Защищаем инфраструктуру Kubernetes без боли

➡️ вебинар уже в этот четверг

Что будем обсуждать:

🟠 что есть в экосистеме k8s;
🟠 зачем это применять;
🟠 когда не оправдано закручивание гаек в инфраструктуре.

Поговорим, кому и зачем нужно защищать инфраструктуру в k8s, разберем многоэтапный процесс построения security и дадим рекомендации, основанные на собственных ошибках и шишках.

Спикеры:
➡️ Виталий Лихачев — со мной, надеюсь, вы уже знакомы. Если нет, ловите ссылку на приветственный пост.
➡️ Всеволод Севостьянов, Staff engineer в Lokalise

🐈 Специальный гость — кот Маркус (придёт, только если увидит много 🔥 под этим постом).

Когда: 27 марта в 20:00

Занять место на вебинаре — через бота. Ждём вас!

Когда я уже что-то понимал про k8s, но все еще страдал, моя главная проблема была...

Выберите вариант ответа, который ближе всего лично вам или расскажите об этом в комментариях, а через пару часов я расскажу, что было моей главной проблемой ⬇️

Привет! На связи Маркус.

Пока мой человек допиливает презентацию для завтрашнего веба и не видит, ловите немного спойлеров (только тсс).

Что будем обсуждать завтра:

🐈 Когда не стоит закручивать гайки в вопросах безопасности
🐈 Нахождение баланса между безопасностью и удобством эксплуатации
🐈 Осознанные компромиссы

В конце будет классный бонус для всех участников веба и ссылки на документацию. Надеюсь, вы уже зарегистрировались в боте? Ссылки на веб придут именно туда.

Если нет — велкам.

Жду вас завтра в 20:00 и неистово мурлыкаю.

🔷 Вебинар по безопасности в k8s начнется через час

Мы с Севой и Маркусом уже на низком старте и ждём вас, чтобы поговорить про эффективные инструменты для повышения безопасности.

Ссылки придут в бота за 5 минут до трансляции. Подключайтесь и пишите свои вопросы в чат вебинара.

🐈 Занять место на вебинаре

🐈 Мы начинаем! 🐈

Подключайтесь

Запись вебинара по безопасности

Вчера вечером обсуждали разные инструменты для повышения безопасности. Если не были онлайн, ловите запись. Судя по опросу, у меня в канале очень много DevOps и специалистов ИБ, для вас будет особенно полезно.

➡️ YouTube
➡️ VK Видео

На вебинаре рассказывал про курс «Kubernetes Мега», который стартует в апреле. В нем безопасности посвящены сразу 4 модуля:

🟠 Модуль 3. Аутентификация пользователей в кластере
🟠 Модуль 4. Keycloak
🟠 Модуль 5. Kubernetes Networking
🟠 Модуль 6. Безопасные и доступные приложения в кластере

Подробно с программой каждого модуля и курса в целом — по ссылке.

Специально для подписчиков моего канала я попросил у коллег промокод:

LIHACHEV15

Он круче, чем тот, который был на вебе, потому что дает не только скидку 15% на «Kubernetes Мега» , но и доступ к видеокурсу «Мониторинг и логирование инфраструктуры в Kubernetes». Выгода — 40%, или 61 500 ₽.

➡️ Старт потока — 21 апреля. Занять место — на странице курса.

Дайджест материалов за март

Традиционно собрал в одном посте всё полезное, что было в этом месяце

➡️ Безопасность: интегрируемся с vault

➡️ Как я перестал волноваться и полюбил ротацию секретов
— Часть 1
— Часть 2

➡️ Типичные ошибки найма

➡️ Как нанимать инженеров правильно

➡️ Secret injection webhook

➡️ Защищаем инфраструктуру Kubernetes без боли. Вебинар
— YouTube
— VK Видео
— Rutube

Что меня бесит в работе с кубером

k8s - отличный продукт для своих задач, но временами он больше напоминает изощренную вундервафлю, в которую напихали функционала по самые помидоры, да и еще и обильно и часто поливают, чтобы стало еще интересней жить (нам и сейчас хватает, но надо еще усложнить, чтобы не расслаблялись).

Вот несколько вещей, которые расстраивают:

➡️ Бездонная яма абстракций

Тебе нужно просто развернуть свой сервис. Оказывается, что тебе нужен Ingress, чтобы выставить сервис наружу. Потом выясняется, что лучше использовать Gateway API, потому что ingress уже недостаточно модный. Также ты хочешь сервис настроить (configmaps и secrets), сделать «отказоустойчивым» (replicas, pod disruption budget), починить баги с утечками памяти, которые очень сложно найти и проще сервис перезапускать, чем чинить (liveness probe) и так далее. Все это постепенно разрастается, и вот у тебя уже 20 километровых манифестов, которые настраивают сервис по всем лучшим практикам, а чтобы разобраться в этом — нужно время.

➡️ Траблшутинг как искусство

Если что-то пошло не так, то ты не просто берешь и смотришь логи. Ты сначала выясняешь, жива ли нода. Если нет, то почему? Может, нода ушла в NotReady? А если контейнер рестартится, то это проблема readiness probe, OOMKill или что-то еще? И это все надо смотреть, анализировать и разбираться, что отнимает время. Конечно же все эти шаги замечательно автоматизируются)

➡️ Совместимость? Какая совместимость?

Ты развернул кластер на одной версии, а через 2 года обнаружил, что твои Helm-чарты больше не работают, потому что API внезапно выпилили. Или CRD внезапно перестал быть обратносовместимым. Или твой сетевой плагин перестал дружить с новой версией kube-proxy. В k8s стабильность есть, но иногда приходится подебажить, что сломалось. С последними версиями, конечно, многие вещи стабилизировались, но когда в проде используешь нечто с Version: v1beta1, то спишь чуть менее крепко. Потому что ты накручиваешь сверху CNI, CSI, CRI чтобы все работало, а их выбор довольно велик. Поставив голый k8s, ничего не получишь, кроме подогрева воздуха нодами, на которых будет крутится control plane.

➡️ Helm: от спасения до отчаяния

Он кажется удобным, пока не начинаешь закапывать в бездну отступов. Что лучше: пробелы или табы?) Helm — мощный инструмент, но требует дисциплины, чтобы не превратить поддержку в дебаг отступов в yaml.

➡️ Сетевой стек

Почему мой сервис недоступен? Вопрос, который может иметь множество причин. Начинаешь перебирать: kube-proxy? DNS? CNI? А может, старый добрый iptables (или новомодный eBPF)? А NetworkPolicy случайно ничего не блочит? И вишенка на торте — Ingress, который ты сам же и настраивал, но почему-то трафик идет совсем не туда. Диагностика сети в k8s — это отдельный вид изощренной пытки. Без глубоких знаний сетевых технологий или опыта Linux-администрирования шансы быстро разобраться стремятся к нулю. Мало знать, как выглядят правила iptables, нужно еще понимать, как отследить прохождение пакета через все эти хитросплетения. А с некоторыми CNI, которые вообще ушли от iptables в сторону eBPF, без опыта работы с сетевыми технологиями вообще можно надолго закопаться.

Но если вам кажется, что k8s сложный, то могу вас уверить, что можно объяснить даже ребенку, как он работает и зачем нужен (но это не точно).

Ловите отличный гайд: https://to.slurm.io/1Jt97Q

А что вас бесит в кубере? Поделитесь в комментариях ⬇️

Недавно я присоединился к программному комитету Podlodka Techlead Crew, и это стало интересным погружением в закулисье онлайн IT-конференций. Если раньше я видел лишь готовое мероприятие, то теперь наблюдаю за непростым процессом его создания.

➡️ Главный инсайт: контент не возникает сам собой. За каждым интересным докладом стоит кропотливая работа по поиску спикеров, способных не просто транслировать знания, но и делать это увлекательно.

Придумывать темы сезона, помогать докладчикам доработать материал, чтобы он лучше заходил целевой аудитории, решать, нужен ли мем на слайде (нужен, конечно!) и думать, как сделать так, чтобы конференция была не просто полезной, но и интересной — все это входит в работу в ПК.

Это как отказоустойчивая инфраструктура: если всё сделать правильно, участники даже не заметят, сколько усилий множества людей вложено, а если нет — сразу появятся вопросы, почему всё сломалось (привет недавнему сбою).

И продолжая тему конференций — кто будет на DevOps Conf'2025 7-8 апреля?

Кирилл Борисов и Вячеслав Федосеев в своих каналах разыгрывают два онлайн-билета. Так что если вы хотите попасть на конфу — можно попытать счастья и получить бесплатный билет.

Правила розыгрыша:

🔸 Подписаться на канал Вячеслава «DevOps Bootcamp» и канал Кирилла «Путь SRE»
🔸 Рассказать о самой частой проблеме DevOps-инженера, которую хотелось бы решать как можно реже

📩 Истории присылайте через форму

Сбор историй закрывается 2 апреля в 23:59 мск, а 4 апреля в 12:00 мск Кирилл и Вячеслав объявят двух победителей у себя в каналах.

Удачи!

Как быть, если что-то сломалось?

Когда что-то ломается внутри k8s, ты не просто смотришь логи контейнера и сразу видишь проблему.

Нет, это слишком просто и для слабаков. Сначала ты ничего не понимаешь, потом пьешь кофе, потом уходишь на созвон, потом до вечера копаешься с проблемой и уже на следующий день тебе приходит отличная идея, которая (как неожиданно) оказывается шагом в правильном направлении.

➡️ Почему важно изучать любой инструмент, с которым работаешь постоянно?

Спросим капитана очевидность.

Потому что тогда вы будете понимать, чего ожидать от инструмента, какие возможности он дает и позволит вам не изобретать велосипедов.

Спасибо капитан, очень полезно.