DevOps FM

Как-то писали про memory limits в Kubernetes на примере пиццы 🍕 В этой статье пиццы нет, но из нее можно узнать, как правильно настроить запросы и лимиты Kubernetes. При чем здесь мем? Ни при чем, он просто хорош :)

Всем DevOps! 🖖 Сегодня немного про Nginx, надеемся, будет полезно :) ⚙️ Awesome-Nginx — базовая вещь, репозиторий с кучей полезных материалов: инструментов, обучающих материалов и т.д. ⚙️ Статья про сборку динамических модулей для Nginx ⚙️ Видео со сравнением Apache и Nginx от IBM ⚙️ Заметка про новую версию Nginx 1.24.0

Первая в истории атака с использованием Kubernetes RBAC Эксперты Aqua Security доказали, что злоумышленники могут использовать RBAC (Role-Based Access Control) для создания бэкдоров в кластерах Kubernetes. Aqua Security ловили майнеров "на живца" - неправильно настроенный кластер Kubernetes. В итоге злоумышленник воспользовался уязвимостью и начал майнить Monero. Самой интересной частью этой атаки было то, что злоумышленник использовал RBAC для обеспечения постоянного доступа. Майнер создал новую ClusterRole с привилегиями уровня администратора. Поскольку это была кластерная роль, она не была привязана к определенному namespace. Затем злоумышленник создал ServiceAccount kube-controller в пространстве имен kube-system, а затем связал ClusterRole с ServiceAccount, используя ClusterRoleBinding. Полное описание атаки на русском доступно здесь.

Обновления GitHub Стали доступны (как публичные бета-версии) две новые опции: ▪️ Первая призвана сделать npm пакеты более безопасными. Теперь при создании npm можно использовать флаг --provenance и опубликовать данные о происхождении пакета, то есть доказать, что содержимое npm-пакета совпадает с исходниками на Гитхабе (или собрано из них). ▪️ Вторая позволит обеспечить дополнительный контроль над воркфлоу GitHub Actions CI/CD. Раньше для развертываний в GitHub Actions были доступны только встроенные правила защиты среды. Теперь можно создавать и настраивать собственные правила для управления воркфлоу развертывания.

Подборка материалов про Kubernetes 🦾 ⚙️ Гайд по траблшутингу Kubernetes ⚙️ Статья про глубокое погружение в стратегии развертывания Kubernetes ⚙️ Статья о миграции инфраструктуры в k8s (на примере SberCloud) ⚙️ Гайд по использованию событий Kubernetes для эффективного оповещения и мониторинга ⚙️ Видео с поучительной историей о перегрузке кластера и об автоматизации, которая стала проблемой

Девопсомобиль, получается. Такого даже в майбахе нет. Всем хороших выходных! :)

На сайте Zabbix выходят совершенно замечательные заметки "What's Up, Home?" В них автор рассказывает, как мониторит с помощью Zabbix всё подряд. Топ самых забавных заметок (по версии этого канала): ▪️Не забудь крем для лица! - автор забывал пользоваться кремом для лица, поэтому решил эту проблему с помощью Zabbix, Grafana и Cozify ▪️Очаровательная сказка на ночь - автор мониторил сон своей собаки с помощью Zabbix ▪️Zabbix как таймер обратного отсчета? Почему бы и нет! ▪️Не плачь 🍼 - можно ли использовать Zabbix, чтобы понять, плачет ли ребенок? Разумеется :) А если серьезно - в блоге 34 поста, многие из них посвящены более повседневным вещам, вроде мониторинга разных систем умного дома (видеокамер, параметров помещений и т.д.) Рекомендуем!

Немного ненапряжного, но интересного (почитать и посмотреть) Потихоньку приближаемся к выходным 🥳 🗿 Интересные мысли про софт скиллы (в IT и не только) - не спешите отписываться, статья не от лавандового коуча 🦾 Видео о ранних экспериментах с GPT-4 🍔 Вы знали про событийно-ориентированную архитектуру McDonald's? Можете узнать (вторая часть здесь) 📈 Статья о том, как сделать идеальный дашборд (для мониторинга)

В конце 2022 года GitHub запустил публичную бета-версию функции частных отчетов об уязвимостях. По сути GitHub позволил разработчикам незаметно уведомлять своих коллег об обнаруженных уязвимостях - для безопасности. Вчера GitHub сообщил, что функция частных отчетов об уязвимостях теперь общедоступна и бесплатна для open-source репозиториев. По результатам публичного бета-тестирования были внесены изменения: ▪️ Можно включить частные отчеты об уязвимостях сразу для всех репозиториев своей организации ▪️ Maintainer может выбрать, какая роль будет отведена тому, кто сообщил об уязвимости ▪️ Усовершенствован repository security advisories API: например, добавлена интеграция со сторонними системами управления уязвимостями и т.д. "Частные отчеты об уязвимостях значительно облегчают сообществу открытого исходного кода сообщение об уязвимостях и их исправление. Я бы посоветовал каждому maintainer'у включить его в своих общедоступных репозиториях" - Джордан Такер, сопровождающий JSON5

Как, а главное - зачем, дублировать облачную инфраструктуру? В новой статье Романа, DevOps-инженера компании Nixys, есть ответы на эти вопросы. В общем-то, не просто ответы, а целая инструкция - как подготовиться к дублированию облачной инфраструктуры и сделать всё максимально безболезненно. Рекомендуем взять чай, статья на 14 минут :)

Анонсирован релиз Fedora Linux 38 🔧 Некоторые изменения: ▪️Переход на модернизированный процесс загрузки ▪️Внедрение нового пакетного менеджера Microdnf ▪️Рабочий стол в Fedora Workstation обновлён до выпуска GNOME 44 ▪️Полный доступ к каталогу приложений Flathub ▪️Обновлены версии пакетов, среди которых Ruby 3.2, gcc 13, LLVM 16, Golang 1.20, PHP 8.2, binutils 2.39, glibc 2.37, gdb 12.1, GNU Make 4.4, cups-filters 2.0b, TeXLive 2022, ImageMagick 7, PostgreSQL 15 Официальный сайт Fedora

Ещё одна штука с использованием ChatGPT для работы с Kubernetes. Kubernetes-chatgpt-bot for issues - Prometheus перенаправляет алерты в бот, а в боте есть кнопка "Ask ChatGPT" и можно спросить ИИ: как это пофиксить Подробнее о работе можно узнать из видео

Multi-tenancy in Kubernetes Отличная статья (с очень наглядными схемами) про проблемы запуска кластера с несколькими арендаторами (tenant)

Postmortem ☠️ Постмортем - анализ произошедшего инцидента и письменный отчет о нем (что случилось, почему, как исправили, какие меры предприняли на будущее и т.д.) ▪️Статья о том, как писать постмортемы информативно ▪️История внедрения постмортемов в Dodo Engineering (которые пицца, но не только) + видео об инцидент-менеджменте в компании ▪️Postmortem Template от Atlassian

Подборка best practices: ⚙️ 25 best practices для Nginx - как повысить безопасность веб-серверов Nginx, работающих в Linux или UNIX-подобных ОС ⚙️ 20 best practices для Dockerfile - как предотвратить проблемы с безопасностью и оптимизировать контейнерные приложения ⚙️ 10 best practices для Kubernetes - статья о базовых, но важных аспектах работы с Kubernetes ⚙️ Best practices для Ansible - настройка проектов и эффективная работа с внутренними компонентами Ansible ⚙️ Best practices для Terraform - освещены разные аспекты: деплой, создание модулей, CI/CD ⚙️ Best practices для Docker - докеризация приложения на Node.js, оптимизация размеров контейнера, использование переменных среды и многоэтапные сборки Всем DevOps! 🖖

На три вещи можно смотреть вечно: как течет вода 💧 как горит огонь 🔥 как кто-то проводит классный воркшоп 😎 В мастер-классе "Использование универсальных Helm-чартов в проектах" Роман Андреев, DevOps-инженер компании Nixys, от и до показывает работу nxs-universal-chart. Незапланированный (но очень ценный) бонус - дебаг в прямом эфире.

Устали вручную создавать модули Ansible для каждого нового инструмента, облачного сервиса или приложения? Рекомендуем обратить внимание на блог Red Hat - компания рассказала про Content Builder. Этот инструмент автоматически генерирует модули Ansible для любого устройства или сервиса с помощью CLI, NETCONF или OpenAPI.

Совсем свежая статья на Хабре (и уже высоко оценена сообществом) - гайд для новичков по установке Kubernetes Мем в придачу 🥲

Центр мониторинга связи от Роскомнадзора запустил аналог Downdetector - сайт мониторинга сбоев. Сейчас на мониторинге находятся 55 российских сайтов и сервисов. Также доступна карта, где видно, в каких регионах возникли проблемы. Что думаете про такой аналог? Продолжаете пользоваться англоязычной версией Downdetector? Делитесь в комментариях :)

Про Linux и безопасность В серии статей "Hunting for Persistence in Linux" рассматриваются методы, которые злоумышленники могут использовать для поддержания постоянного доступа к скомпрометированной системе Linux. ⚙️ Auditd, Sysmon, Osquery ⚙️ Создание аккаунта и управление ⚙️ Systemd, таймеры и Cron ⚙️ Инициализация скриптов и конфигурирование shell ⚙️ Systemd-generators