DevOps

Лучшие практики безопасности Terraform Terraform — это фактически основной инструмент, если вы работаете с инфраструктурой как кодом (IaC). Независимо от поставщика ресурсов, он позволяет вашей организации работать со всеми ими одновременно. Неоспоримым аспектом является безопасность Terraform, поскольку любая ошибка в конфигурации может повлиять на всю инфраструктуру. В этой статье мы хотим объяснить преимущества использования Terraform и дать рекомендации по безопасному использованию Terraform, ссылаясь на лучшие практики в области безопасности. - Аудит конфигураций Terraform на наличие уязвимостей безопасности и внедрение средств контроля безопасности. - Управление учетными данными доступа в безопасности Terraform. - Лучшие практики безопасности при использовании модулей Terraform. - Самостоятельное создание модулей Terraform. Давайте начнем! https://sysdig.com/blog/terraform-security-best-practices/ #devops #девопс Подпишись 👉@i_DevOps

📌Можно ли запускать базы данных в k8s? При определенных условиях, стоит учитывать, что контейнеры не оказывают значительного влияния на производительность приложений, однако сетевой компонент в k8s может вызывать определенные задержки, в зависимости от его реализации. В контейнерах сложнее проводить тонкую настройку приложений, так как изменение настроек ядра ОС и других низкоуровневых параметров для повышения производительности требует определенных навыков. Однако такая настройка не требуется часто. Если мы сможем обеспечить необходимое дисковое пространство для хранения файлов баз данных и возможность переноса их между узлами, то в k8s можно успешно запускать stateful-приложения. Существуют также базы данных и очереди, оптимизированные для работы в k8s, что делает их готовыми к облачным средам. Для управления приложениями в k8s существуют операторы (Kubernetes operators), которые облегчают эксплуатацию stateful-приложений, например, postgresql stolon для управления кластерами postgresql и strimzi для управления kafka. 📌Из каких компонентов состоит k8s и каково их назначение? Kubernetes (K8s) включает в себя плоскость управления и плоскость данных. Плоскость управления — это уровень управления, который работает на узлах, называемых главными узлами, и может работать в конфигурации с одним главным узлом или несколькими главными узлами. Плоскость управления включает в себя: — ETCD: хранилище конфигурации кластера — Kubernetes API: предоставляет API для взаимодействия между компонентами K8s и клиентами внутри и вне кластера — Kubernetes controller manager: реализует контроллеры, управляющие основными сущностями кластера, такими как контроллер узлов, контроллер задач и контроллер срезов конечных точек — Kubernetes scheduler: выбирает узлы, на которых будут запускаться POD — cloud controller manager: используется для реализации функций, специфичных для работы с облаком (если кластер K8s работает в облачной среде) Плоскость данных состоит из компонентов, работающих на каждом узле: — kubelet: отслеживает изменения конфигурации узла, применяет изменения конфигурации, выполняет проверки контейнера, сообщает о статусе контейнера, работает с плагином CRI и обеспечивает функции запуска и остановки контейнера — kube-proxy: отвечает за сетевой компонент, работает с плагином CNI и обеспечивает работу сущности «сервис» на своем узле. #devops #девопс Подпишись 👉@i_DevOps

Полезные ресурсы для системных администраторов и специалистов по информационной безопасности: 🔐 infosec — редкая литература, курсы и уникальные мануалы для системных администраторов и ИБ специалистов любого уровня и направления. Читайте, развивайтесь, практикуйте. 🧠 Social Engineering — авторский Telegram канал, посвященный информационной безопасности, OSINT и социальной инженерии. 💬 Вакансии в ИБ — актуальные предложения от самых крупных работодателей и лидеров рынка в сфере информационной безопасности.

DevSecOps гайд: от новичка до эксперта DevOps подразумевает автоматизацию процессов сборки, настройки и развертывания ПО. Плюс — помогает наладить работу айтишников с другими подразделениями в компании: сократить time-to-market при запуске новых продуктов, снизить время разрешения инцидентов и упростить выпуск релизов. Но у положительных качеств есть и обратная сторона — с ускорением цикла разработки возрастает риск увеличения воспроизводимых уязвимостей. Чтобы минимизировать его, компании обращаются к практике DevSecOps. https://habr.com/ru/companies/cloud_mts/articles/723862/ #devops #девопс Подпишись 👉@i_DevOps

❤️💻🖱🖱⌚️🖥 Всё не то, всё не так, Когда старая техника тормозит. Покупаем новую в Ситилинке — со скидкой 10% для новых клиентов по промокоду 10BIT. 3 сентября — день окончания акции. День, когда сгорает промокод. 🍁 Реклама. ООО "СИТИЛИНК". ИНН 7718979307. erid: LjN8JvKXK

📌Какие типы volum’ов можно использовать в k8s? Для подключения папки на ноде можно воспользоваться hostpath, однако необходимо учитывать, что POD должен быть привязан к конкретной ноде. В случае перемещения POD на другую ноду, он будет использовать ту же папку, но содержимое в ней может отсутствовать. Другой вариант использования — local-storage, который также использует папку на диске, но привязан к конкретной ноде и автоматически привязывает POD к нужной ноде. Также есть возможность использовать сетевые диски с помощью CSI-плагинов. 📌Можно ли запускать базы данных в k8s? При определенных условиях, стоит учитывать, что контейнеры не оказывают значительного влияния на производительность приложений, однако сетевой компонент в k8s может вызывать определенные задержки, в зависимости от его реализации. В контейнерах сложнее проводить тонкую настройку приложений, так как изменение настроек ядра ОС и других низкоуровневых параметров для повышения производительности требует определенных навыков. Однако такая настройка не требуется часто. Если мы сможем обеспечить необходимое дисковое пространство для хранения файлов баз данных и возможность переноса их между узлами, то в k8s можно успешно запускать stateful-приложения. Существуют также базы данных и очереди, оптимизированные для работы в k8s, что делает их готовыми к облачным средам. Для управления приложениями в k8s существуют операторы (Kubernetes operators), которые облегчают эксплуатацию stateful-приложений, например, postgresql stolon для управления кластерами postgresql и strimzi для управления kafka. #devops #девопс Подпишись 👉@i_DevOps

Шпаргалка по Docker #devops #девопс Подпишись 👉@i_DevOps

Превратить себя в сервис, заставить разработчиков думать одинаково, и откатывать миграции БД Изучаем навыки DevOps в большой компании на новом митапе от РСХБ.цифра при поддержке JUG Ru Group. 📍Онлайн и офлайн в Москве 📆 29 августа в 18:00 (МСК, GMT+3) В программе: ✔ Василий Куценко (Почтатех) — «Секреты успешного DevOps as a Service: Опыт и рекомендации» ✔ Константин Белкин (РСХБ.цифра) — «Как внедрить CI/CD для всех разработчиков в банке. CI/CD by App.Farm» ✔ Алексей Романов (IT Enduro) — «Деплой и откат приложения и миграций БД» 🎁 Участников ждут подарки. Организаторы подготовили призы за лучшие вопросы спикерам и розыгрыш мерча среди тех, кто оставит отзыв после митапа. Для участия нужно зарегистрироваться. ❗️Количество мест в офлайне ограничено. Реклама. Фонд «Сколково». ИНН 7701058410

Kubectx + Kubens: Power tools for kubectl kubectx - инструмент для более быстрого переключения между контекстами (кластерами) на kubectl kubens - инструмент, позволяющий легко переключаться между пространствами имен Kubernetes (и настраивать их для kubectl) https://github.com/ahmetb/kubectx Пример # switch to another cluster that's in kubeconfig $ kubectx minikube Switched to context "minikube". # switch back to previous cluster $ kubectx - Switched to context "oregon". # rename context $ kubectx dublin=gke_ahmetb_europe-west1-b_dublin Context "gke_ahmetb_europe-west1-b_dublin" renamed to "dublin". # change the active namespace on kubectl $ kubens kube-system Context "test" set. Active namespace is "kube-system". # go back to the previous namespace $ kubens - Context "test" set. Active namespace is "default". #devops #девопс Подпишись 👉@i_DevOps

Как увеличить производительность DBaaS в 10 раз? Selectel запустил базы данных на выделенном облачном сервере — уникальный продукт, аналогов которому нет в России. Вы можете получите готовый к работе кластер облачных баз данных с изолированной на физическом уровне инфраструктурой. Новое решение позволит хранить и обрабатывать базы данных размером до 7 ТБ с производительностью до 1,5 млн IOPS. Преимущества DBaaS на выделенном облачном сервере: - Максимальная производительность. Увеличили производительность дисковой подсистемы DBaaS — до 1,5 млн IOPS, пропускную способность — до 7 000 МБ/с. - Экономическая выгода. В зависимости от конфигурации стоимость нового решения до 47% ниже стандартного DBaaS-сервиса. - Быстрый запуск. Не нужно самостоятельно подбирать железо, оптимизировать настройки и разворачивать CУБД. - Безопасность. Изоляция базы данных на уровне физического сервера. Услуга соответствует закону 152-ФЗ (УЗ-1), приказу ФСТЭК № 21, PCI DSS, ISO 27001, 27017, 27018. Разверните базу данных на выделенном облачном сервере: https://slc.tl/nfdrm Реклама АО «Селектел». ИНН: 7810962785 Erid: 2VtzqubL1KB

Это база: нюансы работы с Redis Что такое Redis? Redis — это база данных, которая размещается в памяти и хорошо подходит для следующих целей: 🔵Кэширование данных: этот сценарий подходит когда есть ключ, по которому вы можете прочитать или записать кэш. Частый случай: использование Redis как кэша перед другой базой-крепышом, вроде MySQL. 🔵Хранение сессий: этот сценарий подходит при росте проекта, когда мы получаем несколько инстансов приложения на разных машинах за балансировщиком и возникает потребность в хранении пользовательских сессий в хранилище, которое доступно для каждого сервера приложения. 🔵Pub/Sub: помимо хранилища данных Redis можно использовать как брокер сообщений. В этом случае издатель может опубликовать сообщения в именованном канале для любого числа подписчиков. Когда клиент публикует сообщение в канале, Redis доставляет это сообщение всем клиентам, подписанным на этот канал, что обеспечивает обмен информацией между отдельными компонентами приложения в реальном времени. Однако, стоит помнить, что это сообщение опубликовывается по паттерну Fire & Forget — отправитель отправляет сообщение, не ожидая явного подтверждения от получателя о получении сообщения. То есть, отсутствует гарантия доставки и если часть подписчиков потеряет соединение, то после возвращения они не получат пропущенных сообщений. А если получателей не существует вовсе, то сообщение пропадает без возможности восстановления. Мы не будем останавливаться на остальных возможных применениях Redis, а также на базовых моментах и перейдем к особенностям его работы, которые непосредственно влияют на конфигурирование и эффективность: Часть 1 https://habr.com/ru/companies/nixys/articles/765694/ Часть 2 https://habr.com/ru/companies/nixys/articles/805463/ #devops #девопс Подпишись 👉@i_DevOps

Безопасность контейнерных сред: как отбить атаки киберпиратов В современном мире практически ни одна разработка программного обеспечения не обходится без использования средств контейнеризации, что связано с удобством хранения артефактов и зависимостей. Киберпираты следуют трендам DevSecOps, чтобы повышать энтропию атак на контейнерные среды. Кроме того, растет количество APT группировок, что является сегодня довольно значимой проблемой. В данной статье мы подробно рассматриваем техники злоумышленников, а также рассказываем о существующих тактиках защиты для того, чтобы разработчики или DevOps-инженеры смогли применять их в своей повседневной работе. https://habr.com/ru/companies/neoflex/articles/837946/ #devops #девопс Подпишись 👉@i_DevOps

Безопасность приложений: от хаоса к системному управлению Трехдневный интенсив для тимлидов и руководителей в области безопасности приложений. Старт в сентябре 2024 в Москве. Если вы то и дело ощущаете себя в тупике: нет нормальных фреймворков, вокруг хаос, топы не видят смысла в расходах на AppSec – добро пожаловать к нам. Мы знаем о ваших трудностях с разработкой. Мы тоже с этим сталкивались и теперь знаем, как вам помочь. Автор интенсива Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies. 💡 Application Security на максималках: ● поделимся эталонными фреймворками и методологиями; ● поможем систематизировать процессы; ● научим обосновывать инвестиции в безопасную разработку для топ-менеджмента; ● покажем эффективные стратегии защиты от хакеров; ● расскажем об управлении как организационными, так и техническими аспектами AppSec. ⏱ Стартуем в сентябре 2024 в Москве. Записывайтесь!

📌Каким образом мы можем разделять права в k8s? Для управления правами в Kubernetes используется механизм RBAC (Role Based Access Control). В этой системе выделяются три группы объектов: пользователь (user) или учетная запись сервиса (service account), которая определяет субъект доступа; роль (role) или кластерная роль (clusterRole), определяющая разрешения; и привязка роли (roleBinding) или кластерной роли (clusterRoleBinding) к конкретному субъекту. 📌Что такое CSI-плагин? Это концепция, которая обеспечивает единообразное использование сетевых файловых систем, построенных на различных технологических основах. Мы определяем storageClass, который соответствует дискам определенного типа, и разворачиваем provisioner в кластере — специальное программное обеспечение, способное заказывать сетевые диски в системе, способной их предоставлять (например, NAS или СХД). Затем мы создаем объект persistentVolumeClaim, указывая нужный storageClass. При появлении запроса на persistentVolumeClaim, provisioner заказывает диск необходимого размера в системе, которая их предоставляет, создает объект persistentVolume и связывает его с persistentVolumeClaim. При запуске POD на узле, соответствующий диск монтируется на этот узел по определенному пути, который затем монтируется на файловую систему POD. #devops #девопс Подпишись 👉@i_DevOps

😞 Можно ли починить лифт с помощью Linux? Можно! По крайней мере, когда речь идет об «умном» лифте со встроенной Алисой. Именно такие практические задачи решают студенты бесплатного видеокурса Слёрма «Сети в Linux». Если хотите получить реальный опыт сетевого администрирования и классный кейс в портфолио — забирайте курс. После обучения вы: 🙁 получите представление о том, как устроена сеть в Linux 🙁 познакомитесь с протоколами и технологиями, на которых строятся современные сети 🙁 сможете грамотно настроить систему для работы с сетью 🙁 научитесь пользоваться инструментами для настройки сетевого стека в Linux и диагностики его работы Внутри курса 70% практики, чтобы не только изучить теорию, но и закрепить навыки. Примеры заданий: 🤓Настроить адресацию и маршруты на роутере с помощью netplan 🤓Поднять dhcp-сервер для локальной сети 🤓Настроить SLAAC 🤓Настроить IPSec-туннель между двумя площадками 😳 Старт: в любое время 😳 Стоимость: бесплатно Изучить программу и присоединиться к курсу — по этой ссылке Реклама ООО «Слёрм» ИНН 3652901451

Что такое DevSecOps? DevSecOps возник как естественная эволюция практик DevOps с акцентом на интеграцию безопасности в процессы разработки и развертывания программного обеспечения. Термин "DevSecOps" объединяет практики разработки (Dev), безопасности (Sec) и операций (Ops), подчеркивая важность безопасности на протяжении всего жизненного цикла разработки программного обеспечения. Диаграмма выше показывает важные концепции в DevSecOps: 1. Автоматизированные проверки безопасности 2. Непрерывный мониторинг 3. Автоматизация CI/CD 4. Инфраструктура как код (IaC) 5. Безопасность контейнеров 6. Управление секретами 7. Моделирование угроз 8. Интеграция с обеспечением качества (QA) 9. Сотрудничество и коммуникация 10. Управление уязвимостями #devops #девопс Подпишись 👉@i_DevOps

Плюсы и минусы профессии DevOps: мысли для слушателей ИТ-курсов и не только На дворе конец лета и слушатели ИТ-курсов в раздумьях о выборе обучения на осень 2024 и профессии как таковой. А мы продолжим цикл статей о плюсах и минусах разных профессий в ИТ. Давайте поговорим о DevOps-инженере. Как говорят рекрутеры, на фоне переизбытка выпускников курсов по разработке на Python и Java, профессия DevOps-инженера смотрится одной из топов по востребованности и оплате. Однако, DevOps требует на только очень разнообразных знаний и навыков, но и специфических черт характера, чтобы не выгореть при первом же погружении в профессию. P.S. Иллюстрация ИИ к статье — “я художник, так вижу DevOps и девушки их любят”. https://habr.com/ru/companies/ssp-soft/articles/837746/ #devops #девопс Подпишись 👉@i_DevOps

Git, Gitflow и ветка release: как разместить общий код команды в прод Привет, меня зовут Николай Пискунов — я ведущий разработчик в подразделении Big Data. И сегодня в блоге beeline cloud мы продолжим серию статей про Git и Gitflow — рассмотрим релизный цикл: то есть то, как общий код команды должен попасть в прод. Для этого в GitFlow существует процесс и ветка под названием release. https://habr.com/ru/companies/beeline_cloud/articles/836922/ #devops #девопс Подпишись 👉@i_DevOps

🔥 Используешь Nginx? Тогда узнай об Angie и его возможностях для своих проектов! 👨‍🚀Спикер Николай Лавлинский - опытный разработчик, руководитель, преподаватель и автор каналов «Ускорение сайтов» и «Поддержка сайтов». Расскажет, основные отличия Angie — форка Nginx, чем он может быть интересен и как быстро перевести проект на этот продукт. Открытый урок нужен как воздух для администраторов Linux, веб-разработчиков и всех, кто использует Nginx в проектах. 👉 Приходи 29 августа в 19:00 : https://clck.ru/3Cjfi6/?erid=2Vtzqx3oYHB Пройдя курс Администрирование Nginx/Angie, вы сможете: 1️⃣ Настраивать Angie и Nginx как фронт веб-серверы для любых приложений. 2️⃣ Оптимизировать серверную и клиентскую производительность. 3️⃣ Конфигурировать балансировщики нагрузки L4 (TCP, UDP) и L7 (HTTP/HTTPS). 4️⃣Управлять логированием и оптимизировать HTTPS-соединения. 5️⃣Работать с модулями вещания для видео-сервисов. И многое другое: https://clck.ru/3Cjfi6/?erid=2Vtzqx3oYHB Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Flagd Демон управления фичами, основанный на философии Unix. https://github.com/open-feature/flagd #devops #девопс Подпишись 👉@i_DevOps