В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

K8Spb

481 membersпожаловаться на группу
2019 September 23

AS

Alexander Shinkarenko in K8Spb
Aleksey Shirokikh
меняю аннотацию в values.yaml 
  annotations: 
#    kubernetes.io/ingress.class: nginx
#    nginx.ingress.kubernetes.io/proxy-next-upstream: 'error timeout invalid_header http_500 http_502 http_503 http_504'
    kubernetes.io/ingress.class: traefik

helm говорит 
history.go:52: [debug] getting history for release my-release
upgrade.go:79: [debug] preparing upgrade for my-release
upgrade.go:337: [debug] copying values from my-release (v7) to new release.
upgrade.go:88: [debug] creating upgraded release for my-release
upgrade.go:94: [debug] performing update for my-release
client.go:140: [debug] checking 5 resources for changes
wait.go:50: [debug] beginning wait for 5 resources with timeout of 5m0s
upgrade.go:101: [debug] updating status for upgraded release for my-release

и ingress остаётся с тем что закомментировано
А если с --recreate-pods ?
источник
12:48пожаловаться#1

AS

Aleksey Shirokikh in K8Spb
Дак я даже удаляю
источник
12:48пожаловаться#2

PR

Paul Rudnitskiy in K8Spb
helm - это вещь, которую я, видимо, никогда не пойму)
источник
12:48пожаловаться#3

AS

Aleksey Shirokikh in K8Spb
Но дело на в подах а в ингрессе
источник
12:49пожаловаться#4

N

Nklya in K8Spb
https://speakerdeck.com/iancoldwater/the-path-less-traveled-abusing-kubernetes-defaults
Speaker Deck
The Path Less Traveled: Abusing Kubernetes Defaults
Kubernetes is a container orchestration framework that is increasingly widely used in enterprise and elsewhere. While the industry is starting to pay some attention to Kubernetes security, there are many attack paths that aren’t well-documented, and are rarely discussed. This lack of information can make your clusters vulnerable.

In this live demonstration-filled talk presented at Black Hat USA 2019, Ian Coldwater and Duffie Cooley walk through the Kubernetes control plane before using sigs.k8s.io/kind to show some of the attack surface exposed by a default configuration of Kubernetes. There will be multiple exploits, including cluster takeovers and host escapes. We’ll show you mitigations, and then show you how to get around those.

The audience will walk away from this talk with a better understanding of Kubernetes’ default attack surface, how it can be exploited, and how to keep their clusters safer.
источник
12:53пожаловаться#5

VR

Vadim Rutkovsky in K8Spb
Nklya
https://speakerdeck.com/iancoldwater/the-path-less-traveled-abusing-kubernetes-defaults
Speaker Deck
The Path Less Traveled: Abusing Kubernetes Defaults
Kubernetes is a container orchestration framework that is increasingly widely used in enterprise and elsewhere. While the industry is starting to pay some attention to Kubernetes security, there are many attack paths that aren’t well-documented, and are rarely discussed. This lack of information can make your clusters vulnerable.

In this live demonstration-filled talk presented at Black Hat USA 2019, Ian Coldwater and Duffie Cooley walk through the Kubernetes control plane before using sigs.k8s.io/kind to show some of the attack surface exposed by a default configuration of Kubernetes. There will be multiple exploits, including cluster takeovers and host escapes. We’ll show you mitigations, and then show you how to get around those.

The audience will walk away from this talk with a better understanding of Kubernetes’ default attack surface, how it can be exploited, and how to keep their clusters safer.
>don't run kubelet on control plane nodes
о да, только вот никто так не делает
источник
12:57пожаловаться#6

AS

Alexander Shinkarenko in K8Spb
Vadim Rutkovsky
>don't run kubelet on control plane nodes
о да, только вот никто так не делает
Managed в облаках форсит это дело )
источник
12:59пожаловаться#7

VR

Vadim Rutkovsky in K8Spb
Alexander Shinkarenko
Managed в облаках форсит это дело )
нет
источник
12:59пожаловаться#8

VR

Vadim Rutkovsky in K8Spb
там нужны метрики, которые удобнее снимать когда контролплейн в контейнерах
источник
12:59пожаловаться#9

VR

Vadim Rutkovsky in K8Spb
а ими удобнее управлять кубелетом
источник
12:59пожаловаться#10

VR

Vadim Rutkovsky in K8Spb
а hostPath и прочие штуки лимитируются PSP
источник
13:00пожаловаться#11

AS

Alexander Shinkarenko in K8Spb
Vadim Rutkovsky
там нужны метрики, которые удобнее снимать когда контролплейн в контейнерах
Ну Амазон норм снимает метрики и логи для неконтейнерезированных managed сервисов, так что вполне.

Я сам то наверняка не знаю. Просто думал что если есть какая практика по безопасности, то в облаках это явно могут форсить. Они же там сертифицируются на безопасность.
источник
13:04пожаловаться#12

VR

Vadim Rutkovsky in K8Spb
>Я сам то наверняка не знаю
спасибо за ваше ценное мнение
источник
13:05пожаловаться#13

AS

Alexander Shinkarenko in K8Spb
Vadim Rutkovsky
>Я сам то наверняка не знаю
спасибо за ваше ценное мнение
А ты правда знаешь как устроены внутри Control plane EKS, GKE, AKS?
источник
13:26пожаловаться#14

VR

Vadim Rutkovsky in K8Spb
Alexander Shinkarenko
А ты правда знаешь как устроены внутри Control plane EKS, GKE, AKS?
https://thenewstack.io/how-google-turned-kubernetes-into-a-control-plane-to-manage-gcp-resources/
The New Stack
How Google Turned Kubernetes into a Control Plane to Manage GCP Resources
Almost a year ago, I wrote an article highlighting the transformation of Kubernetes into a universal control plane. The cloud native community has been making steady progress in that direction. The maturity of Custom Resource Definitions (CRDs) made it possible to bring external resource management into the Kubernetes fold. The Virtual Kubelet project from Microsoft…
источник
13:28пожаловаться#15

VR

Vadim Rutkovsky in K8Spb
https://docs.aws.amazon.com/eks/latest/userguide/clusters.html
Amazon
Amazon EKS Clusters - Amazon EKS
An Amazon EKS cluster consists of two primary components:
источник
13:29пожаловаться#16

AS

Alexander Shinkarenko in K8Spb
Vadim Rutkovsky
https://docs.aws.amazon.com/eks/latest/userguide/clusters.html
Amazon
Amazon EKS Clusters - Amazon EKS
An Amazon EKS cluster consists of two primary components:
В воркшопе по EKS на Control planе никакого kubelet нет:
https://eksworkshop.com/introduction/architecture/architecture_control_and_data_overview/
https://eksworkshop.com/introduction/architecture/architecture_control/

Твои ссылки вообще более высокоуровневые для пользователей и там этот аспект не раскрыт

В твоей ссылке про GCE только "The Virtual Kubelet project from Microsoft" находится по поиску kubelet
Eksworkshop
Amazon EKS Workshop
источник
13:36пожаловаться#17

MF

Maxim Filatov in K8Spb
так вопрос же про control plane был
источник
13:51пожаловаться#18

MF

Maxim Filatov in K8Spb
при чём тут кубелет?
источник
13:52пожаловаться#19

N

Nklya in K8Spb
Потому что началось с него
источник
13:53пожаловаться#20