Если отказаться от Mesh - думаю попробовать OpenVPN + LDAP

Кто-нить сталкивался с такой проблемой: minikube version: v0.24.1 kernel: 4.14.6-1-default #1 SMP PREEMPT Docker Version: 17.09.1-ce невозможно никак убить контейнеры, тупо висят, ни под рутом ни под кем. ни стопнуть, ни кильнуть не даёт (permission denied)

вот volume как бы может быть основан на конфиг мапе, а наоборот может быть?

Конфигмап это не фаил в контейнере, это фаил в etcd

смысл в версии ядра? ЧТо за дистрибутив?

Смысл дистрибутива???) OpenSuse

Потому что проблемы прав это не проблемы ядра.

а понял. имеется в виду apparmor или selinux

отключены

ядро 4.14 есть как у Фидоры так и Убнты, а тамюзер спейс построен не так

Я просто ориентировался на это https://github.com/moby/moby/issues/19030

подозреваю что это не проблема прав, так как нельзя убить под рутом

у кубернетис ноды должны быть в изолированой подсети или можно использовать также белый ИР?

у кубернетис ноды должны быть в изолированой подсети или можно использовать также белый ИР?

как хочешь

как хочешь

спс! буду пробовать на внешний вешать

ну то есть я в одном контейнере что-то написал в файл, и при этом у меня есть какой-то конфигмап, который мапит этот файл в значения, которые я уже подтягиваю в env

Даже если бы магия по подтягиванию файла в конфигмап заработала, env переменные нельзя обновлять для запущенного процесса динамически, без хаков с gdb. И это не ограничение куба на этот раз.

спс! буду пробовать на внешний вешать

ну чем больше серверов с белым ip тем не безопасней система

ну чем больше серверов с белым ip тем не безопасней система

Хера себе

Что ж вы в ipv6 мире делать будете?

Хера себе

Так считают наши безы-)

Что ж вы в ipv6 мире делать будете?

Получат инфаркт))))

security through obscurity != good practice хоть и распространено для таких кейсов

Хера себе

Лично моё мнение правильные настройки fw и app решают 95% проблем безопасности

еще 5% это обновления и работа с персоналом)

еще 5% это обновления и работа с персоналом)

Работа с персоналом это 99.9% потому что Все взломы всегда из Inside

ну каноник - это VPC и рулить тачками с мастера. А если у меня не виртуалка, а скажем 2 он-метала - тогда нужно квм юзать или обьединять по тунелю и строить как обычно?

Ничего не решает проблемы безопасности. Безопасность это про слои. Каждый слой пробиваем на практике при наличии времени

думаю если кто-то поставил цель взломать конкретную систему - это действительно лишь вопрос времени

Ничего не решает проблемы безопасности. Безопасность это про слои. Каждый слой пробиваем на практике при наличии времени

Не существует не ломаемых систем, взлом люьбой системы это вопрос денег..и только денег-)

защититься по идее стоит от компрометации важных данных

и от ботов различных

Стоимость взлома vs стоимоть результата

exactly надо найти баланс

но я думаю в случае когда часть инфры прячут в private обусловлено как раз нецелесообразностью тратить деньги на работу с персоналом, обновления, fw - точнее на контроль всего этого, иначе пострадает то, что приносит основной доход

таков уж мир сейчас

защититься по идее стоит от компрометации важных данных

Equifax потеряла самые значимые данные 40% (точно не помню, но порядок такой) населения США: номера, адреса, даты рождения. Ничего с ними не стало, всем пофиг, не удивлюсь если даже бонусов не лишились :)

ну то что это им сейчас не аукнулось ничего не значит может злоумышленник не продал еще) к тому же один пример не показатель, есть полно случаев когда тупо бизнес закрылся из-за кражи данных

ну то что это им сейчас не аукнулось ничего не значит может злоумышленник не продал еще) к тому же один пример не показатель, есть полно случаев когда тупо бизнес закрылся из-за кражи данных

Расскажите

просто если рассуждать не в этом ключе, а в обратном - получается фиг с ней с безопасностью) это дорого, это очень сложно, все равно сломают, кража данных никому не вредит особо но это не так

просто если рассуждать не в этом ключе, а в обратном - получается фиг с ней с безопасностью) это дорого, это очень сложно, все равно сломают, кража данных никому не вредит особо но это не так

Так так и живут же, "фиг с ней" и все такое :) для галочки делают что-то, на практике не то что аудит кода и пентесты, просто патчат серевер через год. А уж что в контейнерах творится вообще никто не знает.

Расскажите

про криптовалюты слышали?)) в основном это касается различных платежных систем, посредников по транзакциям, теперь вот криптовалюты - отличная мишень http://www.bbc.com/news/technology-42409815

понятно что пиццерию или отель не закроют

однако ж это бизнес и однако ж он закрылся

В CI вообще обычно бардак, а там как раз больше всего внешнего неизвестного кода запускается и из CI руки до всех окружений дотянуться могут, часто даже напрямую в прод

ну это где как

про криптовалюты слышали?)) в основном это касается различных платежных систем, посредников по транзакциям, теперь вот криптовалюты - отличная мишень http://www.bbc.com/news/technology-42409815

Деньги можно с натяжкой назвать данными :)

ну здрасте

“Да́нные — зарегистрированная информация[1]:439; представление фактов, понятий или инструкций в форме, приемлемой для общения, интерпретации, или обработки человеком или с помощью автоматических средств (ISO/IEC/IEEE 24765-2010)”

Данные — формы представления информации, с которыми имеют дело информационные системы и их пользователи

цитирую википедию

где ж Ваши деньги-то) высечены в камне?)

деньги - самые что ни на есть данные, информация почти в чистом виде

Кто-нить юзает helm?

ну это где как

Да веде. Сужу по себе конечно, но прям везде. На CI в разрезембезопасности никто не смотрит. Любой джуниор на испытательном сроке может создать/поменять билд который docker pull все свежие образы со всей организации на этой билл ноде. Там часто внутри много интересного найти можно.

у нас смотрят - мы весь CI гоняем в AWS CodeBuild

весь CI управляется не руками

это полный IaC, с пуллреквестами, ревью и все такое

никуда за периметр AWS-аккаунта ничего не выходит

все secrets и прочая лабуда также там хранится

аккаунт скомпрометировать тоже особо не получится - для каждой активности свой юзер с ролью и тп

я уверен что ровно то же самое можно построить и в частном облаке

Helm Интересно, как оно для production-а? У меня use case такой: есть куб и надо его периодически деплоить на gcloud, но и запускать локально на minikube

у нас смотрят - мы весь CI гоняем в AWS CodeBuild

С code build не работал. Там произвольные shell скрипты запускать можно? IAM policy прям на каждый пайплайн настраиваете или лепите один общий на все?

Helm Интересно, как оно для production-а? У меня use case такой: есть куб и надо его периодически деплоить на gcloud, но и запускать локально на minikube

envsubst + kubectl apply

ну да.. написать скриптик это конечно лучше чем ещё одну сущность вводить но вдруг helm ну ващеее

ERROR: S client not available

крутой и весь такой удобный

хотел дать ему шанс

ну да.. написать скриптик это конечно лучше чем ещё одну сущность вводить но вдруг helm ну ващеее

Он ну ващеееее

Удобный - ksonnet. Эдакий jq на стероидах с готовыми объектами под все сущности кубернетеса. От всей души советовать не могу, т.к. пока сам шишки набиваю, но выглядит хорошо

С code build не работал. Там произвольные shell скрипты запускать можно? IAM policy прям на каждый пайплайн настраиваете или лепите один общий на все?

полиси - зависит от окружения, но не проблема нагенерить под каждый пл свой в кодбилд камтомные образы грузятся, хоть дженкинс в него кладите, хоть бсд с cibot хоть маленький баш на скретче образы сами собираем

Удобный - ksonnet. Эдакий jq на стероидах с готовыми объектами под все сущности кубернетеса. От всей души советовать не могу, т.к. пока сам шишки набиваю, но выглядит хорошо

Спасибо, гляну. а он gcloud умеет или там двухшагово получается?

кастомные* ))

Не проблема то не проблема. Вангую, что у вас на практике никто не заморачивается, билдят все под одной IAM role , откуда есть доступ ко всему kms и проч.

верно вангуете но я туда призван это выпилить и выпиливаю) не все так быстро, но конечная цель то о чем Вы говорите

и жто реализуемо

Спасибо, гляну. а он gcloud умеет или там двухшагово получается?

Он умеет в Kubernetes API , но я все равно его '| kubectl apply -f -' для надежности, т.к. наелся с хелмом уже

Понял, спасибо

уууу

▫️Какой у вас проект или где работаете? сервис автоматизации интернет рекламы ▫️В чём вы специалист? linux, configuration management, containers, ci, monitoring ▫️Чем можете быть интересны или полезны сообществу ? обмен опытом, обсуждение проблем и путей их решения ▫️Чем интересно сообщество вам? обмен опытом, обсуждение проблем и путей их решения, новости ▫️Откуда вы? Москва ▫️Как узнали про группу? от коллеги #whois

▫️Какой у вас проект или где работаете? сервис автоматизации интернет рекламы ▫️В чём вы специалист? linux, configuration management, containers, ci, monitoring ▫️Чем можете быть интересны или полезны сообществу ? обмен опытом, обсуждение проблем и путей их решения ▫️Чем интересно сообщество вам? обмен опытом, обсуждение проблем и путей их решения, новости ▫️Откуда вы? Москва ▫️Как узнали про группу? от коллеги #whois

CPA/Programmatic?

не понял вопрос

от кого работаете? от Сухаря?

куда я попал ? выпустите !

куда я попал ? выпустите !

никто не держит же

куда я попал ? выпустите !

давай, не попадай больше. Фарту, масти.

спасибо, мил человек

А вы дружелюбные

А вы дружелюбные

Не мы такие, жизнь такая.

ребят, может снизим градус оффтопа?

кстати, господа. А на какой оси крутите кубер в баре-метал?

кстати, господа. А на какой оси крутите кубер в баре-метал?

я еще не кручу, но собираюсь раскрутить на coreOS

ubuntu 16.04

ubuntu 16.04

самопальный образ?

у нас в проде, с убунтой что-то не срослось даже с LTS

нет дефолтный

cent0s