На прошлой неделе было объявлено о том, что отныне все новые сервисы Reddit запускаются в production на инфраструктуре, основанной на Kubernetes-кластерах. Эта значимая веха на пути миграции на K8s одного из популярнейших онлайн-ресурсов, и вот как к ней пришли…
Рубрика «Блог компании Флант» - 28
Истории успеха Kubernetes в production. Часть 10: Reddit
2019-02-26 в 8:40, admin, рубрики: devops, kubernetes, reddit, Блог компании Флант, истории успеха, системное администрирование
KubeSail и его бесплатный Kubernetes-кластер для разработчиков
2019-02-21 в 7:57, admin, рубрики: devops, kubernetes, Блог компании Флант, облачные сервисы
В начале года появился новый веб-сервис KubeSail, созданный двумя американскими Kubernetes-энтузиастами, задавшимися целью «сделать преимущества Kubernetes более доступными для всех разработчиков». Для её достижения они предложили K8s-кластер в виде управляемой услуги (managed service), в рамках которой имеется бесплатный тарифный план.Читать полностью »
Представлен Talos — «современный Linux-дистрибутив для Kubernetes»
2019-02-19 в 8:09, admin, рубрики: devops, kubernetes, linux, TALOS, Блог компании Флант, дистрибутивы, Настройка Linux
На днях американский инженер Andrew Rynhard представил интересный проект: компактный дистрибутив Linux, предназначенный специально для запуска Kubernetes-кластеров. Он получил название из древнегреческой мифологии — Talos.Читать полностью »
Docker и Kubernetes в требовательных к безопасности окружениях
2019-02-18 в 6:03, admin, рубрики: devops, docker, kubernetes, Блог компании Флант, информационная безопасность, контейнеры, системное администрированиеПрим. перев.: Оригинальная статья была написана инженером из Швеции — Christian Abdelmassih, — который увлекается архитектурой уровня enterprise, ИТ-безопасностью и облачными вычислениями. Недавно он получил степень магистра в области Computer Science и спешит поделиться своим трудом — магистерской диссертацией, а точнее — её частью, посвящённой проблемам изоляции контейнеризированного [и запущенного в Kubernetes] приложения. В качестве «клиента», для которого была подготовлена эта исследовательская работа, выступает ни много ни мало полиция его родины.
Оркестровка контейнеров и облачные (cloud-native) вычисления стали очень популярными в последние годы. Их адаптация дошла до такого уровня, что интерес к ним проявляют даже финансовые предприятия, банки, госсектор. На фоне других компаний их выделяют обширные требования в области безопасности информации и ИТ.Читать полностью »
Уязвимость CVE-2019-5736 в runc, позволяющая получить права root на хосте
2019-02-12 в 9:10, admin, рубрики: kubernetes, lxc, runC, Блог компании Флант, информационная безопасность, контейнеры, системное администрирование, уязвимостиПрим. перев.: Минувшей ночью Aleksa Sarai, старший инженер по контейнерам из SUSE Linux, сообщил в почтовой рассылке oss-sec о критической уязвимости в безопасности runc/LXC, которая позволяет злоумышленнику, имеющему доступ в изолированный контейнер, получить привилегии root на хостовой системе. Поскольку проблема выявлена в эталонной реализации исполняемой среды для контейнеров — runc, — она затрагивает многочисленные контейнерные системы включая Docker/Moby, Podman, cri-o (и собственно Kubernetes). Ниже представлены подробности в виде перевода сообщения инженера в почтовую рассылку.
Я являюсь одним из мейнтейнеров runc (нижележащей среды исполнения контейнеров, используемой в Docker, cri-o, containerd, Kubernetes и т.п.). Недавно стало известно об уязвимости, которую мы проверили и пропатчили.Читать полностью »
Трезвый взгляд на Helm 2: «Вот такой, какой есть…»
2019-02-06 в 8:21, admin, рубрики: devops, helm, kubernetes, open source, Блог компании Флант, системное администрированиеКак и любое другое решение, Helm — пакетный менеджер для Kubernetes — имеет плюсы, минусы и область применения, поэтому при его использовании стоит правильно оценивать свои ожидания…
Мы используем Helm в своём арсенале инструментов непрерывного выката. На момент написания статьи в наших кластерах более тысячи приложений и примерно 4000 инсталляций этих приложений в различных вариациях. Периодически мы сталкиваемся с проблемами, но в целом довольны решением, не имеем простоев и потерь данных.
Основной мотив написания статьи — предоставить пользователю объективную оценку основных проблем Helm 2 без категорических заключений, а также желание поделиться опытом и нашими решениями.Читать полностью »
Советы по созданию нестандартных рабочих процессов в GitLab CI
2019-02-01 в 6:28, admin, рубрики: continuous integration, devops, gitlab ci, Блог компании Флант, системное администрирование, системы сборкиПрим. перев.: Оригинальную статью написал Miłosz Smółka — один из основателей небольшой польской компании Three Dots Labs, специализирующейся на «продвинутых backend-решениях». Автор опирается на свой опыт активной эксплуатации GitLab CI и делится накопленными советами для других пользователей этого Open Source-продукта. Прочитав их, мы поняли, насколько нам близки описанные им проблемы, поэтому решили поделиться предлагаемыми решениями с более широкой аудиторией.
На этот раз я затрону более продвинутые темы в GitLab CI. Частой задачей здесь является реализация в пайплайне нестандартных возможностей. Большинство советов специфичны для GitLab, хотя некоторые из них можно применить и к другим системам CI.Читать полностью »
Как победить дракона: переписываем вашу программу на Golang
2019-01-24 в 6:10, admin, рубрики: dapp, Go, golang, ruby, werf, Анализ и проектирование систем, архитектура, Блог компании Флант, ооп, переписывание, Программирование, Проектирование и рефакторинг, проектирование по, рефакторингТак случилось, что ваша программа написана на скриптовом языке — например, на Ruby — и встала необходимость переписать ее на Golang.
Резонный вопрос: зачем вообще может понадобится переписывать программу, которая уже написана и нормально работает?
docker-pretty-ps — наконец-то удобный для чтения «docker ps»
2019-01-22 в 6:42, admin, рубрики: devops, docker, Блог компании Флант, контейнеры, Серверное администрирование, системное администрированиеВы не одиноки в этом мире, если вот уже долгое время не рады тому, как выглядит стандартный вывод docker ps. Хотя и существуют различные workarounds на эту тему (см. в конце материала), однажды какой-нибудь энтузиаст должен был сделать «что-то ещё»… и это произошло в наступившем 2019 году. Имя ему — docker-pretty-ps.
Задумка автора банальна донельзя: горизонтальный вывод и цвета для наглядности.
А в качестве аудитории утилиты называются «скорее разработчики, чем хардкорные DevOps'ы или SRE-инженеры».Читать полностью »
9 лучших практик по обеспечению безопасности в Kubernetes
2019-01-18 в 8:32, admin, рубрики: devops, kubernetes, безопасность, Блог компании Флант, информационная безопасность, контейнеры, системное администрированиеПрим. перев.: Это уже не первая статья с общими рекомендациями по безопасности в Kubernetes, что мы переводим в своём блоге. Однако её актуальность — по меньшей мере, как напоминание о простых и важных вещах, на которые не стоит закрывать глаза из-за нехватки времени, — только подтверждается недавними событиями, упоминаемыми автором в начале материала. К слову, автором является Connor Gilbert — менеджер продуктов компании StackRox, предлагающей готовую платформу для обеспечения безопасности приложений, разворачиваемых в рамках Kubernetes-кластеров. Итак, вот что он советует читателям блога CNCF…
NB: Чтобы сделать статью более информативной, для некоторых из упоминаемых автором терминов/методов мы добавили ссылки на соответствующую документацию.
В прошлом месяце в Kubernetes, самой популярной в мире системе оркестровки контейнеров, обнаружили первую крупную уязвимость в безопасности, что ударило по экосистеме проекта. Уязвимость CVE-2018-1002105 даёт возможность злоумышленникам скомпрометировать кластеры через API-сервер Kubernetes, что позволяет исполнять вредоносный код для установки malware и т.п.Читать полностью »