Forwarded from Mops DevOps
Kubernetes API Access Security Hardening
Подборка рекомендаций по защите вашего кластера Kuberntetes. Можно использовать использовать статью как чек-лист.
👉 https://bit.ly/3CQOVZk
#kubernetes #security
Подборка рекомендаций по защите вашего кластера Kuberntetes. Можно использовать использовать статью как чек-лист.
👉 https://bit.ly/3CQOVZk
#kubernetes #security
Forwarded from k8s (in)security (D1g1)
Интересный плагин argocd-vault-plugin для
Его идея в том, что чтобы полностью соответствовать принципам
В итоге, плагин позволяет в классическом ресурсе
Подробнее можно посмотреть в видео или в слайдах данного выступления "Shh, It’s a Secret: Managing Your Secrets in a GitOps Way".
ArgoCD был представлен на последнем Kubecon.Его идея в том, что чтобы полностью соответствовать принципам
GitOps, необходимо чтобы и секреты находилось в репозитории. Но у классических ресурсов Secret есть проблема, что они содержат данные в base64 (считай в открытом виде), что естественно очень плохо для безопасности.В итоге, плагин позволяет в классическом ресурсе
Secret разместить не данные а placeholder для секретных данных, а уже при выкатки данного Secret ваш GitOps оператор в лице ArgoCD, возьмет соответствующие данные для заявленного placeholder из Secret Management tools и подставит их туда, таким образом, что Kubernetes и не заметит подмены ;)Подробнее можно посмотреть в видео или в слайдах данного выступления "Shh, It’s a Secret: Managing Your Secrets in a GitOps Way".
https://codefresh.io/about-gitops/launching-argo-cd-autopilot-opinionated-way-manage-applications-across-environments-using-gitops-scale/
#argocd #autopilot #gitops
#argocd #autopilot #gitops
Codefresh
Launching Argo CD Autopilot: An Opinionated Way to Manage Your Applications Across Environments Using Gitops at Scale
Argo CD has been skyrocketing in popularity with the CNCF China survey naming Argo as a top CI/CD tool for its power as a deployment automation tool. And it’s no wonder, GitOps is a faster, safer, and more scalable way to do continuous delivery. Most of our…
How to rsync files between two remotes?
https://vincent.bernat.ch/en/blog/2021-rsync-ssh-two-remotes
#rsync #socat
https://vincent.bernat.ch/en/blog/2021-rsync-ssh-two-remotes
#rsync #socat
Forwarded from ITTales :(){ :|:& };:
На мой взгляд эта презентация - это самое наглядное объяснение того как работает сеть в Kubernetes
https://static.sched.com/hosted_files/onsna19/2f/Packet_Walks_In_Kubernetes.pdf
https://static.sched.com/hosted_files/onsna19/2f/Packet_Walks_In_Kubernetes.pdf
Forwarded from Defront — про фронтенд-разработку и не только (Alexander Myshov)
Ускорение установки HTTPS-соединений
Саймон Харн рассказал о том, как HTTPS-сертификаты влияют на производительность сайта — "The Performance Cost of EV Certificates".
Есть три основных типа HTPS-сертификатов: Domain Validation (DV), Organisation Validation (OV), Extended Validation (EV). DV-сертификаты выдаются на основе факта принадлежности домена, как в Let's Encrypt. OV- и EV-сертификаты выдаются организациям за оплату.
EV-сертификат предоставляет большее количество информации для пользователя, но по-большому счёту он не сильно отличается от OV. Вы могли видеть, что сайт использует EV-сертификат, когда в адресной строке рядом с иконкой замка зелёным текстом отображался владелец сертификата. С версии Chrome 77 такие сертификаты отображаются обычным значком замка без зелёного текста.
OV-сертификаты валидируются на стороне веб-сервера отправкой запроса на сервер организации, выдавшей сертификат. EV-сертификаты не могут валидироваться на стороне веб-сервера, поэтому их валидация происходит на клиенте, замедляя установку HTTPS-соединения. Задержка наиболее заметна в странах бывшего СССР, в Восточной Австралии, Канаде и большинстве стран Африки. Некоторые организации сталкивались с минутной задержкой для пользователей в Китае. Эта проблема решается переходом на OV-сертификат.
#http #performance #security
https://simonhearne.com/2020/drop-ev-certs/
Саймон Харн рассказал о том, как HTTPS-сертификаты влияют на производительность сайта — "The Performance Cost of EV Certificates".
Есть три основных типа HTPS-сертификатов: Domain Validation (DV), Organisation Validation (OV), Extended Validation (EV). DV-сертификаты выдаются на основе факта принадлежности домена, как в Let's Encrypt. OV- и EV-сертификаты выдаются организациям за оплату.
EV-сертификат предоставляет большее количество информации для пользователя, но по-большому счёту он не сильно отличается от OV. Вы могли видеть, что сайт использует EV-сертификат, когда в адресной строке рядом с иконкой замка зелёным текстом отображался владелец сертификата. С версии Chrome 77 такие сертификаты отображаются обычным значком замка без зелёного текста.
OV-сертификаты валидируются на стороне веб-сервера отправкой запроса на сервер организации, выдавшей сертификат. EV-сертификаты не могут валидироваться на стороне веб-сервера, поэтому их валидация происходит на клиенте, замедляя установку HTTPS-соединения. Задержка наиболее заметна в странах бывшего СССР, в Восточной Австралии, Канаде и большинстве стран Африки. Некоторые организации сталкивались с минутной задержкой для пользователей в Китае. Эта проблема решается переходом на OV-сертификат.
#http #performance #security
https://simonhearne.com/2020/drop-ev-certs/
Simon Hearne
The Performance Cost of EV Certificates
Extended Validation certificates are expensive and degrade performance. Move to an OV certificate if you can!
Forwarded from DevOps&SRE Library
HOW KUBERNETES VALIDATES CUSTOM RESOURCES
https://danielmangum.com/posts/how-kubernetes-validates-custom-resources
https://danielmangum.com/posts/how-kubernetes-validates-custom-resources