No dockershim in k8s, what about security?

Громкая новость, что в kubernetes 1.20 будет выпилен dockershim как high-level runtime. Таким образом, к концу 2021 году всем необходимо будет перейти на cri-o или containerd.

Через некоторое время появляется страница в официальной документации k8s:

Don't Panic: Kubernetes and Docker

А чтобы разобраться, что это вообще такое, советую взглянуть на следующие материалы:

- How Container Runtimes matter in Kubernetes?
- Diving Deeper Into Runtimes: Kubernetes, CRI, and Shims

С точки зрения security советую вам посмотреть следующее видео:

Security Considerations for Container Runtimes

Если коротко, то мы первое, в чем выиграет безопасность, так это отсутствие CAP_NET_RAW в качестве capability, при этом сохраняется возможность делать ping внутри котейнера. Это должно решить проблему с CVE-2020-14386 и возможностью проведения MiTM атак.

#k8s #ops #docer

Доброй пятницы:)

#немоё

Ищем человечка себе в команду:
Go Infrastructure developer (Event/Metrics Platform)
писать можно мне в лс, если не хотите заходить через hh.

https://hh.ru/vacancy/40790095

http://4pda.ru/2020/12/08/379196/

спойлер: 549$ (43.000 рублей)

Тинькофф ищет в свою команду System Engineer!

Присоединяйся к сильнейшей финтех-команде Тинькофф.
Мы разрабатываем облачную платформу виртуальных рабочих мест WebOffice. Платформа дает возможность сотрудникам компании работать удаленно, без привязки к офисному рабочему месту. Внутри платформы мы их обучаем и мотивируем, организуем рабочие процессы и общение, контроль качества и геймификацию. Сегодня на платформе работает больше 11 500 удаленных сотрудников в режиме 24/7 и в пике создают нагрузку 4000 RPS + 5000 realtime соединений, обрабатывая больше 1.5 миллионов заявок в сутки.

Что будешь делать:
🔸 Участвовать в жизни проектов на всех его этапах — проектирование, разработка, внедрение, эксплуатация, обновление, улучшение
🔸 Автоматизировать и улучшать все процессы, связанные с обслуживанием систем и инфраструктуры
🔸 Обеспечивать бесперебойную работу сервисов, применять методики и подходы SRE
🔸 Обслуживать работающие системы, включая мониторинг как системных, так и бизнес метрик
🔸 Развивать текущие, тестировать и внедрять новые инфраструктурные решения

Круто, если у тебя есть:
🔸 Глубокие навыки и опыт администрирования ОС GNU/Linux, опыт администрирования Windows
🔸 Опыт работы с контейнерной виртуализацией Linux, наличие практического опыта работы с одним из средств оркестрации контейнеров (Kubernetes)
🔸 Знание и применение на практике актуальных концепций CI/CD, процессов и методологий разработки (TeamCity, Jenkins, Gitlab CI)
🔸 Понимание принципа Infrastructure as a Code и успешное применение с любой из систем управления конфигурациями (Ansible)
🔸 Опыт построения распределенных отказоустойчивых систем и эксплуатации систем резервного копирования
🔸 Опыт эксплуатации систем сбора логов (ELK) и систем мониторинга (Prometheus, Grafana, Zabbix, Nagios)

Что мы предлагаем:
🔸 Достойную твоего профессионального уровня зарплату.
🔸 Профессиональное развитие.
🔸 Возможность работать как в нашем уютном офисе, так и удаленно
🔸 Заботу о здоровье. Оформим полис ДМС со стоматологией и страховку от несчастных случаев.
🔸 Компенсацию фитнеса

Подробности вакансии — по ссылке!
Откликнуться на вакансию: k.golovatova@tinkoff.ru или @ksugolovatova

Ура воскресному колхозу! Не захотел платить 9к за шкафчик, собрал за 1700 из леруа и того что завалялось:) но наконец-то свою домашнюю «серверную» доделал. Делитесь в комментах что у вас дома интересного:)

1 полка - общий коммутатор на все устройства
2 полка верхний уровень - слева коммутатор с poe для камер, справа микротик - AP, VPN, маршрутизация внутренней сети
нижний уровень - трассир (видеорегистратор), справа провайдерский роутер.
3 полка - qnap хранилка и ИБП.

Вооооот. А еще я наклепал лабу по linux hardening... По большей части это компиляция из известных ресурсов, моего там практически нет. В целом это выглядит как чистый хахреднинг, но на самом деле он лежит в разделе про ansible, потому что тут довольно неплохие задачи которые позволят прокачать свои умения в этом продукте. Так шо объединяем приятное с полезным - инфраструктура как код и сесурити, шобы злобный хацкер не майнил бетховенов на вашем железе!

https://github.com/bykvaadm/OS/tree/master/devops/ansible/lab4

#linux #hardening #security #ansible

2020 унёс много хороших людей, вот и флеш зацепило

December 8, 2020
Today marks the final scheduled release of Flash Player for all regions outside of Mainland China. We want to take a moment to thank all of our customers and developers who have used and created amazing Flash Player content over the last two decades.  We are proud that Flash had a crucial role in evolving web content across animation, interactivity, audio, and video. We are excited to help lead the next era of digital experiences.
Adobe will no longer support Flash Player after December 31 2020, and Adobe will block Flash content from running in Flash Player beginning January 12 2021; Adobe strongly recommends all users immediately uninstall Flash Player to help protect their systems.  
Some users may continue to see reminders from Adobe to uninstall Flash Player from their system.  Please see our Flash Player EOL General Information page for more details and links to instructions for those that would like to uninstall Flash Player manually.

Вакансия Администратор Openshift

Куда? Bell Integrator
Территориально: На время пандемии удалёнка, далее м. Кутузовская
Как платим? до 180 000 net, официальное оформление по ТК и белая зп.
Контакты: hr@bellintegrator.ru telegram: @movsesova

Проект: Миграция системы ДБО на новую Бэк-офисную платформу банка
- разработка бизнес-приложений (продуктовых фабрик) на микросервисной архитектуре;
- разработка нового синхронного интеграционного модуля;
- перенос функциональности старой системы ДБО на новую архитектуру.

Задачи:
- Поддержка администраторов тестовых стендов, оказание консультаций по Openshift

Требования:
- знание Linux на уровне администратора;
- опыт конфигурирования, эксплуатации OpenShift, знание его архитектурных компонентов;
- опыт конфигурирования Istio, знание его архитектуры и компонентов;
- знание сетевых технологий и протоколов;
- опыт по автоматизации работы с помощью Bash, Ansible, Python.

#вакансия

Ну, все сказали и я тоже скажу. Гуголя прилёг: https://www.google.com/appsstatus#hl=en&v=status

проблемы по всему миру, не только в РФ, и самое печальное - ютубчик!!!

Время было вечером, делать было нечего...

Родилась задача на интерес, как с помощью баша и встроенных утилит создать как можно быстрее большое количество файлов.

Дано: у вас чистая система, никакой преподготовки.
Задача: создать как можно быстрее 10000 пустых файлов с именами 1, 2, 3 ... 10000.
Ограничения: нельзя пользоваться никакими яп кроме баша и встроенных утилит.

Пока моя мысль пришла к следующим экспериментам:
1) for i=1;i<n;i++ ... touch $i
Это самый простой и самый долгий вариант порядка 11 секунд
2) а=for i=1;i<n;i++... ; touch $a
За счет того что мы делаем гораздо меньше контекстных переключений для сисколлов, скорость создания увеличивается до 3секунд.

Пишите в комментах свои идеи о том как еще быстрее можно создать 10к файлов:)

#мучаеммозги

Ищем DevOps специалиста на проект

Компания: NZT group
Город и адрес офиса: Москва, Баррикадная
Формат работы: офис / удаленно / проектная занятость
Занятость: полная / частичная / проектная
Зарплатная вилка: от 150 000 до 250 000 net на full time / договорная при проектной занятости

Описание вакансии:
Нужна помощь по настройке хостингов в Китае. Наш продукт - приложение, которое отправляет с материкового Китая в Гонконг поток изображений и возвращает обратно решение нейросети.
Основной челлендж - максимально оптимизировать время отклика между нашим сервером и мобильным устройством на территории материкового Китая.

Обязанности:
• Мониторинг и сопровождение dev, stage, prod инфраструктур (aws, docker, kubernetes - будет плюсом)
• Внедрения и сопровождение инструментов мониторинга и автоматизации процессов
• Решение проблем при сбоях в системе
• Взаимодействие с командой разработчиков и других Dev-Ops инженеров

Требования:
• Опыт в роли DevOps инженера, автоматизация процессов сборки/тестирования/развертывания) - от 2-х лет
• Опыт использования CI/CD практик
• Опыт разработки на любом скриптовом языке программирования
• Отличные аналитические навыки
• Готовность заниматься продвижением CD практик
• Опыт программирования на Python.

Контакты: Анастасия
8 916 790 42 47
Telegram @bettygun

#вакансия

Волшебная история о том как сменить ip в камерах от trassir...

купил я тут себе пару камер в коридор. видеорегистратор трассир, камеры трассир, казалось бы что может быть сложнее? воткнул в пое, назначил ip адреса, подцепил в тра.... стоп стоп стоп. Назначил адреса? так просто? нет, мой дорогой, пятничный друг! нельзя так просто взять и назначить адрес! камера эта из коробки работает сразу по статике - 192.168.1.188. Ну то есть представим что ты вскрываешь новую камеру, а ноутбука под рукой нет и дальше как в анекдоте define true=false //удачной отладки, суки!. Ну ок, мы не гордые адрес то можем сменить на ноуте, зашли к камере в веб морду и тут такой кайф! после polyvision интерфейс камер трассира будто бы писала не узкоглазая блядь, а вполне такой себе мудрый пожилой китаец. Просмотр картинки правда требует флеша (флеш жив!), но мы сюда не за этим пришли, переживём. вольяжным движением по трекпаду ведем курсор к настройкам ip адреса и вбиваем заветные цыферки. Осталось только нажать сохранить, такая красивая, голубая кнопка под формой (а звёзды манят, да). Скорее же жмякнем на кнопку и отвалимся в кресле с чувством выполненного долга, чувствуя наступившее расслабление и удовлетворение...

Но что же это, постойте? всплывающее окно посмело прервать негу господина, царя и б-га этой камеры - Системного Администратора. Прищурив взгляд я уставился на древний манускрипт (это сейчас я знаю что веб страничка написана под IE9, для красного словца не повредит). И сказано было в пророчестве "проверяйте внимательно новый адрес камеры, иначе беда, засуха, неуражаи.... А потом просто редирект на новый ip и неожиданно... нет связи? ждать... ждать??? ждать!? каждая секунда тянулась словно вечность - ведь я не мог ошибиться. ведь не могут люди сделать ошибку в 4 октетах, это просто камера долго грузится. Но реальность была такова что камера адрес менять не собиралась....

В общем не буду ходить вокруг да около, проблема была в том что post запрос на смену адреса содержал пустое поле с параметрами:  --data-raw ''. Полазив с инспектором по форме и пособирав имена параметров я сформировал правильный запрос и курлонул (🐦 ) в камеру запрос с такими параметрами:

--data-raw 'root_Network_IPAddress=192.168.12.34&root_Network_SubnetMask=255.255.255.0&root_Network_DefaultRouter=192.168.12.1&root_Network_DNS=8.8.8.8&action=modify'

И о чудо... на запрос мне конечно никто не ответил, но по новому адресу меня уже ждала она... камера!

#trassir

Для тех кому "очень интересно, но ничего не понятно":

1) зайти в интерфейс камеры
2) ввести параметры ip адреса которые вы хотите (а можно вообще любые, все равно он их не хавает)
3) найти post запрос и скопировать как curl или модифицировать в браузере и отослать
4) в любом случае --data-raw '' заменить на адекватное значение, пример которого в предыдущем посте

#trassir
4)

​​Банк ВТБ проходит этап цифровой трансформации и в поиске опытных специалистов в Москве и Новосибирске:

Москва
DevOps специалист (https://www.vtbcareer.com/vacancy/landing/devops-specialis/?code=cpa_telegram_bukva&utm_source=telegram_bukva&utm_medium=cpa&utm_campaign=telegram_bukva)

Новосибирск
DevOps и администрирование (https://www.vtbcareer.com/vacancy/804103/?code=cpa_telegram_bukva&utm_source=telegram_bukva&utm_medium=cpa&utm_campaign=telegram_bukva)

Что нужно делать:

Развивать

- построение и сопровождение конвейера непрерывной интеграции\поставки программного обеспечения;
- развертывание и поддержка программных продуктов для разработки, тестирования и развёртывания (DevOps);
- обеспечение работоспособности прикладных сервисов;
- использование технологии контейнеризации (docker, runc) и платформы контейнеризации (open shift, kubernetes);

Отслеживать

- работа с системами мониторинга IT-процессов (zabbix, SCOM, HP OpenView, Grafana, Prometheus);

Что потребуется

- опыт внедрения программного обеспечения и понимание процессов развертывания ПО;
- опыт работы с Linux / Windows системами;
- опыт создания Bash или PowerShell скриптов;
- опыт администрирования Kafka или RabbitMQ/AMQ;
- знание систем управления конфигурацией (Ansible, Chef, etc.);
- знание технологий контейнеризации и платформ контейнеризации;
- понимание принципов CI/CD;
- опыт работы с docker, kubernetes, openshif, а также с Gitlab, Jenkins, Nexus, Teamcity;
- опыт работы по настройке систем мониторинга.

Оставляйте отклик и присоединяйтесь к команде, которая создает банк будущего для миллионов людей!

#вакансия