hausenblas
Количество страниц: 526
Хотите безопасно и надежно работать с Kubernetes? Эта практическая книга представляет собой руководство по безопасности с учетом всех типов угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются прошедшие громкие атаки. Авторы Эндрю Мартин и Майкл Хаузенблас делятся передовой конфигурацией, которая поможет вам укрепить кластеры со всех возможных углов атаки.
Во время чтения книги вы:
✔️Узнаете, где ваша система Kubernetes уязвима, с помощью методов моделирования угроз;
✔️Погрузитесь глубоко в методы песочницы и изоляции;
✔️Узнаете, как обнаруживать и смягчать атаки на цепочки поставок;
✔️Исследуете файловые системы, тома и конфиденциальную информацию в состоянии покоя;
✔️Узнаете, что может пойти не так при многопользовательских рабочих нагрузках в кластере.
Достоинства:
➕Авторы имеют практический опыт в своей области;
➕Актуальность материала.
Недостатки:
➖Не замечено.
Скачать книгу
Авторы: Andrew Martin, Michael Hausenblas
Количество страниц: 526
Хотите безопасно и надежно работать с Kubernetes? Эта практическая книга представляет собой руководство по безопасности с учетом всех типов угроз. В каждой главе исследуется архитектура конкретного компонента и возможные настройки по умолчанию, а затем рассматриваются прошедшие громкие атаки. Авторы Эндрю Мартин и Майкл Хаузенблас делятся передовой конфигурацией, которая поможет вам укрепить кластеры со всех возможных углов атаки.
Во время чтения книги вы:
✔️Узнаете, где ваша система Kubernetes уязвима, с помощью методов моделирования угроз;
✔️Погрузитесь глубоко в методы песочницы и изоляции;
✔️Узнаете, как обнаруживать и смягчать атаки на цепочки поставок;
✔️Исследуете файловые системы, тома и конфиденциальную информацию в состоянии покоя;
✔️Узнаете, что может пойти не так при многопользовательских рабочих нагрузках в кластере.
Достоинства:
➕Авторы имеют практический опыт в своей области;
➕Актуальность материала.
Недостатки:
➖Не замечено.
Скачать книгу
Forwarded from DevOps&SRE Library
10 Trends in real-world container use
Updated October 2021.https://www.datadoghq.com/container-report
1. Nearly 90 percent of Kubernetes users leverage cloud-managed services
2. Amazon ECS users are shifting to AWS Fargate
3. The average number of pods per organization has doubled
4. Host density is 3 times higher on Kubernetes than on Amazon ECS
5. Pod auto-scaling is becoming more popular
6. Organizations are deploying more stateful workloads on containers
7. Organizations running container environments create more monitors
8. Organizations are starting to replace Docker with containerd as their preferred runtime for Kubernetes
9. OpenShift adoption is growing rapidly
10. NGINX, Redis, and Postgres are the top three container images
сейчас в прогрессе 24х часовая конференция по DevOps
https://www.alldaydevops.com/
всегда можно найти что-нибудь новое, неизвестное и интересное на ней для себя 🙂
https://www.alldaydevops.com/
всегда можно найти что-нибудь новое, неизвестное и интересное на ней для себя 🙂
Alldaydevops
All Day DevOps | The World's Largest DevOps Conference
Join us for the largest virtual DevOps conference. Now available on-demand!
24 Hours | 5 tracks | Free Online
24 Hours | 5 tracks | Free Online
Forwarded from Технологический Болт Генона
Записи всех стримов с Linux Plumbers Conference 2021, которая проходила на этой неделе, собраны в отдельный плейлист
https://www.youtube.com/playlist?list=PLVsQ_xZBEyN2c21jFUgqI2iMa094zXanH
Куча всего интересного, осталось найти время, что бы всё интересное посмотреть 🌝
Полное расписание
https://linuxplumbersconf.org/event/11/timetable/#all
https://www.youtube.com/playlist?list=PLVsQ_xZBEyN2c21jFUgqI2iMa094zXanH
Куча всего интересного, осталось найти время, что бы всё интересное посмотреть 🌝
Полное расписание
https://linuxplumbersconf.org/event/11/timetable/#all
https://www.youtube.com/watch?v=Q9Z75x29Uf4&list=PL8klaCXyIuQ7DlznvhkxVfSC3Bp6vHcCN
Серия видео Kubernetes Made Easy
Серия видео Kubernetes Made Easy
YouTube
01 - Kubernetes Architecture Demystified
Kubernetes Architecture Demystified
In this video series, I explain
✅What is Kubernetes?
✅Need for container orchestration
✅Kubernetes Architecture
✅Kubernetes deprecated Docker? The story behind it!
✅Setup 3 Node Kubernetes Cluster
✅Kubernetes Pods
✅Kubernetes…
In this video series, I explain
✅What is Kubernetes?
✅Need for container orchestration
✅Kubernetes Architecture
✅Kubernetes deprecated Docker? The story behind it!
✅Setup 3 Node Kubernetes Cluster
✅Kubernetes Pods
✅Kubernetes…
Forwarded from DevOps Deflope News
Пару дней назад вышел новый Technology Radar от ThoughtWorks (http://a.e42.link/j1qLb).
На этот раз много пунктов относится к инфраструктуре и командообразованию, также немалое количество пунктов про удаленную работу:
— 4 ключевые метрики DORA перешли в Adopt и рекомендуются для применения всеми. Если у вас нет дашборда для их отслеживания можно периодически раз в квартал проходить DORA quick check: http://a.e42.link/j1qWj
— Платформенные команды также перешли в Adopt и рекомендуются как хороший подход. Важно отметить, что платформенная команда это не переименованные operations, а команда разработки точно такая же как и любые другие команды разработки — со своим product owner, продуктовым планированием, разбиением на фичи, работой с бэклогом, и т.д. Одним словом, платформенная команда — это команда разработки, которая пишет продукт для использования внутри компании другими командами
— Учитывание когнитивной нагрузки команд в проектировании архитектуры. Про это уже говорилось в предыдущем радаре и в книге http://a.e42.link/j1qW8 — кто еще не знаком с концепцией и подходом очень рекомендуем ознакомиться
— Remote mob-programming. Это как парное программирование, только больше чем вдвоем и не в одной комнате у доски, а удаленное. Парное программирование мы применяли с отличными результатами как раз через Zoom — оно хорошо подходит для случая когда не совсем ясно как именно и что писать, гораздо лучше чем параллельная работа с синками через каждые 2-3 часа.
— В блоке Assess появилось использование Kubernetes Operator для управления ресурсами за пределами Kubernetes. В предыдущих радарах уже упоминались инструменты для этого, теперь на радаре появилась и сама практика. Также в этом радаре появился и Crossplane (http://a.e42.link/j1qWT)
— В блоке Trial по-прежнему находится http://a.e42.link/j1qWz (инструмент для построения внутренних технологических порталов и витрин),
— Также в этом же блоке появились Clickhouse, Kafka REST Proxy, Kafka Mirrormaker 2.0, OPA Gatekeeper for Kubernetes и Sealed Secrets
— Из Assess в Trial поднялись GitHub Actions, K3s и Pulumi
— Написание скриптов командной строки на Clojure: Babashka (http://a.e42.link/j1qWY) — за счет использования GraalVM обещают, что он стартует мгновенно, а не как другие JVM-приложения
— ExternalDNS для синхронизации ингрессов с DNS-провайдерами появился в Assess
— Batect (http://a.e42.link/j1qWt) как способ настройки окружений локальных и тестовых
— Berglas (http://a.e42.link/j1qWm) для управления секретами в GCP
— Dive (http://a.e42.link/j1qWZ) — сканнер оптимальности сборки докер-образов. Может отслеживать неэффективность послойной сборки и вычислять «лишний» объем образа (например файлы создаются в нижнем слое, а затем удаляются в верхнем слое)
— Lens (http://a.e42.link/j1qWp) как UI для Kubernetes перешел в Trial
— cert-manager (http://a.e42.link/j1qWl) наконец-то появился на радаре
— Появились аж 2 инструмента для тестирования инфракода: Conftest (http://a.e42.link/j1qWB) и Regula (http://a.e42.link/j1qWn). Оба используют язык Open Policy Agent для написания тестов. Такие тесты могут использоваться, например, для автоматизированного тестирования Compliance
— Появился Cosign (http://a.e42.link/j1qWG) — инструмент для подписи и проверки подписи контейнеров
— Забавно, но в этом радаре появились и современные альтернативы командам из Coreutils (под именем Modern Unix commands) наподобие ripgrep, ag, jq, httpie. Большой список таких команд можно посмотреть на http://a.e42.link/j1qWx
— Mozilla Sops (http://a.e42.link/j1qWf) для безопасного хранения шифрованных секретов в гит-репозиториях (с расшифровкой например через AWS KMS)
— Pactflow (http://a.e42.link/j1qWC) — инструмент для тестирования контрактов
— Proxyman (http://a.e42.link/j1qWk) — прокси для отладки веб-приложений
— Telepresence (http://a.e42.link/j1qWe) — инструмент для подключения локально запущенного приложения к удаленному кластеру кубернетес. Может пригодиться например для песочниц разработки
На этот раз много пунктов относится к инфраструктуре и командообразованию, также немалое количество пунктов про удаленную работу:
— 4 ключевые метрики DORA перешли в Adopt и рекомендуются для применения всеми. Если у вас нет дашборда для их отслеживания можно периодически раз в квартал проходить DORA quick check: http://a.e42.link/j1qWj
— Платформенные команды также перешли в Adopt и рекомендуются как хороший подход. Важно отметить, что платформенная команда это не переименованные operations, а команда разработки точно такая же как и любые другие команды разработки — со своим product owner, продуктовым планированием, разбиением на фичи, работой с бэклогом, и т.д. Одним словом, платформенная команда — это команда разработки, которая пишет продукт для использования внутри компании другими командами
— Учитывание когнитивной нагрузки команд в проектировании архитектуры. Про это уже говорилось в предыдущем радаре и в книге http://a.e42.link/j1qW8 — кто еще не знаком с концепцией и подходом очень рекомендуем ознакомиться
— Remote mob-programming. Это как парное программирование, только больше чем вдвоем и не в одной комнате у доски, а удаленное. Парное программирование мы применяли с отличными результатами как раз через Zoom — оно хорошо подходит для случая когда не совсем ясно как именно и что писать, гораздо лучше чем параллельная работа с синками через каждые 2-3 часа.
— В блоке Assess появилось использование Kubernetes Operator для управления ресурсами за пределами Kubernetes. В предыдущих радарах уже упоминались инструменты для этого, теперь на радаре появилась и сама практика. Также в этом радаре появился и Crossplane (http://a.e42.link/j1qWT)
— В блоке Trial по-прежнему находится http://a.e42.link/j1qWz (инструмент для построения внутренних технологических порталов и витрин),
— Также в этом же блоке появились Clickhouse, Kafka REST Proxy, Kafka Mirrormaker 2.0, OPA Gatekeeper for Kubernetes и Sealed Secrets
— Из Assess в Trial поднялись GitHub Actions, K3s и Pulumi
— Написание скриптов командной строки на Clojure: Babashka (http://a.e42.link/j1qWY) — за счет использования GraalVM обещают, что он стартует мгновенно, а не как другие JVM-приложения
— ExternalDNS для синхронизации ингрессов с DNS-провайдерами появился в Assess
— Batect (http://a.e42.link/j1qWt) как способ настройки окружений локальных и тестовых
— Berglas (http://a.e42.link/j1qWm) для управления секретами в GCP
— Dive (http://a.e42.link/j1qWZ) — сканнер оптимальности сборки докер-образов. Может отслеживать неэффективность послойной сборки и вычислять «лишний» объем образа (например файлы создаются в нижнем слое, а затем удаляются в верхнем слое)
— Lens (http://a.e42.link/j1qWp) как UI для Kubernetes перешел в Trial
— cert-manager (http://a.e42.link/j1qWl) наконец-то появился на радаре
— Появились аж 2 инструмента для тестирования инфракода: Conftest (http://a.e42.link/j1qWB) и Regula (http://a.e42.link/j1qWn). Оба используют язык Open Policy Agent для написания тестов. Такие тесты могут использоваться, например, для автоматизированного тестирования Compliance
— Появился Cosign (http://a.e42.link/j1qWG) — инструмент для подписи и проверки подписи контейнеров
— Забавно, но в этом радаре появились и современные альтернативы командам из Coreutils (под именем Modern Unix commands) наподобие ripgrep, ag, jq, httpie. Большой список таких команд можно посмотреть на http://a.e42.link/j1qWx
— Mozilla Sops (http://a.e42.link/j1qWf) для безопасного хранения шифрованных секретов в гит-репозиториях (с расшифровкой например через AWS KMS)
— Pactflow (http://a.e42.link/j1qWC) — инструмент для тестирования контрактов
— Proxyman (http://a.e42.link/j1qWk) — прокси для отладки веб-приложений
— Telepresence (http://a.e42.link/j1qWe) — инструмент для подключения локально запущенного приложения к удаленному кластеру кубернетес. Может пригодиться например для песочниц разработки
Forwarded from DevOps&SRE Library
A Lap around Kubernetes Security & Vulnerability scanning Tools — checkov, kube-hunter, kube-bench & Starboard
https://aninditabasak.medium.com/a-lap-around-kubernetes-security-vulnerability-scanning-tools-checkov-kube-hunter-kube-bench-4ffda92c4cf1
https://aninditabasak.medium.com/a-lap-around-kubernetes-security-vulnerability-scanning-tools-checkov-kube-hunter-kube-bench-4ffda92c4cf1
Forwarded from k8s (in)security (D1g1)
Если вы планировали провести эти выходные с пользой, то как раз для вас
- KubeCon + CloudNativeCon North America 2021
- Cloud Native Security Conference North America 2021
- EnvoyCon North America 2021
- SupplyChainSecurityCon hosted by CNCF + CDF 2021
- Production Identity Day: SPIFFE + SPIRE North America 2021
- Cloud Native eBPF Day North America 2021
- GitOpsCon North America 2021
- Cloud Native DevX Day North America 2021
- ServiceMeshCon North America 2021
- Kubernetes AI Day North America 2021
- Cloud Native Wasm Day North America 2021
- FluentCon North America 2021
Всем хороших выходных!
P.S. Такой же playlist с
CNCF выложил записи докладов с недавно прошедших своих сессий KubeCon + CloudNativeCon North America 2021:- KubeCon + CloudNativeCon North America 2021
- Cloud Native Security Conference North America 2021
- EnvoyCon North America 2021
- SupplyChainSecurityCon hosted by CNCF + CDF 2021
- Production Identity Day: SPIFFE + SPIRE North America 2021
- Cloud Native eBPF Day North America 2021
- GitOpsCon North America 2021
- Cloud Native DevX Day North America 2021
- ServiceMeshCon North America 2021
- Kubernetes AI Day North America 2021
- Cloud Native Wasm Day North America 2021
- FluentCon North America 2021
Всем хороших выходных!
P.S. Такой же playlist с
KubeCon + CloudNativeCon Europe 2021Forwarded from DevOps&SRE Library
Learn TypeScript in 5 minutes
Useful for tools like Pulumihttps://swizec.com/blog/learn-typescript-in-5-minutes
https://snyk.io/snykcon/
Видео с прошедшей конференции SnykCon 2021
Видео с прошедшей конференции SnykCon 2021
Snyk
SnykCon 2023 | Snyk
Join us at SnykCon, the developer security conference, to transform the way your teams build secure applications.
Forwarded from DevOps&SRE Library
Forwarded from IT Библиотека
📚Web Security for Developers: Real Threats, Practical Defense
✍🏻McDonald, Malcolm (2020)
▪️Website security made easy. This book covers the most common ways websites get hacked and how web developers can defend themselves. The world has changed. Today, every time you make a site live, you're opening it up to attack.
Web Security for Developers will teach you how your websites are vulnerable to attack and how to protect them. Each chapter breaks down a major security vulnerability and explores a real-world attack, coupled with plenty of code to show you both the vulnerability and the fix.
You'll learn how to:
• Protect against SQL injection attacks, malicious JavaScript, and cross-site request...
👉🏻Скачать
@itlibrary
✍🏻McDonald, Malcolm (2020)
▪️Website security made easy. This book covers the most common ways websites get hacked and how web developers can defend themselves. The world has changed. Today, every time you make a site live, you're opening it up to attack.
Web Security for Developers will teach you how your websites are vulnerable to attack and how to protect them. Each chapter breaks down a major security vulnerability and explores a real-world attack, coupled with plenty of code to show you both the vulnerability and the fix.
You'll learn how to:
• Protect against SQL injection attacks, malicious JavaScript, and cross-site request...
👉🏻Скачать
@itlibrary
И интересный сайт от данного автора, который рассказывает про различные уязвимости веб приложений, с подробным объяснением как они воспроизводятся и исправляются
https://www.hacksplaining.com/
https://www.hacksplaining.com/
Forwarded from AWS Notes
wss://serverless
Полезные размышления на тему — как можно реализовать websocket-архитектуру на serverless схеме.
https://dev.to/aws-builders/serverless-websockets-on-aws-3nm9
🔹 Использовать одну Лямбду для поддержания коннекта, а другую для обработки сообщений
🔹 Использовать GraphQL подписки сервиса AWS AppSync
🔹 Использовать возможности AWS IoT Core MQTT
#serverless
Полезные размышления на тему — как можно реализовать websocket-архитектуру на serverless схеме.
https://dev.to/aws-builders/serverless-websockets-on-aws-3nm9
🔹 Использовать одну Лямбду для поддержания коннекта, а другую для обработки сообщений
🔹 Использовать GraphQL подписки сервиса AWS AppSync
🔹 Использовать возможности AWS IoT Core MQTT
#serverless
Forwarded from AWS Notes
Добавляем WAF к EKS приложениям:
https://aws.amazon.com/blogs/containers/protecting-your-amazon-eks-web-apps-with-aws-waf/
Для WAFv2 нужно добавить в аннотацию AWS Load Balancer Controller параметр wafv2-acl-arn:
#WAF #EKS
https://aws.amazon.com/blogs/containers/protecting-your-amazon-eks-web-apps-with-aws-waf/
Для WAFv2 нужно добавить в аннотацию AWS Load Balancer Controller параметр wafv2-acl-arn:
annotations: kubernetes.io/ingress.class: alb alb.ingress.kubernetes.io/scheme: internet-facing alb.ingress.kubernetes.io/target-type: ip alb.ingress.kubernetes.io/wafv2-acl-arn: "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/test/a1b2c3d4-5678-90ab-cdef"#WAF #EKS
Amazon
Protecting your Amazon EKS web apps with AWS WAF | Amazon Web Services
Analyze the traffic patterns on any public-facing website or web app, and you’ll notice connection requests from all over the world. Apart from the intended traffic, a typical web application responds to requests from bots, health checks, and various attempts…
Forwarded from AWS Notes
DevOps и business playbook (или company playbook)
Тема DevOps выходит за рамки одного человека и связана с работой команд/проектов и в целом организации процессов в компании. В результате при внедрении DevOps практик/культуры всегда возникают проблемы — а что имеется в виду? А почему нужно это перестать делать, то выбросить, а такое делать именно так — кто сказал, что так правильно? А какие есть варианты, как это может быть реализовано с учётом нашей специфики — в нашей компании, нашего размера и стиля работы?
И действительно, а где посмотреть на примеры организиции процессов в IT компаниях — то, что выше и более общее, чем написание скриптов? Где взять аргументы в споре, почему неправильно не только деплоить на прод в пятницу вечером, но и вообще, как организовать эффективное взаимодействие при возникшем удалённом режиме работы?
Ответ есть — playbooks. Не которые ansible playbooks (из-за которых их так сложно нагуглить), а business (company) playbooks — открытые публичные описания, как устроены процессы внутри каких-то компаний.
Например, ваша компания перешла на удалённый режим работы и есть проблемы с выстраиванием взаимодействия (а они есть вне всяких сомнений) — обязательно почитайте GitLab playbook:
▫️ https://about.gitlab.com/company/culture/all-remote/
▫️ https://about.gitlab.com/handbook/
В свете успешно вышедшей на IPO организации, работающей на 100% удалённо не один год, у вас будут серьёзные аргументы в предложениях улучшить практики взаимодействия, в том числе пересекающиеся с DevOps.
Другой исключительно детальный и объёмный playbook от Microsoft:
▪️ https://microsoft.github.io/code-with-engineering-playbook/
Отличное чтиво, однозначно рекомендуется ознакомиться, т.к. это и есть набор best practices, что суть DevOps.
В дополнение некоторый список от других известных и не очень компаний:
🔹 https://www.atlassian.com/team-playbook
🔹 https://heap.io/resources
🔹 https://www.timble.net/playbook/
🔹 https://thoughtbot.com/playbook
🔹 https://www.kohactive.com/playbook/
🔹 https://www.fullstacklabs.co/playbook
А у вашей компании есть свой playbook? Используете ли подобные практики для улучшения DevOps в своей компании?
#devops #design
Тема DevOps выходит за рамки одного человека и связана с работой команд/проектов и в целом организации процессов в компании. В результате при внедрении DevOps практик/культуры всегда возникают проблемы — а что имеется в виду? А почему нужно это перестать делать, то выбросить, а такое делать именно так — кто сказал, что так правильно? А какие есть варианты, как это может быть реализовано с учётом нашей специфики — в нашей компании, нашего размера и стиля работы?
И действительно, а где посмотреть на примеры организиции процессов в IT компаниях — то, что выше и более общее, чем написание скриптов? Где взять аргументы в споре, почему неправильно не только деплоить на прод в пятницу вечером, но и вообще, как организовать эффективное взаимодействие при возникшем удалённом режиме работы?
Ответ есть — playbooks. Не которые ansible playbooks (из-за которых их так сложно нагуглить), а business (company) playbooks — открытые публичные описания, как устроены процессы внутри каких-то компаний.
Например, ваша компания перешла на удалённый режим работы и есть проблемы с выстраиванием взаимодействия (а они есть вне всяких сомнений) — обязательно почитайте GitLab playbook:
▫️ https://about.gitlab.com/company/culture/all-remote/
▫️ https://about.gitlab.com/handbook/
В свете успешно вышедшей на IPO организации, работающей на 100% удалённо не один год, у вас будут серьёзные аргументы в предложениях улучшить практики взаимодействия, в том числе пересекающиеся с DevOps.
Другой исключительно детальный и объёмный playbook от Microsoft:
▪️ https://microsoft.github.io/code-with-engineering-playbook/
Отличное чтиво, однозначно рекомендуется ознакомиться, т.к. это и есть набор best practices, что суть DevOps.
В дополнение некоторый список от других известных и не очень компаний:
🔹 https://www.atlassian.com/team-playbook
🔹 https://heap.io/resources
🔹 https://www.timble.net/playbook/
🔹 https://thoughtbot.com/playbook
🔹 https://www.kohactive.com/playbook/
🔹 https://www.fullstacklabs.co/playbook
А у вашей компании есть свой playbook? Используете ли подобные практики для улучшения DevOps в своей компании?
#devops #design
The GitLab Handbook
All Remote
GitLab is one of the world's largest all-remote companies