Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Unpatchable Vulnerabilities of Kubernetes: CVE-2020-8562 – очередная статья про unpatchable CVE в Kubernetes. Речь о баге в API server proxy, который позволяет обойти защитные фильтры и обращаться к внутренним сервисам кластера через SSRF подобную атаку.
Kubernetes дважды резолвит DNS (для проверки и для запроса), и атакующий может подменить ответ между этими шагами. Это дает возможность обходить ограничения и получать доступ к чувствительным ресурсам вроде localhost или metadata сервисов через DNS rebinding.
Эксплуатация требует повышенных прав (например, создание Node и доступ к proxy). Полностью устранить проблему нельзя — только снизить риски (например, через минимальный TTL DNS или Konnectivity).
📌 Подробнее: https://securitylabs.datadoghq.com/articles/unpatchable-kubernetes-vulnerabilities-cve-2020-8562/
MemOps🤨
Kubernetes дважды резолвит DNS (для проверки и для запроса), и атакующий может подменить ответ между этими шагами. Это дает возможность обходить ограничения и получать доступ к чувствительным ресурсам вроде localhost или metadata сервисов через DNS rebinding.
Эксплуатация требует повышенных прав (например, создание Node и доступ к proxy). Полностью устранить проблему нельзя — только снизить риски (например, через минимальный TTL DNS или Konnectivity).
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Неочевидные оптимизации Iceberg таблиц
Вы спросите: а при чем тут мониторинг и Iceberg? А при том, что в таких системах как Apache Iceberg или Delta Lake можно эффективно хранить Observability-данные. При этом, конечно, правильно все настроив.
📌 Подробнее: https://habr.com/ru/articles/1013956/
MemOps🤨
Iceberg становится де-факто отраслевым стандартом при построении lakehouse в России. Для сравнения, на последней конференции smart-data, Iceberg по частоте упоминания уступает только Spark. Это значит, что уверенное владение механикой работы Iceberg становится обязательным навыком для инженеров данных и платформенных команд.
Вы спросите: а при чем тут мониторинг и Iceberg? А при том, что в таких системах как Apache Iceberg или Delta Lake можно эффективно хранить Observability-данные. При этом, конечно, правильно все настроив.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
webdav - простой и автономный сервер WebDAV.
Поддерживает запуск в контейнере, CORS, fail2ban и работу через proxy сервера.
📌 Подробнее: https://github.com/hacdias/webdav
MemOps🤨
Поддерживает запуск в контейнере, CORS, fail2ban и работу через proxy сервера.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - hacdias/webdav: A simple and standalone WebDAV server.
A simple and standalone WebDAV server. Contribute to hacdias/webdav development by creating an account on GitHub.
👍2
Доклад "Lateral Movements in Kubernetes" от исследователя из Microsoft c RSA Conference 2023.
Доклад будет полезен как пентестерам, так и специалистам SOC, да и вообще всем кто защищает кластера Kubernetes.
📌 Подробнее: https://www.youtube.com/watch?v=1rmg2QfLJtY
MemOps🤨
Доклад будет полезен как пентестерам, так и специалистам SOC, да и вообще всем кто защищает кластера Kubernetes.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Lateral Movements in Kubernetes
Presenter: Yossi Weizman, Senior Security Researcher, Microsoft
As Kubernetes clusters usually reside in the cloud, access to a container in the cluster can be a foothold to the entire cloud workload. In this session we will dive into Kubernetes lateral…
As Kubernetes clusters usually reside in the cloud, access to a container in the cluster can be a foothold to the entire cloud workload. In this session we will dive into Kubernetes lateral…
Как установить и настроить kubectl на Linux
kubectl - это CLI-инструмент для взаимодействия с кластерами Kubernetes. Независимо от того, управляете ли вы контейнерами, деплоите приложения или устраняете проблемы в кластере, kubectl является вашим основным интерфейсом для работы с API-сервером K8s.
📌 Подробнее: https://kubezilla.io/how-to-install-and-set-up-kubectl-on-linux/
MemOps🤨
kubectl - это CLI-инструмент для взаимодействия с кластерами Kubernetes. Независимо от того, управляете ли вы контейнерами, деплоите приложения или устраняете проблемы в кластере, kubectl является вашим основным интерфейсом для работы с API-сервером K8s.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Kubernetes v1.36: Memory QoS защищает память по уровням — Guaranteed, Burstable и BestEffort
В Kubernetes v1.36 обновлён механизм Memory QoS на узлах с cgroup v2. Раньше ядро не знало о «зарезервированной» памяти подов, и под с requests терял память так же легко, как и под без запросов. Теперь защита назначается по уровням в зависимости от QoS-класса пода.
Как работает TieredReservation
— Guaranteed-поды получают
— Burstable-поды получают
— BestEffort-поды не получают защиты.
Для Burstable-подов kubelet также выставляет
Как включить
Фича в alpha, по умолчанию выключена. Включается feature gate
Требования
Linux с cgroup v2 и ядро 5.9 или выше. На старых ядрах присутствует баг (зависание процесса вместо движения к OOM kill). Поддержка со стороны containerd или CRI-O обязательна.
В отличие от предыдущих попыток (v1.27), в v1.36 добавлены метрики на уровне ноды, механизм отката и возможность тонкой настройки. Логика выставления memory.min исправлена: при requests = 0 значение сбрасывается в 0 явно.
📌 Подробнее: https://kubernetes.io/blog/2026/04/29/kubernetes-v1-36-memory-qos-tiered-protection/
MemOps🤨
В Kubernetes v1.36 обновлён механизм Memory QoS на узлах с cgroup v2. Раньше ядро не знало о «зарезервированной» памяти подов, и под с requests терял память так же легко, как и под без запросов. Теперь защита назначается по уровням в зависимости от QoS-класса пода.
Как работает TieredReservation
— Guaranteed-поды получают
memory.min = requests. Ядро гарантирует эту память безусловно.— Burstable-поды получают
memory.low = requests. Ядро постарается сохранить эту память, но при сильном давлении может забрать.— BestEffort-поды не получают защиты.
Для Burstable-подов kubelet также выставляет
memory.high = requests + 0.9 * (limits - requests), давая 10% буфер до жёсткого лимита memory.max. При превышении порога начинается троттлинг, предотвращая резкий OOM kill.Как включить
Фича в alpha, по умолчанию выключена. Включается feature gate
MemoryQoS: true в конфигурации kubelet. Можно дополнительно настроить memoryReservationPolicy и memoryThrottlingFactor.Требования
Linux с cgroup v2 и ядро 5.9 или выше. На старых ядрах присутствует баг (зависание процесса вместо движения к OOM kill). Поддержка со стороны containerd или CRI-O обязательна.
В отличие от предыдущих попыток (v1.27), в v1.36 добавлены метрики на уровне ноды, механизм отката и возможность тонкой настройки. Логика выставления memory.min исправлена: при requests = 0 значение сбрасывается в 0 явно.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Kubernetes
Kubernetes v1.36: Tiered Memory Protection with Memory QoS
On behalf of SIG Node, we are pleased to announce updates to the Memory QoS feature (alpha) in Kubernetes v1.36. Memory QoS uses the cgroup v2 memory controller to give the kernel better guidance on how to treat container memory. It was first introduced in…
👍3
aibrix
📌 Подробнее: https://github.com/vllm-project/aibrix
MemOps🤨
Экономически эффективные и подключаемые компоненты инфраструктуры для вывода результатов искусственного интеллекта.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - vllm-project/aibrix: Cost-efficient and pluggable Infrastructure components for GenAI inference
Cost-efficient and pluggable Infrastructure components for GenAI inference - vllm-project/aibrix