rxd_txd

Five Ansible Techniques I Wish I’d Known Earlier

1) --step
2) Inline logging
3) Run ansible-lint
4) Run ansible-console
5) The Ansible Debugger

https://zwischenzugs.com/2021/08/27/five-ansible-techniques-i-wish-id-known-earlier

147 viewsfl64, 07:05

rxd_txd

https://lzone.de/cheat-sheet/jfrog%20Artifactory
#artifactory #cheatsheet

209 viewsfl64, 12:35

https://github.com/alcideio/rbac-tool
#k8s #kubernetes #rbac #github

GitHub

GitHub - alcideio/rbac-tool: Rapid7 | insightCloudSec | Kubernetes RBAC Power Toys - Visualize, Analyze, Generate & Query

Rapid7 | insightCloudSec | Kubernetes RBAC Power Toys - Visualize, Analyze, Generate & Query - alcideio/rbac-tool

204 viewsfl64, 09:15

rxd_txd

Forwarded from sudo rm -rf /*

Хороший годный разбор как работает kube-proxy под капотом в режиме iptables

https://serenafeng.github.io/2020/03/26/kube-proxy-in-iptables-mode/

磕磕绊绊的蜗牛 | Serena Blog

Deep Dive kube-proxy with iptables mode - 磕磕绊绊的蜗牛 | Serena Blog

summary: in Kubernetes, a Service is a L4(TCP/UDP/SCTP) load balancer, it uses the
DNAT to redirect inbound traffic to backend pods. The redirecting is performed
by kube-proxy, ...

161 viewsfl64, 07:23

rxd_txd

Forwarded from k8s (in)security (D1g1)

В официальном блоге Kubernetes вышла статья "A Closer Look at NSA/CISA Kubernetes Hardening Guidance", которая является еще одним анализом, критикой, дополнением к нашумевшему документу Kubernetes Hardening Guidance от NSA/CISA.

В данном блоге прошлись по таким темам, как:
-

Kubernetes Pod security

"Non-root" containers and "rootless" container engines

Immutable container filesystems

Building secure container images

Pod Security Policies

Hardening container engines

Network Separation and Hardening

Network Policies

Resource Policies

Control Plane Hardening

Etcd

Kubeconfig Files

Secrets

Log Auditing

Kubernetes API auditing

Streaming logs and auditing

Alert identification

Upgrading and Application Security practices

Все очень грамотно и четко изложено и заключение очень правильное:"Finally, it is worth reiterating that not all controls in this guidance will make sense for all practitioners. The best way to know which controls matter is to rely on the threat model of your own Kubernetes environment."

Материал из разряда MUST READ!

kubernetes.io

A Closer Look at NSA/CISA Kubernetes Hardening Guidance

Disclaimer The open source tools listed in this article are to serve as examples only and are in no way a direct recommendation from the Kubernetes community or authors. Background USA's National Security Agency (NSA) and the Cybersecurity and Infrastructure…

205 viewsfl64, 07:27

rxd_txd

Forwarded from Записки админа

🔧 А вы знали, что в authorized_keys файле можно указывать не только сам ключ, но и дополнительные команды, или ограничения? Чуть подробнее об этом вот здесь: https://twitter.com/cyb3rops/status/1395009709787258882

А вообще, увидел я это в очередном, казалось бы, очевидном мануале по усилению безопасности SSH: https://blog.zsec.uk/locking-down-ssh-the-right-way/

#ssh #security #напочитать

226 viewsfl64, 08:45

rxd_txd

Forwarded from Записки админа

🔩 What's in a hostname? Статья о том, что такое hostname, каким он может быть, и что мы со всем этим можем делать. Вряд ли мы с вами в повседневной работе встретим все приведённые в статье примеры, но почитать было всё равно интересно.

#dns #напочитать #будничное

196 viewsfl64, 13:22

rxd_txd

https://medium.com/codex/terraform-ci-cd-using-gitlab-child-pipelines-and-jsonnet-81f02a18dbe4
#jsonnet #gitlab #terrafrom #cicd

Medium

Terraform CI/CD using GitLab child pipelines and Jsonnet

How-to efficiently write dynamic Terraform pipelines for GitLab

190 viewsfl64, 13:21

rxd_txd

https://habr.com/ru/company/ozontech/blog/586308/
#monitoring #prometheus #k8s #kubernetes #cronjob

Хабр

Для мониторинга CronJob в Kubernetes нужен простой советский…

Привет, Олимпийский Хабр! Меня зовут Аня, я работаю в Ozon: строю и развиваю инфраструктуру мониторинга в Observability-платформе. Моя команда помогает разработчикам следить за своими сервисами и...

144 viewsfl64, 18:11

rxd_txd

https://laiyuanyuan-sg.medium.com/layer-by-layer-cgroup-in-kubernetes-c4e26bda676c
#k8s #kubernetes #cgroups

Medium

Layer-by-Layer Cgroup in Kubernetes

Explore the implementation details about Cgroup

148 viewsfl64, 07:13

rxd_txd

https://habr.com/ru/post/586558/
#kubernetes #k8s #gitlab

Хабр

Развёртывание в Kubernetes из GitLab

Развёртывание в Kubernetes из GitLab Это продолжение предыдущего туториала про командную разработку с использованием GitLab . Фокус предыдущей статьи был на организации непрерывной поставки в работе...

151 viewsfl64, 10:36

rxd_txd

https://twitter.com/raesene/status/1455154869925449736?t=771T6d94LczvV6DPEd-7hA&s=09
#twitter

Twitter

Rory McCune

Kubernetes security thing: Always be careful of what you are letting your users choose for usernames. If somone has a username of system:kube-controller-manager on an external Identity system, Kubernetes will quite happily give them the rights of the controller…

140 viewsfl64, edited 18:13

rxd_txd

https://edgehog.blog/a-self-hosted-external-dns-resolver-for-kubernetes-111a27d6fc2c
#k8s #kubernetes #dns

Medium

A Self-hosted external DNS resolver for Kubernetes.

Understanding solutions for external DNS resolution in Kubernetes and introducing our k8s_gateway plugin.

147 viewsfl64, 08:41

rxd_txd

https://medium.com/southbridge/introduction-to-modern-network-load-balancing-and-proxying-52e8ca36adde
#lb #proxy #loadbalance

Medium

Введение в современную балансировку сетевой нагрузки и проксирование

Не так давно я услышал, что существует недостаток вступительных образовательных материалов о современной балансировке сетевой нагрузки и…

199 viewsfl64, 18:45

rxd_txd

Forwarded from Learnk8s news

This post analyzes the Kubernetes node proxy model, and provides 5 demo implementations (within couples of lines of code) of the model, each based on different tech-stacks (userspace/iptables/ipvs/tc-ebpf/sock-ebpf)

Read on https://arthurchiao.art/blog/cracking-k8s-node-proxy

154 viewsfl64, 19:20

rxd_txd

Forwarded from k8s (in)security (D1g1)

Неожиданно для себя обнаружил, что 4 дня назад закончилась поддержка Kubernetes 1.19 (как летит время) и сейчас поддерживаются только 1.20, 1.21 и 1.22.

Чтобы это не было неожиданностью, можно использовать проект endoflife.date, который отслеживает актуальность версий более 60 проектов, включая Kubernetes.

Старайтесь использовать только последние версии из поддерживаемых, чтобы вы всегда могли получить применить последние исправления и улучшения.

163 viewsfl64, 08:44

rxd_txd

Forwarded from Mops DevOps

Kubernetes API Access Security Hardening

Подборка рекомендаций по защите вашего кластера Kuberntetes. Можно использовать использовать статью как чек-лист.

👉 https://bit.ly/3CQOVZk

#kubernetes #security

118 viewsfl64, 09:16

rxd_txd

https://habr.com/ru/company/wunderfund/blog/586778/
#docker #python

Хабр

Практические рекомендации по работе с Docker для Python-разработчиков

Прим. Wunder Fund: в этой длииинной статье вы найдете ряд полезных советов по работе с Docker, как общего характера, так и Python-специфичных. Хоть мы и давно используем Docker в работе, про некоторые...

179 viewsfl64, 18:17

rxd_txd

https://www.solo.io/blog/istios-networking-in-depth
#k8s #kubernetes #istio

Solo.io

Istio's networking: an in-depth look at traffic and architecture

In this post, we'll walk through Istio's networking mechanisms by analyzing the architecture, data and control planes, and sidecar proxies.

137 viewsfl64, 06:04

rxd_txd

Forwarded from k8s (in)security (D1g1)

Интересный плагин argocd-vault-plugin для ArgoCD был представлен на последнем Kubecon.

Его идея в том, что чтобы полностью соответствовать принципам GitOps, необходимо чтобы и секреты находилось в репозитории. Но у классических ресурсов Secret есть проблема, что они содержат данные в base64 (считай в открытом виде), что естественно очень плохо для безопасности.

В итоге, плагин позволяет в классическом ресурсе Secret разместить не данные а placeholder для секретных данных, а уже при выкатки данного Secret ваш GitOps оператор в лице ArgoCD, возьмет соответствующие данные для заявленного placeholder из Secret Management tools и подставит их туда, таким образом, что Kubernetes и не заметит подмены ;)

Подробнее можно посмотреть в видео или в слайдах данного выступления "Shh, It’s a Secret: Managing Your Secrets in a GitOps Way".

123 viewsfl64, 06:48

About

Blog

Apps

Platform