Forwarded from DevOps&SRE Library
carvel-imgpkg
imgpkg (pronounced: "image package") is a tool that allows users to store a set of arbitrary files as an OCI image. One of the driving use cases is to store Kubernetes configuration (plain YAML, ytt templates, Helm templates, etc.) in OCI registry as an image.https://github.com/vmware-tanzu/carvel-imgpkg
Forwarded from k8s (in)security (D1g1)
В этом году, проводя свои тренинги по безопасности
НО стоит помнить, что все равно остаются системные вызовы, через которые можно это совершить (через них также возможно совершить побег через хостовое ядро).
При этом мой хороший товарищ, автор великолепной Linux Kernel Defence Map подсказал замечательную статью проекта
Это полезно знать как
Kubernetes, я был приятно удивлен встретить компании, у которых микросервисы, реализующие бизнес-задачи, выполнялись с описанием:securityContext:Это очень круто уменьшает
capabilities:
drop:
- all
attack surface для побега из контейнера через уязвимости ядра хостовой ОС (особенно с учетом того, что CAP_NET_RAW есть by default). НО стоит помнить, что все равно остаются системные вызовы, через которые можно это совершить (через них также возможно совершить побег через хостовое ядро).
При этом мой хороший товарищ, автор великолепной Linux Kernel Defence Map подсказал замечательную статью проекта
grsecurity под названием "False Boundaries and Arbitrary Code Execution" (заметка не свежая, но актуальная и по сей день). Где рассказывается о том, что capabilities в архитектурном плане скажем так не без греха, и в каком-то плане даже сломаны.Это полезно знать как
blue team, так и red team. Поэтому даже в условиях drop all стоит заботиться о том, что происходит в ваших контейнерах. Тоесть runtime security все равно остается важным элементов Kubernetes security.kubesec.io
containers[] .securityContext .capabilities .drop | index("ALL") :: kubesec.io
Forwarded from Sysadmin Tools 🇺🇦
Forwarded from DevOps&SRE Library
The Five Pillars of Performance Engineering at Insider
https://medium.com/insider-inc-engineering/the-five-pillars-of-performance-engineering-at-insider-3c562555f01c
https://medium.com/insider-inc-engineering/the-five-pillars-of-performance-engineering-at-insider-3c562555f01c
Forwarded from DevOps&SRE Library
Safe schema updates - Near-zero downtime database deployments
https://octopus.com/blog/safe-schema-updates-7-near-zero-downtime-deployments
https://octopus.com/blog/safe-schema-updates-7-near-zero-downtime-deployments
Forwarded from Aleksandr Razumov
В качестве новогоднего подарка под ёлку мы представляем Go клиент для ClickHouse TCP (Native) протокола: go-faster/ch. Он не тормозит.
На моём не очень реалистичном бенчмарке (он больше для измерения оверхеда клиента, там довольно вырожденный случай) он быстрее в ~500 раз mailru/go-clickhouse, в 80 раз стандартного гошного клиента (ClickHouse/clickhouse-go) и на 45% чем С++ клиент (clickhouse-cpp). Если вам зачем-то нужно читать или писать в клик гигабайты данных в секунду, то пожалуйста.
Клиент мы еще дорабатываем, там есть несколько шероховатостей в API (кстати, собираем по нему фидбек), но с go1.18 (ура дженерики) и ближе к весне будет намного приятнее.
И еще небольшой, но не совсем готовый (на праздниках допишу!) подарок:
документация по бинарному протоколу.
На моём не очень реалистичном бенчмарке (он больше для измерения оверхеда клиента, там довольно вырожденный случай) он быстрее в ~500 раз mailru/go-clickhouse, в 80 раз стандартного гошного клиента (ClickHouse/clickhouse-go) и на 45% чем С++ клиент (clickhouse-cpp). Если вам зачем-то нужно читать или писать в клик гигабайты данных в секунду, то пожалуйста.
Клиент мы еще дорабатываем, там есть несколько шероховатостей в API (кстати, собираем по нему фидбек), но с go1.18 (ура дженерики) и ближе к весне будет намного приятнее.
И еще небольшой, но не совсем готовый (на праздниках допишу!) подарок:
документация по бинарному протоколу.
GitHub
GitHub - ClickHouse/ch-go: Low-level Go Client for ClickHouse
Low-level Go Client for ClickHouse. Contribute to ClickHouse/ch-go development by creating an account on GitHub.
Forwarded from DevOps&SRE Library
teleport
Teleport is the easiest, most secure way to access all your infrastructure. Teleport is an identity-aware, multi-protocol access proxy which understands SSH, HTTPS, RDP, Kubernetes API, MySQL, MongoDB and PostgreSQL wire protocols.https://github.com/gravitational/teleport
Forwarded from DevOps&SRE Library
lakeFS
lakeFS is an open source tool that transforms your object storage into a Git-like repository. It enables you to manage your data lake the way you manage your code.https://github.com/treeverse/lakeFS
With lakeFS you can build repeatable, atomic and versioned data lake operations - from complex ETL jobs to data science and analytics.
Forwarded from DevOps&SRE Library
Detect Terragrunt Infrastructure Drift With Driftctl
Driftctl is a tool that helps detect infrastructure drift by comparing Terraform state with live resources. It returns a list of resources not covered by infrastructure as code (IaC) codebase.https://ernestas.me/detect-terragrunt-infrastructure-drift-with-driftctl
Forwarded from Библиотека программиста | программирование, кодинг, разработка
Немного занимательных примеров работы индексов, планировщика запросов и магии PostgreSQL вам в ленту. Кстати, у автора статьи есть крутой доклад «Индексируем базу: как делать хорошо и не делать плохо» на Saint P Ruby winter 2021 meetup: слайды & видео.
Хабр
PostgreSQL: занимательный пример работы индексов, планировщика запросов и магии
В начале месяца я прочитал доклад про индексы в базах данных для Saint P Ruby Community и буквально через несколько дней жизнь не замедлила подкинуть мне показательный пример работы индексов,...
Forwarded from Блог Сергея Баранова
Видео всех выступлений с гидры:
https://www.youtube.com/playlist?list=PLC5OGTO4dWxbxpZWsvWWeBxUQWVqGXeBB
https://www.youtube.com/playlist?list=PLC5OGTO4dWxbxpZWsvWWeBxUQWVqGXeBB
Forwarded from DevOps&SRE Library
Save your engineers' sleep: best practices for on-call processes
https://ably.com/blog/best-practices-for-on-call-processes
https://ably.com/blog/best-practices-for-on-call-processes
Forwarded from DevOps&SRE Library
pleco
Automatically removes Cloud managed services and Kubernetes resources based on tags with TTLhttps://github.com/Qovery/pleco
Forwarded from Sysadmin Tools 🇺🇦
How we handle 80TB and 5M page views a month for under $400
https://blog.polyhaven.com/how-we-handle-80tb-and-5m-page-views-a-month-for-under-400
#cloudflare
https://blog.polyhaven.com/how-we-handle-80tb-and-5m-page-views-a-month-for-under-400
#cloudflare
Forwarded from DevOps drawer
Iasql
Introduction to Infrastructure as SQL | IaSQL
What software you have deployed on what services and the interactions between them and the outside world is not a program, it is information about your infrastructure. Changing your infrastructure is a set of operations to perform, a program. A SQL database…
Forwarded from Clean Code
GO memory ballast
Статья про управление памятью в Go. В статье привидены советы и методики по управлению кучей и вы можете найти их полезными не только для Go, но и других языков программирования.
#memory #programming
Статья про управление памятью в Go. В статье привидены советы и методики по управлению кучей и вы можете найти их полезными не только для Go, но и других языков программирования.
#memory #programming
Medium
GO memory ballast
Балласт памяти Go: как я перестал волноваться и полюбил кучу(heap)