В статье A Brief Deep-Dive into Attacking and Defending Kubernetes описывается, как Kubernetes работает и почему его безопасность критична для корпоративных сред: платформа широко используется в продакшене, но её сложность создаёт обширную поверхность атак — от API сервера до kubelet и etcd.
Автор подробно разбирает реальные векторы атак: неаутентифицированный доступ к API, слишком широкие RBAC права, злоупотребление сервис аккаунтами, вредоносные admission контроллеры, DNS отравление через CoreDNS и опасные тома hostPath, которые позволяют захватить Nodes или данные.
Для защиты рекомендуются базовые практики безопасности: отключать анонимный доступ, настраивать RBAC по принципу наименьших привилегий, ограничивать автомонтирование токенов, жестко контролировать admission конфигурации, а также использовать runtime инструменты для обнаружения подозрительных действий в кластере.
📌 Подробнее: https://heilancoos.github.io/research/2025/12/16/kubernetes.html
MemOps🤨
Автор подробно разбирает реальные векторы атак: неаутентифицированный доступ к API, слишком широкие RBAC права, злоупотребление сервис аккаунтами, вредоносные admission контроллеры, DNS отравление через CoreDNS и опасные тома hostPath, которые позволяют захватить Nodes или данные.
Для защиты рекомендуются базовые практики безопасности: отключать анонимный доступ, настраивать RBAC по принципу наименьших привилегий, ограничивать автомонтирование токенов, жестко контролировать admission конфигурации, а также использовать runtime инструменты для обнаружения подозрительных действий в кластере.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1
Forwarded from 📚Системный Администратор (RTFM)
grep в Linux как инструмент для администрирования
Примеры использования.
📚@IT_obrazovach
grep — утилита командной строки, использующаяся для поиска и фильтрации текста в файлах на основе шаблона, который может быть регулярным выражением.Примеры использования.
grep iodmin file.txt — поиск iodmin в файле file.txt, с выводом полностью совпавшей строкиgrep -o iodmin file.txt — поиск iodmin в файле file.txt и вывод только совпавшего куска строкиgrep -i iodmin file.txt — игнорирование регистра при поискеgrep -bn iodmin file.txt — показать строку (-n) и столбец (-b), где был найден iodmingrep -v iodmin file.txt — инверсия поиска (найдет все строки, которые не совпадают с шаблоном iodmin)grep -A 3 iodmin file.txt — вывод дополнительных трех строк, после совпавшейgrep -B 3 iodmin file.txt — вывод дополнительных трех строк, перед совпавшейgrep -C 3 iodmin file.txt — вывод трех дополнительных строк перед и после совпавшейgrep -r iodmin $HOME — рекурсивный поиск по директории $HOME и всем вложеннымgrep -c iodmin file.txt — подсчет совпаденийgrep -L iodmin *.txt — вывод списка txt-файлов, которые не содержат iodmingrep -l iodmin *.txt — вывод списка txt-файлов, которые содержат iodmingrep -w iodmin file.txt — совпадение только с полным словом iodmingrep -f iodmins.txt file.txt — поиск по нескольким iodmin из файла iodmins.txt, шаблоны разделяются новой строкойgrep -I iodmin file.txt — игнорирование бинарных файловgrep -v -f file2 file1 > file3 — вывод строк, которые есть в file1 и нет в file2grep -in -e 'python' `find -type f` — рекурсивный поиск файлов, содержащих слово python с выводом номера строки и совпаденийgrep -inc -e 'test' find -type f | grep -v :0 — рекурсивный поиск файлов, содержащих слово python с выводом количества совпаденийgrep . *.py — вывод содержимого всех py-файлов, предваряя каждую строку именем файлаgrep "Http404" apps/**/*.py — рекурсивный поиск упоминаний Http404 в директории apps в py-файлах📚@IT_obrazovach
❤6
Не runc’ом единым: интересные среды запуска контейнеров
Существует множество сред для запуска контейнеров; среди распространенных можно выделить runc и kata. Мы в Beeline Cloud решили поговорить не только о широко известных, но и о набирающих свою аудиторию рантаймах.
В подборке: проект, который окрестили «Docker’ом на диете»; система, заточенная под unikernel; среда для работы на устройствах с ограничениями по памяти и не только. Все они имеют лицензию Apache-2.0.
📌 Подробнее: https://habr.com/ru/companies/beeline_cloud/articles/979010/
MemOps🎄
Существует множество сред для запуска контейнеров; среди распространенных можно выделить runc и kata. Мы в Beeline Cloud решили поговорить не только о широко известных, но и о набирающих свою аудиторию рантаймах.
В подборке: проект, который окрестили «Docker’ом на диете»; система, заточенная под unikernel; среда для работы на устройствах с ограничениями по памяти и не только. Все они имеют лицензию Apache-2.0.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Не runc’ом единым: интересные среды запуска контейнеров
Существует множество сред для запуска контейнеров; среди распространенных можно выделить runc и kata. Мы в Beeline Cloud решили поговорить не только о широко известных, но и о набирающих свою...
❤2👍2
🎄 Держите инфраструктуру в облаках? Забирайте рекомендации по FinOps и экономьте до 30% в 2026 году
Эксперты из Практики FinOps подготовили бесплатный мини-тест в формате гугл-таблицы. Прохождение занимает 5–7 минут.
Внутри — оценка ключевых процессов и практические рекомендации:
🟢 видно, где процессы работают, а где есть пробелы
🟢 понятно, где теряется прозрачность расходов
🟢 есть конкретные шаги, что внедрять дальше
Тест можно пройти одному, например CTO, или командой из инженера, архитектора и финансового специалиста.
Скорректируйте облачные расходы в следующем году, опираясь на готовые рекомендации.
👉 Забрать бесплатный инструмент
Эксперты из Практики FinOps подготовили бесплатный мини-тест в формате гугл-таблицы. Прохождение занимает 5–7 минут.
Внутри — оценка ключевых процессов и практические рекомендации:
Тест можно пройти одному, например CTO, или командой из инженера, архитектора и финансового специалиста.
Скорректируйте облачные расходы в следующем году, опираясь на готовые рекомендации.
Please open Telegram to view this post
VIEW IN TELEGRAM
r9y.dev — как прокачать практику SRE в вашей организации и пройти путь от 90.0% к 99.999%. Каждый топик на этой карте сопровожден ссылкой с описанием практики, преимуществами её внедрения и ссылками на релевантные материалы.
📌 Подробнее: https://r9y.dev
MemOps🎄
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Веб-симулятор экзаменов по Kubernetes, который можно без труда развернуть локально. Он позволяет отработать прохождение экзаменов CKAD, CKA и CKS, а также предоставляет подсказки, тайм-трекер и автоматическую проверку результатов
📌 Подробнее: https://github.com/sailor-sh/CK-X
MemOps🎄
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Podtrace - диагностический инструмент на базе eBPF для контейнеров в Kubernetes.
Возможности:
▪️ Сетевой мониторинг (Network Tracing)
• Отслеживание TCP: мониторинг задержек (RTT) и ошибок соединений, анализ переповторов (retransmissions), отслеживание состояний соединений (SYN, ESTABLISHED, FIN) и ошибок сетевых устройств.
• Мониторинг UDP: отслеживание операций отправки и получения данных с метриками задержки и пропускной способности.
• Анализ полосы пропускания: мониторинг объема переданных байт для операций TCP/UDP.
▪️ Мониторинг уровня приложения (Application Layer)
• HTTP и DNS: отслеживание HTTP-запросов/ответов через uprobes и мониторинг DNS-запросов с фиксацией задержек и ошибок.
• Базы данных: трассировка запросов PostgreSQL и MySQL с извлечением паттернов запросов и анализом времени их выполнения.
• TLS/SSL и пулы: мониторинг рукопожатий TLS/SSL, а также отслеживание использования пулов соединений (истощение, повторное использование).
▪️ Файловая система и системные события
• Операции с файлами: отслеживание операций чтения/записи
• Память: мониторинг ошибок страниц (page faults) и обнаружение завершения процессов из-за нехватки памяти (OOM Kill)
• Системные вызовы (Syscalls): отслеживание жизненного цикла процессов через execve, fork, open и т.д.
▪️ Производительность системы
• CPU и планировщик: мониторинг блокировок потоков, событий планирования и потребления CPU конкретными процессами.
• Стеки вызовов (Stack Traces): захват стеков вызовов в пользовательском пространстве для медленных операций (I/O, DNS, блокировки CPU), превышающих заданные пороги.
• Конкуренция блокировок: отслеживание ожидания futex и pthread mutex для идентификации «горячих» блокировок.
▪️ Распределенная трассировка (
• Извлечение контекста: автоматическое извлечение данных трассировки из заголовков HTTP/HTTP2 и метаданных gRPC.
• Графы потоков: построение направленных графов взаимодействия сервисов с метриками задержек и ошибок.
• Экспорт данных: поддержка OpenTelemetry (OTLP), Jaeger и Splunk HEC.
▪️ Диагностика и оповещения
• Режим диагностики (Diagnose Mode): сбор событий за определенный период
• Алерты: Slack, webhook или Splunk
• Интеграция с Prometheus и Grafana
📌 Подробнее: https://github.com/gma1k/Podtrace
MemOps🎄
Возможности:
▪️ Сетевой мониторинг (Network Tracing)
• Отслеживание TCP: мониторинг задержек (RTT) и ошибок соединений, анализ переповторов (retransmissions), отслеживание состояний соединений (SYN, ESTABLISHED, FIN) и ошибок сетевых устройств.
• Мониторинг UDP: отслеживание операций отправки и получения данных с метриками задержки и пропускной способности.
• Анализ полосы пропускания: мониторинг объема переданных байт для операций TCP/UDP.
▪️ Мониторинг уровня приложения (Application Layer)
• HTTP и DNS: отслеживание HTTP-запросов/ответов через uprobes и мониторинг DNS-запросов с фиксацией задержек и ошибок.
• Базы данных: трассировка запросов PostgreSQL и MySQL с извлечением паттернов запросов и анализом времени их выполнения.
• TLS/SSL и пулы: мониторинг рукопожатий TLS/SSL, а также отслеживание использования пулов соединений (истощение, повторное использование).
▪️ Файловая система и системные события
• Операции с файлами: отслеживание операций чтения/записи
• Память: мониторинг ошибок страниц (page faults) и обнаружение завершения процессов из-за нехватки памяти (OOM Kill)
• Системные вызовы (Syscalls): отслеживание жизненного цикла процессов через execve, fork, open и т.д.
▪️ Производительность системы
• CPU и планировщик: мониторинг блокировок потоков, событий планирования и потребления CPU конкретными процессами.
• Стеки вызовов (Stack Traces): захват стеков вызовов в пользовательском пространстве для медленных операций (I/O, DNS, блокировки CPU), превышающих заданные пороги.
• Конкуренция блокировок: отслеживание ожидания futex и pthread mutex для идентификации «горячих» блокировок.
▪️ Распределенная трассировка (
Distributed Tracing)• Извлечение контекста: автоматическое извлечение данных трассировки из заголовков HTTP/HTTP2 и метаданных gRPC.
• Графы потоков: построение направленных графов взаимодействия сервисов с метриками задержек и ошибок.
• Экспорт данных: поддержка OpenTelemetry (OTLP), Jaeger и Splunk HEC.
▪️ Диагностика и оповещения
• Режим диагностики (Diagnose Mode): сбор событий за определенный период
• Алерты: Slack, webhook или Splunk
• Интеграция с Prometheus и Grafana
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1
Что загадывает DevOps на Новый год?
⏺ чтобы кластер обновлялся без ночных алертов
⏺ сеть работала стабильно и предсказуемо
⏺ апгрейд кластера не превращался в вечер с release notes
Разработчики Managed Kubernetes в облаке MWS Cloud Platform⬜ знают все ваши тайные желания и готовы упростить вашу DevOps-рутину.
🎄🎁 Попробуйте с грантом до 10 000 ₽
➡ Попробовать
Разработчики Managed Kubernetes в облаке MWS Cloud Platform
С Managed Kubernetes вы получаете:⏺ готовый кластер за несколько минут без сложной настройки⏺ управление жизненным циклом кластера и нод⏺ автоматическое масштабирование под нагрузку⏺ нативную работу с сетью и storage через CCM / CSI⏺ централизованное управление доступами через IAM
🎄
Please open Telegram to view this post
VIEW IN TELEGRAM
KubeForge - визуальный набор инструментов, который упрощает процесс создания, проверки и управления конфигурациями развёртывания Kubernetes.
Независимо от того, являетесь ли вы новичком в Kubernetes или обслуживаете крупномасштабные системы, KubeForge упрощает создание корректных YAML-файлов развёртывания с помощью интуитивно понятного интерфейса, подкреплённого актуальными ссылками на схемы.
Возможности:
- drag-and-drop интерфейс для объектов Kubernetes
- интеллектуальное распознавание схем на основе схем Kubernetes JSON
- модульный редактор компонентов с поддержкой шаблонов и повторно используемых спецификаций
- визуальные обновления в реальном времени и установление зависимостей между ресурсами
- экспорт готовых к применению файлы YAML
📌 Подробнее: https://github.com/kubenote/KubeForge
MemOps🎄
Независимо от того, являетесь ли вы новичком в Kubernetes или обслуживаете крупномасштабные системы, KubeForge упрощает создание корректных YAML-файлов развёртывания с помощью интуитивно понятного интерфейса, подкреплённого актуальными ссылками на схемы.
Возможности:
- drag-and-drop интерфейс для объектов Kubernetes
- интеллектуальное распознавание схем на основе схем Kubernetes JSON
- модульный редактор компонентов с поддержкой шаблонов и повторно используемых спецификаций
- визуальные обновления в реальном времени и установление зависимостей между ресурсами
- экспорт готовых к применению файлы YAML
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - kubenote/KubeForge: Visual Editor for Kubernetes Deployments
Visual Editor for Kubernetes Deployments. Contribute to kubenote/KubeForge development by creating an account on GitHub.
Continuous profiling for native code: Understanding the what, why, and how
Профилирование как метод отладки существует уже давно. В середине 2010-х годов, появился ряд продуктов, которые дали начало использованию этой технологии как четвёртого метода наблюдаемости. Появление eBPF сделали расширило его возможности.
В этой статье рассмотрены преимущества непрерывного профилирования и пример использования для получения наглядной информации о производительности кода.
📌 Подробнее: https://grafana.com/blog/2025/11/14/continuous-profiling-for-native-code-understanding-the-what-why-and-how/
MemOps🎄
Профилирование как метод отладки существует уже давно. В середине 2010-х годов, появился ряд продуктов, которые дали начало использованию этой технологии как четвёртого метода наблюдаемости. Появление eBPF сделали расширило его возможности.
В этой статье рассмотрены преимущества непрерывного профилирования и пример использования для получения наглядной информации о производительности кода.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3