Kubernetes security fundamentals: Networking

📌 Подробнее:
https://securitylabs.datadoghq.com/articles/kubernetes-security-fundamentals-part-6

MemOps 🤨

MemOps 😃

K8sQuest - это локальный симулятор для обучения Kubernetes через практику. Игроки решают 50 задач по отладке (Pods, Networking, RBAC) на кластерах kind или k3d. Платформа бесплатна, не требует облаков и включает систему опыта (XP), подсказки и разборы реальных инцидентов.

В пятом и последнем разделе есть немного задачек по безопасности, связанные с:
- RBAC (ServiceAccounts, Roles, RoleBindings)
- SecurityContext, Pod Security Standards (restricted)
- ResourceQuotas, NetworkPolicies, node scheduling
- Taints/Tolerations, PodDisruptionBudgets, PriorityClass

📌 Подробнее: https://github.com/Manoj-engineer/k8squest

MemOps 🤨

MemOps 😃

How we cut Kubernetes costs by ~60% for Feature Environments with KEDA and Prometheus

📌 Подробнее: https://pierreraffa.medium.com/reducing-feature-environment-costs-with-keda-and-prometheus-in-kubernetes-307d0dcc3264

MemOps 🤨

Построение CI/CD-фреймворка MLOps уровня Enterprise (MLflow + Kubeflow)

Разработка MLOps-фреймворка в масштабах предприятия — непростая задача. Она требует интеграции множества компонентов: обработки данных, экспериментов, мониторинга и CI/CD. В этом посте рассказывается, как объединить MLflow, Kubeflow, Seldon Core, GitHub Actions и другие инструменты для построения полноценного MLOps-пайплайна.

Архитектура

Архитектура построена на:

- MLflow — для логирования и управления экспериментами
- Kubeflow Pipelines — для оркестрации пайплайнов
- Seldon Core — для деплоя моделей в Kubernetes
- MinIO — объектное хранилище для артефактов
- GitHub Actions — для CI/CD
- Prometheus + Grafana — мониторинг моделей

Компоненты развернуты в Kubernetes-кластере с использованием Helm.

Поток разработки

1. Подготовка данных — скрипты ETL обрабатывают сырые данные и сохраняют в MinIO.
2. Обучение модели — тренинг происходит в Kubeflow, результаты логируются в MLflow.
3. Тестирование и валидация — автоматизированные проверки модели.
4. CI/CD — GitHub Actions запускает пайплайны при изменении кода или модели.
5. Деплой — модель деплоится через Seldon Core, становится доступной по REST/gRPC.
6. Мониторинг — метрики поступают в Prometheus и отображаются в Grafana.

Преимущества подхода

- Реплицируемость и трассировка экспериментов
- Централизованное хранилище артефактов
- Автоматизация развёртывания моделей
- Мониторинг производительности и дрифта

Заключение

Такой фреймворк обеспечивает устойчивую MLOps-инфраструктуру, подходящую как для небольших команд, так и для крупных корпораций. Он позволяет быстрее и безопаснее доставлять ML-модели в продакшен.

📌 Подробнее: https://rkmaven.medium.com/building-an-enterprise-level-mlops-ci-cd-framework-mlflow-kubeflow-fb1cdd1f74fc

MemOps 🤨

MemOps 😃

🐳 Docker Hardened Images (DHI) теперь бесплатны

Docker объявил о бесплатном доступе к более 1000 образов, включая Alpine, Debian, базы данных и среды выполнения.

Это снижает линию безопасности: ниже этой линии уязвимости управляются Docker, выше — вашей командой. Когда сканер находит проблему в слое DHI, это не требует действий от вас. Всё, что выше базового образа, остаётся вашей зоной ответственности.

DHI защищает не только от CVE. Community-образы несут риски компрометации учётных записей, вредоносных инъекций через перезапись тегов. DHI создаются из контролируемого namespace с процессами проверки, что изолирует от целого класса атак.

📌 Подробнее: https://www.docker.com/blog/hardened-images-free-now-what/

MemOps 🤨

MemOps 😃

helm-unittest

Модульное тестирование Helm-чартов в YAML для обеспечения единообразия и надежности чартов

📌 Подробнее: https://github.com/helm-unittest/helm-unittest

MemOps 🤨

MemOps 😃

You probably don't need Oh My Zsh

Oh My Zsh по-прежнему часто рекомендуют. Основная проблема Oh My Zsh в том, что он добавляет много ненужного кода, что влияет на время запуска оболочки. Поскольку Oh My Zsh написан на языке shell-скриптов, каждый раз, когда вы открываете новую вкладку в терминале, ему приходится интерпретировать все эти скрипты. Скорее всего, Oh My Zsh вам вообще не нужен.

📌 Подробнее: https://rushter.com/blog/zsh-shell

MemOps 🤨

MemOps 😃

kaniko

Яндекс Переводчик
kaniko — это инструмент для создания образов контейнеров на основе Dockerfile внутри контейнера или кластера Kubernetes. Это поддерживаемая замена оригинального репозитория GoogleContainerTools/kaniko, который был заархивирован в июне 2025 года.

📌 Подробнее: https://github.com/chainguard-forks/kaniko

MemOps 🤨

MemOps 😃

I Cannot SSH Into My Server Anymore (And That’s Fine)

📌 Подробнее: https://soap.coffee/~lthms/posts/i-cannot-ssh-into-my-server-anymore.html

MemOps 🤨