Forwarded from DevOps&SRE Library
Five Ansible Techniques I Wish I’d Known Earlier
1) --stephttps://zwischenzugs.com/2021/08/27/five-ansible-techniques-i-wish-id-known-earlier
2) Inline logging
3) Run ansible-lint
4) Run ansible-console
5) The Ansible Debugger
Forwarded from sudo rm -rf /*
Хороший годный разбор как работает kube-proxy под капотом в режиме iptables
https://serenafeng.github.io/2020/03/26/kube-proxy-in-iptables-mode/
https://serenafeng.github.io/2020/03/26/kube-proxy-in-iptables-mode/
磕磕绊绊的蜗牛 | Serena Blog
Deep Dive kube-proxy with iptables mode - 磕磕绊绊的蜗牛 | Serena Blog
summary: in Kubernetes, a Service is a L4(TCP/UDP/SCTP) load balancer, it uses the
DNAT to redirect inbound traffic to backend pods. The redirecting is performed
by kube-proxy, ...
DNAT to redirect inbound traffic to backend pods. The redirecting is performed
by kube-proxy, ...
Forwarded from k8s (in)security (D1g1)
В официальном блоге
В данном блоге прошлись по таким темам, как:
-
Материал из разряда
Kubernetes
вышла статья "A Closer Look at NSA/CISA Kubernetes Hardening Guidance", которая является еще одним анализом, критикой, дополнением к нашумевшему документу Kubernetes Hardening Guidance от NSA/CISA
.В данном блоге прошлись по таким темам, как:
-
Kubernetes Pod security
-- "Non-root" containers and "rootless" container engines
-- Immutable container filesystems
-- Building secure container images
-- Pod Security Policies
-- Hardening container engines
- Network Separation and Hardening
-- Network Policies
-- Resource Policies
-- Control Plane Hardening
-- Etcd
-- Kubeconfig Files
-- Secrets
- Log Auditing
-- Kubernetes API auditing
-- Streaming logs and auditing
-- Alert identification
- Upgrading and Application Security practices
Все очень грамотно и четко изложено и заключение очень правильное:"Finally, it is worth reiterating that not all controls in this guidance will make sense for all practitioners. The best way to know which controls matter is to rely on the threat model of your own Kubernetes environment."Материал из разряда
MUST READ
!kubernetes.io
A Closer Look at NSA/CISA Kubernetes Hardening Guidance
Disclaimer The open source tools listed in this article are to serve as examples only and are in no way a direct recommendation from the Kubernetes community or authors. Background USA's National Security Agency (NSA) and the Cybersecurity and Infrastructure…
Forwarded from Записки админа
🔧 А вы знали, что в authorized_keys файле можно указывать не только сам ключ, но и дополнительные команды, или ограничения? Чуть подробнее об этом вот здесь: https://twitter.com/cyb3rops/status/1395009709787258882
А вообще, увидел я это в очередном, казалось бы, очевидном мануале по усилению безопасности SSH: https://blog.zsec.uk/locking-down-ssh-the-right-way/
#ssh #security #напочитать
А вообще, увидел я это в очередном, казалось бы, очевидном мануале по усилению безопасности SSH: https://blog.zsec.uk/locking-down-ssh-the-right-way/
#ssh #security #напочитать
Forwarded from Записки админа
🔩 What's in a hostname? Статья о том, что такое hostname, каким он может быть, и что мы со всем этим можем делать. Вряд ли мы с вами в повседневной работе встретим все приведённые в статье примеры, но почитать было всё равно интересно.
#dns #напочитать #будничное
#dns #напочитать #будничное
https://medium.com/southbridge/introduction-to-modern-network-load-balancing-and-proxying-52e8ca36adde
#lb #proxy #loadbalance
#lb #proxy #loadbalance
Medium
Введение в современную балансировку сетевой нагрузки и проксирование
Не так давно я услышал, что существует недостаток вступительных образовательных материалов о современной балансировке сетевой нагрузки и…
Forwarded from Learnk8s news
This post analyzes the Kubernetes node proxy model, and provides 5 demo implementations (within couples of lines of code) of the model, each based on different tech-stacks (userspace/iptables/ipvs/tc-ebpf/sock-ebpf)
Read on https://arthurchiao.art/blog/cracking-k8s-node-proxy
Read on https://arthurchiao.art/blog/cracking-k8s-node-proxy
Forwarded from k8s (in)security (D1g1)
Неожиданно для себя обнаружил, что 4 дня назад закончилась поддержка
Чтобы это не было неожиданностью, можно использовать проект endoflife.date, который отслеживает актуальность версий более 60 проектов, включая Kubernetes.
Старайтесь использовать только последние версии из поддерживаемых, чтобы вы всегда могли получить применить последние исправления и улучшения.
Kubernetes 1.19
(как летит время) и сейчас поддерживаются только 1.20
, 1.21
и 1.22
.Чтобы это не было неожиданностью, можно использовать проект endoflife.date, который отслеживает актуальность версий более 60 проектов, включая Kubernetes.
Старайтесь использовать только последние версии из поддерживаемых, чтобы вы всегда могли получить применить последние исправления и улучшения.
Forwarded from Mops DevOps
Kubernetes API Access Security Hardening
Подборка рекомендаций по защите вашего кластера Kuberntetes. Можно использовать использовать статью как чек-лист.
👉 https://bit.ly/3CQOVZk
#kubernetes #security
Подборка рекомендаций по защите вашего кластера Kuberntetes. Можно использовать использовать статью как чек-лист.
👉 https://bit.ly/3CQOVZk
#kubernetes #security