How We Shrunk a Kubernetes Sidecar from 421MB to 90MB (With No OS Inside)

В этой статье рассказывается, как уменьшить размер контейнера sidecar в Kubernetes с 421 МБ до 90 МБ, создав статически связанный двоичный файл на Go и используя базовый образ FROM scratch.

📌 Подробнее: https://medium.com/@soumya-rout/how-we-shrunk-a-kubernetes-sidecar-from-421mb-to-90mb-with-no-os-inside-8757eaefc3ed

MemOps 🤨

MemOps 😃

Wozz — инструмент для оптимизации затрат в Kubernetes, который выявляет дорогостоящие изменения в ресурсах до их объединения.

📌 Подробнее: https://github.com/WozzHQ/wozz

MemOps 🤨

MemOps 😃

Kyverno killed my API Server. Again.

📌 Подробнее: https://blog.zwindler.fr/en/2026/02/26/kyverno-killed-my-api-server.-again./

MemOps 🤨

MemOps 😃

XPipe - новый тип концентратора подключений к оболочке и удалённого файлового менеджера, который позволяет получить доступ ко всей вашей серверной инфраструктуре с локального компьютера. Он работает поверх установленных программ командной строки и не требует какой-либо настройки на удалённых системах. Поэтому, если вы обычно используете инструменты командной строки, такие как SSH, Docker, Kubectl и т. д., для подключения к серверам вы можете просто использовать XPipe поверх него.

XPipe полностью интегрируется с вашими инструментами, такими как ваши любимые текстовые редакторы/редакторы кода, терминалы, оболочки, инструменты командной строки и многое другое. Платформа разработана с учётом возможности расширения, что позволяет любому пользователю легко добавлять поддержку дополнительных инструментов или реализовывать собственные функции с помощью модульной системы расширений.

Поддерживает:
- SSH-подключения, файлы конфигурации и туннели
- контейнеры Docker, Podman, LXD и incus
- виртуальные машины и контейнеры Proxmox PVE
- виртуальные машины Hyper-V, KVM, VMware Player/Workstation/Fusion
- кластеры, модули и контейнеры Kubernetes
- соединения Tailscale и Teleport
- подсистема Windows для сред Linux, Cygwin и MSYS2
- удаленные сеансы Powershell
- RDP и VNC-подключения

📌 Подробнее: https://github.com/xpipe-io/xpipe

MemOps 🤨

MemOps 😃

Upgrade AWS CSI Drivers in your Multi-Tenant Kubernetes Cluster

Короткая история из 2025, которая рассказывает как DaemonSet с неочевидными правами в ServiceAccount способен свести на нет multi-tenancy на базе node isolation. В общем, хороший урок о важности анализировать права в RBAC.

📌 Подробнее: https://soc-inspiration.medium.com/upgrade-aws-csi-drivers-in-your-multi-tenant-kubernetes-cluster-a2cbc47e47f8

MemOps 🤨

MemOps 😃

Bruno — это новый, современный и удобный инструмент для работы с API. В отличие от Postman и аналогов, Bruno хранит все данные локально в виде обычных файлов и папок, что позволяет легко версионировать их с помощью Git.

Основные особенности:
- Локальное хранение данных без облака
- Полная совместимость с Git
- Высокая производительность и минималистичный интерфейс
- Открытый исходный код

📌 Подробнее: https://github.com/usebruno/bruno

MemOps 🤨

MemOps 😃

В Kata Containers раскрыта критическая уязвимость CVE-2026-24834, позволяющая пользователю контейнера получить выполнение произвольного кода с правами root внутри guest microVM. Проблема возникает из-за взаимодействия runtime с Cloud Hypervisor, где контейнер может модифицировать файловую систему, используемую гостевой VM. Для эксплуатации уязвимости необходима capability CAP_MKNOD.

Таким образом, злоумышленник из контейнера способен повысить привилегии внутри виртуальной машины и фактически полностью контролировать guest окружение. При этом на текущий момент считается, что уязвимость не позволяет выйти на хост или повлиять на другие контейнеры и VM на том же сервере.

Уязвимость имеет оценку 8.8 по CVSS v3 и затрагивает версии Kata Containers ниже 3.27.0; исправление уже выпущено в релизе 3.27.0.

📌 Подробнее: https://github.com/kata-containers/kata-containers/security/advisories/GHSA-wwj6-vghv-5p64

MemOps 🤨

MemOps 😃

Before You Migrate: Five Surprising Ingress-NGINX Behaviors You Need to Know

Как было объявлено в ноябре 2025 года, Kubernetes прекратит поддержку Ingress-NGINX в марте 2026 года. Несмотря на широкое распространение, Ingress-NGINX полон неожиданных настроек по умолчанию и побочных эффектов, которые, вероятно, присутствуют в вашем кластере уже сегодня. В этом блоге рассматриваются эти особенности поведения, чтобы вы могли безопасно перейти на другой сервис и принять осознанное решение о том, какие функции следует сохранить. В этой статье также сравнивается Ingress-NGINX с Gateway API и показано, как сохранить поведение Ingress-NGINX в Gateway API. Повторяющаяся схема рисков в каждом разделе одинакова: кажущийся правильным перевод может привести к сбоям, если он не учитывает особенности Ingress-NGINX.

Я предполагаю, что вы, читатель, знакомы с Ingress-NGINX и Ingress API. В большинстве примеров в качестве бэкенда используется httpbin.

Также обратите внимание, что Ingress-NGINX и NGINX Ingress — это два отдельных контроллера Ingress. Ingress-NGINX — это контроллер Ingress, поддерживаемый и управляемый сообществом Kubernetes, который будет выведен из эксплуатации в марте 2026 года. NGINX Ingress — это контроллер Ingress от F5. Оба используют NGINX в качестве плоскости данных, но в остальном не связаны между собой. В дальнейшем в этой статье будет обсуждаться только Ingress-NGINX.

📌 Подробнее: https://kubernetes.io/blog/2026/02/27/ingress-nginx-before-you-migrate

MemOps 🤨