Блогпост о том, как использовать HAProxy в качестве ingress-controller для Kubernetes. С примерами конфигурации

https://www.haproxy.com/blog/haproxy_ingress_controller_for_kubernetes/

#haproxy #kubernetes

Дайджест Украинских ДевОпсов подводит итоги уходящего года.

Я никаких итогов не подвожу. Просто хочу поздравить вас с без пары часов 2018-м. Не роняйте ничего в новом году!

Пора бы уже из новогоднего угара вливаться в рабочий поток

Кстати, ещё раз о списках и итогах года:

OpenNET подвёл итоги 2017 поважным событиям мира открытого ПО и смежных тем

http://www.opennet.ru/opennews/art.shtml?num=47827

Статья, конечно, прошлогодняя уже, но что поделать ¯\_(ツ)_/¯

Также рекомендую заглянуть в DevOps дайджест на DOU

Давайте без шуток про "прошлогодний" — они каждый год унылы одинаково

Год начинается бодро!

Найдена уязвимость в процессорах Intel, которая позволяет пользовательским приложениям залезть в память ядра

Краткое содержание на русском

Больше текста на английском

Все детали не раскрываются до выпуска соответствующих патчей. Патчи ориентировочно будут готовы в середине Января. Ходят слухи, что в linux kernel 4.14.11 уже починили, но это не точно

#security

Насколько глубока кроличья нора?

Вчерашний hole с процессорма обростает новыми подробностями. Во-первых, это серьезный аппаратный косяк, это значит, что затронуты вообще все вычислительные устройства (https://techcrunch.com/2018/01/03/kernel-panic-what-are-meltdown-and-spectre-the-bugs-affecting-nearly-every-computer-and-device/): будь то сервера или смартфоны. Да, ARM тоже, но тут начинаются нюансы:

На самом деле существует 2 проблемы с кодовыми именами Meltdown (Intel) и Spectre (Intel, AMD, ARM), которые, не вдаваясь в подробности, позволяют сделать одно и то же: пользовательскому процессу попасть в системную память. Возможные варианты атаки рассмотрели в этой статье от Google:
https://googleprojectzero.blogspot.com.tr/2018/01/reading-privileged-memory-with-side.html?m=1

Если нет времени читать большую статью от Google или whitepapers по каждой из уязвимостей, вот очень краткая выжимка по каждой из них:
https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/

Кроме того, тезисно проблема описана в этом Твиттер треде:
https://twitter.com/nicoleperlroth/status/948684376249962496

Теперь о близком нам: AWS и Azure уже приняли меры, что для пользователей вылилось в forced reboots. Amazon говорит что почти весь их парк уже пропатчен. В Google Cloud заявляют что со своей стороны они пропатчились и ребуты не нужны.
Однако, пользователям всё равно придётся патчить гостевые ОС самостоятельно вне зависимости от провайдера.

- AWS: https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
- GCloud: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
- Azure: https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

Фикс: фикс уже готов, пользовательские обновления, как и говорилось, стоит ждать к середине Января. Плохая новость тут в том, что фикс ухудшит производительность CPU. Конкретные цифры очень зависят от задач, но цифры существенные: от 5% до 30% (возможно и больше)

И если вы уже собирались выдохнуть, то ещё рано. Mozilla подтвердили, что атака с использованием вышеупомянутых уязвимостей возможна через вэб контент:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

Счастливого Рождества!

UPD: забыл, собственно, whitepapers добавить: https://spectreattack.com/

P.S.: думаю, для упрощения подведения итогов в конце года, надо ввести какой-то хэштег. И эти новости definitely #2018

#security #2k18

*UPD*
Статья от Microsoft о том, что в Azure уже всё пропатчили (но люди жаловались, что сервера без суда и следствия бутнули вчера): https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/ (via https://teleg.eu/azure_ua)

Бенчмарки от Phoronix по поводу ожидаемой просадки производительности (via @yaroslavpats):
1: https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=1
2: https://www.phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming-Tests
3: https://www.phoronix.com/scan.php?page=article&item=linux-more-x86pti&num=1

Если вам есть, что добавить по теме, стучитесь мне в @grem1in

Я наконец-то выспался с начала года! Негативная сторона в том, что сейчас очень лениво разбирать какие-то крупные статьи, потому ловите shell скриптик, который позволяет загнать в Terraform GitHub организацию, включая:
- публичные репы
- приватные репы
- репы команд
- сами команды
- членство в командах
- собсно юзеров

Если вы используете GitHub в работе, может быть очень даже интересно:

https://github.com/chrisanthropic/terraform-import-github-organization

Возвращаясь к нашим баранам: две статьи на русском языке, где на пальцах объясняют Meltdown и Spectre

Meltdown: https://geektimes.ru/post/297029/
Spectre: https://geektimes.ru/post/297031/

"Зоркий Глаз лишь спустя 20 лет заметил, что в крепости не хватает четвёртой стены " (с)

#security

​​Docker для Mac с поддержкой Kubernetes из коробки стал общедоступным!

Хотя, пока что в ветке Edge:
https://docs.docker.com/docker-for-mac/#kubernetes

В свете последних событий все углубятся в сферу безопасности, что, конечно, хорошо.

Вот, что примечательно в проблемах aka Meltdown & Spectre: это такая эталонная дыра. Во-первых, процессор всегда считался чем-то 100% надёжным, а все баги, мол, на уровне кода. Оказалось — нет. Во-вторых, атака зависти от навыков атакуемого, а не человеческой глупости. Это уже что-то кардинально отличающиеся от того же WannaCry. Это интересней с чисто исследовательской точки зрения: исследователь не будет гордиться тем, что отправил бабушке похаченный doc-файл. Всё прямо как в шпионских фильмах

Однако, не надо забывать, что большинство прикладных атак не витает так высоко. Если вы прёте чужие кредитки, ваш критерий успеха - колличество угнанных кредиток и, наверное, вероятность обнаружения. Но совсем не "угнать кредитку самым красивым способом".

И я вам сейчас форвардну пост, где как раз описано, почему это страшно и как мы сами открываем двери для не самых приятных людей

#security

Не маєте CSP на своєму веб ресурсі? (як і Амазон, до речі) Не контролюєте що можна відправляти користувачу? Чи хочете отримати кольорове логування у терміналі через один з 400,000 неперевірених npm пакетів? Тоді, на хвилі нещодавних інтригуючих подій, радимо почитати цю статтю :)

Надіслав @vladimir4152 через @itkpi_suggest_bot

https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5

Оч прикольная статья от DataDog о том, как мониторить PostgreSQL:
https://www.datadoghq.com/blog/postgresql-monitoring/

Кратко описано, как PostgreSQL вообще записывает данные, на какие метрики стоит обращать внимание, и что они вообще значат. Тажке рассказали, какие выводы можно сделать по каждой из метрик и что предпринять в тех или иных ситуациях

#postgresql #database

Во вчерашней статье про PostgreSQL проскакивали такие штуки, как MVCC — multi-version concurrency control и VACUUM. Если в двух словах: вместо того, чтобы лочить строку, на которой применяется UPDATE или DELETE, мы сделаем её копию, которая будет видна только транзакции, которая её обновляет. Все текущие же транзакции (non update) будут видеть изначальный вариант строки. А вот когда UPDATE/ DELETE закончится, мы делаем новый вариант видымым для всех, а старый — наоборот. Для этого будем использовать MVCC. Старые dead_rows тоже надо как-то чистить и тут поможет VACUUM

Подробнее про эти два механизма изложено тут:
http://rhaas.blogspot.com/2017/12/mvcc-and-vacuum.html

И отдельно про VACUUM:
http://rhaas.blogspot.com/2018/01/the-state-of-vacuum.html

#postgresql #database

RaspberryPI рассказывают про устройство процессоров и объясняют, почему их устройства не подвержены уязвимостям Meltdown и Spectre:
https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/

Бонусом обзор того, что сделано по поводу уязвимостей в мире Linux:
http://kroah.com/log/blog/2018/01/06/meltdown-status/

#security

У меня сегодня будет JavaDay!

Первая статья, которой я хочу поделиться — записки SRE из Google Andrew Brampton о том, как жить с Java в продакшене. Главное, когда читаешь материалы от Google, помнить, что ты не Google :)
https://www.javaadvent.com/2017/12/running-java-in-production.html/amp

Дальше Daniel Bryant рассказывает, как запускать Java приложения в Docker и оркестрировать это счастье с помощью Kubernetes. При чём, рассказано на примере minicube, что прикольно, потому что убирает зависимости в виде тех или иных облачных сервисов:
https://www.oreilly.com/ideas/how-to-manage-docker-containers-in-kubernetes-with-java

И более низкоуровневая движуха — серия статей на 5-10 минут, в которых описана "анатомия" JVM. Там ещё прикольная табличка, которая отражает, какие темы покрывает та или иная статья:
https://shipilev.net/jvm-anatomy-park/

Enjoy!

#java

Я понимаю, что хороша ложка к обеду, но лучше позже, чем никогда!
Люблю, что в русском языке есть пословицы на все случаи жизни с прямо противоположным смыслом :)

В общем, я наконец-то донёс статью Cindy Sridharan про тестирование микросервисов! Конечно, её уже постили, наверное, все. Но во-первых, я хочу чтобы тут она тоже была, так как я иногда сам обращаюсь к материалам, собранным сдесь. Во-вторых, врдуг кто-то пропустил её в новогоднем угаре

https://medium.com/@copyconstruct/testing-microservices-the-sane-way-9bb31d158c16

Статья большая с кучей ссылок. Так что лучше вечерок на неё отвести

#microservices

B Kubernetes v1.9 поддержка Windows контейнеров перешла в разряд beta:
http://blog.kubernetes.io/2018/01/kubernetes-v19-beta-windows-support.html?m=1

Кроме того, сделали разные улучшения для Windows, о которых можно почитать в той же статье

Документация, как это конфигурить:
https://kubernetes.io/docs/getting-started-guides/windows/

#kubernetes #windows

End-to-end шифрование, говорили они. Теперь все ваши фотки котиков в безопасности, говрили они!

Интересная статья про вектор атаки на групповые чаты Signal и WhatsApp, где как-раз используется e2e шифрование:
https://blog.cryptographyengineering.com/2018/01/10/attack-of-the-week-group-messaging-in-whatsapp-and-signal/

В кратце, e2e прекрасно работает в личных чатах: у нас два легитимных субъекта, туда-сюда: всё, как по учебнику. Проблема возникает с групповыми чатами: в спецификациях такой вариант не особо описан и поэтому каждый пляшет, как он хочет.

В принципе, для, собственно, WhatsApp и Signal эта проблема не супер-критична, но она есть и о ней надо помнить. А ещё там два прикольных вывода в конце статьи — ну вы уже сами почитаете 😉

#security