SM
Шо эт?
Size: a a a
2020 November 28
S
Точнее так - он крут, но если приложение не использует эффективно все эти "много медленных коров" то получается плохо
S
Свежие Epyc у нас часто без причины зависали, лечили обновлениями биосов. Раз помагало, раз нет. Не хочется даже потенциально проходить это еще раз.
NZ
Ребят, пардон - немного оффтоп :) но тут мне часто советом помогали, поэтому спрошу :) Хардварный вопросик. Под некритическую базу постгреса и эластика выбирается проц: i9-9900K или Xeon E-2176G (остальные компоненты более менее одинаковые - с ними вопросов нет). Машин будет с 10ок, хочется в одной конфигурации брать. Некритичная база это такая при которой ECC Ram мне не сильно важен - важна скорость работы больше чем безопасность данных при краше.
i
Точнее так - он крут, но если приложение не использует эффективно все эти "много медленных коров" то получается плохо
Ну как бы с zen2 начиная там ядра пошустрее интеловских
i
Свежие Epyc у нас часто без причины зависали, лечили обновлениями биосов. Раз помагало, раз нет. Не хочется даже потенциально проходить это еще раз.
А вот это вообще никак с процом не связано, какие-то матери кривые взяли
2020 November 30
c
Добрый вечер, кто может подсказать плиз:
- Секреты хранятся в Hashicrop Vault
- Usecase: проброс секретов в куберовые поды с помощью vault-sidecar-injector
Для этого использутеся service-account, который авторизирован в Vault и для него существует некая policy?
Если злоумышленник получил доступ к kubectl, как защититься от следующей атаки:
- Злоумышленник парсит все аннотации деплойментов в кластере на наличие:
как этого избежать?
- Секреты хранятся в Hashicrop Vault
- Usecase: проброс секретов в куберовые поды с помощью vault-sidecar-injector
Для этого использутеся service-account, который авторизирован в Vault и для него существует некая policy?
Если злоумышленник получил доступ к kubectl, как защититься от следующей атаки:
- Злоумышленник парсит все аннотации деплойментов в кластере на наличие:
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/agent-init-first: "true"
vault.hashicorp.com/role: "product-user"
- Далее злоумышленник находит связанный service account и создает скрипт, который по всем неймспейсам парсит сервис аккаунты, парсит связанные с ними секреты в аннотациях деплоймента и получает все интересующей секреты в виде файлов внутри злого контейнера?как этого избежать?
c
звучит как бред сумащешего, понимаю, но если кто понял, буду признателен советам
c
или если есть доступ к kubectl - уже не защититься и это другая проблема
а vault решает проблему хранения секретов в гите
а vault решает проблему хранения секретов в гите
SM
совет один, не раскидывайся доступами, и отзывай, если скомпрометированы
SM
AD
API кубера не надо в интернет выставлять плюс RBAC
AD
под RBAC понимается что даже если есть доступ к API (читай kubectl) то все равно нет доступа к чему не нужно
c
или если есть доступ к kubectl - уже не защититься и это другая проблема
а vault решает проблему хранения секретов в гите
а vault решает проблему хранения секретов в гите
> или если есть доступ к kubectl - уже не защититься и это другая проблема
this. Если у тебя уже админ доступ скомпрометирован, то защищайся - не защищайся
если корневой токен волта проимеешь будет тоже самое.
this. Если у тебя уже админ доступ скомпрометирован, то защищайся - не защищайся
если корневой токен волта проимеешь будет тоже самое.
ac
в логах vault такая вот шляпа Get "https://10.34.80.51:8501/v1/kv/vault/auth/bc75a38c-a098-19a6-f63c-004b14616677/config/tidy/roletag-blacklist": context deadline exceeded
ac
была проблема с отсутствием роли iam:GetInstanceProfile решил и теперь такая вот шляпа и в запросе авторизации курлом
* We are completely uploaded and fine
* We are completely uploaded and fine
ac
@andrey9kin может сможешь хелпануть?)
ac
Upd также ругается на GetInstanceProfile
KP
Кто-нибудь использовал vault nomad secret engine с самоподписными сертификатами? Есть вот такая проблема: https://github.com/hashicorp/vault/issues/10462