« Rev
@kubernetes_ru   180
Fwd »


yolkov
хочется поподробнее узнать про опеншифт, потому что беглым осмотром я не вижу там супер преимуществ
Konstantin
OpenSource != Free Software
Anonymous
да не, безопасность это пиздец конечно... как бывший безопасник подтверждаю что это все работает до первого грамотного вторжения но, с другой стороны, я не вижу например отличий от других систем: везде есть проблемы с отсутствием шифрования трафика, везде есть проблемы с разделением и обходом полномочий, везде есть проблемы... (да сотни их, называй любую) я к тому что это не чисто трабла данной технологии, а больше общего подхода и в целом глобальново пофигизма "бизнес вроде ок а программистам пофиг лишь бы деньги давали"
Konstantin
Вы приходите на митап, расскажите про OpenShift, там и пиво будет
Vasily
OpenSource != Free Software
Я в курсе. Я имел ввиду, что исходники открыты и распространяются бесплатно в виде отдельной ветки ОС - Origin. А стоит он - времени специалиста.
Михаил
Мы на одном уже были и рассказывали)
Другой Миша уже пообещал на следующий митап доклад)
Vasily
Глобально)
Anonymous
крепость цепи равна крепости самого слабого ее звена :)
Kir
Вообще, на мой взгляд, одна из самых больших перспектив кубика-это нормальный локальный энв для работы. У кубика есть миникуб и есть миникуб воркфлоу, который покпзывает, как замаунтить локальную директорию в аппку и жить припеваючи, работая и обновляя код микросервис на лету. А минишифт у меня не взлетел, как раз из-за всяких версий 0.9 и бет и обновлений, то есть в интернетах рекомендовали откатываться куда то и танцевать с бубнами. Это вот прям типичная бета, поэтому я опеншифта побаиваюсь. Хоть и код открытый и можно почитать итп
Vasily
крепость цепи равна крепости самого слабого ее звена :)
Будем оправдывать этой фразой к8с в проде?)
Anonymous
кубик в проде уже ничем не оправдать, остается только мириться :)
Vasily
кубик в проде уже ничем не оправдать, остается только мириться :)
Ну вот. Мне от этого грустно. Потому что после лавины докладов о кубике в проде придет лавина докладов о ломах и разваленных продах на кубике. И бизнес забьется в норку и вернется к классическим способам виртуализации. А нафига хоронить то, что летит? - но блин, нужно же с умом подходить и видеть не только лозунги сейлов или восторженных д******ов.
Anonymous
90% сидят на GKE и амазоновском-че-там-то-же-самое-не-помню-как-называется, и им норм, неважно какой негативный фидбек придет они уже окупили расходы и получили низкий порог вхождения, так что взлетело однозначно (я так говорю потому что к ним отношусь :)
Kir
Безопасность вашего прода совсем не обязана целиком и полностью обеспечиваться кубиком. Вы же не ждете от него защиты от ддоса?(хотя не удивлюсь, если она там есть). Так же и атаки, всякие там свеже обнаруженные уязвимости попытки скл инъекций, xss итп. Это дело отдельного сервиса, например нашего wallarm.com :)
Anonymous
отлично вставил, респект :)
Vasily
Рбак в 1.6 в стадии бета - это как бы то, что должно было быть сначала)
Kir
Основа это рид онли докера)
Kir
Имхо)
Vasily
Основа это рид онли докера)
И опять я хотел комментировать, но не буду.
Vasily
В общем, коллеги, спасибо за конструктив, но я пойду спать)
Kir
Ну например. Дебиан стейбл. Руби стейбл. Бах и мы приплыли к динозавру 1.9.3. у него рекваер содержит точку, можно, если прикинуть как то исполняемый файл-его исполнить изнутри. Но с докером не выйдет
Kir
Я не безопасник, я рубист, безопасник коллеги отвечают на мои глупые вопросы
Kir
Если рид онли докера не закрывает дофига ходов-то, пожалуйста, поправьте, я могу еще заблуждаться)
Kir
Харт блид она вподе не закроет?)
Vasily
Я не безопасник, я рубист, безопасник коллеги отвечают на мои глупые вопросы
Вы просто сравните грубо то, что предлагает VMWare в качестве виртуализации и то, что предлагает докер и к8с.
Kir
А вы найдите безопасника и девопса и пограммиста одновременно, такого фулстека я знаю одного, он вроде здесь есть, но чет молчит)
Vasily
В общем, забавно, что вчера я отстаивал на встрече контейнеры, а сейчас занимаю позицию против)
Михаил
Молодец какой) про шифт и цеф?)
я про цеф и кубик, он про опеншифт
Kir
Ну опять же. 12 факторов нам например говорят, что всякие секреты и конфиги мы храним в энве и это типовое cat /etc/passwd не отрабатывает. В лекции какого изобретателя DDD говорится, что до контейнеров все только говорили о том, что у каждого сервиса своя изолированная от остальных бд, а поддерживаемо и работоспособно это стало только с ними, тк раньше все равно упиощвли и шарили так или иначе бд. Это же тоже база безопасности прода, как никак
Anonymous
А вы найдите безопасника и девопса и пограммиста одновременно, такого фулстека я знаю одного, он вроде здесь есть, но чет молчит)
интересно что недавно в понятие "фулстек" включался только человек знающий бэкенд и фронтенд... а тут уже и безопасник, и девопс (причем девопс это методология а не специализация)... эйчары молодцы как по мне, работают девченки
Kir
Упрощали
Kir
Да не, это я прикалываюст
Kir
Большинство моих коллег не верят в существование этих единорогов
Anonymous
sre-engineer :)
Михаил
советую еще раз попробовать
Kir
То есть минишифт не нужен? Тогда обязательно, да
Михаил
я видимо что-то пропустил
Михаил
а что есть минишифт?
Kir
Ну вот такой аналог minikube для локальной работы
Kir
Как средство избегания запуска маковского докера
Михаил
oc cluster up делает тебе весь опеншифт на локальном компе, но оно не сохранится после ребута)
Михаил
состояние кластера
Kir
В случае с маком чую не взлетит)
Михаил
есть еще вариант скачать фул бинарь опеншифта
Михаил
В случае с маком чую не взлетит)
поищи, потом расскажешь
Kir
Там же lxc нету, в принципе, они(минишифт и миникуб) в виртуалке поднимают linux какой то поднимают т с ним работают
Kir
Ок, поресерчу потыкаю
Vasily
В случае с маком чую не взлетит)
Мак+вагрант+минишифт.
Alexander
тут много может быть вариантов, не стартует именно дашбоард или любой под?
не стартуют почти все поды. днс стартует с этим warning после рестарта kubelet. Статус нод ready.
Denis
https://techcrunch.com/2017/03/28/google-launches-new-site-to-showcase-its-open-source-projects-and-processes/?ncid=rss
Logan
sre-engineer :)
SRE - это уже инженер. А изоляция сетевого доступа решается через policy, которая есть как минимум у weave и calico.
Logan
теоретически контейнер явно безопаснее кучи сервисов в одном сервере. На практике у контейнеров бывают дырки и приложения из них сбегают. Такие дырки находили у докера и у lxc. У rkt, по-моему, еще нет. Но вообще это нормально, технология молодая. Если кто забыл, году примерно в 2005 существовала рабочая атака на побег из vmware-вского hypervisor-а. Ее потом закрыли и более она нигде не проявлялась
Logan
вообще-то куб - это базовая оркестрация и управление ресурсами. Базовая - ключевое слово. Нельзя объять необъятное и написать все сразу. Ну или получится опенстек, не к ночи он будь помянут
Logan
В котором можно запускать кубик)
ну так и в вм можно вм запускать, с некоторыми ограничениями
Logan
а VMS, по слухам, вообще ограничений не имеет - матрешка будет бесконечной, пока ресурсы не кончатся
Михаил
Просто еще один тип вм - кубик
Михаил
Я это имел ввиду
Denis
Огонь :))
Stanislav
slowpoke.jpg
Denis
В следующий раз не пропускай)
Sn00part
о привет Лена и ты туь
Привет
хеллоу
Привет
а расскажите умеет ли кубер форс пулл имеджа при роллинг апдейте?
Привет
а то он нифига не перекачивает его походу пока деплоймент не удалишь
Artem
новая версия должна быть у имаджа
Artem
чтобы он заменил при роллинг апдейте
« Rev
@kubernetes_ru   180
Fwd »