Kubernetes Security Guide (Kubernetes Hardening)

https://reynardsec.com/en/kubernetes-security-guide/

This article discusses the topic of securing the configuration of Kubernetes clusters. This software is considered quite challenging to manage due to the multitude of settings and areas that need to be addressed. The challenges associated with this can impact the security level of the applied configuration. As usual, my goal is not merely to present a dry list of parameters and ready-made configuration snippets but
Pytanie do #devopsiarz oraz tych co robią #devops, robi ktoś z was u siebie Elasticsearch'e na #kubernetes przy użyciu custom resource operatora? Lata mi to już nawet na prodzie ale mam kilka zagwozdek ( ͡° ͜ʖ ͡°)
Na przykład mam , jak schedulować pody StatefulSet'a:
1) jeden pod na jednym nodzie - gorsza utylizacja resourcow przy wiekszej ich ilosci
2) więcej
@miltem: Niestety to jest problem. Nawet jak sobie zoptymalizujesz to przyjdzie developer ze swoją najważniejszą na świecie apką, zrobi requests na 2 i potem widzisz realne zużycie na poziomie 100m.
  • Odpowiedz
@miltem: To wiem, ale przyjdzie pan manager i powie, że ma tak być bo aplikacja super ważna, w końcu ma 3 endpointy. Ja sobie skrypty porobiłem co mi sprawdzają jakie jest średnie zużycie procesora i widzę apki, które mają za wysokie requesty ustawione.
  • Odpowiedz
ja tam jestem fanem sekuraka, fajne mają prezentacje, luźny klimat i firma bardzo w porządku. Pytanie czy masz podstawy z bezpieczeństwa, bo możesz zwyczajnie nie wiedzieć o czym mówią na niektórych prezentacjach.
  • Odpowiedz
@w011: widzisz rozpiske wiec sie zastanow. pewnie najlepszy aspekt to bedzie networking bo reszta gdzies jest w internecie. Najbardziej z tego towarzystwa szanuje Gynvael Coldwind bo chlop ma duza wiedze ale tez sporo rzeczy jest na jego kanale.

Zreszta sam gadal na jakims live ze najlepiej po prostu rozwiazywac CTFy jesli chce sie pocwiczyc.
  • Odpowiedz
czy jest jakiś gotowy tool do porównania aplikacji po migracji? Chodzi mi o cos gdzie daje FQDN i np IP do starej i nowej apki i porównuje responses i http codes i wiem ze no dana apka zmigrowala sie poprawnie. Robie migracje między load balancerami dla paru srt aplikacji. Obecnie używam customowego skryptu ktory napisalemw pythonie ktory iteruje po CSV i robi request do nowej i starej apki ale jest za duzo
@psiversum: O cholerka, nie będę ukrywał, że nie takiej odpowiedzi się spodziewałem (,)

Życzę ci bardzo dużo zdrowia Mirku ()
  • Odpowiedz
Czy miał ktoś z Was nieprzyjemności z miana korzystania z Ryczałtu 8.5% w branży IT? Słyszałem, że niekiedy trzeba mieć interpretację na piśmie, że można z niego korzystać i zastanawiam się, czy warto się w to ładować, czy po prostu pójść już w to 12% i stracić to 3,5%, a mieć czystą głowe.

#podatki #it #praca #pracbaza #pieniadze #b2b #
@Yakooo: jak w każdej kwestii podatkowej - spokój cenniejszy pieniędzy. Chyba że zarabiasz tyle, że te 3,5% jest na tyle dużo, że warto się użerać, ale podejrzewam że wtedy nie pytałbyś o to na wykopie, tylko miał profesjonalnego doradcę albo księgową ( ͡° ͜ʖ ͡°)
  • Odpowiedz
@Yakooo moja księgowa powiedziała od razu ze ten 8.5% nie dla JDG (w sensie takiego zwyklego b2b jak ja mam), ale jak się upre to mogę mieć 8.5% tylko już nie będzie mnie prowadzić bo ona nie ma ochoty później sie z US użerać.
Ps. Ufam księgowej bardziej niż dziewczynie.
  • Odpowiedz
@Dwarg miej świadomość, że to firma chińska, gdzie w polskim oddziale pracują także ludzie z Chin, którzy charakteryzują się kompletnie innym od powszechnego w Europie etosu pracy. Możesz także mieć przełożonego z Chin a wtedy to <papiez_powodzenia.jpg>
  • Odpowiedz
Jezu Chryste, walić pisanie kodu, te AI chat boty tak pięknie wertują przez masywne dokumentacje i ładnie tłumaczą całą teorię i wszelkie zależności, że aż się chce uczyć xD
Co prawda zdarza się, że się zamota, ale zazwyczaj jest to napisane bardzo dobrym językiem, zrozumialej niż w dokumentacji (szczególnie jak patrzę na to #!$%@? od AWSa). Jedyne czego mi brakuje, to żeby było w stanie generować dłuższe wypowiedzi, takie po kilka stron
@Kamero: Dzięki GPT-4 udało mi się robić adminowe rzeczy o jakich nawet mi się nie śniło. Zawsze bałem się tego typu rzeczy ale dzięki AI udało mi się skopiować volume do innej instancji na AWSie, przeinstalowałem sterowniki CUDA od 0 i przerobiłem zmienne środowiskowe gdzie trzeba aby całe środowisko grało, jakieś dodawanie dostępów, kopiowanie plików między serwerami, użytkownikami i takie tam. Może i proste rzeczy ale nigdy nie miałem z
  • Odpowiedz
@Noelski no dokładnie tak, dawał listę co gdzie sprawdzić, jaką komendą coś zainstalować czy jaki plik zmienić.
Claude 3.5 to zupełnie nowa jakość GPT-4 daje radę ale to jest inny poziom, szczególnie jeśli chodzi o pracę z dużymi inputami
  • Odpowiedz
#programowanie #windows11 #devops hej pracuje w wielkim korpo na lapku od nich bo innaczej sie nie da. Lapek jest nowy szybki ale dziala jak 20 letnia maszyna, jest tak zaszpikowany gownem od korpo do sledzenia, reset robi sie 30 min.

poza tym ze ewidetnie corpo postawilo sie jako man in the middle bo podmieniaja certy to jescze wysylaja do siebie wszystkie zdarzenia sledza co sie da.
@KrowkaAtomowka: Ale jaki problem? Jak jest wolny to robisz swoja prace wolno na tyle na ile ten laptop od nich pozwala, i #!$%@?, placa ci wiecej jak zrobisz szybciej? Nie moga oczekiwac ze zrobisz cos szybciej niz na ile pozwala dostarczony przez nich sprzet. To tak jakby kazac komus jechac 200 na godzine rowerem
  • Odpowiedz
Hej Mirki, chcialbym sie przypomniec, ze jeszcze przez jakiś czas mam contributor access do #examtopics (kosztował mnie ponad 900zl) i mam dostęp do dumpow wszystkich dostępnych egzaminów. Chętnie podzielę się pytaniami za ułamek tej ceny (chce jedynie odzyskać kasę która włożyłem)

Poniżej mój poprzedni post, w ktorym kilku mirkow zdalo juz egzamin :-)
https://wykop.pl/wpis/75951277/hej-kupilem-dostep-do-dumpow-na-egzaminy-na-examto

Niedawno zdawalem kilka egzaminow i praktycznie wszystkie pytania sie pokrywają
JaTobieTyMi - Hej Mirki, chcialbym sie przypomniec, ze jeszcze przez jakiś czas mam c...

źródło: image

Pobierz
  • Odpowiedz
zawsze latest greatest, bo potem będziesz się #!$%@?ć z legacy.

To ostatnie to właściwa nomenklatura, pełna nazwa modułu, pierwsza zdaje się działa jak alias i jest deprecated, ale też zadziała.
  • Odpowiedz
  • 0
@JuliuszCheedar: no ja wiem, że mogę sobie rozszerzyć. Ale nie spodziewałem się, że jak wybiorę opcję "Use the full disk", to znaczy to "Use 50%" i trzeba sobie rozszerzyć.
  • Odpowiedz
#plesk #hosting #azure #devops

Mam problem z Pleskiem na azure. Dodałem subdomenę, wyklikałem sobie wjazd FTP do jej katalogu, w konfiguracji FileZilla podaje dane logowania wraz z adresem IP serwera (taki jak podany w panelu Plesku i na który jest skierowana domena w DNS w rekordzie A).

Port 21
Encryption: Use explicit FTP over TLS if available
Moim zdaniem najlepiej byłoby postawić środowisko na Rocky 9, o ile jest to wspierane, bo ten system ma najdłuższe wsparcie. Zasadniczo systemów RedHatowych nie należy upgradować do nowszych wersji.


@vries: Oficjalnie społeczność twierdzi NO UPGRADE. Spróbuję jeszcze przywrócić stare repozytoria, zainstalować ponownie dnf i podjąć kolejną próbę upgrade, tylko nie wiem, co z tego wyjdzie.

W Debianie nie ma większego problemu z aktualizacją systemu.

A jeśli będzie konieczność postawienia systemu
  • Odpowiedz
#siecikomputerowe #devops #it #nas #serwery #linux #raspberrypi

Chcę sobie zbudować "nas" a tak na prawdę to serwer oparty o nextcloud. Pytanie jest takie: chciałbym, żeby był dostępny pod jakimś stałym IP niezależnie od tego gdzie, kiedy i w jakiej sieci się zaloguje.

Jak sama budowa takiego serwerka to raczej dla mnie sprawa oczywista, tak nie bardzo wiem, jak ogarnąć tę kwestię.

Myślałem
@ECMAlover jak ma być niezależne to robisz tunel vpn do serwera vps. Polecam Wireguard zamiast OpenVPN, prostsza konfiguracja i szybciej działa, szczególnie na słabszych maszynach. Na vpsie możesz zrobić reverse proxy np na nginx albo przekierować porty przez iptables. Nginx lepszy bo wtedy prosto sobie darmowy ssl ogarniesz i będziesz mógł też hostowac inne rzeczy na portach 80 i 443
  • Odpowiedz
Czy miał ktoś problem z odpaleniem Node w starszych dystrybucjach Linuksa?

/lib64/libm.so.6: version `GLIBC_2.27' not found
/lib64/libstdc++.so.6: version `GLIBCXX_3.4.20' not found

Podobno trzeba zaktualizować system, ale na razie to nie wchodzi w grę. Tam jest CentOS (Red Hat 4.8.5-44) (GCC 4.8.5) (jądro 3.10). Generalnie robię tak, że #!$%@?ę projekt do repo, a na środowisku robię git pull, make i deploy. Wszystko idzie w kontenery, ale budowane jest bez kontenerów wtyczką maven-jib-plugin. Teoretycznie budować powinienem lokalnie i wrzucać .tar na serwer, ale tak było mi wygodniej, żeby budować na serwerze. Czy da się to jakoś obejść bez update systemu? Problem wystąpił dlatego, że biblioteki były aktualizowane w aplikacji, a wraz z nią wersja node.

Edit:
@GoldenStyle: W mojej starej pracy był taki dynamiczniak co przyszedł i powiedział "obimy skrum i daily standup bo to jest super"

no i zespół adminów, codziennie o 9, zaczął się spowiadać z tego, ile tiketów udało się zamknąć na jirce
  • Odpowiedz